SIGN IN YOUR ACCOUNT TO HAVE ACCESS TO DIFFERENT FEATURES

CREATE AN ACCOUNT FORGOT YOUR PASSWORD?

FORGOT YOUR DETAILS?

AAH, WAIT, I REMEMBER NOW!

CREATE ACCOUNT

ALREADY HAVE AN ACCOUNT?
GET SOCIAL
  • BLOG
  • SECURITY ALERTS
  • CONTATO
  • PRIVACIDADE
  • SOBRE
  • LOGIN

Brainwork

  • Certificação
  • Cisco
  • Informação
  • Linux
  • Microsoft
  • Network
  • Security
  • UC
  • Virtualização
  • Wireless
  • Home
  • Cisco
  • Cisco ISE–Configurações para WLAN Controller
05/07/2022

Cisco ISE–Configurações para WLAN Controller

Cisco ISE–Configurações para WLAN Controller

by André Ortega / quarta-feira, 28 agosto 2019 / Published in Cisco, Wireless

Em implatações de ISE, switches, firewalls e controladoras WiFi (NAD – Network Access Device) são componentes que merecem atenção especial na configuração.

Neste post vamos falar de configurações recomendadas para WLAN Controller. Evidentemente cada projeto tem suas particularidades, e pode ser necessário alterar esses parâmetros ou ainda ativar/desativar outros itens.

Parte destas configurações podem e devem ser usadas mesmo que o servidor Radius seja outro que não o Cisco ISE.

Recomendações gerais para Cisco WLC

A primeira recomendação é usar uma versão de software indicada pelo TAC. Mensalmente o TAC publica neste link a lista atualizada de versões recomendadas.

Também é importante usar a Matriz de Compatibilidade para ver se a versão da WLC é compativél com a versão do ISE que está em uso.

  • DHCP Proxy: Desativado (Controller > Advanced > DHCP). Ativando esta opção perdemos visibilitado no Profiling (identificação do endpoint), já que o MAC da WLC é enviado na requisição DHCP ao invés do MAC do endpoint.
  • SNMP: Configurar para permitir acesso do ISE (Managment > SNMP > Communities). Esta opção também ajuda no Profiling.
  • Radius Calling Station ID: Use a opção System Mac Address (Security > Radius > Autentication), para ajudar na identificação do dispositivo conectando no WiFi.
  • RFC3576 (CoA): Ativar esta opção quando cadastrando o Radius Server (Security > Radius > Autentication > New), para permitir a mudança na autorização (pré-compliant –> compliant, por exemplo).
  • Radius Server Timeout: Aumentar de 2 para 5 segundos em ambientes com milhares de endpoints.

WLC - Cadastrando Radius Server

    • Radius Aggressive Failover: Desativar (cli – config radius aggressive-failover disable), pois no modo agressivo com 5 falhas de um único cliente a WLC já marca o servidor como “morto”.
    • Radius Fallback: No caso de falha do Radius Server principal (servidor cadastrado com menor id), o secundário assume. Mesmo que o primário volte a funcionar as autenticações continuarão sendo enviadas para o secundário. Para voltar automaticamente para o primário é necessário configurar o Radius Fallback Active (Security > AAA > Radius > Fallback).
    • Idler Timer: Configure o Idler Timer (Controller > User Idle Timeout) para hora (3600 segundos) para diminuir o número de autenticações/reautenticações.

Configurações no SSID

  • AAA Server: Apontar os IPs dos ISEs (WLANs > SSID > Security > AAA Servers), primário e secundário para autenticação e accounting.
  • Radius Interim Accounting: Na versão 7.6 desativar, a partir da 8.0 deixar ativado com intervalo = 0.

WLC - AAA Server

  • Allow AAA Override: Selecionar esta opção para permitir o ISE mudar parametros da sessão, como VLAN e ACL (WLANs > SSID > Advanced).
  • NAC State: Selecionar ISE NAC/Radius Nac, dependendo da versão. Esta opção deve ser usada em caso de checagem de postura ou Web Authentication, que usam URL redirect.
  • Radius Client Profiling: Selecionar DHCP Profiling e HTTP Profiling, para ajudar na identificação do dispositivo cliente.
  • Idler Time: Configurar pelo 3600 segundos para redes Dot1x. Para SSIDs com WebAuth pode usar um timer menor.
  • Session Timeout: Deixar duas horas ou mais (7200 segundos).
  • Client Exclusion: Ative a opção, e defina 180 segundos ou mais, bloqueando assim dispositivos mal configurados ou com problemas.

