Cisco ISE–Configurações para WLAN Controller

/ / Published in Cisco, Wireless

Em implatações de ISE, switches, firewalls e controladoras WiFi (NAD – Network Access Device) são componentes que merecem atenção especial na configuração.

Neste post vamos falar de configurações recomendadas para WLAN Controller. Evidentemente cada projeto tem suas particularidades, e pode ser necessário alterar esses parâmetros ou ainda ativar/desativar outros itens.

Parte destas configurações podem e devem ser usadas mesmo que o servidor Radius seja outro que não o Cisco ISE.

Recomendações gerais para Cisco WLC

A primeira recomendação é usar uma versão de software indicada pelo TAC. Mensalmente o TAC publica neste link a lista atualizada de versões recomendadas.

Também é importante usar a Matriz de Compatibilidade para ver se a versão da WLC é compativél com a versão do ISE que está em uso.

  • DHCP Proxy: Desativado (Controller > Advanced > DHCP). Ativando esta opção perdemos visibilitado no Profiling (identificação do endpoint), já que o MAC da WLC é enviado na requisição DHCP ao invés do MAC do endpoint.
  • SNMP: Configurar para permitir acesso do ISE (Managment > SNMP > Communities). Esta opção também ajuda no Profiling.
  • Radius Calling Station ID: Use a opção System Mac Address (Security > Radius > Autentication), para ajudar na identificação do dispositivo conectando no WiFi.
  • RFC3576 (CoA): Ativar esta opção quando cadastrando o Radius Server (Security > Radius > Autentication > New), para permitir a mudança na autorização (pré-compliant –> compliant, por exemplo).
  • Radius Server Timeout: Aumentar de 2 para 5 segundos em ambientes com milhares de endpoints.

WLC - Cadastrando Radius Server

    • Radius Aggressive Failover: Desativar (cli – config radius aggressive-failover disable), pois no modo agressivo com 5 falhas de um único cliente a WLC já marca o servidor como “morto”.
    • Radius Fallback: No caso de falha do Radius Server principal (servidor cadastrado com menor id), o secundário assume. Mesmo que o primário volte a funcionar as autenticações continuarão sendo enviadas para o secundário. Para voltar automaticamente para o primário é necessário configurar o Radius Fallback Active (Security > AAA > Radius > Fallback).
    • Idler Timer: Configure o Idler Timer (Controller > User Idle Timeout) para hora (3600 segundos) para diminuir o número de autenticações/reautenticações.

Configurações no SSID

  • AAA Server: Apontar os IPs dos ISEs (WLANs > SSID > Security > AAA Servers), primário e secundário para autenticação e accounting.
  • Radius Interim Accounting: Na versão 7.6 desativar, a partir da 8.0 deixar ativado com intervalo = 0.

WLC - AAA Server

  • Allow AAA Override: Selecionar esta opção para permitir o ISE mudar parametros da sessão, como VLAN e ACL (WLANs > SSID > Advanced).
  • NAC State: Selecionar ISE NAC/Radius Nac, dependendo da versão. Esta opção deve ser usada em caso de checagem de postura ou Web Authentication, que usam URL redirect.
  • Radius Client Profiling: Selecionar DHCP Profiling e HTTP Profiling, para ajudar na identificação do dispositivo cliente.
  • Idler Time: Configurar pelo 3600 segundos para redes Dot1x. Para SSIDs com WebAuth pode usar um timer menor.
  • Session Timeout: Deixar duas horas ou mais (7200 segundos).
  • Client Exclusion: Ative a opção, e defina 180 segundos ou mais, bloqueando assim dispositivos mal configurados ou com problemas.

WLC - WLAN Advanced

  • Roaming: Enable CCKM/ SKC/ 802.11r quando possível.

ACL Posture Redirect / ACL Acesso limitado

Quando temos verificação de postura configurada no ISE, o dispositivo conecta e tem conectividade limitada, até informar o status de postura.

