В даному документі наведено приклад конфігурації для гостьової бездротової локальної мережі (WLAN) і захищеній внутрішній WLAN, яка використовує контролери WLAN (WLC) і спрощені точки доступу (LAP). У прикладі конфігурації гостьові WLAN використовують веб-аутентифікацію для перевірки користувачів, а захищена внутрішня WLAN використовує протокол розширеної аутентифікації (EAP).
Переконайтеся, що ви забезпечили виконання наступних вимог, перш ніж спробувати цю конфігурацію:
Знання способів настройки WLC з основними параметрами
Знання способів настройки DHCP і сервера системи доменних імен (DNS)
Відомості, що містяться в даному документі, стосуються наступних версій програмного забезпечення і устаткування:
LAP серії 1000 Cisco
Бездротовий клієнтський адаптер Cisco 802.11a / b / g, що використовує програмне забезпечення версії 2.6
Маршрутизатор 2811 Cisco з використанням IOSB® Cisco версії 12.4 (2) XA
Комутатор серії 3500 XL Cisco з використанням IOS Cisco версії 12.0 (5) WC3b
Відомості, представлені в цьому документі, були отримані від пристроїв, що працюють в спеціальній лабораторній середовищі. Всі пристрої, описані в цьому документі, були запущені з чистою (стандартної) конфігурацією. У робочій мережі необхідно вивчити потенційний вплив всіх команд до їх використання.
Щоб налаштувати пристрій для даної конфігурації мережі, виконайте наступні дії:
Перш за все, на WLC створіть два динамічних інтерфейсу, для гостьових і внутрішніх користувачів.
У прикладі даного документа для динамічних інтерфейсів використовуються наступні параметри і значення:
Виконайте наступні дії:
У графічному інтерфейсі користувача (GUI) WLC, виберіть Controllers> Interfaces.
З'явиться вікно інтерфейсів. У вікні з'явиться список інтерфейсів, налаштованих для цього контролера. Список включає в себе інтерфейси за замовчуванням, в які входять інтерфейс управління, інтерфейс диспетчера точки доступу, віртуальний інтерфейс і інтерфейс сервісного порту, а також динамічні інтерфейси, визначені користувачами.
Натисніть New, щоб створити новий динамічний інтерфейс.
У вікні Interfaces> New введіть ім'я інтерфейсу і ідентифікатор VLAN. Натисніть кнопку Apply.
В даному прикладі динамічний інтерфейс названий Guest-WLAN, а ідентифікатором VLAN призначено 10.
Нижче представлений приклад:
Щоб створити динамічний інтерфейс для внутрішньої WLAN, необхідно виконати таку ж процедуру.
У вікні Interfaces> New динамічного інтерфейсу введіть Internal-WLAN для внутрішніх користувачів, а ідентифікатором VLAN задайте 20. Натисніть кнопку Apply.
Після створення двох динамічних інтерфейсів в вікні "Interfaces" відображається загальний список інтерфейсів, налаштованих на контролері.
Наступний крок - створення WLAN для гостьових і внутрішніх користувачів, і встановлення відповідності динамічних інтерфейсів в мережах WLAN. Повинні бути визначені методи забезпечення безпеки, що використовуються для аутентифікації гостьових і бездротових користувачів. Виконайте наступні дії:
Натисніть WLANs в графічному інтерфейсі контролера для створення WLAN.
Відкриється вікно WLAN. В даному вікні знаходиться список мереж WLAN, налаштованих на контролері.
Натисніть New для настройки нової WLAN.
В даному прикладі ім'я для WLAN - Guest, а ідентифікатор мережі (WLAN ID) - 2.
Натисніть Apply в правому верхньому куті.
WLAN> екран Edit з'являється, який містить різні вкладки.
Під вкладкою Загальні для гостьового WLAN виберіть гостя-wlan з поля Interface Name. Це встановлює відповідність динамічного інтерфейсу guest-wlan, яке було створено раніше на WLAN Guest.
Переконайтеся, що включений Статус WLAN.
Клацніть вкладку Безпека. Для цього WLAN Web-аутентифікація механізм безпеки рівня 3 використовується для аутентифікації клієнтів. Тому виберіть None під полем безпеки рівня 2. В поле забезпечення безпеки 3 рівня встановіть прапорець на Web Policy і виберіть параметр Authentication.
Створіть WLAN для внутрішніх користувачів. Щоб створити WLAN для внутрішніх користувачів, натисніть Internal і виберіть 3 в вікні WLANs> New.Затем натисніть Apply.
WLAN> Вікно редагування з'являються. Під вкладкою Загальні виберіть внутрішній-wlan з поля Interface Name.
Це встановлює відповідність динамічного інтерфейсу internal-wlan, яке було створено раніше на WLAN Internal. Переконайтеся, що включений WLAN.
Значення 802.1x параметра забезпечення безпеки рівня 2 залиште за умовчанням, так як для внутрішніх користувачів WLAN використовується протокол аутентифікації EAP.
Вікно WLAN з'являється, і воно показує список WLAN, які створені.
На GUI WLC натисніть Save Configuration. потім натисніть Commands від графічного інтерфейсу контролера. Потім, виберіть опцію Reboot для перезавантаження WLC, щоб дозволити web-аутентифікації вступати в силу.
