配置访客无线网络

概述

使用思科S系列无线接入点扩展您的小型企业网络是让员工从任何位置连接到网络的绝佳方式。WAP371等产品可轻松集成到现有网络，并提供最新的802.11ac高速无线连接。思科无线访客接入功能提供与员工向客户端和其他网络访问者提供相同的移动性和便利性。

思科无线访客接入功能提供一种方便、经济高效的方式，为访客提供无线接入，同时保持内部网络的安全。无线访客网络提供以下基本功能：

·通过开放连接访客的互联网接入
·访客网络上的流量与业务网络保持分离
·隔离的每个访客的无线访问，防止访客通过网络彼此通信

主要特点

VLAN 间路由

将Cisco RV路由器上的VLAN间路由与思科S系列无线接入点上的无线SSID隔离功能相结合，可为任何现有思科S系列网络的访客接入创建简单、安全的解决方案，无需额外费用。

无线SSID隔离

无线SSID隔离功能将访客无线网络上的用户与普通无线网络上的用户分开。此外，通过启用无线隔离（在SSID内），访客网络上的无线用户也将彼此分离。这样，您可以为用户提供额外的安全性。

802.1Q封装

IEEE 802.1Q标准用于通过单个链路处理来自多个VLAN的流量，通常称为中继。当数据包被标记为“已标记”时，它将通过链路发送，并带有标识信息，以便接收端识别它属于哪个VLAN。“无标记”流量在链路上发送，但没有识别信息。标记为“已排除”的流量不允许通过链路。

使用的设备

· RV130路由器(1.0.1.3)
· SG300系列千兆PoE+托管交换机(1.4.0.88)
· WAP371无线接入点(1.1.2.3)
 

注意：使用的设备并非唯一适用于此配置的设备。此设置可能也适用于您的网络。请查阅您特定设备的管理指南，以确定访客网络功能是否可用。

注意：如果WAP371要通过以太网电缆供电，则需要符合802.3at标准的电源。所有思科PoE+交换机均提供此功能，或者使用802.3at PoE馈电器。

网络拓扑

在我们的场景中，我们将RV130的WAN端口插入宽带互联网连接，RV 130的端口1插入SG300的端口G9。我们的SG300的端口1也插入到WAP3的以太网端口71.我们将在WAP371上使用5GHz频段，以利用更高的带宽。

步骤

在RV130上添加和配置访客接入VLAN

步骤1.打开路由器的Web配置实用程序，然后导航至Networking > LAN > VLAN Membership。“VLAN成员资格”页面打开：

步骤2.单击Add Row ，将新VLAN添加到表中。VLAN设置表中将显示新行。

步骤3.在VLAN ID字段中输入访客VLAN ID的编号。记住此ID号，因为它也将应用于交换机和无线接入点的设置。在本示例中，为访客网络选择VLAN ID 25。

步骤4.在“说明”字段中，输入VLAN的名称。由于此示例将用于访客网络访问，因此它已命名为Guest。

步骤5.对于每个端口的下拉列表，为将路由器连接到交换机的端口选择Tagged。这将标记来自访客VLAN的数据包，以便接收端的其他设备可以识别它们。对于所有其他未连接的端口，选择Excluded以阻止来自访客VLAN的流量进入这些端口。在本示例中，RV130通过LAN端口1连接到SG300。有关“已标记”和“未标记”流量的其他信息，请参阅本文档主要功能部分中的802.1Q封装。

步骤6.单击Save以保存新创建的访客VLAN。

在SG300上添加和配置访客接入VLAN

在本节中，访客接入VLAN 25将添加到SG300交换机，VLAN将包括在其通往路由器的中继上。如果计划将无线接入点直接连接到RV130路由器，请跳至在WAP371上添加和配置访客接入VLAN。

步骤1.登录SG300的Web配置实用程序并导航至VLAN Management > VLAN Settings。系统将显示“VLAN设置”页：

步骤2.单击Add...添加新VLAN。

系统将显示Add VLAN窗口：

步骤3.在VLAN ID字段中，输入将用于访客网络访问的VLAN的ID。确保该ID与上一节中在路由器上设置的ID匹配。

步骤4.在VLAN Name字段中，输入访客VLAN的名称。

步骤5.在VLAN Interface State字段中，选中复选框以启用交换机内的VLAN接口。

步骤6.（可选）在链路状态SNMP陷阱字段中，选中该复选框以允许交换机发送与此VLAN的运行状态相关的SNMP陷阱。简单网络管理协议(SNMP)陷阱是指交换机可配置为在发生事件时发送到SNMP管理程序的消息，使网络管理员能够拥有一个包含实时更新的信息的集中数据库。

