Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Catalyst 9800とCisco ISEのEAP-TLSの設定例/EAP-TLS_con...

MyHomeNWLab
August 14, 2024
Technology
0
180

Catalyst 9800とCisco ISEのEAP-TLSの設定例/EAP-TLS_configuration_example_for_Catalyst 9800_and_Cisco_ISE

筆者が検証した際のFlexConnect modeの設定は下記をベースにしています。

Catalyst 9800のFlexConnectの設定例/Catalyst_9800_FlexConnect_Configuration_Example - Speaker Deck
https://speakerdeck.com/myhomenwlab/catalyst-9800-flexconnect-configuration-example

MyHomeNWLab

August 14, 2024
Tweet

More Decks by MyHomeNWLab

See All by MyHomeNWLab
SCEPman Community Edtionと証明書関連の設定/SCEPman_Community_Edtion_and_certificate-related_settings
myhomenwlab
0
390
Catalyst 9800のFlexConnectの設定例/Catalyst_9800_FlexConnect_Configuration_Example
myhomenwlab
0
1k
Cisco Catalyst 8000V (AWS版)の冗長化 ~ csr_aws_ha 実装の挙動整理 ~
myhomenwlab
0
1.1k
Meraki MX Act-ActのOne-Armed構成 ~ Failover時間の確認 ~/Meraki_MX_Act-Act_One-Armed
myhomenwlab
0
420
BIG-IP Forward Proxy構成 ~ 導入の心得 ~/BIG-IP_Forward_Proxy
myhomenwlab
1
20k
Meraki MRのClient Balancing機能による「たらい回し」事例
myhomenwlab
1
4k

Other Decks in Technology

See All in Technology
Evangelismo técnico: ¿qué, cómo y por qué?
trishagee
0
350
100 名超が参加した日経グループ横断の競技型 AWS 学習イベント「Nikkei Group AWS GameDay」の紹介/mediajaws202411
nikkei_engineer_recruiting
1
170
TypeScriptの次なる大進化なるか!? 条件型を返り値とする関数の型推論
uhyo
1
1.6k
誰も全体を知らない ~ ロールの垣根を超えて引き上げる開発生産性 / Boosting Development Productivity Across Roles
kakehashi
1
210
[FOSS4G 2019 Niigata] AIによる効率的危険斜面抽出システムの開発について
nssv
0
270
隣接領域をBeyondするFinatextのエンジニア組織設計 / beyond-engineering-areas
stajima
1
260
複雑なState管理からの脱却
sansantech
PRO
1
110
Making your applications cross-environment - OSCG 2024 NA
salaboy
0
170
10XにおけるData Contractの導入について: Data Contract事例共有会
10xinc
1
220
ライブラリでしかお目にかかれない珍しい実装
mikanichinose
2
350
インフラとバックエンドとフロントエンドをくまなく調べて遅いアプリを早くした件
tubone24
1
420
Lambda10周年!Lambdaは何をもたらしたか
smt7174
2
110

Featured

See All Featured
RailsConf 2023
tenderlove
29
900
Designing on Purpose - Digital PM Summit 2013
jponch
115
7k
Agile that works and the tools we love
rasmusluckow
327
21k
4 Signs Your Business is Dying
shpigford
180
21k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.7k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
The Art of Programming - Codeland 2020
erikaheidi
52
13k
Become a Pro
speakerdeck
PRO
25
5k
Raft: Consensus for Rubyists
vanstee
136
6.6k
Practical Orchestrator
shlominoach
186
10k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
6
410
Into the Great Unknown - MozCon
thekraken
32
1.5k

Transcript

  1. Catalyst 9800とCisco ISEの EAP-TLSの設定例 初版作成日: 2024/08/14 作成者: MyHomeNWLab

  2. 概要 • Cisco社のCatalyst 9800からCisco ISEにRADIUSで認証連携をし て、EAP-TLSで無線LAN端末を認証する設定例を紹介します。

  3. 検証時の情報 • Catalyst 9800-CL Version 17.14.1 • Catalyst CW9162I-Q •

    Cisco ISE Version 3.3.0.430

  4. 前提条件や注意事項 • FlexConnect mode(Central/Local Switching)で設定を行ってい る想定です。筆者による機能の妥当性の検証自体はLocal modeでも 行っております。 • Catalyst

    9800のWeb UIでの送信元のVRFやInterfaceの指定は Versionによって若干異なります。筆者の資料では v17.13.1 以上を 想定しています。 • Cisco ISEは v3.3 系のデフォルト設定であるのを前提としています。

