Catalyst 9800 ワイヤレス コントローラ AP 許可 リスト

Transcription

1 Catalyst 9800 ワイヤレスコントローラ AP 許可リスト 目次 はじめに背景説明前提条件要件使用するコンポーネント設定ネットワーク図設定 MAC AP 許可リスト - ローカル MAC AP 許可リスト - 外部 RADIUS サーバ確認トラブルシューティング 概要 この資料に Access Point (AP) 認証ポリシーを設定する方法を説明されています この機能は承認されたアクセスポイントだけ (AP) 伸縮性があるワイヤレス LAN コントローラ (9800 WLC) に加入できることを確認します 背景説明 AP を承認するために それは必要イーサネット Media Access Control(MAC) アドレスを登録するためにです それはコントローラでまたは externalremote 認証ダイヤルインユーザサービス (RADIUS) サーバでローカルですることができます 前提条件 要件 次の項目に関する知識が推奨されます 9800 WLC ワイヤレスコントローラへの Command Line Interface (CLI) アクセス 使用するコンポーネント 9800 WLC v16.10 AP 1810W

2 AP 1700 識別サービスエンジン (ISE) v2.2 本書の情報は 特定のラボ環境にあるデバイスに基づいて作成されたものです このドキュメントで使用するすべてのデバイスは 初期 ( デフォルト ) 設定の状態から起動しています 対象のネットワークが実稼働中である場合には どのような作業についても その潜在的な影響について確実に理解しておく必要があります 設定 ネットワーク図 設定 MAC AP 許可リスト - ローカル 承認された AP の MAC アドレスは 9800 WLC でローカルで保存されます ステップ 1. ローカル許可資格情報ダウンロード方式リストを作成して下さい 設定 > Security > AAA > AAA 方式リスト > 許可への移動は > + 追加します

3 ステップ 2. 有効 AP MAC 許可 設定 > Security > 進む AAA > AAA に > AP ポリシーナビゲートして下さい 有効は MAC に対して AP を承認し ステップ 1. で作成される許可の方式リストを選択します ステップ 3. AP のイーサネット MAC アドレスを追加して下さい 設定 > Security > 進む AAA > AAA への移動は > デバイス認証 > MAC アドレス > + 追加します

4 注 : AP のイーサネット MAC アドレスはこれらの形式の 1 つにある必要があります (XX: xx: xx: xx: xx: XX ( または ) xxxx.xxxx.xxxx ( または ) xx-xx-xx-xx-xx-xx) CLI: # config t # aaa new-model # aaa authorization credential-download <AP-auth> local # ap auth-list authorize-mac # ap auth-list method-list <AP-auth> # username <aaaabbbbcccc> mac MAC AP 許可リスト - 外部 RADIUS サーバ 9800 WLC 構成 承認された AP の MAC アドレスはこの例 ISE で外部 RADIUS サーバで 保存されます ISE で ユーザー名 / パスワードまたはエンドポイントとして AP の MAC アドレスを登録できます ステップに沿って何とかして使用するために選択するべき設定指示されます GUI: ステップ 1. RADIUS サーバを指定して下さい

5 設定 > Security > AAA > サーバ / グループ > RADIUS > サーバへの移動は > + RADIUS サーバの情報を追加し 入力します 中央 Web 認証 ( か CoA を必要とする種類のセキュリティを ) 将来使用するために計画する場合 CoA のためのサポートを有効にされます確認して下さい ステップ 2. RADIUS グループに RADIUS サーバを追加して下さい 設定 > Security > AAA > サーバ / グループ > RADIUS > サーバグループへの移動は > + 追加します ユーザー名がどれもとして MAC フィルタリングを残さないように ISE を持つために AP の MAC アドレスを認証して下さい

6 エンドポイントが MAC に MAC フィルタリングを変更するように ISE を持つために AP の MAC アドレスを認証して下さい ステップ 3. 許可資格情報ダウンロード方式リストを作成して下さい 設定 > Security > AAA > AAA 方式リスト > 許可への移動は > + 追加します

7 ステップ 4. 有効 AP MAC 許可 設定 > Security > 進む AAA > AAA に > AP ポリシーナビゲートして下さい 有効は MAC に対して AP を承認し ステップ 3. で作成される許可の方式リストを選択します

