SIGN IN YOUR ACCOUNT TO HAVE ACCESS TO DIFFERENT FEATURES

CREATE AN ACCOUNT FORGOT YOUR PASSWORD?

FORGOT YOUR DETAILS?

AAH, WAIT, I REMEMBER NOW!

CREATE ACCOUNT

ALREADY HAVE AN ACCOUNT?
GET SOCIAL
  • BLOG
  • SECURITY ALERTS
  • CONTATO
  • PRIVACIDADE
  • SOBRE
  • LOGIN

Brainwork

  • Certificação
  • Cisco
  • Informação
  • Linux
  • Microsoft
  • Network
  • Security
  • UC
  • Virtualização
  • Wireless
  • Home
  • Cisco
  • Cisco ISE–Configurações para WLAN Controller
09/08/2022

Cisco ISE–Configurações para WLAN Controller

Cisco ISE–Configurações para WLAN Controller

by André Ortega / quarta-feira, 28 agosto 2019 / Published in Cisco, Wireless

Em implatações de ISE, switches, firewalls e controladoras WiFi (NAD – Network Access Device) são componentes que merecem atenção especial na configuração.

Neste post vamos falar de configurações recomendadas para WLAN Controller. Evidentemente cada projeto tem suas particularidades, e pode ser necessário alterar esses parâmetros ou ainda ativar/desativar outros itens.

Parte destas configurações podem e devem ser usadas mesmo que o servidor Radius seja outro que não o Cisco ISE.

Recomendações gerais para Cisco WLC

A primeira recomendação é usar uma versão de software indicada pelo TAC. Mensalmente o TAC publica neste link a lista atualizada de versões recomendadas.

Também é importante usar a Matriz de Compatibilidade para ver se a versão da WLC é compativél com a versão do ISE que está em uso.

  • DHCP Proxy: Desativado (Controller > Advanced > DHCP). Ativando esta opção perdemos visibilitado no Profiling (identificação do endpoint), já que o MAC da WLC é enviado na requisição DHCP ao invés do MAC do endpoint.
  • SNMP: Configurar para permitir acesso do ISE (Managment > SNMP > Communities). Esta opção também ajuda no Profiling.
  • Radius Calling Station ID: Use a opção System Mac Address (Security > Radius > Autentication), para ajudar na identificação do dispositivo conectando no WiFi.
  • RFC3576 (CoA): Ativar esta opção quando cadastrando o Radius Server (Security > Radius > Autentication > New), para permitir a mudança na autorização (pré-compliant –> compliant, por exemplo).
  • Radius Server Timeout: Aumentar de 2 para 5 segundos em ambientes com milhares de endpoints.

WLC - Cadastrando Radius Server

    • Radius Aggressive Failover: Desativar (cli – config radius aggressive-failover disable), pois no modo agressivo com 5 falhas de um único cliente a WLC já marca o servidor como “morto”.
    • Radius Fallback: No caso de falha do Radius Server principal (servidor cadastrado com menor id), o secundário assume. Mesmo que o primário volte a funcionar as autenticações continuarão sendo enviadas para o secundário. Para voltar automaticamente para o primário é necessário configurar o Radius Fallback Active (Security > AAA > Radius > Fallback).
    • Idler Timer: Configure o Idler Timer (Controller > User Idle Timeout) para hora (3600 segundos) para diminuir o número de autenticações/reautenticações.

Configurações no SSID

  • AAA Server: Apontar os IPs dos ISEs (WLANs > SSID > Security > AAA Servers), primário e secundário para autenticação e accounting.
  • Radius Interim Accounting: Na versão 7.6 desativar, a partir da 8.0 deixar ativado com intervalo = 0.

WLC - AAA Server

  • Allow AAA Override: Selecionar esta opção para permitir o ISE mudar parametros da sessão, como VLAN e ACL (WLANs > SSID > Advanced).
  • NAC State: Selecionar ISE NAC/Radius Nac, dependendo da versão. Esta opção deve ser usada em caso de checagem de postura ou Web Authentication, que usam URL redirect.
  • Radius Client Profiling: Selecionar DHCP Profiling e HTTP Profiling, para ajudar na identificação do dispositivo cliente.
  • Idler Time: Configurar pelo 3600 segundos para redes Dot1x. Para SSIDs com WebAuth pode usar um timer menor.
  • Session Timeout: Deixar duas horas ou mais (7200 segundos).
  • Client Exclusion: Ative a opção, e defina 180 segundos ou mais, bloqueando assim dispositivos mal configurados ou com problemas.

