WLC第2层和第3层安全兼容性矩阵
简介
本文档提供无线局域网控制器(WLC)上支持的第2层和第3层安全机制的兼容性矩阵。
先决条件
要求
Cisco 建议您了解以下主题:
-
了解轻量 AP 和 Cisco WLC 配置方面的基础知识
-
了解轻量 AP 协议 (LWAPP) 的基础知识
-
无线安全解决方案的基本知识
使用的组件
本文档中的信息基于运行固件版本7.0.116.0的Cisco 4400/2100系列WLC
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
规则
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
思科统一无线网络安全解决方案
思科统一无线网络支持第2层和第3层安全方法。
-
第2层安全
-
第3层安全(用于WLAN)或第3层安全(用于访客LAN)
访客LAN不支持第2层安全。
下表列出了无线局域网控制器上支持的各种第2层和第3层安全方法。可以从WLAN的“WLAN”>“编辑”页面的“安全”选项卡启用这些安全方法。
| 第2层安全机制 | ||
|---|---|---|
| 参数 | 描述 | |
| 第2层安全 | 无 | 未选择第2层安全。 |
| WPA+WPA2 | 使用此设置可启用Wi-Fi保护访问。 | |
| 802.1X | 使用此设置可启用802.1x身份验证。 | |
| 静态 WEP | 使用此设置可启用静态WEP加密。 | |
| 静态WEP + 802.1x | 使用此设置可同时启用静态WEP和802.1x参数。 | |
| CKIP | 使用此设置可启用思科密钥完整性协议(CKIP)。 在AP型号1100、1130和1200上运行,但在AP 1000上不运行。要使此功能正常运行,需要启用 Aironet IE。CKIP 将加密密钥扩展到 16 字节。 | |
| MAC 过滤 | 选择以按MAC地址过滤客户端。在MAC Filters > New页面按MAC地址本地配置客户端。否则,请在RADIUS服务器上配置客户端。 | |
| 第3层安全机制(用于WLAN) | ||
| 参数 | 描述 | |
| 第3层安全 | 无 | 未选择第3层安全。 |
| IPsec | 使用此设置启用IPSec。在实施IPSec之前,您需要检查软件可用性和客户端硬件兼容性。 注:必须安装可选的VPN/增强型安全模块(加密处理器卡)才能启用IPSec。验证是否已将其安装在您的控制器的“资产”页面上。 |
|
| VPN直通 | 使用此设置可启用VPN直通。 注意:此选项在Cisco 5500系列控制器和Cisco 2100系列控制器上不可用。但是,您可以在Cisco 5500系列控制器或Cisco 2100系列控制器上通过使用ACL创建开放式WLAN来复制此功能。 |
|
| Web策略 | 选中此复选框可启用Web策略。控制器在身份验证之前将DNS流量转发到无线客户端或从无线客户端转发流量。 注意:Web策略不能与IPsec或VPN直通选项结合使用。 系统将显示以下参数:
|
|
| 预身份验证ACL | 选择要用于客户端与控制器之间流量的ACL。 | |
| 超载全局配置 | 如果选择Authentication,则显示。选中此框可覆盖Web登录页上设置的全局身份验证配置。 | |
| 网络身份验证类型 | 如果选择Web Policy(网络策略)和Over-ride Global Config(覆盖全局配置),则显示。选择Web身份验证类型:
|
|
| 电子邮件输入 | 如果选择“直通”,则显示。如果选择此选项,则在连接到网络时系统会提示您输入电子邮件地址。 | |
| 第3层安全机制(适用于访客LAN) | ||
| 参数 | 描述 | |
| 第3层安全 | 无 | 未选择第3层安全。 |
| Web 身份验证 | 如果选择此选项,则在将客户端连接到网络时会提示您输入用户名和密码。 | |
| Web直通 | 如果选择此选项,则无需用户名和密码身份验证即可直接访问网络。 | |
| 预身份验证ACL | 选择要用于客户端与控制器之间流量的ACL。 | |
| 超载全局配置 | 选中此框可覆盖Web登录页上设置的全局身份验证配置。 | |
| 网络身份验证类型 | 如果选择Over-ride Global Config,则显示。选择Web身份验证类型:
|
|
| 电子邮件输入 | 如果选择“Web直通”,则显示。如果选择此选项,则在连接到网络时系统会提示您输入电子邮件地址。 | |
注意:在控制器软件版本4.1.185.0或更高版本中,仅支持CKIP与静态WEP配合使用。不支持与动态WEP配合使用。因此,配置为使用CKIP和动态WEP的无线客户端无法与为CKIP配置的无线LAN关联。思科建议您使用不带CKIP的动态WEP(安全性较低)或带TKIP或AES(安全性较高)的WPA/WPA2。
无线LAN控制器第2层 — 第3层安全兼容性矩阵
在无线LAN上配置安全时,第2层和第3层安全方法都可结合使用。但是,并非所有第2层安全方法都可用于所有第3层安全方法。下表显示了无线局域网控制器上支持的第2层和第3层安全方法的兼容性矩阵。
| 第2层安全机制 | 第3层安全机制 | 兼容性 |
|---|---|---|
| 无 | 无 | 有效 |
| WPA+WPA2 | 无 | 有效 |
| WPA+WPA2 | Web 身份验证 | 无效 |
| WPA-PSK/WPA2-PSK | Web 身份验证 | 有效 |
| WPA+WPA2 | Web直通 | 无效 |
| WPA-PSK/WPA2-PSK | Web直通 | 有效 |
| WPA+WPA2 | 条件Web重定向 | 有效 |
| WPA+WPA2 | 启动页Web重定向 | 有效 |
| WPA+WPA2 | VPN-PassThrough | 有效 |
| 802.1x | 无 | 有效 |
| 802.1x | Web 身份验证 | 无效 |
| 802.1x | Web直通 | 无效 |
| 802.1x | 条件Web重定向 | 有效 |
| 802.1x | 启动页Web重定向 | 有效 |
| 802.1x | VPN-PassThrough | 有效 |
| 静态 WEP | 无 | 有效 |
| 静态 WEP | Web 身份验证 | 有效 |
| 静态 WEP | Web直通 | 有效 |
| 静态 WEP | 条件Web重定向 | 无效 |
| 静态 WEP | 启动页Web重定向 | 无效 |
| 静态 WEP | VPN-PassThrough | 有效 |
| 静态WEP+ 802.1x | 无 | 有效 |
| 静态WEP+ 802.1x | Web 身份验证 | 无效 |
| 静态WEP+ 802.1x | Web直通 | 无效 |
| 静态WEP+ 802.1x | 条件Web重定向 | 无效 |
| 静态WEP+ 802.1x | 启动页Web重定向 | 无效 |
| 静态WEP+ 802.1x | VPN-PassThrough | 无效 |
| CKIP | 无 | 有效 |
| CKIP | Web 身份验证 | 有效 |
| CKIP | Web直通 | 有效 |
| CKIP | 条件Web重定向 | 无效 |
| CKIP | 启动页Web重定向 | 无效 |
| CKIP | VPN-PassThrough | 有效 |
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
28-Jun-2011 |
初始版本 |
反馈