АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Первоначальная настройка контроллера

Читайте также:
  1. I. НАСТРОЙКА
  2. II. Первоначальная подготовка
  3. Автоматическая настройка УОЗ на атмосферном двигателе с помощью функции замеров ускорения.
  4. КЛЮЧ НУЖЕН ДЛЯ РАЗГРУЗКИ И ПЕРЕЗАГРУЗКИ МОЗГА – ЭТО «ОТЦИКЛИВАНИЕ» ОТ СТРЕССА И ПРОБЛЕМ, ЭТО РАЗГИПНОТИЗАЦИЯ, ОСВОБОЖДЕНИЕ СОЗНАНИЯ И НАСТРОЙКА НА БУДУЩЕЕ.
  5. Критерии выбора микроконтроллера
  6. Лабораторная работа № 10. Настройка VLAN на двух коммутаторах Cisco.
  7. Лабораторная работа № 10. Настройка VLAN на одном коммутаторе Cisco.
  8. Лабораторная работа № 10. Настройка VLAN на одном коммутаторе Cisco.
  9. Лабораторная работа № 11. Настройка VLAN в корпоративной сети.
  10. Лабораторная работа № 11. Настройка VLAN на двух коммутаторах Cisco.
  11. Лабораторная работа № 12. Настройка VLAN в корпоративной сети.
  12. Лабораторная работа № 12. Настройка VLAN в корпоративной сети.

Подключив контроллер к питанию, COM-порту (9600/8/N/1) и локальной сети, требуется произвести первоначальную настройку. Ниже приведена процедура первоначальной настройки контроллера

Cryptographic library self-test....passed!

XML config selected

Validating XML configuration

Cisco is a trademark of Cisco Systems, Inc.

Software Copyright Cisco Systems, Inc. All rights reserved.

Cisco AireOS Version 7.0.220.0

Initializing OS Services: ok

Initializing Serial Services: ok

Initializing Network Services: ok

Starting ARP Services: ok

Starting Trap Manager: ok

Starting Network Interface Management Services: ok

Starting System Services: ok

Starting Fastpath Hardware Acceleration: ok

Starting Switching Services: ok

Starting QoS Services: ok

Starting Policy Manager: ok

Starting Data Transport Link Layer: ok

Starting Access Control List Services: ok

Starting System Interfaces: ok

Starting Client Troubleshooting Service: ok

Starting Management Frame Protection: ok

Starting Certificate Database: ok

Starting VPN Services: ok

Starting LWAPP: ok

Starting CAPWAP: ok

Starting LOCP: ok

Starting Security Services: ok

Starting Policy Manager: ok

Starting Authentication Engine: ok

Starting Mobility Management: ok

Starting Virtual AP Services: ok

Starting AireWave Director: ok

Starting Network Time Services: ok

Starting Cisco Discovery Protocol: ok

Starting Broadcast Services: ok

Starting Logging Services: ok

Starting DHCP Server: ok

Starting IDS Signature Manager: ok

Starting RFID Tag Tracking: ok

Starting RBCP: ok

Starting Mesh Services: ok

Starting TSM: ok

Starting CIDS Services: ok

Starting Ethernet-over-IP: ok

Starting DTLS server: enabled in CAPWAP

Starting CleanAir: ok

Starting WIPS: ok

Starting SSHPM LSC PROV LIST: ok

Starting RRC Services: ok

Starting FMC HS: ok

Starting Management Services:

Web Server: ok

CLI: ok

Secure Web: Web Authentication Certificate not found (error). If you cannot access management interface via HTTPS please reconfig

Secure Web: Web Authentication Certificate not found (error). If you cannot access management interface via HTTPS please reconfigure Virtual Interface.

