目的 †FreeRADIUS2を利用したWLC上でMACアドレス認証を実施する。 RADIUSについて †WLCについて †MACアドレス認証にはローカルデータベースおよびRADIUSを利用する。 利用するvWLCのバージョンは 7.6.110.0 無線クライアントについて †無線クライアントは家に転がっていた古いやつ 設定 †Ciscoルータ設定 †interface FastEthernet8 description %%% to dining %%% ! AP接続用にVlan100をネイティブVLANに設定 switchport trunk native vlan 100 ! データ転送用にVlan20を割り当て switchport trunk allowed vlan 1,20,21,100,101,1002-1005 switchport mode trunk no ip address end Freeradius 設定 †root@VMradius01:/etc/freeradius# cat clients.conf client ManagementNetwork { ipaddr = 192.168.0.0 # ← 下のマスクとあわせて、どのオーセンティケータからの認証要求を待ち受けるかを指定 netmask = 16 secret =RADIUS_SECRET # ← RADIUS用のシークレットを記載 } root@VMradius01:/etc/freeradius# cat users testuser Auth-Type:=Local , Cleartext-Password:="lginpswd" # ← Cisco機器のログイン用 [[FreeRADIUSとCisco機器を利用したログイン認証]] $enab15$ Auth-Type:=Local , Cleartext-Password:="enblpswd" # ← Cisco機器の特権用 [[FreeRADIUSとCisco機器を利用したログイン認証]] 147dc51cf0xx Auth-Type:=Local , Cleartext-Password:="147dc51cxxxx" # ← MACアドレス認証用のユーザ名とパスワード 後述するが、MACアドレス認証用のユーザ名(つまりMACアドレス)とパスワードは Cisco WLC 設定 †RADIUSサーバ登録 †SECURITY -> AAA -> RADIUS -> Authentication から New を選択 IPアドレスとシークレットを入力し Apply をクリック SSID設定 †WLANs -> CreateNew? のドロップダウンメニューを選択し Go をクリック ProfileName? と SSID を入力し、Apply をクリック Status を Enable とし、Interfaceにはユーザに割り当てるVLANを選択。 Securityタブから、L2SecurityをNoneにし、MAC Filteringを有効化する。 Securityタブから、AAA Serversから、前項で登録したRADIUSサーバを選択する。 (ここでRADIUSサーバを登録しない場合には、ローカルのMACデータベースを参照する) Advanceタブ内の FlexConnect?の設定項目にてLocalSwitching?を有効化する FlexConnect?設定 †Wireless -> ALL APs から 該当するAPをクリック GeneralタブのAPModeをlocalからFlexConnect?に変更し、Applyをクリック (この時点でAPが自動的に再起動する) 再起動の間に WIRELESS -> FlexConnectGroups? から New をクリックし、FlexConnect?グループを作成する GroupName?に入力しApplyをクリック 登録したGroupName?をクリック AddAPをクリック AddAPのSelect APs from ~ にチェックを入れるとFlexConnect?グループに所属していなAPが表示される APNameのプルダウンメニュから該当するAPを選択し、Addをクリック APが登録され、StatusがAssociatedとなっていることを確認する。 (APの再起動が完了していない場合には、しばらく待つ) 無事にFlexConnect?グループにAPが所属すると、 WIRELESS -> All APs からAPを選択した場合に FlexConnect? タブが選択可能となっているため、クリックする。 VLAN Support にチェックを入れ、NativeVLANIDにルータで設定したNativeVLANを入力する。 パワーインジェクタを利用している場合には、AdvancedタブからPowerInjectorState?にチェックを入れ、Applyする。 その後Advancedタブをクリックし、InjectorSwitchMACAddressにスイッチMACアドレスが入力されていることを確認する。 MAC Filtering設定 †SECURITY -> AAA -> MAC Filtering をクリックし、RADIUS Compatible Mode と MAC Delimiterから適切な項目を選択し、Applyをクリックする。 SECURITY → AAA → MAC Filtering の MAC Delimiter によってフォーマットが異なる。
RADIUS Compatibility Mode によってフォーマットが異なる。
無線クライアント設定 †設定は特に必要なし SSIDはビーコンに含まれるため、自動的にリストアップされる。 動作確認 †RADIUSサーバのログ確認 †root@VMradius01:/etc/freeradius# tailf /var/log/freeradius/radius.log Mon Sep 8 22:28:12 2014 : Auth: Login OK: [147dc51cxxxx/147dc51cxxxx] (from client ManagementNetwork port 1 cli 14-7d-c5-1c-xx-xx) logを出力するためにあらかじめ、 /etc/freeradius/radiusd.conf の logセクションにて以下を設定しておくと動作確認が取れる。 log{ auth = yes auth_badpass = yes auth_goodpass = yes } DHCPサーバのログ確認 †root@VMdhcp01:~$ tailf /var/log/dhcpd.log Sep 8 22:28:14 VMdhcp01 dhcpd: DHCPDISCOVER from 14:7d:c5:1c:xx:xx via 192.168.20.254: load balance to peer FOdhcp Sep 8 22:28:15 VMdhcp01 dhcpd: DHCPREQUEST for 192.168.20.120 (192.168.10.185) from 14:7d:c5:1c:xx:xx via 192.168.20.254: lease owned by peer
Counter: 13367,
today: 1,
yesterday: 0
|