Примітка: Натисніть Save Configuration для збереження конфігурації через перезавантаження.
Необхідно налаштувати порт комутатора, який підтримує кілька мереж VLAN налаштованих на WLC, так як WLC підключений до комутатора рівня 2. Порт комутатора необхідно налаштувати як магістрального порту 802.1Q.
Кожне з'єднання порту контролера відбувається на магістралі 802.1Q і має бути налагоджене також на сусідньому комутаторі. На комутаторах Cisco власний VLAN магістралі "802.1q", наприклад VLAN 1. залишають без міток. Тому при налаштуванні інтерфейсу контролера для використання власного VLAN на сусідньому комутаторі Cisco, упевніться, що ви налаштовуєте інтерфейс на контролері як без міток.
Нульове значення для ідентифікатора VLAN (у вікні Controller> Interfaces) означає, що інтерфейс не позначений. У прикладі, наведеному в даному документі, менеджер точки доступу і інтерфейси управління налаштовані в Непомічені мережі VLAN за замовчуванням.
Коли інтерфейс контролера встановлений в нульове значення, він не повинен бути позначений до власного VLAN комутатора, і VLAN повинна бути дозволена на комутаторі. В даному прикладі мережа VLAN 60 налаштована в якості вихідної VLAN для порту комутатора, який під'єднується до контролера.
Нижче наведена конфігурація для порту комутатора, який підключається до WLC:
Нижче наведена конфігурація для порту комутатора, який підключається до маршрутизатора в якості магістрального порту:
Нижче наведена конфігурація для порту комутатора, який приєднується до LAP. Даний порт налаштований в якості порту доступу:
У прикладі, наведеному в даному документі, маршрутизатор 2811 підключає гостьових користувачів до Інтернету, а також провідних внутрішніх користувачів до внутрішніх бездротовим користувачам. Необхідно налаштувати маршрутизатор для надання служб DHCP.
Примітка: Дана тільки важлива частина конфігурації маршрутизатора, а не повна конфігурація.
Це необхідна конфігурація маршрутизатора.
Нижче наведені команди, необхідні для налаштування служб DHCP на маршрутизаторі:
Дані команди повинні бути виконані на інтерфейсі FastEthernet для настройки, показаної в прикладі:
Цей розділ дозволяє переконатися, що конфігурація працює правильно.
Підключіть два бездротових клієнта, гостьового користувача (з ідентифікатором набору служб [SSID] Guest) і внутрішнього користувача (з ідентифікатором SSID Internal), щоб перевірити, що конфігурація працює, як належить.
Пам'ятайте, що гостьовий WLAN був налаштований для Web-аутентифікації. Після завантаження гостьового бездротового клієнта, в веб-браузері введіть будь-який URL. Сторінка аутентифікації веб-сторінки за замовчуванням з'являється і спонукає вас вводити ім'я користувача і пароль. Як тільки гостьовий користувач введе чинне ім'я користувача і пароль, WLC аутентифікує гостьового користувача і дозволить доступ до мережі (можливо до Інтернет). Даний приклад показує вікно веб-аутентифікації, яку отримує користувач і вихідні дані по успішної аутентифікації:
Внутрішній WLAN в даному прикладі налаштований для аутентифікації 802.1x. Після завантаження внутрішнього WLAN клієнта використовується аутентифікація протоколу EAP. Для отримання додаткової інформації про те, як налаштувати клієнта для Аутентифікації eap, зверніться до Використанню розділу Аутентифікації eap Cisco Aironet 802.11a / b / g Клієнтські адаптери бездротового мережі (CB21AG і PI21AG) Керівництво по установці і конфігурації. Якщо аутентифікація пройшла успішно, користувач отримує доступ до внутрішньої мережі. Даний приклад показує внутрішнього бездротового клієнта, який використовує спрощений розширюваний протокол аутентифікації (LEAP):
Використовуйте цей розділ для усунення неполадок своєю конфігурацією.
Якщо конфігурація працює неналежним чином, виконайте наступні дії:
Переконайтеся, що всі мережі VLAN налаштовані на WLC дозволені на порте комутатора, підключеного до WLC.
Переконайтеся, що підключений до WLC і маршрутизатора, порт комутатора налаштований як магістрального порту.
Перевірте, що на WLC і маршрутизаторе використовуються однакові ідентифікатори мережі VLAN.
Можна використовувати ці команди debug для усунення несправностей конфігурації:
debug aaa all enable - налаштовує налагодження повідомлень AAA.
debug pem state enable - налаштовує налагодження кінцевого автомата менеджера політик.
debug pem events enable - налаштовує налагодження подій менеджера політик.
debug dhcp message enable - використовуйте цю команду для відображення налагоджувальної інформації про активність користувачів щодо протоколу (DHCP) та контролю станів пакетів DHCP.
debug dhcp packet enable - використовуйте цю команду для відображення інформації пакетного рівня DHCP.
debug pm ssh-appgw enable - налаштовує налагодження шлюзів додатків.
debug pm ssh-tcp enable - налаштовує налагодження обробки пакетів TCP менеджера політик.
Нижче наведено приклад вихідних даних деяких команд debug:
Примітка: Деякі рядки вихідних даних були переміщені на другий рядок через брак простору.