(Cisco Controller)

Welcome to the Cisco Wizard Configuration Tool

Use the '-' character to backup

Would you like to terminate autoinstall? [yes]: yes

AUTO-INSTALL: process terminated -- no configuration loaded

Устанавливаем имя контроллеру (предлагаемое генерится из МАС-адреса), логин и пароль администратора:

System Name [Cisco_bb:bb:40] (31 characters max): wlc4.ххх.ххх.net

Enter Administrative User Name (24 characters max): anton

Enter Administrative Password (3 to 24 characters): *********

Re-enter Administrative Password: *********

Настраиваем адресацию интерфейса управления. Это логический интерфейс, через который контроллер «общается» с внешним миром (кроме точек доступа). Обычная практика такова, что все физические интерфесы контроллера объединяют в EtherChannel группу (вы можете сделать это позднее), и в таком общем канале настраиваете сколько требуется логических интерфейсов, каждый в своем VLANе. В данном примере между коммутатором и контроллером создан trunk-порт, а обслуживание ведется через VLAN 310. Для access-порта, или если у вас применяется native VLAN, укажите номер 0. Адрес DHCP-сервера нужен для пересылки тому клиентских DHCP-запросов, если таковое будет настроено. Контроллер будет DHCP-релеем (хотя также может исполнять роль DHCP-сервера).

Management Interface IP Address: xx.xx.145.10

Management Interface Netmask: 255.255.255.128

Management Interface Default Router: xx.xx.145.1

Management Interface VLAN Identifier (0 = untagged): 310

Management Interface Port Num [1]:

Management Interface DHCP Server IP Address: xx.xx.145.9

Все контроллеры, кроме модели 5508, используют отдельный логический интерфейс ap-manager для общения с точками доступа. Необходимо настроить его адрес, обычно из той же сети:

AP Manager Interface IP Address: xx.xx.145.14

AP-Manager is on Management subnet, using same values

AP Manager Interface DHCP Server (xx.xx.145.9):

Последнй логический интерфейс — виртуальный. Он используется для передачи DHCP-запросов клиентам, веб-авторизации, роуминга. На него прописывают адрес, не использующийся нигде в сети и не маршрутизируемый, обычно это 1.1.1.1. Внимание: он должен быть одинаков для нескольких контроллеров, между которыми предполагается роуминг клиентов.

Virtual Gateway IP Address: 1.1.1.1

Для целей роуминга клиентов контроллеры объединяются в группы мобильности (mobility group), имя которой и предлагается задать. Также предлагается задать имя группы контроллеров, совокупно обеспечивающих управление радиорескрсом (частотный план и мощность, rf group). Хотя это могут быть разные группы по набору устройств и имени, здесь указывается общее имя (его можно изменить позднее):

Mobility/RF Group Name: WLAB

Wizard предлагает создать одну беспроводную сеть (WLAN). обычно здесь указывают что-нибудь, все равно затем эту сеть удаляю, и создаю правильную из веб-интерфейса.

Network Name (SSID): test

Режим бриджинга DHCP-пакетов экзотичен и на практике вряд ли применяется.

Configure DHCP Bridging Mode [yes][NO]:

можно разрешить работу беспроводных клиентов, у которых IP-адрес прописан статически. Реально эта опция включает кэширование ARP на контроллере, что полезно.

Allow Static IP Addresses [YES][no]:

Для целей авторизации клиентов (а также доступа к контроллеру, и некоторых специфичных других) может быть использован внешний RADIUS-сервер, который удобнее настраивать позже через веб-интерфейс.

Configure a RADIUS Server now? [YES][no]: no

Warning! The default WLAN security policy requires a RADIUS server.

Please see documentation for more details.

Каждая точка доступа, и контроллер, имеют допустимые коды страны, в которой они работают. В действительности country code определяет разрешенный набор частот (каналов) и предельных мощностей, что влияет на работу алгоритмов автоматического выбора частоты и т.д. Крайне рекомендуется, чтобы во всей вашей сети список кодов стран был настроен единообразно.

