シスコシステムズ合同会社

2020年7月

Cisco Catalyst 9800 シリーズワイヤレスコントローラ

Cisco ISEではじめる無線LAN構築設定ガイド

2© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

• 2020年7月 初版公開

更新履歴

3© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

• 本ガイドは、Cisco Catalyst 9800 Series Wireless Controller (以下C9800またはWLC) 、Cisco Identity Services Engine (以下ISE)により 802.1x 無線 LAN を構築する手順を解説します

• 本ガイドでは C9800 と ISE は仮想版のソフトウェアをダウンロードする作業から順を追って、無線LAN評価作業を開始できる環境を構築する、簡易的手順書とすることを目的としています

内容に関する保証について

• 本ガイドは、2020年7月時点の情報に基づいており、記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。

• シスコは、本ガイドに関して、その正確性又は完全性について一切の責任を負いません

• シスコは、本ガイドが十分な品質を有すること、特定の目的に対する適合性を有すること、又は第三者の知的財産権、プライバシー権等その他の一切の権利に対する侵害がないことを、明示にも黙示にも表明又は保証しません

はじめに

4© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

• シスコ パートナー様向け資料一覧ページ • SalesConnect

• https://salesconnect.cisco.com/

最新の資料の所在

https://www.cisco.com/c/m/ja_jp/partners/documents.html

環境説明

6© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

• 無線LANコントローラ

• Cisco Catalyst 9800-CL (C9800-CL-K9)

• Cisco IOS XE 17.2.1a

• 無線アクセスポイント• Cisco Aironet 1852i

• 認証サーバ（ポリシーサービスエンジン）

• Cisco Identity Services Engine (ISE)

• ソフトウェアバージョン: 2.7 パッチ 2

• VMware vCenter 6.0

• テスト用PC端末• OS: Windows 10

• テスト用サーバ件ISE管理アクセス (Win2k)• OS: Windows 2016

• DGW には DHPC IPヘルパーアドレスの設定がしてあり、DHCP Discover は Win2kに伝達される

• 図の他にNTPサーバやDNSサーバ、TFTPサーバ等が存在する

環境説明

ISE

DHCPWWW

.200 .210

管理用ネットワーク 10.71.0.0/16

C9800等 GUIアクセス用

VM(Win10)USB無線子機

.220

.165

DHCP

C9800

AP

vmnic 4 Trunk(vlan101,111)

vlan101

VLAN101 内部ネットワーク172.16.1.0/24

vmnic0VM Network

Win2k

DGW

User VLANVLAN111 192.168.111.0/24(DHCP)

インターネット

Trunk(vlan101,111)

G1

G2

7© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

• ISE and Catalyst 9800 Series Integration Guide

• https://community.cisco.com/t5/security-documents/ise-and-catalyst-9800-series-integration-guide/ta-p/3753060

参考情報

8© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

ISEのダウンロードとインストール

ISE

DHCPWWW

.200 .210

管理用ネットワーク 10.71.0.0/16

C9800等 GUIアクセス用

VM(Win10)USB無線子機

.220

.165

DHCP

C9800

AP

vmnic 4 Trunk(vlan101,111)

vlan101

VLAN101 内部ネットワーク172.16.1.0/24

vmnic0VM Network

Win2k

DGW

User VLANVLAN111 192.168.111.0/24(DHCP)

インターネット

Trunk(vlan101,111)

G1

G2

9© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

• https://software.cisco.com/にアクセス、「ソフトウェア ダウンロード」 > テキストフィールドに”Identity”と入力し Identity Services Engine Softwareを選択する。

• 本ガイドでは2.7.0を選択。ISE 2.7 OVA file - 300GB disk for Eval, Small, Medium (Recommend for Evaluation, PSN or PxGrid).をダウンロード

ソフトウェアダウンロード(ISE)

10© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

• vSphere Web ClientでOVFテンプレートのデプロイから先ほどダウンロードしたOVAファイルを選択し次へを押し進む。

ISEのインストール

11© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

• 仮想マシン名前を決め「次へ」、設定の選択肢としては今回はEvalを選択し「次へ」

ISEのインストール

12© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

• ディスクフォーマットは今回は検証用としてシンプロビジョニングを選択する

※商用環境では、より高い性能を期待できるシックプロビジョニングの選択が望ましい

ISEのインストール

13© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

ISEのインストール

• ネットワークを選択して「次へ」

• 設定を確認して完了すると、しばらくしてデプロイが完了する

14© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

• 起動したISEのコンソールのログイン画面で“setup”と入力し、セットアップを始める

• 環境に合わせ適宜入力する

• 参考として本環境では以下のパラメータとしている

ISEのインストール

ホスト名 Ise-virtual

IPアドレス 172.16.1.210

ネットマスク 255.255.255.0

デフォルトゲートウェイ 172.16.1.1

IPv6 無効

DNSドメイン secvt-jp.com

プライマリネームサーバ 172.16.2.101

セカンダリネームサーバ 172.16.2.102

NTPサーバ ntp.nict.jp

管理ユーザ名 admin

15© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

ISEのインストール

• しばらく待ってGUIで設定したIPアドレスにアクセスするとログイン画面が表示される

• ISEの自己署名の証明書が提示されるためエラーが出るので、クライアント側で証明書を信頼するなど対処をするか、ここでは一旦このまま進んでログインする

16© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

ISEのインストール

Provide laterとしてNext

プリインストールされたデモライセンスで90日利用可能

17© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

• 内部ネットワークのWin2KからISEにブラウザでアクセスしログイン

• ログインクレデンシャルはセットアップ時に作成したもの

ISEへアクセス

18© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

• software.cisco.comから最新のパッチをダウンロードしAdministration > System > Maintenance > Patch Managementで適用

ISEへのパッチ適用

19© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

• 管理者アクセスのパスワード有効期限がでデフォルトで45日となっているため、適宜チェックを外して無効にしたり期限を延ばす等の調整をする

ISEのパスワードライフタイムの設定

20© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

C9800のダウンロードとインストール

ISE

DHCPWWW

.200 .210

管理用ネットワーク 10.71.0.0/16

C9800等 GUIアクセス用

VM(Win10)USB無線子機

.220

.165

DHCP

C9800

AP

vmnic 4 Trunk(vlan101,111)

vlan101

VLAN101 内部ネットワーク172.16.1.0/24

vmnic0VM Network

Win2k

DGW

User VLANVLAN111 192.168.111.0/24(DHCP)

インターネット

Trunk(vlan101,111)

G1

G2

21© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

• https://software.cisco.com/にアクセス、「ソフトウェア ダウンロード」 > テキストフィールドに”9800”と入力し Catalyst 9800-CL Wireless Controller for Cloud を選択し、IOS XE Software を選択し進。

• 本ガイドでは 17.2.1aの OVA版を選択

ソフトウェアダウンロード(C9800)

22© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

OVF テンプレートのデプロイ

• ESXiサーバでデプロイするホストを選び ダウンロードしたイメージを選択し次へ

23© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

OVF テンプレートのデプロイ

• 詳細を確認し次へ• 適宜仮想マシンに名前を付け次へ• 小規模環境のため、デプロイ設定として 1K Aps, 10K Clients を選択し次へ

24© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

OVF テンプレートのデプロイ

• シックプロビジョニング (Lazy Zeroed) を選択し次へ• GigabitEthernet2 としてVLAN type を VLAN Trunkingに設定した Port Group を設定選択し次へ

25© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

OVF テンプレートのデプロイ

• ホスト名を付け、Enable パスワードを設定• GUI アクセスをする管理インタフェースとして GigabitEthernet1を選びIP アドレスやデフォルトゲートウェイを設定する• ユーザ名とパスワードを設定する

26© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

OVF テンプレートのデプロイ

• 設定を確認して完了

27© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

C9800に GUI アクセス

※日本語GUIは一部設定入力時に問題が起こるケースがあるため英語を選択

• ブラウザで C9800 にアクセス。証明書エラーが出るので適宜これを信頼する設定をするか、一旦先に進む。

28© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

セットアップウィザード

• Deployment Model を Standalone に、Country を適宜選択（ここでは日本/J4）、環境の NTP サーバの IP アドレスを入力し+マークのボタンを押し設定。AAA サーバは後で設定するのでここでは未入力のままとする。

