Беспроводные сети / Мобильные решения : Безопасность беспроводных сетей

Пример настройки ограничения доступа к WLAN на основе SSID с WLC и Cisco Secure ACS

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (20 декабря 2015) | Отзыв


Содержание


Введение

Этот документ содержит пример конфигурации для индивидуального ограничения доступа пользователей к сети WLAN на основе идентификаторов наборов служб (SSID).

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

  • Знание того, как настроить Контроллер беспроводной локальной сети (WLC) и облегченную точку доступа (LAP) для главной операции

  • Базовые знания о том, как настроить сервер Cisco Secure Access Control Server (ACS)

  • Знание Протокола LWAPP и методов безопасности беспроводной связи

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Cisco WLC серии 2000, который выполняет микропрограммное обеспечение 4.0

  • LAP серии 1000 Cisco

  • Версия сервера 3.2 Cisco Secure ACS

  • Адаптер беспроводного клиента Cisco 802.11a/b/g, который выполняет микропрограммное обеспечение 2.6

  • Версия 2.6 Утилиты Cisco Aironet Desktop Utility (ADU)

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Общие сведения

С использованием основанного на SSID доступа WLAN пользователи могут быть заверены на основе SSID, который они используют для соединения с WLAN. Сервер Cisco Secure ACS используется для аутентификации пользователей. Аутентификация происходит на двух этапах на Cisco Secure ACS:

  1. Аутентификация EAP

  2. Аутентификация SSID на основе Ограничений доступа к сети (NAR) на Cisco Secure ACS

Если EAP и основанная на SSID аутентификация успешны, пользователю разрешают обратиться к WLAN, или иначе пользователь разъединен.

Cisco Secure ACS использует функцию NAR для ограничения пользовательского доступа на основе SSID. NAR является определением, которое вы делаете в Cisco Secure ACS дополнительных условий, которые нужно соблюдать, прежде чем пользователь может обратиться к сети. Cisco Secure ACS применяет эти условия с помощью информации от атрибутов, передаваемых клиентами AAA. Несмотря на то, что существует несколько способов, которыми можно установить NAR, они все на основе соответствующей информации об атрибутах, передаваемой клиентом AAA. Поэтому необходимо понять формат и содержание атрибутов, которые передают клиенты AAA, если вы хотите использовать эффективные NAR.

Когда вы устанавливаете NAR, можно выбрать, работает ли фильтр положительно или негативно. Т.е. в NAR вы задаете, permit ли or deny доступ к сети, на основе сравнения информации, передаваемой от клиентов AAA к информации, хранившей в NAR. Однако, если NAR не встречается с достаточными сведениями для работы, это не выполняет своих обязательств к запрещенному доступу.

Можно определить NAR для и применить его к, определенный пользователь или группа пользователей. Сошлитесь на Описание технологических решений Ограничений доступа к сети для получения дополнительной информации.

Cisco Secure ACS поддерживает два типа фильтров NAR:

  1. На основе IP фильтры — на основе IP NAR фильтруют предельный доступ, основанный на IP-адресах клиента конечного пользователя и клиента AAA. Обратитесь к приблизительно на основе IP Фильтрам NAR для получения дополнительной информации об этом типе фильтра NAR.

  2. Нена основе IP фильтры — нена основе IP NAR фильтруют предельный доступ, основанный на сравнении простой строки значения, передаваемого от клиента AAA. Значение может быть количеством ID вызывающей линии (CLI), количеством Сервиса идентификации набранного номера (DNIS), MAC-адресом или другим значением, которое происходит от клиента. Для этого типа NAR для работы значение в описании NAR должно точно совпасть с тем, что передается от клиента, включая любой формат используется. Например, (217) 555-4534 не совпадает 217-555-4534. Обратитесь к приблизительно нена основе IP Фильтрам NAR для получения дополнительной информации об этом типе фильтра NAR.

