解決済み: FlexConnectモードにおける802.1X及び中央DHCPサーバへの接続について - Cisco Community

購入するまたは契約更新する

1956

閲覧回数

10

いいね！

4

返信

【機種前提】

WLC:9800

AP:Catalyst9115

【AP動作モード】

FlexConnect,中央認証、ローカルスイッチングモード

【実装したいこと】

WLC及び、RADIUS、DHCPサーバは、1か所に設置し、APは各遠隔拠点(別セグメントに設置)に配備します。

そのため、WLC,RADIUS,DHCPサーバへの接続は、各拠点から接続を行うことになります。

その際、以下の実装は可能でしょうか。

・クライアント(PC)は802.1X認証(EAP-TLS)を行い、認証時に動的VLANの割り当てを行う。
・クライアントは割り当てを受けたVLANに適切なセグメントのIPアドレスをDHCPサーバから受け取る。

以下のサイトを参照する限り、可能と考えていますが、確証が持てません。懸念点や、経験のある方、アドバイスいただけないでしょうか。よろしくお願いいたします。

https://www.cisco.com/c/ja_jp/support/docs/wireless-mobility/wireless-vlan/71683-dynamicvlan-config.html

https://www.cisco.com/c/ja_jp/support/docs/wireless-mobility/wireless-lan-wlan/211325-FlexConnect-Central-DHCP-Configuration-E.html#anc11

2 件の受理された解決策

受理された解決策

こんばんは。

ご要望の実装は実現可能だと考えます。

APを接続するL2SWがCatalyst、認証サーバ(RADIUS)がCisco ISEであれば実績があります。

下記のCCOがとても分かり易く参考になると思いますので、是非ご一読いただければと思います。

https://www.cisco.com/c/ja_jp/support/docs/wireless/catalyst-9800-series-wireless-controllers/213924-flexconnect-wlan-with-802-1x-aaa-overrid.html

https://www.cisco.com/c/ja_jp/support/docs/wireless-mobility/wlan-security/217043-configure-dynamic-vlan-assignment-with-c.html

https://www.cisco.com/c/ja_jp/support/docs/wireless/catalyst-9800-series-wireless-controllers/213945-understand-flexconnect-on-9800-wireless.html

https://www.cisco.com/c/ja_jp/support/docs/wireless/catalyst-9800-series-wireless-controllers/213921-flexconnect-configuration-with-central-a.html

https://studylib.net/doc/25569230/c9800-flexconnect-wirelss-branch-deployment-guide-17.3-

元の投稿で解決策を見る

こんにちは。

追加のご質問の方も実現可能と考えます。

Central DHCP を有効化すれば、WLCがDHCPリレーを行ってくれますし、Central RADIUSを有効化すればWLCがオーセンティケータとなって認証処理を行ってくれます。よって、AP～WLC間にあるL2SWやルータで認証やDHCP機能の動作は必須ではないです。

DHCPについては下記のサイトが参考になるかと思います。

https://www.cisco.com/c/ja_jp/td/docs/wireless/controller/9800/16-12/config-guide/b_wl_16_12_cg/b_wl_16_12_cg_chapter_01101111.html

RADIUSについては、WLCを導入するという事はWLCが認証機能を司りますので基本的にはCentral RADIUSを有効化すると思いますから、先に案内した参考サイトで事足りるかと思います。

あとはYoutubeにもCatalyst 9800の解説・設定動画が沢山ありますので、ご覧になられては如何でしょうか。

上記が一助となれば幸いです。

元の投稿で解決策を見る

4件の返信4

こんばんは。

ご要望の実装は実現可能だと考えます。

APを接続するL2SWがCatalyst、認証サーバ(RADIUS)がCisco ISEであれば実績があります。

下記のCCOがとても分かり易く参考になると思いますので、是非ご一読いただければと思います。

https://www.cisco.com/c/ja_jp/support/docs/wireless/catalyst-9800-series-wireless-controllers/213924-flexconnect-wlan-with-802-1x-aaa-overrid.html

https://www.cisco.com/c/ja_jp/support/docs/wireless-mobility/wlan-security/217043-configure-dynamic-vlan-assignment-with-c.html

https://www.cisco.com/c/ja_jp/support/docs/wireless/catalyst-9800-series-wireless-controllers/213945-understand-flexconnect-on-9800-wireless.html

https://www.cisco.com/c/ja_jp/support/docs/wireless/catalyst-9800-series-wireless-controllers/213921-flexconnect-configuration-with-central-a.html

https://studylib.net/doc/25569230/c9800-flexconnect-wirelss-branch-deployment-guide-17.3-

cja56910tf様

ご返信遅くなりまして、大変失礼いたしました。
ご実績及び、数々の参考URLについてご教授いただきまして、本当にありがとうございます。
私の質問の記載が悪く、大変申し訳ありませんが、1点追加でご質問させていただけないでしょうか。

APを接続するL2SW及び上位ルータについては、DHCPリレーエージェント設定やRADIUS認証設定を行わないことを想定しております。
そのような場合でも、中央DHCP、中央RADIUSを利用することは可能とお考えでしょうか。
既設ＮＷ機器はあくまでWLCとAP間のルーティングのみ確保することを想定しており、あくまでWLC及びAPの設定にて実現したいと考えております。
初回質問の際記したURLには、WLCとAP間のリーチャビリティの確保のみで実装可能な記載のように見受けられ、可能な想定でいるのですが、ご意見いただけないでしょうか。初回時に明記すべきところ、大変恐れ入りますが、何卒よろしくお願いいたします。

こんにちは。

追加のご質問の方も実現可能と考えます。

Central DHCP を有効化すれば、WLCがDHCPリレーを行ってくれますし、Central RADIUSを有効化すればWLCがオーセンティケータとなって認証処理を行ってくれます。よって、AP～WLC間にあるL2SWやルータで認証やDHCP機能の動作は必須ではないです。

DHCPについては下記のサイトが参考になるかと思います。

https://www.cisco.com/c/ja_jp/td/docs/wireless/controller/9800/16-12/config-guide/b_wl_16_12_cg/b_wl_16_12_cg_chapter_01101111.html

RADIUSについては、WLCを導入するという事はWLCが認証機能を司りますので基本的にはCentral RADIUSを有効化すると思いますから、先に案内した参考サイトで事足りるかと思います。

あとはYoutubeにもCatalyst 9800の解説・設定動画が沢山ありますので、ご覧になられては如何でしょうか。

上記が一助となれば幸いです。

こんにちは。

この度はご親切に何度もご回答いただきまして、本当にありがとうございます。

心より感謝申し上げます。

頂戴したサイトを再度精読し、実装に向けて取り組んでまいりたいと思います。

学ぶ、共有する、保存する

エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。

コミュニティは初めてですか？これらのヒントを活用してスタートしましょう。コミュニティの活用方法新メンバーガイド

コミュニティへログイン