تكوين تعيين VLAN الديناميكي باستخدام وحدة التحكم ISE و Catalyst 9800 Wireless LAN Controller

خيارات التنزيل

  • PDF     (2.9 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (2.8 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (2.7 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١١ أبريل ٢٠٢٤
معرّف المستند:217043

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

المقدمة
المتطلبات
المكونات المستخدمة
معلومات أساسية
التعيين الديناميكي لشبكة VLAN مع خادم RADIUS
التكوين
الرسم التخطيطي للشبكة
خطوات التكوين
تكوين Cisco ISE
الخطوة 1. قم بتكوين Catalyst WLC كعميل AAA على خادم Cisco ISE
الخطوة 2. تكوين المستخدمين الداخليين على Cisco ISE
الخطوة 3. قم بتكوين سمات RADIUS (IETF) المستخدمة لتعيين VLAN الديناميكي
تكوين المحول لشبكات VLAN متعددة
تكوين Catalyst 9800 WLC
الخطوة 1. قم بتكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) باستخدام تفاصيل خادم المصادقة
الخطوة 2. تكوين شبكات VLAN
الخطوة 3. تكوين شبكات WLAN (SSID)
الخطوة 4. تكوين ملف تعريف السياسة
الخطوة 5. تكوين علامة النهج
الخطوة 6. تعيين علامة النهج إلى نقطة وصول (AP)
تقنية Flexconnect
تكوين المحول لشبكات VLAN متعددة
تكوين ملف تعريف سياسة FlexConnect
تعيين ملف تعريف نهج FlexConnect إلى شبكة WLAN وعلامة النهج
تكوين ملف تعريف Flex
تكوين علامة الموقع المرن
قم بتعيين "النهج" و"علامة الموقع" لنقطة الوصول.
التحقق من الصحة
استكشاف الأخطاء وإصلاحها
معلومات ذات صلة

    المقدمة

    يصف هذا وثيقة كيف أن يشكل المادة حفازة 9800 WLC و cisco ISE أن يعين لاسلكي lan (WLAN).

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • معرفة أساسية بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC ونقاط الوصول في الوضع Lightweight (LAPs).
    • معرفة وظائف خادم AAA مثل محرك خدمات الهوية (ISE).
    • معرفة شاملة بالشبكات اللاسلكية ومشكلات الأمان اللاسلكي.
    • امتلاك معرفة وظيفية بتعيين الشبكة المحلية الظاهرية الديناميكية (VLAN).
    • معرفة أساسية بالتحكم والإمداد لنقطة الوصول اللاسلكية (CAPWAP).

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • cisco مادة حفازة 9800 WLC (مادة حفازة 9800-CL) أن يركض برنامج ثابت إطلاق 16.12.4a.
    • نقاط الوصول في الوضع المحلي من السلسلة Cisco 2800 Series LAP.
    • عميل Windows 10 الأصلي.
    • Cisco ISE الذي يشغل الإصدار 2.7.
    • المحول Cisco 3850 Series Switch الذي يشغل البرنامج الثابت، الإصدار 16.9.6.

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    التعيين الديناميكي لشبكة VLAN مع خادم RADIUS

    يصف هذا وثيقة المفهوم من VLAN حركي وكيف أن يشكل المادة حفازة 9800 لاسلكي lan جهاز تحكم (WLC) و cisco هوية خدمة محرك (ISE) أن يعين لاسلكي LAN (WLAN) in order to أنجزت هذا لالزبون لاسلكي.

    في معظم أنظمة الشبكة المحلية اللاسلكية (WLAN)، تحتوي كل شبكة محلية لاسلكية (WLAN) على سياسة ثابتة تنطبق على جميع العملاء المرتبطين بمعرف مجموعة الخدمة (SSID). وعلى الرغم من أنها فعالة، إلا أن هذه الطريقة لها قيود لأنها تتطلب من العملاء الاقتران ب SSIDs مختلفة لترث جودة الخدمة (QoS) وسياسات الأمان المختلفة.

