Sem fio : Controladores de LAN sem fio Cisco série 4400

Perguntas frequentes sobre acesso de convidado sem fio

29 Julho 2013 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Julho 2011) | Feedback


Perguntas


Introdução

Este documento fornece a informação mais frequentemente nas perguntas feitas (FAQ) sobre os recursos de acesso wireless do convidado, que são parte da rede de Cisco Unified Wireless.

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Q. Que é um Ethernet sobre o túnel IP (EoIP) à área da rede não protegida?

A. Cisco recomenda o uso de um controlador dedicado ao tráfego do convidado. Este controlador é sabido como o controlador da âncora do convidado.

O controlador da âncora do convidado é ficado situado geralmente em uma área da rede não protegida, chamada frequentemente a zona desmilitarizada (DMZ). Outros controladores de WLAN internos de onde o tráfego origina são ficados situados na empresa LAN. Um túnel de EoIP é estabelecido entre os controladores de WLAN internos e o controlador da âncora do convidado a fim assegurar o isolamento do trajeto do tráfego do convidado do tráfego de dados da empresa. O isolamento do trajeto é uma característica crítica do Gerenciamento de segurança para o acesso do convidado. Assegura-se de que as políticas da Segurança e do Qualidade de Serviço (QoS) possam ser separadas, e é diferenciado entre o tráfego do convidado e corporativo ou o tráfego interno.

Uma característica importante da arquitetura de rede do Cisco Unified Wireless é a capacidade para usar um túnel de EoIP para traçar estaticamente uns ou vários WLAN fornecida (isto é, SSID) a um controlador específico da âncora do convidado dentro da rede. Todo o tráfego — ambos a e de um WLAN traçado — atravessa um túnel estático de EoIP que seja estabelecido entre um controlador remoto e o controlador da âncora do convidado.

Usando esta técnica, todo o tráfego associado do convidado pode ser transportado transparente através da rede de empreendimento a um controlador da âncora do convidado que resida na área da rede não protegida.

Q. Como eu seleciono o controlador adequado distribuir como um controlador da âncora do convidado?

A. A seleção do controlador da âncora do convidado é uma função da quantidade de tráfego do convidado como definida pelo número de sessões cliente ativas do convidado, ou como definida pela capacidade da interface de uplink no controlador, ou em ambos.

As limitações de transferência de dados total e do cliente pelo controlador da âncora do convidado são como segue:

  • Controlador do Wireless LAN do Cisco 2504 – 4 * relações do 1 Gbps e 1000 clientes do convidado

  • Controlador do Wireless LAN de Cisco 5508 (WLC) – 8 Gbps e 7.000 clientes do convidado

  • Módulo de Serviços sem fio do Cisco Catalyst 6500 Series (WiSM-2) – 20 Gbps e 15.000 clientes

  • Controlador do Wireless LAN do Cisco 7500 (WLC) – 10 Gbps e 20.000 clientes

Nota: O Cisco 7500 WLC não pode ser configurado como um controlador da âncora do convidado. Refira que controladores podem ser usados para apoiar o acesso do convidado na área da rede não protegida? para a lista de WLC que apoiam a função da âncora do convidado.

Um máximo de 2048 nomes de usuário e senha do convidado pode ser armazenado na base de dados de cada controlador. Conseqüentemente, se o número total de credenciais ativas do convidado é além deste número, mais de um controlador será precisado. Alternativamente, as credenciais do convidado podem ser armazenadas em um servidor de raio externo.

O número de ponto de acesso na rede não impacta a seleção do controlador da âncora do convidado.

Q. Quanto Ethernet sobre IP (EoIP) escava um túnel pode ser terminado em um controlador da âncora do convidado?

A. Um controlador da âncora do convidado pode terminar até 71 túneis de EoIP dos controladores de WLAN internos. Esta capacidade é a mesma através de todo o modelo do controlador de LAN do Cisco Wireless exceto WLC- 2504. O controlador 2504 pode terminar até 15 túneis de EoIP. Mais de um controlador da âncora do convidado pode ser configurado se os túneis adicionais são exigidos.

Os túneis de EoIP são contados pelo controlador de WLAN, independentemente do número de WLAN em túnel ou fixam os identificadores do conjunto (SSID) em cada EoIP.

Um túnel de EoIP é configurado entre o controlador da âncora do convidado e cada controlador interno que apoia Access point com associações de cliente do convidado.