• 無線管理インタフェースを GigabitEthernet2とし VLAN、IP アドレス、デフォルトゲートウェイ、DHCP サーバの IP アドレスを入力し次へ

29© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

セットアップウィザード

• ワイヤレスの設定はウィザード終了後に設定するのでここでは何もせずに Next

• Advanced Settings も特に設定は変えず AP Certificate のパスワードを適宜設定し Summary へ

30© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

セットアップウィザード

• 設定を確認したら Finish ボタンで次へ• ログインしなおしを案内する表示が出るので Yes で進む

31© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

C9800 の設定

ISE

DHCPWWW

.200 .210

管理用ネットワーク 10.71.0.0/16

C9800等 GUIアクセス用

VM(Win10)USB無線子機

.220

.165

DHCP

C9800

AP

vmnic 4 Trunk(vlan101,111)

vlan101

VLAN101 内部ネットワーク172.16.1.0/24

vmnic0VM Network

Win2k

DGW

User VLANVLAN111 192.168.111.0/24(DHCP)

インターネット

Trunk(vlan101,111)

G1

G2

32© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

C9800 のダッシュボード

33© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

Configuration > Security > AAA

• Configuration > Security > AAAに + AAA Wizard ボタンをクリック• 右の図のように環境中の ISEの名前を適当につけ、ISE の IP アドレスと ISEに設定するキー（後でISEにも入力する）を入力して Next

34© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

AAAの設定

• AAA サーバグループに名前を入力し、 Available Servers で先ほど設定した ISE をアサインし次へ• Authentication のタブで Type を dot1x、 Group Type を groupにし、Available Server Groups から先ほど設定したISE-

GROUPを選択する

35© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

AAAの設定

• Authorization のタブで Type を network、 Group Type を groupにし、Available Server Groups から先ほど設定したISE-

GROUPを選択する• Accounting にチェックを入れ、Method List Name を default、Type を Identity とし、Available Server Groupsから先ほど設定した ISE-GROUPを選択し、Apply to Device をクリック

36© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

Configuration > Interface > Ethernet

• Configuration > Interface > Ethernet から Allowed Vlan で All を選んで Update & Apply to Device ボタンを押し反映

37© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

Configuration > Layer 2 > VLAN > VLAN

• Configuration > Layer2 > VLAN から VLANのタブを選び Addボタン、ユーザVLANを作成する• ここでは User VLAN となる VLAN ID 111 として上のイメージのように設定し Apply to Device ボタンで戻る

38© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

Configuration > Tags & Profiles > WLANs

• Configuration > Tags & Profiles > WLANs から WLANを作成• プロファイル名/SSID を ここではISE-SECURE とし Status を ENABLEDへ• Security > Layer2 に移動しイメージのように設定、AAAに移動し Authentication Listを選択し Apply to Deviceで戻る

39© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

Configuration > Tags & Profiles > Policy

• Configuration > Tags & Profiles > Policyに移動し Addボタンを押し、ポリシー名を User とし Status を ENABLEDに• Access Policies タブに移動し画面のように設定する• Advanced タブに移動し画面をスクロールダウンし AAA Policyの設定項目を上のように設定し Apply to Device で戻る

40© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

Configuration > Tags & Profiles > Tags

• Configuration > Tags & Profiles > Tags へ移動し + Add をクリック• タグ名をここでは ISE-Enabled-tag とし 下の WLAN-POLICY Maps にて + Add をクリック• WLAN Profile を 先ほど設定した ISE-SECURE にし Policy Profile で User を選択し ✓ を押す• Apply to Device で戻る

41© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

Configuration > Wireless > Access Points

• （オプション） Configuration > Wireless > Access Pointsへ移動し、下のリンクを参考に環境の無線アクセスポイント (AP)

の Country Codeにチェックを入れ Apply+ Add をクリック。APがジョインするのを確認する。• AP 名をクリックし立ち上がってきた画面の Tags の項目内の Policy を、先ほど設定した ISE-Enabled-tag にタグに選び変え Update & Apply to Device で戻る

https://www.cisco.com/c/dam/assets/prod/wireless/wireless-compliance-tool/index.html#wp9005314

