Quy trình xác thực Flexconnect

tranduyhoa

Junior Member

Newbie

Join Date: Aug 2020

Posts: 5
- Share
- Tweet
#1

Quy trình xác thực Flexconnect

07-08-2020, 11:32 PM

Khi một điểm truy cập khởi động, nó sẽ tìm một bộ điều khiển. Nếu tìm thấy một, nó tham gia bộ điều khiển, tải xuống hình ảnh và cấu hình phần mềm mới nhất từ bộ điều khiển và khởi chạy qua radio. Nó lưu cấu hình đã tải xuống trong bộ nhớ không biến đổi để sử dụng trong chế độ độc lập.
Ghi chú: Khi điểm truy cập được khởi động lại sau khi tải xuống phần mềm điều khiển mới nhất, nó phải được chuyển đổi sang chế độ FlexConnect.
Ghi chú: 802.1X không được hỗ trợ trên cổng AUX cho các dòng Cisco 2700 series.
Điểm truy cập FlexConnect có thể tìm hiểu địa chỉ IP của bộ điều khiển theo một trong những cách sau:
Nếu điểm truy cập đã được gắn một địa chỉ IP từ máy chủ DHCP, nó có thể khám phá bộ điều fkhieenr thông qua quy trình khám phá thông thường của CAPWAP hoặc LWAPP.

Nếu điểm truy cập đã được gán một địa chỉ IP tĩnh, nó có thể khám phá bộ điều khiển thông qua bất kỳ phương thức quá trình khám phá nào ngoại trừ tùy chọn DHCP 43. Nếu điểm truy cập không thể khám phá bộ điều khiển thông qua phát sóng Lớp 3, chúng tôi khuyên bạn nên phân giải DNS. Với DNS, mọi điểm truy cập có địa chỉ IP tĩnh biết về máy chủ DNS có thể tìm thấy ít nhất một bộ điều khiển.

Nếu bạn muốn điểm truy cập khám phá bộ điều khiển từ một mạng từ xa nơi không có cơ chế khám phá CAPWAP hoặc LWAPP, bạn có thể sử dụng mồi. Phương pháp này cho phép bạn chỉ định (thông qua điểm truy cập CLI) bộ điều khiển mà điểm truy cập sẽ kết nối.

Khi điểm truy cập FlexConnect có thể đến bộ điều khiển (được gọi là chế độ được kết nối), bộ điều khiển sẽ hỗ trợ xác thực ứng dụng khách. Khi điểm truy cập FlexConnect không thể truy cập bộ điều khiển, điểm truy cập sẽ vào chế độ độc lập và tự xác thực ứng dụng khách.
Ghi chú: Đèn LED trên điểm truy cập thay đổi khi thiết bị chuyển sang các chế độ FlexConnect khác nhau. Xem hướng dẫn cài đặt phần cứng cho điểm truy cập của bạn để biết thông tin về các mẫu đèn LED.
Khi máy khách liên kết với điểm truy cập FlexConnect, điểm truy cập sẽ gửi tất cả các thông báo xác thực đến bộ điều khiển và chuyển gói dữ liệu khách hàng cục bộ (chuyển cục bộ) hoặc gửi chúng đến bộ điều khiển (chuyển đổi tập trung), tùy thuộc vào cấu hình WLAN. Đối với xác thực ứng dụng khách (mở, chia sẻ, EPA, xác thực web và NAC) và các gói dữ liệu, mạng WLAN thể ở bất kỳ một trong các trạng thái sau tùy thuộc vào cấu hình và trạng thái kết nối của bộ điều khiển trung tâm.
Xác thực trung tâm, trung tâm chuyển mạch chung tâm trong trạng thái này, bộ điều khiển xử lý xác thực ứng dụng khách và tất cả dữ liệu khách hàng được chuyển trở lại bộ điều khiển. Trạng thái này chỉ hợp lệ trong chế độ kết nối.

Xác thực trung tâm, chuyển mạch cục bộ trong trạng thái này, bộ điều khiển xử lý xác thực ứng dụng khách và điểm truy cập FlexConnect chuyển các gói dữ liệu cục bộ. Sau khi máy khách xác thực thành công, bộ điều khiển sẽ gửi lệnh cấu hình với tải trọng mới để hướng dẫn truy cập FlexConnect để bắt đầu chuyển đổi gói dữ liệu cục bộ. Tin nhắn này được gửi cho mõi khách hàng. Trạng thái này chỉ áp dụng trong chế độ kết nối.

