使用NGWC和ACS 5.2配置動態VLAN分配
目錄
簡介
本檔案介紹動態VLAN指派的概念。其中也說明如何設定無線LAN控制器(WLC)和RADIUS伺服器,以便動態地將無線LAN (WLAN)使用者端指派給特定VLAN。在本文檔中,RADIUS伺服器是運行思科安全訪問控制系統5.2版的訪問控制伺服器(ACS)。
必要條件
需求
思科建議您瞭解以下主題:
- WLC和輕量存取點(LAP)的基本知識
- 身份驗證、授權和記帳(AAA)伺服器的功能知識
- 全面瞭解無線網路和無線安全問題
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 採用Cisco IOS® XE軟體版本3.2.2的Cisco 5760無線LAN控制器(次世代配線間,或NGWC)
- Cisco Aironet 3602系列輕量型存取點
- Microsoft Windows XP搭配Intel Proset請求者
- 思科安全存取控制系統版本5.2
- Cisco Catalyst 3560系列交換器
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
使用RADIUS伺服器進行動態VLAN分配
在大多數WLAN系統中,每個WLAN都有一個靜態策略,該策略適用於與服務集識別符號(SSID)或控制器術語中的WLAN相關聯的所有客戶端。此方法雖然功能強大,但有一定的侷限性,因為它要求客戶端與不同的SSID關聯以繼承不同的QoS和安全策略。
但是,Cisco WLAN解決方案支援身份網路。這允許網路通告單個SSID,但允許特定使用者根據使用者憑證繼承不同的QoS、VLAN屬性和/或安全策略。
動態VLAN分配是一種功能,可根據使用者提供的憑證將無線使用者置於特定VLAN中。使用者分配到特定VLAN的這一任務由RADIUS身份驗證伺服器(如Cisco Secure ACS)處理。例如,此功能可用於允許無線主機在園區網路中移動時保持同一個VLAN上。
因此,當客戶端嘗試關聯到在控制器中註冊的LAP時,LAP會將使用者的憑證傳遞到RADIUS伺服器進行驗證。一旦驗證成功,RADIUS伺服器就會將某些Internet工程工作小組(IETF)屬性傳送給使用者。這些RADIUS屬性決定應該分配給無線客戶端的VLAN ID。使用者端的SSID(WLAN,從WLC的角度而言)並不重要,因為系統一律會將使用者指定給這個預先設定的VLAN ID。
用於VLAN ID分配的RADIUS使用者屬性包括:
- IETF 64(隧道型別) -設定為VLAN。
- IETF 65(隧道介質型別) -設定為802。
- IETF 81 (Tunnel-Private-Group-ID) -設定為VLAN ID。
VLAN ID為12位,取值範圍為1至4094(含)。由於Tunnel-Private-Group-ID屬於字串型別(如RFC 2868, RADIUS Attributes for Tunnel Protocol Support與IEEE 802.1X一起使用),因此VLAN ID整數值被編碼為字串。傳送這些隧道屬性時,需要填寫標籤欄位。
如RFC2868第3.1節所述:
「標籤欄位的長度是一個二進位制八位數,其目的是提供一種方法,用於將引用同一隧道的同一資料包中的屬性分組。」
標籤欄位的有效值為0x01到0x1F (含)。如果「標籤」欄位未使用,它必須是零(0x00)。如需所有RADIUS屬性的詳細資訊,請參閱RFC 2868。
設定
動態VLAN分配的配置包括兩個不同的步驟:
- 使用命令列介面(CLI)或GUI配置WLC。
- 配置RADIUS伺服器。
網路圖表
此文件使用以下網路設定:
本檔案會使用具有受保護可擴充驗證通訊協定(PEAP)的802.1X作為安全機制。
假設
- 交換器設定為所有的第3層(L3) VLAN。
- 為DHCP伺服器分配了DHCP作用域。
- 網路中所有裝置之間都存在L3連線。
- LAP已連線到WLC。
- 每個VLAN都有一個/24掩碼。
- ACS 5.2已安裝自簽名證書。
使用CLI配置WLC
配置WLAN
以下示例說明如何使用SSID DVA配置WLAN:
wlan DVA 3 DVA
aaa-override
client vlan VLAN0020
security dot1x authentication-list ACS
session-timeout 1800
no shutdown
在WLC上配置RADIUS伺服器
以下是在WLC上設定RADIUS伺服器的範例:
aaa new-model
!
