peap、ise 2.1 および wlc 8.3 で 802.1x 認証を設 …...peap、ise 2.1 および wlc 8.3 で...
TRANSCRIPT
![Page 1: PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証を設 …...PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証 を設定して下さい 目次 はじめに 前提条件 要件 使用するコンポーネント](https://reader034.vdocuments.site/reader034/viewer/2022050506/5f978bc5fc5ec61a6d106ce4/html5/thumbnails/1.jpg)
PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証を設定して下さい 目次
はじめに前提条件要件使用するコンポーネント設定ネットワーク図設定WLC の RADIUSサーバを指定して下さいSSID を作成して下さいISE の WLC を宣言して下さいISE の新しいユーザを作成して下さい認証ルールを作成して下さい許可 プロファイルを作成して下さい承認規則を作成して下さいエンド デバイスの設定エンド デバイスの設定 - ISE 自己署名証明書のインストールエンド デバイスの設定:WLAN プロファイルの作成確認WCL での認証プロセスISE の認証プロセストラブルシューティング
概要
これは記述します Extensible Authentication Protocol(EAP)として Protected ExtensibleAuthentication Protocol (PEAP)の 802.1X セキュリティおよび Virtual Local Area Network(VLAN; バーチャル LAN)オーバーライドとの Wireless Local Area Network (WLAN)を設定する方法を文書化します。
前提条件
要件
次の項目に関する知識が推奨されます。
802.1X●
PEAP●
認証局(CA)●
証明書●
![Page 2: PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証を設 …...PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証 を設定して下さい 目次 はじめに 前提条件 要件 使用するコンポーネント](https://reader034.vdocuments.site/reader034/viewer/2022050506/5f978bc5fc5ec61a6d106ce4/html5/thumbnails/2.jpg)
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
WLC v8.3.102.0●
識別サービス エンジン(ISE) v2.1●
Windows 10 ラップトップ ●
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。
設定
ネットワーク図
設定
一般的な手順は以下のとおりです。
通信を互いに許可するために WLC の RADIUSサーバをまたその逆にも指定して下さい。1.WLC のサービス セット ID(SSID)を作成して下さい。2.ISE の認証ルールを作成して下さい。3.
![Page 3: PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証を設 …...PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証 を設定して下さい 目次 はじめに 前提条件 要件 使用するコンポーネント](https://reader034.vdocuments.site/reader034/viewer/2022050506/5f978bc5fc5ec61a6d106ce4/html5/thumbnails/3.jpg)
ISE の許可 プロファイルを作成して下さい。4.ISE の承認規則を作成して下さい。5.エンドポイントを設定して下さい。6.
WLC の RADIUSサーバを指定して下さい
RADIUSサーバと WLC 間の通信を許可するために、それは必要 WLC の RADIUSサーバをまたその逆にも登録するためにです。
GUI:
ステップ 1. WLC の GUI を開き、セキュリティ > RADIUS > 認証に > イメージに示すように新しいナビゲートして下さい。
ステップ 2.イメージに示すように RADIUSサーバ 情報を入力して下さい。
CLI:
> config radius auth add <index> <a.b.c.d> 1812 ascii <shared-key>
> config radius auth disable <index>
> config radius auth retransmit-timeout <index> <timeout-seconds>
> config radius auth enable <index>
<a.b.c.d> は、RADIUS サーバに対応しています。
![Page 4: PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証を設 …...PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証 を設定して下さい 目次 はじめに 前提条件 要件 使用するコンポーネント](https://reader034.vdocuments.site/reader034/viewer/2022050506/5f978bc5fc5ec61a6d106ce4/html5/thumbnails/4.jpg)
SSID を作成して下さい
GUI:
ステップ 1. WLC および移動の GUI をに WLAN > 作成します新しい > 行きますイメージに示すように開いて下さい。
ステップ 2. SSID およびプロファイルの名前を選択し、そしてイメージに示すように『Apply』をクリック して下さい。
CLI:
> config wlan create <id> <profile-name> <ssid-name>
ステップ 3:WLAN に RADIUS サーバを割り当てます。
CLI:
> config wlan radius_server auth add <wlan-id> <radius-index>
GUI:
セキュリティ > AAA サーバにナビゲートし、望ましい RADIUSサーバを選択して下さい、そしてヒットはイメージに示すように適用します。
![Page 5: PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証を設 …...PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証 を設定して下さい 目次 はじめに 前提条件 要件 使用するコンポーネント](https://reader034.vdocuments.site/reader034/viewer/2022050506/5f978bc5fc5ec61a6d106ce4/html5/thumbnails/5.jpg)
ステップ 4.割り当て AAA オーバーライドを有効に し、オプションでセッション タイムアウトを高めて下さい
CLI:
> config wlan aaa-override enable <wlan-id>
>config wlan session-timeout <wlan-id> <session-timeout-seconds>
GUI:
に WLAN > WLAN ID > 進め、有効に しましたり割り当て AAA オーバーライドを、イメージに示すようにオプションで規定 します セッション タイムアウトをナビゲートして下さい。
![Page 6: PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証を設 …...PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証 を設定して下さい 目次 はじめに 前提条件 要件 使用するコンポーネント](https://reader034.vdocuments.site/reader034/viewer/2022050506/5f978bc5fc5ec61a6d106ce4/html5/thumbnails/6.jpg)