Ghi chú: Đối với chuyển mạch cục bộ FlexConnect, triển khai xác thực trung tâm, nếu có máy khách thụ động có địa chỉ IP tĩnh, bạn nên tắt tính năng tìm hiểu IP của máy khách trong tab WLAN > Nâng cao.
Xác thực cục bộ, chuyển mạch cục bộ trong trạng thái này, điểm truy cập FlexConnect xử lý xấc thực ứng dụng khách và chuyển các gói dữ liệu khách hàng cục bộ. Trạng thái này là hợp lệ trong chế độ độc lập và chế độ kết nối.

Trong chế độ kết nối, điểm truy cập cung cấp thông tin tối thiểu về máy khách được xác thực cục bộ cho bộ điều khiển. Các thông tin sau sẵn có cho bộ điều khiển.
Loại chính sách

Truy cập Vlan

Tên Vlan

Giá được hỗ trợ

Mật mã hóa

Xác thực cục bộ rất hữu ích khi bạn không thể duy trì thiết lập văn phòng từ xa với băng thông tối thiểu 128 kbps với độ trễ chuyến đi khứ hồi không lớn hơn 100 ms và đơn vị truyền tối đa (MTU) không nhỏ hơn 576 byte. Trong xác thực cục bộ, các khả năng xác thực có mặt trong chính điểm truy cập. Xác thực cục bộ làm giảm yêu cầu độ trễ của văn phòng chi nhánh.
Ghi chú: Xác thực cục bộ chỉ có thể được bật lên trên mạng WLAN của điểm truy cập FlexConnect ở chế độ chuyển mạch cục bộ.
Lưu ý về xác thực cục bộ như sau:
Xác thực khách không thể được thực hiện trên mạng WLAN hỗ trợ xác thực cục bộ FlexConnect.

RADIUS cục bộ trên bộ điều khiển không được hỗ trợ.

Khi ứng dụng khách đã được xác thực, chuyển vùng chỉ được hỗ trợ sau khi bộ điều khiển và các điểm truy cập FlexConnect khác trong nhóm được cập nhật với thông tin máy khách.

Xác thực cục bộ trong chế độ được kết nối yêu cầu cấu hình WLAN.

Ghi chú: Khi cá máy khách được chuyển đổi cục bộ được kết nối với điểm truy cập FlexConnect sẽ làm mới các địa chỉ IP, khi nối lại, máy khách sẽ tiếp tục ở trạng thái chạy. Những khách hàng này không được ủy quyền bởi bộ điều khiển.
Xác thực xuống, switch down – in this state, mạng WLAN tách rời các máy khách hiện có và ngừng gửi đèn hiệu và yêu cầu thăm dò. Trạng thái này hợp lê trong cả chế độ độc lập và chế độ được kết nối.

Xác thực xuống, chuyển đổi cục bộ trên mạng ở trạng thái này, mạng WLAN từ chối mọi khách mới đang cố xác thực, nhưng nó vẫn tiếp tục gửi đèn hiệu và phản hồi thăm dò để giữa cho máy khách hiện tại tồn tại. Trạng thái này chỉ tồn tại trong chế độ độc lập.

