การคอนฟิก Cisco ISE 802.1X กับ Catalyst 9800 Wireless Controller Series

ในบทความนี้อธิบายเกี่ยวกับการตั้งค่า Wireless Local Area Network (WLAN) โดยใช้การ Authentication ผ่าน Protocol 802.1X

และทำ Policy และอ่านข้อมูลข้อง User ผ่าน Cisci Identity Services Engine (ISE)

Components ต่างๆ ที่ใช้

  • Cisco Identity Services Engine (ISE) 3.1
  • Catalyst 9800 Wireless Controller Series (Catalyst 9800-CL)
  • Cisco IOS-XE Amsterdam-17.3.3

การ Configuration

Step 1 : Add RADIUS Server ไปที่ Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add

กรอกข้อมูลของ ISE และ Enable CoA

Step 2: Add Radius server เข้า Radius Server Group : ไปที่ Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add

ตั้งชื่อ Group กรอกข้อมูล และเลือก ISE เข้า Group

Step 3 : สร้าง Authentication Method ไปที่ : Configuration > Security > AAA > AAA Method List > Authentication > + Add

ตั้งชื่อและกรอกข้อมูล

WLAN Profile Configuration

Step 1 : สร้าง WLAN : ไปที่ Configuration > Tags & Profiles > WLANs > + Add

Step 2 : ใส่ข้อมูลของ WLAN ที่ต้องการ

Step 3 : ไปที่ Security > เลือกวิธีการ Authentication เป็น WPA2 + 802.1X

เลือก WPA2 Policy และเลือก Encryption Method

Step 4 : ไปที่ Security > AAA

Policy Profile Configuration

ในหัวข้อ Policy Profile เราจะทำการกำหนด VLAN ที่ต้องการแจกให้กับ Client ได้

Step 1: ไปที่ Configuration > Tags & Profiles > Policy Profile > เลือก Profile ที่ต้องการใช้งาน (ใช้ Default ก็ได้ครับ)

Step 2 : ไปที่ General และ เปิดใช้การฟังก์ชั่นต่างๆ ดังรูป

Step 3 : กำหนด VLAN ที่ต้องการแจกให้ Client

Step 4 : เพื่อรองรับการใช้งาน VLAN Assignment ทำการ Enable AAA Overide

Policy Tag Configuration

Policy  Tag ใช้สำหรับ  Link ค่า Configuration ระหว่าง SSIP กับ Policy Profile ซึ่งสามารถสร้างใหม่ หรือใช้ ค่า System Default ได้

Step 1 : ไปที่ Configuration > Tags & Profiles > Tags

Step 2 : Link WLAN Profiles กับ Policy profile ที่ต้องการ

กำหนด Policy Tag ไปที่ AP ที่ต้องการ

Step 1 : ไปที่ Wireless Setup > Advanced > Start Now

Step 2 : คลิกที่ Tag APs > เลือก AP ที่ต้องการ Tag > และกด + Tag APs

Step 3 : เลือก  Tag ที่ต้องการ

ISE Configuration

Step 1 : Add Network Device ไปที่ Administration > Network Resources > Network Devices > Add

Step 2 : ตั้งชื่อ, IP Address และ ใส่ Shared Secret key

Step 3 : ตรวจสอบ Policy Set > ใช้ค่า Default บน ISE : ไปที่ Policy > Policy Sets

Step 4 : สร้าง Internal User สำหรับ ทดสอบ : ไปที่ Administration > Identity Management > Identities > Users > Add

Result

ทดสอบใช้อุปกรณ์ล็อคอินเข้ามาใช้งาน SSID ที่เราสร้าง และจะเห็น Log การเชื่อมต่อเข้ามา ซึ่งจะเห็นว่า ตรงตาม Policy ที่เรากำนหนด นั่นคือ Default policy บน Cisco ISE