Wireless LAN Compliance Lookup

42© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

設定の確認

43© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

ISE の設定

ISE

DHCPWWW

.200 .210

管理用ネットワーク 10.71.0.0/16

C9800等 GUIアクセス用

VM(Win10)USB無線子機

.220

.165

DHCP

C9800

AP

vmnic 4 Trunk(vlan101,111)

vlan101

VLAN101 内部ネットワーク172.16.1.0/24

vmnic0VM Network

Win2k

DGW

User VLANVLAN111 192.168.111.0/24(DHCP)

インターネット

Trunk(vlan101,111)

G1

G2

44© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

Administration > Network Resources > Network Devices

• ISEにログインし Administration > Network Resources > Network Devices に進み +Add をクリック• 例として上のように設定していき C9800の IPアドレスを入力、Device Types に WLC などと入力し Save

• Device Type は今作成した WLC に合わせる

45© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

Administration > Network Resources > Network Devices

• そのままスクロールダウンし RADIUS Authentication Settingsの横のチェックボックスに✓を入れる• WLC のＡＡＡのウィザードで自身で決めて設定した キー を入力し Submit

46© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

• 認証が成功したユーザに与えるネットワークアクセスを認可プロファイル (Authorization Profiles)として定義する。この機能を用いると、ユーザのセッションに適用すべきACLを指定できる。WLC自体に事前にACLを定義し認可として適用すべきACL名をWLCに指定することで、ユーザにACLを適用することができる。あるいはACL名だけでなくACE(エントリー)も含めたDownloadable ACL(dACL)をISEに中央集中的に設定し、これをWLCにダウンロードさせることで適用することもできる。

• ここでは無線/有線ユーザ用にまずdACLを定義し、認可プロファイルに割り当てる

• Policy > Policy Elements > Results > Authorization > Downloadable ACLs に進み右ペインで Add ボタンを押し、新しいdACLを記述する（ISEの IPと管理ネットワークへのアクセスをブロックするエントリーとした）

認可ポリシーの追加

47© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

• 左メニューでAuthorization Profilesに移動し Add ボタンをクリック

• dACL Nameで先ほど定義したdACLを選択する

• 画面下までスクロールして Submitをクリック

Authorization Profile

48© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

• Administration > Identity Management > Identities > Users でユーザを作成する。

• User GroupsはEmployee

• Submitを押し保存

ISE: 無線LAN に接続するユーザの追加

49© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

• 今回はDefaultのポリシーセットを利用し以下のようなポリシーを作成する

• SSIDが ISE-SECURE を含む認証にのみ適用

• EAP-PEAP による認証のみ許可

• ISEのローカルユーザデータベースでの認証を行う

• この条件のユーザは dACL CAMPUS-ISE-LOCAL-USERSによる制限付きアクセスを付与する

• Policy > Policy Setsへ移動し、Default ポリシーセットの右にある > マークで進む

ISE: 認証・認可のポリシーの設定

50© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

• 表示された画面で Authorization Policy までスクロールダウンし、ひな型となるルールがいくつか存在することを確認する

• 適当な行で Actions の列の歯車アイコンを押し Insert new row above をクリックし表示されたルールの Rule Name に適宜名前を付ける

• 今回はSECURE-SSID for ISE Local Employee と入力した

ISE: 認証・認可のポリシーの設定

51© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

• Conditions の列の＋マークを押す

• EditorでClick to add an attributeの マークをクリックし Radius から Called-Station-ID を選択

• 以下のように “Contains” “ISE-SECURE” とする

ISE: 認証・認可のポリシーの設定

52© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

• 下の New を押し、IdentityGroup Equals User Identity Groups: Employee を選択しUseをクリック

ISE: 認証・認可のポリシーの設定

53© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

• Resultsの Profiles で先に作っておいた dACLと紐づけられた CAMPUS-ISE-LOCAL-USERSを選択する

• 画面下までスクロールダウンして Save

ISE: 認証・認可のポリシーの設定

接続確認

56© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

• 仮想端末 (Win10b)で SSID に ISE に作成したユーザで接続する

• dACLに設定した通り Web サーバには接続できるが ISE には接続できないことを確認

接続試験

Win2k ISE

57© 2020 Cisco and/or its affiliates. All rights reserved. Cisco Public

• RADIUS ログを確認

ISEのログを確認