WPA2 Enterprise con asignación dinámica de VLAN : Cisco 9800 / Cisco ISE

-

WPA2 Enterprise con asignación dinámica de VLAN : Cisco 9800 / Cisco ISE


En esta entrada quería mostar la configuración más básica posible para usar WPA2 Enterprise usando Protected EAP con una WLC Cisco 9800 con APs en modo Flexconnect y Cisco ISE. Para mantener todo lo más simple posible, la base de datos de usuarios será local en ISE.

La configuración no sigue best practices, tan solo se trata de un laboratorio para probar funcionalidades. En este caso, mediante un único SSID y las Policy Set, definiremos, dependiendo del tipo de usuario, si accederá a la VLAN asignada de forma general a la SSID, o una asignación dinámica a otra VLAN. 

Topología



CONFIGURACIÓN EN ISE

Creación de usuarios y Grupos en ISE

Primero crearemos los grupos que necesitamos. He precedido los nombres de los grupos con "00" para que sean más visibles:


Una vez creados los grupos, podemos crear los usuarios y asignarlos a los grupos que hemos definido:


Añadir la WLC 9800 como Autenticator

Administration>Network Resources>Network Devices

Agregaremosla WLC incluyendo su IP y el shared secret entre el ISE y la 9800. Adicionalmente, se pueden crear device groups (yo he creado el tipo de dispositivo y la localización)

Configuración de Políticas



Comenzaremos definiendo los elementos de las políticas, tanto los protocolos permitidos, como los perfiles de autorización:

Protocolos permitidos

Como comentamos inicialmente, usaremos PEAP




Perfiles de Autorización


Perfil de autorización de acceso simple

En este perfil, que usaremos con los usuarios corporativos, simplemente permitiremos el acceso a la red

Perfil de autorización con asignación dinámica de VLAN

Crearemos un perfil de autorización para cada una de las VLANs. Para definir la VLAN, en "Common Tasks" debemos hacer scroll hasta encontrar la opción de VLAN. 

IMPORTANTE: El match se hace mediante el nombre que hemos definido en la VLAN, por lo que en la WLC el nombre de esa VLAN debe coincidir

Definición del Policy Set



Crearemos una política que haga hit para nuestro caso: Debe ser tráfico Wireless, de un dispositivo de red contenido en nuestro grupo WLC (si lo hemos definido) y que haga match con el SSID "MK_1_RAD"*

Y solo permitiremos los protocolos que definimos anteriormente

*Para que se evalúe el SSID en nuestra política, generalmente usaremos condición del diccionario Normalised Radius, de esta manera, si usamos diferentes NADs o formatos para el SSID, ISE lo interpretará de manera consistente. Si bien utilizar un VSA (Vendor Specific Attribute) de Cisco con el cisco-av-pair también nos funcionaría, a menos que se necesite información específica de Cisco, es mejor opción utilizar las opciones normalizadas de Radius.

Definición de las políticas de autenticación y autorización

Política de Autenticación

Para la autenticación, simplemente evaluaremos que sea un usuario wireless contenido en la base de datos interna de Cisco ISE


Políticas de Autorización

Como indicamos al comienzo de este post, para los usuarios del grupo 00_CORPORATE simplemente evaluaremos que estén dentro del grupo indicado y que la contraseña sea correcta, y se les permitirá el acceso a la red (mediante el autorization profile creado anteriormente "RADIUS_ACCESS_ACCEPT_WIRELESS"), por lo que la SSID estará mapeada a la VLAN que se haya definido para esta (como veremos después en la configuración de la WLC, es la VLAN 20).

Para los usuarios de los grupos 00_CONTRACTOR, 00_GUEST y 00_LIMITED evaluaremos el grupo correspondiente y los asignaremos a la VLAN correspondiente mediante los authorization profiles creados con anterioridad ("WIRELESS_VLAN21", "WIRELESS_VLAN22" y "WIRELESS_VLAN23")


CONFIGURACION EN CISCO 9800

Configuración del servidor de Radius

En Configuración, iremos a Security y después a AAA

Y añadiremos nuestro servidor ISE, sin olvidarnos de añadir el mismo "secret" que configuramos anteriormente en ISE

En mi caso, no añadiré un grupo de servers ya que además de que solo tengo uno, he desplegado la WLC sin SVI, y si añado el grupo de servers me obligará a definir por qué VLAN tendremos comunicación. Al no definir esto, el tráfico irá por nuestro puerto de gestión.

En la misma sección, iremos a la pestaña siguiente para definir un método de autenticación. El tipo será dot1x y pondremos group para que no use la base de datos local. Tendremos que añadir "radius" a los server groups. Si en el paso anterior hubiéramos creado un grupo de servers, sería ese el grupo a añadir. En este caso, como no hemos creado ningún grupo, por defecto nuestro servidor se encuentra ahí.