  5. 事前整理

  6. 作業項目の概要 • 本資料ではEAP-TLSを動作させるために下記の最小限の設定を行います。 • Catalyst 9800 • RADIUS Server •

    RADIUS Server Group • Authentication Method List • WLAN Profile (既存設定の変更) • Cisco ISE • Network Access Device • Trusted Certificates

  7. 利用用途とAAA関連設定の必要有無 • 無線LANでよく利用されるセキュリティ機能にはEAP-TLS, CWA, MABなどがありま すが、利用する機能によってAAA Method ListとCoAの設定有無が変わるため整 理します。 設定種別

    EAP-TLS CWA (MAB含む) EAP-TLSとCWA AAA Method ListのAuthentication (認証) 必要 - 必要 〃 Authorization (認可) - 必要 必要 〃 Accounting - 必要 必要 RADIUS ServerのCoA - 必要 必要 【略語】 CWA: Central Web Authentication MAB: MAC Authentication Bypass CoA: Change of Authorization ↑ 本資料ではEAP-TLSのみを扱います。

  8. RADIUS関連の設定例 • 各種設定の命名を整理します。 • 本設定例ではRADIUS Serverは1台想定のため、必要に応じて2台 目を追加してください。 設定種別 命名規則 RADIUS

    Server RADSV_ISE01 RADIUS Server Group RADGRP_ISE Authentication Method List AuthC_EAP-TLS

  9. 既存設定の変更対象 • 既存設定に対して変更を行うため、変更内容の概要をまとめます。 設定項目 変更内容 WLAN Profile Security タブ配下の •

    Layer2 タブで Auth Key Mgmt に 802.1X 関連を指定 • AAA タブで Authentication List に AAA Method List を指定

  10. Catalyst 9800のEAP-TLS設定 1. RADIUS Server 2. RADIUS Server Group 3.

    Authentication Method List 4. WLAN Profile (既存設定の変更)

  11. RADIUS Server (EAP-TLS用) • メニュー「Configuration > Security > AAA」の「Servers /

    Groups > RADIUS > Server」 設定項目 設定値 備考 Name RADSV_ISE01 Server Address Cisco ISEのIPアドレス Key / Confirm Key 強固なパスワードを指定 CLI例示: TODO_CHANGE_PASSWORD Support for CoA EAP-TLSのみ: DISABLED CWA使用時: ENABLED EAP-TLS”のみ”であれば不要です。 CWAやDynamic VLANも利用予定であれば 有効化しておきます。 CoA Server Key / Confirm CoA Server Key CoA有効化時のみ Key と同じも のを指定 VRF ※v17.13.1 以上で対応 CoAが有効化且つVRF利用時の み指定

  12. CLI: RADIUS Server (EAP-TLSのみ想定/CoAなし) configure terminal aaa new-model aaa session-id

    common radius server RADSV_ISE01 address ipv4 192.0.2.111 auth-port 1812 acct-port 1813 key TODO_CHANGE_PASSWORD ! Keyを強固なパスワードに書き換えます。 環境に応じてCisco ISEのIPアドレスを書き換えます。 EAP-TLSのみ想定時

  13. CLI: RADIUS Server (CoAあり/VRFあり) configure terminal aaa new-model aaa server

    radius dynamic-author client 192.0.2.111 vrf Mgmt-intf server-key TODO_CHANGE_PASSWORD ! aaa session-id common radius server RADSV_ISE01 address ipv4 192.0.2.111 auth-port 1812 acct-port 1813 key TODO_CHANGE_PASSWORD ! CoAの設定です。環境に応じてCisco ISEのIPアドレスを書き換えます。 Keyを強固なパスワードに書き換えます。 Keyを強固なパスワードに書き換えます。 環境に応じてCisco ISEのIPアドレスを書き換えます。 VRFの有無は必要に応じて修正します。 EAP-TLS以外にもCWAやDynamic VLANの想定時

