Példa vezeték nélküli LAN vezérlőkhöz (wlc) rendelkező tömegű szűrők konfigurálásához

A konfiguráció megpróbálása előtt győződjön meg arról, hogy eleget tett az alábbi követelményeknek:

A LAP Point Configuration és a Cisco WLC vezérlők megértése

A Cisco Unified Wireless Security megoldások alapismerete

Az ebben a dokumentumban található információk a következő szoftver- és hardververziókra vonatkoznak:

WLC Cisco 4400, amely az 5.2.178.0 szoftververziót futtatja

LAP Cisco 1230AG sorozat

Vezeték nélküli kliens adapter a / b / g 802.11 firmware-nel 4.4

Az Aironet Desktop Utility (ADU) 4.4 verziója

Az ebben a dokumentumban bemutatott információk a speciális laboratóriumi környezetben működő eszközökből származnak. Az ebben a dokumentumban ismertetett összes eszköz tiszta (standard) konfigurációval indult el. A munkahálózatban meg kell vizsgálni az összes csapat potenciális hatását, mielőtt használná őket.

A WLC-en kétféle MAC-hitelesítés létezik:

MAC-hitelesítés a RADIUS kiszolgáló használatával

Alapértelmezés szerint a helyi WLC-adatbázis legfeljebb 512 felhasználói bejegyzést támogat.

A helyi felhasználók alapja a legfeljebb 2048-as rekordra korlátozódik. A helyi adatbázis bejegyzi ezeket az elemeket:

Helyi vezetői felhasználók, akik lobbi nagyköveteket is magukban foglalnak

A helyi hálózatot használó felhasználók

MAC szűrő bejegyzések

Kizárási lista bejegyzések

Az összes ilyen típusú felhasználó nem lépheti túl a konfigurált adatbázis méretét.

A helyi adatbázis növeléséhez használja ezt a parancsot a CLI-ből:

Megjegyzés: Mielőtt beállítaná a MAC-hitelesítést, be kell állítania a WLC-t a fő művelethez, és regisztrálni kell a könnyű hozzáférési pontokat a vezérlőn. Ez a dokumentum azt feltételezi, hogy a WLC már konfigurálva van a fő művelethez, és hogy az LAP-ok a WLC-hez vannak bejegyezve. Ha új felhasználó próbál telepíteni a WLC-t a fő művelethez az LAP-val kapcsolatban, olvassa el a könnyű hozzáférési pontok regisztrációját a Wireless LAN Controller-hez (WLC).

Megjegyzés: A vezeték nélküli ügyfélgépen nem szükséges speciális konfiguráció a MAC-hitelesítés támogatásához.

A WLAN létrehozásához kattintson a WLAN-okra a vezérlő GUI-jában.

Megnyílik a WLAN ablak. Ez az ablak tartalmazza a vezérlőn konfigurált WLAN-hálózatok listáját.

Kattintson az Új gombra az új WLAN beállításához.

Ebben a példában a WLAN-t WLAN MAC-nek nevezzük. és a WLAN azonosító értéke 1.

A WLAN> Szerkesztés ablakban adja meg a hálózati beállításokat.

A Biztonsági irányelvek> 2. szint biztonsága alatt jelölje be a MAC szűrés jelölőnégyzetet.

Ez magában foglalja a MAC-hitelesítést a WLAN számára.

A Common Policy (Közös irányelv)> Interface Name (Illesztőfelület neve) szerint válassza ki a WLAN leképezésének felületét.

Ebben a példában a WLAN a kezelőfelületre van leképezve.

Válasszon más lehetőségeket, amelyek a WLAN tervezési követelményeitől függenek.

Lásd a VLAN-ot a Vezeték nélküli LAN-vezérlő konfigurációs példájáról a dinamikus interfészek (VLAN-ok) konfigurálásáról a WLC-n.

Kattintson a vezérlő grafikus felületéről a Biztonság elemre, majd a bal oldali menü MAC szűrése parancsára.

Megjelenik a MAC szűrés ablak.

Ismételje meg a 2-4. Lépést további ügyfelek hozzáadásához a helyi adatbázisba.

Kövesse ezeket a lépéseket a MAC-hitelesítés konfigurálásához a RADIUS-kiszolgáló segítségével. Ebben a példában a Cisco Secure ACS kiszolgáló RADIUS kiszolgálóként működik.

A WLAN létrehozásához kattintson a WLAN-okra a vezérlő GUI-jában.

Megnyílik a WLAN ablak. Ez az ablak tartalmazza a vezérlőn konfigurált WLAN-hálózatok listáját.

Kattintson az Új gombra az új WLAN beállításához.

Ebben a példában a WLAN-t WLAN ACS MAC-nek hívják. és a WLAN azonosító 2.