步骤7.单击“应用”。新创建的VLAN应显示在表中。

步骤8.单击“关闭”关闭“添加VLAN”窗口。

步骤9.导航至VLAN Management > Port to VLAN。系统将显示“端口到VLAN”页：

步骤10.从VLAN ID等于下拉列表中，选择访客网络的ID。

步骤11.单击Go。访客VLAN的VLAN成员资格表如下所示。

步骤12.对于表中列出的交换机的每个端口接口，从下拉列表中选择适当的成员类型。将交换机连接到WAP371(GE1)和RV130(GE9)的端口应标记以标记要在接收端识别的数据包，而访客VLAN的所有其他未连接端口应设置为Excluded以阻止访客流量进入。

步骤13.单击“应用”保存设置。

步骤 14：导航至管理>文件管理>复制/保存配置。系统将显示“复制/保存配置”页：

步骤 15：单击Apply保存配置。有关本页所示字段的详细信息，请参阅WAP371上的下载/备份配置。

系统将显示“复制文件”对话框：

步骤 16：Click OK.系统将显示“复制/保存配置状态”页：

步骤 17：单击“完成”。

在WAP371上添加和配置访客接入VLAN

在本节中，为访客访问创建单独的SSID，并将安全设置应用于无线网络。

启用无线电

步骤1.登录到您的无线接入点Web配置实用程序并导航至Wireless > Radio。系统将显示“单选按钮”页：

步骤2.为要启用的无线单选按钮选择单选按钮。2.4Ghz频段得到广泛支持。5Ghz频段并非所有设备都支持，范围较小，但支持更高的速度。

步骤3.选中Radio(无线)字段中的Enable(启用)复选框以启用无线电。如果启用5GHz无线电，系统将显示弹出消息，通知您需要符合802.3at标准的电源。普通PoE不支持802.3at标准。PoE+设备和交流适配器符合802.3at标准。单击 OK 继续。

步骤4.单击“保存”以应用更改。

系统将显示确认窗口：

步骤5.单击“确定”继续。页面将刷新。

将VLAN分配给SSID

步骤1.登录到您的无线接入点Web配置实用程序并导航至Wireless > Networks。系统将显示“网络”页：

步骤2.在Radio字段中，选择与要设置用于无线访客接入的无线电对应的单选按钮。这应与您之前在上一节的步骤2中启用的无线电相匹配。

步骤3.选中VLAN ID 1的SSID旁边的复选框，然后单击Edit。这允许对与VLAN对应的字段进行更改以供内部使用。

步骤4.在SSID Name字段中输入内部网络的名称。

步骤5.要向无线网络添加安全密码以供内部使用，请从“安全”下拉列表中选择“WPA个人”。系统将显示一个新的选项菜单：

注意：WPA企业版是一种更高级的安全选项，通过集中式RADIUS服务器为个人用户提供日志记录。有关WPA企业配置的详细信息，请参阅在WAP351、WAP131和WAP371上配置VAP。

步骤6.在“密钥”字段中，输入无线访问所需的密码。密钥强度计评估所选密码的强度以抵御可能的安全威胁。

步骤7.要添加访客SSID，请单击Add。SSID列表中将显示一个新条目。

步骤8.要开始设置访客SSID，请选中其复选框并单击Edit。

步骤9.在VLAN ID字段中，输入与网络中的访客VLAN关联的ID。确保此ID与您在配置路由器和交换机时选择的ID匹配。

步骤10.在SSID Name字段中输入访客网络的名称。

步骤11.要防止访客网络用户通过本地网络直接通信，请选中Channel Isolation复选框。

步骤12.单击Save保存新配置的SSID。

系统将显示“确认”窗口：

步骤 13：单击 OK 继续。

检验SSID

现在，您应看到2个新无线网络，其中SSID在本文的添加和配置WAP371上的访客接入VLAN子部分的将VLAN分配给SSID子部分中配置。

其他注意事项

管理无线访客接入

高级无线访客接入功能可将访客重定向到其Web浏览器中需要用户名和密码登录的强制网络门户页面。它还可以包括信息，并要求用户同意继续使用条款和条件。要了解有关使用高级访客接入功能设置您自己的强制网络门户的详细信息，请参阅在WAP371上配置强制网络门户。

有关无线访客接入的常见问题解答，请单击此处。