Upload
cisco-russia
View
559
Download
3
Embed Size (px)
Citation preview
Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводного доступа и web-аутентификации. Irina Ilyina-Sidorova
CSE, Cisco TAC Brussels
July, 2014
2 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Support Community – Expert Series Webcast
Сегодня на семинаре Эксперт Cisco TAC Ирина Ильина-Сидорова рассмотрит базовые настройки для организации беспроводного доступ на контроллерах нового поколения
(3850, 5760, и пр.)
Ирина Ильина-Сидорова
Инженер центра
технической поддержки
Cisco TAC в Брюсселе
3 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Технические Эксперты
Тема: Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводного доступа и web-аутентификации
Дата проведения вебинара: 8 июля 2014 года
Роман Манчур
Инженер центра
технической поддержки
Cisco TAC в Брюселле
4 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Спасибо, что посетили наш вебинар сегодня
Сегодняшняя презентация включает опросы аудитории
Пожалуйста, участвуйте!
5 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Спасибо, что присоединились к нам сегодня Скачать презентацию Вы можете по ссылке: https://supportforums.cisco.com/ru/document/12250706
Присылайте Ваши вопросы!
Используйте панель Q&A, чтобы задать вопрос. Наши эксперты ответят на них.
7 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Вопрос №1
Применяете ли вы сейчас устройства NGWC?
a) Нет, не используем это оборудование в принципе
b) Планируем использовать, но пока не применяем
c) Используем исключительно как коммутатор
d) Уже используем или ближайшее время планируется внедрение беспроводной функциональности
8 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Support Community – Expert Series Webcast
Ирина Ильина-Сидорова
Инженер центра технической поддержки Cisco TAC в Брюсселе
Июль, 2014
Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводного доступа и web-аутентификации.
9 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Что такое NGWC
Базовая настройка беспроводного доступа
Web-аутентификация
Локальная
Локальная с использованием внешнего RADIUS
Локальная с использованием AD/LDAP
Централизованная – RADIUS (Cisco ISE)
Содержание
10 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Next Generation Wiring Closet
Next Generation Wireless Controller
Гибрид беспроводного контроллера и проводного коммутатора
5760, 3850, 3650
IOS-XE
Последние версии 3.3.0 и 3.6.0
Лицензирование подключений – right-to-use (RTU) license
Мобильные группы
HA (резервирование)
Что такое NGWC
11 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Mobility
Layer 2 и 3 VLAN
DHCP
Подсоединение AP
WLAN
Security
Базовая настройка NGWC
12 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Непосредственно к портам NGWC (для 3850)
access port, не trunk port c native VLAN (VLAN=wireless mgmt VLAN)
Страна (country code) должна совпадать
PoE – лучше настроить в явном виде
Активация лицензии:
license right-to-use activate apcount <count> slot <#> acceptEULA
Проверка подсоединения точек доступа:
show ap summary
Не поддерживаются модели 1130, 1240, 1250
Локальный режим работы точек доступа
Как обычно, важно точное время
Подключение точек доступа
13 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Management interface VLAN (управляющий интерфейс контроллера)
IP этого VLAN’а служит для терминации CAPWAP-туннелей от точек доступа
На канале upstream необходимо разрешить в trunk’е:
Управляющий VLAN
Клиентский VLAN
Для DHCP добавляем:
ip dhcp relay information trusted
ip dhcp snooping trust
MA (мобильный агент) использует лицензии, активированные на MC (мобильном контроллере)
Точка доступа не может присоединиться к мобильному агенту, который не имеет связи с мобильным контроллером
Беспроводные службы на 3850 требуют ipservices или ipbase license
Базовая настройка
14 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
По умолчанию:
WPA 2 AES 802.1x
Client exclusion 60
Session timeout 1800
Настройка WLAN
Пример: Test-PSK WLAN,
VLAN21, используем WPA 1 TKIP
15 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Новая концепция мобильных групп
Новые термины:
Мобильный агент (MA)
Мобильный контроллер (MC)
Мобильный оракул (MO)
С их помощью мы создаём:
Peer Groups
Sub-Domains
Mobility Groups
Mobility Domains
Организация Mobility
UDP Port 16666 – Трафик управления
UDP Port 16667 – Клиентский трафик
упакован в CAPWAP
UDP Port 16668 – для связи с MO
16 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Новые термины: PoP и PoA
Point of Presense - это anchor WLC
Point of Attachment – это foreign WLC
Поскольку лицензии применяются на MC, мобильные группы лучше конфигурировать до начала развёртывания беспроводной сети
