Permitindo redes Wireless múltiplas no Access point do VPN Router RV320, do Sem fio-n WAP321, e o Switches do Sx300 Series

Objetivo

Em um ambiente de negócio nunca-em mudança, sua rede da empresa de pequeno porte tem que ser poderosa, flexível, acessível, e altamente confiável, especialmente quando o crescimento é uma prioridade. A popularidade dos dispositivos Wireless cresceu exponencialmente, que não é uma surpresa. As redes Wireless são rentáveis, fáceis de distribuir, flexível, escalável, e móvel, seemlessly fornecendo recursos de rede. A autenticação permite dispositivos de rede verificar e garantir a legalidade de um usuário ao proteger a rede dos usuários não autorizados. É importante distribuir uma infraestrutura de rede Wireless segura e manejável.

O VPN Router MACILENTO do gigabit duplo de Cisco RV320 fornece uma Conectividade segura, altamente do acesso seguro para você e seus empregados. O Access point da Selecionável-faixa do Sem fio-n de Cisco WAP321 com única instalação do ponto apoia conexões de alta velocidade com Gigabit Ethernet. As pontes conectam LAN junto sem fio, facilitando o para que as empresas de pequeno porte expandam suas redes.

Este artigo fornece a orientação passo a passo para a configuração exigida para permitir o acesso Wireless em uma rede da empresa de pequeno porte de Cisco, incluindo o roteamento da rede de área local inter-virtual (VLAN), os identificadores do conjunto do serviço múltiplo (SSID), e os ajustes da segurança Wireless no roteador, no interruptor, e nos Access point.

Dispositivos aplicáveis

• VPN Router RV320
• Access point do Sem fio-n WAP321
• Interruptor do Sx300 Series

Versão de software

• 1.1.0.09 (RV320)
• 1.0.4.2 (WAP321)
• 1.3.5.58 (Sx300)

Topologia de rede

A imagem acima ilustra uma aplicação da amostra para o acesso Wireless usando SSID múltiplos com uma empresa de pequeno porte WAP de Cisco, interruptor e roteador. O WAP conecta ao interruptor e usa a interface de tronco para transportar pacotes do vlan múltiplo. O interruptor conecta ao WAN Router através da interface de tronco e o WAN Router executa o Roteamento Inter-Vlan. O WAN Router conecta ao Internet. Todos os dispositivos Wireless conectam ao WAP.

Recursos chaves

Combinar a característica do Roteamento Inter-Vlan fornecida pelo roteador de Cisco rv com a característica do isolamento do Sem fio SSID fornecida por um Access point da empresa de pequeno porte fornece um simples e fixa a solução para o acesso Wireless em toda a rede existente da empresa de pequeno porte de Cisco.

Roteamento Inter-Vlan

Os dispositivos de rede em VLAN diferentes não podem comunicar-se com o cada um sem um roteador para distribuir o tráfego entre os VLAN. Em uma rede da empresa de pequeno porte, o roteador executa o Roteamento Inter-Vlan para prendido e redes Wireless. Quando o Roteamento Inter-Vlan é desabilitado para um VLAN específico, os anfitriões nesse VLAN não poderão comunicar-se com os anfitriões ou os dispositivos em um outro VLAN.

Isolamento wireless SSID

Há dois tipos de isolamento wireless SSID. Quando o isolamento wireless (dentro do SSID) é permitido, os anfitriões no mesmo SSID não poderão considerar-se. Quando o isolamento wireless (entre o SSID) é permitido, o tráfego em um SSID não está enviado a nenhum outro SSID.

IEEE 802.1X

O padrão do IEEE 802.1X especifica os métodos usados para executar o controle de acesso com base na porta das redes que é usado para fornecer o acesso de rede autenticado às redes Ethernet. A autenticação com base na porta é um processo que permita que somente as trocas credenciais atravessem a rede até que o usuário conectado à porta esteja autenticado. A porta é chamada uma porta descontrolada durante o tempo as trocas das credenciais. A porta está chamada uma porta controlada depois que a autenticação é terminada. Isto é baseado em duas portas virtuais que existem dentro de uma única porta física.

Isto usa as características física do infra-estruturo de LAN comutado para autenticar os dispositivos anexados a uma porta de LAN. O acesso à porta pode ser negado se o processo de autenticação falha. Este padrão foi projetado originalmente para redes dos Ethernet ligada com fio, porém foi adaptado para o uso no Sem fio LAN do 802.11.

