Para parceiros
Este documento fornece a matriz de compatibilidade para os mecanismos de segurança de Camada 2 e Camada 3 suportados no Wireless LAN Controller (WLC).
A Cisco recomenda que você tenha conhecimento destes tópicos:
Conhecimento básico da configuração de APs leves e WLCs da Cisco
Conhecimento básico do protocolo de AP leve (LWAPP)
Conhecimento básico das soluções de segurança sem fio
As informações neste documento são baseadas em um Cisco 4400/2100 Series WLC que executa a versão de firmware 7.0.116.0
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
A Cisco Unified Wireless Network oferece suporte a métodos de segurança de Camada 2 e Camada 3.
Segurança da camada 2
Segurança da camada 3 (para WLAN) ou da camada 3 (para LAN Convidada)
A segurança da camada 2 não é suportada em LANs de convidado.
Esta tabela lista os vários métodos de segurança de Camada 2 e Camada 3 suportados no Wireless LAN Controller. Esses métodos de segurança podem ser habilitados na guia Security na página WLANs > Edit da WLAN.
Mecanismo de segurança da camada 2 | ||
---|---|---|
Parâmetro | Descrição | |
Segurança da camada 2 | Nenhum | Nenhuma segurança de Camada 2 selecionada. |
WPA+WPA2 | Use essa configuração para ativar o Wi-Fi Protected Access. | |
802,1X | Use essa configuração para habilitar a autenticação 802.1x. | |
WEP estático | Use essa configuração para habilitar a criptografia WEP estática. | |
WEP estática + 802.1x | Use essa configuração para ativar os parâmetros WEP estáticos e 802.1x. | |
CKIP | Use essa configuração para ativar o Cisco Key Integrity Protocol (CKIP). Funcional nos modelos AP 1100, 1130 e 1200, mas não AP 1000. O Aironet IE precisa ser ativado para que esse recurso funcione. O CKIP expande as chaves de criptografia para 16 bytes. | |
Filtragem MAC | Selecione para filtrar clientes por endereço MAC. Configure os clientes localmente pelo endereço MAC na página Filtros MAC > Nova. Caso contrário, configure os clientes em um servidor RADIUS. | |
Mecanismo de segurança da camada 3 (para WLAN) | ||
Parâmetro | Descrição | |
Segurança da camada 3 | Nenhum | Nenhuma segurança de Camada 3 selecionada. |
IPSec | Use essa configuração para habilitar o IPSec. Você precisa verificar a disponibilidade de software e a compatibilidade de hardware do cliente antes de implementar o IPSec. Observação: você deve ter o VPN/Enhanced Security Module (placa de processador de criptografia) opcional instalado para habilitar o IPSec. Verifique se ele está instalado em seu controlador na página Inventário. |
|
Passagem de VPN | Use essa configuração para habilitar a passagem de VPN. Observação: essa opção não está disponível nos Cisco 5500 Series Controllers e Cisco 2100 Series Controllers. No entanto, você pode replicar essa funcionalidade em um Cisco 5500 Series Controller ou Cisco 2100 Series Controller criando uma WLAN aberta usando uma ACL. |
|
Política da Web | Marque essa caixa de seleção para habilitar a Política da Web. O controlador encaminha o tráfego DNS de e para clientes sem fio antes da autenticação. Observação: a política da Web não pode ser usada em combinação com opções de Passagem IPsec ou VPN. Esses parâmetros são exibidos:
|
|
ACL de pré-autenticação | Selecione a ACL a ser usada para tráfego entre o cliente e o controlador. | |
Sobrepor à configuração global | Exibe se você selecionou Autenticação. Marque essa caixa para substituir o conjunto de configurações de autenticação global na página de login da Web. | |
tipo de autenticação da Web | Exibe se você seleciona Política da Web e Sobreposição da configuração global. Selecione um tipo de autenticação da Web:
|
|
