วิธีการคอนฟิก 802.1x บนอุปกรณ์ Cisco Wireless LAN Controller(WLC) โดยใช้ Cisco Identity Service Engine (ISE)

ในบทความนี้จะอธิบายวิธีการตั้งค่า WLAN กับมาตรฐานความปลอดภัย 802.1x บน Cisco WLC โดยใช้ Cisco Identity Service Engine (ISE)

อุปกรณ์ที่ใช้

  • Wireless LAN Controller 2504 (Version 8.5)
  • Identity Service Engine (Version 2.4)
  • Windows Server 2016 (AD)

1. การคอนฟิกบน Wireless LAN Controller (WLC)

1.1 คอนฟิก Radius Server (ISE)

  • เพื่อใช้ในการสื่อสารระหว่าง WLC กับ Radius Server
  • ไปที่ SECURITY > RADIUS > Authentication > New

  • ใส่หมายเลข IP และ Secret Key ที่จะใช้ Sync ระหว่าง ISE กับ WLC >> กด Apply

  • คลิกที่ Accounting >> New

  • ใส่หมายเลข IP และ Secret Key ที่จะใช้ Sync ระหว่าง ISE กับ WLC >> กด Apply

1.2 สร้าง WLANs

  • ไปที่ WLANs >>  Create New >> Go

  • ใส่ Profile Name และ SSID >> Apply

  • ไปที่ General >>  คลิ๊ก Enable Status และ เลือก Interface ที่เราต้องการ

  • ไปที่ Security >> AAA Server >> ใส่หมายเลข IP ของ ISE

  • ไปที่ Advanced >> “Enable” Allow AAA Override และ เปลี่ยน Session Timeout เป็น 28800 >> Apply

2. การคอนฟิกบน Identity Service Engine (ISE)

2.1 Add WLC to Network Device on ISE

  • ไปที่ Administration >> Network Devices >> Add

  • ใส่ชื่อ และ หมายเลข IP ของ WLC

  • เลื่อนลงมาที่ Radius Authentication Settings >> ใส่ Secret key ให้ตรงกับบน WLC

  • ตรวจสอบข้อมูล และกด Summit

2.2 Add Users to ISE

ในบทความนี้จะทำการ Add Users จาก 2 ส่วน ด้วยกันคือ Local User บน ISE และ การ Add Users จาก Active Directory (AD)

2.2.1 Add Local User

  • ไปที่ Administration >> Identity

  • คลิ๊ก Add

  • ใส่ Username , Password และเลือก User Group >> กด Summit

2.2.2 Add User จาก Active Directory(AD)

  • ไปที่ Administration >> External Identity Sources
  • คลิ๊ก Active Directory >> Add

  • ใส่หมายเลข IP ของ Active Directory และ ชื่อ Domain >> กด Summit

  • คลิ๊กเครื่องหมายถูกที่ Active Directory ที่เราเพิ่งเพิ่มมา >> จากนั้นคลิ๊ก Join

  • ใส่ Username ที่เราให้สิทธิ์ในการเข้าถึงข้อมูลบน Active Directory (User บน AD Server) >> กด OK

  • เมื่อ join AD สำเร็จจะแสดงข้อมูลดังรูป

  • ทดสอบ User จาก AD  >> คลิ๊ก Test User

  • ใส่ User บน AD ที่เราต้องการทดสอบ หากทดสอบผ่านจะแสดงข้อความ “Success”

2.3 กำหนด Policy สำหรับ User ที่ Login เข้าสู่ระบบ

2.3.1 สร้าง Authorization Profile
Authorization Profile จะเป็นตัวกำหนดว่า Client ที่ Login เข้ามา มีสิทธิ์ในการเข้าใช้งานระบบหรือไม่ โดยจะตรวจสอบจาก Access Control List (ACL) ที่เราได้กำหนดไว้

** Cisco ISE มี Default Profiles สำหรับอนุญาติให้เข้าใช้งานได้ ชื่อ “Permit Access” ซึ่งเราไม่จำเป็นต้องทำขั้นตอนนี้ก็ได้ หากไม่ต้องการ Customize Policy

  • ไปที่ Policy >> Result

  • ไปที่ Authorization Profiles >> Add

  • ใส่ชื่อ Profile , เลือก Access Type เป็น Access Accept และ ใน Common Task >> VLAN ใส่หมายของ VLAN ของ Interface ที่ใช้งานบน WLC หรือ VLAN ที่ต้องการให้ User ได้รับ หลังจาก Login สำเร็จ

  • ตรวจสอบข้อมูล และ กด Save

2.3.2 สร้าง Policy Sets

  • ไปที่ Policy >> Policy Sets

  • คลิ๊ก “+” เพื่อสร้าง Policy ใหม่  >> ตั้งชื่อ Policy >> Click “+” เพื่อ Add Condition

  • ลาก “Wireless_802.1x ” จากฝั่งซ้าย ไปยัง Text Box ฝั่งขวา >> กด Use

  • Allowed Protocol เลือก Default Network Access >> กด Save >> จากนั้น กด ” > “

  • ไปที่ Authentication Policy >> คลิ๊ก “+” เพื่อสร้าง Policy ใหม่ >> ตั้งชื่อ Policy >> คลิ๊ก ” + ” เพื่อ Add Conditions

  • Click ที่ช่อง Attribute  จากนั้นเลือก ” Radius Called-Station-ID ”  >> End with “ISE_LAB” คือ SSID ที่เราสร้างใน WLC >> กด Use

** Attribute ที่ใช้แมพกับ WLC สามารถใช้ได้หลายแบบ เช่น WLAN ID หรือ SSID  แต่ในตัวอย่างนี้จะใช้ SSID ครับ

  • เลือกกลุ่มของ User ที่เราต้องการอนุญาติให้เข้าใช้งาน ในตัวอย่างนี้เลือก “ALL_User_ID_Stores” และเลือก Options เป็น Reject , Reject , Drop

  • ไปที่ Authorization Policy >> คลิ๊ก ” + ” เพื่อสร้าง Policy ใหม่ >> ตั้งชื่อ Policy >> คลิ๊ก ” + ” เพื่อ Add Condition

  • คลิ๊ก Add Attribute และเลือก Attribute เป็น Radius Called-Station-ID >> End With “ISE_LAB”  คือ SSID ที่เราสร้างบน WLC >> กด Use

  • เลือก Result Profile เป็น Profile ที่เราสร้างใน ขั้นตอนที่ 3.1 >> กด Save

3. ทดสอบการใช้งาน

  • Connect WiFi กับ SSID ที่เราสร้าง ถ้าสำเร็จจะสามารถใช้งานระบบเครือข่ายได้

  • เข้าไปดูสถานะการเชื่อมต่อที่ ISE โดยไปที่  Operations >> Radius >> Live Logs ซึ่งจะแสดงสถานะ ดังนี้

  • และเมื่อคลิ๊กเข้าไปที่ Details จะแสดงรายละเอียด การเชื่อต่อในแต่ละขั้นตอน ซึ่งจะเห็นได้ว่า Client ที่ Login เข้ามา Login ได้ถูกต้องตาม Policy ที่เราได้กำหนดไว้