目的

FreeRADIUS2を利用したWLC上でMACアドレス認証を実施する。
オーセンティケータにはvWLCを利用する
無線クライアントはAndroidを利用する

RADIUSについて

FreeRADIUSによる認証サーバを参照

WLCについて

MACアドレス認証にはローカルデータベースおよびRADIUSを利用する。 利用するvWLCのバージョンは 7.6.110.0

無線クライアントについて

無線クライアントは家に転がっていた古いやつ

設定

Ciscoルータ設定

interface FastEthernet8
 description %%% to dining %%%
 ! AP接続用にVlan100をネイティブVLANに設定
 switchport trunk native vlan 100
 ! データ転送用にVlan20を割り当て
 switchport trunk allowed vlan 1,20,21,100,101,1002-1005
 switchport mode trunk
 no ip address
end

Freeradius 設定

root@VMradius01:/etc/freeradius# cat clients.conf
client ManagementNetwork {
        ipaddr = 192.168.0.0 # ← 下のマスクとあわせて、どのオーセンティケータからの認証要求を待ち受けるかを指定
        netmask = 16
        secret =RADIUS_SECRET # ← RADIUS用のシークレットを記載
}
root@VMradius01:/etc/freeradius# cat users
testuser Auth-Type:=Local , Cleartext-Password:="lginpswd"  # ← Cisco機器のログイン用 [[FreeRADIUSとCisco機器を利用したログイン認証]]
$enab15$ Auth-Type:=Local , Cleartext-Password:="enblpswd"  # ← Cisco機器の特権用 [[FreeRADIUSとCisco機器を利用したログイン認証]]
147dc51cf0xx Auth-Type:=Local , Cleartext-Password:="147dc51cxxxx" # ← MACアドレス認証用のユーザ名とパスワード

後述するが、MACアドレス認証用のユーザ名(つまりMACアドレス)とパスワードは
WLC設定の SECURITY → AAA → MAC Filtering の MAC Delimiter および
WLC設定の SECURITY → AAA → MAC Filtering の RADIUS Compatibility Mode によってフォーマットが異なる。

Cisco WLC 設定

RADIUSサーバ登録

SECURITY -> AAA -> RADIUS -> Authentication から New を選択

有効化

IPアドレスとシークレットを入力し Apply をクリック

有効化

SSID設定

WLANs -> CreateNew? のドロップダウンメニューを選択し Go をクリック

有効化

ProfileName? と SSID を入力し、Apply をクリック

有効化

Status を Enable とし、Interfaceにはユーザに割り当てるVLANを選択。
設定していなければ、CONTROLLER -> Interface から新規に登録しておく。
Broadcast SSIDはステルス化する場合には、チェックをはずしておく。

有効化

Securityタブから、L2SecurityをNoneにし、MAC Filteringを有効化する。

有効化

Securityタブから、AAA Serversから、前項で登録したRADIUSサーバを選択する。 (ここでRADIUSサーバを登録しない場合には、ローカルのMACデータベースを参照する)

有効化

Advanceタブ内の FlexConnect?の設定項目にてLocalSwitching?を有効化する

有効化

FlexConnect?設定

Wireless -> ALL APs から 該当するAPをクリック

有効化

GeneralタブのAPModeをlocalからFlexConnect?に変更し、Applyをクリック (この時点でAPが自動的に再起動する)

有効化

再起動の間に WIRELESS -> FlexConnectGroups? から New をクリックし、FlexConnect?グループを作成する

有効化

GroupName?に入力しApplyをクリック

有効化

登録したGroupName?をクリック

有効化

AddAPをクリック

有効化

AddAPのSelect APs from ~ にチェックを入れるとFlexConnect?グループに所属していなAPが表示される

有効化

APNameのプルダウンメニュから該当するAPを選択し、Addをクリック

有効化

APが登録され、StatusがAssociatedとなっていることを確認する。 (APの再起動が完了していない場合には、しばらく待つ)

