Catalyst 9800とCisco ISEのEAP-TLSの設定例/EAP-TLS_configuration_example_for_Catalyst 9800_and_Cisco_ISE

Slide 1

Slide 1 text

Catalyst 9800とCisco ISEの EAP-TLSの設定例初版作成日: 2024/08/14 作成者: MyHomeNWLab

Slide 2

Slide 2 text

概要 • Cisco社のCatalyst 9800からCisco ISEにRADIUSで認証連携をして、EAP-TLSで無線LAN端末を認証する設定例を紹介します。

Slide 3

Slide 3 text

検証時の情報 • Catalyst 9800-CL Version 17.14.1 • Catalyst CW9162I-Q • Cisco ISE Version 3.3.0.430

Slide 4

Slide 4 text

前提条件や注意事項 • FlexConnect mode(Central/Local Switching)で設定を行っている想定です。筆者による機能の妥当性の検証自体はLocal modeでも行っております。 • Catalyst 9800のWeb UIでの送信元のVRFやInterfaceの指定は Versionによって若干異なります。筆者の資料では v17.13.1 以上を想定しています。 • Cisco ISEは v3.3 系のデフォルト設定であるのを前提としています。

Slide 5

Slide 5 text

事前整理

Slide 6

Slide 6 text

作業項目の概要 • 本資料ではEAP-TLSを動作させるために下記の最小限の設定を行います。 • Catalyst 9800 • RADIUS Server • RADIUS Server Group • Authentication Method List • WLAN Profile (既存設定の変更) • Cisco ISE • Network Access Device • Trusted Certificates

Slide 7

Slide 7 text

利用用途とAAA関連設定の必要有無 • 無線LANでよく利用されるセキュリティ機能にはEAP-TLS, CWA, MABなどがありますが、利用する機能によってAAA Method ListとCoAの設定有無が変わるため整理します。設定種別 EAP-TLS CWA (MAB含む) EAP-TLSとCWA AAA Method ListのAuthentication (認証) 必要 - 必要〃 Authorization (認可) - 必要必要〃 Accounting - 必要必要 RADIUS ServerのCoA - 必要必要【略語】 CWA: Central Web Authentication MAB: MAC Authentication Bypass CoA: Change of Authorization ↑ 本資料ではEAP-TLSのみを扱います。

Slide 8

Slide 8 text

RADIUS関連の設定例 • 各種設定の命名を整理します。 • 本設定例ではRADIUS Serverは1台想定のため、必要に応じて2台目を追加してください。設定種別命名規則 RADIUS Server RADSV_ISE01 RADIUS Server Group RADGRP_ISE Authentication Method List AuthC_EAP-TLS

Slide 9

Slide 9 text

既存設定の変更対象 • 既存設定に対して変更を行うため、変更内容の概要をまとめます。設定項目変更内容 WLAN Profile Security タブ配下の • Layer2 タブで Auth Key Mgmt に 802.1X 関連を指定 • AAA タブで Authentication List に AAA Method List を指定

Slide 10

Slide 10 text

Catalyst 9800のEAP-TLS設定 1. RADIUS Server 2. RADIUS Server Group 3. Authentication Method List 4. WLAN Profile (既存設定の変更)

Slide 11

Slide 11 text

RADIUS Server (EAP-TLS用) • メニュー「Configuration > Security > AAA」の「Servers / Groups > RADIUS > Server」設定項目設定値備考 Name RADSV_ISE01 Server Address Cisco ISEのIPアドレス Key / Confirm Key 強固なパスワードを指定 CLI例示: TODO_CHANGE_PASSWORD Support for CoA EAP-TLSのみ: DISABLED CWA使用時: ENABLED EAP-TLS”のみ”であれば不要です。 CWAやDynamic VLANも利用予定であれば有効化しておきます。 CoA Server Key / Confirm CoA Server Key CoA有効化時のみ Key と同じものを指定 VRF ※v17.13.1 以上で対応 CoAが有効化且つVRF利用時のみ指定