    ومع ذلك، يدعم حل Cisco WLAN شبكات الهوية. وهذا يسمح للشبكة بالإعلان عن معرف SSID واحد ويسمح لمستخدمين محددين بتوريث جودة الخدمة أو نهج الأمان المختلفة استنادا إلى بيانات اعتماد المستخدم.

    تعيين VLAN الديناميكي هو أحد تلك الميزات التي تضع مستخدم لاسلكي في شبكة VLAN معينة بناء على بيانات الاعتماد التي قدمها المستخدم. تتم معالجة مهمة تعيين مستخدمين لشبكة VLAN معينة بواسطة خادم مصادقة RADIUS، مثل Cisco ISE. يمكن إستخدام هذا، على سبيل المثال، للسماح للمضيف اللاسلكي بالبقاء على شبكة VLAN نفسها أثناء تحركها داخل شبكة مجمع.

    لذلك، عندما يحاول العميل الاقتران بنقطة وصول في الوضع Lightweight مسجلة مع وحدة تحكم، تقوم وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) بتمرير بيانات اعتماد المستخدم إلى خادم RADIUS للتحقق من الصحة. وبمجرد نجاح المصادقة، يقوم خادم RADIUS بتمرير بعض سمات فريق عمل هندسة الإنترنت (IETF) إلى المستخدم. تحدد سمات RADIUS هذه معرف VLAN الذي يجب تعيينه للعميل اللاسلكي. لا يهم معرف SSID الخاص بالعميل لأنه يتم تعيين المستخدم دائما لمعرف VLAN هذا المحدد مسبقا.

    سمات مستخدم RADIUS المستخدمة لتعيين معرف VLAN هي:

    • IETF 64 (نوع النفق)- ثبتت هذا إلى VLAN.
    • IETF 65 (نوع النفق المتوسط) - اضبط هذا على 802.
    • IETF 81 (معرف مجموعة النفق الخاصة)- قم بتعيين هذا على معرف VLAN.

    معرف شبكة VLAN هو 12 بت ويأخذ قيمة بين 1 و 4094، شاملة. لأن Tunnel-Private-Group-ID هو من النوع خيط، كما هو معرف في RFC2868 للاستخدام مع IEEE 802.1X، يتم تشفير قيمة العدد الصحيح لمعرف VLAN كسلسلة. عندما يتم إرسال سمات النفق تلك، فمن الضروري إدخالها في حقل علامة التمييز.

    التكوين

    في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.

    الرسم التخطيطي للشبكة

    يستخدم هذا المستند إعداد الشبكة التالي:

    Network Diagram

    هذه هي تفاصيل تكوين المكونات المستخدمة في هذا المخطط:

    • عنوان IP الخاص بخادم Cisco ISE (RADIUS) هو 10.10.1.24.
    • عنوان واجهة الإدارة الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC) هو 10.10.1.17.
    • يتم إستخدام خادم DHCP الداخلي على وحدة التحكم لتخصيص عنوان IP لعملاء اللاسلكي.
    • يستخدم هذا المستند معيار 802.1x مع إعتبار PEAP آلية أمان.
    • يتم إستخدام شبكة VLAN102 عبر هذا التكوين. تم تكوين اسم المستخدم سميث -102 لوضعه في شبكة VLAN102 بواسطة خادم RADIUS.

    خطوات التكوين

    ويتم تقسيم هذا التكوين إلى ثلاث فئات:

    • تكوين Cisco ISE.
    • قم بتكوين المحول لشبكات VLAN متعددة.
    • تكوين Catalyst 9800 WLC.

    تكوين Cisco ISE

    يتطلب هذا التكوين الخطوات التالية:

    • قم بتكوين Catalyst WLC كعميل AAA على خادم Cisco ISE.
    • تكوين المستخدمين الداخليين على Cisco ISE.
    • شكلت ال radius (IETF) شعار يستعمل ل حركي VLAN تعيين على cisco ISE.

    الخطوة 1. قم بتكوين Catalyst WLC كعميل AAA على خادم Cisco ISE

    يشرح هذا الإجراء كيفية إضافة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) كعميل AAA على خادم ISE حتى يمكن أن تمرر عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بيانات اعتماد المستخدم إلى ISE.

    أكمل الخطوات التالية:

    1. من واجهة المستخدم الرسومية ISE، انتقل إلى Administration > Network Resources > Network Devicesوحدد Add.
    2. أكمل التكوين باستخدام عنوان IP الخاص بإدارة WLC وسر RADIUS المشترك بين WLC و ISE كما هو موضح في الصورة:

    Configuration with the WLC management IP address and Radius shared secret between WLC and ISE

    الخطوة 2. تكوين المستخدمين الداخليين على Cisco ISE

    يشرح هذا الإجراء كيفية إضافة المستخدمين إلى قاعدة بيانات المستخدم الداخلية ل Cisco ISE.

    أكمل الخطوات التالية:

    1. من واجهة المستخدم الرسومية ISE، انتقل إلى Administration > Identity Management > Identities وحدد Add.
    2. أكمل التكوين باستخدام اسم المستخدم وكلمة المرور ومجموعة المستخدم كما هو موضح في الصورة:

    Configuration with the username, password, and user group

    الخطوة 3. قم بتكوين سمات RADIUS (IETF) المستخدمة لتعيين VLAN الديناميكي

    يشرح هذا الإجراء كيفية إنشاء توصيف تخويل ونهج مصادقة للمستخدمين اللاسلكيين.

    أكمل الخطوات التالية:

    1. من واجهة المستخدم الرسومية ISE، انتقل إلى Policy > Policy Elements > Results > Authorization > Authorization profiles وحدد Add لإنشاء توصيف جديد.
    2. أكمل تكوين ملف تعريف التخويل باستخدام معلومات شبكة VLAN للمجموعة المقابلة. تظهر هذه الصورة إعدادات تكوين jonathga-VLAN-102 المجموعة.

    Authorization profile configuration with VLAN information

    بعد تكوين توصيفات التخويل، يلزم إنشاء سياسة مصادقة للمستخدمين اللاسلكيين. يمكنك إستخدام Custom نهج جديد أو تعديل مجموعة Default النهج. في هذا المثال، يتم إنشاء ملف تخصيص مخصص.

    1. انتقل إلى Policy > Policy Sets وحدد Add لإنشاء سياسة جديدة كما هو موضح في الصورة:

    Navigate to Policy Sets and select Add

    Create an authentication policy for wireless users


    تحتاج الآن إلى إنشاء سياسات تخويل للمستخدمين من أجل تعيين ملف تعريف تخويل شخصي استنادا إلى عضوية المجموعة.

    1. افتح Authorization policy القسم وقم بإنشاء سياسات لتحقيق ذلك المتطلب كما هو موضح في الصورة:

    Assign a respective authorization profile based on group membership

    تكوين المحول لشبكات VLAN متعددة

    أن يسمح يتعدد VLANs من خلال المفتاح، أنت تحتاج أن يصدر هذا أمر أن يشكل المفتاح ميناء يربط إلى الجهاز تحكم:

    Switch(config-if)#switchport mode trunk
    Switch(config-if)#switchport trunk encapsulation dot1q

    ملاحظة: افتراضيا، يسمح معظم المفتاح كل VLANs يخلق على أن مفتاح عن طريق الشنطة ميناء. إذا كانت شبكة سلكية متصلة بالمحول، فيمكن تطبيق هذا التكوين نفسه على منفذ المحول الذي يتصل بالشبكة السلكية. هذا يمكن الاتصال بين ال نفسه VLANs في الشبكة السلكية واللاسلكية.

    تكوين Catalyst 9800 WLC

    يتطلب هذا التكوين الخطوات التالية:

    • قم بتكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) باستخدام تفاصيل خادم المصادقة.
    • قم بتكوين شبكات VLAN.
    • تكوين شبكات WLAN (SSID).
    • تكوين ملف تعريف النهج.
    • قم بتكوين علامة النهج.
    • قم بتعيين علامة النهج لنقطة وصول.

    الخطوة 1. قم بتكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) باستخدام تفاصيل خادم المصادقة

    من الضروري تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) حتى يمكنه الاتصال بخادم RADIUS لمصادقة العملاء.

    أكمل الخطوات التالية:

    1. من واجهة المستخدم الرسومية (GUI) الخاصة بوحدة التحكم، انتقل إلى معلومات خادم RADIUS Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add وأدخلها كما هو موضح في الصورة:

    Navigate to Servers and select +Add

    Enter the RADIUS server information

    1. لإضافة خادم RADIUS إلى مجموعة RADIUS، انتقل إلى Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add كما هو موضح في الصورة:

    Add the RADIUS server to a RADIUS group

    1. لإنشاء قائمة طرق المصادقة، انتقل إلى كما هو موضح Configuration > Security > AAA > AAA Method List > Authentication > + Add في الصور:

    Navigate to authentication and select +Add

    Create an Authentication Method List

    الخطوة 2. تكوين شبكات VLAN

    يشرح هذا الإجراء كيفية تكوين شبكات VLAN على Catalyst 9800 WLC. كما هو موضح مسبقا في هذا المستند، يجب أن يكون معرف شبكة VLAN المحدد ضمن سمة معرف Tunnel-Private-Group الخاصة بخادم RADIUS موجودا أيضا في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).

    في المثال، يتم تحديد المستخدم smith-102 مع Tunnel-Private-Group ID of 102 (VLAN =102) خادم RADIUS.

    1. انتقل إلى Configuration > Layer2 > VLAN > VLAN > + Add كما هو موضح في الصورة:

    Navigate to VLAN and select +Add

    1. قم بإدخال المعلومات المطلوبة كما هو موضح في الصورة:

    Enter information to create a VLAN

    ملاحظة: إن لا يعين أنت اسم، ال VLAN تلقائيا يحصل عينت الإسم من VLANXXXX، حيث xxxx ال VLAN id.

    كرر الخطوات 1 و 2 لجميع شبكات VLAN المطلوبة، بمجرد القيام بذلك، يمكنك الاستمرار في الخطوة 3.

    1. تحقق من السماح بشبكات VLAN في واجهات البيانات.
      • إذا كانت لديك قناة منفذ قيد الاستخدام، فانتقل إلى Configuration > Interface > Logical > PortChannel name > General. إن يرى أنت هو يشكل كما Allowed VLAN = All أنت انتهيت مع التشكيل. إن يرى أنت، Allowed VLAN = VLANs IDsأضفت ال VLANs ضروري وبعد ذلك يختار Update & Apply to Device.
      • إذا لم يكن لديك قناة منفذ قيد الاستخدام، انتقل إلى Configuration > Interface > Ethernet > Interface Name > General. إن يرى أنت هو يشكل كما Allowed VLAN = All أنت انتهيت مع التشكيل. إن يرى أنت، Allowed VLAN = VLANs IDsأضفت ال VLANs ضروري وبعد ذلك يختار Update & Apply to Device.

    تظهر هذه الصور التكوين المرتبط بإعداد الواجهة إذا كنت تستخدم معرفات شبكات VLAN كلها أو معينة. 

    The configuration related to the interface setup if you use ALL VLAN IDs

    The configuration related to the interface setup if you use specific VLAN IDs

    الخطوة 3. تكوين شبكات WLAN (SSID)

    يشرح هذا الإجراء كيفية تكوين شبكات WLAN في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).