WLC - WLAN Advanced

  • Roaming: Enable CCKM/ SKC/ 802.11r quando possível.

ACL Posture Redirect / ACL Acesso limitado

Quando temos verificação de postura configurada no ISE, o dispositivo conecta e tem conectividade limitada, até informar o status de postura.

Neste tempo, para limitar o acesso e permitir a verificação da postura, uma ACL é aplicada à sessão. Nesta ACL permitimos DNS, e acesso a todos os PSNs nas portas TCP/8443 (esta é a porta padrão, se mudar no ISE devemos mudar também na ACL), TCP e UDP nas portas 8905 e 8909 (abaixo exemplo considerando que o IP do ISE é 10.1.100.3).

WLC - ACL Posture Redirect

Além disso é importante permitir acesso aos servidores de remediação, como antivirus e WSUS, além do domain controller.

ACL WebAuth Redirect

Na ACL de redirecionamento para o portal de autenticação (rede de visitantes) devemos permitir consulta DNS, e acesso a todos os PSNs na porta 8443 (porta padrão para o portal Guest, se mudar essa porta no ISE, deve mudar também nesta ACL).

Na figura abaixo um exmplo, onde o IP do ISE é 198.18.133.27

WLC - ACL WebAuth Redirect

Outras ACLs

Podemos ter uma ACL, opcionalmente, para limitar o acesso Guest. Geralmente nesta ACL bloqueamos todos os acessos à IPs privados e liberamos o resto.

Para outras conexões também podemos ter access-lists específicas, de acordo com as necessidades do ambiente.

Referências:

  • Cisco TrustSec How-To Guide: Universal Configuration for the Cisco Wireless LAN Controller
  • ISE Guest Access Prescriptive Deployment Guide
  • Advanced – Designing ISE for Scale & High Availability – BRKSEC-3699
  • Prevent Large-Scale Wireless RADIUS Network Melt Downs
  • E alguns anos de experiência

Até a próxima.

Relacionado

Tagged under: ISE, WLAN Controller, WLC

About André Ortega

Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezessete anos de experiência com redes e segurança.

What you can read next

Como filtrar usuários no CUCM: LDAP Custom Filters
Evitando o IP Spoofing
Identificando o caminho físico

3 Comments to “ Cisco ISE–Configurações para WLAN Controller”

  1. Carlos Santos says :Responder
    06/07/2020 at 19:53

    Sensacional os detalhes do post, muito bom mesmo!
    Aproveitando uma duvida professor, caso eu necessite limitar a quantidade de clientes por access points eu marcaria o box : Maximum Allowed Clients Per AP Radio ?
    Cenário hipotético:
    Escritório com 3 access point controlados pela WLC, e quisesse forçar que a distribuição de aproximadamente 60 usuários fosse de aproximadamente 20 por AP, ao invés de 40 usuários conectar-se a único AP ,como devo proceder?

    1. André Ortega says :Responder
      07/07/2020 at 09:54

      Carlos, esse cenário não é simples. Seja com Cisco ou outro fabricante quem escolhe onde conectar é o endpoint, por isso é difícil controlar.
      Em geral não costumo fazer isso (tentar controlar o balanceamento – mais atrapalha do que ajuda). Mas se você quiser pode tentar o seguinte:
      – Pode fazer o que falou, marcando aquela opção, mas observe que o AP tem dois rádios (um 2.4 GHz e outro 5 GHz), então se colocar 20 usuários por radio, o AP poderá ter até 40 dispositivos conectados.
      – Marque, naquela mesma aba, a opção de client load-balancing, e com isso os APs tentarão distribuir a carga de usuários.
      – Diminua a potencia do sinal nos APs, diminuindo a área de cobertura (atenção para não diminuir muito e atrapalhar o roaming)

      MAS CUIDADO!
      Tudo isso pode ajudar no balanceamento, mas também pode impactar na conexão dos dispositivos.
      Imagine que o endpoint fique tentando conectar em um AP que já está “cheio”… ele não vai entrar na rede. Ou pode demorar para ele tentar conectar em outro AP, o que também atrapalha.