WLC - WLAN Advanced

  • Roaming: Enable CCKM/ SKC/ 802.11r quando possível.

ACL Posture Redirect / ACL Acesso limitado

Quando temos verificação de postura configurada no ISE, o dispositivo conecta e tem conectividade limitada, até informar o status de postura.

Neste tempo, para limitar o acesso e permitir a verificação da postura, uma ACL é aplicada à sessão. Nesta ACL permitimos DNS, e acesso a todos os PSNs nas portas TCP/8443 (esta é a porta padrão, se mudar no ISE devemos mudar também na ACL), TCP e UDP nas portas 8905 e 8909 (abaixo exemplo considerando que o IP do ISE é 10.1.100.3).

WLC - ACL Posture Redirect

Além disso é importante permitir acesso aos servidores de remediação, como antivirus e WSUS, além do domain controller.

ACL WebAuth Redirect

Na ACL de redirecionamento para o portal de autenticação (rede de visitantes) devemos permitir consulta DNS, e acesso a todos os PSNs na porta 8443 (porta padrão para o portal Guest, se mudar essa porta no ISE, deve mudar também nesta ACL).

Na figura abaixo um exmplo, onde o IP do ISE é 198.18.133.27

WLC - ACL WebAuth Redirect

Outras ACLs

Podemos ter uma ACL, opcionalmente, para limitar o acesso Guest. Geralmente nesta ACL bloqueamos todos os acessos à IPs privados e liberamos o resto.

Para outras conexões também podemos ter access-lists específicas, de acordo com as necessidades do ambiente.

Referências:

  • Cisco TrustSec How-To Guide: Universal Configuration for the Cisco Wireless LAN Controller
  • ISE Guest Access Prescriptive Deployment Guide
  • Advanced – Designing ISE for Scale & High Availability – BRKSEC-3699
  • Prevent Large-Scale Wireless RADIUS Network Melt Downs
  • E alguns anos de experiência

Até a próxima.

Relacionado

Tagged under: ISE, WLAN Controller, WLC

About André Ortega

Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezessete anos de experiência com redes e segurança.

What you can read next

O que é um CMTS?
Autenticando via LDAP na rede sem fio (Cisco WLC)
Upgrade de IOS usando o Cisco Prime Infrastructure

3 Comments to “ Cisco ISE–Configurações para WLAN Controller”

  1. Carlos Santos says :Responder
    06/07/2020 at 19:53

    Sensacional os detalhes do post, muito bom mesmo!
    Aproveitando uma duvida professor, caso eu necessite limitar a quantidade de clientes por access points eu marcaria o box : Maximum Allowed Clients Per AP Radio ?
    Cenário hipotético:
    Escritório com 3 access point controlados pela WLC, e quisesse forçar que a distribuição de aproximadamente 60 usuários fosse de aproximadamente 20 por AP, ao invés de 40 usuários conectar-se a único AP ,como devo proceder?

    1. André Ortega says :Responder
      07/07/2020 at 09:54

      Carlos, esse cenário não é simples. Seja com Cisco ou outro fabricante quem escolhe onde conectar é o endpoint, por isso é difícil controlar.
      Em geral não costumo fazer isso (tentar controlar o balanceamento – mais atrapalha do que ajuda). Mas se você quiser pode tentar o seguinte:
      – Pode fazer o que falou, marcando aquela opção, mas observe que o AP tem dois rádios (um 2.4 GHz e outro 5 GHz), então se colocar 20 usuários por radio, o AP poderá ter até 40 dispositivos conectados.
      – Marque, naquela mesma aba, a opção de client load-balancing, e com isso os APs tentarão distribuir a carga de usuários.
      – Diminua a potencia do sinal nos APs, diminuindo a área de cobertura (atenção para não diminuir muito e atrapalhar o roaming)

      MAS CUIDADO!
      Tudo isso pode ajudar no balanceamento, mas também pode impactar na conexão dos dispositivos.
      Imagine que o endpoint fique tentando conectar em um AP que já está “cheio”… ele não vai entrar na rede. Ou pode demorar para ele tentar conectar em outro AP, o que também atrapalha.

      1. Carlos Santos says :Responder
        08/07/2020 at 14:03

        Muito obrigado pela explicação, compreendi as considerações!
        Na verdade esse cenário de fato existe com mais access points, é de um cliente que utiliza wlc,mas área afetada meio que se limita a 3 aps, eu até tinha isso em mente, mas não estava encontrando argumentos plausíveis para informar cliente e agora fico mais facíl.
        Obrigado mesmo.
        Sucesso

Deixe um comentário Cancelar resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

POSTS RECENTES

  • Meraki Internet Outages
    Meraki Internet Outages
    29/06/2022
  • Cisco Catalyst na dashboard Meraki
    Cisco Catalyst na dashboard Meraki
    15/06/2022
  • Testando acesso com o Test-NetConnection (PowerShell)
    Testando acesso com o Test-NetConnection (PowerShell)
    31/05/2022
  • Cisco Cybersecurity Giveaway
    Cisco Cybersecurity Giveaway
    23/05/2022
  • Participação no RotaDefaultVideos
    Participação no RotaDefaultVideos
    18/05/2022

Tags

Switches Backup senha CCNA ACL QoS switch aniversário Wireless Brainwork IOS Configuração VPN CCIE CiscoChampion Catalyst VMware Roteador Sorteio Access-list certificação FMC Cisco WIFI DHCP ASA Meraki VoIP WLAN Controller PIX LAB policy-map Vulnerabilidade IPv6 ISE WLC FTD Upgrade FirePower IPS Firewall Segurança licença EEM SDWAN

Arquivo

Login

  • Cadastre-se
  • Acessar
  • Feed de posts
  • Feed de comentários
  • WordPress.org

Acesse Também

  • Blog LabCisco
  • Café com Redes
  • Cisco IOS hints and tricks
  • Cisco Redes
  • Cisco Support Community
  • Coruja de TI
  • Homelaber Brasil
  • Internetwork Expert´s
  • Netfinders Brasil
  • Rota Default
  • TechRebels
  • The Cisco Learning Network

Twitter

Blog: Meraki Internet Outages brainwork.com.br/2022/06/29/m… #CiscoChampion #Meraki #ThousandEyes

Blog: Cisco Catalyst na dashboard Meraki brainwork.com.br/2022/06/15/c… #Catalyst #Cisco #CiscoChampion

@CiscoChampion I'd love to be there 🙁

Como estão suas senhas??? Faz sentido "senhas complexas" ou a única boa opção é usar MFA? pic.twitter.com/aY3JLje1oX

Blog: Testando acesso com o Test-NetConnection (PowerShell) brainwork.com.br/2022/05/31/t… #PowerShell #Test-Connection #Teste

Seguir @brainworkblog
  1. Daniel em Participação no RotaDefaultVideos
  2. Marcelo em Tipos de LSAs e áreas OSPF
  3. Licenciamento Cisco para Controladora Wireless – Smart Licensing – em Cisco Smart Licensing nos Catalysts 9K
  4. meireles abel em Cisco Catalyst na dashboard Meraki
  5. Cisco Champions 2020 – Brainwork em Cisco Champion 2019
Follow @brainworkblog

Brainwork
@brainworkblog

  • Blog: Meraki Internet Outages brainwork.com.br/2022/06/29/mer… #CiscoChampion #Meraki #ThousandEyes
    about 6 dias ago
    Reply Retweet Favorite

Entre em contato:

  • Email: blog@brainwork.com.br
  • Web: www.brainwork.com.br
  • Facebook: fb.com/brainworkblog
  • Twitter: twitter.com/brainworkblog
  • Youtube: youtube.com/brainworkblog
  • Instagram: instagram.com/brainwork.blog
  • GET SOCIAL
Brainwork

© 2008 - 2022 Brainwork. Todos os direitos reservados.
Customização da página por Brainwork.

TOP