Példa vezeték nélküli LAN vezérlőkhöz (wlc) rendelkező tömegű szűrők konfigurálásához
A konfiguráció megpróbálása előtt győződjön meg arról, hogy eleget tett az alábbi követelményeknek:
A LAP Point Configuration és a Cisco WLC vezérlők megértése
A Cisco Unified Wireless Security megoldások alapismerete
Az ebben a dokumentumban található információk a következő szoftver- és hardververziókra vonatkoznak:
WLC Cisco 4400, amely az 5.2.178.0 szoftververziót futtatja
LAP Cisco 1230AG sorozat
Vezeték nélküli kliens adapter a / b / g 802.11 firmware-nel 4.4
Az Aironet Desktop Utility (ADU) 4.4 verziója
Az ebben a dokumentumban bemutatott információk a speciális laboratóriumi környezetben működő eszközökből származnak. Az ebben a dokumentumban ismertetett összes eszköz tiszta (standard) konfigurációval indult el. A munkahálózatban meg kell vizsgálni az összes csapat potenciális hatását, mielőtt használná őket.
A WLC-en kétféle MAC-hitelesítés létezik:
MAC-hitelesítés a RADIUS kiszolgáló használatával
Alapértelmezés szerint a helyi WLC-adatbázis legfeljebb 512 felhasználói bejegyzést támogat.
A helyi felhasználók alapja a legfeljebb 2048-as rekordra korlátozódik. A helyi adatbázis bejegyzi ezeket az elemeket:
Helyi vezetői felhasználók, akik lobbi nagyköveteket is magukban foglalnak
A helyi hálózatot használó felhasználók
MAC szűrő bejegyzések
Kizárási lista bejegyzések
Az összes ilyen típusú felhasználó nem lépheti túl a konfigurált adatbázis méretét.
A helyi adatbázis növeléséhez használja ezt a parancsot a CLI-ből:
Megjegyzés: Mielőtt beállítaná a MAC-hitelesítést, be kell állítania a WLC-t a fő művelethez, és regisztrálni kell a könnyű hozzáférési pontokat a vezérlőn. Ez a dokumentum azt feltételezi, hogy a WLC már konfigurálva van a fő művelethez, és hogy az LAP-ok a WLC-hez vannak bejegyezve. Ha új felhasználó próbál telepíteni a WLC-t a fő művelethez az LAP-val kapcsolatban, olvassa el a könnyű hozzáférési pontok regisztrációját a Wireless LAN Controller-hez (WLC).
Megjegyzés: A vezeték nélküli ügyfélgépen nem szükséges speciális konfiguráció a MAC-hitelesítés támogatásához.
A WLAN létrehozásához kattintson a WLAN-okra a vezérlő GUI-jában.
Megnyílik a WLAN ablak. Ez az ablak tartalmazza a vezérlőn konfigurált WLAN-hálózatok listáját.
Kattintson az Új gombra az új WLAN beállításához.
Ebben a példában a WLAN-t WLAN MAC-nek nevezzük. és a WLAN azonosító értéke 1.
A WLAN> Szerkesztés ablakban adja meg a hálózati beállításokat.
A Biztonsági irányelvek> 2. szint biztonsága alatt jelölje be a MAC szűrés jelölőnégyzetet.
Ez magában foglalja a MAC-hitelesítést a WLAN számára.
A Common Policy (Közös irányelv)> Interface Name (Illesztőfelület neve) szerint válassza ki a WLAN leképezésének felületét.
Ebben a példában a WLAN a kezelőfelületre van leképezve.
Válasszon más lehetőségeket, amelyek a WLAN tervezési követelményeitől függenek.
Lásd a VLAN-ot a Vezeték nélküli LAN-vezérlő konfigurációs példájáról a dinamikus interfészek (VLAN-ok) konfigurálásáról a WLC-n.
Kattintson a vezérlő grafikus felületéről a Biztonság elemre, majd a bal oldali menü MAC szűrése parancsára.
Megjelenik a MAC szűrés ablak.
Ismételje meg a 2-4. Lépést további ügyfelek hozzáadásához a helyi adatbázisba.
Kövesse ezeket a lépéseket a MAC-hitelesítés konfigurálásához a RADIUS-kiszolgáló segítségével. Ebben a példában a Cisco Secure ACS kiszolgáló RADIUS kiszolgálóként működik.
A WLAN létrehozásához kattintson a WLAN-okra a vezérlő GUI-jában.
Megnyílik a WLAN ablak. Ez az ablak tartalmazza a vezérlőn konfigurált WLAN-hálózatok listáját.
Kattintson az Új gombra az új WLAN beállításához.
Ebben a példában a WLAN-t WLAN ACS MAC-nek hívják. és a WLAN azonosító 2.
A WLAN> Szerkesztés ablakban adja meg a hálózati beállításokat.
A Biztonsági irányelvek> 2. szint biztonsága alatt jelölje be a MAC szűrés jelölőnégyzetet.
Ez magában foglalja a MAC-hitelesítést a WLAN számára.
A Common Policy (Közös irányelv)> Interface Name (Illesztőfelület neve) szerint válassza ki a WLAN leképezésének felületét.
A RADIUS-kiszolgálók alatt válassza ki a MAC-hitelesítéshez használt RADIUS-kiszolgálót.
Megjegyzés: Mielőtt kiválaszthatja a RADIUS szerver a WLAN-ok> szerkesztése ablakban meg kell adnunk a RADIUS szerver a biztonsági ablakban> Radius hitelesítés és lehetővé teszi a RADIUS szerveren.
Válasszon más lehetőségeket, amelyek a WLAN tervezési követelményeitől függenek.
Kattintson a Biztonság> MAC-szűrés elemre.
A MAC szűrés ablakban válassza ki a RADIUS-kiszolgáló típusát a RADIUS kompatibilitási módban.
Ez a példa a Cisco ACS-jét használja.
A MAC Delimiter legördülő menüből válassza ki a MAC határolójelet.
Ez a példa a kettőspontot használja.
Határozza meg a WLC-t AAA kliensként az ACS szerveren. Az ACS GUI-ban kattintson a Hálózati konfiguráció elemre.
Az ACS-n kívüli hitelesítési kiszolgálókról a gyártó dokumentációjában olvashat.
Megjegyzés: A WLC és az ACS szerver megosztott titkos kulcsának meg kell egyeznie. Ha megosztott titkos kulcsot ad meg, figyelembe kell vennie az esetet.
A fő ACS menüben kattintson a Felhasználó beállítása elemre.
Kattintson a Küldés gombra.
Ismételje meg a 2-5. Lépéseket, hogy további felhasználókat vegyen fel az ACS adatbázisba.
Ez a dokumentum korábban tárgyalt arról, hogyan kell használni a WLC GUI-t a MAC szűrők beállításához. A CLI segítségével is beállíthatja a MAC szűrőket a WLC-ben. Ezekkel a parancsokkal konfigurálhatja a WLC MAC szűrőt:
command config macfilter add:
A config macfilter add parancs lehetővé teszi a macfilter, az interfész, a leírás stb.
Használja a config macfilter add parancsot egy MAC szűrő bejegyzés létrehozásához a Cisco WLAN vezérlőn. Ezzel a paranccsal hozzáadhatja a klienst helyi módon a Cisco WLAN vezérlő vezeték nélküli hálózatához. Ez a szűrő megkerüli a RADIUS hitelesítési folyamatot.
config macfilter IP-cím parancs
Beállíthatja a letiltott ügyfelek számára az időtúllépést. Azok az ügyfelek, akik a kapcsolatfelvételi kísérlet során háromszor nem hitelesítik a hozzáférést, automatikusan megszűnnek a további társítási kísérletekből. A várakozási idő lejártát követően az ügyfeleknek meg kell ismételniük a hitelesítést, amíg meg nem kötik vagy megtagadják a hitelesítést, és újra kizárják őket.
Írja be a wlan exclusionlist wlan_id timeout parancsot a letiltott kliensek időzítésének beállításához. Az időtúllépési érték 1-től 65535 másodpercig terjedhet, vagy 0-ot írhat be az ügyfél végleges leválasztásához.
Ezekkel a parancsokkal ellenőrizheti, hogy a MAC-szűrő megfelelően van-e beállítva:
show macfilter summary - Megjeleníti az összes MAC szűrő bejegyzéseinek összefoglalását.
Íme egy példa a show macfilter summary parancsról.
Íme egy példa a show macfilter detail parancsról:
Ezeket a parancsokat a konfigurációs problémák elhárításához használhatja:
debug aaa all enable - Minden AAA üzenet hibakeresését biztosítja.
Íme egy példa a debug parancsra aaa all enable:
A probléma megoldásának módjai a következők:
Csökkentse az ACS 4.0-ot.
MAC-szűrőt nem lehet hozzáadni a WLC GUI használatával
Ez történhet a Cisco CSCsj98722 hibaazonosító (csak regisztrált ügyfelek) miatt. A hibát a kód 4.2-es verziójában rögzítették. Ha a 4.2-es verziónál korábbi verzióknál dolgozik, akkor frissítheti a firmware-t 4.2-re vagy használja ezt a két megoldást erre a problémára.
A CLI segítségével állítsa be a MAC szűrőt ezzel a paranccsal:
Csendes kliens nincs elhelyezve a kitöltött állapotban