8 CLI: # config t # aaa new-model # radius server <radius-server-name> # address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813 # timeout 300 # retransmit 3 # key <shared-key> # exit # aaa group server radius <radius-grp-name> # server name <radius-server-name> # exit # aaa server radius dynamic-author # client <radius-server-ip> server-key <shared-key> # aaa authorization credential-download <AP-auth> group <radius-grp-name> # ap auth-list authorize-mac # ap auth-list method-list <AP-ISE-auth> ISE 構成 ステップ 1: ISE に 9800 WLC を追加するこれらの手順に従って下さい ISE の 9800 WLC を宣言して下さい 基づいて AP の MAC アドレスをどのようにに認証したいと思うか必要なステップに従って下さい : エンドポイントとして MAC アドレスを認証するために使用を設定して下さい username/password として MAC アドレスを認証するために ISE を設定して下さい エンドポイントとして MAC アドレスを認証するために ISE を設定して下さい ステップ 2. ( オプションの ) はアクセスポイントのための識別グループを作成します Administration > アイデンティティ管理 > Groups > エンドポイント識別グループへの移動は > + 追加します

9 名前を選択し SUBMIT をクリックして下さい ステップ 3. エンドポイント識別グループに AP のイーサネット MAC アドレスを追加して下さい 作業センター > ネットワークアクセス > 識別 > エンドポイントに > + ナビゲートして下さい 必要とされる情報を入力して下さい

10 ステップ 4. デフォルトの認証ルールで使用される識別ストアが内部エンドポイントが含まれていることを確認して下さい A. ポリシー > 認証にナビゲートし 識別ストアを書き留めて下さい B. Administration > アイデンティティ管理 > 識別出典シーケンス > 識別名前にナビゲートして下さい

11 C. 内部エンドポイントを属しましたりそれに そうでなかったら 追加しますそれを確認して下さい

12 username/password として MAC アドレスを認証するために ISE を設定して下さい ステップ 2. ( オプションの ) はアクセスポイントのための識別グループを作成します Administration > アイデンティティ管理 > Groups > ユーザ識別グループへの移動は > + 追加します

13 名前を選択し SUBMIT をクリックして下さい ステップ 3. 現在のパスワードポリシーがユーザ名およびパスワードとして MAC アドレスを追加することを可能にすることを確認して下さい Administration > アイデンティティ管理 > 設定 > ユーザ認証設定 > パスワードポリシーにナビゲートし 少なくともこれらのオプションが無効になるようにして下さい :

14 注 : パスワードが変更されなかった場合また XX 幾日以降にオプション無効ユーザアカウントを無効にしたいと思うことができます これが MAC アドレスであるので パスワードは決して変更しません ステップ 4. AP のイーサネット MAC アドレスを追加して下さい Administration > アイデンティティ管理 > 識別 > Users への移動は > + 追加します

15 必要とされる情報を入力して下さい

16 注 : 名前およびログイン Passwordfield は AP すべての小文字および区切り記号のイーサネット MAC アドレスである必要がありません AP を認証する承認ポリシー イメージに示すように移動 topolicy > 許可 イメージに示すように新しいルールを追加して下さい 最初に ルールおよびアクセスポイントが保存される識別グループに名前を選択して下さい (AccessPoints) エンドポイントとして AP の MAC アドレスを認証することを選択する場合ように username password かエンドポイント識別グループ MAC アドレスを認証することにした場合識別グループを User を選択して下さい

17 その後で 他の条件を選択して下さいこのルールに下るために許可プロセスを実行する この例では 許可プロセスはサービスタイプコールチェックを使用し 認証要求が IP アドレス から来れば場合このルールを見つけます 最終的には 許可プロファイルを選択して下さいそのルールを見つけるクライアントにイメージに示すように clickdoneand 保存それ割り当てられる 注 : コントローラで既に加入した AP はアソシエーションを失いません しかし 許可リストを有効にした後 切断し コントローラが付いている通信を加入するように試みます認証プロセスを通過します MAC アドレスがまたはローカルでリストされていないか RADIUS サーバのそれらはコントローラに戻って加入できることではないです 確認 9800 WLC が ap 認証リストを有効にしたかどうか確認して下さい # show ap auth-list Authorize APs against MAC : Disabled Authorize APs against Serial Num : Enabled Authorization Method List : <auth-list-name> RADIUS コンフィギュレーションを確認して下さい :

