无线 : 思科 4400 系列无线局域网控制器

无线访客接入常见问题

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


问题


简介

本文档提供有关 Cisco 统一无线网络中的无线访客接入功能的最常见问题 (FAQ) 的信息。

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

Q. 什么是连接非安全网络区域的 Ethernet over IP (EoIP) 隧道?

A. Cisco 建议为访客流量使用一个专用控制器。此控制器称为访客锚点控制器。

访客锚点控制器通常位于非安全网络区域中,通常也称为隔离区 (DMZ)。流量所来自的其他内部 WLAN 控制器位于企业 LAN 中。EoIP 隧道是在内部 WLAN 控制器与访客锚点控制器之间建立的,旨在确保将访客流量与企业数据流量进行路径隔离。路径隔离是访客接入的一种重要安全管理功能。它确保能够单独设置安全和服务质量 (QoS) 策略,并且能够针对访客流量和公司或内部流量进行区分。

Cisco 统一无线网络架构的一项重要功能就是能够使用 EoIP 隧道将一个或多个所配置的 WLAN(即 SSID)映射到网络中的特定访客锚点控制器。与所映射的 WLAN 之间的所有往来流量都将流经在远程控制器与访客锚点控制器之间建立的静态 EoIP 隧道。

使用这种技术,可以透明地将所有关联的访客流量通过企业网络传输至非安全区域中的访客锚点控制器。

Q. 如何选择正确的控制器以部署为访客锚点控制器?

A. 访客锚点控制器的选择是由活动的访客客户端会话数和/或控制器上的上行链路接口容量定义的访客流量的函数。

每个访客锚点控制器的总吞吐量和客户端限制如下所示:

  • Cisco 2504无线局域网控制器– 4 * 1 Gbps接口和1000个访客客户端

  • Cisco 5508无线局域网控制器(WLC) – 8 Gbps和7,000个访客客户端

  • Cisco Catalyst 6500系列无线服务模块(WiSM-2) – 20 Gbps和15,000个客户端

  • Cisco 8500无线局域网控制器(WLC) – 10 Gbps和64,000个客户端

注意: Cisco 7500 WLCs不可能配置作为访客锚点控制器。参考什么控制器可以用于支持访客访问在非安全网络区域?支持访客锚点功能WLCs的列表。

每个控制器的数据库中最多可存储 2048 个访客用户名和口令。因此,如果活动访客凭证的总数超出此数值,将需要多个控制器。或者,访客凭证也可以存储在外部 RADIUS 服务器上。

网络中的接入点数并不影响访客锚点控制器的选择。

Q. 在访客锚点控制器上可以有多少个 Ethernet over IP (EoIP) 隧道终端?

A. 一个访客锚点控制器最多可以有 71 个来自内部 WLAN 控制器的 Ethernet over IP (EoIP) 隧道终端。此产能是相同的在Cisco无线LAN控制器的所有型号间除了WLC- 2504的。2504控制器能终止15个EoIP通道。如果需要附加隧道,可以配置多个访客锚点控制器。

EoIP 隧道按每个 WLAN 控制器计数,与每个 EoIP 中隧道连接的 WLAN 数或安全集标识符 (SSID) 数无关。

在访客锚点控制器与支持带有访客客户端关联的接入点的每个内部控制器之间配置一个 EoIP 隧道。

Q. 能否在运行不同软件版本的控制器之间创建 Ethernet over IP (EoIP) 隧道?

A. 并非所有无线局域网控制器软件版本都支持此行为。这种情况下,远程控制器和锚点控制器应运行相同版本的 WLC 软件。但是,最近的软件版本确实支持远程控制器和锚点控制器具有不同的版本。

下表列出了可以创建 Ethernet over IP (EoIP) 隧道的无线局域网控制器软件版本。

http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/107458-wga-faq-01.gif

Q. Cisco 2100/2500系列无线局域网控制器能使用作为访客锚点控制器在非安全网络区域?

A. 是,开始Cisco Unified无线网络软件版本7.4, Cisco 2500系列无线局域网控制器能终止(15个EoIP通道)访客流量防火墙的外部。Cisco 2000 系列无线局域网控制器只能作为访客隧道的源头。

Q. 集成服务路由器的Cisco无线LAN控制器模块(WLCM或WLCM2)能使用作为访客锚点控制器在非安全网络区域?

A. 不, WLCM或者WLCM2不能终止访客通道。WLCM 只能作为访客隧道的源头。

Q. 哪些控制器可用来支持非安全网络区域中的访客接入?

A. 包括EoIP隧道终止、Web访客客户端验证和访问控制,有版本4.0或以上软件镜像的这些Cisco无线LAN控制器平台支持访客通道锚点功能:

  • Cisco Catalyst 6500系列无线服务模块(WiSM2)

  • 思科WiSM-2系列无线局域网控制器

  • Cisco Catalyst 3750G集成无线局域网控制器

  • Cisco 5508系列无线局域网控制器

  • Cisco 2500系列无线局域网控制器(在软件版本7.4介绍的支持)

Q. 如果在防火墙之外使用访客锚点控制器,需要为访客接入打开哪些防火墙端口?

A. 在访客锚点控制器与远程控制器之间的任何防火墙上,需要打开以下端口:

  • 用于用户数据流量的 IP 协议 97

  • 通道控制流量的UDP波尔特

对于可选管理,需要打开以下防火墙端口:

  • SSH/Telnet — TCP 端口 22/23

  • TFTP — UDP 端口 69

  • NTP — UDP 端口 123

  • SNMP — UDP 端口 161(获取和设置)与 162(陷阱)

  • HTTPS/HTTP — TCP 端口 443/80

  • Syslog — TCP 端口 514

  • RADIUS验证/帐户UDP波尔特1812和1813

Q. 在配置了网络地址转换 (NAT) 的情况下访客流量能否通过防火墙?

A. 必须为通过防火墙的 EoIP 隧道使用一对一 NAT。

Q. 在“锚点 - 外部 WLC”方案中,哪个 WLC 将发送 RADIUS 记帐?

A. 在此方案中,始终由锚点 WLC 进行身份验证。因此,RADIUS 记帐将由锚点 WLC 发送。

Q. 内部控制器与锚点控制器之间的访客隧道出现故障。我在 WLC 中看到以下日志:mm_listen.c:5373 MM-3-INVALID_PKT_RECVD :Received an invalid packet from 10. 40.220.18.来源member:0.0.0.0来源成员未知。为什么?

A. 请在 WLAN 页面上的 WLC GUI 中检查隧道状态。单击 WLAN 旁边的下拉框并选择 Mobility Anchors,其中包含控制和数据路径的状态。该错误消息是由以下原因之一造成的:

  1. 锚点和内部控制器的代码版本不同。请确保它们运行相同的代码版本。

  2. 移动锚点配置中的配置错误。请检查以确保 DMZ 本身配置为移动锚点并且内部 WLC 的 DMZ WLC 配置与该移动锚点相同。关于如何配置移动性锚点的更多信息,参考Cisco无线LAN控制器配置指南的配置的自动锚点移动性部分,版本7.0。这会导致访客用户无法传递流量。

Q. 在无线访客访问设置,客户端不收到从DHCP服务器的IP地址。星期四简22 16:39:09 2009年:XX : XX : XX : XX : XX : XX下降回复的DHCP从出口外国STA错误消息出现在内部控制器。为什么?

A. 在一个无线访客访问设置,在访客锚点控制器的DHCP代理设置和内部控制器必须配比。从客户端的DHCP请求丢弃,并且您看到在内部控制器的此错误消息:

Thu Jan 22 16:39:09 2009: XX:XX:XX:XX:XX:XX  DHCP dropping REPLY from Export-Foreign STA

请使用此命令为了更改在WLC的dhcp代理设置:

(Cisco Controller) >config dhcp proxy ?

enable         Enable DHCP processing's proxy style behaviour.
disable        Disable DHCP processing's proxy style behaviour.

请使用show dhcp代理on命令两个控制器为了验证两个控制器有同一DHCP代理设置。

(Cisco Controller) >show dhcp proxy

DHCP Proxy Behaviour: enabled

(Cisco Controller) >

Q. 如果访客流量通过隧道传输至非安全网络区域,那么访客客户端从哪里获取 IP 地址?

A. 访客流量是在第 3 层通过 EoIP 在企业内传输的。因此,动态主机配置协议 (DHCP) 服务的第一点可以在访客锚点控制器上本地实现,或者,访客锚点控制器可以将 DHCP 请求中继至外部服务器。这也是处理域名系统 (DNS) 地址解析的方法。

Q. Cisco 无线局域网控制器是否支持用于访客身份验证的 Web 门户?

A. Cisco 无线局域网控制器软件版本 3.2 或更高版本提供了一个内置 Web 门户,可捕获用于身份验证的访客凭证并提供简单的标记功能,还能够显示免责声明和可接受的使用策略信息。

Q. 如何自定义 Web 门户?

A. 有关如何自定义 Web 门户的信息,请参阅选择 Web 身份验证登录页

Q. 如何管理访客凭证?

A. 访客凭证可以在中央创建和管理使用思科无线控制系统(WCS)版本7.0和或网络控制系统(NCS) Ver 1.0。网络管理员可以在 WCS 中建立有限权限的管理帐户,允许进行“接待大使”访问以创建访客凭证。在WCS或NCS,有大厅大使帐户的人能为控制器服务创建,分配,监控和删除访客凭证作为访客锚点控制器。

接待大使可以输入访客用户名(或 ID)和口令,也可以自动生成凭证。还有一个全局配置参数,允许为所有访客使用一个用户名和口令,或者为每个访客使用唯一的用户名和口令。

为了配置在WCS的大厅大使帐户,参考思科无线控制系统配置指南的创建的来宾用户用户帐号部分,版本7.0

Q. 除无线控制系统(WCS)或NCS之外,在Cisco无线LAN的大厅大使功能联机是否是控制器?

A. 可以。如果WCS或NCS没有部署,网络管理员能设立在访客锚点控制器的一个大厅大使帐户。使用接待大使帐户登录访客锚点控制器的用户只能访问访客用户管理功能。

如果有多个访客锚点控制器,必须用于WCS或NCS同时配置在多个访客锚点控制器的用户名。

使用无线局域网控制器,关于如何创建大厅大使帐户的信息,参考创建Cisco无线LAN控制器配置指南的大厅大使帐户部分,版本7.0

Q. 能否使用外部身份验证、授权和记帐 (AAA) 服务器对访客进行身份验证?

A. 可以。可以将访客身份验证请求中继至外部 RADIUS 服务器。

Q. 当访客登录时将发生什么情况?

A. 当无线访客通过 Web 门户登录时,访客锚点控制器将通过执行以下步骤处理身份验证:

  1. 访客锚点控制器将检查其本地数据库中的用户名和口令,如果存在,则允许访问。

  2. 如果访客锚点控制器上不存在本地用户凭证,访客锚点控制器将检查 WLAN 配置设置以查看是否为访客 WLAN 配置了外部 RADIUS 服务器。如果进行了配置,控制器将创建一个包含用户名和口令的 RADIUS 接入请求包并将其转发给所选的 RADIUS 服务器进行身份验证。

  3. 如果没有为 WLAN 配置特定 RADIUS 服务器,控制器将检查其全局 RADIUS 服务器配置设置。这时将使用访客用户的凭证查询任何配置了对“网络用户”进行身份验证选项的外部 RADIUS 服务器。否则,如果没有服务器选择“网络用户”,并且用户未通过步骤 1 或 2 进行身份验证,则身份验证将失败。

Q. 能否跳过访客用户身份验证并只显示网页免责声明选项?

A. 可以。无线访客接入的另一个配置选项是绕过用户身份验证并允许开放式接入。但是,在允许接入之前可能需要为访客提供可接受的使用策略和免责声明页。为此,可以为 Web 策略通过配置访客 WLAN。在此方案中,访客用户将重定向至包含免责声明信息的 Web 门户页面。为了标识访客用户的身份,通过模式还有一个选项,可使用户在连接之前输入电子邮件地址。

Q. 远程控制器和访客锚点控制器是否需要位于相同的移动组中?

A. 不能。访客锚点控制器和远程控制器可以位于单独的移动组中。

Q. 如果有多个访客 SSID,能否将每个 WLAN (SSID) 定向到唯一的网页门户?

A. 可以。所有访客流量(位于一个或多个 WLAN 中)都将重定向到一个网页。在 WLC 版本 4.2 或更高版本中,可以将每个 WLAN 定向到唯一的 Web 门户页面。参考分配的洛金、登录失败和注销页每个Cisco无线LAN控制器配置指南的WLAN部分,版本7.0

Q. 什么是新设置的功能在WLC版本7.0的,在Mac过滤器失败的Webauth ?

A. 如果WLAN有(webauth在macfilter失败)配置的一Layer2 (MAC过滤器)和第3层安全,客户端移动向运转状态二者之一一个是否通过。并且,如果它失效第2层安全(MAC过滤器),客户端被迁移向第3层安全(webauth在macfilter失败)。

Q. 如果浏览器为代理服务器,配置客户端是否正常运行?

A. 在版本,当代理服务器在浏览器,配置7.0之前,客户端不可能建立TCP连接。在版本7.0以后,此Webauth代理服务器支持被添加,并且代理服务器IP地址和端口在控制器可以配置。

Q. 有没有无线访客接入的部署指南?

A. 下面是指向该部署指南的链接:

部署指南:使用 Cisco 无线局域网控制器的 Cisco 访客接入

Q. 有没有有线和无线访客接入的设计指南?

A. 下面是指向该设计指南的链接:

Cisco 统一无线访客接入服务

使用 Cisco WLAN 控制器的有线访客接入配置示例

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 107458