Enter Country Code list (enter 'help' for a list of countries) [US]: RU

Контроллер предлагает включить сети 2.4 и 5 ГГц (11b/g/n и 11a/n соответственно). В действительности этот парамер передается на ассоциированные с контроллером точки доступа, на которых собственно и установлено радио. Я советую включать радио через веб-интерфейс уже после того, как все остальные параметры настроены.

Enable 802.11b Network [YES][no]: no

Enable 802.11a Network [YES][no]: no

Запрос на включение полезных алгоритмов динамического управления частотным ресурсом и мощностями, о чем мы говорили ранее.

Enable Auto-RF [YES][no]:

Настройки времени (сервер времени, и статичесски заданное время/часовой пояс) важны не только для правильности меток в логических файлах, но и для работы авторизации точек доступа по сертификатам (они используют CAPWAP, основанный на DTLS, основанный на сертификатах с известными проверками сроков валидности).

Configure a NTP server now? [YES][no]: no

Configure the system time now? [YES][no]: no

Warning! No AP will come up unless the time is set.

Please see documentation for more details.

контроллер сохраняет конфигурацию, и перезапускается:

Configuration correct? If yes, system will save it and reset. [yes][NO]: yes

Configuration saved!

Resetting system with new configuration...

устройство можно настраивать через веб-интерфейс управления, доступный через пару минут по адресу: httрs://xx.xx.145.10. Чтобы избежать ненужных вопросов о валидности сайта, контроллеру можно впоследствии выписать сертификат для работы SSL.

Настройка через веб-интерфейс:

Рисунок 12

Так выглядит веб интерфейс контроллера cisco

Контроллер настроен и подключен к локальной. Теперь осталось подключить к контроллеру имеющиеся в наличии точки доступа, которые и будут обслуживать пользователей Wi-Fi.

Подключение точек доступа

Несмотря на открытость CAPWAP протокола, ваш контроллер будет работать только с точками производства Cisco, о чем прямо и заявляет производитель.

Для «ручной» настройки точки доступа необходимо подключиться к консоли (9600/8/N/1), кроме модели 1121, у которой консольного порта нет. При загрузке точка доступа попадает в режим получения адреса, и поиска контроллера. По умолчанию, логин и пароль " Cisco " (с большой буквы), enable пароль такой же. При некотором количестве неудачных попыток точка перезагружается, и продолжает процесс вечно. Для предотвращения перезагрузок отменим их следующей недокументированной командой:

debug capwap client no-reload

Далее явно устанавливаем точке адрес:

capwap ap ip address <ip_address> <subnet mask> capwap ap ip default-gateway <gw_address>

все конфигурационные настройки точка получает от контроллера в момент регистрации на нём.

Далее устанавливаем точке адреса контроллеров.

capwap ap controller ip address <wlc_mgmt_ip>

нужно указать адрес именно management -интерфейса контроллера (куда сами подключаетесь в веб-интерфейс), а не адрес ap-manager интерфейса. Посмотреть на результат настройки можно командой show capwap client config:

configMagicMark 0xF1E2D3C4 chkSumV2 47358 chkSumV1 27913 swVer 7.0.220.0 adminState ADMIN_ENABLED(1) name ap2.wlab location KorpusXX group name ApGg1 mwarName wlc2.ххх.ххх.nхх mwarIPAddress хх.хх.хх.3 mwarName mwarIPAddress 0.0.0.0 mwarName mwarIPAddress 0.0.0.0 ssh status Enabled Telnet status Disabled...

Для автоматической настройки IP-адреса точки доступа по DHCP необходимо также задать дополнительную опцию, номер 43, которая сообщает точке о доступных ей адресах контроллеров. Трюк состоит в том, чтобы передать в параметрах опции 43 адреса ваших контроллеров. Значение параметра (в HEX виде) имеет формат TLV, к примеру, f108c0a80a05c0a80a14, где 0xf1 (241) — номер параметра опции, 0x08 (длина данных, два раза по 4 байта/октета IP адреса), 0xc0a80a05 переводится в 192.168.10.5 и 0xc0a80a14 в 192.168.10.20.

