Verificación Troubleshoot Introducción Este documento describe cómo configurar una red de área local inalámbrica (WLAN) con seguridad 802.1x en controladores inalámbricos Cisco Catalyst serie 9800 mediante interfaz gráfica de usuario (GUI) o interfaz de línea de comandos (CLI). prerrequisitos Requisitos Cisco recomienda que tenga conocimiento sobre estos temas: 802.1x...
funcionamiento con una configuración verificada (predeterminada).Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando. Configurar Diagrama de la red Configuración Configuración AAA en 9800 WLC GUI: Paso 1. Declare el servidor RADIUS. Navegue hasta Configuration > Security > AAA > Servers / Groups >...
Página 3
Asegúrese de que la compatibilidad con CoA esté habilitada si piensa utilizar la autenticación Web central (o cualquier tipo de seguridad que requiera CoA) en el futuro. Paso 2. Agregue el servidor RADIUS a un grupo RADIUS. Vaya a Configuration > Security > AAA >...
Página 4
Paso 3. Cree una lista de métodos de autenticación. Vaya a Configuration > Security > AAA > AAA Method List > Authentication > + Add Introduzca la información: ...
CLI: # config t # aaa new-model # radius server <radius-server-name> # address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813 # timeout 300 # retransmit 3 # key <shared-key> # exit # aaa group server radius <radius-grp-name> # server name <radius-server-name> # exit # aaa server radius dynamic-author # client <radius-server-ip>...
Página 6
Paso 2. Introduzca la información WLAN Paso 3. Vaya a la ficha Seguridad y seleccione el método de seguridad necesario. En este caso, WPA2 + 802.1x.
Página 7
Paso 4. En la pestaña Security > AAA, seleccione el método de autenticación creado en el paso 3 de la sección Configuración AAA en 9800 WLC.
CLI: # config t # wlan <profile-name> <wlan-id> <ssid-name> # security dot1x authentication-list <dot1x-list-name> # no shutdown Configuración del perfil de política Dentro de un perfil de política puede decidir a qué VLAN asignar los clientes, entre otras configuraciones (como la Lista de controles de acceso [ACL], la Calidad de servicio [QoS], el anclaje de movilidad, los temporizadores, etc.).
Página 9
Asegúrese de que el perfil esté habilitado. Además, si el punto de acceso (AP) está en modo local, asegúrese de que el perfil de política tenga conmutación central y autenticación central activadas. Seleccione la VLAN donde los clientes deben ser asignados en la pestaña Políticas de acceso.
Página 10
Si planea tener atributos de retorno ISE en Access-Accept como VLAN Assignment, habilite el reemplazo AAA en la pestaña Advanced:...
CLI: # config # wireless profile policy <policy-profile-name> # aaa-override # central switching # description "<description>" # vlan <vlanID-or-VLAN_name> # no shutdown Configuración de la etiqueta de política La etiqueta de política se utiliza para vincular el SSID con el perfil de política. Puede crear una nueva etiqueta de política o utilizar la etiqueta de política predeterminada.
Página 12
es necesario. Enlace el perfil WLAN al perfil de política deseado.
CLI: # config t # wireless tag policy <policy-tag-name> # wlan <profile-name> policy <policy-profile-name> Asignación de etiqueta de política Asigne la etiqueta de política a los AP necesarios. GUI:...
Página 14
Para asignar la etiqueta a un AP, navegue hasta Configuration > Wireless > Access Points > AP Name > General Tags, asigne la etiqueta de política relevante y luego haga clic en Update & Apply to Device . Nota: Tenga en cuenta que cuando se cambia la etiqueta de política en un AP, deja su asociación al WLC 9800 y se unirá.
Página 15
Seleccione los AP a los que desea asignar la etiqueta y haga clic en + Tag AP...
Seleccione las etiquetas aplicables para la política, el sitio y el RF y haga clic en Guardar y aplicar al dispositivo CLI: # config t # ap <ethernet-mac-addr> # policy-tag <policy-tag-name> # end Configuración de ISE Declarar WLC en ISE Paso 1.
Página 17
Paso 2. Introduzca los valores. Opcionalmente, puede ser un nombre de modelo especificado, versión de software, descripción y asignar grupos de dispositivos de red basados en tipos de dispositivos, ubicación o WLC. a.b.c.d corresponde a la interfaz del WLC que envía la autenticación solicitada. De forma predeterminada, es la interfaz de administración como se muestra en la imagen.
Página 18
Para obtener más información sobre Grupos de dispositivos de red, revise este enlace: ISE: grupos de dispositivos de red Crear nuevo usuario en ISE...
Página 19
Paso 1. Vaya aAdministration > Identity Management > Identities > Users > Add como se muestra en la imagen. Paso 2. Introduzca la información. En este ejemplo, este usuario pertenece a un grupo denominado ALL_ACCOUNTS, pero se puede ajustar según sea necesario, como se muestra en la imagen.
Página 20
Crear regla de autenticación Las reglas de autenticación se utilizan para verificar si las credenciales de los usuarios son correctas (verifique si el usuario es realmente quien dice ser) y limitar los métodos de autenticación que puede utilizar.
Página 21
Paso 1. Vaya aPolicy >Authenticationtal como se muestra en la imagen. Paso 2. Inserte una nueva regla de autenticación como se muestra en la imagen. Paso 3. Introduzca los valores. Esta regla de autenticación permite todos los protocolos enumerados en la lista Acceso a la Red Predeterminado, esto se aplica a lasolicitud de autenticación para la conexión inalámbrica 802 .1 xclientsandwithCalled-Station- IDandendswithise-ssid como se muestra en la imagen.
Página 22
Una vez terminado, haga clic en DoneandSave como se muestra en la imagen. Para obtener más información sobre las políticas de permisos de protocolos, consulte este enlace: Servicio de protocolos permitidos Para obtener más información sobre las fuentes de identidad, consulte este enlace: Crear un grupo de identidad de usuario Crear perfil de autorización El perfil de autorización determina si el cliente tiene acceso o no a la red, presione Listas de...
Página 23
Paso 2. Agregue un nuevo perfil de autorización. Vaya aAuthorization > Authorization Profiles > Add como se muestra en la imagen. Paso 3. Introduzca los valores como se muestra en la imagen. Aquí podemos devolver atributos de invalidación AAA como VLAN como ejemplo. El WLC 9800 acepta los atributos de túnel 64,65,81 mediante el nombre o ID de VLAN, y también acepta el uso del atributo AirSpace- Interface-Name.