    أكمل الخطوات التالية:

    1. in order to خلقت ال WLAN. انتقل إلى الشبكة Configuration > Wireless > WLANs > + Add وتكوينها حسب الحاجة، كما هو موضح في الصورة:


    Navigate to WLANs and select +Add

    1. أدخل معلومات شبكة WLAN كما هو موضح في الصورة:


    Configure the network as needed

    1. انتقل إلى علامة Security التبويب وحدد طريقة الأمان المطلوبة. في هذه الحالة WPA2 + 802.1x كما هو موضح في الصور:


    Select the needed security method

    Select the needed security method

    منSecurity > AAA علامة التبويب، حدد طريقة المصادقة التي تم إنشاؤها في الخطوة 3 من Configure the WLC with the Details of the Authentication Server القسم كما هو موضح في الصورة:

    Select the authentication method created previously

    الخطوة 4. تكوين ملف تعريف السياسة

    يشرح هذا الإجراء كيفية تكوين ملف تعريف النهج في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).

    أكمل الخطوات التالية:

    1. انتقل إلى Configuration > Tags & Profiles > Policy Profile أو قم بتكوين default-policy-profile أو إنشاء صورة جديدة كما هو موضح في الصور:

    Navigate to Policy Profile and select +Add

    Configure your default-policy-profile or create a new one

    1. من علامة Access Policies التبويب تعيين شبكة VLAN التي يتم تعيين العملاء اللاسلكيين لها عند إتصالهم بشبكة WLAN هذه بشكل افتراضي كما هو موضح في الصورة:

    Assign the VLAN to the wireless client

    ملاحظة: في المثال المتوفر، تتمثل مهمة خادم RADIUS في تخصيص عميل لاسلكي لشبكة VLAN معينة عند المصادقة الناجحة، وبالتالي فإن شبكة VLAN التي تم تكوينها على ملف تعريف السياسة يمكن أن تكون شبكة VLAN ذات ثقب أسود، فيتجاوز خادم RADIUS هذا التخطيط ويعين المستخدم الذي يمر من خلال شبكة WLAN هذه لشبكة VLAN المحددة ضمن حقل المستخدم tunnel-group-private-id في خادم RADIUS.

    1. من علامة Advance التبويب، قم بتمكين مربع الاختيار Allow AAA Override من تجاوز تكوين WLC عندما يرجع خادم RADIUS السمات المطلوبة لوضع العميل على شبكة VLAN المناسبة كما هو موضح في الصورة:

    Enable the Allow AAA Override checkbox

    الخطوة 5. تكوين علامة النهج

    يشرح هذا الإجراء كيفية تكوين علامة النهج في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).

    أكمل الخطوات التالية:

    1. انتقل إلى Configuration > Tags & Profiles > Tags > Policy وقم بإضافة واحد جديد إذا لزم الأمر كما هو موضح في الصورة:

    Navigate to Policy and select +add

    1. قم بإضافة اسم إلى علامة النهج وحدد +Add، كما هو موضح في الصورة:

    Add a name to the Policy Tag

    1. ربط ملف تعريف الشبكة المحلية اللاسلكية (WLAN) بملف تعريف السياسة المرغوب كما هو موضح في الصور:

    Link your WLAN Profile to the desire Policy Profile

    Select Apply to Device

    الخطوة 6. تعيين علامة النهج إلى نقطة وصول

    يشرح هذا الإجراء كيفية تكوين علامة النهج في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).

    أكمل الخطوات التالية:

    1. انتقل إلى علامة النهج ذات الصلة Configuration > Wireless > Access Points > AP Name > General Tags وتعيينها ثم حدد كما هو Update & Apply to Device موضح في الصورة:

    Assign the relevant policy tag and select Update & Apply to Device

    تحذير: كن على علم بأن تغيير علامة النهج على نقطة وصول يؤدي إلى قطع اتصال نقطة الوصول بعنصر التحكم في الشبكة المحلية اللاسلكية (WLC) ثم إعادة الاتصال.