Точка доступа может получить адреса контроллеров также через запрос по DNS, или от соседей «по воздуху».

Немного о подключении самого устройства к локальной сети. Всё, что точке доступа нужно, это IP-связность с контроллером. Достаточно просто подключить её в access-порт (порт доступа) вашей локальной сети, наравне с остальными компьютерами. Только в случае видео- или голосовых приложений в радио-сети вам понадобится настроить приоритизацию, а в случае удаленного офиса и H-REAP конфига точки — транк порт. Даже если одна точка доступа предоставляет возможность подключения к нескольким SSID (радио-сетям) со своими политиками безопасности и проключением к VLANам, беспокоиться о настройках стыка с проводной сетью надо только на уровне контроллера.

Установив точку в локальной сети смотрим, как она пытается подключиться к контроллеру (Monitor-AP Join):

Рисунок 13

Однако бывает, что точка доступа вроде бы как видит контроллер, но не хочет к нему подключаться. Почти наверняка это связано с установленными политиками безопасности, которые настраиваются в меню " Security-AAA-AP Policies ". Почти все эти политики так или иначе связаны с сертификатами. Разберемся в данном вопросе детально.

Как сказано выше, из-за деталей работы CAPWAP данные между точкой и контроллером зашифрованы при помощи сертификатов. Сертификаты есть, естественно, на контроллере, и на точке доступа. Контроллер поставляется с уже установленными сертификатами Cisco Systems (корневым, и его производными), может нести дополнительные сертификаты для веб-авторизации и локального RADIUS-сервера, которые к точкам доступа не относятся, а также может быть дополнен сертификатом вашего собственного Удостоверяющего Центра (PKI). Сертификаты точек доступа, которые потом авторизуются на контроллере, бывают следующих четырех типов:

· MIC (Manufacture Installed Certificate)

· SSC (Self-Signed Certificate)

· LSC (Locally Significant Certificate)

· LBS-SSC (Location-Based Services-SSC)

Первый тип сертификатов присутствует на всех точках доступа, в том числе автономных, выпушенных после 2006 года. Данный сертификат зашивается на заводе, подписывается самим вендором, и привязан к вшитому MAC-адресу точки доступа.

SSC сертификаты генерируются самой точкой в момент ее конверсии в «легковесную», если MIC сертификат не присутствует. Он подписан сам собой.

LSC сертификаты вы можете выписывать сами своим PKI,

LBS-SSC сертификат создается и используется устройствами Mobility Services Engine при взаимодействии с контроллером.

Какие типы сертификатов точек доступа принимать при попытке авторизации, вы можете настроить сами.

Рисунок 14

Дополнительно можно применять RADIUS-сервер для проверки валидности MAC-адреса точки доступа. Можно также явно задать MAC-адрес точки, применяющей MIC-сертификат (auth-list). Однако для SSC сертификатов любом случае обязаны внести каждый из них в список, при этом указав не только MAC-адрес Ethernet-интерфейса точки доступа, но также хэш (hash) сертификата. Где его взять? На контроллере включите отладку процесса проверки сертификатов:

(Cisco Controller) > debug pm pki enable

*spamReceiveTask: Jun 10 21:49:39.450: sshpmGetCID: called to evaluate cscoDefaultIdCert *spamReceiveTask: Jun 10 21:49:39.450: sshpmGetCID: comparing to row 0, CA cert bsnOldDefaultCaCert *spamReceiveTask: Jun 10 21:49:39.450: sshpmGetCID: comparing to row 1, CA cert bsnDefaultRootCaCert *spamReceiveTask: Jun 10 21:49:39.450: sshpmGetCID: comparing to row 2, CA cert bsnDefaultCaCert... *spamReceiveTask: Jun 10 21:49:39.731: sshpmGetIssuerHandles: subject L=San Jose, ST=California, C=US, O=Cisco Systems, MAILTO=support@cisco.com, CN=C1100-000f244ed6aa *spamReceiveTask: Jun 10 21:49:39.731: sshpmGetIssuerHandles: issuer L=San Jose, ST=California, C=US, O=Cisco Systems, MAILTO=support@cisco.com, CN=C1100-000f244ed6aa *spamReceiveTask: Jun 10 21:49:39.732: sshpmGetIssuerHandles: Mac Address in subject is 00:0f:24:4e:d6:aa *spamReceiveTask: Jun 10 21:49:39.732: sshpmGetIssuerHandles: Cert Name in subject is C1100-000f244ed6aa *spamReceiveTask: Jun 10 21:49:39.732: sshpmGetIssuerHandles: Cert is issued by Cisco Systems. *spamReceiveTask: Jun 10 21:49:39.741: ssphmSsUserCertVerify: self-signed user cert verfied.... *spamReceiveTask: Jun 10 21:49:39.752: sshpmGetIssuerHandles: SSC Key Hash is d886bcaf0d22398538ccdef3f53d6ec7893463b8 *spamReceiveTask: Jun 10 21:49:39.755: sshpmFreePublicKeyHandle: called with 0xf2de114

Выбираем Add, тип SSC, копируем-вставляем MAC-адрес и хэш в соответствующие поля, Apply, ждем перезагрузки точки, выключаем дебаг (debug disable-all), точка подключена:

Рисунок 15

Добавить хэш сертификата можно также и вручную:

config auth-list ap-policy ssc enable config auth-list add ssc 00:0f:24:4e:d6:aa d886bcaf0d22398538ccdef3f53d6ec7893463b8

Всё, что можно сделать с контроллером через веб-интерфейс, можно получить и через командную строку. Это вопрос удобства и привычки. Внимание: несколько специфичных команд доступны только с командной строки.

Теперь, когда наша точка доступа подключена (надеюсь, и все остальные тоже), можно включить радио-интерфейсы (Wireless — 802.11a/n, 802.11b/g/n), режимы -g, -n, и перейти к настройке беспроводных сетей (SSID).

После того как произведина первоначальная настройка и подключены точки лоступа к Wi-Fi контроллеру Cisco WLC, построена необходимая инфраструктура беспроводной сети. Теперь требуется настроить сами сети (WLAN, SSID)

Рисунок 16

Хоть контроллер и управляется через командную строку (консоль, ssh), почти все операции по настройке лучше (быстрее и удобнее) производить через веб-интерфейс. Контроллер доступен через HTTP (по умолчанию; лучше переключите на HTTPS) с логином-паролем, заданными при установке. В данной статье мы рассмотрим только настройку самих беспроводных сетей. Остальные параметры (радио, безопасность, управление) и так выставлены в более-менее приемлемые значения. Подробно всё расписано в официальной документации.

Каждая беспроводная сеть идентифицируется уникальным именем, или SSID. Каждая сеть может иметь свой, независимый набор параметров авторизации, шифрования, QoS, дополнительных свойств. Каждая точка доступа может обслуживать (анонсировать) до 16 беспроводных сетей. Контроллер (в зависимости от модели) может обслуживать до 512 сетей и до сотен точек доступа.

Все настройки производятся в меню WLANs (верхняя картинка). Для создания новой сети необходимо выбрать пункт меню «Create new», и задать базовые параметры:

Рисунок 17

Тип сети: WLAN (беспроводная). Контроллер может также работать как Captive Portal для проводной сети (Guest LAN)

Имя профиля: произвольное слово, обычно соответствует имени сети, применяется при использовании «взрослых» систем управления WCS/NCS.

