Enlaces rápidos

Configuración de la autenticación 802.1x en
Catalyst 9800 Wireless Controller Series
Contenido
Introducción
prerrequisitos
Requisitos
Componentes Utilizados
Verificación
Troubleshoot
Introducción
Este documento describe cómo configurar una red de área local inalámbrica (WLAN) con
seguridad 802.1x en controladores inalámbricos Cisco Catalyst serie 9800 mediante interfaz
gráfica de usuario (GUI) o interfaz de línea de comandos (CLI).
prerrequisitos
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
802.1x
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y
hardware.
Serie de controladores inalámbricos Catalyst 9800 (Catalyst 9800-CL)
Cisco IOS-XE Gibraltar 16.10
La información que contiene este documento se creó a partir de los dispositivos en un ambiente
de laboratorio específico.Todos los dispositivos que se utilizan en este documento se pusieron en
Tabla de contenido
loading

Resumen de contenidos para Cisco Catalyst 9800 Serie

  • Página 1: Tabla De Contenido

    Verificación Troubleshoot Introducción Este documento describe cómo configurar una red de área local inalámbrica (WLAN) con seguridad 802.1x en controladores inalámbricos Cisco Catalyst serie 9800 mediante interfaz gráfica de usuario (GUI) o interfaz de línea de comandos (CLI). prerrequisitos Requisitos Cisco recomienda que tenga conocimiento sobre estos temas: 802.1x...
  • Página 2: Configurar

    funcionamiento con una configuración verificada (predeterminada).Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando. Configurar Diagrama de la red    Configuración Configuración AAA en 9800 WLC GUI: Paso 1. Declare el servidor RADIUS. Navegue hasta Configuration > Security > AAA > Servers / Groups >...
  • Página 3 Asegúrese de que la compatibilidad con CoA esté habilitada si piensa utilizar la autenticación Web central (o cualquier tipo de seguridad que requiera CoA) en el futuro.  Paso 2. Agregue el servidor RADIUS a un grupo RADIUS. Vaya a Configuration > Security > AAA >...
  • Página 4 Paso 3. Cree una lista de métodos de autenticación. Vaya a Configuration > Security > AAA > AAA Method List > Authentication > + Add Introduzca la información: ...
  • Página 5: Configuración Del Perfil Wlan

    CLI: # config t # aaa new-model # radius server <radius-server-name> # address ipv4 <radius-server-ip> auth-port 1812 acct-port 1813 # timeout 300 # retransmit 3 # key <shared-key> # exit # aaa group server radius <radius-grp-name> # server name <radius-server-name> # exit # aaa server radius dynamic-author # client <radius-server-ip>...
  • Página 6 Paso 2. Introduzca la información WLAN Paso 3. Vaya a la ficha Seguridad y seleccione el método de seguridad necesario. En este caso, WPA2 + 802.1x.
  • Página 7 Paso 4. En la pestaña Security > AAA, seleccione el método de autenticación creado en el paso 3 de la sección Configuración AAA en 9800 WLC.
  • Página 8: Configuración Del Perfil De Política

    CLI: # config t # wlan <profile-name> <wlan-id> <ssid-name> # security dot1x authentication-list <dot1x-list-name> # no shutdown Configuración del perfil de política Dentro de un perfil de política puede decidir a qué VLAN asignar los clientes, entre otras configuraciones (como la Lista de controles de acceso [ACL], la Calidad de servicio [QoS], el anclaje de movilidad, los temporizadores, etc.).
  • Página 9 Asegúrese de que el perfil esté habilitado. Además, si el punto de acceso (AP) está en modo local, asegúrese de que el perfil de política tenga conmutación central y autenticación central activadas. Seleccione la VLAN donde los clientes deben ser asignados en la pestaña Políticas de acceso.
  • Página 10 Si planea tener atributos de retorno ISE en Access-Accept como VLAN Assignment, habilite el reemplazo AAA en la pestaña Advanced:...
  • Página 11: Configuración De La Etiqueta De Política

    CLI: # config # wireless profile policy <policy-profile-name> # aaa-override # central switching # description "<description>" # vlan <vlanID-or-VLAN_name> # no shutdown Configuración de la etiqueta de política La etiqueta de política se utiliza para vincular el SSID con el perfil de política. Puede crear una nueva etiqueta de política o utilizar la etiqueta de política predeterminada.
  • Página 12 es necesario. Enlace el perfil WLAN al perfil de política deseado.
  • Página 13: Asignación De Etiqueta De Política

    CLI: # config t # wireless tag policy <policy-tag-name> # wlan <profile-name> policy <policy-profile-name> Asignación de etiqueta de política Asigne la etiqueta de política a los AP necesarios. GUI:...
  • Página 14 Para asignar la etiqueta a un AP, navegue hasta Configuration > Wireless > Access Points > AP Name > General Tags, asigne la etiqueta de política relevante y luego haga clic en Update & Apply to Device . Nota: Tenga en cuenta que cuando se cambia la etiqueta de política en un AP, deja su asociación al WLC 9800 y se unirá.
  • Página 15 Seleccione los AP a los que desea asignar la etiqueta y haga clic en + Tag AP...
  • Página 16: Configuración De Ise

    Seleccione las etiquetas aplicables para la política, el sitio y el RF y haga clic en Guardar y aplicar al dispositivo CLI: # config t # ap <ethernet-mac-addr> # policy-tag <policy-tag-name> # end Configuración de ISE Declarar WLC en ISE Paso 1.
  • Página 17 Paso 2. Introduzca los valores. Opcionalmente, puede ser un nombre de modelo especificado, versión de software, descripción y asignar grupos de dispositivos de red basados en tipos de dispositivos, ubicación o WLC. a.b.c.d corresponde a la interfaz del WLC que envía la autenticación solicitada. De forma predeterminada, es la interfaz de administración como se muestra en la imagen.
  • Página 18 Para obtener más información sobre Grupos de dispositivos de red, revise este enlace: ISE: grupos de dispositivos de red Crear nuevo usuario en ISE...
  • Página 19 Paso 1. Vaya aAdministration > Identity Management > Identities > Users > Add como se muestra en la imagen. Paso 2. Introduzca la información. En este ejemplo, este usuario pertenece a un grupo denominado ALL_ACCOUNTS, pero se puede ajustar según sea necesario, como se muestra en la imagen.
  • Página 20 Crear regla de autenticación Las reglas de autenticación se utilizan para verificar si las credenciales de los usuarios son correctas (verifique si el usuario es realmente quien dice ser) y limitar los métodos de autenticación que puede utilizar.
  • Página 21 Paso 1. Vaya aPolicy >Authenticationtal como se muestra en la imagen. Paso 2. Inserte una nueva regla de autenticación como se muestra en la imagen. Paso 3. Introduzca los valores. Esta regla de autenticación permite todos los protocolos enumerados en la lista Acceso a la Red Predeterminado, esto se aplica a lasolicitud de autenticación para la conexión inalámbrica 802 .1 xclientsandwithCalled-Station- IDandendswithise-ssid como se muestra en la imagen.
  • Página 22 Una vez terminado, haga clic en DoneandSave como se muestra en la imagen. Para obtener más información sobre las políticas de permisos de protocolos, consulte este enlace: Servicio de protocolos permitidos Para obtener más información sobre las fuentes de identidad, consulte este enlace: Crear un grupo de identidad de usuario Crear perfil de autorización El perfil de autorización determina si el cliente tiene acceso o no a la red, presione Listas de...
  • Página 23 Paso 2. Agregue un nuevo perfil de autorización. Vaya aAuthorization > Authorization Profiles > Add como se muestra en la imagen. Paso 3. Introduzca los valores como se muestra en la imagen. Aquí podemos devolver atributos de invalidación AAA como VLAN como ejemplo. El WLC 9800 acepta los atributos de túnel 64,65,81 mediante el nombre o ID de VLAN, y también acepta el uso del atributo AirSpace- Interface-Name.

Este manual también es adecuado para:

Catalyst 9800-cl

Tabla de contenido