ワイヤレス LAN コントローラおよび Cisco Secure ACS を使ったユーザごとの ACL の設定例

概要

このドキュメントでは、WLC のアクセス コントロール リスト（ACL）を作成し、RADIUS 認証に応じてユーザに適用する方法の例を示します。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

• Cisco Secure ACS サーバを設定してワイヤレス クライアントを認証する方法についての基本的な知識

• Cisco Aironet Lightweight アクセス ポイント（LAP）および Cisco Wireless LAN Controller（WLC）の設定についての知識

• Cisco Unified Wireless Security ソリューションについての知識

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• バージョン 5.0.148.0 が稼働する Cisco 4400 シリーズ Wireless LAN Controller

• Cisco Aironet 1231 シリーズ Lightweight アクセス ポイント（LAP）

• バージョン 3.6 が稼働する Cisco Aironet 802.11 a/b/g Cisco Wireless LAN クライアント アダプタ

• Cisco Aironet Desktop Utility バージョン 3.6

• Cisco Secure ACS サーバ バージョン 4.1

• IOS^{® バージョン 12.4(11)T が稼働する Cisco 2800 シリーズ サービス統合型ルータ}

• バージョン 12.0(5)WC3b が稼働する Cisco Catalyst 2900XL シリーズ スイッチ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

ユーザごとのアクセス コントロール リスト（ACL）は、シスコのアイデンティティ ネットワーキングの一部です。Cisco Wireless LAN ソリューションは、アイデンティティ ネットワーキングをサポートします。それによって、ネットワークが単一の SSID をアドバタイズできる一方、特定のユーザが、ユーザ プロファイルに基づいて異なるポリシーを継承することができるようになります。

ユーザごとの ACL 機能を使用すると、ワイヤレス LAN コントローラ上で設定された ACL を RADIUS 認証に基づいてユーザに適用することができます。これは、Airespace-ACL-Name Vendor Specific Attribute（VSA）で実現されます。

この属性は、クライアントに適用される ACL 名を示します。RADIUS Access Accept に ACL 属性が指定されている場合、システムでは認証後に ACL-Name がクライアント ステーションに適用されます。これは、インターフェイスに割り当てられた ACL を上書きします。インターフェイスに割り当てられた ACL を無視し、新しい ACL を適用するということです。

ACL-Name 属性形式の要約を次に示します。フィールドは左から右に伝送されます。

 0                   1                   2                   3 
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
|     Type      |  Length       |            Vendor-Id 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
     Vendor-Id (cont.)          | Vendor type   | Vendor length | 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 
|        ACL Name... 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- 
• Type - 26 for Vendor-Specific 
• Length - >7 
• Vendor-Id - 14179 
• Vendor type - 6 
• Vendor length - >0 
• Value - A string that includes the name of the ACL to use for the client. 
   The string is case sensitive. 

Cisco Unified Wireless Network Identity Networking の詳細については、ドキュメント『セキュリティ ソリューションの設定』の「Identity ネットワーキングの設定」の項を参照してください。

ネットワーク図

このドキュメントでは、次のネットワーク セットアップを使用します。

このセットアップでは、ワイヤレス LAN コントローラ WLC および LAP を使用して、Department A および Department B のユーザにワイヤレス サービスが提供されます。ワイヤレス ユーザはすべて Office-VLAN という VLAN 内に存在し、ネットワークへのアクセスに Office という共通の WLAN（SSID）を使用します。

ワイヤレス ユーザの認証には、Cisco Secure ACS サーバが使用されます。ユーザの認証には EAP 認証が使用されます。WLC、LAP、および Cisco Secure ACS サーバは、次のように Layer 2 Switch に接続されます。

Router R1 は、次のように、Layer 2 Switch 経由で有線側に接続されます。Router R1 は、DHCP サーバとしても機能し、サブネット 172.16.0.0/16 からのワイヤレス クライアントに IP アドレスを提供します。

次の状態になるようにデバイスを設定する必要があります。

Department A からの User1 はサーバ 172.16.1.100 にだけアクセスできる

Department B からの User2 はサーバ 172.16.1.50 にだけアクセスできる

これを実現するには、WLC に 2 つの ACL を作成する必要があります。1つはUser1用、もう1つはUser2用です。ACLを作成したら、ワイヤレスユーザの認証が成功したら、ACL名属性をWLCに返すようにCisco Secure ACSサーバを設定する必要があります。WLC はユーザに ACL を適用し、その結果ネットワークへの接続はユーザ プロファイルによって制限されます。

