Беспроводные сети / Мобильные решения : "Беспроводные сети, LAN (WLAN)"

Версия ACS 5.2 и WLC для на пример конфигурации аутентификации WLAN

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ предоставляет пример конфигурации для ограничения доступа для каждого пользователя к Беспроводной локальной сети (WLAN) на основе идентификатора набора сервисов (SSID).

Внесенный Brahadesh Srinivasaraghavan, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Как настроить Контроллер беспроводной локальной сети (WLC) и облегченную точку доступа (LAP) для главной операции
  • Как настроить сервер Cisco Secure Access Control Server (ACS)
  • Протокол LWAPP и методы безопасности беспроводной связи

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • WLC серии 5500 Cisco, который выполняет версию микропрограммы 7.4.110
  • LAP серии Cisco 1142
  • Версия сервера 5.2.0.26.11 Cisco Secure ACS

Настройка

Для настройки устройств для этой настройки вы должны:

  1. Настройте WLC для этих двух WLAN и сервера RADIUS.
  2. Настройте Cisco Secure ACS.
  3. Настройте беспроводных клиентов и проверьте конфигурацию.

Настройте WLC

Выполните эти шаги для настройки WLC для этой настройки:

  1. Настройте WLC для передачи учетных данных пользователя внешнему серверу RADIUS. Внешний сервер RADIUS (Cisco Secure ACS в этом случае) тогда проверяет учетные данные пользователя и предоставляет доступ к беспроводным клиентам. Выполните следующие действия:
    1. Выберите Security> RADIUS Authentication от графического интерфейса контроллера для показа страницы RADIUS Authentication Servers.

    2. Нажмите New для определения параметров сервера RADIUS.

      В их числе: RADIUS Server IP Address, Shared Secret, Port Number и Server Status. С помощью флажков Network User и Management можно определить, применяется ли аутентификация на основе сервера RADIUS для управления и сетевых пользователей. Данный пример использует Cisco Secure ACS в качестве сервера RADIUS с IP-адресом 10.104.208.56.

    3. Щелкните "Применить".
  2. Выполните эти шаги для настройки одного WLAN для Сотрудника с Сотрудником SSID и другого WLAN для Подрядчиков с Подрядчиком SSID.
    1. Нажмите WLANs в графическом интерфейсе контроллера для создания WLAN. Откроется окно WLAN. В данном окне находится список сетей WLAN, настроенных на контроллере.
    2. Нажмите New для настройки новой WLAN.
    3. Данный пример создает WLAN под названием Сотрудник, и ИДЕНТИФИКАТОР WLAN равняется 1. Щелкните "Применить".

    4. Выберите окно WLANs> Edit и определите параметры, определенные для WLAN:
      1. От вкладки безопасности уровня 2 выберите 802.1x. Параметр обеспечения безопасности уровня 2 установлен на 802.1x по умолчанию. Это включает 802.1 x/Extensible Протокола аутентификации (EAP) аутентификации для WLAN.

      2. От вкладки AAA-серверов выберите соответствующий сервер RADIUS от выпадающего списка под серверами RADIUS. Другие параметры могут быть изменены на основе требования сети WLAN. . Щелкните "Применить".

    5. Точно так же для создания WLAN для Подрядчиков, повторите шаги b через d.

Настройте Cisco Secure ACS

На сервере Cisco Secure ACS вы должны:

  1. Настройте WLC как клиента AAA.
  2. Создайте Базу данных пользователей (Учетные данные) для основанной на SSID аутентификации.
  3. Включите Аутентификацию eap.

Выполните эти шаги на Cisco Secure ACS:

  1. Для определения контроллера как клиент AAA на сервере ACS выберите Network Resources> Network Devices и AAA Clients от GUI ACS. Под Сетевыми устройствами и Клиентами AAA, нажмите Create.
  2. Когда страница Network Configuration появится, определите название WLC, IP-адреса, и общего секретного ключа и метода аутентификации (RADIUS).

  3. Выберите Users и Identity Stores> Identity Groups от GUI ACS. Создайте соответствующие группы для Сотрудника и Подрядчика и нажмите Create. В данном примере Группа создала, назван Сотрудниками.

  4. Выберите Users и Identity Stores> Internal Identity Stores. Нажмите Create и введите имя пользователя. Разместите их в корректную группу, определите их пароль и нажмите Submit. В данном примере создан названный employee1 пользователя в Сотруднике группы. Точно так же создайте названный contractor1 пользователя при подрядчиках группы.

  5. Выберите Policy Elements> Network Conditions> End Station Filters. Нажмите кнопку Create.

    1. Введите понятное имя, и под вкладкой IP address вводят IP-адрес WLC. В данном примере названия являются Сотрудником и Подрядчиком.

    2. Под вкладкой CLI/DNIS оставьте CLI как - ANY и введите DNIS как * <SSID>. В данном примере поле DNIS введено как *Сотрудник, поскольку фильтр станции данной стороны используется для ограничения доступа только к WLAN Сотрудника. Атрибут DNIS определяет SSID, к которому пользователю разрешают обратиться. WLC передает SSID в атрибуте DNIS к серверу RADIUS.
    3. Повторите те же шаги для фильтра конечной станции Подрядчика.

  6. Выберите Policy Elements> Authorization и Permissions> Network Access> Authorization Profiles. Должен быть профиль по умолчанию для Доступа Разрешения.

  7. Выберите Access Policies> Access Services> Service Selection Rules. Нажмите Customize.
    1. Добавьте любое подходящее Условие. Данный пример использует Протокол в качестве Радиуса как соответствующее условие.
    2. Нажмите кнопку Create. Назовите Правило. Выберите Protocol и выберите Radius.
    3. Под Результатами выберите соответствующую Службу доступа. В данном примере это оставляют как Доступ к сети по умолчанию.

  8. Выберите Access Policies> Access Services> Default Network Access> Identity. Выберите Single Result Selection и Identity Source как Внутренние пользователи.

    1. Выберите Access Policies> Access Services> Default Network Access> Authorization.  Нажмите Customize и добавьте Специализированные условия. Данный пример использует Identity Group, Тип NDG:Device, и Конечная станция Просачивается тот заказ.

    2. Нажмите кнопку Create. Назовите правило и выберите соответствующую Identity Group под Всеми Группами. В данном примере это - Сотрудник.

    3. Нажмите кнопку с зависимой фиксацией Employee End Stn Filter или введите имя, которое вы вводите в Step1b в, "Настраивают WLC" раздел.

    4. Установите флажок Проверки доступа Разрешения.

    5. Повторите те же шаги выше для Правил Подрядчика также. Гарантируйте, что Действие по умолчанию должно Запретить Доступ.

      Как только вы завершили шаг e, правила должны быть похожими на данный пример:

Это завершает конфигурацию. После этого раздела клиент должен быть настроен соответственно с SSID и параметрами безопасности для соединения.

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 118661