対象環境
- Aruba 70XX シリーズ モビリティ・コントローラ
はじめに
Aruba 70XX シリーズ モビリティ・コントローラにて 802.1X 認証方式の SSID を設定する方法を記載します。
802.1X 認証方式としては証明書による認証や EAP-PEAP でのパスワード認証などがあります。
なお、ここでは必要最低限の設定のみを記載しています。
設定イメージ
以下の図のようにプロファイルを次々と紐づけていくコンフィグ構造になっているため、下位のプロファイルから順に作成していくことになります。
各プロファイルの作成
以下の順にプロファイルを作成していきます。
- aaa authentication-server radius
- aaa server-group
- ip access-list session
- user-role
- aaa authentication dot1x
- aaa profile
- wlan ssid-profile
- wlan virtual-ap
- ap-group
aaa authentication-server radius
aaa authentication-server radius プロファイルでは認証サーバの IP アドレスと RADIUS Key を指定します。
aaa authentication-server radius "radius-sv"
host 10.1.10.20
key radius-key
フォーマット:
aaa authentication-server radius "プロファイル名"
host "RADIUS サーバの IP"
key "RADIUS Key"
aaa server-group
aaa server-group プロファイルは、認証で使用する RADIUS サーバを 1 つ以上指定した RADIUS サーバグループです。
上で作成した aaa authentication-server radius プロファイルを指定します。
aaa server-group "radius-sv-group"
auth-server "radius-sv"
フォーマット:
aaa server-group "プロファイル名"
auth-server "RADIUS サーバプロファイル名"
ip access-list session
ip access-list session はユーザーロールに割り当てるアクセスリストで、宛先IP/port などに基づいて通信を制御します。
ここでは例としてすべての通信を許可するアクセスリストを作成します。
ip access-list session "permit-any"
any any any permit
フォーマット:
ip access-list session "ACL名"
<制御内容を記述>
user-role
対象 SSID に接続したユーザに割り当たることになるユーザロールの設定です。ユーザロールに対してはアクセスリストを紐づける設定をします。
user-role "permit-any-role"
access-list session "permit-any"
フォーマット:
user-role "ユーザロール名"
access-list session "ACL名"
aaa authentication dot1x
dot1x のプロファイルです。プロファイルの定義のみ実施すれば良いです。
aaa authentication dot1x "dot1x"
フォーマット:
aaa authentication dot1x "プロファイル名"
aaa profile
aaa authentication dot1xプロファイル,user-role,RADIUSサーバグループを紐づける設定です。
aaa profile "aaa-dot1x-profile"
authentication-dot1x "dot1x"
dot1x-default-role "permit-any-role"
dot1x-server-group "radius-sv-group"
フォーマット:
aaa profile "プロファイル名"
authentication-dot1x "プロファイル名"
dot1x-default-role "ユーザロール名"
dot1x-server-group "RADIUS サーバグループ名"
wlan ssid-profile
ESSID 名と暗号化方式を設定します。
認証方式を 802.1X にする場合は opmode
で wpa2-aes
を指定します。
wlan ssid-profile "ssid-dot1x"
essid "essid-dot1x"
opmode wpa2-aes
フォーマット:
wlan ssid-profile "プロファイル名"
essid "ESSID 名"
opmode wpa2-aes
wlan virtual-ap
wlan virtual-ap プロファイルでは、aaa profile と wlan ssid-profile を紐づけます。
SSID の Vlan や転送モード (bridge/tunnel) も wlan virtual-ap プロファイルで設定できます。
wlan virtual-ap "vap-dot1x"
aaa-profile "aaa-dot1x-profile"
ssid-profile "ssid-dot1x"
vlan 10
フォーマット:
wlan virtual-ap "プロファイル名"
aaa-profile "プロファイル名"
ssid-profile "プロファイル名"
vlan "Vlan-ID"
forward-mode <bridge/tunnel>
※forward-mode のデフォルトは tunnel
ap-group
最後に ap-group を設定します。ap-group では wlan virtual-ap プロファイルを指定します。
ap-group "sample-group"
virtual-ap "vap-dot1x"
フォーマット:
ap-group "プロファイル名"
virtual-ap "プロファイル名"
設定後の確認
モビリティ・コントローラで以下のコマンドを実行し状態を確認します。
- アクティブな AP の確認
show ap active
- AP が飛ばしている SSID の確認
show ap bss-table
show gsm debug channel bss
- SSID に接続しているクライアントのユーザロールの確認
show station-table
show user-table
―――――――――――――