  14. 先に「Server」タブを設定します。

  15. EAP-TLSのみであればCoAは不要です。 CoAが無効化状態だと VRFは指定できないようになっています。 RADSV_ISE01 EAP-TLSのみ想定時

  16. CWAではCoAの有効化が必要です。 VRFの利用可否は 設計に応じて検討してください。 RADSV_ISE01 EAP-TLS以外にもCWAやDynamic VLANの想定時

  17. RADIUS Server Group • メニュー「Configuration > Security > AAA」 の

    「Servers / Groups > RADIUS > Server Group」 設定項目 設定値 備考 Name RADGRP_ISE Group Type RADIUS 固定値です。 IPv4 Source Interface ※環境に応じて指定 IPv4 VRF - ※未指定 対象InterfaceにVRFがある場合でも、 RADIUS Server Groupの方では未指定にします。 Assigned Servers RADSV_ISE01 先にRADIUS Serverを複数作成した場合は、忘れずに 全て指定します。

  18. CLI: RADIUS Server Group aaa group server radius RADGRP_ISE server

    name RADSV_ISE01 ip radius source-interface GigabitEthernet1 deadtime 5 ! 環境に応じて送信元Interfaceを書き換えます。

  19. 「Server Group」タブで設定します。

  20. 管理系やサービス系の有無を問わずに VRFは未指定のままにします。 対象の設定をAssigned Server側に移動します。 RADGRP_ISE 送信元Interfaceを明示的に指定します。

  21. Authentication (AuthC/AuthN) • メニュー: 「Configuration > Security > AAA」の「AAA Method

    List > Authentication」 設定項目 設定値 備考 Method List Name AuthC_EAP-TLS Group Type dot1x Group Type group Assigned Servers RADGRP_ISE 先に作成したRADIUS Server Groupを選択します。

  22. CLI: Authentication (AuthC/AuthN) aaa authentication dot1x AuthC_EAP-TLS group RADGRP_ISE

  23. Authentication (AuthC/AuthN)の方です。 Authorization (AuthZ)と混同しないように注意します。

  24. AuthC_EAP-TLS 対象の設定を Assigned Server Groups側に移動します。

  25. WLAN Profileの既存設定の変更 • WLAN Profileの既存設定を変更します。 • Auth Key Mgmtの設定はチューニングによって適切な値が変わる可能性があるため、本手 順では一例として紹介します。

    • Auth Key Mgmtは例として選択肢があります。 • WPA + WPA2 • 802.1X , 802.1X-SHA256 • WPA3 (Wi-Fi 6E対応SSIDの想定) • 802.1X-SHA256 , FT + 802.1X • FT + 802.1X の選択時は Fast Transition の Status を Enabled にす る必要があります。

  26. WLAN (既存設定の変更) • メニュー: Configuration > Tags & Profiles >

    WLANs より設定対象のWLANを選択します。 • Layer2 タブの設定がWi-Fi 6Eの6GHz帯への対応想定で WPA3 のパターンの例 • Layer2 タブの設定が2.4GHz帯と5GHz帯での運用想定で WPA+WPA2 パターンの例 • AAA タブはどのパターンでも共通 (WPA/WPA2/WPA3の認証方式に依存せず) 設定項目 設定値 備考 Auth Key Mgmt 例: 802.1X のみチェック 設定項目 設定値 備考 Authentication List AuthC_EAP-TLS 設定項目 設定値 備考 Auth Key Mgmt 例: 802.1X-SHA256 のみチェック Wi-Fi 6E (6GHz帯)の要件に対応す るものを選択しています。

  27. 各SSIDの設定内容に応じて 「Auth Key Mgmt」の設定の一部が変わります。

  28. WPA3選択時 (Wi-Fi 6E対応SSID)での設定例 WPA3選択時の一例です。 本例ではWi-Fi 6E対応のために 「802.1X-SHA256」を指定しています。

  29. WPA + WPA2での設定例 WPA + WPA2選択時の一例です。 本例では「802.1X」を指定しています。 Fast Transitionの利用状況によっては 「FT

    + 802.1X」の指定も検討してください。

  30. Security タブでのAuthentication Method Listの適用は どの認証方式(例: WPA3)を選んだ場合でも共通です。 共通

  31. CLI: WPA3 のパターン (一例) no wlan WLAN_OFFICE 98 OFFICE wlan

    WLAN_OFFICE 98 OFFICE shutdown radio policy dot11 24ghz radio policy dot11 5ghz radio policy dot11 6ghz no security ft adaptive no security wpa wpa2 no security wpa akm dot1x security wpa akm dot1x-sha256 security wpa wpa3 security dot1x authentication-list AuthC_EAP-TLS security pmf mandatory no shutdown WLAN Profileの設定を一から作り直すために no で一度削除しています。 WPA3選択時 (Wi-Fi 6E対応SSID)での設定例

