解決済み: WLC9800及びRADIUSを用いたダイナミックVLANの割り当て不可事象について

Student987 · ‎2022-09-08

いつもお世話になります。
RADIUSサーバからダイナミックVLANの割り当てを行いたく、以下参照URLを参照し、WLCの設定を行いました。
クライアント端末から接続を試みたところ、ダイナミックVLANの割り当てが行えませんでした。
原因箇所の特定ができず、非常に苦慮しております。ご助言いただけますと幸いです。
これまでの確認内容を以下に記載します。

【前提】
WLC9800
AP9115
RADIUS、DHCPは外部サーバ(ISEではありません)
RADIUS認証方式はLEAP
クライアント端末：Windows10 Pro

【参照URL】
https://www.cisco.com/c/ja_jp/support/docs/wireless-mobility/wlan-security/217043-configure-dynamic-vlan-assignment-with-c.html

①WLC上での確認
　Monitoring>Wireless>Clients
　General>Security Information>Security Information
　
　ResultantPolicies:VlanIDはPolicy Profileで設定したVLANIDとなっており、Overrideしたい「VLANIDとなっていない」ことを確認。
　SessionManager　SMSにて：Authenticating,SM BendState REQUEST
　
②RADIUSサーバ上の認証ログ
　認証成功のログのみ出力されていることを確認。

③WLC上のパケットキャプチャ
　Association Rexuest～最終的にWLCからクライアント端末宛にEAPプロトコルSuccessが送付されていることを確認。
　
④APのコンソール上メッセージ
chatter: client_ip_table :: ClientIPTable no client entry found, dropping packet

cja56910tf · ‎2022-09-12

こんばんは。

まず、ご利用中のCatalyst 9800のIOS版数はいくつでしょうか。
WLANsやProfile、Policyなど、GUI(Web)画面のスクリーンショットもあると、他の有識者の皆様の回答が得られるのではないかと思います。その他にも、PSK認証だと上手くいくとの事なので、802.1X認証にした際のコンフィグ差異が分かるものも提供されてはどうかと思います。

次に、認証方式にLEAPを使用されておられますが、LEAPは脆弱性があるため使用は非推奨です。
一般的にはPEAPまたはEAPを用いますが、クライアント証明書の不要なPEAPから試してみては如何でしょうか。

最後にコンフィグをザっと確認して気になった点についてコメントします。

clock timezone UTC 9 0　<-- JSTにすべきかと

②Flex Profile
no local-auth ap radius　<-- 不要ではないでしょうか。

③Profile
aaa-override　<-- dynamicVLANやdACLを利用するなら必要です。
no central association　<-- APではなくコントローラ(WLC)で802.1X認証を行わせるので中央認証を有効化する必要があります。（つまり不要です）

⑤WLAN
no security ft adaptive <-- 802.11rを使わないならFast Transition機能を無効化しておいた方が良い。
security wpa wpa3 <-- WPA3も有効化されては如何でしょうか。

一助となれば幸いです。

以上

元の投稿で解決策を見る

Student987 · ‎2022-09-10

追加ですが、APのキャプチャを確認したところWLCから認証成功のパケットを受け取っていないように見受けられました。
AP－WLC間のACL設定等は行っておりません。
何か考えられることや、確認観点はないでしょうか。ご支援お願いいたします。

cja56910tf · ‎2022-09-10

こんばんは。

WLC(Catalyst 9800)のコンフィグと認証サーバ、DHCPサーバの設定が分からないので、的確な回答は困難ですが、切り分けのために簡単な方法から一つずつ進めていっては如何でしょうか。

具体的には、まずダイナミックVLANではなく固定VLAN方式・固定IPの設定にして無線LAN接続が出来ることを確認し、それが出来たら次は固定IPからDHCPサーバに変更、それも出来たら動的VLAN方式にするという感じで段階的に進めてはどうかと思います。その理由は今の状態ではWLC、認証サーバ、DHCPサーバのどれに問題があるのか分からないためです。