Configuración de las VLANs para la asignación dinámica


Es muy importante que el nombre de las VLANs coincidan con el nombre definido en los perfiles de autorización creados en ISE. Deben tener el mismo nombre exactamente. En los perfiles de Autorización de ISE, definimos los nombres de VLAN como "VLAN21_DYN", "VLAN22_DYN" y "VLAN23_DYN", por lo que asignaremos los mismos nombres en la 9800

Configuración del SSID WPA2 Enterprise

WLAN


Habilitamos WPA2 y 802.1X. Como solo tengo un AP no he habilitado ni Fast Transition ni FT+802.1X

En la sección de AAA seleccionamos la lista que definimos anteriormente en Configuration>Security>AAA>AAA Method List

Policy Profile


Como se indicó al principio, se trata de un AP en modo Flexconnect, por lo que solo la autenticación debe ser central

Como hemos indicado anteriormente, si no se fuerza el dynamic vlan assignment, la SSID estará mapeada a la VLAN 20. Además habilitaremos las opciones de profiling en ISE

Finalmente, habilitaremos el AAA override

Configuración del Flexprofile


En nuestro Flexprofile, además de las VLANs asignadas a cada una de las SSIDs que tengamos, añadiremos las que asignaremos dinámicamente desde ISE:



Verificaciones:

Como habíamos definido inicialmente, basado en el grupo donde se alojen los usuarios, serán asignados a la VLAN mapeada por en la SSID, o a una VLAN asignada dinámicamente. Según nuestros grupos, los usuarios deberían ir a las siguientes VLANs

Para estas pruebas, estoy utilizando siempre el mismo dispositivo, y lo re-autentico a la red con los diferentes nombres de usuario que definimos al inicio.

Así lo vemos en la WLC

De igual manera, lo podemos ver en los Live Logs de ISE

En el próximo post, analizaremos el tráfico poniendo 4 capturas de paquetes simultáneas:


  1. En la WLC 9800 desde su captura de paquetes
  2. En el Cisco ISE desde su TCP dump
  3. En el puerto del switch donde se conecta el AP
  4. Y una captura OTA escuchando el tráfico Wireless
1.- Captura en la WLC

2.- Captura en ISE

3.- Captura en el puerto del switch donde conecta el AP

4.- Captura OTA




Comentarios

Publicar un comentario

Entradas populares de este blog

Captura de paquetes desde el móvil con ANALITI

-
Imagen
  Hola, en el blog de hoy, tan solo una pequeña tontería que espero pueda servir de ayuda. Hace unos días, el compañero Luis Giménez del grupo de Tesos de Ferney Muñoz comentó las virtudes de una APP llamada ANALITI Tiene características muy interesantes, y entre ellas que puedes crear un flujo en "tiempo real" de capturas de paquetes a wireshark o cloudshark, la cual, además puede ser utilizada en programas como WiFiExplorer de Adrián Granados , o, si siguiera activo, en mi añorado WinFi . En cualquier caso, aquí tan solo nos centramos en la recepción remota de paquetes desde el dispositivo que tiene instalado Analiti, que en mi caso, es mi movil. Para ello, solo tienes que ir a la pantalla "Redes" y al seleccionar el simbolo de la aleta de tiburón nos lleva a ajustes y seleccionamos "Enable Real Time PCAPng Streaming" y ahí mismo nos indicará que debemos crear un pipe con el siguiente formato:  TCP@[IP del dispositivo donde tengas Analiti]:19000  Post...
Leer más

Configurar Cisco WLC y Aruba Clearpass para Guest con Mac Caching

-
Imagen
Hola,  Este es mi primer blog, y mi primera entrada. No creo que me hubiera lanzado nunca si no fuera por mis amigos Ferney Muñoz y Ulises Cázares que me animaron.  En cualquier caso, comenzamos:   En este escenario, Clearpass tendrá dos puertos, uno de management, y el Data Port que será por el que exista un direccionamiento accesible para los Guests: En cuanto a la WLC, tendrá su management en la misma VLAN que Clearpass, y tendrá una interface para los guest en el mismo direccionamiento que el Data Port de Clearpass, y por último la IP virtual.  Para que funcione correctamente el portal cautivo necesitamos 3 cosas: Configuración en Clearpass Configuración en la WLC Cisco Correcta resolución de FQDN de los equipos anteriores. Comenzamos precisamente por verificar el último punto   En mi servidor de DNS he configurado una entrada para el Data Port de Clearpass, y otra entrada para la IP Virtual de mi WLC. Tanto en la WLC como en el Clearpass he cargado un ce...
Leer más

Captura de paquetes con Switches y WLCs Cisco series 9000

-
Imagen
Hoy comparto una guía muy sencilla de como realizar capturas de paquetes en un switch o WLC Cisco de las series 9000. Realmente se trata del mismo proceso que en equipos algo más antiguos, pero con el nuevo UI de Cisco se simplifica mucho. Preparar una captura básica: Si queremos capturar todo el tráfico en uno o varios interfaces sin un filtrado complejo, directamente haremos: Ir a Troubleshoot → Packet Capture Definimos un nombre para la captura De la lista desplegable, seleccionamos no filtrar (any) o un filtro muy básico basado en IPv4 o IPv6 Definiremos un tamaño de buffer Y seleccionaremos las interfaces en las que queremos hacer capturas Preparar una captura definiendo origenes, destinos y puertos específicos: Accediendo mediante SSH al switch, definiremos una ACL con los parámetros necesarios (en el ejemplo, solo se han definido IP de origen y destino) Definimos un nombre para la captura De la lista desplegable, seleccionamos ACL, y nos aparecerá un desplegable con las ACL disp...
Leer más