    تقنية Flexconnect

    تسمح ميزة FlexConnect لنقاط الوصول بإرسال بيانات عميل لاسلكي إلى المخرج من خلال منفذ شبكة LAN لنقطة الوصول عند تكوينها كخط اتصال. يسمح هذا الوضع، المعروف باسم FlexConnect المحلي switching، لنقطة الوصول بفصل حركة مرور العميل بوضع علامة عليها في شبكات VLAN المنفصلة من واجهة الإدارة الخاصة بها. يوفر هذا القسم تعليمات حول كيفية تكوين تعيين شبكة VLAN الديناميكية لسيناريو التحويل المحلي.

    note-icon

    ملاحظة: تنطبق الخطوات الموضحة في القسم السابق على سيناريو FlexConnect أيضا. لإكمال تكوين FlexConnect، يرجى تنفيذ الخطوات الإضافية الواردة في هذا القسم.

    تكوين المحول لشبكات VLAN متعددة

    أن يسمح يتعدد VLANs من خلال المفتاح، أنت تحتاج أن يصدر الأمر تالي أن يشكل المفتاح ميناء يربط إلى ال ap:

    1. switch(config-if)#switchport mode trunk
    2. switch(config-if)#switchport trunk encapsulation dot1q
    note-icon

    ملاحظة: افتراضيا، يسمح معظم المفتاح كل VLANs يخلق على المفتاح عن طريق الشنطة ميناء.

    ملف تعريف نهج FlexConnect التكوين

    1. انتقل إلى التكوين > علامات تمييز وملفات تعريف > ملف تعريف السياسة > +إضافة وإنشاء سياسة جديدة.
    2. قم بإضافة الاسم، قم بإلغاء تحديد خانة الاختيار تبديل مركزي و DHCP مركزي. باستخدام هذا التكوين، تتعامل وحدة التحكم مع مصادقة العميل، بينما تعمل نقطة الوصول FlexConnect على تبديل حزم بيانات العميل و DHCP محليا.


      jonathga_0-1706631933656
      note-icon

      ملاحظة: بدءا من رمز 17.9.x، تم تحديث مظهر ملف تعريف السياسة كما هو موضح في الصورة.

      Screenshot 2024-02-16 at 2.42.25 PM

    3. من علامة التبويب سياسات الوصول قم بتعيين شبكة VLAN التي يتم تعيين العملاء اللاسلكيين لها عند إتصالهم بشبكة WLAN هذه بشكل افتراضي.

      jonathga_1-1706632001785
      note-icon

      ملاحظة: لا يلزم وجود شبكة VLAN التي تم تكوينها على هذه الخطوة في قائمة شبكة VLAN الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC). تتم إضافة شبكات VLAN الضرورية على ملف التعريف Flex-Profile لاحقا، مما يؤدي إلى إنشاء شبكات VLAN على نقطة الوصول نفسها.



    4. من علامة التبويب خيارات متقدمة، قم بتمكين خانة الاختيار السماح بتجاوز AAA لتجاوز تكوينات WLC بواسطة خادم RADIUS.

      jonathga_2-1706632026213

    تعيين ملف تعريف نهج FlexConnect إلى شبكة WLAN وعلامة النهج

    note-icon

    ملاحظة: يتم إستخدام علامة النهج لربط شبكة WLAN بملف تعريف النهج. يمكنك إما إنشاء علامة سياسة جديدة أو استخدام علامة السياسة الافتراضية.

    1. انتقل إلى التكوين > علامات تمييز وملفات تعريف > علامات تمييز > السياسة وقم بإضافة ملف جديد إذا لزم الأمر.

      jonathga_3-1706632177957
    2. أدخل اسما لعلامة النهج وانقر فوق الزر "إضافة".

      jonathga_4-1706632213815
    3. قم بربط ملف تعريف WLAN بملف تعريف السياسة المطلوب.

      jonathga_5-1706632239122
    4. انقر على زر تطبيق على الجهاز.

    jonathga_6-1706632270590

    تكوين ملف تعريف Flex

    لتعيين معرف VLAN بشكل ديناميكي عبر RADIUS على نقطة وصول FlexConnect، من الضروري لمعرف VLAN المذكور في سمة معرف Tunnel-Private-Group لاستجابة RADIUS أن يكون موجودا على نقاط الوصول. يتم تكوين شبكات VLAN على ملف تعريف Flex. 

    1. انتقل إلى التكوين>العلامات وملفات التعريف>flex >+ add.

      Screenshot 2024-01-30 at 11.45.19 AM
    2. انقر على علامة التبويب عام، وقم بتعيين اسم لملف تعريف Flex، وشكلت معرف VLAN أهلي طبيعي لنقطة الوصول.

      Screenshot 2024-01-30 at 11.39.28 AM
      note-icon

      ملاحظة: يحيل ال VLAN أهلي طبيعي id إدارة VLAN ل ال ap، لذلك هو ينبغي طابقت ال VLAN تشكيل أهلي طبيعي من المفتاح ال ap يكون ربطت إلى

    3. انتقل إلى علامة تبويب شبكة VLAN وانقر على الزر "إضافة" لإدخال جميع شبكات VLAN الضرورية.

      Screenshot 2024-01-30 at 11.49.19 AM
    note-icon

    ملاحظة: في الخطوة 3 من تكوين ملف تعريف سياسة FlexConnect للقسم، قمت بتكوين شبكة VLAN الافتراضية المعينة إلى SSID. إذا كنت تستخدم اسم شبكة VLAN على تلك الخطوة، فتأكد من إستخدام اسم شبكة VLAN نفسه على تكوين ملف تعريف Flex، وإلا، فلن يتمكن العملاء من الاتصال بشبكة WLAN.

    تكوين علامة الموقع المرن

    1. انتقل إلى التكوين > علامات تمييز وملفات تعريف > علامات تمييز > موقع > إضافة، لإنشاء علامة موقع جديدة.
    2. قم بإلغاء تحديد مربع تمكين الموقع المحلي للسماح لنقاط الوصول بتبديل حركة مرور بيانات العميل محليا وإضافة ملف تعريف Flex الذي تم إنشاؤه على قسم تكوين ملف تعريف Flex.

      Picture1

    قم بتعيين "النهج" و"علامة الموقع" لنقطة الوصول.

    1. انتقل إلى التكوين > لاسلكي > نقاط الوصول > اسم نقطة الوصول > علامات التمييز العامة، وقم بتعيين السياسة ذات الصلة وعلامة الموقع ثم انقر على تحديث وتطبيق على الجهاز.

    Picture2

    caution-icon

    تحذير: كن على علم بأن تغيير السياسة والعلامة على الموقع على نقطة وصول يؤدي إلى قطع اتصال نقطة الوصول بعنصر التحكم في الشبكة المحلية اللاسلكية (WLC) ثم إعادة الاتصال.

    note-icon

    ملاحظة: إذا تم تكوين نقطة الوصول في الوضع المحلي (أو أي وضع آخر) ثم تحصل على علامة موقع مع تعطيل الإعداد "تمكين الموقع المحلي"، تقوم نقطة الوصول بإعادة التشغيل وتعود إلى وضع FlexConnect

    التحقق من الصحة

    استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

    قم بتكوين ملف تعريف SSID لعميل الاختبار باستخدام بروتوكول EAP المناسب وبيانات الاعتماد المعرفة في ISE التي يمكنها إرجاع تعيين شبكة VLAN ديناميكية. ما إن يكون أنت حضضت ل username وكلمة، دخلت المعلومة من المستعمل يعين إلى VLAN على ISE.

    في المثال السابق، لاحظ أن سميث-102 يتم تعيينه لشبكة VLAN102 كما هو محدد في خادم RADIUS. يستخدم هذا المثال اسم المستخدم هذا لتلقي المصادقة وتخصيصه لشبكة VLAN بواسطة خادم RADIUS:

    بمجرد اكتمال المصادقة، يلزمك التحقق من تعيين العميل لشبكة VLAN المناسبة وفقا لسمات RADIUS المرسلة. أكمل الخطوات التالية لإنجاز هذه المهمة:

    1. من واجهة المستخدم الرسومية الخاصة بوحدة التحكم، انتقل إلى حقل VLAN Monitoring > Wireless > Clients > Select the client MAC address > General > Security Information وابحث عنه كما هو موضح في الصورة:

      Verify that your client is assigned to the proper VLAN

      من هذا الإطار، يمكنك ملاحظة أنه يتم تعيين هذا العميل لشبكة VLAN102 وفقا لسمات RADIUS التي تم تكوينها على خادم RADIUS.

      من واجهة سطر الأوامر (CLI)، يمكنك إستخدام show wireless client summary detail الأمر لعرض نفس المعلومات كما هو موضح في الصورة:

      Verify that your client is assigned to the proper VLAN from the CLI

    2. من الممكن تمكين Radioactive traces لضمان النقل الناجح لسمات RADIUS إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). للقيام بذلك، اتبع الخطوات التالية:
      1. من واجهة المستخدم الرسومية (GUI) لوحدة التحكم، انتقل إلى Troubleshooting > Radioactive Trace > +Add.
      2. أدخل عنوان MAC الخاص بالعميل اللاسلكي.
      3. تحديد Start.
      4. قم بتوصيل العميل بشبكة WLAN.
      5. انتقل إلى Stop > Generate > Choose 10 minutes > Apply to Device > Select the trace file to download the log.

    يضمن هذا الجزء من مخرجات التتبع نقل سمات RADIUS بنجاح:

    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS: Received from id 1812/60 10.10.1.24:0, Access-Accept, len 352
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  authenticator e5 5e 58 fa da 0a c7 55 - 53 55 7d 43 97 5a 8b 17
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  User-Name           [1]     13  "smith-102"
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  State               [24]    40  ...
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Class               [25]    54  ...
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Tunnel-Type         [64]     6  VLAN                   [13]
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Tunnel-Medium-Type  [65]     6  ALL_802                [6]
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  EAP-Message         [79]     6  ...
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Message-Authenticator[80]    18  ...
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): 01:
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  Tunnel-Private-Group-Id[81]     6  "102"
    2021/03/21 22:22:45.236 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:  EAP-Key-Name        [102]   67  *
    2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:   MS-MPPE-Send-Key   [16]    52  *
    2021/03/21 22:22:45.237 {wncd_x_R0-0}{1}: [radius] [25253]: (info): RADIUS:   MS-MPPE-Recv-Key   [17]    52  *
    2021/03/21 22:22:45.238 {wncd_x_R0-0}{1}: [eap-auth] [25253]: (info): SUCCESS for EAP method name: PEAP on handle 0x0C000008

    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :            username   0 "smith-102" ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :               class   0 43 41 43 53 3a 33 33 30 32 30 41 30 41 30 30 30 30 30 30 33 35 35 36 45 32 32 31 36 42 3a 49 53 45 2d 32 2f 33 39 33 33 36 36 38 37 32 2f 31 31 32 36 34 30  ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :         tunnel-type   1 13 [vlan] ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :  tunnel-medium-type   1 6 [ALL_802] ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :tunnel-private-group-id   1 "102" ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [aaa-attr-inf] [25253]: (info): [ Applied attribute :             timeout   0 1800 (0x708) ]
    2021/03/21 22:22:46.700 {wncd_x_R0-0}{1}: [auth-mgr-feat_wireless] [25253]: (info): [0000.0000.0000:unknown] AAA override is enabled under policy profile

    استكشاف الأخطاء وإصلاحها

    لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.

    معلومات ذات صلة

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    3.0
    11-Apr-2024
    تقويم
    2.0
    02-Jun-2022
    الصور ذات الحجم المتغير
    1.0
    14-Apr-2021
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Jonathan de Jesus Garcia
      Cisco TAC Engineer
    • Jose Pablo Munoz
      Cisco TAC Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات