Беспроводные сети : Контроллеры беспроводной локальной сети Cisco серии 4400

Часто задаваемые вопросы о беспроводном доступе гостя

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Вопросы


Введение

Этот документ предоставляет сведения о большинстве часто задаваемых вопросов (часто задаваемые вопросы) о беспроводном Гостевом Свойстве доступа, которое является частью единой беспроводной сети Cisco (UWN).

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Вопрос. . Что такое Ethernet по IP (EoIP) туннель к незащищенной сетевой зоне?

О. Cisco рекомендует использование контроллера, выделенного гостевому трафику. Этот контроллер известен как контроллер абонента.

Контроллер абонента обычно располагается в незащищенной сетевой зоне, часто называемой демилитаризованной зоной (DMZ). Другие внутренние контроллеры беспроводной локальной сети от того, где трафик происходит, расположены в LAN предприятия. Туннель EoIP установлен между внутренними контроллерами беспроводной локальной сети и контроллером абонента для обеспечения изоляции пути гостевого трафика от трафика данных предприятия. Изоляция пути является важной функцией управления системой безопасности гостевого доступа. Это гарантирует, что безопасность и политика качества обслуживания (QoS) могут быть отдельными, и дифференцируются между гостевым трафиком и корпоративные или внутренний трафик.

Важной функцией архитектуры беспроводной унифицированной сети Cisco (CUWN) является возможность использовать туннель EoIP для статичного сопоставления один или несколько обеспеченные WLAN (т.е. SSIDs) к определенному контроллеру абонента в сети. Весь трафик — и к и от сопоставленного WLAN — пересекает статический туннель EoIP, который установлен между удаленным контроллером и контроллером абонента.

Использование этого способа, весь cвязанный гостевой трафик может быть транспортирован прозрачно по всему предприятию сеть к контроллеру абонента, который находится в незащищенной сетевой зоне.

Вопрос. . Как я выбираю правильный контроллер для развертывания как контроллер абонента?

О. Выбор контроллера абонента является функцией суммы гостевого трафика, как определено количеством активных гостевых сеансов клиента, или, как определено емкостью интерфейса передачи информации на контроллере или обоих.

Общая производительность и клиентские ограничения на контроллер абонента следующие:

  • Контроллер беспроводной локальной сети Cisco 2504 – 4 * 1 Гбит/с взаимодействует и 1000 гостевых клиентов

  • Контроллер беспроводной локальной сети (WLC) Cisco 5508 – 8 Гбит/с и 7,000 гостевых клиентов

  • Модуль беспроводных служб Cisco Catalyst серии 6500 (WiSM2) – 20 Гбит/с и 15,000 клиентов

  • Контроллер беспроводной локальной сети (WLC) Cisco 8500 – 10 Гбит/с и 64,000 клиентов

Примечание: WLC Cisco 7500 не могут быть настроены как контроллер абонента. Обратитесь к тому, Какие контроллеры могут использоваться для поддержки гостевого доступа в незащищенной сетевой зоне? для списка WLC, которые поддерживают гостевую функцию привязки.

Максимум 2048 гостевых имен пользователя и паролей может быть сохранен на базе данных каждого контроллера. Поэтому, если общее число активных гостевых учетных данных будет сверх этого количества, то несколько контроллеров будут необходимы. Также гостевые учетные данные могут быть сохранены во внешнем сервере RADIUS.

Количество точек доступа в сети не влияет на выбор контроллера абонента.

Вопрос. . Сколько Ethernet по IP (EoIP) туннели могут быть завершены на контроллере абонента?

О. Один контроллер абонента может завершить до 71 туннеля EoIP от внутренних контроллеров беспроводной локальной сети. Эта емкость является тем же по любой модели контроллера беспроводной локальной сети Cisco кроме WLC - 2504. 2504 контроллера могут завершить до 15 туннелей EoIP. Если дополнительные туннели требуются, несколько контроллеров абонента могут быть настроены.

Туннели EoIP посчитаны на контроллер беспроводной локальной сети, независимо от количества туннелируемых WLAN или Защищают Идентификаторы Набора (SSIDs) в каждом EoIP.

Один туннель EoIP настроен между контроллером абонента и каждым внутренним контроллером, который поддерживает точки доступа с гостевыми связываниями клиента.

Вопрос. . Я могу создать Ethernet по IP (EoIP) туннели между контроллерами, которые выполняют другие версии программного обеспечения?

