ACL WLC C9800 AirSpace не применяется
-
Привет, сообщество! У меня возникла серьезная проблема в ситуации, когда мне нужно ограничить доступ большинства клиентов локально переключаемого SSID к конфиденциальной подсети, одновременно разрешив доступ к этой подсети определенным клиентам. Чтобы это сработало, я настроил ACL, запрещающий IP-адреса этой подсети и разрешающий все остальное на WLC, а также настроил 2 политики AuthZ на ISE: 1-е соответствие ограничению и применение результата с именем ACL; второе — сопоставление атрибутов определенных клиентов и не применение никаких ограничений. Проблема в том, что ACL никогда не применяется к сеансу клиента в первом случае...
Я пробовал атрибут Filter-ID, я пробовал флажок AirSpaceACL в профиле AuthZ, но результат всегда был одинаковым — ACL не применяется. Я настроил имя списка методов AuthZ на WLC, также закодированное как пара Method-List AV в профиле AuthZ, и все предварительные условия для работы сценария выполнены, но... Я открыл заявку в TAC, которая уже более недели находится в работе, но без каких-либо результатов, несмотря на все проверки со стороны TAC, поэтому я решил спросить у сообщества, сталкивался ли кто-нибудь с подобной проблемой. WLC работает под управлением 17.3.3, ISE 2.7 патч 6, AP находятся в режиме flexconnect, а SSID переключается локально. Есть какие-нибудь идеи? -
была решена путем переключения на флажок «Общие задачи / Airespace ACL Name» вместо cisco-av-pair = AireSpace-ACL-Name=blah-blah. Фактически, он обрабатывается на WLC как Filter-ID и отображается в разделе «Мониторинг / Беспроводная сеть / Клиенты / <клиент> / Общие сведения / Информация о безопасности / Политики сервера | Результирующие политики». Спасибо всем
-
Вы открыли случай TAC с командой ISE или командой беспроводной связи? Лучше убедиться, что обе команды его рассмотрят. Я не пробовал dACL с использованием FlexConnect, но не было бы проще иметь два VLAN и затем использовать правила для размещения устройства в одном или другом VLAN? В любом случае, когда я провожу тестирование, мне всегда приходится играть с правилами, чтобы убедиться, что они улавливают то, что мне нужно. Возможно, ISE не считывает то, что отправляет контроллер. В этом случае вам, возможно, придется искать другой способ идентификации этих устройств. -Скотт***
Пожалуйста, оцените полезные сообщения *** -
Привет, Скотт Случай TAC находится только в ведении команды по беспроводным сетям. То же самое работает на AIR-OS без каких-либо проблем. В данном сценарии мы не используем dACL, а создание отдельного SSID/VLAN не является вариантом. Не уверен, что WLC сообщает ISE во время фазы AuthZ, но отладка на WLC показывает, что ISE правильно обменивается данными с AV, и в конце WLC просто опускает любые упоминания о том, что он делал с ACL, и бормочет что-то о полученном списке методов AuthZ. 2022/01/20 09:18:31.000165 {wncd_x_R0-0}{2}: [auth-mgr-feat_wireless] [18316]: (info): [5076.af47.945b:capwap_90000027] - authc_list: DOT1x_auth_ISE 2022/01/20 09:18:31.000167 {wncd_x_R0-0}{2}: [auth-mgr-feat_wireless] [18316]: (информация): [5076.af47.945b:capwap_90000027] - authz_list: Отсутствует в конфигурации wlan 2022/01/20 09:19:12.879716 {wncd_x_R0-0}{2}: [auth-mgr] [18316]: (info): [5076.af47.945b:capwap_90000027] Необходимо применить профиль пользователя. Authz mlist отсутствует, Authc mlist DOT1x_auth_ISE ,флаг session push не установлен
-
Я бы никогда не стал сравнивать AireOS и IOS... это совершенно разные вещи, и это из моего опыта. Из того, что вы сказали, я понимаю, что правила работают для AireOS, поэтому с 9800 не должно быть проблем (?), но никогда не знаешь наверняка. Извините, но мне не приходилось применять ACL для наших SSID, но было бы интересно узнать, в чем заключается решение. -Скотт***
Пожалуйста, оцените полезные сообщения *** -
Конечно, IOS-XE — это не AIR-OS, поэтому dACL не рекомендуется использовать в IOS-XE, а для работы AirSpace ACL необходимо настроить AuthZ method-list AV в AuthZ-profile на ISE и т. д. Я хотел сказать, что какой бы подход к применению динамического ACL ни был выбран в случае AIR-OS, он будет работать, если будет правильно (то есть с учетом всех предварительных условий) настроен на WLC и ISE. Это совершенно не относится к IOS-XE для беспроводных сетей...