!
aaa group server radius ACS
server name ACS
!
aaa authentication dot1x ACS group ACS
radius server ACS
address ipv4 10.106.102.50 auth-port 1645 acct-port 1646
key Cisco123
dot1x system-auth-control
配置客戶端VLAN的DHCP池
以下是客戶端VLAN 30和VLAN 40的DHCP池配置示例:
interface Vlan30
ip address 30.30.30.1 255.255.255.0
!
interface Vlan40
ip address 40.40.40.1 255.255.255.0
ip dhcp pool vla30
network 30.30.30.0 255.255.255.0
default-router 30.30.30.1
!
ip dhcp pool vlan40
network 40.40.40.0 255.255.255.0
default-router 40.40.40.1
ip dhcp snooping vlan 30,40
ip dhcp snooping
使用GUI配置WLC
配置WLAN
以下過程介紹了如何配置WLAN。
- 導航到配置 > 無線 > WLAN > 新建頁籤。
- 按一下General頁籤以檢視為WPA2-802.1X配置的WLAN,並將介面/介面組(G)對映到VLAN 20 (VLAN0020)。
- 按一下Advanced頁籤,然後選中Allow AAA Override覈取方塊。必須啟用覆寫,此功能才能運作。
- 按一下Security頁籤和Layer2頁籤,選中WPA2 Encryption AES覈取方塊,然後從Auth Key Mgmt下拉選單中選擇802.1x。
在WLC上配置RADIUS伺服器
此程式描述如何在WLC上設定RADIUS伺服器。
- 導航到配置 > 安全頁籤。
- 導航到AAA > Server Groups > Radius以建立Radius伺服器組。在本示例中,Radius伺服器組稱為ACS。
- 編輯RADIUS伺服器條目以增加伺服器IP地址和共用金鑰。此共用金鑰必須與WLC和RADIUS伺服器上的共用金鑰匹配。
以下是完整組態範例:
配置RADIUS伺服器
此過程描述如何配置RADIUS伺服器。
- 在RADIUS伺服器上,導航到Users and Identity Stores > Internal Identity Stores > Users。
- 建立適當的使用者名稱和辨識群組。在本例中,它是Student and All Groups:Students和Teacher and AllGroups:Teachers。
- 導航到策略元素 > 授權和許可權 > 網路訪問 > 授權配置檔案,然後為AAA覆蓋建立授權配置檔案。
- 編輯學生的授權配置檔案。
- 將VLAN ID/名稱設定為Static,並且其值為30 (VLAN 30)。
- 編輯Teacher的授權配置檔案。
- 將VLAN ID/名稱設定為Static,並且其值為40 (VLAN 40)。
- 導航到訪問策略 > 訪問服務 > 預設網路訪問,然後按一下允許的協定頁籤。選中Allow PEAP覈取方塊。
- 導航到標識,然後定義規則以允許PEAP使用者。
- 導航到Authorization,將Student和Teacher對映到授權策略;在本示例中,對映應該是Student for VLAN 30和Teacher for VLAN 40。
驗證
使用本節內容,確認您的組態是否正常運作。以下是驗證程式:
- 監控ACS上顯示哪些客戶端已透過身份驗證的頁面。
- 連線到DVA WLAN with Student Group,並檢閱使用者端WiFi連線公用程式。
- 使用Teacher Group連線到DVA WLAN,並檢閱使用者端WiFi連線公用程式。
疑難排解
本節提供的資訊可用於對組態進行疑難排解。
有用的調試包括debug client mac-address mac以及以下NGWC trace命令:
- set trace group-wireless-client level debug
- set trace group-wireless-client filter mac xxxx.xxxx.xxxx
- show trace sys-filtered-traces
NGWC跟蹤不包括dot1x/AAA,因此請對dot1x/AAA使用以下整個組合跟蹤清單:
- set trace group-wireless-client level debug
- set trace wcm-dot1x event level debug
- set trace wcm-dot1x aaa level debug
- set trace aaa wireless events level debug
- 設定跟蹤訪問會話核心sm級別調試
- set trace access-session method dot1x level debug