Neste tempo, para limitar o acesso e permitir a verificação da postura, uma ACL é aplicada à sessão. Nesta ACL permitimos DNS, e acesso a todos os PSNs nas portas TCP/8443 (esta é a porta padrão, se mudar no ISE devemos mudar também na ACL), TCP e UDP nas portas 8905 e 8909 (abaixo exemplo considerando que o IP do ISE é 10.1.100.3).

WLC - ACL Posture Redirect

Além disso é importante permitir acesso aos servidores de remediação, como antivirus e WSUS, além do domain controller.

ACL WebAuth Redirect

Na ACL de redirecionamento para o portal de autenticação (rede de visitantes) devemos permitir consulta DNS, e acesso a todos os PSNs na porta 8443 (porta padrão para o portal Guest, se mudar essa porta no ISE, deve mudar também nesta ACL).

Na figura abaixo um exmplo, onde o IP do ISE é 198.18.133.27

WLC - ACL WebAuth Redirect

Outras ACLs

Podemos ter uma ACL, opcionalmente, para limitar o acesso Guest. Geralmente nesta ACL bloqueamos todos os acessos à IPs privados e liberamos o resto.

Para outras conexões também podemos ter access-lists específicas, de acordo com as necessidades do ambiente.

Referências:

Até a próxima.

Tagged under: , ,
Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezenove anos de experiência com redes e segurança.

What you can read next

Cisco Anual Security Report 2009
Quantidade de regras no firewall Cisco
High Density WiFi, Co-Channel Interference e Cisco RX-SOP

3 Comments to “ Cisco ISE–Configurações para WLAN Controller”

  1. Carlos Santos says :
    06/07/2020 at 19:53

    Sensacional os detalhes do post, muito bom mesmo!
    Aproveitando uma duvida professor, caso eu necessite limitar a quantidade de clientes por access points eu marcaria o box : Maximum Allowed Clients Per AP Radio ?
    Cenário hipotético:
    Escritório com 3 access point controlados pela WLC, e quisesse forçar que a distribuição de aproximadamente 60 usuários fosse de aproximadamente 20 por AP, ao invés de 40 usuários conectar-se a único AP ,como devo proceder?

    1. André Ortega says :
      07/07/2020 at 09:54

      Carlos, esse cenário não é simples. Seja com Cisco ou outro fabricante quem escolhe onde conectar é o endpoint, por isso é difícil controlar.
      Em geral não costumo fazer isso (tentar controlar o balanceamento – mais atrapalha do que ajuda). Mas se você quiser pode tentar o seguinte:
      – Pode fazer o que falou, marcando aquela opção, mas observe que o AP tem dois rádios (um 2.4 GHz e outro 5 GHz), então se colocar 20 usuários por radio, o AP poderá ter até 40 dispositivos conectados.
      – Marque, naquela mesma aba, a opção de client load-balancing, e com isso os APs tentarão distribuir a carga de usuários.
      – Diminua a potencia do sinal nos APs, diminuindo a área de cobertura (atenção para não diminuir muito e atrapalhar o roaming)

      MAS CUIDADO!
      Tudo isso pode ajudar no balanceamento, mas também pode impactar na conexão dos dispositivos.
      Imagine que o endpoint fique tentando conectar em um AP que já está “cheio”… ele não vai entrar na rede. Ou pode demorar para ele tentar conectar em outro AP, o que também atrapalha.

      1. Carlos Santos says :
        08/07/2020 at 14:03

        Muito obrigado pela explicação, compreendi as considerações!
        Na verdade esse cenário de fato existe com mais access points, é de um cliente que utiliza wlc,mas área afetada meio que se limita a 3 aps, eu até tinha isso em mente, mas não estava encontrando argumentos plausíveis para informar cliente e agora fico mais facíl.
        Obrigado mesmo.
        Sucesso

You must be logged in to post a comment.