Upload
others
View
84
Download
0
Embed Size (px)
Citation preview
シスコシステムズ合同会社
2020年7月
Cisco Catalyst 9800 シリーズワイヤレスコントローラ
Cisco ISEではじめる無線LAN構築設定ガイド
2© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• 2020年7月 初版公開
更新履歴
3© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• 本ガイドは、Cisco Catalyst 9800 Series Wireless Controller (以下C9800またはWLC) 、Cisco Identity Services Engine (以下ISE)により 802.1x 無線 LAN を構築する手順を解説します
• 本ガイドでは C9800 と ISE は仮想版のソフトウェアをダウンロードする作業から順を追って、無線LAN評価作業を開始できる環境を構築する、簡易的手順書とすることを目的としています
内容に関する保証について
• 本ガイドは、2020年7月時点の情報に基づいており、記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。
• シスコは、本ガイドに関して、その正確性又は完全性について一切の責任を負いません
• シスコは、本ガイドが十分な品質を有すること、特定の目的に対する適合性を有すること、又は第三者の知的財産権、プライバシー権等その他の一切の権利に対する侵害がないことを、明示にも黙示にも表明又は保証しません
はじめに
4© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• シスコ パートナー様向け資料一覧ページ • SalesConnect
• https://salesconnect.cisco.com/
最新の資料の所在
https://www.cisco.com/c/m/ja_jp/partners/documents.html
環境説明
6© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• 無線LANコントローラ
• Cisco Catalyst 9800-CL (C9800-CL-K9)
• Cisco IOS XE 17.2.1a
• 無線アクセスポイント• Cisco Aironet 1852i
• 認証サーバ(ポリシーサービスエンジン)
• Cisco Identity Services Engine (ISE)
• ソフトウェアバージョン: 2.7 パッチ 2
• VMware vCenter 6.0
• テスト用PC端末• OS: Windows 10
• テスト用サーバ件ISE管理アクセス (Win2k)• OS: Windows 2016
• DGW には DHPC IPヘルパーアドレスの設定がしてあり、DHCP Discover は Win2kに伝達される
• 図の他にNTPサーバやDNSサーバ、TFTPサーバ等が存在する
環境説明
ISE
DHCPWWW
.200 .210
管理用ネットワーク 10.71.0.0/16
C9800等 GUIアクセス用
VM(Win10)USB無線子機
.220
.165
DHCP
C9800
AP
vmnic 4 Trunk(vlan101,111)
vlan101
VLAN101 内部ネットワーク172.16.1.0/24
vmnic0VM Network
Win2k
DGW
User VLANVLAN111 192.168.111.0/24(DHCP)
インターネット
Trunk(vlan101,111)
G1
G2
7© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• ISE and Catalyst 9800 Series Integration Guide
• https://community.cisco.com/t5/security-documents/ise-and-catalyst-9800-series-integration-guide/ta-p/3753060
参考情報
8© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
ISEのダウンロードとインストール
ISE
DHCPWWW
.200 .210
管理用ネットワーク 10.71.0.0/16
C9800等 GUIアクセス用
VM(Win10)USB無線子機
.220
.165
DHCP
C9800
AP
vmnic 4 Trunk(vlan101,111)
vlan101
VLAN101 内部ネットワーク172.16.1.0/24
vmnic0VM Network
Win2k
DGW
User VLANVLAN111 192.168.111.0/24(DHCP)
インターネット
Trunk(vlan101,111)
G1
G2
9© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• https://software.cisco.com/にアクセス、「ソフトウェア ダウンロード」 > テキストフィールドに”Identity”と入力し Identity Services Engine Softwareを選択する。
• 本ガイドでは2.7.0を選択。ISE 2.7 OVA file - 300GB disk for Eval, Small, Medium (Recommend for Evaluation, PSN or PxGrid).をダウンロード
ソフトウェアダウンロード(ISE)
10© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• vSphere Web ClientでOVFテンプレートのデプロイから先ほどダウンロードしたOVAファイルを選択し次へを押し進む。
ISEのインストール
11© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• 仮想マシン名前を決め「次へ」、設定の選択肢としては今回はEvalを選択し「次へ」
ISEのインストール
12© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• ディスクフォーマットは今回は検証用としてシンプロビジョニングを選択する
※商用環境では、より高い性能を期待できるシックプロビジョニングの選択が望ましい
ISEのインストール
13© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
ISEのインストール
• ネットワークを選択して「次へ」
• 設定を確認して完了すると、しばらくしてデプロイが完了する
14© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• 起動したISEのコンソールのログイン画面で“setup”と入力し、セットアップを始める
• 環境に合わせ適宜入力する
• 参考として本環境では以下のパラメータとしている
ISEのインストール
ホスト名 Ise-virtual
IPアドレス 172.16.1.210
ネットマスク 255.255.255.0
デフォルトゲートウェイ 172.16.1.1
IPv6 無効
DNSドメイン secvt-jp.com
プライマリネームサーバ 172.16.2.101
セカンダリネームサーバ 172.16.2.102
NTPサーバ ntp.nict.jp
管理ユーザ名 admin
15© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
ISEのインストール
• しばらく待ってGUIで設定したIPアドレスにアクセスするとログイン画面が表示される
• ISEの自己署名の証明書が提示されるためエラーが出るので、クライアント側で証明書を信頼するなど対処をするか、ここでは一旦このまま進んでログインする
16© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
ISEのインストール
Provide laterとしてNext
プリインストールされたデモライセンスで90日利用可能
17© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• 内部ネットワークのWin2KからISEにブラウザでアクセスしログイン
• ログインクレデンシャルはセットアップ時に作成したもの
ISEへアクセス
18© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• software.cisco.comから最新のパッチをダウンロードしAdministration > System > Maintenance > Patch Managementで適用
ISEへのパッチ適用
19© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• 管理者アクセスのパスワード有効期限がでデフォルトで45日となっているため、適宜チェックを外して無効にしたり期限を延ばす等の調整をする
ISEのパスワードライフタイムの設定
20© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
C9800のダウンロードとインストール
ISE
DHCPWWW
.200 .210
管理用ネットワーク 10.71.0.0/16
C9800等 GUIアクセス用
VM(Win10)USB無線子機
.220
.165
DHCP
C9800
AP
vmnic 4 Trunk(vlan101,111)
vlan101
VLAN101 内部ネットワーク172.16.1.0/24
vmnic0VM Network
Win2k
DGW
User VLANVLAN111 192.168.111.0/24(DHCP)
インターネット
Trunk(vlan101,111)
G1
G2
21© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• https://software.cisco.com/にアクセス、「ソフトウェア ダウンロード」 > テキストフィールドに”9800”と入力し Catalyst 9800-CL Wireless Controller for Cloud を選択し、IOS XE Software を選択し進。
• 本ガイドでは 17.2.1aの OVA版を選択
ソフトウェアダウンロード(C9800)
22© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
OVF テンプレートのデプロイ
• ESXiサーバでデプロイするホストを選び ダウンロードしたイメージを選択し次へ
23© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
OVF テンプレートのデプロイ
• 詳細を確認し次へ• 適宜仮想マシンに名前を付け次へ• 小規模環境のため、デプロイ設定として 1K Aps, 10K Clients を選択し次へ
24© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
OVF テンプレートのデプロイ
• シックプロビジョニング (Lazy Zeroed) を選択し次へ• GigabitEthernet2 としてVLAN type を VLAN Trunkingに設定した Port Group を設定選択し次へ
25© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
OVF テンプレートのデプロイ
• ホスト名を付け、Enable パスワードを設定• GUI アクセスをする管理インタフェースとして GigabitEthernet1を選びIP アドレスやデフォルトゲートウェイを設定する• ユーザ名とパスワードを設定する
26© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
OVF テンプレートのデプロイ
• 設定を確認して完了
27© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
C9800に GUI アクセス
※日本語GUIは一部設定入力時に問題が起こるケースがあるため英語を選択
• ブラウザで C9800 にアクセス。証明書エラーが出るので適宜これを信頼する設定をするか、一旦先に進む。
28© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
セットアップウィザード
• Deployment Model を Standalone に、Country を適宜選択(ここでは日本/J4)、環境の NTP サーバの IP アドレスを入力し+マークのボタンを押し設定。AAA サーバは後で設定するのでここでは未入力のままとする。
• 無線管理インタフェースを GigabitEthernet2とし VLAN、IP アドレス、デフォルトゲートウェイ、DHCP サーバの IP アドレスを入力し次へ
29© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
セットアップウィザード
• ワイヤレスの設定はウィザード終了後に設定するのでここでは何もせずに Next
• Advanced Settings も特に設定は変えず AP Certificate のパスワードを適宜設定し Summary へ
30© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
セットアップウィザード