Slide 12

Slide 12 text

CLI: RADIUS Server (EAP-TLSのみ想定/CoAなし) configure terminal aaa new-model aaa session-id common radius server RADSV_ISE01 address ipv4 192.0.2.111 auth-port 1812 acct-port 1813 key TODO_CHANGE_PASSWORD ! Keyを強固なパスワードに書き換えます。環境に応じてCisco ISEのIPアドレスを書き換えます。 EAP-TLSのみ想定時

Slide 13

Slide 13 text

CLI: RADIUS Server (CoAあり/VRFあり) configure terminal aaa new-model aaa server radius dynamic-author client 192.0.2.111 vrf Mgmt-intf server-key TODO_CHANGE_PASSWORD ! aaa session-id common radius server RADSV_ISE01 address ipv4 192.0.2.111 auth-port 1812 acct-port 1813 key TODO_CHANGE_PASSWORD ! CoAの設定です。環境に応じてCisco ISEのIPアドレスを書き換えます。 Keyを強固なパスワードに書き換えます。 Keyを強固なパスワードに書き換えます。環境に応じてCisco ISEのIPアドレスを書き換えます。 VRFの有無は必要に応じて修正します。 EAP-TLS以外にもCWAやDynamic VLANの想定時

Slide 14

Slide 14 text

先に「Server」タブを設定します。

Slide 15

Slide 15 text

EAP-TLSのみであればCoAは不要です。 CoAが無効化状態だと VRFは指定できないようになっています。 RADSV_ISE01 EAP-TLSのみ想定時

Slide 16

Slide 16 text

CWAではCoAの有効化が必要です。 VRFの利用可否は設計に応じて検討してください。 RADSV_ISE01 EAP-TLS以外にもCWAやDynamic VLANの想定時

Slide 17

Slide 17 text

RADIUS Server Group • メニュー「Configuration > Security > AAA」の「Servers / Groups > RADIUS > Server Group」設定項目設定値備考 Name RADGRP_ISE Group Type RADIUS 固定値です。 IPv4 Source Interface ※環境に応じて指定 IPv4 VRF - ※未指定対象InterfaceにVRFがある場合でも、 RADIUS Server Groupの方では未指定にします。 Assigned Servers RADSV_ISE01 先にRADIUS Serverを複数作成した場合は、忘れずに全て指定します。

Slide 18

Slide 18 text

CLI: RADIUS Server Group aaa group server radius RADGRP_ISE server name RADSV_ISE01 ip radius source-interface GigabitEthernet1 deadtime 5 ! 環境に応じて送信元Interfaceを書き換えます。

Slide 19

Slide 19 text

「Server Group」タブで設定します。

Slide 20

Slide 20 text

管理系やサービス系の有無を問わずに VRFは未指定のままにします。対象の設定をAssigned Server側に移動します。 RADGRP_ISE 送信元Interfaceを明示的に指定します。

Slide 21

Slide 21 text

Authentication (AuthC/AuthN) • メニュー: 「Configuration > Security > AAA」の「AAA Method List > Authentication」設定項目設定値備考 Method List Name AuthC_EAP-TLS Group Type dot1x Group Type group Assigned Servers RADGRP_ISE 先に作成したRADIUS Server Groupを選択します。

Slide 22

Slide 22 text

CLI: Authentication (AuthC/AuthN) aaa authentication dot1x AuthC_EAP-TLS group RADGRP_ISE

Slide 23

Slide 23 text

Authentication (AuthC/AuthN)の方です。 Authorization (AuthZ)と混同しないように注意します。

Slide 24

Slide 24 text

AuthC_EAP-TLS 対象の設定を Assigned Server Groups側に移動します。

Slide 25

Slide 25 text

WLAN Profileの既存設定の変更 • WLAN Profileの既存設定を変更します。 • Auth Key Mgmtの設定はチューニングによって適切な値が変わる可能性があるため、本手順では一例として紹介します。 • Auth Key Mgmtは例として選択肢があります。 • WPA + WPA2 • 802.1X , 802.1X-SHA256 • WPA3 (Wi-Fi 6E対応SSIDの想定) • 802.1X-SHA256 , FT + 802.1X • FT + 802.1X の選択時は Fast Transition の Status を Enabled にする必要があります。

