Implementare EAP cu autentificare server Radius (ISE)

Rareș Odobescu

Cisco Pre-Sales Engineer

rares.odobescu@alef.com

Ne dorim să administrăm centralizat utilizatori ce se pot conecta la rețeaua fără fir. Acest mod centralizat ne oferă posibilitatea unei administrări mai ușoare, centralizate și un acces la nivel de utilizator.

Aceasta o vom face ajutându-ne un server de tip Radius (Cisco ISE). Practic vom crea un SSID la care accesul îl vom da conform combinației unice dintre un utilizator cu parola lui. Pașii pe care ii vom urma sunt: 

  1. Creăm un utilizator nou pe server-ul ISE (userALEF1).  

  1. ConectăWLC-ul WiFi cu server-ul ISE. 

  1. Configurăm un SSID nou pentru acest tip de autentificare. 

  1. Verificăm. 

     

    Mai jos este topologia rețelei: 

     

    Echipamente folosite:

    • WLC (Wireless Lan Controller) WiFi Cisco 2504 (AIR-CT2504-K9) cu ver: 8.5.151.0
    • Access Point 2820 (AIR-AP2802E-E-K9)
    • Server Radius (Identity Services Engine = ISE)  ver: 2.4.0.357
    • Switch

Pasul 1: Intrăm în serverul ISE accesând adresa https://192.168.11.43

Administration > Identity Management > Identities > Users > +Add și completăm următoarele:

Nume: userALEF1 (4)

Login Password: Alef123 (5)

Se apasa jos butonul de Submit 

Trebuie avut grijă ca utilizatorul să fie Enable ca mai jos.

Pasul 2: Facem ca serverul ISE să accepte cererile ce vin de la WLC WiFi. Pentru acesta accesam server-ul: https://192.168.11.43 in meniul Administration > Network Resources > Network Devices > +Add

Name = Alef_WLC (1)                          => numele pe care il dam echipamentului vazut in ISE, Alef_WLC

Description = (1)                  => daca dorim sa adaugam o descriere. Vezi pct 1 de mai jos.

IP Address = 10.1.10.10     (2)           => adresa IPv4 a WLC-ului WiFi

RADIUS Authentication Settings        (3)           => conexiunea dintre WLC și ISE se face printr-o parola. Aceași parola trebuie introdusă și pe WLC și pe ISE. Paroala pe ISE se introduce la câmpul Shared Secret (4).

După care apăsăm butonul de Submit.

Pasul 3: Definirea server-ului Radius (ISE) pe WLC-ul WiFi.Pe WLC https://10.1.10.10 mergem în meniul Security > AAA > RADIUS >Authentication

Server IP Address(Ipv4/Ipv6)=192.168.11.43 (1)          => adresa IPv4 a server-ului de Radius (ISE)

Shared Secret (2) => parola folosită pentru a conecta WLC-ul WiFi la ISE. Aceeași parola ca de la Pasul 2

Port Number (3)=1812      => 1812 este portul la care se va conecta în ISE. Acest port trebuie permis în tot drumul de la WLC-ul WiFi la server-ul ISE.

Se poate testa legătura fizică dintre WLC-ul WiFi și server-ul ISE ca mai jos. Atenție verificare se face la nivel de ping și nu portul 1812.

Pasul 4: Crearea SSID-ului ce are autentificare cu utilizator și parolă create pe server-ul de ISE de la Pasul 1.

https://10.1.10.10/              WLANs > Create New Go

Profile name = ALEF Romania Profile                 => numele profilului creat

SSID = ALEF Romania                                             => SSID-ul la care se vor conecta utilizatorii

Status = Enable    => pentru activarea SSID-ului.

Security > Layer 2

Layer 2 Security = WPA-WPA2

WPA+WPA2 Parameters

                                WPA2 Policy si AES bifate

Authentication Key Management

                                802.1x bifat

Security > Layer 3 le lăsăm pe none.

Security > AAA Server

Server 1 = 192.168.11.43, Port:1812               => bifăm enable la Authentication Server iar ca server alegem IP-ul server-ul de ISE creat mai sus.

Restul opțiunilor le lăsăm neschimbate ca mai jos:

Apoi apăsăm butonul de Apply și eventual salvăm configurația prin Save Config (stânga sus). In WLAN-uri profilul creat trebuie sa aibă ca Security Policy valoare [WPA2][Auth(802.1x)]

Testarea acestei rețele cu un Android Ver 9.

Metoda EAP va fi PEAP, nu validam certificatul, introducem utilizatorul & parola create.

Verificare

In Server-ul ISE: Operation > Radius > Live Logs putem vedea dacă utilizatorul s-a conectat cu succes sau nu.