最後に、動的VLAN方式を使う場合は、認証成功後の認可フェーズで認証サーバからアトリビュートとしてVLAN-IDを通知する必要があるのですが、認証サーバではその設定は適切にされていますでしょうか。動的VLAN方式を用いる前に、まずは動的ACL(dACL)によるアクセスリスト配布が出来るかを確認する事で、認証サーバとのアトリビュートのやり取りが出来ているかの確認になりますし、WLCと認証サーバにどのような設定が必要になるかの整理につながると思います。

認証サーバがISEの場合の設定例ですが、下記が参考になると思いますので、ご一読いただければと思います。

https://www.infraexpert.com/study/ise-mab02.html

Student987 · ‎2022-09-11

cja56910tf · ‎2022-09-12

こんばんは。

まず、ご利用中のCatalyst 9800のIOS版数はいくつでしょうか。
WLANsやProfile、Policyなど、GUI(Web)画面のスクリーンショットもあると、他の有識者の皆様の回答が得られるのではないかと思います。その他にも、PSK認証だと上手くいくとの事なので、802.1X認証にした際のコンフィグ差異が分かるものも提供されてはどうかと思います。

次に、認証方式にLEAPを使用されておられますが、LEAPは脆弱性があるため使用は非推奨です。
一般的にはPEAPまたはEAPを用いますが、クライアント証明書の不要なPEAPから試してみては如何でしょうか。

最後にコンフィグをザっと確認して気になった点についてコメントします。

clock timezone UTC 9 0　<-- JSTにすべきかと

②Flex Profile
no local-auth ap radius　<-- 不要ではないでしょうか。

③Profile
aaa-override　<-- dynamicVLANやdACLを利用するなら必要です。
no central association　<-- APではなくコントローラ(WLC)で802.1X認証を行わせるので中央認証を有効化する必要があります。（つまり不要です）

⑤WLAN
no security ft adaptive <-- 802.11rを使わないならFast Transition機能を無効化しておいた方が良い。
security wpa wpa3 <-- WPA3も有効化されては如何でしょうか。

一助となれば幸いです。

以上

Student987 · ‎2022-09-12

cja56910tf様

度々本当に申し訳ありません。
802.1X認証時のトレースを取得してみました。
CLIENT_STAGE_TIMEOUT State = AUTHENTICATINGが記録されており、
EAPのタイムアウト値を延長してみたのですが、事象変わりませんでした。
EAP-Request Max Retries-20に変更
EAPOL-Key Timeout (ms)―5000に変更
何かほかにできることはないでしょうか。

ご迷惑とは重々承知しておりますが、取得したログをアップさせていただきます。
ご確認いただけますと大変幸甚です。

cja56910tf · ‎2022-09-12

こんばんは。

申し訳ないですが私はTACではないのでshow loggingの内容までは追いきれないです。
認証サーバがCisco ISEであれば、認証のどの段階の何が原因で失敗しているかが分かるのですが・・・

簡単に見たところ、APと端末間の無線通信を行うための認証には成功していますが、802.1X認証に失敗(タイムアウト)しているように見えます。
パスワードが違うとかではなくて応答が無いので、こちらからのパケットが相手に届いていないか、相手からのパケットが返ってこないかだと思います。
私の見方が誤っている可能性は十分にありますので、ご自身で今一度調べられることをお勧めします。

Student987 · ‎2022-09-13

cja56910tf様

お世話になります。
本件、大変お手数をお掛けしました。
認証方法をLEAPからPEAPに変更したところ事象回避となりました。
ご迷惑をお掛けしまして、申し訳ありませんでした。
お陰様で動的VLANの払い出しまで動作確認行えました。
何度もご対応賜りまして、本当に有難うございました。

cja56910tf · ‎2022-09-13

こんにちは。

解決したようで良かったです。