О. Не все версии программного обеспечения Контроллера беспроводной локальной сети поддерживают это. В таких случаях удаленный и якорный контроллер должен выполнить ту же версию программного обеспечения WLC. Однако версии новейшего ПО действительно позволяют удаленным и якорным контроллерам иметь другие версии.

Эта матрица перечисляет версии программного обеспечения Контроллера беспроводной локальной сети, с которыми можно создать туннели EoIP.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/107458-wga-faq-01.gif

Вопрос. . Контроллер беспроводной локальной сети Серии Cisco 2100/2500 может использоваться в качестве контроллера абонента в незащищенной сетевой зоне?

О. Да, стартовый Выпуск ПО единой беспроводной сети Cisco (UWN) 7.4, Контроллер беспроводной локальной сети Серии Cisco 2500 может завершить (до 15 туннелей EoIP) гостевой трафик вне межсетевого экрана. Контроллер беспроводной локальной сети Cisco серии 2000 может только инициировать гостевые туннели.

Вопрос. . Может Cisco Wireless LAN Controller Module для Маршрутизаторов ISR (WLCM или WLCM2) использоваться в качестве контроллера абонента в незащищенной сетевой зоне?

О. Нет, WLCM или WLCM2 не могут завершить гостевые туннели. WLCM может только инициировать гостевые туннели.

Вопрос. . Какие контроллеры могут использоваться для поддержки гостевого доступа в незащищенной сетевой зоне?

О. Гостевая туннельная функция привязки, которая включает конец туннеля EoIP, Web-аутентификацию и управление доступом гостевых клиентов, поддерживается в этих платформах контроллера беспроводной локальной сети Cisco с Версией 4.0 или более поздними образами программного обеспечения:

  • Модуль беспроводных служб Cisco Catalyst серии 6500 (WiSM2)

  • Контроллер беспроводной локальной сети серии WiSM2 Cisco

  • Cisco Catalyst 3750G интегрированный контроллер беспроводной локальной сети

  • Cisco контроллер беспроводной локальной сети серии 5508

  • Контроллер беспроводной локальной сети Серии Cisco 2500 (поддержка, представленная в Выпуске ПО 7.4)

Вопрос. . Если контроллер абонента используется вне межсетевого экрана, какие порты межсетевого экрана открыты для гостевого доступа для работы?

О. На любом межсетевом экране между контроллером абонента и удаленными контроллерами, эти порты должны быть открыты:

  • Протокол "IP" 97 для трафика данных пользователей

  • Порт UDP для туннельного контрольного трафика

Для дополнительного управления эти порты межсетевого экрана должны быть открыты:

  • SSH/Telnet — Порт TCP 22/23

  • TFTP — порт UDP 69

  • NTP — порт UDP 123

  • SNMP — порты UDP 161 (добирается и наборы), и 162 (trap-сообщения)

  • HTTPS/HTTP — Порт TCP 443/80

  • Syslog — Порт TCP 514

  • Порт UDP Аутентификации/Учетной записи RADIUS 1812 и 1813

Вопрос. . Гостевой трафик может пройти через межсетевой экран с настроенной Технологией NAT?

О. NAT один к одному должен использоваться на туннеле EoIP, проходящем через межсетевой экран.

Вопрос. . В Привязке - Внешний сценарий WLC, какой WLC отсылает учет RADIUS?

О. В этом сценарии аутентификация всегда делается WLC привязки. Поэтому учет RADIUS передается WLC привязки.

Вопрос. . Гостевой туннель между сбоями внутреннего контроллера и якорного контроллера. Я вижу, что они входят в WLC: mm_listen. c : 5373 MM-3-INVALID_PKT_RECVD: Полученный недопустимый пакет от 10. 40.220.18. Источник member:0.0.0.0. исходный неизвестный участник.. В чем причина?

О. Вы проверяете статус туннеля от GUI WLC на странице WLANs. Щелкните по раскрывающемуся окну около WLAN и выберите Mobility Anchors, который содержит статус контроля и пути данных. Сообщение об ошибках замечено из-за одной из этих причин:

  1. Якорные и внутренние контроллеры находятся на других версиях кода. Удостоверьтесь, что они выполняют те же версии кода.

  2. Неверные конфигурации в конфигурации привязки к мобильности. Проверьте, что DMZ настроен сам как привязка к Мобильности, и внутренним WLC настроили WLC DMZ как привязку к Мобильности. Для получения дополнительной информации о том, как настроить привязку к Мобильности, обратитесь к Настройке Авто раздел Мобильности Привязки руководства по конфигурированию контроллера Cisco Wireless LAN, Выпуска 7.0. Это привело бы к гостям, неспособным передать трафик.

Вопрос. . В беспроводной гостевой настройке доступа клиенты не получают IP-адрес от DHCP Server. Четверг Ян 22 16:39:09 2009: ОТВЕТ отбрасывания DHCP XX:XX:XX:XX:XX:XX из Внешнего экспортом сообщения об ошибках STA появляется на Внутреннем контроллере. В чем причина?

О. В беспроводной гостевой настройке доступа должен совпасть параметр прокси DHCP в Контроллерах абонента и внутреннем контроллере. Еще, запрос DHCP от клиентов отброшены, и вы видите это сообщение об ошибках на внутреннем контроллере:

Thu Jan 22 16:39:09 2009: XX:XX:XX:XX:XX:XX  DHCP dropping REPLY from Export-Foreign STA

Используйте эту команду для изменения параметра прокси dhcp на WLC:

(Cisco Controller) >config dhcp proxy ?

enable         Enable DHCP processing's proxy style behaviour.
disable        Disable DHCP processing's proxy style behaviour.

Используйте команду show dhcp proxy на обоих контроллерах, чтобы проверить, что оба контроллера имеют тот же параметр прокси DHCP.

(Cisco Controller) >show dhcp proxy

DHCP Proxy Behaviour: enabled

(Cisco Controller) >

Вопрос. . Если гостевой трафик туннелирован к незащищенной сетевой зоне, где гостевые клиенты получают IP-адрес?

О. Гостевой трафик транспортируется в предприятии на Уровне 3 через EoIP. Поэтому первая точка, в которой могут быть внедрены сервисы Протокола DHCP (динамического конфигурирования узла), находится локально на контроллере абонента, или контроллер абонента может передать клиентские запросы DHCP к внешнему серверу. Это - также метод, которым обрабатывается определение адресов Системы доменных имен (DNS).

Вопрос. . Контроллер беспроводной локальной сети Cisco поддерживает веб-порталы для гостевой аутентификации?

О. Контроллеры беспроводной локальной сети Cisco, версия программного обеспечения 3.2 или позже, предоставляют встроенный веб-портал, который перехватывает гостевые учетные данные для аутентификации и предлагает простые возможности брендинга, вместе с возможностью отобразить информация о политике допустимого использования и правовая оговорка.

Вопрос. . Как я настраиваю веб-портал?

О. Для получения информации о том, как настроить веб-портал, обратитесь к Выбору Web Authentication Login Page.

Вопрос. . Как управляют гостевыми учетными данными?

О. Гостевые учетные данные могут создаваться и управляться централизованно с помощью Cisco Wireless Control System (WCS) Версия 7.0 и или версия Системы управления сетью (NCS) 1.0. Администратор сети может установить ограниченную привилегию административная учетная запись в WCS, который разрешает “послу лобби” доступ в целях создания гостевых учетных данных. В WCS или NCS, считает человек с послом лобби, в состоянии создать, назначить, контролировать, и удалить гостевые учетные данные для контроллера, служащего контроллером абонента.

Посол лобби может ввести гостевое имя пользователя (или идентификатор пользователя) и пароль, или учетные данные могут быть автоматически сгенерированы. Существует также параметр глобальной конфигурации, который включает использование одного имени пользователя и пароля для всех гостей, или уникальное имя пользователя и пароль для каждого гостя.

Для настройки посла лобби учетная запись на WCS обратитесь к разделу Учетных записей Гостя Создания Руководства по конфигурированию Cisco Wireless Control System, Выпуска 7.0.

Вопрос. . Действительно ли посол лобби функция доступен в контроллере беспроводной локальной сети Cisco в дополнение к Wireless Control System (WCS) или NCS?

Ответ. Да. Если WCS или NCS не развернуты, администратор сети может установить посла лобби учетная запись на контроллере абонента. У человека, который входит в контроллер абонента с помощью посла лобби учетная запись, будет доступ только к функциям управления гостя.

Если существуют множественные контроллеры абонента, WCS или NCS должны использоваться для одновременной настройки имен пользователей на множественных контроллерах абонента.

Для получения информации о том, как создать посла лобби, учетные записи с помощью Контроллеров беспроводной локальной сети, обращаются к Созданию посла Лобби Аккунта раздел руководства по конфигурированию контроллера Cisco Wireless LAN, Выпуска 7.0.

