使用9800控制器為存取點配置802.1X請求方

簡介

本檔案介紹如何將Cisco存取點(AP)設定為802.1x請求方，以便在針對RADIUS伺服器的交換器連線埠上獲得授權。

必要條件

需求

思科建議您瞭解以下主題：

• 無線區域網路控制器(WLC)和LAP（輕量存取點）。
• 思科交換機和ISE上的802.1x
• 可延伸驗證通訊協定(EAP)
• 遠端驗證撥入使用者服務(RADIUS)

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• WS-C3560CX，Cisco IOS® XE，15.2(3r)E2
• C9800-CL-K9，Cisco IOS® XE，17.6.5
• ISE 3.0
• AIR-CAP3702
• AIR-AP3802

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

在此設定中，存取點(AP)充當802.1x請求方，並由交換機使用EAP方法EAP-FAST對ISE進行身份驗證。

在連線埠設定為802.1X驗證後，交換器不會允許802.1X以外的任何流量透過連線埠，直到連線到連線埠的裝置成功驗證為止。

AP可以在加入WLC之前或加入WLC之後進行身份驗證，在這種情況下，請在LAP加入WLC之後在交換機上配置802.1X。

設定

本節提供用於設定本文件中所述功能的資訊。

網路圖表

此文件使用以下網路設定：

將LAP配置為802.1x請求方

如果AP已加入到WLC：

設定802.1x驗證型別和本機重要憑證(LSC) AP驗證型別：

步驟 1.導航到Configuration > Tags & Profiles > AP Join > On the AP Join Profile頁面，點選Add以增加新的加入配置檔案，或在點選AP加入配置檔名稱時編輯該加入配置檔案。

步驟 2.在「AP加入配置檔案」頁中，從AP > 常規，導航到AP EAP Auth配置部分。  從EAP Type下拉選單中選擇EAP型別為EAP-FAST、EAP-TLS或EAP-PEAP以配置dot1x身份驗證型別。EAP-FAST是唯一隻使用使用者名稱和密碼的驗證型別，而且最容易設定。PEAP和EAP-TLS要求您透過LSC工作流程在存取點上布建憑證（請參閱參考一節）。

步驟 3.從AP Authorization Type下拉選單中選擇CAPWAP DTLS +或CAPWAP DTLS >點選Update & Apply to Device。

配置802.1x使用者名稱和密碼：

步驟 1.從管理 >身份證明 > 輸入Dot1x使用者名稱和口令詳細資訊 >選擇合適的802.1x口令型別>點選更新和應用於裝置

如果AP尚未加入WLC：

透過控制檯連線到LAP以設定憑證並使用以下CLI命令：(適用於Cheetah OS和Cisco IOS® AP)

CLI:

LAP# debug capwap console cli
LAP# capwap ap dot1x username 
    
    
      password 
     
         
      
    

清除AP上的Dot1x憑證（如果需要）

對於Cisco IOS® AP，在此之後重新載入AP：

CLI:

LAP# clear capwap ap dot1x

對於Cisco COS AP，在此之後重新載入AP：

CLI:

LAP# capwap ap dot1x disable

設定交換器

在交換機上全局啟用dot1x並將ISE伺服器增加到交換機。

CLI:

Enable
Configure terminal
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
dot1x system-auth-control
Radius-server host 
    
    
      auth-port 
     
       acct-port 
       
       
  key 7 
        
       
      
    

配置AP交換機埠。

CLI:

configure terminal
interface GigabitEthernet
switchport access vlan <>
switchport mode access
authentication order dot1x
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast edge
end

如果AP處於Flex Connect模式，即本地交換，則必須在交換機介面上執行額外的配置，以允許埠上有多個MAC地址，因為客戶端資料流在AP級別（包括本地交換和本地交換）釋放。 

authentication host-mode multi-host

注意：多主機模式會對第一個MAC地址進行身份驗證，然後允許無限數量的其他MAC地址。如果連線的AP已配置為本地交換模式，則在交換機埠上啟用主機模式。它允許使用者端的流量透過交換器連線埠。如果要使用安全流量路徑，請在WLAN上啟用dot1x以保護客戶端資料

配置ISE伺服器

步驟 1. 將交換機增加為ISE伺服器上的網路裝置。導航到Administration > Network Resources > Network Devices > Click Add > Enter Device name， IP address， enable RADIUS Authentication Settings， Specify Shared Secret Value， COA port （或保留預設設定） > Submit。

步驟 2.向ISE增加AP憑證。導航到管理>身份管理>身份>使用者，然後按一下增加按鈕增加使用者。輸入您在WLC的AP加入配置檔案中配置的憑據。請注意，使用者被放在此處的預設組中，但可以根據需要進行調整。 

步驟 3.在ISE上，配置身份驗證策略和授權策略。 轉至Policy > Policy Sets，選擇要配置的策略集和右側的藍色箭頭。在這種情況下，將使用預設策略集，但可以根據要求自定義該策略集。

然後配置身份驗證策略和授權策略。此處顯示的策略是在ISE伺服器上建立的預設策略，但可以根據需要進行調整和自定義。 
在本示例中，配置可以轉換為：「如果使用有線802.1X並在ISE伺服器上知道使用者，則我們允許對身份驗證成功的使用者進行訪問」。然後，將根據ISE伺服器授權AP。 

 

步驟 4.確保在允許的協定中，預設網路訪問允許EAP-FAST。導航到Policy > Policy Elements > Authentication > Results > Allowed Protocols > Default Network Access > Enable Allow EAP-TLS > Save。

驗證

使用本節內容，確認您的組態是否正常運作。

驗證驗證型別

show命令顯示AP配置檔案的身份驗證資訊：

CLI:

9800WLC#show ap profile name <profile-name> detailed

範例：

9800WLC#show ap profile name default-ap-profile detailed
  AP Profile Name        : Dot1x
  …
  Dot1x EAP Method       : [EAP-FAST/EAP-TLS/EAP-PEAP/Not-Configured]
  LSC AP AUTH STATE      : [CAPWAP DTLS / DOT1x port auth / CAPWAP DTLS + DOT1x port auth]

驗證交換機埠上的802.1x

show命令顯示交換機埠上802.1x的身份驗證狀態：

CLI:

Switch# show dot1x all

輸出範例：

Sysauthcontrol              Enabled
Dot1x Protocol Version            3

Dot1x Info for GigabitEthernet0/8
-----------------------------------
PAE                       = AUTHENTICATOR
QuietPeriod               = 60
ServerTimeout             = 0
SuppTimeout               = 30
ReAuthMax                 = 2
MaxReq                    = 2
TxPeriod                  = 30

驗證連線埠是否已透過驗證

CLI:

Switch#show dot1x interface <AP switch port number> details

輸出範例：

Dot1x Info for GigabitEthernet0/8
-----------------------------------
PAE                       = AUTHENTICATOR
QuietPeriod               = 60
ServerTimeout             = 0
SuppTimeout               = 30
ReAuthMax                 = 2
MaxReq                    = 2
TxPeriod                  = 30

Dot1x Authenticator Client List
-------------------------------
EAP Method                = FAST
Supplicant                = f4db.e67e.dd16
Session ID                = 0A30279E00000BB7411A6BC4
    Auth SM State         = AUTHENTICATED
    Auth BEND SM State    = IDLE
ED
Auth BEND SM State = IDLE

在 CLI 上：

Switch#show authentication sessions

輸出範例：

Interface    MAC Address    Method  Domain  Status Fg Session ID
Gi0/8        f4db.e67e.dd16 dot1x   DATA    Auth      0A30279E00000BB7411A6BC4

在ISE中，選擇操作> Radius即時日誌並確認身份驗證成功並推送了正確的授權配置檔案。

 

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

1. 輸入ping命令以檢查是否可從交換機訪問ISE伺服器。
2. 確保在ISE伺服器上將交換機配置為AAA客戶端。
3. 確保交換機和ISE伺服器之間的共用金鑰相同。
4. 檢查ISE伺服器上是否啟用了EAP-FAST。
5. 檢查LAP是否配置了802.1x憑證，以及ISE伺服器上的憑證是否相同。
   

   注意：使用者名稱和密碼區分大小寫。

6. 如果身份驗證失敗，請在交換機上輸入以下命令：debug dot1x和debug authentication。

請注意，基於Cisco IOS的存取點(802.11ac wave 1)不支援TLS版本1.1和1.2。如果您的ISE或RADIUS伺服器配置為僅允許802.1X內部的TLS 1.2，這可能會導致問題。

參考資料

使用PEAP和EAP-TLS在AP上配置802.1X