In einer sich ständig ändernden Geschäftsumgebung muss Ihr Netzwerk für kleine und mittlere Unternehmen leistungsfähig, flexibel, zugänglich und äußerst zuverlässig sein, insbesondere wenn Wachstum eine Priorität darstellt. Die Beliebtheit von Wireless-Geräten ist exponentiell angestiegen, was keine Überraschung ist. Wireless-Netzwerke sind kosteneffizient, einfach bereitzustellen, flexibel, skalierbar und mobil und stellen scheinbar Netzwerkressourcen bereit. Mit der Authentifizierung können Netzwerkgeräte die Legitimität eines Benutzers überprüfen und gewährleisten und gleichzeitig das Netzwerk vor nicht autorisierten Benutzern schützen. Es ist wichtig, eine sichere und verwaltbare Wireless-Netzwerkinfrastruktur bereitzustellen.
Der Cisco RV320 Dual-Gigabit-WAN VPN-Router bietet Ihnen und Ihren Mitarbeitern zuverlässige und hochsichere Zugriffsverbindungen. Der Cisco WAP321 Wireless-N Selectable-Band Access Point mit Single-Point-Einrichtung unterstützt Hochgeschwindigkeitsverbindungen mit Gigabit Ethernet. Bridges verbinden LANs drahtlos miteinander, was kleinen Unternehmen die Erweiterung ihrer Netzwerke erleichtert.
Dieser Artikel enthält eine schrittweise Anleitung für die Konfiguration, die für die Aktivierung des Wireless-Zugriffs in einem Cisco Small Business-Netzwerk erforderlich ist, einschließlich VLAN-übergreifendem Routing (Virtual Local Area Network), mehreren Service Set Identifiers (SSIDs) und Wireless-Sicherheitseinstellungen am Router, Switch und Access Points.
· RV320 VPN-Router
· WAP321 Wireless-N Access Point
· Switch der Serie Sx300
· 1.1.0.09 (RV320)
· 1.0.4.2 (WAP321)
· 1.3.5.58 (Sx300)
Das Bild oben zeigt eine Beispielimplementierung für den Wireless-Zugriff mithilfe mehrerer SSIDs mit einem Cisco Small Business WAP, Switch und Router. Der WAP stellt eine Verbindung zum Switch her und verwendet die Trunk-Schnittstelle, um mehrere VLAN-Pakete zu transportieren. Der Switch stellt über die Trunk-Schnittstelle eine Verbindung zum WAN-Router her, und der WAN-Router führt Inter-VLAN-Routing durch. Der WAN-Router stellt eine Verbindung zum Internet her. Alle Wireless-Geräte sind mit dem WAP verbunden.
Die Kombination der vom Cisco RV-Router bereitgestellten VLAN-übergreifenden Routing-Funktion mit der Wireless-SSID-Isolierungsfunktion eines Small Business Access Points bietet eine einfache und sichere Lösung für den Wireless-Zugriff auf bestehende Cisco Small Business-Netzwerke.
Netzwerkgeräte in verschiedenen VLANs können ohne einen Router zur Weiterleitung des Datenverkehrs zwischen den VLANs nicht miteinander kommunizieren. In einem Small Business-Netzwerk führt der Router das VLAN-übergreifende Routing für die kabelgebundenen und Wireless-Netzwerke durch. Wenn Inter-VLAN-Routing für ein bestimmtes VLAN deaktiviert ist, können Hosts in diesem VLAN nicht mit Hosts oder Geräten in einem anderen VLAN kommunizieren.
Es gibt zwei Arten von Wireless-SSID-Isolierung. Wenn die Wireless-Isolierung (innerhalb der SSID) aktiviert ist, können Hosts derselben SSID einander nicht sehen. Wenn die Wireless-Isolierung (zwischen SSIDs) aktiviert ist, wird der Datenverkehr einer SSID nicht an eine andere SSID weitergeleitet.
Der IEEE 802.1x-Standard legt Methoden für die Implementierung einer portbasierten Netzwerkzugriffskontrolle fest, die für den authentifizierten Netzwerkzugriff auf Ethernet-Netzwerke verwendet wird. Die Port-basierte Authentifizierung ist ein Prozess, der nur den Austausch von Anmeldeinformationen über das Netzwerk ermöglicht, bis der mit dem Port verbundene Benutzer authentifiziert wird. Der Port wird während des Austauschs der Anmeldeinformationen als unkontrollierter Port bezeichnet. Der Port wird nach Abschluss der Authentifizierung als kontrollierter Port bezeichnet. Dies basiert auf zwei virtuellen Ports, die sich in einem einzelnen physischen Port befinden.
Dabei werden die physischen Merkmale der Switched LAN-Infrastruktur zur Authentifizierung von Geräten verwendet, die an einen LAN-Port angeschlossen sind. Der Zugriff auf den Port kann verweigert werden, wenn der Authentifizierungsprozess fehlschlägt. Dieser Standard wurde ursprünglich für kabelgebundene Ethernet-Netzwerke entwickelt, wurde jedoch für die Verwendung in 802.11-WLANs angepasst.
In diesem Szenario soll der RV320 als DHCP-Server für das Netzwerk fungieren. Dies muss eingerichtet und separate VLANs auf dem Gerät konfiguriert werden. Melden Sie sich zunächst beim Router an, indem Sie eine Verbindung zu einem der Ethernet-Ports herstellen und zu 192.168.1.1 wechseln (vorausgesetzt, Sie haben die IP-Adresse des Routers noch nicht geändert).
Schritt 1: Melden Sie sich beim Webkonfigurationsprogramm an, und wählen Sie Port Management > VLAN Membership aus. Eine neue Seite wird geöffnet. Wir erstellen drei separate VLANs, um verschiedene Zielgruppen zu repräsentieren. Klicken Sie auf Hinzufügen, um eine neue Zeile hinzuzufügen und die VLAN-ID und -Beschreibung zu bearbeiten. Sie müssen außerdem sicherstellen, dass das VLANs auf allen Schnittstellen, die für die Anreise benötigt werden, auf Tagged festgelegt ist.
Schritt 2: Melden Sie sich beim Webkonfigurationsprogramm an, und wählen Sie DHCP Menu > DHCP Setup aus. Die Seite DHCP-Setup wird geöffnet:
Schritt 3: Wählen Sie im Navigationsbereich Port Management > 802.1x Configuration aus. Die Seite 802.1X-Konfiguration wird geöffnet:
Der Switch SG300-10MP fungiert als Vermittler zwischen dem Router und dem WAP321, um eine realistische Netzwerkumgebung zu simulieren. Die Konfiguration für den Switch ist wie folgt:
Schritt 1: Melden Sie sich beim Webkonfigurationsprogramm an, und wählen Sie VLAN Management > Create VLAN aus. Eine neue Seite wird geöffnet:
Schritt 2: Klicken Sie auf Hinzufügen. Ein neues Fenster wird angezeigt. Geben Sie die VLAN-ID und den VLAN-Namen ein (verwenden Sie die gleiche Beschreibung wie in Abschnitt I). Klicken Sie auf Apply, und wiederholen Sie diesen Schritt für die VLANs 20 und 30.
Schritt 3: Wählen Sie im Navigationsbereich VLAN Management > Port to VLAN aus. Eine neue Seite wird geöffnet:
Schritt 4: Wählen Sie im Navigationsbereich Security > Radius (Sicherheit > Radius) aus. Die Seite RADIUS wird geöffnet:
Schritt 5: Im angezeigten Fenster konfigurieren Sie die IP-Adresse des Servers, in diesem Fall 192.168.1.32. Sie müssen eine Priorität für den Server festlegen. Da in diesem Beispiel jedoch nur ein Server für die Authentifizierung in der Priorität vorhanden ist, spielt dies keine Rolle. Dies ist wichtig, wenn Sie mehrere RADIUS-Server zur Auswahl haben. Konfigurieren Sie den Authentifizierungsschlüssel, und die übrigen Einstellungen können als Standard beibehalten werden.
Schritt 6: Wählen Sie im Navigationsbereich Security > 802.1X > Properties aus. Eine neue Seite wird geöffnet:
Schritt 7: Wählen Sie eines der VLANs aus, und klicken Sie auf Bearbeiten. Ein neues Fenster wird angezeigt. Aktivieren Sie Aktivieren, um die Authentifizierung für dieses VLAN zuzulassen, und klicken Sie auf Übernehmen. Wiederholen Sie die Schritte für jedes VLAN.
Virtual Access Points (VAPs) segmentieren das WLAN in mehrere Broadcast-Domänen, die das WLAN-Äquivalent zu Ethernet-VLANs darstellen. VAPs simulieren mehrere Access Points in einem physischen WAP-Gerät. Der WAP121 unterstützt bis zu vier VAPs und der WAP321 bis zu acht VAPs.
Mit Ausnahme von VAP0 kann jeder VAP unabhängig aktiviert oder deaktiviert werden. VAP0 ist die physische Funkschnittstelle und bleibt aktiviert, solange die Funkverbindung aktiviert ist. Um den Betrieb von VAP0 zu deaktivieren, muss die Funkübertragung selbst deaktiviert werden.
Jeder VAP wird durch einen benutzerdefinierten Service Set Identifier (SSID) identifiziert. Mehrere VAPs können nicht denselben SSID-Namen haben. SSID-Broadcasts können auf jedem VAP unabhängig aktiviert oder deaktiviert werden. SSID-Broadcast ist standardmäßig aktiviert.
Schritt 1: Melden Sie sich beim Webkonfigurationsprogramm an, und wählen Sie Wireless > Radio aus. Die Seite Radio wird geöffnet:
Schritt 2.Wählen Sie im Navigationsbereich Wireless > Networks aus. Die Seite Netzwerk wird geöffnet:
Hinweis: Die Standard-SSID für VAP0 ist ciscosb. Jeder zusätzliche VAP hat einen leeren SSID-Namen. Die SSIDs für alle VAPs können für andere Werte konfiguriert werden.
Schritt 3: Jeder VAP ist einem VLAN zugeordnet, das durch eine VLAN-ID (VID) identifiziert wird. Eine VID kann einen beliebigen Wert zwischen 1 und 4094 (einschließlich) aufweisen. Der WAP121 unterstützt fünf aktive VLANs (vier für WLAN und ein Management-VLAN). Der WAP321 unterstützt neun aktive VLANs (acht für WLAN und ein Management-VLAN).
Die VID, die dem Konfigurationsprogramm für das WAP-Gerät zugewiesen ist, ist standardmäßig die 1, d. h. die standardmäßige nicht gekennzeichnete VID. Wenn die Management-VID mit der VID übereinstimmt, die einem VAP zugewiesen ist, können die diesem VAP zugeordneten WLAN-Clients das WAP-Gerät verwalten. Bei Bedarf kann eine Zugriffskontrollliste (ACL) erstellt werden, um die Administration von WLAN-Clients zu deaktivieren.
In diesem Bildschirm sollten folgende Schritte ausgeführt werden:Schritt 4: Wählen Sie im Navigationsbereich Systemsicherheit > 802.1X Supplicant aus. Die Seite 802.1X Supplicant wird geöffnet:
Hinweis: Im Bereich Status der Zertifikatsdatei wird angezeigt, ob die Zertifikatsdatei vorhanden ist oder nicht. Das SSL-Zertifikat ist ein digital signiertes Zertifikat von einer Zertifizierungsstelle, das dem Webbrowser eine sichere Kommunikation mit dem Webserver ermöglicht. Informationen zum Verwalten und Konfigurieren des SSL-Zertifikats finden Sie im Artikel Secure Socket Layer (SSL) Certificate Management auf WAP121 und WAP321 Access Points.
Schritt 5: Wählen Sie im Navigationsbereich Security > RADIUS Server (Sicherheit > RADIUS-Server) aus. Die Seite RADIUS Server wird geöffnet. Geben Sie die Parameter ein, und klicken Sie auf die Schaltfläche Speichern, sobald die Radius-Server-Parameter eingegeben wurden.