• 設定を確認したら Finish ボタンで次へ• ログインしなおしを案内する表示が出るので Yes で進む
31© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
C9800 の設定
ISE
DHCPWWW
.200 .210
管理用ネットワーク 10.71.0.0/16
C9800等 GUIアクセス用
VM(Win10)USB無線子機
.220
.165
DHCP
C9800
AP
vmnic 4 Trunk(vlan101,111)
vlan101
VLAN101 内部ネットワーク172.16.1.0/24
vmnic0VM Network
Win2k
DGW
User VLANVLAN111 192.168.111.0/24(DHCP)
インターネット
Trunk(vlan101,111)
G1
G2
32© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
C9800 のダッシュボード
33© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Configuration > Security > AAA
• Configuration > Security > AAAに + AAA Wizard ボタンをクリック• 右の図のように環境中の ISEの名前を適当につけ、ISE の IP アドレスと ISEに設定するキー(後でISEにも入力する)を入力して Next
34© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
AAAの設定
• AAA サーバグループに名前を入力し、 Available Servers で先ほど設定した ISE をアサインし次へ• Authentication のタブで Type を dot1x、 Group Type を groupにし、Available Server Groups から先ほど設定したISE-
GROUPを選択する
35© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
AAAの設定
• Authorization のタブで Type を network、 Group Type を groupにし、Available Server Groups から先ほど設定したISE-
GROUPを選択する• Accounting にチェックを入れ、Method List Name を default、Type を Identity とし、Available Server Groupsから先ほど設定した ISE-GROUPを選択し、Apply to Device をクリック
36© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Configuration > Interface > Ethernet
• Configuration > Interface > Ethernet から Allowed Vlan で All を選んで Update & Apply to Device ボタンを押し反映
37© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Configuration > Layer 2 > VLAN > VLAN
• Configuration > Layer2 > VLAN から VLANのタブを選び Addボタン、ユーザVLANを作成する• ここでは User VLAN となる VLAN ID 111 として上のイメージのように設定し Apply to Device ボタンで戻る
38© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Configuration > Tags & Profiles > WLANs
• Configuration > Tags & Profiles > WLANs から WLANを作成• プロファイル名/SSID を ここではISE-SECURE とし Status を ENABLEDへ• Security > Layer2 に移動しイメージのように設定、AAAに移動し Authentication Listを選択し Apply to Deviceで戻る
39© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Configuration > Tags & Profiles > Policy
• Configuration > Tags & Profiles > Policyに移動し Addボタンを押し、ポリシー名を User とし Status を ENABLEDに• Access Policies タブに移動し画面のように設定する• Advanced タブに移動し画面をスクロールダウンし AAA Policyの設定項目を上のように設定し Apply to Device で戻る
40© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Configuration > Tags & Profiles > Tags
• Configuration > Tags & Profiles > Tags へ移動し + Add をクリック• タグ名をここでは ISE-Enabled-tag とし 下の WLAN-POLICY Maps にて + Add をクリック• WLAN Profile を 先ほど設定した ISE-SECURE にし Policy Profile で User を選択し ✓ を押す• Apply to Device で戻る
41© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Configuration > Wireless > Access Points
• (オプション) Configuration > Wireless > Access Pointsへ移動し、下のリンクを参考に環境の無線アクセスポイント (AP)
の Country Codeにチェックを入れ Apply+ Add をクリック。APがジョインするのを確認する。• AP 名をクリックし立ち上がってきた画面の Tags の項目内の Policy を、先ほど設定した ISE-Enabled-tag にタグに選び変え Update & Apply to Device で戻る
https://www.cisco.com/c/dam/assets/prod/wireless/wireless-compliance-tool/index.html#wp9005314
Wireless LAN Compliance Lookup
42© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
設定の確認
43© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
ISE の設定
ISE
DHCPWWW
.200 .210
管理用ネットワーク 10.71.0.0/16
C9800等 GUIアクセス用
VM(Win10)USB無線子機
.220
.165
DHCP
C9800
AP
vmnic 4 Trunk(vlan101,111)
vlan101
VLAN101 内部ネットワーク172.16.1.0/24
vmnic0VM Network
Win2k
DGW
User VLANVLAN111 192.168.111.0/24(DHCP)
インターネット
Trunk(vlan101,111)
G1
G2
44© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Administration > Network Resources > Network Devices
• ISEにログインし Administration > Network Resources > Network Devices に進み +Add をクリック• 例として上のように設定していき C9800の IPアドレスを入力、Device Types に WLC などと入力し Save
• Device Type は今作成した WLC に合わせる
45© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
Administration > Network Resources > Network Devices
• そのままスクロールダウンし RADIUS Authentication Settingsの横のチェックボックスに✓を入れる• WLC のAAAのウィザードで自身で決めて設定した キー を入力し Submit
46© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• 認証が成功したユーザに与えるネットワークアクセスを認可プロファイル (Authorization Profiles)として定義する。この機能を用いると、ユーザのセッションに適用すべきACLを指定できる。WLC自体に事前にACLを定義し認可として適用すべきACL名をWLCに指定することで、ユーザにACLを適用することができる。あるいはACL名だけでなくACE(エントリー)も含めたDownloadable ACL(dACL)をISEに中央集中的に設定し、これをWLCにダウンロードさせることで適用することもできる。
• ここでは無線/有線ユーザ用にまずdACLを定義し、認可プロファイルに割り当てる
• Policy > Policy Elements > Results > Authorization > Downloadable ACLs に進み右ペインで Add ボタンを押し、新しいdACLを記述する(ISEの IPと管理ネットワークへのアクセスをブロックするエントリーとした)
認可ポリシーの追加
47© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• 左メニューでAuthorization Profilesに移動し Add ボタンをクリック
• dACL Nameで先ほど定義したdACLを選択する
• 画面下までスクロールして Submitをクリック
Authorization Profile
48© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Administration > Identity Management > Identities > Users でユーザを作成する。
• User GroupsはEmployee
• Submitを押し保存
ISE: 無線LAN に接続するユーザの追加
49© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• 今回はDefaultのポリシーセットを利用し以下のようなポリシーを作成する
• SSIDが ISE-SECURE を含む認証にのみ適用
• EAP-PEAP による認証のみ許可
• ISEのローカルユーザデータベースでの認証を行う
• この条件のユーザは dACL CAMPUS-ISE-LOCAL-USERSによる制限付きアクセスを付与する
• Policy > Policy Setsへ移動し、Default ポリシーセットの右にある > マークで進む
ISE: 認証・認可のポリシーの設定
50© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• 表示された画面で Authorization Policy までスクロールダウンし、ひな型となるルールがいくつか存在することを確認する
• 適当な行で Actions の列の歯車アイコンを押し Insert new row above をクリックし表示されたルールの Rule Name に適宜名前を付ける
• 今回はSECURE-SSID for ISE Local Employee と入力した
ISE: 認証・認可のポリシーの設定
51© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Conditions の列の+マークを押す
• EditorでClick to add an attributeの マークをクリックし Radius から Called-Station-ID を選択
• 以下のように “Contains” “ISE-SECURE” とする
ISE: 認証・認可のポリシーの設定
52© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• 下の New を押し、IdentityGroup Equals User Identity Groups: Employee を選択しUseをクリック
ISE: 認証・認可のポリシーの設定
53© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Resultsの Profiles で先に作っておいた dACLと紐づけられた CAMPUS-ISE-LOCAL-USERSを選択する
• 画面下までスクロールダウンして Save
ISE: 認証・認可のポリシーの設定
接続確認
56© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• 仮想端末 (Win10b)で SSID に ISE に作成したユーザで接続する
• dACLに設定した通り Web サーバには接続できるが ISE には接続できないことを確認
接続試験
Win2k ISE
57© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public
• RADIUS ログを確認
ISEのログを確認