18 トラブルシューティング WLC 9800 は常時接続トレース機能を提供します これはすべての AP を加入します関連エラーに確認します 警告および表記水平なメッセージは絶えず記録され 発生した後事件または失敗状態のためのログを調べることができます 注 : 生成されるログの音量によってはに数日行くことができます数時間 デフォルトで集められる 9800 WLC が 9800 WLC に SSH/Telnet によって ( 接続し 次の手順に従うことができるトレースを表示するために確認します記録していますテキストファイルにセッションを ) ステップ 1: 問題が起こったときにチェックコントローラの現在の時刻従ってログオンします時間をに戻ってトラッキングできます ステップ 2. システム構成によって定められるようにコントローラのバッファか外部 Syslog から Syslog を集めて下さい これはシステム状態およびエラーに速いビューを もしあれば提供します ステップ 3. どのデバッグ状態でも有効になるかどうか確認して下さい 注 : リストされている条件を見る場合それはトレースがイネーブルになった条件 (MAC アドレス IP アドレス等 ) に出会うすべてのプロセスのデバッグレベルまで記録されていることを意味します これはログの音量を増加します 従ってアクティブにデバッグしないとき すべての条件をクリアすることを推奨します ステップ 4. テストの下の MAC アドレスを仮定することはステップ 3 の条件として 収集します特定の無線 MAC アドレスのための常時接続表記レベルトレースをリストされていませんでした セッションの内容を表示できますまたは外部 TFTP サーバにファイルをコピーできます 条件付きデバッギングおよび無線アクティブなトレース 調査中の問題のためのトリガーを判別するために常時接続トレースが十分な情報を与えない場合指定された条件 ( クライアントの MAC アドレスこの場合 ) と相互に作用しているすべてのプロセスにデバッグレベルトレースを提供する条件付きデバッギングおよびキャプチャ無線アクティブな (RA) トレースを有効にすることができます 条件付きデバッギングを有効にするために

19 次の手順に従って下さい ステップ 5 そこにですデバッグ状態有効にされます確認しないで下さい ステップ 6. 監視したいと思うこと無線クライアント MAC アドレスのためのデバッグ条件を有効にして下さい これは 30 分 (1800 秒 ) のための提供された MAC アドレスを監察するために開始するを命じます 秒までにオプションで今回を増加できます 注 : 複数のクライアントを一度に監視するために デバッグ MAC アドレスごとのワイヤレス MAC <aaaa.bbbb.cccc> コマンドを実行して下さい 注 : すべてが表示された以降であるために内部でバッファリングされるので ターミナルセッションのクライアントアクティビティの出力を見ません ステップ 7. 監視したいと思う動作か問題を再現して下さい ステップ 8. デフォルトか設定されたモニタ時間が稼働している前に問題が再現される場合デバッグを停止して下さい モニタ時間が経過するかまたはデバッグワイヤレスが停止したら 9800 WLC は名前のローカルファイルを生成します : ra_trace_mac_aaaabbbbcccc_hhmmss.xxx_timezone_dayweek_month_day_year.log ステップ 9. MAC アドレスアクティビティのファイルを集めて下さい 外部サーバにどちらかのコピー RA トレース.log または画面の出力を直接表示するためにできます RA トレースファイルの名前をチェックして下さい 外部サーバにファイルをコピーして下さい : 内容を表示して下さい :

20 ステップ 10: 根本的な原因がそれでも明らかではない場合 デバッグレベルログのより冗長なビューである内部ログを集めて下さい 既に colllected 内部で保存されたデバッグログの futher によって詳述されるだけ見てみていると同時にクライアントを再度デバッグする必要はありません 注 : このコマンド出力はすべてのプロセスのすべてのログレベルのためのトレースを戻し かなり大部です これらのトレースを通って解析を助けるように Cisco TAC を実行して下さい 外部サーバにどちらかのコピー ra-internal-filename.txt または画面の出力を直接表示するためにできます 外部サーバにファイルをコピーして下さい : 内容を表示して下さい : ステップ 11. デバッグ状態を取除いて下さい 注 : トラブルシューティングセッションの後でデバッグ状態を常に取除くようにして下さい