Просмотр имеющейся конфигурации:
Show run | in wireless
Show wireless mobility summary
Настройка на мобильном контроллере:
wireless management interface vlan 100
Wireless mobility controller
Wireless mobility controller peer-group ИМЯ_ГРУППЫ
Wireless mobility controller peer-group ИМЯ_ГРУППЫ member ip MGMT_IP_АГЕНТА
Настройка на мобильном агенте:
wireless mobility controller ip 192.168.100.16
Mobility - продолжение
17 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Настройка мобильных групп проводится на MC:
Создаем группу:
Wireless mobilty group name <name>
Определяем её членов:
Wireless mobility group member ip <mgmt ip> group <group name>
Для траблшутинга:
Сбои в Data and Control path
Debug mobility keep-alive
Сбои в роуминге
Debug mobility handoff
Фильтрация по конкретному контроллеру
Debug mobility peer=ip w.x.y.z
Mobility - окончание
18 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Вопрос №2
Какая веб-аутентификация наиболее востребована в вашей компании?
a) Локальная аутентификация
b) Централизованная с использованием Cisco ISE
c) Централизованная с использованием AD/LDAP/RADIUS
d) Функциональность не востребована
19 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
В случае локальной базы данных пользователей
C использованием графического интерфейса
Конфигурируем Global Parameter Map (определяем virtual ip address)
Configuration > Security > Web Auth > Webauth Parameter Map
Локальная аутентификация (LWA)
20 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Вначале необходимо настроить виртуальный IP адрес
Локальная аутентификация (LWA) - 2
21 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Вводим виртуальный IP
Локальная аутентификация (LWA) - 3
22 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Затем создаём новый parameter-map с типом webauth
Локальная аутентификация (LWA) - 4
23 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Создаём лист методов аутентификации и авторизации
Локальная аутентификация (LWA) - 5
24 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Для авторизации создаем список типа «network» с типом группы «local»
Локальная аутентификация (LWA) - 6
25 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Ещё один лист понадобится для использования локальных пользователей для аутентификации:
Локальная аутентификация (LWA) - 7
26 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Результат конфигурирования:
Локальная аутентификация (LWA) - 8
27 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Теперь необходимо создать локальных пользователей
Локальная аутентификация (LWA) - 9
28 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Создаём WLAN
Задаем интерфейс, активируем WLAN
Отключаем Layer 2 Security
Включаем Web Policy в Security-> Layer 3 и указываем web-auth profile, webauth parameter map
Локальная аутентификация (LWA) - 10
29 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Пример успешно аутентифицированного пользователя:
Локальная аутентификация (LWA) - 11
30 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Вот те же настройки, выполняемые через командную строку:
AAA part
aaa authentication login local_webauth local
# authentication method list called ‘local_webauth’ set to group type ‘local’
aaa authorization network local_webauth local
# authorization method list called ‘local_webauth’ set to group type ‘local’
aaa authorization credential-download default local
# authorization method list for use of local credentials
Guest Users (local net users)
user-name USER_WEBAUTH
creation-time 1368715259
privilege 15
password 0 PASSWORD
type network-user description DESCRIPTION guest-user lifetime year 0 month 0 day 6 hour 23 minute 54 second 4
Локальная аутентификация (LWA) – CLI – 1
31 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Parameter-Map
parameter-map type webauth global
virtual-ip ipv4 172.16.16.16
# global parameter map is used to define the virtual ip address
parameter-map type webauth PARAMETER_MAP
type webauth
banner
# named parameter map (ex: vit_web) with type webauth
WLAN config
wlan WEBAUTH_WLAN 7 WEBAUTH_WLAN
client vlan WEBAUTH
no security wpa
no security wpa akm dot1x
no security wpa wpa2
no security wpa wpa2 ciphers aes
security web-auth # set the SSID to security ‘web-auth’
security web-auth authentication-list local_webauth # call the method list
security web-auth parameter-map PARAMETER_MAP # call the parameter map
session-timeout 1800
Локальная аутентификация (LWA) – CLI – 2
32 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Локальная аутентификация с использованием RADIUS
Единственное отличие заключается в использовании списка методов
аутентификации/авторизации, содержащего внешний RADIUS-сервер.
