无线局域网控制器第2层第3层安全兼容性矩阵
Contents
Introduction
本文为支持的第2层和第3层安全机制提供兼容表在无线局域网控制器(WLC)。
Prerequisites
Requirements
Cisco 建议您了解以下主题:
-
了解轻量 AP 和 Cisco WLC 配置方面的基础知识
-
了解轻量 AP 协议 (LWAPP) 的基础知识
-
无线安全解决方案基础知识
Components Used
本文的信息运行固件版本7.0.116.0的根据一Cisco 4400/2100系列WLC
The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command.
Conventions
Refer to Cisco Technical Tips Conventions for more information on document conventions.
Cisco Unified无线网络安全问题解决方案
Cisco Unified无线网络支持分层堆积2和第3层安全方法。
-
第2层安全
-
第3层安全(WLAN)或第3层安全(客户LAN)
客户LAN不支持第2层安全。
列出支持此表无线局域网控制器不同的层2和第3层安全方法。这些安全方法可以是启用的从在WLAN的WLANs > Edit页的安全选项。
| 第2层安全机制 | ||
|---|---|---|
| 参数 | 说明 | |
| 第2层安全 | 无 | 没有所选的第2层安全。 |
| WPA+WPA2 | 请使用此设置的为了enable (event) Wi-Fi受保护的访问。 | |
| 802.1X | 请使用此设置的为了enable (event) 802.1x认证。 | |
| 静态 WEP | 请使用此设置的为了enable (event)静态WEP加密。 | |
| 静态WEP + 802.1x | 请使用此设置的为了enable (event)静态WEP和802.1x参数。 | |
| CKIP | 请使用此设置的为了enable (event) Cisco键完整性协议(CKIP)。功能在AP型号1100, 1130和不是1200,但是AP1000。要使此功能正常运行,需要启用 Aironet IE。CKIP 将加密密钥扩展到 16 字节。 | |
| MAC过滤 | 选择由MAC地址过滤客户端。请由在MAC过滤器>New页的MAC地址本地配置客户端。否则,请配置RADIUS服务器的客户端。 | |
| 第3层安全机制(WLAN) | ||
| 参数 | 说明 | |
| 第3层安全 | 无 | 没有所选的第3层安全。 |
| IPsec | 请使用此设置的为了enable (event) IPSec。在您实现IPSec前,您需要检查软件可用性和客户端硬件兼容性。 Note: 您必须有可选的VPN/Enhanced安全模块(crypto处理器卡)安装对enable (event) IPSec。验证它在您的在库存页的控制器上安装。 |
|
| VPN通过 | 请使用此设置的为了enable (event) VPN通过。 Note: 此选项不是可用的在Cisco 5500系列控制器和Cisco 2100系列控制器。然而,使用ACL,您能通过创建一开放WLAN复制在一个Cisco 5500系列控制器或Cisco 2100系列控制器的此功能。 |
|
| Web策略 | 选择此复选框对enable (event) Web策略。控制器到/从无线客户端转发DNS数据流在认证前。 Note: Web策略不可能使用与IPsec或VPN通过选项的组合。 这些参数显示:
|
|
| 预先身份验证ACL | 选择ACL用于客户端和控制器之间的数据流。 | |
| 改写全局配置 | 如果选择认证,显示。检查此机箱为了改写在Web登录页设置的全局身份验证配置。 | |
| Web认证类型 | 如果选择Web策略并且改写全局配置,显示。选择Web认证的类型:
|
|
| 给输入发电子邮件 | 如果选择转接,显示。如果选择此选项,提示对于您的电子邮件地址,当连接到网络时。 | |
| 第3层安全机制(客户LAN) | ||
| 参数 | 说明 | |
| 第3层安全 | 无 | 没有所选的第3层安全。 |
| Web 身份验证 | 如果选择此选项,提示对于用户名和密码,当联络客户端到网络时。 | |
| Web转接 | 如果选择此选项,您能访问网络直接地,不用用户名和密码认证。 | |
| 预先身份验证ACL | 选择ACL用于客户端和控制器之间的数据流。 | |
| 改写全局配置 | 检查此机箱为了改写在Web登录页设置的全局身份验证配置。 | |
| Web认证类型 | 如果选择改写全局配置,显示。选择Web认证的类型:
|
|
| 给输入发电子邮件 | 如果选择Web转接,显示。如果选择此选项,提示对于您的电子邮件地址,当连接到网络时。 | |
Note: 在控制器软件版本4.1.185.0或以上, CKIP支持为仅使用与静态WEP。它不支持为了用在动态WEP上。所以,配置以动态WEP使用CKIP的无线客户端无法联合到为CKIP被配置的无线局域网。Cisco建议您使用动态WEP,不用(较不安全)的CKIP或与的WPA/WPA2更加安全)的TKIP或AES (。
无线局域网控制器第2层–第3层安全兼容表
当您配置在无线局域网时的安全,请分层堆积2,并且第3层安全方法可以用于联合。然而,不是所有的第2层安全方法可以与所有第3层安全方法一起使用。显示支持此表无线局域网控制器第2层和第3层安全的兼容表方法。
| 第2层安全机制 | 第3层安全机制 | 兼容性 |
|---|---|---|
| 无 | 无 | 有效 |
| WPA+WPA2 | 无 | 有效 |
| WPA+WPA2 | Web 身份验证 | 无效 |
| WPA-PSK/WPA2-PSK | Web 身份验证 | 有效 |
| WPA+WPA2 | Web转接 | 无效 |
| WPA-PSK/WPA2-PSK | Web转接 | 有效 |
| WPA+WPA2 | 有条件的Web重定向 | 有效 |
| WPA+WPA2 | 飞溅页Web重定向 | 有效 |
| WPA+WPA2 | VPN转接 | 有效 |
| 802.1x | 无 | 有效 |
| 802.1x | Web 身份验证 | 无效 |
| 802.1x | Web转接 | 无效 |
| 802.1x | 有条件的Web重定向 | 有效 |
| 802.1x | 飞溅页Web重定向 | 有效 |
| 802.1x | VPN转接 | 有效 |
| 静态 WEP | 无 | 有效 |
| 静态 WEP | Web 身份验证 | 有效 |
| 静态 WEP | Web转接 | 有效 |
| 静态 WEP | 有条件的Web重定向 | 无效 |
| 静态 WEP | 飞溅页Web重定向 | 无效 |
| 静态 WEP | VPN转接 | 有效 |
| Static-WEP+802.1x | 无 | 有效 |
| Static-WEP+802.1x | Web 身份验证 | 无效 |
| Static-WEP+802.1x | Web转接 | 无效 |
| Static-WEP+802.1x | 有条件的Web重定向 | 无效 |
| Static-WEP+802.1x | 飞溅页Web重定向 | 无效 |
| Static-WEP+802.1x | VPN转接 | 无效 |
| CKIP | 无 | 有效 |
| CKIP | Web 身份验证 | 有效 |
| CKIP | Web转接 | 有效 |
| CKIP | 有条件的Web重定向 | 无效 |
| CKIP | 飞溅页Web重定向 | 无效 |
| CKIP | VPN转接 | 有效 |
反馈