Implementando IBN (Indentity Based Networking)

Publicado: 17 de maio de 2011 em Wireless - WLC
Tags:, , ,

Identity Based Network é uma feature na qual é possível que o servidor de autenticação sobrescreva alguns valores, como VLAN, QoS e ALCs, para os clients wireless. Geralmente corporações criam diversos SSIDs (Data, Voice e Guest). Cada SSID possui uma configuração de QoS (Data=Silver, Voice=Platinum, Guest=Bronze) e está atrelado à uma interface dinâmica, associada a determinada VLAN. Utilizando a feature IBN (Identity Based Network) é possível divulgar um único SSID e permitir que usuários (ou grupos de usuários) sobrescrevam a configuração da WLAN e recebam configurações especificas de QoS, ACLs e VLAN. Será utilizada a seguinte topologia para ilustrar esta feature:

Topologia Lab Identity Based Networking

O Access Point divulgará apenas o SSID WiFiCORP, atrelado a interface dinâmica int_wificorp, configurada na VLAN 10. O User1 é um tipico Data User, que ao se autenticar deverá receber um IP da VLAN 20 e o QoS Silver. Já o User2 é um Voice User, que ao se autenticar deverá receber um IP da VLAN 30 e o QoS Platinum. O primeiro passo é criar a interface dinâmica no WLC: Via GUI: CONTROLLER > Interfaces > New:

Criação da interface dinâmica

Click em Apply: Configure a interface dinâmica de acordo com as necessidades do projeto. Neste exemplo usaremos as configurações abaixo:

Configuração da interface dinâmica

O próximo passo é criar a WLAN: Guia WLANs > no drop down menu selecionar Create New > Go.

Criação da WLAN

Clicar em Apply. Habilitar a WLAN que acabou de ser criada e atrelá-la à interface dinâmica, conforme imagem abaixo:

Configuração da WLAN

Na guia Security, configurar de forma similar à figura abaixo:

Configuração da WLAN – Security Tab

Na guia Advanced, habilitar a opção “Allow AAA override”, conforme imagem abaixo:

Configuração da WLAN – Guia Advanced

Esta opção permite que o servidor AAA, no caso o ACS, sobrescreva as configurações da WLAN, como VLAN, QoS e ACLs. Como o User1 estará na VLAN 20 e o User2, na VLAN 30. Precisamos criar tais interfaces no WLC. Caso fossemos aplicar ACLs, também precisaríamos criar tais ACLs no WLC. A criação das interfaces na VLAN 20 e 30 é analoga a criação da interface int_wificorp e, portanto, será suprimida. Criamos a interface int_data_users_20, na VLAN 20, e a interface int_voice_users_30, na VLAN 30. Precisamos agora adicionar o ACS como servidor RADIUS no WLC: Guia SECURITY > AAA > RADIUS > Authentication. Clicar em New e preencher conforme imagem abaixo:

RADIUS Authenticaon Servers Edit Page

A shared secret deve ser a mesma configurada no ACS. Acessar a guia SECURITY > AAA > RADIUS > Authentication e preencher de forma análoga. Pronto! Toda a configuração necessária no WLC já está habilitada. Agora vamos para o ACS. O primeiro passo é adicionar o WLC como um AAA Client. Para isso, acesse o ACS, clique em Network Configuration e, embaixo de AAA Client, clique em Add Entry. Preencha de forma similar à figura abaixo.

Acidionar o WLC como AAA Client no ACS

AAA Client IP Address é o endereço da Management Interface do WLC. A Shared Secret deve ser identica à configurada no WLC. Em Authenticate Using, selecione RADIUS (Cisco Airespace). Os demais parâmetros não precisam ser alterados. Em seguida, no ACS, clique em Interface Configuration > RADIUS (IETF) e garanta que as opções [064] Tunnel-Type, [065] Tunnel-Medium-Type e [081] Tunnel-Private-Group-ID estejam selecionadas.

ACS Interface Configuration

Agora clique em Interface Configuration > RADIUS (Cisco Airespace). Garanta que os ítens Aire-QoS-Level, Aire-Interface-Name e Aire-Acl-Name estejam checados. O primeiro sobrescreve a configuração de QoS, o segundo sobrescreve a interface configurada na WLAN e o terceiro sobrescreve a ACL. Uma observação importante é que você não verá a opção Radius (Cisco Airespace) se o AAA Client (WLC) nao estiver configurado como Radius (Cisco Airespace). Os parâmetros do RADIUS (IETF) para alteração da VLAN são redundantes ao parâmetro Aire-Interface-Name. Vamos agora configurar o Grupo Data User e Voice User no ACS: Group Setup > Selecione um Grupo > clique em Rename Group, pare renomeá-lo:

Renomeando ACS Group

Clique em Edit Settings. Para sobrescrever a VLAN, temos duas opções: atraves do RADIUS IETF ou Airespace.

Através do RADIUS IETF, clique em JUMP TO RADIUS (IETF) e preencha os ítens conforme imagem abaixo:

IETF Attributes

De acordo com a configuração acima, iremos substituir a TAG da VLAN para 20. A outra opção é através do parâmetro RADIUS Airespace, na qual substituimos a interface dinâmica. Haviamos criado a interface dinâmica int_data_users_20, para os data users:

Clique em Jump To RADIUS (Cisco Airespace). Na imagem abaixo selecionamos a opção Aire-QoS-Level e atribuimos o valor Silver, e na opção Aire-Interface-Name, atribuimos o nome da interface criada para os data users (int_data_users_20).

ACS Group – Data Users Configuração do Cisco Airespace

Convém lembrar novamente que para atribuir a VLAN, não é necessário configurar a opção RADIUS (IETF) e RADIUS (Cisco Airespace). Ou uma ou outra já basta.

A configuração do grupo para o Voice User é similar a configuração do grupo para Data User. As diferenças são que o QoS será Platinum e a VLAN será a 30 (interface dinâmica int_voice_users_30).

Por fim, criaremos os usuários User1 e User2 e atribuiremos ao grupo Data_Users e Voice_Users, respectivamente.

Para isso, clique em User Setup, digite o nome de usuário e clique em Add/Edit:

Adicionar o User1

Será exibida a seguinte tela:

Configuração do User1 (Data User)

Preencha com o nome, uma descrição, defina uma senha e, mais importante, atribua este usuário ao grupo Data_Users.

O processo é similar para o User2, com a diferença de que o mesmo será atribuido ao grupo Voice_Users.

Feito! Agora, quando o User1 se autenticar na rede wireless (802.1x), o WLC encaminhará a solicitação de autenticação para o ACS, estando o nome de usuário e senhas correto, o ACS enviará a infomação ao WLC indicando que a autenticação ocorreu com sucesso e enviará os atributos (QoS e VLAN). Como a WLAN está com a opção Allow AAA override checada, o ACS sobrescreverá as configurações.

Marco Bartulihe

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s