A WLAN> Szerkesztés ablakban adja meg a hálózati beállításokat.

A Biztonsági irányelvek> 2. szint biztonsága alatt jelölje be a MAC szűrés jelölőnégyzetet.

Ez magában foglalja a MAC-hitelesítést a WLAN számára.

A Common Policy (Közös irányelv)> Interface Name (Illesztőfelület neve) szerint válassza ki a WLAN leképezésének felületét.

A RADIUS-kiszolgálók alatt válassza ki a MAC-hitelesítéshez használt RADIUS-kiszolgálót.

Megjegyzés: Mielőtt kiválaszthatja a RADIUS szerver a WLAN-ok> szerkesztése ablakban meg kell adnunk a RADIUS szerver a biztonsági ablakban> Radius hitelesítés és lehetővé teszi a RADIUS szerveren.

Válasszon más lehetőségeket, amelyek a WLAN tervezési követelményeitől függenek.

Kattintson a Biztonság> MAC-szűrés elemre.

A MAC szűrés ablakban válassza ki a RADIUS-kiszolgáló típusát a RADIUS kompatibilitási módban.

Ez a példa a Cisco ACS-jét használja.

A MAC Delimiter legördülő menüből válassza ki a MAC határolójelet.

Ez a példa a kettőspontot használja.

Határozza meg a WLC-t AAA kliensként az ACS szerveren. Az ACS GUI-ban kattintson a Hálózati konfiguráció elemre.

Az ACS-n kívüli hitelesítési kiszolgálókról a gyártó dokumentációjában olvashat.

Megjegyzés: A WLC és az ACS szerver megosztott titkos kulcsának meg kell egyeznie. Ha megosztott titkos kulcsot ad meg, figyelembe kell vennie az esetet.

A fő ACS menüben kattintson a Felhasználó beállítása elemre.

Kattintson a Küldés gombra.

Ismételje meg a 2-5. Lépéseket, hogy további felhasználókat vegyen fel az ACS adatbázisba.

Ez a dokumentum korábban tárgyalt arról, hogyan kell használni a WLC GUI-t a MAC szűrők beállításához. A CLI segítségével is beállíthatja a MAC szűrőket a WLC-ben. Ezekkel a parancsokkal konfigurálhatja a WLC MAC szűrőt:

command config macfilter add:

A config macfilter add parancs lehetővé teszi a macfilter, az interfész, a leírás stb.

Használja a config macfilter add parancsot egy MAC szűrő bejegyzés létrehozásához a Cisco WLAN vezérlőn. Ezzel a paranccsal hozzáadhatja a klienst helyi módon a Cisco WLAN vezérlő vezeték nélküli hálózatához. Ez a szűrő megkerüli a RADIUS hitelesítési folyamatot.

config macfilter IP-cím parancs

Beállíthatja a letiltott ügyfelek számára az időtúllépést. Azok az ügyfelek, akik a kapcsolatfelvételi kísérlet során háromszor nem hitelesítik a hozzáférést, automatikusan megszűnnek a további társítási kísérletekből. A várakozási idő lejártát követően az ügyfeleknek meg kell ismételniük a hitelesítést, amíg meg nem kötik vagy megtagadják a hitelesítést, és újra kizárják őket.

Írja be a wlan exclusionlist wlan_id timeout parancsot a letiltott kliensek időzítésének beállításához. Az időtúllépési érték 1-től 65535 másodpercig terjedhet, vagy 0-ot írhat be az ügyfél végleges leválasztásához.

Ezekkel a parancsokkal ellenőrizheti, hogy a MAC-szűrő megfelelően van-e beállítva:

show macfilter summary - Megjeleníti az összes MAC szűrő bejegyzéseinek összefoglalását.

Íme egy példa a show macfilter summary parancsról.

Íme egy példa a show macfilter detail parancsról:

Ezeket a parancsokat a konfigurációs problémák elhárításához használhatja:

debug aaa all enable - Minden AAA üzenet hibakeresését biztosítja.

Íme egy példa a debug parancsra aaa all enable:

A probléma megoldásának módjai a következők:

Csökkentse az ACS 4.0-ot.

MAC-szűrőt nem lehet hozzáadni a WLC GUI használatával

Ez történhet a Cisco CSCsj98722 hibaazonosító (csak regisztrált ügyfelek) miatt. A hibát a kód 4.2-es verziójában rögzítették. Ha a 4.2-es verziónál korábbi verzióknál dolgozik, akkor frissítheti a firmware-t 4.2-re vagy használja ezt a két megoldást erre a problémára.

A CLI segítségével állítsa be a MAC szűrőt ezzel a paranccsal:

Csendes kliens nincs elhelyezve a kitöltött állapotban