Q. Posso eu criar Ethernet sobre túneis IP (EoIP) entre os controladores que executam versões de software diferentes?

A. Não todas as versões de software do controlador do Wireless LAN apoiam esta. Nesses casos o controlador do telecontrole e da âncora deve executar a mesma versão de software WLC. Contudo, as versões de software recente permitem que os controladores do telecontrole e da âncora tenham versões diferentes.

Esta matriz alista as versões de software do controlador do Wireless LAN com que você pode criar os túneis de EoIP.

wga-faq-01.gif

Q. Pode o controlador do Wireless LAN do 2100/2500 Series de Cisco ser usado como um controlador da âncora do convidado na área da rede não protegida?

A. Sim, começando a liberação de software de rede 7,4 do Cisco Unified Wireless, o controlador do Wireless LAN do Cisco 2500 Series pode terminar (o tráfego do convidado de até 15 túneis de EoIP) fora do Firewall. O controlador do Wireless LAN do Cisco 2000 Series pode somente originar túneis do convidado.

Q. Pode o módulo de controlador de LAN do Cisco Wireless para o Roteadores dos Serviços integrados (WLCM ou WLCM2) ser usado como um controlador da âncora do convidado na área da rede não protegida?

A. Não, o WLCM ou WLCM2 não podem terminar túneis do convidado. O WLCM pode somente originar túneis do convidado.

Q. Que controladores podem ser usados para apoiar o acesso do convidado na área da rede não protegida?

A. A função da âncora do túnel do convidado, que inclui a terminação de túnel, a autenticação da Web, e o controle de acesso de EoIP de clientes do convidado, é apoiada nestas Plataformas do controlador de LAN do Cisco Wireless com imagens do software da versão 4.0 ou mais recente:

  • Módulo de Serviços sem fio do Cisco Catalyst 6500 Series (WiSM2)

  • Controlador do Wireless LAN da série de Cisco WiSM-2

  • Controlador integrado 3750G do Wireless LAN do Cisco catalyst

  • Controlador do Wireless LAN do Cisco 5508 Series

  • Controlador do Wireless LAN do Cisco 2500 Series (apoio introduzido no Software Release 7.4)

Q. Se um controlador da âncora do convidado é usado fora do Firewall, que portas de firewall estão abertas para que o acesso do convidado trabalhe?

A. Em todo o Firewall entre o controlador da âncora do convidado e os controladores remotos, estas portas precisam de estar abertas:

  • Protocolo IP 97 para o tráfego de dados do usuário

  • Porta UDP para o tráfego de controle do túnel

Para o Gerenciamento opcional, necessidade destas portas de firewall de estar aberto:

  • SSH/Telnet — Porta TCP 22/23

  • TFTP — Porta 69 UDP

  • NTP — Porta 123 UDP

  • SNMP — Portas 161 (obtem e se ajusta) e 162 UDP (armadilhas)

  • HTTPS/HTTP — Porta TCP 443/80

  • Syslog — Porta TCP 514

  • AUTH do RAIO/porta 1812 e 1813 da conta UDP

Q. Pode o tráfego do convidado passar com um Firewall com o Network Address Translation (NAT) configurado?

A. Um a um NAT devem ser usados no túnel de EoIP que atravessa um Firewall.

Q. Em uma âncora - Encenação estrangeira WLC, que o WLC manda a contabilidade do RAIO?

A. Nesta encenação, a autenticação é feita sempre pela âncora WLC. Conseqüentemente, a contabilidade do RAIO é enviada pela âncora WLC.

Q. O túnel do convidado entre o controlador interno e o controlador da âncora falha. Eu ver que estes entram o WLC: mm_listen.c:5373 MM-3-INVALID_PKT_RECVD: Recebeu um pacote inválido de 10. 40.220.18. Desconhecido do membro de fonte da fonte member:0.0.0.0. Por quê?

A. Você verifica o estado do túnel do WLC GUI na página WLAN. Clique sobre a caixa suspensa perto de um WLAN e escolha âncoras da mobilidade que contenha o estado do controle e do trajeto de dados. O Mensagem de Erro é considerado devido a uma destas razões:

  1. A âncora e os controladores internos estão em versões de código diferentes. Certifique-se que executam as mesmas versões do código.

  2. Configurações incorretas na configuração da âncora da mobilidade. Certific do DMZ esteja configurado porque a âncora da mobilidade e os WLC internos têm o DMZ WLC configurado como a âncora da mobilidade. Para obter mais informações sobre de como configurar a âncora da mobilidade, refira a auto seção configurando da mobilidade da âncora do manual de configuração do controlador de LAN do Cisco Wireless, a liberação 7,0. Isto conduziria aos usuários convidado incapazes de passar o tráfego.

Q. Em uma instalação wireless do acesso do convidado, os clientes não recebem o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor DHCP. Thu o 22 de janeiro 16:39:09 2009: XX: XX: XX: XX: XX: XX A RESPOSTA deixando cair DHCP do Mensagem de Erro Exportação-estrangeiro STA aparece no controlador interno. Por quê?

A. Em uma instalação wireless do acesso do convidado, o ajustes do proxy DHCP nos controladores da âncora do convidado e o controlador interno devem combinar. Mais, a requisição DHCP dos clientes é deixada cair e você vê este Mensagem de Erro no controlador interno:

Thu Jan 22 16:39:09 2009: XX:XX:XX:XX:XX:XX  DHCP dropping REPLY from Export-Foreign STA

Use este comando a fim mudar o ajustes do proxy DHCP no WLC:

(Cisco Controller) >config dhcp proxy ?

enable         Enable DHCP processing's proxy style behaviour.
disable        Disable DHCP processing's proxy style behaviour.

Use o comando do proxy DHCP da mostra em ambos os controladores a fim verificar que ambos os controladores têm o mesmo ajustes do proxy DHCP.

(Cisco Controller) >show dhcp proxy

DHCP Proxy Behaviour: enabled

(Cisco Controller) >

Q. Se o tráfego do convidado é escavado um túnel à área da rede não protegida, de onde os clientes do convidado obtêm um endereço IP de Um ou Mais Servidores Cisco ICM NT?

A. O tráfego do convidado é transportado dentro da empresa na camada 3 através de EoIP. Conseqüentemente, o primeiro ponto em que o protocolo de configuração dinâmica host (DHCP) presta serviços de manutenção pode ser executado está localmente no controlador da âncora do convidado, ou o controlador da âncora do convidado pode retransmitir requisições DHCP do cliente a um servidor interno. Este é igualmente o método por que o address resolution do Domain Name System (DNS) é segurado.

Q. O controlador de LAN do Cisco Wireless apoia portal da web para a autenticação do convidado?

A. Os controladores de LAN do Cisco Wireless, a versão de software 3,2 ou mais atrasado, fornecem um portal da web incorporado que capture credenciais do convidado para a autenticação e ofereça capacidades de marcagem com ferro quente simples, junto com a capacidade para indicar a informação da negação e do Acceptable Use Policy.

Q. Como eu personalizo o portal da web?

A. Para obter informações sobre de como personalizar um portal da web, refira a escolha da página de login da autenticação da Web.

Q. Como as credenciais do convidado são controladas?

A. As credenciais do convidado podem ser criadas e controlado centralmente usando a versão 7.0 do Sistema de controle sem fio da Cisco (WCS) e ou o ver 1,0 do Sistema de controle de redes (NC). Um administrador de rede pode estabelecer uma conta administrativa do limitado-privilégio dentro do WCS que o acesso do embaixador das licenças “incita” com a finalidade de criar credenciais do convidado. No WCS ou nos NC, a pessoa com uma conta do embaixador da entrada pode criar, para atribuir, para monitorar, e para suprimir de credenciais do convidado para o serviço do controlador como um convidado ancore o controlador.

O embaixador da entrada pode incorporar o username do convidado (ou o usuário - identificação) e a senha, ou as credenciais podem ser gerados automaticamente. Há igualmente um parâmetro de configuração global que permita o uso de um nome de usuário e senha para todos os convidados, ou um nome de usuário exclusivo e uma senha para cada convidado.

A fim configurar a conta do embaixador da entrada no WCS, refira a seção criadora das contas de usuário convidado do manual de configuração do Sistema de controle sem fio da Cisco, a liberação 7,0.

Q. Está a função do embaixador da entrada disponível no controlador de LAN do Cisco Wireless além do que o sistema de controle wireless (WCS) ou NC?

A. Sim. Se o WCS ou os NC não são distribuídos, um administrador de rede pode estabelecer uma conta do embaixador da entrada no controlador da âncora do convidado. Uma pessoa que registre no controlador da âncora do convidado que usa a conta do embaixador da entrada terá o acesso somente às funções de gerenciamento do usuário convidado.

Se há controladores múltiplos da âncora do convidado, um WCS ou os NC devem ser usados para configurar simultaneamente nomes de usuário em controladores múltiplos da âncora do convidado.