Configuração RV320

Nesta encenação nós queremos o RV320 atuar como o servidor DHCP para a rede, assim que nós precisaremos de ajustar aquele ascendente assim como de configurar VLAN separados no dispositivo. Para começar, entre ao roteador conectando a uma das portas Ethernet e indo a 192.168.1.1 (que supõe o não têm mudado já o endereço IP de Um ou Mais Servidores Cisco ICM NT do roteador).

Etapa 1. Entre ao utilitário de configuração da Web e escolha o gerenciamento de porta > a sociedade de VLAN. Uma página nova abre. Nós estamos criando 3 VLAN separados para representar públicos-alvo diferentes. Clique adicionam para adicionar uma nova linha e para editar o ID de VLAN e a descrição. Você igualmente precisará de certificar-se de que o VLAN está ajustado ao etiquetado em todas as relações em que precisem de viajar.

Etapa 2. Entre ao utilitário de configuração da Web e selecione o menu DHCP > a instalação DHCP. A página de instalação DHCP abre:

• Na caixa da gota do ID de VLAN, selecione o VLAN que você está estabelecendo o conjunto de endereços para (neste exemplo VLAN 10, 20, e 30).
• Configurar o endereço IP de Um ou Mais Servidores Cisco ICM NT do dispositivo para este VLAN, e ajuste o intervalo de endereço IP. Você pode igualmente permitir ou desabilitar o proxy DNS aqui se você deseja, e este será dependente da rede. Neste exemplo, o proxy DNS trabalhará para enviar pedidos DNS.
• Clique a salvaguarda e repita esta etapa para cada VLAN.

Etapa 3. No painel de navegação, selecione o gerenciamento de porta > a configuração do 802.1x. A página de configuração do 802.1X abre:

• Permita a autenticação com base na porta e configurar o endereço IP de Um ou Mais Servidores Cisco ICM NT do server.
• O segredo do RAIO é a chave de autenticação usada para comunicar-se com o server.
• Escolha que portas usarão esta autenticação e clicarão a salvaguarda.

Configuração Sx300

O interruptor SG300-10MP funciona como um intermediário entre o roteador e o WAP321 a fim simular um ambiente de rede realístico. A configuração no interruptor é como segue.

Etapa 1. Entre ao utilitário de configuração da Web, e o gerenciamento de VLAN seleto > cria o VLAN. Uma página nova abre:

Etapa 2. O clique adiciona. Uma nova janela aparece. Dê entrada com o ID de VLAN e o nome VLAN (use o mesmos que a descrição da seção I). O clique aplica, e repete então esta etapa para VLAN 20 e 30.

Etapa 3. No painel de navegação, selecione o gerenciamento de VLAN > a porta ao VLAN. Uma página nova abre:

• Na parte superior da página ajuste do “os iguais ID de VLAN a” ao VLAN que você está adicionando (neste caso, VLAN10) e clica então vai à direita. Isto atualizará a página com os ajustes para esse VLAN.
• Mude o ajuste em cada porta de modo que o VLAN10 “seja etiquetado agora” em vez do “excluído.” Repita esta etapa para VLAN 20 e 30.

Etapa 4. No painel de navegação, selecione a Segurança > o raio. A página do RAIO abre:

• Escolha o método do controle de acesso a ser usado pelo servidor Radius, controle de acesso do Gerenciamento ou autenticação com base na porta. Escolha o controle de acesso baseado porta e o clique aplica-se.
• O clique adiciona na parte inferior da página para adicionar um server novo para autenticar a.

Etapa 5. No indicador que aparece você configurará o endereço IP de Um ou Mais Servidores Cisco ICM NT do server, neste caso 192.168.1.32. Você precisará de ajustar uma prioridade para o server, mas desde que neste exemplo nós temos somente um server para autenticar à prioridade não importa. Isto é importante se você tem os servidores Radius múltiplos a escolher de. Configurar a chave de autenticação e o resto dos ajustes pode ser deixado como o padrão.

