Catalyst 9800での無線APのMACアドレスベースによる認可

Catalyst 9800では無線AP (Access Point)に対してMACアドレス ベースによる認可が行えるため、意図しない無線APからのJoinを弾けます。認可を有効化する際は、障害などでの無線AP交換によるMAC アドレス変更の運用的な考慮を忘れないようにしてください。

MACアドレスのフォーマット
設定
参考情報: 無線APの認可失敗時
関連ドキュメント
- Configuration Guides
  - Version 17.3.x の AP MAC Authorization (CLI)のドキュメント
  - Version 17.6.x の AP MAC Authorization (CLI) のドキュメント

MACアドレスのフォーマット

無線APのMACアドレスを登録するため、本設定ではフォーマットを気に留める必要があります。 MACアドレスは下記の表のように区切り文字の種類や、区切り文字自体の有無でいくつかのフォーマットがあります。

区切り文字なし	コロン区切り	ドット区切り	ハイフン区切り
xxxxxxxxxxxx	xx:xx:xx:xx:xx:xx	xxxx.xxxx.xxxx	xx-xx-xx-xx-xx-xx
00005e005300	00:00:5e:00:53:00	0000.5e00.5300	00-00-5e-00-53-00

「どのMACアドレスのフォーマットで設定するか？」の話は、Cisco Bug ID CSCvv43870 の影響があるため、該当バージョンや最新の状況で異なる可能性があります。

Version 17.3 の時点では区切り文字なしのフォーマットにしてください。

ドキュメント上では下記でMACアドレスのフォーマットの件が言及されています。

Configure Catalyst 9800 Wireless Controllers AP Authorization List - Cisco
https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/213916-catalyst-9800-wireless-controllers-ap-au.html#toc-hId-333236743

MAC AP authorization List - Local を参照してください。

Note: AP ethernet mac address must be in one of these formats when entered in the web UI(xx:xx:xx:xx:xx:xx (or) xxxx.xxxx.xxxx (or) xx-xx-xx-xx-xx-xx) in version 16.12. In version 17.3, they have to be in format xxxxxxxxxxxx without any separator. The CLI format is always xxxxxxxxxxxx in any version (in 16.12, the web UI removes the separators in the config). Cisco bug ID CSCvv43870 allows the use of any format in CLI or web UI in later releases.

筆者は Version 17.6.5 で検証しましたが、区切り文字なし (例: 00005e005300)でしか正規の無線APが認可されませんでした。

設定

CLIとWeb UIからの設定方法を記載します。運用方法に適したものを選んでください。

環境に応じて修正が必要な個所

下記の項目は環境に応じて書き換えてください。

設定項目	設定値	備考
Method List Name	METHOD_AP_POLICY	任意の名称を指定します。
登録MACアドレス	00005e005300 , 00005e005301 , 00005e005302	設定例として例示用のMACアドレスをいくつか設定しています。

無線APの登録MACアドレスは Ethernet MAC を登録します。Base Radio MAC と混同しないように注意してください。

CLIでの設定

MACアドレスは無線APに依存するため書き換えを忘れないようにしてください。

configure terminal

aaa new-model

aaa authorization credential-download METHOD_AP_POLICY local
ap auth-list authorize-mac
ap auth-list method-list METHOD_AP_POLICY

username 00005e005300 mac
username 00005e005301 mac
username 00005e005302 mac

end

動作確認が完了したら設定の保存を忘れないようにしてください。

write memory

Web UIでの設定

メニュー: Configuration > Security セクション > AAA に移動します。

メニュー: Configuration > Security セクション > AAA
AAA 設定から AAA Method List タブの Authorization を開いて Add ボタンを押下します。

AuthorizationのAAA Method Listの追加

下記のようにAuthorizationのAAA Method Listを設定します。

設定項目	設定値	備考
Method List Name	METHOD_AP_POLICY	任意の名称を指定します。
Type	credential-download
Group Type	local	WLC本体内 (ローカル内)に保存されている username database (username コマンド) の情報を元に認可を行います。

AAA 設定から AAA Advanced タブの Device Authentication の MAC Address タブを開いて Add ボタンを押下します。

無線APのMACアドレスの追加
Quick Setup: MAC Filtering の画面で MAC Address に正規の無線APのMACアドレス (Ethernet MAC)を登録します。

無線APのMACアドレス (Ethernet MAC)の登録

筆者は下記の例示用MACアドレスを登録しました。

MAC Address

00005e005300

00005e005301

00005e005302

無線APのMACアドレス登録後の一覧表示

MAC Address
00005e005300
00005e005301
00005e005302

AAA 設定から AAA Advanced タブの AP Policy を開いて、下記のように設定します。

設定項目	設定値	備考
Authorize APs against MAC	ENABLED	無線APに対するMACアドレスの認可を有効化します。
Authorization Method List	METHOD_AP_POLICY	先に設定した `Method List Name` (任意名称)を指定します。

動作確認が完了したら設定の保存を忘れないようにしてください。

設定の保存

参考情報: 無線APの認可失敗時

無線APの認可に失敗すると AP Auth Failure と表示されます。

CLI (show logging)

%CAPWAPAC_SMGR_TRACE_MESSAGE-5-AP_JOIN_DISJOIN: Chassis 1 R0/0: wncd: AP Event: AP Name: ap01 Mac: ****.****.**** Session-IP: 192.0.2.254[5275] 192.0.2.241[5246] Disjoined AP Auth Failure