- set trace group-wireless-client filter mac xxxx.xxxx.xxxx
- set trace wcm-dot1x event filter mac xxxx.xxxx.xxxx
- set trace wcm-dot1x aaa filter mac xxxx.xxxx.xxxx
- set trace aaa wireless events filter mac xxxx.xxxx.xxxx
- set trace access-session core sm filter mac xxxx.xxxx.xxxx
- set trace access-session method dot1x filter mac xxxx.xxxx.xxxx
- show trace sys-filtered-traces
當動態VLAN分配工作正常時,您應該會在調試中看到以下型別的輸出:
09/01/13 12:13:28.598 IST 1ccc 5933] 0021.5C8C.C761 1XA: Received Medium tag (0)
Tunnel medium type (6) and Tunnel-Type tag (0) and Tunnel-type (13)
Tunnel-Private-Id (30)
[09/01/13 12:13:28.598 IST 1ccd 5933] 0021.5C8C.C761 Tunnel-Group-Id is 30
[09/01/13 12:13:28.598 IST 1cce 5933] 0021.5C8C.C761 Checking Interface
Change - Current VlanId: 40 Current Intf: VLAN0040 New Intf: VLAN0030 New
GroupIntf: intfChanged: 1
[09/01/13 12:13:28.598 IST 1ccf 5933] 0021.5C8C.C761 Incrementing the
Reassociation Count 1 for client (of interface VLAN0040)
--More-- [09/01/13 12:13:28.598 IST 1cd0 5933] 0021.5C8C.C761
Clearing Address 40.40.40.2 on mobile
[09/01/13 12:13:28.598 IST 1cd1 5933] 0021.5C8C.C761 Applying new AAA override
for station 0021.5C8C.C761
[09/01/13 12:13:28.598 IST 1cd2 5933] 0021.5C8C.C761 Override values (cont..)
dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
vlanIfName: 'VLAN0030', aclName: ''
[09/01/13 12:13:28.598 IST 1cd3 5933] 0021.5C8C.C761 Clearing Dhcp state for
station ---
[09/01/13 12:13:28.598 IST 1cd4 5933] 0021.5C8C.C761 Applying WLAN ACL policies
to client
[09/01/13 12:13:28.598 IST 1cd5 5933] 0021.5C8C.C761 No Interface ACL used for
Wireless client in WCM(NGWC)
[09/01/13 12:13:28.598 IST 1cd6 5933] 0021.5C8C.C761 Inserting AAA Override
struct for mobile
MAC: 0021.5C8C.C761 , source 4
[09/01/13 12:13:28.598 IST 1cd7 5933] 0021.5C8C.C761 Inserting new RADIUS
override into chain for station 0021.5C8C.C761
[09/01/13 12:13:28.598 IST 1cd8 5933] 0021.5C8C.C761 Override values (cont..)
dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
vlanIfName: 'VLAN0030', aclName: ''
--More-- [09/01/13 12:13:28.598 IST 1cd9 5933] 0021.5C8C.C761
Applying override policy from source Override Summation:
[09/01/13 12:13:28.598 IST 1cda 5933] 0021.5C8C.C761 Override values (cont..)
dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
vlanIfName: 'VLAN0030', aclName: ''
[09/01/13 12:13:28.598 IST 1cdb 5933] 0021.5C8C.C761 Applying local bridging
Interface Policy for station 0021.5C8C.C761 - vlan 30, interface 'VLAN0030'
[09/01/13 12:13:28.598 IST 1cdc 5933] 0021.5C8C.C761 1XA: Setting reauth timeout
to 1800 seconds from WLAN config
[09/01/13 12:13:28.598 IST 1cdd 5933] 0021.5C8C.C761 1XA: Setting reauth timeout
to 1800 seconds
[09/01/13 12:13:28.598 IST 1cde 5933] 0021.5C8C.C761 1XK: Creating a PKC PMKID
Cache entry (RSN 1)
[09/01/13 12:13:28.598 IST 1cdf 5933] 0021.5C8C.C761 1XK: Set Link Secure: 0
[09/01/13 12:08:59.553 IST 1ae1 5933] 0021.5C8C.C761 1XA: Received Medium tag (0)
Tunnel medium type (6) and Tunnel-Type tag (0) and Tunnel-type (13)
Tunnel-Private-Id (40)
[09/01/13 12:08:59.553 IST 1ae2 5933] 0021.5C8C.C761 Tunnel-Group-Id is 40
--More-- [09/01/13 12:08:59.553 IST 1ae3 5933] 0021.5C8C.C761
Checking Interface Change - Current VlanId: 20 Current Intf: VLAN0020 New Intf:
VLAN0040 New GroupIntf: intfChanged: 1
[09/01/13 12:08:59.553 IST 1ae4 5933] 0021.5C8C.C761 Applying new AAA override for
station 0021.5C8C.C761
[09/01/13 12:08:59.553 IST 1ae5 5933] 0021.5C8C.C761 Override values (cont..)
dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
vlanIfName: 'VLAN0040', aclName: ''
[09/01/13 12:08:59.553 IST 1ae6 5933] 0021.5C8C.C761 Clearing Dhcp state for
station ---
[09/01/13 12:08:59.553 IST 1ae7 5933] 0021.5C8C.C761 Applying WLAN ACL policies
to client
[09/01/13 12:08:59.553 IST 1ae8 5933] 0021.5C8C.C761 No Interface ACL used for
Wireless client in WCM(NGWC)
[09/01/13 12:08:59.553 IST 1ae9 5933] 0021.5C8C.C761 Inserting AAA Override struct
for mobile
MAC: 0021.5C8C.C761 , source 4
[09/01/13 12:08:59.553 IST 1aea 5933] 0021.5C8C.C761 Inserting new RADIUS override
into chain for station 0021.5C8C.C761
[09/01/13 12:08:59.553 IST 1aeb 5933] 0021.5C8C.C761 Override values (cont..)
dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
vlanIfName: 'VLAN0040', aclName: ''
--More--
[09/01/13 12:08:59.553 IST 1aec 5933] 0021.5C8C.C761 Applying override policy
from source Override Summation:
[09/01/13 12:08:59.553 IST 1aed 5933] 0021.5C8C.C761 Override values (cont..)
dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
vlanIfName: 'VLAN0040', aclName: ''
[09/01/13 12:08:59.553 IST 1aee 5933] 0021.5C8C.C761 Applying local bridging
Interface Policy for station 0021.5C8C.C761 - vlan 40, interface 'VLAN0040'
[09/01/13 12:08:59.553 IST 1aef 5933] 0021.5C8C.C761 1XA: Setting reauth timeout
to 1800 seconds from WLAN config
[09/01/13 12:08:59.553 IST 1af0 5933] 0021.5C8C.C761 1XA: Setting reauth timeout
to 1800 seconds
[09/01/13 12:08:59.553 IST 1af1 5933] 0021.5C8C.C761 1XK: Creating a PKC PMKID
Cache entry (RSN 1)
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
03-Oct-2013 |
初始版本 |
意見