ステップ 5. WLAN を有効に して下さい。
CLI:
> config wlan enable <wlan-id>
GUI:
に WLAN > WLAN ID > 一般ナビゲートし、イメージに示すように SSID を有効に して下さい。
![Page 7: PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証を設 …...PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証 を設定して下さい 目次 はじめに 前提条件 要件 使用するコンポーネント](https://reader034.vdocuments.site/reader034/viewer/2022050506/5f978bc5fc5ec61a6d106ce4/html5/thumbnails/7.jpg)
ISE の WLC を宣言して下さい
ステップ 1.イメージに示すように Administration > ネットワーク リソース > ネットワーク デバイス > Add への開いた ISE コンソールおよび移動。
ステップ 2.値を入力して下さい。
任意で、それは指定されたモデル名前、ソフトウェア バージョン、説明でおよび装置タイプ、場所または WLCs に基づいてネットワーク デバイス グループを割り当てることができます。
a.b.c.d は要求される認証を送信 する WLC のインターフェイスに対応します。 デフォルトでそれはイメージに示すように管理インターフェイスです。
![Page 8: PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証を設 …...PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証 を設定して下さい 目次 はじめに 前提条件 要件 使用するコンポーネント](https://reader034.vdocuments.site/reader034/viewer/2022050506/5f978bc5fc5ec61a6d106ce4/html5/thumbnails/8.jpg)
ネットワーク デバイス グループに関する詳細については以下のリンクを参照してください。
ISE - ネットワーク デバイス グループ
ISE の新しいユーザを作成して下さい
![Page 9: PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証を設 …...PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証 を設定して下さい 目次 はじめに 前提条件 要件 使用するコンポーネント](https://reader034.vdocuments.site/reader034/viewer/2022050506/5f978bc5fc5ec61a6d106ce4/html5/thumbnails/9.jpg)
ステップ 1.イメージに示すように Administration > アイデンティティ管理 > 識別 > Users に >Add ナビゲートして下さい。
ステップ 2:情報を入力します。
この例では、このユーザは ALL_ACCOUNTS と呼ばれるグループに属しますイメージに示すように必要に応じて調節することができます。
![Page 10: PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証を設 …...PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証 を設定して下さい 目次 はじめに 前提条件 要件 使用するコンポーネント](https://reader034.vdocuments.site/reader034/viewer/2022050506/5f978bc5fc5ec61a6d106ce4/html5/thumbnails/10.jpg)
認証ルールを作成して下さい
認証ルールがユーザが実際にだれ言うかであるかどうかユーザの資格情報が右(確認しなさいことを)それによって使用することができる認証方式を制限するためにあることをであるかどうか
![Page 11: PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証を設 …...PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証 を設定して下さい 目次 はじめに 前提条件 要件 使用するコンポーネント](https://reader034.vdocuments.site/reader034/viewer/2022050506/5f978bc5fc5ec61a6d106ce4/html5/thumbnails/11.jpg)
確認するのに使用され。
ステップ 1.イメージに示すようにポリシー > 認証にナビゲートして下さい。
ステップ 2.イメージに示すように新しい認証ルールを追加して下さい。
ステップ 3.値を入力して下さい。
この認証ルールはデフォルトネットワーク アクセス リストの下にリストされているすべてのプロトコルを割り当てますこれはワイヤレス 802.1X クライアントのためのおよびイメージに示すように ise-ssid が付いている呼出ステーション ID および端との認証要求に適用します。
また、この認証ルールと一致するクライアントにおける識別出典を選択して下さい。 この例はイメージに示すように内部 ユーザ識別ソースリストを使用します。
![Page 12: PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証を設 …...PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証 を設定して下さい 目次 はじめに 前提条件 要件 使用するコンポーネント](https://reader034.vdocuments.site/reader034/viewer/2022050506/5f978bc5fc5ec61a6d106ce4/html5/thumbnails/12.jpg)
終えられる、イメージに示すように『Done』 をクリック し、保存して下さい。
許可されるプロトコルのポリシーに関する詳細については以下のリンクを参照してください。
許可されるプロトコル サービス(Allowed Protocols Service)
アイデンティティ ソースに関する詳細については以下のリンクを参照してください。
ユーザ ID グループの作成
許可 プロファイルを作成して下さい
許可 プロファイルはクライアントはネットワーク、プッシュ アクセス コントロール リスト(ACL)、VLAN オーバーライドまたは他のどのパラメータにアクセスできたかどうか確認します。 この例で示されている許可 プロファイルはクライアントのためにアクセスを受け入れ、VLAN 2404 に割り当てますクライアントを送信 します。
ステップ 1.イメージに示すようにポリシー > ポリシー要素 > 結果にナビゲートして下さい。
![Page 13: PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証を設 …...PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証 を設定して下さい 目次 はじめに 前提条件 要件 使用するコンポーネント](https://reader034.vdocuments.site/reader034/viewer/2022050506/5f978bc5fc5ec61a6d106ce4/html5/thumbnails/13.jpg)
ステップ 2.新しい許可 プロファイルを追加して下さい。 イメージに示すように許可 > 許可プロファイル > Add にナビゲートして下さい。
ステップ 3.イメージに示すように値を入力して下さい。
![Page 14: PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証を設 …...PEAP、ISE 2.1 および WLC 8.3 で 802.1X 認証 を設定して下さい 目次 はじめに 前提条件 要件 使用するコンポーネント](https://reader034.vdocuments.site/reader034/viewer/2022050506/5f978bc5fc5ec61a6d106ce4/html5/thumbnails/14.jpg)