Буду держать вас в курсе результатов расследования Cisco TAC... -
Можете ли вы опубликовать свой профиль Flex? Вы отправили ACL на точку доступа? ![Screenshot 2022-01-26 211747.png] Я также хотел бы знать, включили ли вы центральную аутентификацию в профиле политики или локальную аутентификацию непосредственно с AP? (NAD — это WLC или AP в WLC?) Также обратите внимание, что Flex AP поддерживают только расширенные ACL. Кроме того, вы можете выполнить трассировку RA для клиента при подключении к этому SSID, чтобы увидеть, отправляет ли сервер Radius необходимые параметры. ___________________________________________
Коды,
рекомендованные TAC для AireOS WLC
Лучшие практики для AireOS WLC
Коды,
рекомендованные TAC для 9800 WLC
Лучшие практики для 9800 WLC
Матрица
совместимости Cisco Wireless___________________________________________
Аршад Сафрулла
-
Привет, Аршад Прилагаю скриншоты. С моей точки зрения, все выглядит так, как и должно быть, можешь это подтвердить? Да, мы используем расширенные ACL (стандартные работают только с SRC). И да, мы провели RA-трассировку с TAC. WLC получает необходимые атрибуты: ,,,
2022/01/20 09:19:12.878948 {wncd_x_R0-0}{2}: [radius] [18316]: (info): RADIUS: Cisco AVpair [1] 34 "Method-List=DOT1x_author_ISE"
2022/01/20 09:19:12.878957 {wncd_x_R0-0}{2}: [radius] [18316]: (info): RADIUS: Cisco AVpair [1] 40 «AireSpace-ACL-Name=acl-No-Office-2-LAB» ... Но в примененных атрибутах нет ACL.
-
Вы проверили, есть ли ACL на AP? Войдите в AP через CLI и с помощью команды «show ip access-list» убедитесь, что ACL, который вы отправили, есть на AP. Также убедитесь, что вы сохранили теги на AP. ___________________________________________
Коды,
рекомендованные TAC для AireOS WLC
Лучшие практики для AireOS WLC
Коды,
рекомендованные TAC для 9800 WLC
Лучшие практики для 9800 WLC
Матрица
совместимости Cisco Wireless___________________________________________
Аршад Сафрулла -
Да, ACL есть на точках доступа. Как я могу проверить теги на точке доступа? UPD. Теги тоже есть (спасибо
@Rich R
за подсказку) br andy -
«ap name <APname> write tag-config» сохраняет теги. Начиная с версии 17.6.1, введена постоянность тегов: https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-6/config-guide/b_wl_17_6_cg/m_ap_tag_persistency.html
Это также включает информацию о show ap tag summary. Вы пробовали тестировать на более новой версии, например 17.6? Между версиями 17.3 и 17.6 было внесено ряд улучшений в функции radius (для улучшения функциональной совместимости с AireOS), поэтому мы используем 17.6 — наш дизайн просто не работал на 17.3, так как некоторые команды появляются в конфигурации, но не реализованы в коде. ------------------------------
Пожалуйста, нажмите
«Полезно»,
если этот пост вам помог, и
«Принять как решение»
(раскрывающееся меню в правом верхнем углу этого ответа), если это ответило на ваш вопрос.Коды,
рекомендованные TAC для AireOS WLC
и
Коды, рекомендованные TAC для 9800 WLC
Лучшие практики для AireOS WLC
,
Рекомендуемые методы для 9800 WLC
и
Матрица совместимости Cisco
Wireless
Проверьте конфигурацию 9800 WLC с помощью
Wireless Config Analyzer,
используя вывод «show tech
wireless
» или «config paging disable», а затем вывод «show run-config» на AireOS, и используйте
Wireless Debug Analyzer
для анализа отладки клиента WLC
.
Уведомление: FN63942 Точки доступа и WLC не могут создать соединения CAPWAP из-за истечения срока
действия сертификата
. Уведомление: FN72424 Более поздние версии точек доступа WiFi 6 не могут подключиться к WLC — требуется обновление
программного обеспечения
. Уведомление: FN72524 Точки доступа IOS застревают в состоянии загрузки после 4 декабря 2022 г. из-за истечения
срока
https://www.cisco.com/c/en/us/support/docs/field-notices/725/fn72524.html
действия
сертификата
— исправлено в 8.10.196.0, последних версиях 9800,
8.5.182.12
(8.5.182.13 для 3504) и
8.5.182.109
(IRCM, 8.5.182.111 для 3504)
Уведомление: FN70479 Точка доступа не подключается или подключается с одним радиомодулем из-за несовместимости стран, требуется RMA
Как избежать цикла перезагрузки из-за поврежденного образа на точках доступа Wave 2 и Catalyst 11ax (CSCvx32806)
Уведомление: FN74035 - Точки доступа Wave2 DFS могут не обнаруживать Radar после проверки доступности канала
Список
[Лео]
с
[ошибками]
,
[влияющими на точки доступа]
[2800/3800/4800/1560]
Стандартная скорость передачи данных консоли точки доступа с версии 17.12.x составляет 115200
— введено
CSCwe88390 -
На самом деле я успешно протестировал использование «Airespace ACL» и «Filter-ID» по отдельности, ссылаясь на ACL, настроенный на WLC-9800. Несмотря на то, что Cisco 9800 является IOS-XE, «Airespace ACL» также работал в моем случае. Примечание: Cisco WLC-9800 не поддерживает dACL.
-
Загрузка ACL поддерживается в IOS XE 17.10.1. https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-10/release-notes/rn-17-10-9800.html
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти