Sans fil : Contrôleurs de réseau local sans fil de la gamme Cisco 4400

Guide d'intégration des contrôleurs de réseau local sans fil (WLC) et de NAC Guest Server (NGS)

16 janvier 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (20 décembre 2015) | Commentaires


Contenu


Introduction

Ce document fournit des instructions pour intégrer le NAC Guest Server et les contrôleurs de réseau local sans fil.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Contrôleur LAN Sans fil de Cisco (WLC) 4.2.61.0

  • Catalyst 3560 avec la version 12.2(25)SEE2 de Ý IOS

  • Version 4.0.0.279 de Cisco ADU

  • Version 1.0 de NAC Guest Server

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Le Cisco NAC Guest Server est un ravitaillement et un système de rapports complets qui fournit l'accès au réseau provisoire pour des invités, des visiteurs, des sous-traitants, des consultants, ou des clients. Le serveur d'invité travaille à côté de l'appliance de Cisco NAC ou du contrôleur LAN Sans fil de Cisco, qui fournit le point captif de portail et d'application pour l'accès invité.

Le Cisco NAC Guest Server permet n'importe quel utilisateur avec des privilèges de créer facilement des comptes provisoires d'invité et de commanditer des invités. Le Cisco NAC Guest Server exécute la pleine authentification des sponsors, les utilisateurs qui créent des comptes d'invité, et permet à des sponsors pour fournir des détails de compte à l'invité par l'impression, l'email, ou le SMS. L'expérience entière, de la création de compte utilisateur à l'accès au réseau d'invité, est enregistrée pour l'audit et l'enregistrement.

Quand des comptes d'invité sont créés, ils provisioned chez le gestionnaire d'appareils de Cisco NAC (Clean Access Manager) ou sont enregistrés dans la base de données intégrée sur le Cisco NAC Guest Server. Quand vous utilisez la base de données intégrée du serveur d'invité, des périphériques d'accès de réseau externe, tels que le contrôleur LAN Sans fil de Cisco, peut authentifier des utilisateurs contre l'invité que le serveur avec l'authentification à distance se connectent le protocole de service d'utilisateur (RAYON).

Le Cisco NAC Guest Server provisions l'invité expliquent la durée spécifiée quand le compte est créé. Sur l'échéance du compte, le serveur d'invité supprime le compte directement du gestionnaire d'appareils de Cisco NAC ou envoie un message de RAYON qui informe le périphérique d'accès au réseau (NAD) de la quantité de temps valide qui demeure pour le compte avant que le NAD doive retirer l'utilisateur.

Le Cisco NAC Guest Server fournit la comptabilité essentielle d'accès au réseau d'invité par la fusion de la vérification rétrospective entière de la création de compte d'invité à l'utilisation d'invité du compte de sorte que des états puissent être exécutés par une interface de gestion centrale.

Concepts d'accès invité

Le Cisco NAC Guest Server se sert d'un certain nombre de termes pour expliquer les composants requis pour fournir l'accès invité.

Utilisateur d'invité

L'utilisateur d'invité est la personne qui a besoin d'un compte utilisateur pour accéder au réseau.

Sponsor

Le sponsor est la personne qui crée le compte utilisateur d'invité. Cette personne est souvent un employé de l'organisation qui fournit l'accès au réseau. Les sponsors peuvent être - 3 - les personnes spécifiques avec certains rôles, ou peuvent être n'importe quel employé qui peut authentifier contre un répertoire d'entreprise tel que la Microsoft Active Directory (AD).

Périphérique d'application de réseau

Ces périphériques sont les composants d'infrastructure réseau qui fournissent l'accès au réseau. Supplémentaire, les périphériques d'application de réseau poussent des utilisateurs d'invité à un portail captif, où ils peuvent écrire leurs détails de compte d'invité. Quand un invité entre son nom d'utilisateur et mot de passe provisoires, le périphérique d'application de réseau vérifie ces qualifications contre les comptes d'invité créés par le serveur d'invité.

Serveur d'invité

C'est le Cisco NAC Guest Server, qui attache ensemble toutes les parties d'accès invité. Le serveur d'invité joint ces derniers ensemble : le sponsor qui crée le compte d'invité, les détails de compte a passé à l'invité, à l'authentification d'invité contre le périphérique d'application de réseau, et à la vérification du périphérique d'application de réseau de l'invité avec le serveur d'invité. Supplémentaire, le Cisco NAC Guest Server consolide l'information de comptabilité des périphériques d'application de réseau pour fournir un seul point d'états d'accès invité.