Para obter informações sobre de como criar contas do embaixador da entrada usando controladores do Wireless LAN, refira a criação de uma seção do embaixador Explicar da entrada do manual de configuração do controlador de LAN do Cisco Wireless, a liberação 7,0.

Q. Podem os convidados ser autenticados com uma autenticação externa, uma autorização, e um server da contabilidade (AAA)?

A. Sim. Os pedidos de autenticação do convidado podem ser retransmitidos a um servidor de raio externo.

Q. Que ocorre quando um convidado entra?

A. Quando um convidado wireless entra através do portal da web, o controlador da âncora do convidado segura a autenticação executando estas etapas:

  1. O controlador da âncora do convidado verifica seu banco de dados local para ver se há o nome de usuário e senha, e se estam presente, as concessões alcançam.

  2. Se nenhuma credenciais do usuário esta presente localmente no controlador da âncora do convidado, o controlador da âncora do convidado verifica ajustes de configuração WLAN para ver se um server externo do RAIO foi configurado para o convidado WLAN. Em caso afirmativo, o controlador cria-o um pacote de solicitação de acesso do RAIO com o nome de usuário e senha e para a frente ao servidor Radius selecionado para a autenticação.

  3. Se nenhum servidor Radius específico foi configurado para o WLAN, o controlador verifica seus ajustes globais da configuração de servidor RADIUS. Todos os servidores de raio externos configurados com a opção para autenticar o “usuário de rede” serão perguntados com as credenciais do usuário convidado. Se não, se nenhum server tem o “usuário de rede” selecionado, e o usuário não foi autenticado com etapas 1 ou 2, a autenticação falhará.

Q. É possível saltar a autenticação de usuário convidado e indicar somente a opção da negação do Web page?

A. Sim. Uma outra opção de configuração do acesso wireless do convidado é contornear completamente a autenticação de usuário e permitir o acesso aberto. Contudo, pôde haver uma necessidade de apresentar uma página do Acceptable Use Policy e da negação aos convidados antes de conceder o acesso. A fim fazer isto, um convidado WLAN pode ser configurado para a transmissão da política da Web. Nesta encenação, um usuário convidado é reorientado a uma página do portal da web que contenha a informação da negação. A fim permitir a identificação do usuário convidado, o modo de passagem igualmente tem uma opção para um usuário incorporar um endereço email antes de conectar.

Q. Nós precisamos de ter o controlador da âncora do controlador remoto e do convidado no mesmo grupo da mobilidade?

A. Não. O controlador da âncora do convidado e o controlador remoto podem estar em Grupos de mobilidade separados.

Q. Se há mais de um convidado SSID, pode cada WLAN (SSID) ser dirigido a um portal original do Web page?

A. Sim. Todo o tráfego do convidado, em uns únicos ou WLAN múltiplos é reorientado a um Web page. Partindo da versão 4.2 ou mais recente WLC, cada WLAN pode ser dirigido a uma página original do portal da web. Refira o início de uma sessão, a falha no login, e as páginas de atribuição da saída pela seção WLAN do manual de configuração do controlador de LAN do Cisco Wireless, a liberação 7,0.

Q. Que é a funcionalidade do ajuste novo na liberação 7,0 WLC, WebAuth na falha do filtro do Mac?

A. Se um WLAN tem uma camada 2 (MAC-filtro) e mergulha a Segurança 3 (webauth-em-macfilter-falha) configurada, o cliente transporta-se ao estado de CORRIDA se qualquer um um é passado. E se falha a Segurança da camada 2 (MAC-filtro), o cliente é movido para mergulhar a Segurança 3 (webauth-em-macfilter-falha).

Q. O cliente opera-se corretamente se o navegador é configurado para o servidor proxy?

A. Antes da liberação 7,0, o cliente não poderia estabelecer uma conexão de TCP quando o servidor proxy foi configurado no navegador. Após a liberação 7,0, este apoio do servidor proxy de WebAuth é adicionado e o endereço IP de Um ou Mais Servidores Cisco ICM NT e a porta do servidor proxy podem ser configurados no controlador.

Q. Há um guia de distribuição para o acesso wireless do convidado?

A. Este é o link ao guia de distribuição:

Guia de distribuição: Acesso do convidado de Cisco usando o controlador de LAN do Cisco Wireless

Q. Há um Guia de Design para o acesso prendido e wireless do convidado?

A. Este é o link aos Guias de Design:

Serviços do acesso do convidado do Cisco Unified Wireless

Exemplo de Configuração de Acesso Convidado com Fio usando Cisco WLAN Controllers

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 107458