  32. CLI: WPA+WPA2 のパターン (一例) no wlan WLAN_GUEST 99 GUEST wlan

    WLAN_GUEST 99 GUEST shutdown radio policy dot11 24ghz radio policy dot11 5ghz no radio policy dot11 6ghz security wpa akm dot1x security dot1x authentication-list AuthC_EAP-TLS no shutdown WPA + WPA2での設定例 WLAN Profileの設定を一から作り直すために no で一度削除しています。

  33. 設定の保存 • 設定の保存を忘れないようにしてください。

  34. Cisco ISEのEAP-TLS設定 1. Network Access Device 2. Trusted Certificates

  35. Cisco ISEのEAP-TLS設定の概要 • Cisco ISEの v3.3 系の場合はデフォルト値を活用すれば、下記の設定 のみでEAP-TLSが動作します。 1. Network

    Access Deviceの登録 2. EAP-TLSに用いるクライアント証明書の信頼設定

  36. Network Access Device (NAD) • メニュー: 「Administration > Network Resource

    > Network Devices」の「Network Devices」 • ISEでC9800からのRADIUS通信を受けるための設定です。 設定項目 設定値 備考 Name 例: wlc01 管理しやすい名称を指定します。 IP Address IP: Catalyst 9800のIPアドレス / 32 管理系 (VRF: Mgmt-intf)とサービ ス系 (WMI)を混同しないように注意 します。 RADIUS Authentication Settings Shared Secret 強固なパスワードを指定 C9800側のCLI例示用設定: TODO_CHANGE_PASSWORD
  37. None

  38. NAD (Network Access Device)としてWLCを登録 (Add)します。

  39. C9800の送信元IPアドレスを指定します。 管理系 (VRF: Mgmt-intf)とサービス系 (WMI)があるため、 混同しないように注意して設定します。 管理しやすい名称を指定します。 特に指定がなければHostnameと合わせます。

  40. C9800のRADIUS ServerのKey (CoA含む)と合わせます。

  41. Trusted Certificate • メニュー: 「Administration > System > Certificate」の「Certificate Management

    > Trusted Certificates」 • 認証局のRoot CertificateをISEに信頼させるための設定です。 設定項目 設定値 Certificate File 例: 認証局のRoot Certificate ※備考: クライアント証明書を信頼するために、発行先 (認 証局)の証明書を指定します。 Friendly Name 例: EAP Authentication Certificate YYYYMMDD ※名称の重複ができないため、証明書の更新を想定して筆 者は年月日を名称に含めるようにしています。 Trust for authentication within ISE 有効化 Trust for client authentication and Syslog 有効化
  42. None

  43. Import ボタンから証明書を取り込みます。

  44. EAP Authentication Certificate YYYYMMDD 証明書をアップロードします。 チェックをつけて有効化します。

  45. 設定に関する補足 • Cisco ISEの v3.3 系ではこの段階の設定でEAP-TLSが動作します。 • その他にEAP-TLSに関わる下記の設定を参考のために掲載します。 a) Allowed

    Protocols b) Policy Sets 1. Authentication Policy: Dot1x Rule 2. Authorization Policy: Basic_Authenticated_Access Rule c) Identity Source Sequences: All_User_ID_Stores d) External Identity Sources • Certificate Authentication Profile (CAP): Certificate Authentication Profile

  46. 参考情報: Allowed Protocol

  47. None
  48. None

  49. 「Allow EAP-TLS」がチェックされているのを確認します。

  50. 参考情報: Policy Sets - Authentication Policy - Authorization Policy

  51. None
  52. None

  53. EAP-TLSの場合は「Wireless_802.1X」の条件にヒットします。 Authentication (AuthN/AuthC) Policyの方です。 Authorization (AuthZ)もあるので混同しないように注意します。

  54. EAP-TLSでの認証が成功すると、 「Basic_Authenticated_Access」によって認可されます。

  55. 参考情報: Identity Source Sequences

  56. EAP-TLSの場合は「All_User_ID_Store」が参照されます。

  57. None
  58. None

  59. 「Preloaded_Certificate_Profile」 (後述)が参照されます。

  60. 参考情報: External Identity Sources > Certificate Authentication Profile

  61. None

  62. 「All_User_ID_Store」から参照されている設定です。

  63. 検証用の最低限の設定のため、 Identity Storeは参照しないままにしています。

  64. End Of File 本スライドが資料の最後です。