Вопрос. . Гости могут быть заверены с внешней проверкой подлинности, авторизацией, и бухгалтерские (AAA) сервер?

Ответ. Да. Гостевые запросы аутентификации могут быть переданы к внешнему серверу RADIUS.

Вопрос. . Когда гость входит в систему, что происходит?

О. Когда беспроводной гость входит через веб-портал, контроллер абонента обрабатывает аутентификацию путем выполнения этих шагов:

  1. Контроллер абонента проверяет свою локальную базу данных для имени пользователя и пароля, и если они присутствуют, предоставляет доступ.

  2. Если никакие учетные данные пользователя не присутствуют локально на контроллере абонента, контроллер абонента проверяет параметры настройки конфигурации WLAN, чтобы видеть, был ли внешний сервер (ы) RADIUS настроен для гостевого WLAN. Если так, контроллер создает пакет запроса доступа RADIUS с именем пользователя и паролем и вперед этим к выбранному серверу RADIUS для аутентификации.

  3. Если никакие определенные серверы RADIUS не были настроены для WLAN, контроллер проверяет свои глобальные параметры настройки Конфигурации сервера RADIUS. Любые внешние серверы RADIUS, настроенные с опцией для аутентификации “пользователя сети”, будут делать запрос с учетными данными гостя. В противном случае, если никаким серверам не выберут “пользователя сети”, и пользователь не был заверен посредством шагов 1 или 2, то аутентификация откажет.

Вопрос. . Действительно ли возможно пропустить аутентификацию гостя и отобразить только опцию правовой оговорки веб-страницы?

Ответ. Да. Другие параметры конфигурации беспроводного гостевого доступа должны обойти проверку подлинности пользователя в целом и предоставить открытый доступ. Однако могла бы быть потребность представить политику допустимого использования и страницу правовой оговорки гостям прежде, чем предоставить доступ. Чтобы сделать это, гостевой WLAN может быть настроен для веб-passthrough политики. В этом сценарии гость перенаправлен к странице веб-портала, которая содержит информацию о правовой оговорке. Для включения идентификации гостя режим транзитной пересылки также имеет опцию для пользователя для введения адреса электронной почты перед соединением.

Вопрос. . У нас должны быть удаленный контроллер и контроллер абонента на той же группе мобильности?

О. Нет. Контроллер абонента и удаленный контроллер могут быть на отдельных группах мобильности.

Вопрос. . Если существует несколько гостевых SSID, может каждый WLAN (SSID) направляться к уникальному порталу веб-страницы?

Ответ. Да. Весь гостевой трафик, или на сингле или на множественных WLAN перенаправлен к одной веб-странице. Запускаясь с версии 4.2 WLC или позже, каждый WLAN может быть направлен к уникальной странице веб-портала. Обратитесь к Входу в систему Присвоения, Ошибке регистрации в системе и Страницам Выхода из системы на раздел WLAN руководства по конфигурированию контроллера Cisco Wireless LAN, Выпуска 7.0.

Вопрос. . Какова функциональность новой установки в выпуске 7.0 WLC, WebAuth на Сбое Фильтра Mac?

О. Если WLAN имеет и Уровень 2 (фильтр Mac) и безопасность уровня 3 (webauth-on-macfilter-failure) настроенный, клиент переходит в ВЫПОЛНЕННОЕ состояние, если передают любой. И если это отказывает безопасность уровня 2 (фильтр Mac), клиент перемещен в безопасность уровня 3 (webauth-on-macfilter-failure).

Вопрос. . Если браузер настроен для прокси-сервера, клиент действует должным образом?

О. Когда прокси-сервер был настроен в браузере, до выпуска 7.0 клиент не мог установить TCP - подключение. После выпуска 7.0 эта поддержка Прокси-сервера WebAuth добавлена и IP-адрес Прокси-сервера, и порт может быть настроен на контроллере.

Вопрос. . Существует ли руководство по развертыванию для беспроводного Гостевого Доступа?

О. Это - ссылка на руководство по развертыванию:

Руководство по развертыванию: гостевой доступ Cisco Использование контроллера беспроводной локальной сети Cisco

Вопрос. . Существует ли руководство по дизайну для Проводного и беспроводного Гостевого Доступа?

О. Это - ссылка на руководства по дизайну:

Гостевые службы доступа унифицированной беспроводной связи Cisco

Пример конфигурации гостевого доступа к проводной сети с использованием контроллеров WLAN Cisco

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения