【Aruba モビリティ・コントローラ】802.1X 認証の SSID を設定する方法

無線

対象環境

  • Aruba 70XX シリーズ モビリティ・コントローラ

はじめに

Aruba 70XX シリーズ モビリティ・コントローラにて 802.1X 認証方式の SSID を設定する方法を記載します。

802.1X 認証方式としては証明書による認証や EAP-PEAP でのパスワード認証などがあります。

なお、ここでは必要最低限の設定のみを記載しています。

設定イメージ

以下の図のようにプロファイルを次々と紐づけていくコンフィグ構造になっているため、下位のプロファイルから順に作成していくことになります。

各プロファイルの作成

以下の順にプロファイルを作成していきます。

  1. aaa authentication-server radius
  2. aaa server-group
  3. ip access-list session
  4. user-role
  5. aaa authentication dot1x
  6. aaa profile
  7. wlan ssid-profile
  8. wlan virtual-ap
  9. ap-group

aaa authentication-server radius

aaa authentication-server radius プロファイルでは認証サーバの IP アドレスと RADIUS Key を指定します。

aaa authentication-server radius "radius-sv"
 host 10.1.10.20
 key radius-key

フォーマット:

aaa authentication-server radius "プロファイル名"
 host "RADIUS サーバの IP"
 key "RADIUS Key"

Aruba ClearPass Policy Manager (CPPM) と連携していて CPPM を認証サーバとして使用している環境では aaa authentication-server radius プロファイルで CPPM の IP を指定することになります。

aaa server-group

aaa server-group プロファイルは、認証で使用する RADIUS サーバを 1 つ以上指定した RADIUS サーバグループです。

上で作成した aaa authentication-server radius プロファイルを指定します。

aaa server-group "radius-sv-group" 
    auth-server "radius-sv"

フォーマット:

aaa server-group "プロファイル名"
    auth-server "RADIUS サーバプロファイル名"

ip access-list session

ip access-list session はユーザーロールに割り当てるアクセスリストで、宛先IP/port などに基づいて通信を制御します。

ここでは例としてすべての通信を許可するアクセスリストを作成します。

ip access-list session "permit-any" 
    any any any permit

フォーマット:

ip access-list session "ACL名" 
    <制御内容を記述>

user-role

対象 SSID に接続したユーザに割り当たることになるユーザロールの設定です。ユーザロールに対してはアクセスリストを紐づける設定をします。

user-role "permit-any-role"
    access-list session "permit-any"

フォーマット:

user-role "ユーザロール名"
    access-list session "ACL名"

aaa authentication dot1x

dot1x のプロファイルです。プロファイルの定義のみ実施すれば良いです。

aaa authentication dot1x "dot1x"

フォーマット:

aaa authentication dot1x "プロファイル名"

aaa profile

aaa authentication dot1xプロファイル,user-role,RADIUSサーバグループを紐づける設定です。

aaa profile "aaa-dot1x-profile"
 authentication-dot1x "dot1x"
 dot1x-default-role "permit-any-role"
 dot1x-server-group "radius-sv-group"

フォーマット:

aaa profile "プロファイル名"
 authentication-dot1x "プロファイル名"
 dot1x-default-role "ユーザロール名"
 dot1x-server-group "RADIUS サーバグループ名"

dot1x-default-role は 802.1X 認証に成功した場合に割り当てられるユーザロールの設定です。

RADIUS アカウンティングを使用する場合は、radius-accounting 項目を設定し RADIUS サーバグループを指定します。

RFC-3576 に基づくユーザー切断、CoA、およびセッションタイムアウトメッセージの送信を RADIUS サーバで実施する場合は、rfc-3576-server 項目を設定し あらかじめ定義した aaa rfc-3576-server プロファイルを指定します。
※RADIUS CoA は Bridge モードの SSID では使用できません

wlan ssid-profile

ESSID 名と暗号化方式を設定します。

認証方式を 802.1X にする場合は opmodewpa2-aes を指定します。

wlan ssid-profile "ssid-dot1x"
 essid "essid-dot1x"
 opmode wpa2-aes

フォーマット:

wlan ssid-profile "プロファイル名"
 essid "ESSID 名"
 opmode wpa2-aes

wlan virtual-ap

wlan virtual-ap プロファイルでは、aaa profile と wlan ssid-profile を紐づけます。

SSID の Vlan や転送モード (bridge/tunnel) も wlan virtual-ap プロファイルで設定できます。

wlan virtual-ap "vap-dot1x"
 aaa-profile "aaa-dot1x-profile"
 ssid-profile "ssid-dot1x"
 vlan 10

フォーマット:

wlan virtual-ap "プロファイル名"
 aaa-profile "プロファイル名"
 ssid-profile "プロファイル名"
 vlan "Vlan-ID"
 forward-mode <bridge/tunnel>

※forward-mode のデフォルトは tunnel

ap-group

最後に ap-group を設定します。ap-group では wlan virtual-ap プロファイルを指定します。

ap-group "sample-group"
 virtual-ap "vap-dot1x"

フォーマット:

ap-group "プロファイル名"
 virtual-ap "プロファイル名"

設定後の確認

モビリティ・コントローラで以下のコマンドを実行し状態を確認します。

  • アクティブな AP の確認
    • show ap active
  • AP が飛ばしている SSID の確認
    • show ap bss-table
    • show gsm debug channel bss
  • SSID に接続しているクライアントのユーザロールの確認
    • show station-table
    • show user-table

―――――――――――――

タイトルとURLをコピーしました