有効化

無事にFlexConnect?グループにAPが所属すると、 WIRELESS -> All APs からAPを選択した場合に FlexConnect? タブが選択可能となっているため、クリックする。

有効化

VLAN Support にチェックを入れ、NativeVLANIDにルータで設定したNativeVLANを入力する。

有効化

パワーインジェクタを利用している場合には、AdvancedタブからPowerInjectorState?にチェックを入れ、Applyする。

有効化

その後Advancedタブをクリックし、InjectorSwitchMACAddressにスイッチMACアドレスが入力されていることを確認する。

有効化

MAC Filtering設定

SECURITY -> AAA -> MAC Filtering をクリックし、RADIUS Compatible Mode と MAC Delimiterから適切な項目を選択し、Applyをクリックする。

有効化

SECURITY → AAA → MAC Filtering の MAC Delimiter によってフォーマットが異なる。

  • Colon
    d8:b1:2a:02:xx:xx
  • Hyphen
    d8-b1-2a-02-xx-xx
  • Single Hyphen
    d8b12a-02xxxx
  • NoDelimiter?
    d8b12a02xxxx

RADIUS Compatibility Mode によってフォーマットが異なる。

  • Cisco ACS
    Cleartext-PasswordはMACアドレスを記載(ユーザ名とパスワードが同一)
  • FreeRADIUS
    Cleartext-PasswordはRADIUSシークレットを記載
  • Other
    Cleartext-Passwordは記載無し
    FreeRADIUSのユーザ設定がAuth-Type:=Acceptの場合には許可
    FreeRADIUSのユーザ設定がAuth-Type:=Rejectの場合には拒否となる
    ※どの方式でもAuth-Type:=Acceptの場合には許可、Rejectの場合には拒否となる。

無線クライアント設定

設定は特に必要なし SSIDはビーコンに含まれるため、自動的にリストアップされる。

動作確認

RADIUSサーバのログ確認

root@VMradius01:/etc/freeradius# tailf /var/log/freeradius/radius.log
Mon Sep  8 22:28:12 2014 : Auth: Login OK: [147dc51cxxxx/147dc51cxxxx] (from client ManagementNetwork port 1 cli 14-7d-c5-1c-xx-xx)

logを出力するためにあらかじめ、 /etc/freeradius/radiusd.conf の logセクションにて以下を設定しておくと動作確認が取れる。

log{
 auth = yes
 auth_badpass = yes
 auth_goodpass = yes
}

DHCPサーバのログ確認

root@VMdhcp01:~$ tailf /var/log/dhcpd.log
Sep  8 22:28:14 VMdhcp01 dhcpd: DHCPDISCOVER from 14:7d:c5:1c:xx:xx via 192.168.20.254: load balance to peer FOdhcp
Sep  8 22:28:15 VMdhcp01 dhcpd: DHCPREQUEST for 192.168.20.120 (192.168.10.185) from 14:7d:c5:1c:xx:xx via 192.168.20.254: lease owned by peer



Counter: 10161, today: 1, yesterday: 0

添付ファイル: filewlan05.jpg 903件 [詳細] filewlan04.jpg 757件 [詳細] filewlan03.jpg 788件 [詳細] filewlan02.jpg 776件 [詳細] filewlan01.jpg 686件 [詳細] filewlan00.jpg 733件 [詳細] fileradius02.jpg 771件 [詳細] fileradius01.jpg 880件 [詳細] filemf01.jpg 606件 [詳細] filefc13.jpg 517件 [詳細] filefc12.jpg 522件 [詳細] filefc11.jpg 673件 [詳細] filefc10.jpg 681件 [詳細] filefc09.jpg 745件 [詳細] filefc08.jpg 698件 [詳細] filefc07.jpg 691件 [詳細] filefc06.jpg 711件 [詳細] filefc05.jpg 711件 [詳細] filefc04.jpg 724件 [詳細] filefc03.jpg 711件 [詳細] filefc02.jpg 875件 [詳細] filefc01.jpg 776件 [詳細]

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2014-11-30 (日) 23:44:32 (2155d)