Catalyst 9800において、RADIUSで認証サーバーにSSIDや無線APの位置設定を通知する設定方法を整理します。
概要
Catalyst 9800ではWireless AAA Policyの設定項目で認証サーバーに通知される項目が制御されています。
デフォルトではSystem Nameで(WLCの)Hostnameのみが通知される設定となっているため、SSIDや無線APの位置設定を通知するには設定の変更が必要です。
またPolicy ProfileにWireless AAA Policyを紐付ける必要があり、デフォルトでは Wireless AAA Policy: default-aaa-policyがグローバル設定として参照されるようになっています。
検証時の環境
検証は下記の環境で行いました。
設定
Wireless AAA Policyでの定義
まずは「通知したい対象の情報」を定義します。
メニュー: Configuration > Security > Wireless AAA Policyに移動します。
グローバル設定として一律に変更したい場合は default-aaa-policyを編集します。
Policy Profileによって通知内容を変えたり、カスタマイズしているのを明示化したい場合は、新たにWireless AAA Policyを定義します。
Web UIとCLIともに3つまで指定が可能です。
本設定で指定した情報は「RADIUSのNAS-Identifier」として認証サーバーに通知されます。
複数の情報を定義した場合の区切り文字はコロン (:)になります。
v17.14.1 で指定可能な項目は下記でした。
| 項目 | 説明 |
|---|---|
| ap-eth-mac | AP EthernetMAC |
| ap-ip | AP IP address |
| ap-location | AP Location |
| ap-mac | AP MAC address |
| ap-name | AP Name |
| ap-policy-tag | AP Policy Tag |
| ap-site-tag | AP Site Tag |
| custom-string | Custom string |
| ssid | SSID |
| sys-ip | System IP Address |
| sys-mac | System MAC address |
| sys-name | System Name |
Policy Profileとの紐付け
「通知対象の定義」(Wireless AAA Policy)をPolicy Profileに紐付けます。
デフォルトではWireless AAA Policy: default-aaa-policyがグローバル設定として紐づいています。
カスタマイズした定義を利用したい場合は、個々のPolicy Profileの紐付けを変更します。
メニュー: Configuration > Tags & Profiles > Policyに移動して、設定対象のPolicy Profileを開きます。
Advancedタブの AAA Policyセクションに Policy Nameの設定でWireless AAA Policyを紐付けします。
グローバル設定であるWireless AAA Policy: default-aaa-policyを利用する場合でも、対象Policy Profileが意図したものを参照しているか確認してください。
Cisco ISEでの条件指定の例
Catalyst 9800側で情報を通知しても認証サーバー側で活用できないと意味が薄いため、Cisco ISEでの設定例を紹介します。
Cisco ISEの場合は RADIUS・NAS-Identifierで条件を指定します。
NAS-ID Optionは最大で3つまで指定できるため、
* NAS-ID Option 1は Starts withで先頭にあるか
* NAS-ID Option 2は Containsで含まれているか
* NAS-ID Option 3は Ends Withで最後にあるか
などで条件にヒットするか確認します。
参考情報: 確認方法
パケット キャプチャによる確認
下記はパケット キャプチャでNAS-Identifierを確認した例です。
データグラムのレベルでも区切り文字がコロン (:)になっているのを確認できます。
Cisco ISE側での確認
認証サーバーにCisco ISEを利用している場合は、Live logsよりNAS-Identifierを確認が可能です。
関連ドキュメント
CiscoCatalyst 9800 Series Wireless Controller Software Configuration Guide, CiscoIOS XE 17.14.x - Network Access Server Identifier [CiscoCatalyst 9800 Series Wireless Controllers] - Cisco
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-14/config-guide/b_wl_17_14_cg/m_nas-id.html
日本語翻訳
日本語翻訳は古めのVersionとなっています。
CiscoCatalyst 9800 シリーズ ワイヤレス コントローラ(CiscoIOS XE Gibraltar 16.10.x)ソフトウェア コンフィギュレーションガイド - ネットワーク アクセス サーバ識別子 [CiscoCatalyst 9800 シリーズ ワイヤレス コントローラ] - Cisco
https://www.cisco.com/c/ja_jp/td/docs/wireless/controller/9800/config-guide/b_wl_16_10_cg/b_wl_16_10_cg_chapter_01100101.html