My Home NW Lab

逸般の誤家庭のネットワーク

Catalyst 9800での無線APのMACアドレス ベースによる認可

Catalyst 9800では無線AP (Access Point)に対してMACアドレス ベースによる認可が行えるため、意図しない無線APからのJoinを弾けます。 認可を有効化する際は、障害などでの無線AP交換によるMAC アドレス変更の運用的な考慮を忘れないようにしてください。

CLIでの設定概要

Web UIでの設定概要

MACアドレスのフォーマット

無線APのMACアドレスを登録するため、本設定ではフォーマットを気に留める必要があります。 MACアドレスは下記の表のように区切り文字の種類や、区切り文字自体の有無でいくつかのフォーマットがあります。

区切り文字なし コロン区切り ドット区切り ハイフン区切り
xxxxxxxxxxxx xx:xx:xx:xx:xx:xx xxxx.xxxx.xxxx xx-xx-xx-xx-xx-xx
00005e005300 00:00:5e:00:53:00 0000.5e00.5300 00-00-5e-00-53-00

「どのMACアドレスのフォーマットで設定するか?」の話は、Cisco Bug ID CSCvv43870 の影響があるため、該当バージョンや最新の状況で異なる可能性があります。

Version 17.3 の時点では区切り文字なしのフォーマットにしてください。

ドキュメント上では下記でMACアドレスのフォーマットの件が言及されています。

Configure Catalyst 9800 Wireless Controllers AP Authorization List - Cisco
https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/213916-catalyst-9800-wireless-controllers-ap-au.html#toc-hId-333236743

MAC AP authorization List - Local を参照してください。

Note: AP ethernet mac address must be in one of these formats when entered in the web UI(xx:xx:xx:xx:xx:xx (or) xxxx.xxxx.xxxx (or) xx-xx-xx-xx-xx-xx) in version 16.12. In version 17.3, they have to be in format xxxxxxxxxxxx without any separator. The CLI format is always xxxxxxxxxxxx in any version (in 16.12, the web UI removes the separators in the config). Cisco bug ID CSCvv43870 allows the use of any format in CLI or web UI in later releases.

筆者は Version 17.6.5 で検証しましたが、区切り文字なし (例: 00005e005300)でしか正規の無線APが認可されませんでした。

設定

CLIとWeb UIからの設定方法を記載します。運用方法に適したものを選んでください。

環境に応じて修正が必要な個所

下記の項目は環境に応じて書き換えてください。

設定項目 設定値 備考
Method List Name METHOD_AP_POLICY 任意の名称を指定します。
登録MACアドレス 00005e005300 , 00005e005301 , 00005e005302 設定例として例示用のMACアドレスをいくつか設定しています。

無線APの登録MACアドレスEthernet MAC を登録します。Base Radio MAC と混同しないように注意してください。

登録対象のMACアドレス

CLIでの設定

  • MACアドレスは無線APに依存するため書き換えを忘れないようにしてください。
configure terminal

aaa new-model

aaa authorization credential-download METHOD_AP_POLICY local
ap auth-list authorize-mac
ap auth-list method-list METHOD_AP_POLICY

username 00005e005300 mac
username 00005e005301 mac
username 00005e005302 mac

end
  • 動作確認が完了したら設定の保存を忘れないようにしてください。
write memory

Web UIでの設定

  • メニュー: Configuration > Security セクション > AAA に移動します。

    メニュー: Configuration > Security セクション > AAA

  • AAA 設定から AAA Method List タブの Authorization を開いて Add ボタンを押下します。

    AuthorizationのAAA Method Listの追加

  • 下記のようにAuthorizationのAAA Method Listを設定します。

    設定項目 設定値 備考
    Method List Name METHOD_AP_POLICY 任意の名称を指定します。
    Type credential-download
    Group Type local WLC本体内 (ローカル内)に保存されている username database (username コマンド) の情報を元に認可を行います。

    AuthorizationのAAA Method Listの設定

  • AAA 設定から AAA Advanced タブの Device AuthenticationMAC Address タブを開いて Add ボタンを押下します。

    無線APのMACアドレスの追加

  • Quick Setup: MAC Filtering の画面で MAC Address に正規の無線APのMACアドレス (Ethernet MAC)を登録します。

    無線APのMACアドレス (Ethernet MAC)の登録

    筆者は下記の例示用MACアドレスを登録しました。

    MAC Address
    00005e005300
    00005e005301
    00005e005302

    無線APのMACアドレス登録後の一覧表示

  • AAA 設定から AAA Advanced タブの AP Policy を開いて、下記のように設定します。

    設定項目 設定値 備考
    Authorize APs against MAC ENABLED 無線APに対するMACアドレスの認可を有効化します。
    Authorization Method List METHOD_AP_POLICY 先に設定した Method List Name (任意名称)を指定します。

    AP Policyの設定

  • 動作確認が完了したら設定の保存を忘れないようにしてください。

    設定の保存

参考情報: 無線APの認可失敗時

無線APの認可に失敗すると AP Auth Failure と表示されます。

  • CLI (show logging)
%CAPWAPAC_SMGR_TRACE_MESSAGE-5-AP_JOIN_DISJOIN: Chassis 1 R0/0: wncd: AP Event: AP Name: ap01 Mac: ****.****.**** Session-IP: 192.0.2.254[5275] 192.0.2.241[5246] Disjoined AP Auth Failure
  • Web UI (メニュー: Monitroing > Wireless セクション > AP StatisticsJoin Statistics タブ)

AP Auth Failure

関連ドキュメント

Configuration Guides

Cisco Catalyst 9800 Series Wireless Controllers - Configuration Guides - Cisco
https://www.cisco.com/c/en/us/support/wireless/catalyst-9800-series-wireless-controllers/products-installation-and-configuration-guides-list.html

Configuration Guidesから AP MAC Authorization (CLI) の該当箇所を下記に抜粋します。

Version 17.3.x の AP MAC Authorization (CLI)のドキュメント

Cisco Bug ID CSCvv43870 の該当バージョンである Version 17.3.x の該当ドキュメントは下記になります。

Cisco Catalyst 9800 Series Wireless Controller Software Configuration Guide, Cisco IOS XE Amsterdam 17.3.x - Converting Autonomous Access Points to Lightweight Mode [Cisco Catalyst 9800 Series Wireless Controllers] - Cisco
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-3/config-guide/b_wl_17_3_cg/m_ap_convert-autonomousaps_cg.html#ap-mac-auth

Version 17.6.x の AP MAC Authorization (CLI) のドキュメント

筆者が検証に用いた Version 17.6.x の該当ドキュメントは下記になります。

Cisco Catalyst 9800 Series Wireless Controller Software Configuration Guide, Cisco IOS XE Bengaluru 17.6.x - Converting Autonomous Access Points to Lightweight Mode [Cisco Catalyst 9800 Series Wireless Controllers] - Cisco
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-6/config-guide/b_wl_17_6_cg/m_ap_convert-autonomousaps_cg.html#ap-mac-auth