Cisco ISE 和 WLC 802.1x 非动态 VLAN 放置

网络工程 啊啊啊 无线通讯 cisco-wlc 思科
2021-07-30 13:51:36

我正在尝试从使用 802.1x PEAP 的 Microsoft NPS 迁移到我们的 WLC 无线客户端的 Cisco ISE 802.1x PEAP。我看到很多关于重新分配动态 VLAN 分配的文章,我们没有尝试这样做。我们正在尝试仅将 ISE 用于 AAA 而不是用于 VLAN 分配。我让 ISE 正确验证用户并使用“PermitAccess”配置文件授权他们,但是用户被置于 WLC 上的 VLANID 0 中?此 VLAN 由 WLC AP 管理子网使用。

我希望这只是一个简单的复选框或我在 ISE 或 WLC 上遗漏的东西,但我似乎无法弄清楚为什么 ISE/WLC 将用户转储到此 VLANID0 而不是分配给 SSID 的接口中。这很奇怪,因为我们的 NPS 配置不必在 RADIUS 消息中分配 VLAN。

截至目前,我们有两个 SSID,仍然使用 NPS 的生产和指向 Cisco ISE 的-Test ”。以下是两者的 WLC 客户端信息。

工作(NPS)“VLANID 为 107”:

在此处输入图片说明

不工作 (ISE)“VLANID 为 0??”: 在此处输入图片说明

SSID vWLC 配置页面: 在此处输入图片说明

高级 WLAN vWLC 配置页面: 在此处输入图片说明

ISE 策略集: 在此处输入图片说明

其他信息:

*ISE v2.4

vWLC v8.3.150* https://pastebin.com/j5jTUcrH

1个回答

查看配置,我现在看到了问题。在您提供的屏幕截图中也暗示了这一点,但是直到在您的配置中看到它之前我才错过它。

WLAN 1,您的正常生产 WLAN 未配置为 FlexConnect WLAN。WLAN 4,您的-Test WLAN 配置为 FlexConnect WLAN,如下所示:

wlan flexconnect local-switching 1 disable
wlan flexconnect local-switching 4 enable

我只看到默认的 FlexConnect 组配置,这可能意味着您没有关联的 WLAN VLAN 映射,客户端最终位于“VLAN 0”中,因为控制器不知道将它们放置在哪里。

由于这听起来不像您真正想要的配置,我建议您返回并重新配置您的 WLAN 4 以匹配您的 WLAN 1 配置。FlexConnect 配置复选框位于 WLAN 配置的高级选项卡上,但我建议您在两个浏览器窗口(最好在两个屏幕上)上拉界面,并比较所有选项卡中的所有设置以确保它们匹配,除了您的 AAA服务器配置。

其它你可能感兴趣的问题
上一篇如何查看相邻路由器的路由表? 下一篇使用私有 IP 路由 WAN 和使用公共 IP 路由 LAN 的问题