Slide 26

Slide 26 text

WLAN (既存設定の変更) • メニュー: Configuration > Tags & Profiles > WLANs より設定対象のWLANを選択します。 • Layer2 タブの設定がWi-Fi 6Eの6GHz帯への対応想定で WPA3 のパターンの例 • Layer2 タブの設定が2.4GHz帯と5GHz帯での運用想定で WPA+WPA2 パターンの例 • AAA タブはどのパターンでも共通 (WPA/WPA2/WPA3の認証方式に依存せず) 設定項目設定値備考 Auth Key Mgmt 例: 802.1X のみチェック設定項目設定値備考 Authentication List AuthC_EAP-TLS 設定項目設定値備考 Auth Key Mgmt 例: 802.1X-SHA256 のみチェック Wi-Fi 6E (6GHz帯)の要件に対応するものを選択しています。

Slide 27

Slide 27 text

各SSIDの設定内容に応じて「Auth Key Mgmt」の設定の一部が変わります。

Slide 28

Slide 28 text

WPA3選択時 (Wi-Fi 6E対応SSID)での設定例 WPA3選択時の一例です。本例ではWi-Fi 6E対応のために「802.1X-SHA256」を指定しています。

Slide 29

Slide 29 text

WPA + WPA2での設定例 WPA + WPA2選択時の一例です。本例では「802.1X」を指定しています。 Fast Transitionの利用状況によっては「FT + 802.1X」の指定も検討してください。

Slide 30

Slide 30 text

Security タブでのAuthentication Method Listの適用はどの認証方式(例: WPA3)を選んだ場合でも共通です。共通

Slide 31

Slide 31 text

CLI: WPA3 のパターン (一例) no wlan WLAN_OFFICE 98 OFFICE wlan WLAN_OFFICE 98 OFFICE shutdown radio policy dot11 24ghz radio policy dot11 5ghz radio policy dot11 6ghz no security ft adaptive no security wpa wpa2 no security wpa akm dot1x security wpa akm dot1x-sha256 security wpa wpa3 security dot1x authentication-list AuthC_EAP-TLS security pmf mandatory no shutdown WLAN Profileの設定を一から作り直すために no で一度削除しています。 WPA3選択時 (Wi-Fi 6E対応SSID)での設定例

Slide 32

Slide 32 text

CLI: WPA+WPA2 のパターン (一例) no wlan WLAN_GUEST 99 GUEST wlan WLAN_GUEST 99 GUEST shutdown radio policy dot11 24ghz radio policy dot11 5ghz no radio policy dot11 6ghz security wpa akm dot1x security dot1x authentication-list AuthC_EAP-TLS no shutdown WPA + WPA2での設定例 WLAN Profileの設定を一から作り直すために no で一度削除しています。

Slide 33

Slide 33 text

設定の保存 • 設定の保存を忘れないようにしてください。

Slide 34

Slide 34 text

Cisco ISEのEAP-TLS設定 1. Network Access Device 2. Trusted Certificates

Slide 35

Slide 35 text

Cisco ISEのEAP-TLS設定の概要 • Cisco ISEの v3.3 系の場合はデフォルト値を活用すれば、下記の設定のみでEAP-TLSが動作します。 1. Network Access Deviceの登録 2. EAP-TLSに用いるクライアント証明書の信頼設定

Slide 36

Slide 36 text

Network Access Device (NAD) • メニュー: 「Administration > Network Resource > Network Devices」の「Network Devices」 • ISEでC9800からのRADIUS通信を受けるための設定です。設定項目設定値備考 Name 例: wlc01 管理しやすい名称を指定します。 IP Address IP: Catalyst 9800のIPアドレス / 32 管理系 (VRF: Mgmt-intf)とサービス系 (WMI)を混同しないように注意します。 RADIUS Authentication Settings Shared Secret 強固なパスワードを指定 C9800側のCLI例示用設定: TODO_CHANGE_PASSWORD

Slide 37

Slide 37 text

No content

Slide 38

Slide 38 text

NAD (Network Access Device)としてWLCを登録 (Add)します。

Slide 39

Slide 39 text

C9800の送信元IPアドレスを指定します。管理系 (VRF: Mgmt-intf)とサービス系 (WMI)があるため、混同しないように注意して設定します。管理しやすい名称を指定します。特に指定がなければHostnameと合わせます。

Slide 40

Slide 40 text

C9800のRADIUS ServerのKey (CoA含む)と合わせます。

Slide 41

Slide 41 text

Trusted Certificate • メニュー: 「Administration > System > Certificate」の「Certificate Management > Trusted Certificates」 • 認証局のRoot CertificateをISEに信頼させるための設定です。設定項目設定値 Certificate File 例: 認証局のRoot Certificate ※備考: クライアント証明書を信頼するために、発行先 (認証局)の証明書を指定します。 Friendly Name 例: EAP Authentication Certificate YYYYMMDD ※名称の重複ができないため、証明書の更新を想定して筆者は年月日を名称に含めるようにしています。 Trust for authentication within ISE 有効化 Trust for client authentication and Syslog 有効化

Slide 42

Slide 42 text

No content

Slide 43

Slide 43 text

Import ボタンから証明書を取り込みます。

Slide 44

Slide 44 text

EAP Authentication Certificate YYYYMMDD 証明書をアップロードします。チェックをつけて有効化します。

Slide 45

Slide 45 text

設定に関する補足 • Cisco ISEの v3.3 系ではこの段階の設定でEAP-TLSが動作します。 • その他にEAP-TLSに関わる下記の設定を参考のために掲載します。 a) Allowed Protocols b) Policy Sets 1. Authentication Policy: Dot1x Rule 2. Authorization Policy: Basic_Authenticated_Access Rule c) Identity Source Sequences: All_User_ID_Stores d) External Identity Sources • Certificate Authentication Profile (CAP): Certificate Authentication Profile

Slide 46

Slide 46 text

参考情報: Allowed Protocol

Slide 47

Slide 47 text

No content

Slide 48

Slide 48 text

No content

Slide 49

Slide 49 text

「Allow EAP-TLS」がチェックされているのを確認します。

Slide 50

Slide 50 text

参考情報: Policy Sets - Authentication Policy - Authorization Policy

Slide 51

Slide 51 text

No content

Slide 52

Slide 52 text

No content

Slide 53

Slide 53 text

EAP-TLSの場合は「Wireless_802.1X」の条件にヒットします。 Authentication (AuthN/AuthC) Policyの方です。 Authorization (AuthZ)もあるので混同しないように注意します。

Slide 54

Slide 54 text

EAP-TLSでの認証が成功すると、「Basic_Authenticated_Access」によって認可されます。

Slide 55

Slide 55 text

参考情報: Identity Source Sequences

Slide 56

Slide 56 text

EAP-TLSの場合は「All_User_ID_Store」が参照されます。

Slide 57

Slide 57 text

No content

Slide 58

Slide 58 text

No content

Slide 59

Slide 59 text

「Preloaded_Certificate_Profile」 (後述)が参照されます。

Slide 60

Slide 60 text

参考情報: External Identity Sources > Certificate Authentication Profile

Slide 61

Slide 61 text

No content

Slide 62

Slide 62 text

「All_User_ID_Store」から参照されている設定です。

Slide 63

Slide 63 text

検証用の最低限の設定のため、 Identity Storeは参照しないままにしています。

Slide 64

Slide 64 text

End Of File 本スライドが資料の最後です。