То есть необходимо создать новые authentication и authorization method list и
указать RADIUS server group
33 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
AAA part
aaa authentication login webauth_radius group ISE_Group
aaa authorization network webauth_radius group ISE_Group
aaa group server radius ISE_Group
server name ISE
radius server ISE
address ipv4 192.168.154.119 auth-port 1812 acct-port 1813
key ww-wireless
Parameter-Map
parameter-map type webauth global
virtual-ip ipv4 172.16.16.16
parameter-map type webauth PARAMETER_MAP
type webauth
banner
Локальная аутентификация с использованием RADIUS - CLI
34 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
WLAN config
wlan WEBAUTH 7 WEBAUTH
client vlan CLIENT_VLAN
no security wpa
no security wpa akm dot1x
no security wpa wpa2
no security wpa wpa2 ciphers aes
security web-auth
security web-auth authentication-list webauth_radius
security web-auth parameter-map vit_web
session-timeout 1800
Локальная аутентификация с использованием RADIUS – CLI - 2
35 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
В этом примере мы используем DC как LDAP сервер
Локальная аутентификация с использованием AD/LDAP
Далее создаём
группу и список
методов
аутентификации,
аналогично
примеру с RADIUS
36 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
WebAuth Parameter map настраивает идентично примеру с RADIUS
В свойствах WLAN выбираем новый профиль и метод аутентификации
Локальная аутентификация с использованием AD/LDAP - 2
37 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
ldap server myldap ipv4 X.X.X.X bind authenticate root-dn CN=HOSTNAME,OU=Subunit,OU=Unit,DC=xx,DC=yyy,DC=zzz password hello123 base-dn OU=Unit,DC=xx,DC=yyy,DC=zzz search-filter user-object-type person
aaa group server ldap myldap server myldap
aaa authentication login MyLDAPAuthentication group myldap
parameter-map type webauth global virtual-ip ipv4 3.3.3.3 banner text ^C TEST ^C
Локальная аутентификация с использованием AD/LDAP - CLI
38 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
parameter-map type webauth test_web type webauth banner text ^C Banner ^C
wlan CCPSecuredAccess 7 CCPSecuredAccess client vlan VLAN0906 no security wpa no security wpa akm dot1x no security wpa wpa2 no security wpa wpa2 ciphers aes security dot1x authentication-list MyLDAPAuthentication security web-auth security web-auth authentication-list MyLDAPAuthentication security web-auth parameter-map test_web
Локальная аутентификация с использованием AD/LDAP – CLI – 2
39 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Также, как и раньше, конфигурируем Global Parameter Map (и определяем virtual ip address)
Configuration > Security > Web Auth > Webauth Parameter Map
Добавляем ISE в качестве Radius-сервера и создаём RADIUS server group
Список методов аутентификации будет иметь тип dot1x
Список методов авторизации будет иметь тип network
Аутентификация с использованием RADIUS
40 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Adding RADIUS server
• Define RADIUS server(s)
• Create RADIUS group(s)
• Create Method list to call under the SSID
Аутентификация с использованием RADIUS-1
41 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Создаём список методов аутентификации
Аутентификация с использованием RADIUS-2
42 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Создаём список методов авторизации
Основная идея в том, чтобы в случае Wireless MAB, процесс авторизации обращался к ISE для авторизации неизвестных MAC-адресов
Аутентификация с использованием RADIUS-3
43 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
В Security>Layer-2 указываем mac-filter
В Security->Layer-3 указываем список методов аутентификации
В Advanced включаем AAA Override и NAC state
Аутентификация с использованием RADIUS-4
44 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
radius-server attribute 31 send nas-port-detail mac-only
# Send Client MACs
radius-server attribute 6 on-for-login-auth
# send service type
radius-server vsa send accounting
radius-server vsa send authentication
# Exchange VSA info
aaa server radius dynamic-author
# Allow CoA from RADIUS
client 192.168.154.119 server-key ww-wireless