La documentation détaillée sur NGS est disponible dans CCO.

http://www.cisco.com/en/US/docs/security/nac/guestserver/configuration_guide/10/nacguestserver.html

Aperçu de topologie de travaux pratiques

/image/gif/paws/107630/WLC_NGS-1.gif

Configurez le contrôleur LAN Sans fil (WLC)

Suivez ces étapes pour configurer le WLC :

  1. Initialisez le contrôleur et le Point d'accès.

  2. Configurez les interfaces de contrôleur.

  3. Configurez le RAYON.

  4. Configurez les configurations WLAN.

Initialisation

Pour la configuration initiale, utilisez une connexion de console comme le HyperTerminal et suivez les demandes d'installation pour remplir procédure de connexion et informations d'interface. La commande de système de remise initie également ces demandes.

Welcome to the Cisco Wizard Configuration Tool
Use the '-' character to backup
System Name [Cisco_44:36:c3]: WLC
Enter Administrative User Name (24 characters max): admin
Enter Administrative Password (24 characters max): admin
Service Interface IP Address Configuration [none][DHCP]: <ENTER>
Enable Link Aggregation (LAG) [yes][NO]:no
Management Interface IP Address: 10.10.51.2
Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 10.10.51.1
Management Interface VLAN Identifier (0 = untagged): 0
Management Interface Port Num [1 to 2]: 1
Management Interface DHCP Server IP Address: 10.10.51.1
AP Transport Mode [layer2][LAYER3]: layer3
AP Manager Interface IP Address: 10.10.51.3
AP-Manager is on Management subnet, using same values
AP Manager Interface DHCP Server (10.10.5<X>.1):<ENTER>
Virtual Gateway IP Address: 1.1.1.1
Mobility/RF Group Name: mobile-1
Enable Symmetric Mobility Tunneling: No
Network Name (SSID): wireless-1
Allow Static IP Addresses [YES][no]:<ENTER>
Configure a RADIUS Server now? [YES][no]:<ENTER>
Enter the RADIUS Server's Address: 10.1.1.12
Enter the RADIUS Server's Port [1812]:<ENTER>
Enter the RADIUS Server's Secret: cisco
Enter Country Code (enter 'help' for a list of countries) [US]:<ENTER>
Enable 802.11b Network [YES][no]:<ENTER>
Enable 802.11a Network [YES][no]:<ENTER>
Enable 802.11g Network [YES][no]:<ENTER>
Enable Auto-RF [YES][no]:<ENTER>
Configure a NTP server now? [YES][no]: no
Configure the system time now? [YES][no]: yes
Enter the date in MM/DD/YY format: mm/dd/yy
Enter the time in HH:MM:SS format: hh:mm:ss

Cisco NAC Guest Server

Le Cisco NAC Guest Server est une solution de ravitaillement et d'enregistrement qui fournit l'accès au réseau provisoire aux clients tels que des invités, des sous-traitants, etc. Le Cisco NAC Guest Server fonctionne avec les solutions d'appareils de réseau sans fil unifié Cisco ou de Cisco NAC. Ce document marche vous par les étapes pour intégrer le Cisco NAC Guest Server avec un Cisco WLC, qui crée un compte utilisateur d'invité et vérifie l'accès au réseau provisoire de l'invité.

Suivez ces étapes pour se terminer l'intégration :

  1. Ajoutez le Cisco NAC Guest Server en tant que serveur d'authentification dans le WLC.

    1. Parcourez à votre WLC (https://10.10.51.2, admin/admin) pour configurer ceci.

    2. Choisissez le Security > Radius > Authentication.

      /image/gif/paws/107630/WLC_NGS-2.gif

    3. Choisissez nouveau.

    4. Ajoutez l'adresse IP (10.1.1.14) pour le Cisco NAC Guest Server.

    5. Ajoutez le secret partagé.

    6. Confirmez le secret partagé.

      WLC_NGS-3.gif

    7. Choisissez s'appliquent.

      WLC_NGS-4.gif

  2. Ajoutez le Cisco NAC Guest Server en tant que serveur de comptabilité dans le WLC.

    1. Choisissez la Sécurité > le RAYON >Accounting.

      /image/gif/paws/107630/WLC_NGS-5.gif

    2. Choisissez nouveau.

    3. Ajoutez l'adresse IP (10.1.1.14) pour le Cisco NAC Guest Server.

    4. Ajoutez le secret partagé.

    5. Confirmez le secret partagé.

      WLC_NGS-6.gif

    6. Choisissez s'appliquent.

      WLC_NGS-7.gif

  3. Modifiez le WLAN (radio-x) pour utiliser le NAC Guest Server.

    1. Éditez le WLAN (radio-x).

    2. Choisissez l'onglet Sécurité.

    3. Changez le degré de sécurité de la couche 2 à aucun et posez la Sécurité 3 pour utiliser l'authentification Web.

      /image/gif/paws/107630/WLC_NGS-8.gif

    4. Choisissez les serveurs d'AAA sous l'onglet Sécurité.

    5. Sous la case du serveur 1, choisissez le serveur de RAYON (10.1.1.14).

    6. Sous la case du serveur 1, choisissez le serveur de comptabilité (10.1.1.14).

      /image/gif/paws/107630/WLC_NGS-9.gif

    7. Choisissez le l'onglet Avancé.

    8. Allow AAA Override d'enable. Ceci permet par délai d'attente de session de client à placer de l'appliance d'invité NAC.

