无线/移动 : "无线, LAN (WLAN)"

ACS版本5.2和WLC每WLAN身份验证配置示例的

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文提供配置示例限制对根据服务集标识(SSID)的无线局域网(WLAN)的每用户访问。

贡献用Brahadesh Srinivasaraghavan, Cisco TAC工程师。

先决条件

要求

Cisco 建议您了解以下主题:

  • 如何配置无线局域网控制器(WLC)和轻量级接入点(LAP)基本操作的
  • 如何配置思科安全访问控制服务器(ACS)
  • 轻量接入点协议 (LWAPP) 和无线安全方法

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 运行固件版本7.4.110的Cisco 5500系列WLC
  • Cisco 1142系列LAP
  • Cisco Secure ACS服务器版本5.2.0.26.11

配置

为了针对此设置配置设备,您需要:

  1. 需要为 WLC 配置两个 WLAN 和 RADIUS 服务器
  2. 配置 Cisco Secure ACS。
  3. 配置无线客户端并且验证配置。

配置 WLC

要配置 WLC 使用该设置,请完成以下步骤:

  1. 配置WLC为了转发用户凭证到外部RADIUS服务器。外部 RADIUS 服务器(在这种情况下是 Cisco Secure ACS)然后验证用户凭证并提供对无线客户端的访问权限。完成这些步骤:
    1. 选择从控制器GUI的Security>RADIUS验证为了显示RADIUS验证服务器页。

    2. 单击 New 以定义 RADIUS 服务器参数。

      这些参数包括 RADIUS 服务器的 IP 地址、共享密钥、端口号和服务器状态。网络用户和管理复选框确定基于RADIUS的验证是否申请管理和网络用户。此示例使用Cisco Secure ACS作为RADIUS服务器与IP地址10.104.208.56。

    3. 单击 Apply
  2. 完成这些步骤为了配置员工的一WLAN有SSID员工的和承包商的另一WLAN与SSID承包商
    1. 要创建 WLAN,请从控制器 GUI 中单击 WLANs。随即显示 WLAN 窗口。该窗口列出了控制器中配置的 WLAN。
    2. 要配置新的 WLAN,请单击 New
    3. 此示例创建名为Employee的WLAN,并且WLAN ID是1.单击应用

    4. 选择WLAN > Edit Window并且定义参数特定对WLAN :
      1. 从第2层安全选项卡,请选择802.1x。默认情况下,Layer 2 Security 选项为 802.1x。这启用WLAN的802.1 x/Extensible认证协议(EAP)认证。

      2. 从AAA服务器请选中,选择从下拉列表的适当的RADIUS服务器在RADIUS服务器下。可以根据 WLAN 网络的需要修改其他参数。单击 Apply

    5. 同样地,为了创建承包商的一WLAN,请重复步骤b至D。

配置 Cisco Secure ACS

在 Cisco Secure ACS 服务器上,您需要:

  1. 配置 WLC 作为 AAA 客户端。
  2. 创建用户数据库(凭证)基于SSID的验证的。
  3. 启用 EAP 认证。

在 Cisco Secure ACS 上完成以下步骤:

  1. 为了定义控制器作为ACS服务器的一个AAA客户端,请选择网络资源>网络设备和AAA客户端从ACS GUI。在网络设备和AAA客户端下,请单击创建。
  2. 当Network Configuration页出现时,请定义WLC的名称、IP地址和共享机密和认证方法(RADIUS)。

  3. 选择用户,并且标识存储>从ACS GUI的标识组。创建员工和承包商的各自的组并且单击创建。在本例中组创建被命名Employees。

  4. 选择用户,并且标识存储>内部标识存储。单击创建并且输入用户名。在正确组中安置他们,定义他们的密码,并且单击提交。在本例中在组员工命名的employee1用户创建。同样地,请创建用户被命名contractor1在组承包商下。

  5. 选择策略元素>网络状况>终端站过滤器。单击创建

    1. 输入一有意义的名称和在IP Address选项回车下WLC的IP地址。在本例中名称是员工和承包商。

    2. 在CLI/DNIS选项卡下,请留下CLI和- ANY并且进入DNIS作为*<SSID>。在本例中, DNIS字段进入作为*Employee,此端站点过滤器用于限制仅访问对雇员WLAN。DNIS 属性定义了允许用户访问的 SSID。WLC 将 DNIS 属性中的 SSID 发送到 RADIUS 服务器。
    3. 重复承包商终端站过滤器的同样步骤。

  6. 选择策略元素>授权和权限>网络访问>授权配置文件。应该有Permit访问的默认配置文件。

  7. 选择访问策略>Access Services>服务选择规则。点击自定义
    1. 添加所有适当的情况。此示例使用协议作为Radius作为匹配的情况。
    2. 单击创建。给出规则。选择协议并且选择Radius。
    3. 结果下,请选择适合的访问服务。在本例中,它被留下作为默认网络网络访问。

  8. 选择访问策略>Access Services>默认网络网络访问>标识。选择单个结果选择和标识来源作为内部用户。

    1. 选择访问策略>Access Services>默认网络网络访问>授权。  点击自定义并且添加定制的条件。此示例使用标识组, NDG :设备类型和终端站过滤器按该顺序。

    2. 单击创建。给出规则并且选择适合的标识组在所有组下。在本例中它是员工。

    3. 点击雇员结尾Stn过滤器单选按钮或输入您在“配置WLC”部分的Step1b输入的名称。

    4. 检查Permit访问检查复选框。

    5. 为承包商规则重复上面同样步骤。保证默认操作是拒绝访问

      一旦完成步骤e,您的规则如下所示:示例:

这推断配置。在此部分以后,客户端需要相应地配置以SSID和安全参数为了连接。

验证

当前没有可用于此配置的验证过程。

故障排除

目前没有针对此配置的故障排除信息。



Document ID: 118661