      1. Carlos Santos says :Responder
        08/07/2020 at 14:03

        Muito obrigado pela explicação, compreendi as considerações!
        Na verdade esse cenário de fato existe com mais access points, é de um cliente que utiliza wlc,mas área afetada meio que se limita a 3 aps, eu até tinha isso em mente, mas não estava encontrando argumentos plausíveis para informar cliente e agora fico mais facíl.
        Obrigado mesmo.
        Sucesso

Deixe um comentário para Carlos Santos Cancelar resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

POSTS RECENTES

  • Cisco Secure Network Analytics (Stealthwatch)
    Cisco Secure Network Analytics (Stealthwatch)
    08/08/2022
  • Instalando certificado em roteador Cisco
    Instalando certificado em roteador Cisco
    07/07/2022
  • Meraki Internet Outages
    Meraki Internet Outages
    29/06/2022
  • Cisco Catalyst na dashboard Meraki
    Cisco Catalyst na dashboard Meraki
    15/06/2022
  • Testando acesso com o Test-NetConnection (PowerShell)
    Testando acesso com o Test-NetConnection (PowerShell)
    31/05/2022

Tags

WLC Access-list LAB Upgrade Configuração senha IPS Backup CiscoChampion WIFI Wireless EEM VoIP FMC Catalyst FTD ISE CCIE PIX VPN Cisco Roteador Switches IOS IPv6 switch ACL Vulnerabilidade Firewall Brainwork SDWAN policy-map licença FirePower DHCP QoS aniversário Sorteio WLAN Controller CCNA certificação VMware Segurança Meraki ASA

Arquivo

Login

  • Cadastre-se
  • Acessar
  • Feed de posts
  • Feed de comentários
  • WordPress.org

Acesse Também

  • Blog LabCisco
  • Café com Redes
  • Cisco IOS hints and tricks
  • Cisco Redes
  • Cisco Support Community
  • Coruja de TI
  • Homelaber Brasil
  • Internetwork Expert´s
  • Netfinders Brasil
  • Rota Default
  • TechRebels
  • The Cisco Learning Network

Twitter

Blog: Cisco Secure Network Analytics (Stealthwatch) brainwork.com.br/2022/08/08/c… #Stealtwatch

Triste realidade... Que atenção você da para seu IPS e demais soluções de monitoramento de rede? #ips #siem #logs pic.twitter.com/pfaffolRP4

Blog: Instalando certificado em roteador Cisco brainwork.com.br/2022/07/07/i… #Certificado #CiscoChampion #Root

Blog: Meraki Internet Outages brainwork.com.br/2022/06/29/m… #CiscoChampion #Meraki #ThousandEyes

Blog: Cisco Catalyst na dashboard Meraki brainwork.com.br/2022/06/15/c… #Catalyst #Cisco #CiscoChampion

Seguir @brainworkblog
  1. André Ortega em Testando acesso com o Test-NetConnection (PowerShell)
  2. André Ortega em Alta utilização de CPU – Coletando logs com o Event Manager
  3. Jardel D'Oliveira em Alta utilização de CPU – Coletando logs com o Event Manager
  4. Bruno Veras em Testando acesso com o Test-NetConnection (PowerShell)
  5. André Ortega em Cisco Catalyst na dashboard Meraki
Follow @brainworkblog

Brainwork
@brainworkblog

  • Blog: Cisco Secure Network Analytics (Stealthwatch) brainwork.com.br/2022/08/08/cis… #Stealtwatch
    about 16 horas ago
    Reply Retweet Favorite

Entre em contato:

  • Email: blog@brainwork.com.br
  • Web: www.brainwork.com.br
  • Facebook: fb.com/brainworkblog
  • Twitter: twitter.com/brainworkblog
  • Youtube: youtube.com/brainworkblog
  • Instagram: instagram.com/brainwork.blog
  • GET SOCIAL
Brainwork

© 2008 - 2022 Brainwork. Todos os direitos reservados.
Customização da página por Brainwork.

TOP