購入する または契約更新する
購入する または契約更新する
Wireless 製品をご利用のお客さまへ重要なお知らせがあります。今すぐご確認ください
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
465
閲覧回数
3
いいね!
3
返信

作成したプロファイル名のSSIDに接続できません

解決策を見る
Atsuya-Yamaguchi
Spotlight
Spotlight

‎2024-10-21 06:29 AM

表題の件で以下のメッセージが出て作成したプロファイル名のSSIDに接続できません。
Disabling a Policy or configuring it in 'Enabled' state, will result in loss of connectivity for clients associated with this Policy profile.

ACLの設定がおかしいのでしょうか?

作成したプロファイル名のSSIDに接続できません。以下のconfでどこが問題なのでしょうか?

ーーーーーーーーーーーーーーーーーーーーーーーーーーーー

interface GigabitEthernet0
mac-address 0000.5e00.0101
ip dhcp client client-id GigabitEthernet0
ip dhcp client broadcast-flag clear
ip address 43.24.49.27 255.255.255.0
ip access-group SLIMS_WEB_ACL in
ip access-group SLIMS_WEB_ACL2 out
no negotiation auto
!
ip http server
ip http authentication local
ip http secure-server
ip http secure-trustpoint CISCO_IDEVID_SUDI
ip http client source-interface GigabitEthernet0
ip forward-protocol nd
ip tftp blocksize 8192
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0 250
ip dns server
!
ip access-list standard SLIMS_WEB_ACL
2 permit 43.24.49.28
!
ip access-list extended SLIMS_WEB_ACL2
9 permit tcp any host 137.153.91.37

ーーーーーーーーーーーーーーーーーーーーーーーーーーーー

知識でお助けいただけますと幸いです。

 

 

0 いいね!
1 件の受理された解決策

受理された解決策

解決策を見る
Translator
Community Manager
Community Manager

‎2024-10-22 02:46 PM

ここで覚えておくべき重要な点は、ワイヤレス管理インターフェイスはコントロールプレーンのトラフィック用のものであり、クライアントデータ用ではないため、クライアントデータ用のACLは適用できないということです。

クライアントIP ACLについては、次のドキュメントを参照してください。
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-15/config-guide/b_wl_17_15_cg/m_conf_ipv4_acl_ewlc.html
https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/213945-understand-flexconnect-on-9800-wireless.html#toc-hId--2047927279
コミュニティ概要:
https://community.cisco.com/t5/wireless/catalyst-9800-wlan-ipv4-acl-for-ap-in-flex-mode/td-p/4315424

[MAC Filtering]:
https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/213922-configure-mac-authentication-ssid-on-cis.html
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-15/config-guide/b_wl_17_15_cg/m_mab_auth_bypass.html
https://0x2142.com/how-to-catalyst-9800-mac-filtering/
注:https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-15/config-guide/b_wl_17_15_cg/m-sniffer-cg.html#restrictions-for-flexconnect-specific-details
- MACフィルタリングは、スタンドアロンモードのFlexConnectアクセスポイントではサポートされません。ただし、MACフィルタリングは、ローカルスイッチングと中央認証を使用した接続モードのFlexConnectアクセスポイントでサポートされます。また、FlexConnectアクセスポイントを使用したローカルでスイッチされるWLANのオープンSSID、MACフィルタリング、およびRADIUS NACは有効な設定であり、MACはCisco ISEによってチェックされます。 

元の投稿で解決策を見る

3件の返信3

解決策を見る
Translator
Community Manager
Community Manager

‎2024-10-21 05:30 PM

1. AP上のEWCと想定しますか。 
APのモデルは何ですか。
ソフトウェアのバージョンは?

AP上のEWCは、1つのAP上の2つの仮想マシンのように動作します。EWC WLCコンポーネントはIOS-XEプロセスとして実行され、EWC APコンポーネントはAP-COSプロセスとして実行されます。  APが機能するには、EWCに加入できる必要があります。  WLCとAPのコンポーネントは、どちらもアクセスポート上の同じサブネット内のIPアドレス、またはトランクポートである場合はネイティブ(タグなし)VLAN内のIPアドレスを必要とします。

2. 通常、ACLはワイヤレス管理インターフェイス(Gig0)に適用しないでください。適用した場合、ACLはEWC WLCとEWC AP(CAPWAP以上)間、およびEWC WLCと外部(radius、SSH、httpsなど)間のすべての通信を許可する必要があります。  APに割り当てたIPアドレスは何ですか。それとも、DHCPに依存していますか。  DHCPがWLCと同じサブネット(43.24.49.0/24)にあるかどうか

最初にGig0からACLを削除し、次にAPがWLCに加入できることを確認します(show ap summ)
次に、Gig0にACLを適用する必要がある場合は、そのインターフェイスを介して通信する必要があるすべてのものを許可する必要があります。
また、アウトバウンドACLは通常、ローカルに送信されたトラフィック(ルーテッドトラフィックのみ)には適用されないので、アウトバウンドACLは無意味です。EWCはFlexconnectローカルスイッチングのみをサポートしているため、WLCを介してルーティングされるトラフィックは存在せず、WLC自体によって発信されるトラフィックのみが存在します。

解決策を見る
Atsuya-Yamaguchi
Spotlight
Spotlight
Translatorに対する応答

‎2024-10-22 10:14 AM

親切なご担当者様へご返信ありがとうございます。
この考え方はマニュアルで説明されていますか?
おかげさまでSSIDの接続はACL削除で対応できました。

現在ACLの効果が全く無く、大変困っています。

1.1台のPCのみがMACアドレスの許可によって接続可能
2.その1台のPCがAPの向こう側のWEBサーバの閲覧のみ
可能

上記の2つの要件のACLを作成しているのですが、ACLが効果がなく
どんな設定をしても改善しません。

----------------------------------
SSID:SGS-FUK-NT
PCのMACアドレス:43.24.49.28
PCのIP:43.24.49.28
APのインターフェースIP:43.24.49.27
APのIP::43.24.49.56
WEB ServerIP:137.153.91.37:443
IPのACL:SVR_WEBIP_ACL
----------------------------------
◆IPのACLの設定
プロファイルの参加
FLEXへのプロファイル追加
ポリシー追加
WLANsに追加
APへの適用

◆MACのアクセス制限
→ここはどこに設定すれば有効になるのかわかりませんでした。


上記の条件で2件の要件を満たすACLと
その設定をご教示いただけないでしょうか?

※簡易な資料を添付致します。


プロジェクトで技術担当の私のACL設定で数日遅延していて
大変苦しい状況です、ご教示のほど何卒よろしくお願いいたします。

ACL設定検証エビデンス_20241022.zip
0 いいね!

解決策を見る
Translator
Community Manager
Community Manager

‎2024-10-22 02:46 PM

ここで覚えておくべき重要な点は、ワイヤレス管理インターフェイスはコントロールプレーンのトラフィック用のものであり、クライアントデータ用ではないため、クライアントデータ用のACLは適用できないということです。

クライアントIP ACLについては、次のドキュメントを参照してください。
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-15/config-guide/b_wl_17_15_cg/m_conf_ipv4_acl_ewlc.html
https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/213945-understand-flexconnect-on-9800-wireless.html#toc-hId--2047927279
コミュニティ概要:
https://community.cisco.com/t5/wireless/catalyst-9800-wlan-ipv4-acl-for-ap-in-flex-mode/td-p/4315424

[MAC Filtering]:
https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/213922-configure-mac-authentication-ssid-on-cis.html
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-15/config-guide/b_wl_17_15_cg/m_mab_auth_bypass.html
https://0x2142.com/how-to-catalyst-9800-mac-filtering/
注:https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-15/config-guide/b_wl_17_15_cg/m-sniffer-cg.html#restrictions-for-flexconnect-specific-details
- MACフィルタリングは、スタンドアロンモードのFlexConnectアクセスポイントではサポートされません。ただし、MACフィルタリングは、ローカルスイッチングと中央認証を使用した接続モードのFlexConnectアクセスポイントでサポートされます。また、FlexConnectアクセスポイントを使用したローカルでスイッチされるWLANのオープンSSID、MACフィルタリング、およびRADIUS NACは有効な設定であり、MACはCisco ISEによってチェックされます。 

Customers Also Viewed These Support Documents