auth-type any
Аутентификация с использованием RADIUS – CLI
45 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
URL Redirect ACL which is sent from ISE
Extended IP access list ACL-REDIRECT
deny udp any eq bootps any
deny udp any any eq bootpc
deny udp any eq bootpc any
# above 3 rules block DHCP
deny udp any any eq domain
deny tcp any any eq domain
# block DNS
deny ip any host 192.168.154.119 # block access to ISE server
deny ip any host 192.168.150.25 # block access to DHCP/DNS servers
permit tcp any any eq www # permit www and/or 443
Аутентификация с использованием RADIUS – CLI – 2
46 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
AAA configuration
aaa authorization network cwa_macfilter group ISE_Group
# Authorization Method list for mac filtering which points to ISE for Wireless MAB
aaa authentication login viten_cwa group ISE_Group
# Authentication method list which calls the RADIUS server group
radius server ISE
address ipv4 192.168.154.119 auth-port 1812 acct-port 1813
key ww-wireless
# Define RADIUS server
aaa group server radius ISE_Group
server name ISE
# Define RADIUS server group
Аутентификация с использованием RADIUS – CLI – 3
47 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
WLAN configuration
wlan Central_Webauth 7 viten_cwa
aaa-override # enable AAA override
client vlan Viten
mac-filtering cwa_macfilter # mac filter list pointing to radius server group
nac # enable radius nac
no security wpa
no security wpa akm dot1x
no security wpa wpa2
no security wpa wpa2 ciphers aes
security dot1x authentication-list viten_cwa # authentication method list
session-timeout 1800
no shutdown
Аутентификация с использованием RADIUS – CLI – 3
48 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
CAPWAP debugs for NGWC
Debug capwap ap event
Debug capwap ap error
AP debugs for NGWC
Debug capwap client events
Debug capwap client errors
Mobility
Debug mobility keep-alive
Debug mobility handoff
Debug mobility peer=ip w.x.y.z
WebAuth
Debug aaa authentication
Debug radius authentication
Debug client mac-address <mac>
Debug ip admissions [command family]
Show run aaa
Show run | section parameter
Show wireless client mac-address <mac> detail
Поиск и устранение неисправностей
49 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Вопрос №3
Возникают ли у вас вопросы по продуктам и технологиям беспроводного доступа Cisco?
a) Нет, я не использую Cisco wireless настолько, чтобы возникали вопросы
b) Нет, всё достаточно понятно и так
c) Да, я решаю их самостоятельно
d) Да, для решения я общаюсь на глобальном Cisco Support Forums
e) Да, общаюсь в российском сообществе Cisco Support Forums
f) Да, открываю кейс в Cisco TAC
Отправьте свой вопрос сейчас!
Используйте панель Q&A, чтобы задать вопрос. Эксперты ответят на Ваши вопросы.
Получить дополнительную информацию, а также задать вопросы эксперту в рамках данной темы Вы можете на странице, доступной по ссылке:
https://supportforums.cisco.com/community/russian/expert-corner
Вы можете получить видеозапись данного семинара и текст сессии Q&A в течении ближайших 5 дней по следующей ссылке
https://supportforums.cisco.com/community/russian/expert-corner/webcast
52 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
https://supportforms.cisco.com/community/russian
http://www.facebook.com/CiscoSupportCommunity
http://twitter.com/#!/cisco_support
http://www.youtube.com/user/ciscosupportchannel
https://plus.google.com/110418616513822966153?prsrc=3#110418616513822966
153/posts
http://itunes.apple.com/us/app/cisco-technical-support/id398104252?mt=8
https://play.google.com/store/apps/details?id=com.cisco.swtg_android
http://www.linkedin.com/groups/CSC-Cisco-Support-Community-3210019
Newsletter Subscription: https://tools.cisco.com/gdrp/coiga/showsurvey.do?surveyCode=589&keyCode=146298_2&PH
YSICAL%20FULFILLMENT%20Y/N=NO&SUBSCRIPTION%20CENTER=YES
53 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
• Испанском https://supportforums.cisco.com/community/spanish
• Португальском https://supportforums.cisco.com/community/portuguese
• Японском https://supportforums.cisco.com/community/csc-japan
Спасибо за Ваше время
Пожалуйста, участвуйте в опросе