Cisco ISE和WLC 802.1x非动态VLAN配置
我试图从使用802.1xPEAP的Microsoft NPS迁移到我们WLC无线客户端的Cisco ISE 802.1xPEAP。我看到了很多文章重新分级动态VLAN分配,这是我们不想做的。我们试图使用ISE仅用于AAA,而不是VLAN分配。我有ISE正确地对用户进行身份验证并使用"PermitAccess“配置文件授权他们,但是用户被放入WLC上的VLANID 0中吗?此VLAN由WLC AP管理子网使用。
我希望这只是一个简单的复选框,或者是我在ISE或WLC中遗漏的东西,但我似乎不明白为什么ISE/WLC将用户转储到这个VLANID0中,而不是转储到分配给SSID的接口中。它是双树的,因为我们的NPS配置--我们不必在RADIUS消息中分配VLAN。
到目前为止,我们有两个SSID,生产仍然使用NPS,和"-Test“,它指向思科ISE。这是两个WLC客户端的信息。
Working "VLANID为107":
"VLANID为0?“:
SSID vWLC Config页面:
高级无线局域网vWLC控件页:
ISE政策集:
其他信息:
*ISE v2.4
vWLC v8.3.150* https://pastebin.com/j5jTUcrH
回答 1
Network Engineering用户
发布于 2019-11-08 04:25:37
纵观配置,我现在看到了问题。你提供的截图也暗示了这一点,但我错过了它,直到我在你的配置中看到了它。
无线局域网1,您的正常生产无线局域网不是配置为FlexConnect无线局域网。无线局域网4,您的-Test无线局域网配置为FlexConnect无线局域网,如下所示:
wlan flexconnect local-switching 1 disable
wlan flexconnect local-switching 4 enable我只看到默认的FlexConnect组配置,这可能意味着您没有关联的WLAN映射,并且客户端以“VLAN0”结尾,因为控制器不知道将它们放在哪里。
因为这听起来不像你真正想要的配置,我建议你回去重新配置你的WLAN 4来匹配你的WLAN 1配置。FlexConnect配置复选框位于无线局域网配置的“高级”选项卡上,但我建议您在两个浏览器窗口(最好在两个屏幕上)上拔出接口,并比较所有选项卡的所有设置,以确保它们匹配,但您的AAA服务器配置除外。
https://networkengineering.stackexchange.com/questions/63362
复制相似问题
腾讯云开发者