注：このドキュメントでは、ユーザの認証にLEAP認証を使用します。Cisco LEAP には、ディクショナリ攻撃に対する脆弱性が存在します。リアルタイム ネットワークでは、EAP FAST のような、よりセキュアな認証方法を使用する必要があります。このドキュメントは、ユーザごとの ACL 機能の設定方法を説明することが目的であるため、ここでは単純化のために LEAP を使用しています。

次のセクションは、このセットアップを設定するためのステップごとの手順を説明しています。

設定

ユーザごとの ACL を設定する前に、WLC の基本動作を設定し、さらに WLC に LAP を登録する必要があります。このドキュメントでは、基本動作用に WLC が設定されており、WLC に LAP が登録されていることを前提としています。WLC で LAP との基本動作を初めて設定する場合は、Wireless LAN Controller（WLC）への Lightweight AP（LAP）の登録を参照してください。

LAP が登録されたら、次の手順を実行し、このセットアップ用のデバイスを設定します。

1. ワイヤレス LAN コントローラを設定します。

2. Cisco Secure ACS サーバを設定します。

3. 設定を確認します。

注：このドキュメントでは、ワイヤレス側で必要な設定について説明します。有線側が設定されていることを前提としています。

ワイヤレス LAN コントローラの設定

ワイヤレス LAN コントローラで次を実行する必要があります。

• ワイヤレス ユーザ用の VLAN の作成。

• Cisco Secure ACS でワイヤレス ユーザを認証する WLC の設定。

• ワイヤレス ユーザ用の新規 WLAN の作成。

• ワイヤレス ユーザに対する ACL の定義。

ワイヤレス ユーザ用の VLAN の作成

ワイヤレス ユーザ用の VLAN を作成するには、次の手順を実行します。

1. WLC の GUI に移動し、[Controller] > [Interfaces] の順に選択します。[Interfaces] ウィンドウが表示されます。このウィンドウには、コントローラに設定されているインターフェイスの一覧が表示されます。

2. 新しいダイナミック インターフェイスを作成するには、[New] をクリックします。

3. [Interfaces] > [New] ウィンドウで、インターフェイス名と VLAN ID を入力します。次に [Apply] をクリックします。この例では、ダイナミック インターフェイスの名前に Office-VLAN を指定し、VLAN ID に 20 を割り当てています。

   

4. [Interfaces] > [Edit] ウィンドウで、ダイナミック インターフェイスの IP アドレス、サブネット マスク、デフォルト ゲートウェイを入力します。ダイナミック インターフェイスを WLC の物理ポートに割り当て、DHCP サーバの IP アドレスを入力します。次に [Apply] をクリックします。

   

   この例では、Office-VLAN インターフェイスに次のパラメータを使用しています。

   Office-VLAN
   	IP address: 172.16.1.25
   	Netmask: 255.255.0.0
   	Default gateway: 172.16.1.75 (sub-interface on Router R1)
   	Port on WLC: 1
   	DHCP server: 172.16.1.75 
   

Cisco Secure ACS で認証する WLC の設定

ユーザ クレデンシャルを外部 RADIUS サーバ（この例では、Cisco Secure ACS）に転送するには WLC を設定する必要があります。 RADIUS サーバはユーザ クレデンシャルを検証し、ワイヤレス ユーザの認証に成功したら、ACL 名前属性を WLC に返します。

RADIUS サーバを使用するように WLC を設定するには、次の手順を実行します。

1. コントローラの GUI から [Security]、[RADIUS]、[Authentication] を選択して、[RADIUS Authentication Servers] ページを表示します。次に、[New] をクリックして、RADIUS サーバを定義します。

2. [RADIUS Authentication Servers] > [New] ページで RADIUS サーバのパラメータを定義します。RADIUS サーバ IP アドレス、共有秘密、ポート番号、サーバ ステータスなどのパラメータがあります。

   

3. [Network User] チェックボックスと [Management] チェックボックスでは、管理ユーザとネットワーク ユーザに RADIUS ベースの認証を適用するかどうかを指定します。この例では、IPアドレス10.77.244.196のRADIUSサーバとしてCisco Secure ACSを使用しています。[Apply]をクリックします。