Khi điểm truy cập FlexConnect chuyển sang chế độ độc lập, các mạng WLAN được định cấu hình để xác thực mở, chia sẻ WPA-PSK hoặc WPA2-PSK, hãy nhập xác thực cục bộ chuyển trạng thái cục bộ và tiếp tục xác thực ứng dụng khách mới. Trong bản phát hành phần mềm điều khiển 4.2 hoặc phiên bản mới hơn, cấu hình của anh ta cũng đúng với các mạng WLAN được cấu hình cho 802.1X, WPA-802.1X, WPA2-802.1X hoặc CCKM, nhưng các loại xác thực này yêu cầu máy chủ RADIUS bên ngoài được cấu hình. Bạn cũng có thể định cấu hình máy chủ RADIUS cục bộ trên điểm truy cập FlexConnect để hỗ trợ 802.1X ở chế độ độc lập hoặc với xác thực cục bộ.
Các mạng WLAN khác nhập vào xác thực của người dùng, chuyển sang trạng thái xuống (nếu mạng WLAN được cấu hình để chuyển đổi trung tâm) hoặc xác thực xuống, trạng thái chuyển đổi cục bộ (nếu mạng WLAN được định cấu hình cho chuyển đổi cục bộ).
Khi các điểm truy cập FlexConnect được kết nối với bộ điều khiển (chứ không phải ở chế độ độc lập), bộ điều khiển sử dụng các máy chủ RADIUS chính của nó và truy cập chúng theo thứ tự được chỉ định trên trang Máy chủ xác thực RADIUS hoặc trong bán kính cấu hình thêm lệnh CLI (trừ khi máy chủ thứ tự được ghi đè cho một mạng WLAN cụ thể). Tuy nhiên, để hỗ trợ xác thực EAP 802.1X, các điểm truy cập FlexConnect trong chế độ độc lập cần phải có máy chủ RADIUS dự phòng riêng để xác thực ứng dụng khách.
Ghi chú: Bộ điều khiển không sử dung máy chủ RADIUS dư phòng. Bộ điều khiển sử dụng máy chủ RADIUS dự phòng trong chế độ xác thực cục bộ.
Bạn có thể định cấu hình máy chủ RADIUS dự phòng co các điểm truy cập FlexConnnect riêng lẻ ở chế độ độc lập bằng cách sử dụng bộ điều khiển CLI hoặc cho các nhóm điểm truy cập FlexConnect ở chế độ độc lập bằng cách sử dụng GUI hoặc CLI. Máy chủ dự phòng được định cấu hình cho một điểm truy cập riêng lẻ sẽ ghi đè cấu hình máy chủ RADIUS dự phòng cho FlexConnect.
Khi xác thực web được sử dụng trên các điểm truy cập FlexConnect tại một tranng web từ xa, khách hàng sẽ được nhận được địa chỉ IP từ mạng con cục bộ từ xa. Để giải quyết yêu cầu URL ban đầu, DNS có thể truy cập thông qua cổng mặc định của mạng con. Để bộ điều khiển chặn và chuyển hướng các gói trả về truy vấn DNS, các gói này phải đến bộ điều khiển tại trung tâm dữ liệu thông qua kết nối CAPWAP. Trong quá trình xác thực web, các điểm truy cập FlexConnect chỉ cho phép tin nhắn DNS và DHCP; các điểm truy cập chuyển tiếp tin nhắn trả lời DNS và DHCP; các điểm truy cập chuyển tiếp tin nhắn trả lời DNS tới bộ điều khiển trước khi xác thực web cho khách hàng hoàn tất. Sau khi xác thực web cho máy khách hoàn tất, tất cả lưu lượng được chuyển cục bộ.
Ghi chú: nếu bộ điều khiển của bạn được cấu hình cho NAC, khách hàng chỉ có thể liên kết khi điểm truy cập ở chế độ được kết nối. Khi NAC được bật, bạn cần tạo Vlan không lành mạnh (hoặc cách ly) để lưu lượng của bất kỳ máy khách nào được gắn cho Vlan này đi qua bộ điều khiển, ngay cả khi mạng WLAN được cấu hình để chuyển đổi cục bộ. Sau khi máy khách được gắn cho VLAN cách ly, tất cả các gói dữ liệu của nó được chuyển đổi tập trung. Xem phần cấu hình giao diện động để biết thêm thông tin về các tạo Vlan cách ly và phần cấu hình băng tần NAC để biết thông tin về cách định cấu hình hỗ trợ ngoài băng tần NAC.
Khi điểm truy cập FLexConnect chuyển sang chế độ độc lập, điều sau đây xảy ra:
[*=1]Điểm truy cập kiểm tra xem nó có thể truy cập cổng mặc định thông qua ARP hay không. Nếu vậy, nó sẽ tiếp tục thử và tiếp cận bộ điều khiển.

Nếu điểm truy cập không thiết lập ARP, điều sau đây xảy ra:
Điểm truy cập cố gắng khám phá trong năm lần và nếu không thể tìm thấy bộ điều khiển, nó sẽ cố gắng làm mới DHCP trên giao diện ethernet để lấy IP DHCP mới.

Điểm truy cập sẽ thử lại năm lần và nếu thất bại, điểm truy cập sẽ gia hạn lại đỉa chỉ IP của giao diện, điều này sẽ xảy ra trong ba lần thử.

Nếu ba lần thử thất bại, điểm truy cập sẽ rơi trở lại IP tĩnh và sẽ khởi động lại (chỉ khi điểm truy cập được đi cấu hình với IP tĩnh).

Khởi động lại được thực hiện để loại bỏ khả năng xảy ra lỗi cấu hình điểm truy cập.

Khi điểm truy cập tiết bị lập lại kết nối với bộ điều khiển, nó sẽ tách tất cả các máy khách, áp dụng thông tin cấu hình mới từ bộ điều khiển và cho phép kết nối lại máy khách.
Tags: None

Previous template Next

Announcement

Quy trình xác thực Flexconnect