ในบทความนี้อธิบายเกี่ยวกับการตั้งค่า Wireless Local Area Network (WLAN) โดยใช้การ Authentication ผ่าน Protocol 802.1X
และทำ Policy และอ่านข้อมูลข้อง User ผ่าน Cisci Identity Services Engine (ISE)
Components ต่างๆ ที่ใช้
- Cisco Identity Services Engine (ISE) 3.1
- Catalyst 9800 Wireless Controller Series (Catalyst 9800-CL)
- Cisco IOS-XE Amsterdam-17.3.3
การ Configuration
Step 1 : Add RADIUS Server ไปที่ Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add
กรอกข้อมูลของ ISE และ Enable CoA
Step 2: Add Radius server เข้า Radius Server Group : ไปที่ Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add
ตั้งชื่อ Group กรอกข้อมูล และเลือก ISE เข้า Group
Step 3 : สร้าง Authentication Method ไปที่ : Configuration > Security > AAA > AAA Method List > Authentication > + Add
ตั้งชื่อและกรอกข้อมูล
WLAN Profile Configuration
Step 1 : สร้าง WLAN : ไปที่ Configuration > Tags & Profiles > WLANs > + Add
Step 2 : ใส่ข้อมูลของ WLAN ที่ต้องการ
Step 3 : ไปที่ Security > เลือกวิธีการ Authentication เป็น WPA2 + 802.1X
เลือก WPA2 Policy และเลือก Encryption Method
Step 4 : ไปที่ Security > AAA
Policy Profile Configuration
ในหัวข้อ Policy Profile เราจะทำการกำหนด VLAN ที่ต้องการแจกให้กับ Client ได้
Step 1: ไปที่ Configuration > Tags & Profiles > Policy Profile > เลือก Profile ที่ต้องการใช้งาน (ใช้ Default ก็ได้ครับ)
Step 2 : ไปที่ General และ เปิดใช้การฟังก์ชั่นต่างๆ ดังรูป
Step 3 : กำหนด VLAN ที่ต้องการแจกให้ Client
Step 4 : เพื่อรองรับการใช้งาน VLAN Assignment ทำการ Enable AAA Overide
Policy Tag Configuration
Policy Tag ใช้สำหรับ Link ค่า Configuration ระหว่าง SSIP กับ Policy Profile ซึ่งสามารถสร้างใหม่ หรือใช้ ค่า System Default ได้
Step 1 : ไปที่ Configuration > Tags & Profiles > Tags
Step 2 : Link WLAN Profiles กับ Policy profile ที่ต้องการ
กำหนด Policy Tag ไปที่ AP ที่ต้องการ
Step 1 : ไปที่ Wireless Setup > Advanced > Start Now
Step 2 : คลิกที่ Tag APs > เลือก AP ที่ต้องการ Tag > และกด + Tag APs
Step 3 : เลือก Tag ที่ต้องการ
ISE Configuration
Step 1 : Add Network Device ไปที่ Administration > Network Resources > Network Devices > Add
Step 2 : ตั้งชื่อ, IP Address และ ใส่ Shared Secret key
Step 3 : ตรวจสอบ Policy Set > ใช้ค่า Default บน ISE : ไปที่ Policy > Policy Sets
Step 4 : สร้าง Internal User สำหรับ ทดสอบ : ไปที่ Administration > Identity Management > Identities > Users > Add
Result
ทดสอบใช้อุปกรณ์ล็อคอินเข้ามาใช้งาน SSID ที่เราสร้าง และจะเห็น Log การเชื่อมต่อเข้ามา ซึ่งจะเห็นว่า ตรงตาม Policy ที่เรากำนหนด นั่นคือ Default policy บน Cisco ISE