      /image/gif/paws/107630/WLC_NGS-10.gif

      Remarque: Quand le dépassement d'AAA est activé sur le SSID, la vie restante de l'utilisateur d'invité sur NGS est poussée au WLC comme délai d'attente de session au moment de la procédure de connexion de l'utilisateur d'invité.

    9. Choisissez s'appliquent pour sauvegarder votre configuration WLAN.

      /image/gif/paws/107630/WLC_NGS-11.gif

  4. Vérifiez si le contrôleur est ajouté en tant que client RADIUS dans le Cisco NAC Guest Server.

    1. Parcourez au NAC Guest Server (https://10.1.1.14/admin) pour configurer ceci.

      Remarque: Vous obtenez la page de gestion si vous spécifiez /admin dans l'URL.

      /image/gif/paws/107630/WLC_NGS-12.gif

    2. Choisissez les clients RADIUS.

    3. Choisissez ajoutent le rayon.

    4. Écrivez les informations de client RADIUS :

      • Écrivez un nom : Nom de système WLC.

      • Écrivez l'adresse IP : Adresse IP de WLC (10.10.51.2).

      • Entrez dans la même chose le secret partagé que vous avez écrit dans l'étape 1.

      • Confirmez votre secret partagé.

      • Écrivez une description.

      • Choisissez ajoutent le client RADIUS.

        /image/gif/paws/107630/WLC_NGS-13.gif

    5. Redémarrez le service RADIUS pour que les modifications les prennent effet.

    6. Choisissez les clients RADIUS.

    7. Choisissez la reprise dans la case de rayon de reprise.

      /image/gif/paws/107630/WLC_NGS-14.gif

  5. Créez un utilisateur local, c.-à-d., ambassadeur de lobby, dans le Cisco NAC Guest Server.

    1. Choisissez les utilisateurs locaux.

    2. Choisissez ajoutent l'utilisateur.

      Remarque: Vous devez compléter tous les champs.

    3. Écrivez un prénom : lobby.

    4. Écrivez un nom de famille : Ambassadeur.

    5. Écrivez le nom d'utilisateur : lobby.

    6. Entrez un mot de passe : mot de passe.

    7. Groupe de congé en tant que par défaut.

    8. Écrivez l'adresse e-mail : lobby@xyz.com.

    9. Choisissez ajoutent l'utilisateur.

      /image/gif/paws/107630/WLC_NGS-15.gif

  6. Ouvrez une session en tant qu'utilisateur local et créez un compte d'invité.

    1. Parcourez au NAC Guest Server (https://10.1.1.14), procédure de connexion avec le nom d'utilisateur/mot de passe que vous avez créé dans l'étape 5, et configurent ceci :

      /image/gif/paws/107630/WLC_NGS-16.gif

    2. Choisissez créent pour un compte utilisateur d'invité.

      Remarque: Vous devez compléter tous les champs.

    3. Écrivez un prénom.

    4. Écrivez un nom de famille.

    5. Entrez dans la société.

    6. Écrivez l'adresse e-mail.

      Remarque: L'adresse e-mail est le nom d'utilisateur.

    7. Écrivez l'extrémité de compte : Temps.

    8. Choisissez ajoutent l'utilisateur.

      /image/gif/paws/107630/WLC_NGS-17.gif

  7. Connectez au WLAN invité et à la procédure de connexion en tant qu'utilisateur d'invité.

    1. Connectez votre client sans fil au WLAN invité (radio-x).

    2. Ouvrez le navigateur Web à réorienter à la page de connexion de Web-Auth.

      Remarque: Alternativement, type https://1.1.1.1/login.html à réorienter à la page de connexion.

    3. Écrivez le nom d'utilisateur d'invité que vous avez créé dans l'étape 6.

    4. Entrez le mot de passe qui automatique-a été généré dans l'étape 6.

    5. Le telnet au WLC et vérifient que la Session Timeout a été placée avec l'ordre de show client detail.

    6. Quand la Session Timeout expire, le client d'invité est déconnecté, et vos arrêts de ping.

      WLC_NGS-18.gif

Remarque: Afin d'installer l'authentification Web du contrôleur LAN de Wireleass, WLC au NAC Guest Server (NGS), vous devez utiliser l'authentification de mode PAP sur les propriétés de Web-auth. Si la stratégie d'authentification Web est placée POUR GERCER, l'authentification échoue parce que le CHAP n'est pas pris en charge avec NGS.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 107630