Etapa 6. No painel de navegação, selecione a Segurança > o 802.1X > as propriedades. Uma página nova abre:

• A verificação permite de girar sobre a autenticação do 802.1x e de escolher o método de autenticação. Neste caso nós estamos usando um servidor Radius assim que escolha a primeira ou segunda opção.
• Clique em Apply.

Etapa 7. Escolha um dos VLAN e o clique editam. Uma nova janela aparece. A verificação permite de permitir a autenticação nesses VLAN e clique aplica-se. Repita para cada VLAN.

Configuração WAP321

Os pontos de acesso virtual (VAPs) segmentam o Wireless LAN nos domínios de transmissão múltiplos que são o equivalente do Sem fio dos vlan de Ethernet. VAPs simula pontos de acesso múltiplo em um dispositivo físico WAP. Até quatro VAPs são apoiados no WAP121 e até oito VAPs são apoiados no WAP321.

Cada VAP pode independentemente ser permitido ou desabilitado, à excecpção de VAP0. VAP0 é a interface de rádio física e as sobras permitiram enquanto o rádio é permitido. Para desabilitar a operação de VAP0, o rádio próprio deve ser desabilitado.

Cada VAP é identificado por um Service Set Identifier (SSID) do configurado pelo usuário. VAPs múltiplo não pode ter o mesmo nome SSID. As transmissões SSID podem ser permitidas ou desabilitado independentemente em cada VAP. A transmissão SSID é permitida à revelia.

Etapa 1. Entre ao utilitário de configuração da Web e selecione o > Rádio wireless. A página de rádio abre:

• Clique a caixa de verificação da possibilidade para permitir o rádio wireless.
• Click Save. O rádio será girado então sobre.

Etapa 2.On o painel de navegação, Sem fio seleto > redes. A página da rede abre:

Nota: O SSID padrão para VAP0 é ciscosb. Cada VAP adicional criado tem um nome do ssid em branco. Os SSID para todo o VAPs podem ser configurados a outros valores.

Etapa 3. Cada VAP é associado com um VLAN, que seja identificado por um ID de VLAN (VID). Um VID pode ser qualquer valor de 1 a 4094, inclusivo. O WAP121 apoia cinco Vlan ativo (quatro para o WLAN mais um VLAN de gerenciamento). O WAP321 apoia nove Vlan ativo (oito para o WLAN mais um VLAN de gerenciamento).

À revelia, o VID atribuído ao utilitário de configuração para o dispositivo WAP é 1, que é igualmente o sem etiqueta VID do padrão. Se o Gerenciamento VID é o mesmo que o VID atribuído a um VAP, a seguir os clientes de WLAN associados com este VAP específico podem administrar o dispositivo WAP. Se necessário, um Access Control List (ACL) pode ser criado para desabilitar a administração dos clientes de WLAN.

• Clique os botões da marca de verificação no lado esquerdo para editar os SSID:
• Incorpore o valor necessário o ID de VLAN na caixa do ID de VLAN
• Clique o botão Save Button uma vez que os SSID foram incorporados.

Etapa 4. No painel de navegação, selecione o suplicante da segurança de sistema > do 802.1X. A página do suplicante do 802.1X abre:

• A verificação permite no campo do modo administrativo de permitir o dispositivo de atuar como um suplicante na autenticação do 802.1X.
• Escolha o tipo apropriado de método do Extensible Authentication Protocol (EAP) da lista de drop-down no campo do método de EAP.
• Incorpore o nome de usuário e senha que o Access point se usa para obter a autenticação do autenticador do 802.1X nos campos do nome de usuário e senha. O comprimento do nome de usuário e senha deve ser 1 a 64 caráteres alfanuméricos e do símbolo. Isto deve já ser configurado no Authentication Server.
• Salvaguarda do clique para salvar os ajustes.

Nota: A área de status do arquivo certificado mostra se o arquivo certificado esta presente ou não. O certificado SSL é digitalmente um certificado assinado por um Certificate Authority que permita que o navegador da Web tenha uma comunicação segura com o servidor de Web. Para controlar e configurar o certificado SSL referem o gerenciamento certificado do Secure Socket Layer (SSL) do artigo nos Access point WAP121 e WAP321

Etapa 5. No painel de navegação, selecione a Segurança > o servidor Radius. A página de servidor radius abre. Incorpore os parâmetros, e clique o botão Save Button uma vez que os parâmetros do servidor Radius foram incorporados.