Entrada de e-mail | Exibe se você selecionou Passagem. Se você selecionar essa opção, será solicitado que você forneça seu endereço de e-mail ao se conectar à rede. | |
Mecanismo de segurança da camada 3 (para LAN de convidado) | ||
Parâmetro | Descrição | |
Segurança da camada 3 | Nenhum | Nenhuma segurança de Camada 3 selecionada. |
Autenticação da Web | Se você selecionar essa opção, será solicitado o nome de usuário e a senha ao conectar o cliente à rede. | |
Passagem da Web | Se você selecionar essa opção, poderá acessar a rede diretamente sem a autenticação de nome de usuário e senha. | |
ACL de pré-autenticação | Selecione a ACL a ser usada para tráfego entre o cliente e o controlador. | |
Sobrepor à configuração global | Marque essa caixa para substituir o conjunto de configurações de autenticação global na página de login da Web. | |
tipo de autenticação da Web | Exibe se você seleciona Sobrepor configuração global. Selecione um tipo de autenticação da Web:
|
|
Entrada de e-mail | Exibe se você selecionou a Passagem da Web. Se você selecionar essa opção, será solicitado que você forneça seu endereço de e-mail ao se conectar à rede. |
Observação: no software da controladora versão 4.1.185.0 ou posterior, o CKIP é suportado para uso somente com WEP estático. Ele não é suportado para uso com WEP dinâmica. Portanto, um cliente sem fio configurado para usar CKIP com WEP dinâmica não pode se associar a uma LAN sem fio configurada para CKIP. A Cisco recomenda que você use WEP dinâmico sem CKIP (que é menos seguro) ou WPA/WPA2 com TKIP ou AES (que são mais seguros).
Ao configurar a segurança em uma LAN sem fio, os métodos de segurança das Camadas 2 e 3 podem ser usados em conjunto. No entanto, nem todos os métodos de segurança da camada 2 podem ser usados com todos os métodos de segurança da camada 3. Esta tabela mostra a matriz de compatibilidade dos métodos de segurança de Camada 2 e Camada 3 suportados no Wireless LAN Controller.
Mecanismo de segurança da camada 2 | Mecanismo de segurança da camada 3 | Compatibilidade |
---|---|---|
Nenhum | Nenhum | Válido |
WPA+WPA2 | Nenhum | Válido |
WPA+WPA2 | Autenticação da Web | Inválido |
WPA-PSK/WPA2-PSK | Autenticação da Web | Válido |
WPA+WPA2 | Passagem da Web | Inválido |
WPA-PSK/WPA2-PSK | Passagem da Web | Válido |
WPA+WPA2 | Redirecionamento condicional da Web | Válido |
WPA+WPA2 | Redirecionamento da Web da página inicial | Válido |
WPA+WPA2 | Passagem de VPN | Válido |
802,1x | Nenhum | Válido |
802,1x | Autenticação da Web | Inválido |
802,1x | Passagem da Web | Inválido |
802,1x | Redirecionamento condicional da Web | Válido |
802,1x | Redirecionamento da Web da página inicial | Válido |
802,1x | Passagem de VPN | Válido |
WEP estático | Nenhum | Válido |
WEP estático | Autenticação da Web | Válido |
WEP estático | Passagem da Web | Válido |
WEP estático | Redirecionamento condicional da Web | Inválido |
WEP estático | Redirecionamento da Web da página inicial | Inválido |
WEP estático | Passagem de VPN | Válido |
Static-WEP+ 802.1x | Nenhum | Válido |
Static-WEP+ 802.1x | Autenticação da Web | Inválido |
Static-WEP+ 802.1x | Passagem da Web | Inválido |
Static-WEP+ 802.1x | Redirecionamento condicional da Web | Inválido |
Static-WEP+ 802.1x | Redirecionamento da Web da página inicial | Inválido |
Static-WEP+ 802.1x | Passagem de VPN | Inválido |
CKIP | Nenhum | Válido |
CKIP | Autenticação da Web | Válido |
CKIP | Passagem da Web | Válido |
CKIP | Redirecionamento condicional da Web | Inválido |
CKIP | Redirecionamento da Web da página inicial | Inválido |
CKIP | Passagem de VPN | Válido |
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
28-Jun-2011 |
Versão inicial |