In een Cisco Software-Defined Access netwerk krijgen apparaten die aan het netwerk verbonden worden de juiste dynamische toegang door het toekennen van VRF, VLAN-naam of -nummer en SGT (Secure Group Tag) via een Authorization Profile in Cisco ISE. Het MAC-adres van een apparaat wordt door een wireless controller of een switch doorgegeven aan Cisco ISE die het via RADIUS-proxy doorstuurt naar de RADIUS-servers van iotroam. In het antwoord vanuit iotroam worden o.a. de volgende waarden teruggestuurd:
- VLAN-ID
- Tag (komt in attribuut Filter-ID)
- PSK-wachtwoord voor wifi
Configuratie in de iotroam-portal vooraf:
- Vink in de betreffende RADIUS Client de optie Antwoorden met Filter-ID aan.
- Maak tags aan met namen naar eigen inzicht. In dit geval adviseren we om de SGT-naam te gebruiken.
- Maak een apparaatprofiel aan en koppel daar de tag aan.
De RADIUS-koppeling van Cisco ISE met iotroam is analoog aan de koppeling met eduroam. Volg hiervoor onderstaande 5 stappen:
Definieer de 3 RADIUS-servers van iotroam als External RADIUS Server in ISE. De IP-adressen van de RADIUS-servers zijn te vinden op welkomstpagina van de iotroam beheerdersportal.
Neem de External RADIUS server list op in de RADIUS Server Sequences list.
Selecteer de "Continue to Authorization Policy" onder het Advanced Attribute Settings tabblad.
Maak een ISE Policy Set die het MAC-adres op het SSID iotroam doorstuurt naar de juiste RADIUS Sequence. Hoe de conditions voor de Policy Set gekozen worden, is afhankelijk van de netwerk-configuratie van de instelling.
De volgende stappen zorgen ervoor dat ISE de juiste acties doet op het RADIUS-antwoord van iotroam.
In de Authorization Policy van de Policy Set wordt de selectie gemaakt welk Authorization Profile aangeroepen wordt. Dit gebeurt op basis van het ontvangen Filter-ID.
In onderstaand voorbeeld wordt geselecteerd op Filter-ID (Tag) 'grp1'. Je ziet eerst het apparaatprofiel in iotroam waar de tag aan gekoppeld is en vervolgens de instelling in ISE om op dit Filter-ID (Tag) te filteren.
In het gekozen Authorization Profile wordt dan de SGT (in dit voorbeeld: Labusers), het VRF (in dit voorbeeld: VN_1) de VLAN-naam (in dit voorbeeld: DC2-VN-1) toegewezen. De Wireless LAN Controller en de switch geven voorrang aan de VLAN-naam boven het VLAN-nummer. Dus als beide aanwezig zijn in het RADIUS Acces Accept packet, wordt de VLAN-naam gebruikt. Hieronder staan 2 voorbeelden, één voor grp1 en één voor grp2, zodat de verschillen te zien zijn.
Dit is getest op de volgende producten en software-versies:
- ISE 3.2
- DNA center Version 2.3.5.5-70026
- Access switch : Cisco C9300-48U Cisco IOS Software [Cupertino], Catalyst L3 Switch Software (CAT9K_IOSXE), Version 17.9.4a
- Wireless LAN Controller: Cisco IOS Software [Cupertino], C9800-CL Software (C9800-CL-K9_IOSXE), Version 17.9.4a