Имя сети (SSID): то, как ваша сеть будет «видна» клиентским компьютерам

Идентификатор (порядковый номер): по умолчанию ваши точки доступа будут анонсировать сети с номерами <=16

Создав новую сеть, вы попадаете в окно с закладками, в котором и указываются все параметры её работы:

Рисунок 18

Enable включает/выключает обслуживание сети точками доступа

Security policy оповещает вас о текущем наборе политик безопасности сети, которые настраиваются далее

Radio policy позволяет выбрать, в каком диапазоне частот (2.4, 5 ГГц) и скоростей (до 11, до 54 мбит/с) будет работать сеть. Возможны комбинации вариантов. Высокие скорости (802.11n) — тема отдельной статьи. Естественно, ваши точки должны поддерживать выбранные диапазоны.

Interface определяет, на какой проводной сетевой (саб-)интерфейс (VLAN) контроллера по умолчанию будут терминироваться подключения беспроводных клиентов. Вы можете создать несколько так называемых «динамических интерфейсов», каждый со своим VLAN ID, и распределять ваших пользователей по ним в зависимости от того, к какой сети они подключились (что наиболее часто используется для предоставления гостевого доступа)

Multicast VLAN определяет, куда в случае нескольких групп интерфейсов будет идти мультикаст трафик (тема отдельной статьи)

Последний параметр Broadcast SSID определяет, будет ли имя сети отражаться в beacon (анонсах) пакетов, периодически рассылаемых точкой доступа. Иначе это называется «открытая/закрытая сеть»

Следующая закладка, Security, обычно вызывает больше всего вопросов

Рисунок 19

Безопасность беспроводной сети строится из трех компонентов:

· Авторизация

· Шифрования

· Веб-политика (опционально)

Первые две политики работают на 2 уровне OSI, поэтому их логично назвали Layer 2. Авторизация отвечает за то, кого пускать в сеть, и как. Шифрование определяет сам алгоритм шифрования пакетов в радио-среде. Веб-политика позволяет заворачивать клиентскую HTTP-сессию на встроенный веб-сервер контроллера (либо внешний), и запрашивать подтверждение/логин-пароль через форму.

Доступные параметры безопасности 2го уровня:

· None — авторизация и шифрование трафика не применяются («небезопасная сеть»). Используется для гостевого доступа, в хотспотах. Зачастую комбинируется с веб-политикой, при которой вы без вопросов подключаетесь к беспроводной сети, но при попытке выйти веб-браузером куда-то сессия перехватывается контроллером, и вас вынуждают ввести логин-пароль, согласиться с условиями и т.п. (см. далее).

· WPA+WPA2 — позволяет выбрать политику WPA либо WPA2 (либо обе), тип шифрования TKIP или AES (либо оба). Данные параметры просто анонсируются клиентам в beacon пакетах. Не все клиентские адаптеры (особенно старые) способны понять современные стандарт. Если все клиенты — новые, наиболее оптимальным будет использование WPA2/AES. Дополнительно предлагается указать, как будет образовываться ключ для шифрования:

§ 802.1X — индивидуальный ключ для каждого клиента будет генерироваться RADIUS-сервером в момент авторизации. Наиболее безопасный вариант, также именуемый WPA(2) Enterprise

§ CCKM — используется собственный механизм Cisco генерации ключей, подходит только для Cisco Wi-Fi телефонов

§ PSK — общий (pre-shared) ключ, пароль на сеть, именуемую в таком случае WPA(2) Personal

§ 802.1x+CCKM — гибрид CCKM и RADIUS-ключа (для Cisco-телефонов)

· 802.1X — индивидуальный ключ для каждого клиента будет генерироваться RADIUS-сервером в момент авторизации. Однако это WEP-ключ, и протокол шифрования радиоканала — WEP, чем в наше время пользоваться уже нельзя.

· Static WEP — статический WEP-ключ

· Static WEP+802.1X — гибрид двух предыдущих

· CKIP — проприетарный аналог WEP для Cisco телефонов

Рисунок 20

Подведя итог по L2 безопасности скажем, что в реальности необходимо делать выбор между:

· Отсутствием шифрования/авторизации (гостевой доступ)

· WPA2 (AES) PSK aka «WPA2 Personal» для доступа в сеть по общему паролю

· WPA2 (AES) + 802.1X aka «WPA2 Enterprise» для доступа в сеть через авторизацию на RADIUS-сервере (EAP: по доменному аккаунту, сертификату и т.п.)

· Высокие скорости связи/802.11n доступны только для сетей, которые используют либо Security=None, либо WPA2/AES/PSK, либо WPA2/AES/802.1X.

При любом варианте настройки безопасности/авторизации вы можете включить дополнительно L3 политику, которая заключается в перехвате клиентской веб-сессии:

Рисунок 21

При этом доступны следующие параметры:

· Authentication — пользователь видит окно ввода логина-пароля, которые затем проверяются на контроллере (в его локальной базе), либо на RADIUS-сервере

· Passthrough — пользователь видит окно приветствия, где у него могут опционально спросить его e-mail адрес (далее нигде не используется и не проверяется)

· Conditional Web Redirect — позволяет редиректить(автоматическое перенаправление пользователей с одного сайта на другой) сессию пользователя на указанную в RADIUS-ответе страницу после авторизации. Например, на страницу пополнения баланса. После редиректа пользователь должен авторизоваться снова.

· Splash Page Web Redirect — то же самое, но с доступом в сеть сразу

· On MAC Filter failure — редирект происходит при блокировке пользователя MAC-фильтром

 

Дополнительно можно указать ACL (список доступа) для пользователей, не прошедших авторизацию (например, для DNS-сервера или внешнего веб-сервера с логотипом).

Можно также выбрать, какую страницу (форму) показывать пользователю при авторизации (стандартную, самостоятельно измененную стандартную, либо находящуюся на внешнем веб-сервере).

При использовании RADIUS-сервера необходимо сделать дополнительные настройки. Прежде всего, задать сам сервер авторизации в меню Security — RADIUS — AAA — Authentication:

Рисунок 22

необходимо указать следующие параметры:

IP-адрес сервера. Поддерживаются FreeRADIUS, Cisco ACS, Cisco ISE, сервер Microsoft.

Shared secret (ключ радиус-сервера)

Network user — сервер поддерживает авторизацию пользователей Wi-Fi сети

Management — сервер поддерживает авторизацию администраторов самого контроллера

Остальные параметры интереса не представляют.

Полезно также задать тот же сервер для целей учета (Accounting).

В параметрах настройки безопасности беспроводной сети в закладке AAA серверов всё, указанное по умолчанию, обеспечивает работу всех зарегистрированных на контроллере RADIUS-серверов:

Рисунок 23

Вы можете также назначить отдельный сервер для данной беспроводной сети, отключить аккаунтинг, включить встроенный в контроллер мини-сервер RADIUS и т.п.

Закладка QoS отвечает за параметры качества обслуживания в сети, давая приоритеты разными типам трафика и пользователям. Заморачиваться стоит, если у вас в беспроводной сети широко используется голос, видео, много гостевых пользователей при большой нагрузке, и в аналогичных экзотических случаях.

Рисунок 24

Последняя закладка, Advanced, описывает различные «дополнительные параметры» вашей беспроводной сети, коих достаточно много. Расскажем обо всех.

Рисунок 25

· Allow AAA Override — позволяет передать дополнительные параметры от RADIUS-сервера в момент успешной авторизации клиента, и применить их к данному клиенту индивидуально. Такими параметрами могут быть номер VLAN, имя локального интерфейса, список доступа (ACL), URL для редиректа, QoS политика и т.п.

· Coverage Hole Detection — управляет механизмом определения и компенсации зоны недостаточного покрытия для клиентов данной беспроводной сети. Рекомендуется отключать для гостевых WLAN

· Enable Session Timeout, Session Timeout (secs) — включает и определяет тайм-аут сессии клиента при веб-авторизации

· Aironet IE — включает специфичные для Cisco расширения параметров beacon кадра. Умные клиентские адаптеры в таком случае работаю лучше (роуминг, энергосбережение), глупые могут вообще не заработать в такой сети.

· Diagnostic Channel — активирует дополнительный логический канал диагностики для CCX5-совместимых клиентских адаптеров

· IPv6 — в реальности только разрешает IPv6 трафик для веб-авторизации

· Override Interface ACL — позволяет задать альтернативный список доступа (ACL) вместо указанного на проводном VLAN (management, dynamic) интерфейсе контроллера.

· P2P Blocking Action — определяет политику пропускания трафика между беспроводными клиентами (в пределах контроллера). Допустимые значения: Disabled (пропускать), Drop (не пропускать), Forward-UpStream (отправлять на роутер, пусть он решает).

· Client Exclusion, Timeout Value (secs) — включает и задает тайм-аут исключения (временной блокировки) клиента, авторизация которого в беспроводной сети окончилась неудачно

· Maximum Allowed Clients — задает максимальное число одновременных ассоциаций с данной сетью

· Static IP Tunneling — разрешает роуминг между контроллерами клиентам со статическим IP-адресом

· Off Channel Scanning Defer, Scan Defer Priority — каждая точка иногда «соскакивает» со своего рабочего канала (частоты) и слушает другие каналы на предмет соседних сетей, чистоты спектра, «плохих» абонентов и т.п. При этом такое «соскакивание» может отрицательно сказаться на голосовом трафике, передаваемом данной точкой. Если точка «видит» пакеты со значением 802.1p поля, отмеченного галочкой (0 1 2 3 4 5 6 7), то соскок с рабочей састоты будет отложен.

· Scan Defer Time(msecs) — на сколько миллисекунд отложен

· H-REAP Local Switching — позволяет точке доступа, которая находится в режиме H-REAP (удаленный офис) при обслуживании данной беспроводной сети «замыкать» трафик абонентов локально, а не передавать в CAPWAP-туннеле на контроллер

· H-REAP Local Auth — позволяет точке доступа, которая находится в режиме H-REAP (удаленный офис) при обслуживании данной беспроводной сети проводить авторизацию локально, а не на контроллере

· Learn Client IP Address — в режиме H-REAP точка будет рапортовать IP-адрес клиента на контроллер, если тот доступен

· DHCP Server Override, DHCP Server IP Addr — использовать указанный IP-адрес DHCP-сервера вместо того, который прописан в настройках проводного интерфейса контроллера, на который «замыкается» трафик беспроводных клиентов.

· DHCP Addr. Assignment — требовать использования DHCP-сервера клиентами данной беспроводной сети (статически настроенные клиенты работать не будут)

· MFP Client Protection — включать и требовать защиту клиентских фреймов, варианты Disabled (нет), Optional (при наличии возможности) и Required (обязательно, и все ваши клиенты должны поддерживать CCX5)

· DTIM Period (in beacon intervals) — как часто передавать broadcast/multicast кадры, влияет на энергоэффективность клиентов

· NAC State — выбирает режим работы совместно с устройством NAC

· Client Load Balancing — разрешает балансировку клиентов между точками доступа согласно их загруженности

· Client Band Select — разрешает «выталкивание» клиентов в диапазон 5ГГц, который более предпочтителен в силу меньшей его загруженности

· Passive Client — разрешает работу клиентских устройств, которые «мало говорят» (вроде Wi-Fi весов)

· Media Session Snooping — позволяет «подсматривать» в телефонные SIP-сессии

· Re-anchor Roamed Voice Clients — позволяет принудительно переносить между контроллерами голосовых клиентов, которые находятся в роуминге


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 |

Поиск по сайту:



Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.031 сек.)