Этот документ использует нена основе IP фильтры, чтобы сделать основанную на SSID аутентификацию. Нена основе IP фильтр NAR (т.е. фильтр NAR DNIS/CLI-based) являются списком разрешенных или Denied Calling/Point of Access Locations, который можно использовать в ограничении клиента AAA, когда у вас нет установленного на основе IP соединением. Нена основе IP функция NAR обычно использует количество CLI и Набранный номер. Существуют исключения в использовании полей DNIS/CLI. Можно ввести имя SSID в поле DNIS и сделать основанную на SSID аутентификацию. Это вызвано тем, что WLC передает в атрибуте DNIS, названии SSID, к серверу RADIUS. Поэтому при построении NAR DNIS или в пользователе или в группе можно создать ограничения SSID для каждого пользователя.

При использовании RADIUS поля NAR перечислили здесь использование эти значения:

  • Клиент AAA — IP-АДРЕС NAS (приписывают 4) или, если IP-АДРЕС NAS не существует, идентификатор NAS (атрибут RADIUS 32), используется.

  • Порт — Порт NAS (приписывают 5) или, если порт NAS не существует, NAS-port-ID (приписывают 87) используется.

  • CLI — calling-station-ID (приписывают 31) используется.

  • DNIS — вызванный идентификатор станции (приписывают 30) используется.

Обратитесь к Ограничениям доступа к сети для получения дополнительной информации об использовании NAR.

Так как WLC передает в атрибуте DNIS и названии SSID, можно создать ограничения SSID для каждого пользователя. В случае WLC поля NAR имеют эти значения:

  • Клиент AAA — IP-адрес WLC

  • порт —*

  • CLI —*

  • DNIS — *ssidname

Оставшаяся часть этого документа предоставляет пример конфигурации о том, как выполнить это.

Настройка сети

В настройке данного примера WLC зарегистрирован к LAP. Используются два WLAN. Один WLAN для Пользователей административного отдела, и другой WLAN для пользователей Отдела продаж. Беспроводной клиент A1 (пользователь Admin) и S1 (Пользователь продаж) соединяется с беспроводной сетью. Необходимо настроить WLC и сервер RADIUS таким способом, которым пользователем Admin A1 в состоянии обратиться только к Admin WLAN и является ограниченным доступом к Продажам WLAN, и пользовательский S1 Продаж должен быть в состоянии обратиться к Продажам WLAN и должен иметь ограниченный доступ Admin WLAN. Все пользователи используют Аутентификацию LEAP в качестве метода аутентификации Уровня 2.

Примечание: Этот документ предполагает, что WLC зарегистрирован к контроллеру. Если вы плохо знакомы с WLC и не знаете, как настроить WLC для главной операции, обратитесь к регистрации облегченных точек доступа к Контроллеру беспроводной локальной сети (WLC).

/image/gif/paws/71811/wlan-ssid-wlc-acs-network.gif

Настройка

Для настройки устройств для этой настройки вы должны:

  1. Настройте WLC для этих двух WLAN и сервера RADIUS.

  2. Настройте Cisco Secure ACS.

  3. Настройте беспроводных клиентов и проверьте.

Настройте WLC

Выполните эти шаги для настройки WLC для этой настройки:

  1. WLC должен быть настроен для передачи учетных данных пользователя внешнему серверу RADIUS. Внешний сервер RADIUS (Cisco Secure ACS в этом случае) тогда проверяет учетные данные пользователя и предоставляет доступ к беспроводным клиентам. Выполните следующие действия:

    1. Выберите Security> RADIUS Authentication от графического интерфейса контроллера для показа страницы RADIUS Authentication Servers.

      wlan-ssid-wlc-acs-1.gif

    2. Нажмите New для определения параметров сервера RADIUS.

      В их числе: RADIUS Server IP Address, Shared Secret, Port Number и Server Status. С помощью флажков Network User и Management можно определить, применяется ли аутентификация на основе сервера RADIUS для управления и сетевых пользователей. Данный пример использует Cisco Secure ACS в качестве сервера RADIUS с IP-адресом 172.16.1.60.

      wlan-ssid-wlc-acs-2.gif

    3. Нажмите кнопку Apply.

  2. Настройте один WLAN для Административного отдела с Admin SSID и другой WLAN для Отдела продаж с Продажами SSID. Для этого выполните следующие действия:

    1. Нажмите WLANs в графическом интерфейсе контроллера для создания WLAN. Откроется окно WLAN. В данном окне находится список сетей WLAN, настроенных на контроллере.

    2. Нажмите New для настройки новой WLAN.

      Данный пример создает WLAN под названием Admin для Административного отдела, и ИДЕНТИФИКАТОР WLAN равняется 1. Нажмите кнопку Apply.

      wlan-ssid-wlc-acs-3.gif

    3. В окне WLAN > Edit укажите параметры сети:

      1. От ниспадающего меню безопасности уровня 2 выберите 802.1x. Параметр обеспечения безопасности уровня 2 установлен на 802.1x по умолчанию. Это включает 802.1X/¦утентихик¦цию EAP для WLAN.

      2. В соответствии с общей политикой, установите флажок замены AAA. Когда Замена AAA включена, и у клиента есть конфликтный AAA и параметры аутентификации WLAN контроллера, аутентификация клиента выполнена AAA-сервером.

      3. Выберите соответствующий сервер RADIUS от ниспадающего меню под серверами RADIUS. Другие параметры могут быть изменены на основе требования сети WLAN. . Нажмите кнопку Apply.

        /image/gif/paws/71811/wlan-ssid-wlc-acs-4.gif

    4. Точно так же для создания WLAN для Отдела продаж, повторите шаги b и c. Вот снимки экрана.

      wlan-ssid-wlc-acs-5.gif

      wlan-ssid-wlc-acs-6.gif

Настройте Cisco Secure ACS

На сервере Cisco Secure ACS вы должны:

  1. Настройте WLC как клиента AAA.

  2. Создайте Базу данных пользователей и определите NAR для основанной на SSID аутентификации.

  3. Включите Аутентификацию eap.

Выполните эти шаги на Cisco Secure ACS:

  1. Для определения контроллера как клиент AAA на сервере ACS нажмите Network Configuration от GUI ACS. При клиентах AAA щелкают по Add Entry.

    wlan-ssid-wlc-acs-7.gif

  2. Когда страница Network Configuration появится, определите название WLC, IP-адреса, общего секретного ключа и метода аутентификации (RADIUS Airespace Cisco).

    /image/gif/paws/71811/wlan-ssid-wlc-acs-8.gif

  3. Нажмите User Setup от GUI ACS, введите имя пользователя и нажмите Add/Edit. В данном примере пользователь является A1.

  4. Когда откроется страница User Setup, определите все параметры, которые относятся к данному пользователю. В данном примере настроены имя пользователя, пароль и Дополнительные Сведения о пользователе, потому что вы требуете этих параметров для Аутентификации LEAP.

    /image/gif/paws/71811/wlan-ssid-wlc-acs-9.gif

  5. Прокрутите страницу User Setup вниз, пока вы не будете видеть раздел Ограничений доступа к сети. Под Интерфейсом пользователя Ограничения DNIS/еоступ¦ CLI выберите Permitted Calling / Точка Местоположений Доступа и определите эти параметры:

    • Клиент AAA — IP-адрес WLC (172.16.1.30 в нашем примере)

    • Порт —*

    • CLI —*

    • DNIS — *ssidname

  6. Атрибут DNIS определяет SSID, к которому пользователю разрешают обратиться. WLC передает SSID в атрибуте DNIS к серверу RADIUS.

    Если пользователь должен обратиться только к WLAN под названием Admin, войдите *Admin для поля DNIS. Это гарантирует, что у пользователя есть доступ только к WLAN под названием Admin. Нажмите Enter.

    Примечание: SSID нужно всегда предшествовать с *. Это является обязательным.

    /image/gif/paws/71811/wlan-ssid-wlc-acs-10.gif

  7. Нажать кнопку submit.

  8. Точно так же создайте пользователя для пользователя Отдела продаж. Вот снимки экрана.

    /image/gif/paws/71811/wlan-ssid-wlc-acs-11.gif

    wlan-ssid-wlc-acs-20.gif

  9. Повторите тот же процесс для добавления большего количества пользователей к базе данных.

    Примечание: По умолчанию все пользователи объединяются в группу по умолчанию. Если вы хотите назначить определенных пользователей на различные группы, обратитесь к Разделу управления Группы пользователей Руководства пользователя для Cisco Secure ACS для Windows Server 3.2.

    Примечание: Если вы не видите раздел Ограничений доступа к сети в окне User Setup, это могло бы быть, потому что это не включено. Для включения Ограничений доступа к сети для пользователей выберите Interfaces> Advanced Options от GUI ACS, выберите User-Level Network Access Restrictions и нажмите Submit. Это включает NAR и появляется в окне User Setup.

    /image/gif/paws/71811/wlan-ssid-wlc-acs-12.gif

    /image/gif/paws/71811/wlan-ssid-wlc-acs-10.gif

  10. Для включения Аутентификации eap нажмите System Configuration и Global Authentication Setup, чтобы гарантировать, что сервер проверки подлинности настроен для выполнения требуемого метода аутентификации EAP.

    Под EAP параметры конфигурации выбирают соответствующий метод EAP. В данном примере используется аутентификация LEAP. По завершении нажмите Submit.

    /image/gif/paws/71811/wlan-ssid-wlc-acs-13.gif

Настройте беспроводного клиента и проверьте

Этот раздел позволяет убедиться, что конфигурация работает правильно. Попытайтесь привязать беспроводного клиента к LAP с помощью Аутентификации LEAP, чтобы проверить, работает ли конфигурация как ожидалось.

Примечание: В данном документе предполагается, что профиль клиента настроен для аутентификации LEAP. Обратитесь к Использованию Аутентификации eap для получения информации о том, как настроить адаптер беспроводного клиента a/b/g 802.11 для Аутентификации LEAP.

Примечание: От ADU вы видите настройку двух клиентских профилей. Один для Пользователей административного отдела с Admin SSID и другим профилем для пользователей Отдела продаж с Продажами SSID. Оба профиля настроены для Аутентификации LEAP.

/image/gif/paws/71811/wlan-ssid-wlc-acs-14.gif

Когда профиль для пользователя беспроводной связи от Административного отдела активирован, пользователя просят ввести имя пользователя для Аутентификации LEAP. Например:

wlan-ssid-wlc-acs-15.gif

LAP и затем WLC передают учетные данные пользователя внешнему серверу RADIUS (Cisco Secure ACS) для проверки учетных данных. WLC передает учетные данные включая атрибут DNIS (название SSID) к серверу RADIUS для проверки.

Сервер RADIUS проверяет учетные данные пользователя путем сравнения данных с базой данных пользователей (и NAR) и предоставляет доступ к беспроводному клиенту каждый раз, когда учетные данные пользователя допустимы.

После успешной Проверки подлинности RADIUS беспроводной клиент связывается с LAP.

/image/gif/paws/71811/wlan-ssid-wlc-acs-16.gif

Так же, когда пользователь от Отдела продаж активирует профиль Продаж, пользователь заверен сервером RADIUS на основе имени пользователя/пароля LEAP и SSID.

wlan-ssid-wlc-acs-17.gif

Переданный Опознавательный отчёт относительно сервера ACS показывает, что клиент передал Проверку подлинности RADIUS (Аутентификация eap и аутентификация SSID). Например:

wlan-ssid-wlc-acs-18.gif

Теперь, если Пользователь Продаж пытается обратиться к SSID Admin, сервер RADIUS запрещает пользовательский доступ к WLAN. Например:

/image/gif/paws/71811/wlan-ssid-wlc-acs-19.gif

Таким образом, пользователи могут быть ограниченным доступом на основе SSID. В среде предприятия все пользователи, которые попадают в определенный отдел, могут быть сгруппированы в одиночную группу, и доступ к WLAN может быть предоставлен на основе SSID, который они используют, как объяснено в этом документе.

Устранение неполадок

Команды для устранения неполадок

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

  • aaa debug dot1x включает — Включает отладку взаимодействий AAA 802.1x.

  • debug dot1x packet enable – активирует отладку всех пакетов dot1x.

  • debug aaa all enable – настраивает отладку сообщений AAA.

Можно также использовать Переданный Опознавательный отчёт и отчёт об Ошибке проверки подлинности относительно сервера Cisco Secure ACS для устранения проблем конфигурации. Эти отчёты действуют в соответствии с Отчётами и Окном активности на GUI ACS.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 71811