在不断变化的业务环境中,您的小型企业网络必须具有强大、灵活、可访问且高度可靠的特性,尤其是当增长是首要任务时。无线设备的普及率呈指数级增长,这并不令人意外。无线网络具有成本效益、易于部署、灵活、可扩展和移动性,可无缝地提供网络资源。身份验证允许网络设备验证并保证用户的合法性,同时保护网络免受未授权用户的侵扰。部署安全且可管理的无线网络基础设施非常重要。
Cisco RV320双千兆WAN VPN路由器为您和您的员工提供可靠、高度安全的接入连接。支持单点设置的Cisco WAP321 Wireless-N可选频段接入点支持千兆以太网的高速连接。网桥以无线方式将LAN连接在一起,使小型企业更容易扩展其网络。
本文提供在思科小型企业网络中启用无线接入所需的配置的分步指导,包括虚拟局域网(VLAN)路由、多服务集标识符(SSID)以及路由器、交换机和接入点上的无线安全设置。
· RV320 VPN路由器
· WAP321 Wireless-N接入点
· Sx300系列交换机
· 1.1.0.09(RV320)
· 1.0.4.2(WAP321)
· 1.3.5.58(Sx300)
上图显示了使用多个SSID和思科S系列WAP、交换机和路由器进行无线接入的示例实施。WAP连接到交换机,并使用中继接口传输多个VLAN数据包。交换机通过中继接口连接到WAN路由器,WAN路由器执行VLAN间路由。WAN路由器连接到Internet。所有无线设备都连接到WAP。
将Cisco RV路由器提供的VLAN间路由功能与小型企业接入点提供的无线SSID隔离功能相结合,可为任何现有思科小型企业网络的无线接入提供简单而安全的解决方案。
不同VLAN中的网络设备无法与每台设备通信,而没有路由器在VLAN之间路由流量。在小型企业网络中,路由器对有线和无线网络执行VLAN间路由。当为特定VLAN禁用VLAN间路由时,该VLAN中的主机将无法与另一VLAN中的主机或设备通信。
无线SSID隔离有两种类型。启用无线隔离(在SSID内)后,同一SSID上的主机将无法看到彼此。启用无线隔离(在SSID之间)后,一个SSID上的流量不会转发到任何其他SSID。
IEEE 802.1x标准指定了用于实施基于端口的网络访问控制的方法,该方法用于向以太网网络提供经过身份验证的网络访问。基于端口的身份验证是仅允许凭证交换通过网络的过程,直到连接到端口的用户通过身份验证。在凭证交换期间,该端口称为非受控端口。该端口在身份验证完成后称为受控端口。这基于单个物理端口中存在的两个虚拟端口。
这使用交换LAN基础设施的物理特征对连接到LAN端口的设备进行身份验证。如果身份验证过程失败,则可拒绝对端口的访问。此标准最初设计用于有线以太网,但已经适用于802.11无线LAN。
在此场景中,我们希望RV320充当网络的DHCP服务器,因此我们需要设置该服务器并在设备上配置单独的VLAN。要开始,请通过连接到以太网端口之一并转到192.168.1.1(假设您尚未更改路由器的IP地址)登录路由器。
步骤1.登录Web配置实用程序,然后选择Port Management > VLAN Membership。将打开新页面。我们创建3个单独的VLAN来代表不同的目标受众。单击Add添加新行并编辑VLAN ID和说明。您还需要确保在需要传输的任何接口上,VLAN都设置为标记。
步骤2.登录Web配置实用程序并选择“DHCP菜单”>“DHCP设置”。“DHCP设置”页面随即打开:
步骤3.在导航窗格中,选择Port Management > 802.1x Configuration。将打开“802.1X配置”页:
SG300-10MP交换机充当路由器和WAP321之间的中间设备,以模拟真实的网络环境。交换机上的配置如下。
步骤1.登录Web配置实用程序,然后选择VLAN Management > Create VLAN。将打开一个新页面:
步骤2.单击“添加”。系统将显示新窗口。输入VLAN ID和VLAN名称(使用与第I节中的说明相同)。 点击Apply,然后对VLAN 20和VLAN 30重复此步骤。
步骤3.在导航窗格中,选择VLAN Management > Port to VLAN。将打开一个新页面:
步骤4.在导航窗格中,选择Security > Radius。RADIUS页面打开:
步骤5.在显示的窗口中,您将配置服务器的IP地址(本例中为192.168.1.32)。您需要为服务器设置优先级,但是由于在本例中,我们只有一台服务器来按优先级进行身份验证并不重要。如果您有多个RADIUS服务器可供选择,则这一点非常重要。配置身份验证密钥,其余设置可保留为默认值。
步骤6.在导航窗格中,选择Security > 802.1X > Properties。将打开一个新页面:
步骤7.选择其中一个VLAN并单击Edit。系统将显示新窗口。选中Enable 以允许该VLAN上的身份验证,然后单击Apply。对每个VLAN重复上述步骤。
虚拟接入点(VAP)将无线LAN划分为多个广播域,这些广播域与以太网VLAN无线等效。VAP在一个物理WAP设备中模拟多个接入点。WAP121支持多达四个VAP,WAP321支持多达八个VAP。
除VAP0外,每个VAP都可以独立启用或禁用。VAP0是物理无线电接口,只要启用无线电,VAP0就保持启用状态。要禁用VAP0的操作,必须禁用无线电本身。
每个VAP由用户配置的服务集标识符(SSID)标识。 多个VAP不能具有相同的SSID名称。SSID广播可以在每个VAP上单独启用或禁用。SSID广播默认启用。
步骤1.登录Web配置实用程序并选择Wireless > Radio。此时将打开“Radio”页:
步骤2.在导航窗格中,选择Wireless > Networks。“网络”页面打开:
注意:VAP0的默认SSID是ciscosb。每创建一个额外的VAP都有一个空的SSID名称。所有VAP的SSID都可配置为其他值。
步骤3.每个VAP都与VLAN关联,VLAN由VLAN ID(VID)标识。VID可以是1到4094之间的任意值,包括。WAP121支持五个活动VLAN(四个用于WLAN,另外一个管理VLAN)。 WAP321支持9个活动VLAN(8个用于WLAN,另外1个管理VLAN)。
默认情况下,分配给WAP设备配置实用程序的VID为1,也是默认的无标记VID。如果管理VID与分配给VAP的VID相同,则与此特定VAP关联的WLAN客户端可以管理WAP设备。如果需要,可以创建访问控制列表(ACL),以禁用对WLAN客户端的管理。
在此屏幕上,应执行以下步骤:步骤4.在导航窗格中,选择System Security > 802.1X Supplicant客户端。“802.1X请求方”页面打开:
注意:Certificate File Status区域显示证书文件是否存在。SSL证书是证书颁发机构数字签名的证书,它允许Web浏览器与Web服务器进行安全通信。要管理和配置SSL证书,请参阅WAP121和WAP321接入点上的安全套接字层(SSL)证书管理文章
步骤5.在导航窗格中,选择Security > RADIUS Server。RADIUS服务器页面打开。输入参数后,单击Save按钮。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
11-Dec-2018 |
初始版本 |