ワイヤレス ユーザ用の新規 WLAN の作成

次に、ワイヤレス ユーザが接続できる WLAN を作成する必要があります。新しい WLAN を作成するには、次の手順を実行します。

1. ワイヤレス LAN コントローラの GUI で [WLANs] をクリックします。このページには、コントローラに存在する WLAN の一覧が表示されます。

2. 新しい WLAN を作成するには、[New] をクリックします。WLAN の WLAN ID、プロファイル名、WLAN SSID を入力し、[Apply] をクリックします。この設定では、WLAN Office を作成します。

   

3. 新しい WLAN を作成すると、新しい WLAN に対する [WLAN] > [Edit] ページが表示されます。このページでは、General Policies、Security、QOS、Advanced パラメータなど、その WLAN に固有のさまざまなパラメータを定義できます。

   

   WLAN を有効にするには、[General Policies] の下の [WLAN Status] にチェックマークを入れます。プルダウン メニューから適切なインターフェイスを選択します。この例では、インターフェイス Office-vlan を使用します。このページの他のパラメータは、WLAN ネットワークの要件に基づいて変更できます。

4. [Security] タブを選択します。[Layer 2 Security] プルダウン メニューから [802.1x] を選択します（LEAP 認証であるため）。 802.1x パラメータで適切な WEP キーのサイズを選択します。

   

5. [Security] タブで、[AAA Servers] サブタブを選択します。ワイヤレス クライアントを認証するために使用される AAA サーバを選択します。この例では、ワイヤレス クライアントを認証するために ACS サーバ 10.77.244.1966 を使用します。

   

6. [Advanced] タブを選択します。ワイヤレス LAN 上の AAA をからユーザ ポリシーのオーバーライドを設定するには、[Allow AAA Override] を選択します。

   

   AAA オーバーライドが有効になっていて、クライアントで AAA と Cisco Wireless LAN Controller のワイヤレス LAN 認証パラメータが競合している場合、クライアント認証は AAA サーバによって行われます。この認証の一環として、オペレーティング システムはクライアントを、デフォルトの Cisco Wireless LAN ソリューションのワイヤレス LAN VLAN から、Cisco Wireless LAN Controller のインターフェイス設定で事前定義され、AAA サーバによって返された VLAN に移動します（MAC フィルタリング、802.1X、および WPA 動作が設定されている場合のみ）。すべてのケースで、Cisco Wireless LAN Controller のインターフェイス設定で事前定義されている限り、オペレーティング システムは、AAA サーバで指定された QoS、DSCP、802.1p 優先順位タグ値および ACL も使用します。

7. ネットワークの要件に応じてその他のパラメータを選択します。[Apply] をクリックします。

ユーザに対する ACL の定義

このセットアップに対して 2 つの ACL を作成する必要があります。

• ACL1：User1 をサーバ 172.16.1.100 にだけアクセスさせるためのもの

• ACL2：User2 をサーバ 172.16.1.50 にだけアクセスさせるためのもの

WLC 上で ACL を設定するには、次の手順を実行します。

1. WLC GUI で、[Security] > [Access Control Lists] の順に選択します。[Access Control Lists] ページが表示されます。このページには、WLC に設定されている ACL の一覧が表示されます。任意の ACL を編集または削除することもできます。新しい ACL を作成するには、[New] をクリックします。

2. このページで新しい ACL を作成することができます。ACL の名前を入力し、[Apply] をクリックします。ACL が作成されたら、この ACL のルールを作成するために [Edit] をクリックします。

3. User1 はサーバ 172.16.1.100 にだけアクセスする必要があり、他のすべてのデバイスに対するアクセスは拒否されます。このためには、次のルールを定義する必要があります。

   ワイヤレス LAN コントローラ上で ACL を設定する方法の詳細は、ワイヤレス LAN コントローラ上に ACL を設定する例を参照してください。

   

4. 同様に、User2 に対して ACL を作成する必要があります。これにより、User2 はサーバ 172.16.1.50 にだけアクセスすることができます。これは User2 に必要な ACL です。

   

   これで、このセットアップのワイヤレス LAN コントローラが設定されました。次の手順では、Cisco Secure Access Control サーバに対して、ワイヤレス クライアントを認証し、認証に成功した場合には ACL Name 属性を WLC に返すように設定します。

Cisco Secure ACS サーバの設定

Cisco Secure ACS がワイヤレス クライアントを認証できるようにするには、次の手順を実行する必要があります。

• Cisco Secure ACS 上の AAA クライアントとしてワイヤレス LAN コントローラを設定します。

• Cisco Secure ACS 上でユーザおよびユーザ プロファイルを設定します。

Cisco Secure ACS 上の AAA クライアントとしてのワイヤレス LAN コントローラの設定

ワイヤレス LAN コントローラを Cisco Secure ACS 上の AAA クライアントとして設定するには次の手順を実行します。

1. [Network Configuration] > [Add AAA client] をクリックします。[Add AAA Client] ページが表示されます。このページでは、WLC システム名、管理インターフェイス IP アドレス、共有秘密、および Radius Airespace を使用した認証を定義します。以下が一例です。

   

   注：Cisco Secure ACSに設定されている共有秘密は、[RADIUS Authentication Servers] > [New]でWLCに設定されている共有秘密と一致する必要があります。

2. [Submit+Apply] をクリックします。

Cisco Secure ACS 上でのユーザおよびユーザ プロファイルの設定

Cisco Secure ACS 上でユーザを設定するには次の手順を実行する必要があります。

1. ACS GUI から [User Setup] を選択し、ユーザ名を入力して、[Add/Edit] をクリックします。この例では、ユーザは User1 です。

   

2. [User Setup] ページが表示されたら、ユーザに固有のすべてのパラメータを定義します。この例では、ユーザ名、パスワード、補足ユーザ情報、および RADIUS 属性を設定します。これらのパラメータは EAP 認証でのみ必要となるものです。

   

   ユーザに固有の Cisco Airespace RADIUS 属性が表示されるまで下にスクロールします。[Aire-ACL-Name] をクリックして、認証成功が戻ってきた際に、ACS が ACL 名を WLC に返せるようにします。User1 用に WLC 上で ACL User1 を作成します。ACL の名前を User1 として入力します。

   

3. ここに示すように User2 に対して同じ手順を繰り返してください。

   

   

   

4. 意図した EAP 認証方法を実行するように認証サーバが設定されていることを確認するには、[System Configuration] 、[Global Authentication Setup] をクリックします。EAP の設定で、適切な EAP 方法を選択します。この例では、LEAP 認証を使用しています。設定が終了したら、[Submit] をクリックします。

   

確認

ここでは、設定が正常に機能しているかどうかを確認します。

設定が意図したとおりに動作することを確認するには、LEAP 認証を使用して、ワイヤレス クライアントと Lightweight AP の関連付けを試みます。

注：このドキュメントでは、クライアントプロファイルがLEAP認証用に設定されていることを前提としています。802.11 a/b/g ワイヤレス クライアント アダプタを LEAP 認証用に設定する方法についての詳細は、EAP 認証の使用方法を参照してください。

ワイヤレス クライアントのプロファイルをアクティブにすると、ユーザは LEAP 認証のためのユーザ名とパスワードの入力を求められます。これは、User1 が LAP への認証を試行した場合に発生します。

Lightweight AP および続いて WLC が、クレデンシャルを検証するために、ユーザのクレデンシャルを外部 RADIUS サーバ（Cisco Secure ACS）に渡します。RADIUS サーバは、データをユーザ データベースと比較し、認証に成功したら、ユーザに設定された ACL 名を WLC に返します。この場合、ACL User1 が WLC に返されます。

ワイヤレスLANコントローラ(WLC)はこのACLをUser1に適用します。このping出力は、User1がサーバ172.16.1.100にのみアクセスでき、他のデバイスにはアクセスできないことを示します。

D:\Documents and Settings\Administrator>ping 172.16.1.100

Pinging 172.16.1.100 with 32 bytes of data:

Reply from 172.16.1.100: bytes=32 time=3ms TTL=255
Reply from 172.16.1.100: bytes=32 time=1ms TTL=255
Reply from 172.16.1.100: bytes=32 time=1ms TTL=255
Reply from 172.16.1.100: bytes=32 time=1ms TTL=255

Ping statistics for 172.16.1.100:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 1ms, Maximum = 3ms, Average = 1ms

D:\Documents and Settings\Administrator>ping 172.16.1.50

Pinging 172.16.1.50 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 172.16.1.50:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

同様に、User2 が WLAN へのアクセスを試行した場合、認証に成功したら、RADIUS サーバは ACL User2 を WLC に返します。

ワイヤレスLANコントローラ(WLC)はこのACLをUser2に適用します。このping出力は、User2がサーバ172.16.1.50にのみアクセスでき、他のデバイスにはアクセスできないことを示します。

D:\Documents and Settings\Administrator>ping 172.16.1.50

Pinging 172.16.1.50 with 32 bytes of data:

Reply from 172.16.1.50: bytes=32 time=3ms TTL=255
Reply from 172.16.1.50: bytes=32 time=18ms TTL=255
Reply from 172.16.1.50: bytes=32 time=1ms TTL=255
Reply from 172.16.1.50: bytes=32 time=1ms TTL=255

Ping statistics for 172.16.1.50:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 1ms, Maximum = 18ms, Average = 5ms

D:\Documents and Settings\Administrator>ping 172.16.1.100

Pinging 172.16.1.100 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 172.16.1.100:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

トラブルシュート

ここでは、設定のトラブルシューティングに使用できる情報を示します。

ワイヤレス LAN コントローラで、AAA 認証のトラブルシューティングに次のデバッグ コマンドを使用することもできます。

• debug aaa all enable：すべての AAA メッセージのデバッグを設定します。

• debug dot1x packet enable：すべてのdot1xパケットのデバッグを有効にします

• debug client <MAC Address> ：ワイヤレス クライアント デバッグを有効にします。

次に debug aaa all enable コマンドの例を示します。

注：出力の一部の行は、スペースの制約により2行目に移動しています。

Thu Aug 16 14:42:54 2007: AuthenticationRequest: 0xb1ab104
Thu Aug 16 14:42:54 2007:       Callback................0x85ed228
Thu Aug 16 14:42:54 2007:       protocolType............0x00140001
Thu Aug 16 14:42:54 2007:       proxyState..............00:40:96:AF:3E:93-03:01
Thu Aug 16 14:42:54 2007:       Packet contains 16 AVPs (not shown)
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Successful transmission of Authentication Packet 
   (id 1) to 10.77.244.196:1812, proxy state 00:40:96:af:3e:93-00:00
Thu Aug 16 14:42:54 2007: 00000000: 01 01 00 d0 2d 34 f5 99  b4 19 27 28 eb 5f 35 9c  
   ....-4....'(._5.
Thu Aug 16 14:42:54 2007: 00000010: 8f a9 00 dd 01 07 75 73  65 72 31 1f 13 30 30 2d  
   ......user1..00-
Thu Aug 16 14:42:54 2007: 00000020: 34 30 2d 39 36 2d 41 46  2d 33 45 2d 39 33 1e 20  
   40-96-AF-3E-93..
Thu Aug 16 14:42:54 2007: 00000030: 30 30 2d 30 42 2d 38 35  2d 35 42 2d 46 42 2d 44  
   00-0B-85-5B-FB-D
Thu Aug 16 14:42:54 2007: 00000040: 30 3a 4f 66 66 69 63 65  2d 54 53 57 45 42 05 06  
   0:Office-TSWEB..
Thu Aug 16 14:42:54 2007: 00000050: 00 00 00 01 04 06 0a 4d  f4 d2 20 05 77 6c 63 1a  
   .......M....wlc.
Thu Aug 16 14:42:54 2007: 00000060: 0c 00 00 37 63 01 06 00  00 00 01 06 06 00 00 00  
   ...7c...........
Thu Aug 16 14:42:54 2007: 00000070: 02 0c 06 00 00 05 14 3d  06 00 00 00 13 40 06 00  
   .......=.....@..
Thu Aug 16 14:42:54 2007: 00000080: 00 00 0d 41 06 00 00 00  06 51 04 32 30 4f 27 02  
   ...A.....Q.20O'.
Thu Aug 16 14:42:54 2007: 00000090: 01 00 25 11 01 00 18 1d  87 9d 0b f9 dd e5 39 0d  
   ..%...........9.
Thu Aug 16 14:42:54 2007: 000000a0: 2e 82 eb 17 c6 23 b7 96  dc c3 55 ff 7c 51 4e 75  
   .....#....U.|QNu
Thu Aug 16 14:42:54 2007: 000000b0: 73 65 72 31 18 0a 53 56  43 3d 30 2e 31 3b 50 12  
   ser1..SVC=0.1;P.
Thu Aug 16 14:42:54 2007: 000000c0: 1a d5 3b 35 5e 93 11 c0  c6 2f 5e f5 65 e9 3e 2d  
   ..;5^..../^.e.>-
Thu Aug 16 14:42:54 2007: 00000000: 0b 01 00 36 8c 31 6a b4  27 e6 d4 0e 1b 8e 5d 19  
   ...6.1j.'.....].
Thu Aug 16 14:42:54 2007: 00000010: 60 1c c2 16 4f 06 03 01  00 04 18 0a 53 56 43 3d
   ...O.......SVC=
Thu Aug 16 14:42:54 2007: 00000020: 30 2e 31 3b 50 12 6c fb  90 ec 48 9b fb d7 ce ca  
   0.1;P.l...H.....
Thu Aug 16 14:42:54 2007: 00000030: 3b 64 93 10 fe 09      ;d....
Thu Aug 16 14:42:54 2007: ****Enter processIncomingMessages: response code=11
Thu Aug 16 14:42:54 2007: ****Enter processRadiusResponse: response code=11
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Access-Challenge received from RADIUS server 
   10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
Thu Aug 16 14:42:54 2007: AuthorizationResponse: 0x9c27800
Thu Aug 16 14:42:54 2007:       structureSize............104
Thu Aug 16 14:42:54 2007:       resultCode...............255
Thu Aug 16 14:42:54 2007:       protocolUsed............0x00000001
Thu Aug 16 14:42:54 2007:       proxyState...............
   00:40:96:AF:3E:93-03:01
Thu Aug 16 14:42:54 2007:       Packet contains 3 AVPs (not shown)
Thu Aug 16 14:42:54 2007: AuthenticationRequest: 0xb1ab104
Thu Aug 16 14:42:54 2007:       Callback................0x85ed228
Thu Aug 16 14:42:54 2007:       protocolType............0x00140001
Thu Aug 16 14:42:54 2007:       proxyState.........................
   00:40:96:AF:3E:93-03:02
Thu Aug 16 14:42:54 2007:       Packet contains 16 AVPs (not shown)
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Successful transmission of Authentication Packet (id 2) to 10.77.244.196:1812, 
proxy state 00:40:96:af:3e:93-00:00
Thu Aug 16 14:42:54 2007: 00000000: 01 02 00 c0 38 b6 b2 20  ff 5b f2 16 64 df 02 61  
   ....8....[..d..a
Thu Aug 16 14:42:54 2007: 00000010: cf f5 93 4b 01 07 75 73  65 72 31 1f 13 30 30 2d  
   ...K..User1..00-
Thu Aug 16 14:42:54 2007: 00000020: 34 30 2d 39 36 2d 41 46  2d 33 45 2d 39 33 1e 20  
   40-96-AF-3E-93..
Thu Aug 16 14:42:54 2007: 00000030: 30 30 2d 30 42 2d 38 35  2d 35 42 2d 46 42 2d 44  
   00-0B-85-5B-FB-D
Thu Aug 16 14:42:54 2007: 00000040: 30 3a 4f 66 66 69 63 65  2d 54 53 57 45 42 05 06  
   0:Office..
Thu Aug 16 14:42:54 2007: 00000050: 00 00 00 01 04 06 0a 4d  f4 d2 20 05 77 6c 63 1a  
   .......M....wlc.
Thu Aug 16 14:42:54 2007: 00000060: 0c 00 00 37 63 01 06 00  00 00 01 06 06 00 00 00  
   ...7c...........
Thu Aug 16 14:42:54 2007: 00000070: 02 0c 06 00 00 05 14 3d  06 00 00 00 13 40 06 00  
   .......=.....@..
Thu Aug 16 14:42:54 2007: 00000080: 00 00 0d 41 06 00 00 00  06 51 04 32 30 4f 17 01  
   ...A.....Q.20O..
Thu Aug 16 14:42:54 2007: 00000090: 01 00 15 11 01 00 08 0f  14 05 65 1b 28 61 c9 75  
   ..........e.(a.u
Thu Aug 16 14:42:54 2007: 000000a0: 73 65 72 31 18 0a 53 56  43 3d 30 2e 31 3b 50 12  
   ser1..SVC=0.1;P.
Thu Aug 16 14:42:54 2007: 000000b0: 05 ba 6b af fe a4 b0 d1  a2 94 f8 39 80 ca 3c 96  
   ..k........9..<.
Thu Aug 16 14:42:54 2007: 00000000: 02 02 00 ce c9 3d 5d c8  6c 07 8e fb 58 84 8d f6  
   .....=].l...X...
Thu Aug 16 14:42:54 2007: 00000010: 33 6d 93 21 08 06 ff ff  ff ff 4f 27 02 01 00 25  
   3m.!......O'...%
Thu Aug 16 14:42:54 2007: 00000020: 11 01 00 18 e5 e5 31 1e  33 b5 4e 69 90 e7 84 25  
   ......1.3.Ni...%
Thu Aug 16 14:42:54 2007: 00000030: 42 a9 20 ac 84 33 9f 87  ca dc c9 b3 75 73 65 72  
   B....3......user
Thu Aug 16 14:42:54 2007: 00000040: 31 1a 3b 00 00 00 09 01  35 6c 65 61 70 3a 73 65  
   1.;.....5leap:se
Thu Aug 16 14:42:54 2007: 00000050: 73 73 69 6f 6e 2d 6b 65  79 3d 29 80 1d 2c 1c 85  
   ssion-key=)..,..
Thu Aug 16 14:42:54 2007: 00000060: db 1c 29 7e 40 8a b8 93  69 2a 55 d2 e5 46 89 8b  
   ..)~@...i*U..F..
Thu Aug 16 14:42:54 2007: 00000070: 2c 3b 65 49 3e 44 cf 7e  95 29 47 54 1a 1f 00 00  
   ,;eI>D.~.)GT....
Thu Aug 16 14:42:54 2007: 00000080: 00 09 01 19 61 75 74 68  2d 61 6c 67 6f 2d 74 79  
   ....auth-algo-ty
Thu Aug 16 14:42:54 2007: 00000090: 70 65 3d 65 61 70 2d 6c  65 61 70 1a 0d 00 00 37  
   pe=eap-leap....7
Thu Aug 16 14:42:54 2007: 000000a0: 63 06 07 55 73 65 72 31  19 14 43 41 43 53 3a 30  
   c..User1..CACS:0
Thu Aug 16 14:42:54 2007: 000000b0: 2f 39 2f 61 34 64 66 34  64 32 2f 31 50 12 9a 71  
   /9/a4df4d2/1P..q
Thu Aug 16 14:42:54 2007: 000000c0: 09 99 7d 74 89 ad af e5  c8 b1 71 94 97 d1      
   ..}t......q...
Thu Aug 16 14:42:54 2007: ****Enter processIncomingMessages: response code=2
Thu Aug 16 14:42:54 2007: ****Enter processRadiusResponse: response code=2
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
Access-Accept received from RADIUS server 
   10.77.244.196 for mobile 00:40:96:af:3e:93 receiveId = 3
Thu Aug 16 14:42:54 2007: AuthorizationResponse: 0x9c27800
Thu Aug 16 14:42:54 2007:       structureSize............236
Thu Aug 16 14:42:54 2007:       resultCode...............0
Thu Aug 16 14:42:54 2007:       protocolUsed.............0x0
0000001
Thu Aug 16 14:42:54 2007:       proxyState...............00:
40:96:AF:3E:93-03:02
Thu Aug 16 14:42:54 2007:  Packet contains 6 AVPs:
Thu Aug 16 14:42:54 2007:  AVP[01] Framed-IP-Address..........0xffffffff (-1) 
   (4 bytes)
Thu Aug 16 14:42:54 2007:  AVP[02] EAP-Message................DATA (37 bytes)
Thu Aug 16 14:42:54 2007:  AVP[03] Cisco / LEAP-Session-Key...DATA (16 bytes)
Thu Aug 16 14:42:54 2007:  AVP[04] Airespace / ACL-Name.......User1 (5 bytes)
Thu Aug 16 14:42:54 2007:  AVP[05] Class......................CACS:0/9/a4df4d2/1 
   (18 bytes)
Thu Aug 16 14:42:54 2007:  AVP[06] Message-Authenticator......DATA (16 bytes)
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 Applying new AAA override 
   for station 00:40:96:af:3e:93
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 Override values 
   for station 00:40:96:af:3e:93
                source: 4, valid bits: 0x400
        qosLevel: -1, dscp: 0xffffffff, dot1pTag: 0xffffffff, sessionTimeout: -1

dataAvgC: -1, rTAvgC: -1, dataBurstC: -1, rTimeBurstC: -1
                                                       vlanIfName: '',
aclName:User1
Thu Aug 16 14:42:54 2007: 00:40:96:af:3e:93 
   Inserting new RADIUS override into chain for station 00:40:96:af:3e:93

show wlan summary コマンドを組み合わせて使用することで、どの WLAN で RADIUS サーバ認証が使用されているかがわかります。その後、show client summary コマンドを使用すると、RADIUS WLAN での認証に成功した MAC アドレス（クライアント）がわかります。また、この情報を、Cisco Secure ACS の成功した試行または失敗した試行のログと相関させることもできます。

正しく設定したことを確認するために、ワイヤレス クライアントを使用して ACL 設定をテストすることを推奨します。正しく動作しない場合は、ACL Web ページで ACL を確認し、ACL に対する変更がコントローラのインターフェイスに適用されたことを確認してください。

設定は、次の show コマンドを使用して確認することもできます。

• show acl summary：コントローラ上に設定されている ACL を表示するには、show acl summary コマンドを使用します。

以下が一例です。

(Cisco Controller) >show acl summary

ACL Name                         Applied
-------------------------------- -------
User1                                  Yes
User2                                  Yes

• show acl detailed <ACL_Name>：設定された ACL の詳細情報を表示します。

  以下が一例です。

  注：出力の一部の行は、スペースの制約により2行目に移動しています。

  Cisco Controller) >show acl detailed User1
  
                     Source                       Destination                 
     Source Port   Dest Port
  I  Dir       IP Address/Netmask              IP Address/Netmask        
     Prot    Range       Range    DSCP   Action
  -- --- ------------------------------- ------------------------------- 
     ---- ----------- ----------- ----    ------
   1  In      172.16.0.0/255.255.0.0        172.16.1.100/255.255.255.255  
     Any  0-65535       0-65535   Any    Permit
   2 Out    172.16.1.100/255.255.255.255      172.16.0.0/255.255.0.0      
     Any  0-65535       0-65535   Any    Permit
  
  
  (Cisco Controller) >show acl detailed User2
  
                     Source                       Destination                 
     Source Port   Dest Port
  I  Dir       IP Address/Netmask              IP Address/Netmask        
     Prot    Range       Range    DSCP Action
  -- --- ------------------------------- ------------------------------- 
     ---- ----------- ----------- ---- ------
  1  In      172.16.0.0/255.255.0.0         172.16.1.50/255.255.255.255  
     Any   0-65535       0-65535    Any  Permit
  2 Out     172.16.1.50/255.255.255.255      172.16.0.0/255.255.0.0      
     Any   0-65535       0-65535    Any  Permit

• show client detail <MAC Address of the client>：ワイヤレス クライアントに関する詳細情報を表示します。

トラブルシューティングのヒント

トラブルシューティングには、次のヒントを使用します。

• コントローラで、RADIUS サーバがアクティブ状態であり、スタンバイや無効状態ではないことを確認します。

• コントローラの WLAN（SSID）のドロップダウン メニューで RADIUS サーバが選択されていることを確認します。

• RADIUS サーバがワイヤレス クライアントから認証要求を受信して検証するかどうかを確認します。

• そのためには、ACS サーバで Passed Authentications レポートと Failed Attempts レポートを調べます。これらのレポートは、ACS サーバの [Reports and Activities] で見ることができます。

関連情報

• ワイヤレス LAN コントローラの ACL：ルール、制約事項、および例
• Wireless LAN Controller での ACL の設定例
• 無線 LAN コントローラ（WLC）を使用した MAC フィルタの設定例
• Cisco ワイヤレス LAN コントローラ コンフィギュレーション ガイド、リリース 5.2
• テクニカル サポートとドキュメント – Cisco Systems