Tweet
Trong phần trước bạn đã cấu hình truy cập mạng có dây. Sự khác biệt lớn nhất giữa truy cập có dây và không dây là, tự nhiên, phương tiện vật lý được sử dụng. Mạng có dây sử dụng điện trên dây đồng hoặc sóng ánh sáng truyền qua các sợi thủy tinh rất mỏng, trong khi mạng không dây sử dụng tần số vô tuyến trong không khí.
Điều quan trọng đối với phần này của chương là các mạng có dây và không dây hoạt động rất khác nhau khi được xác thực. Chắc chắn, cả hai phương tiện đều có khả năng thực hiện xác thực 802.1X. Tuy nhiên, cấu hình mạng có dây có khả năng hỗ trợ các điểm cuối xác thực và không xác thực trên cùng một cổng chuyển đổi vật lý và bạn định cấu hình một cổng duy nhất để hỗ trợ tất cả các loại xác thực có thể.
Đó là nơi không dây hoạt động hoàn toàn khác nhau. Mỗi mạng LAN không dây (WLAN) được cấu hình để sử dụng 802.1X hoặc để mở; nhưng nó không thể hỗ trợ cả hai. Do đó, không có dự phòng. Nếu xác thực thất bại, bạn có thể nhận được một cấp truy cập khác; bạn không có quyền truy cập nào cả. Điểm truy cập won được cho phép radio của bạn liên lạc với radio và thiết bị của bạn không có kết nối.
Hãy suy nghĩ về nó. Nếu bạn có thể tham gia một mạng không dây, bạn thường chấp nhận rằng nó có vấn đề và tìm kiếm một cổng có dây ở đâu đó. Tuy nhiên, nếu bạn cắm vào một cổng có dây và nó không hoạt động thì bây giờ hệ thống đang sụp đổ.
Là một ứng cử viên CCIE Security, hoặc một chuyên gia được chứng nhận CCIE Security, hoàn toàn có khả năng bạn không quen với mạng không dây. Mặt khác, bạn có thể là một chuyên gia không dây và hiện đang cười thầm với chính mình về câu trước bạn vừa đọc.
Nếu bạn không quen thuộc với các chi tiết kỹ thuật của không dây, bạn có thể không quen thuộc với một số thuật ngữ được sử dụng trong thế giới không dây, chẳng hạn như khái niệm về mạng WLAN cũng được gọi là Định danh bộ dịch vụ (SSID). Một mạng WLAN không xác định Vlan và trên thực tế, một mạng WLAN có thể ánh xạ tới nhiều Vlan có thể được gán cho máy khách bởi máy chủ xác thực.
Với các mạng có dây, khách hàng không biết mình đang cố gắng kết nối với mạng nào; nó chỉ là bất cứ cổng nào bạn cắm vào. Với mạng không dây, máy khách thực sự phải chọn mạng nào để thử và liên kết (kết nối với) bằng cách chọn SSID của mạng WLAN. Có nhiều sự khác biệt sẽ được chỉ ra cho bạn trên đường đi, khi bạn đọc phần này.
Giới thiệu về AireOS và các phiên bản của nó
Phần này sẽ xem xét cấu hình cho các WLC của Cisco. Trọng tâm sẽ là phiên bản 8.0 trở lên, mặc dù tất cả các ảnh chụp màn hình WLC trong chương này là từ phiên bản WLC 8.5, bao gồm nhiều cải tiến tốt cho WLC, chẳng hạn như một hộp kiểm duy nhất đảm bảo bộ hẹn giờ và các giá trị khác trên WLC được đặt thành các giá trị được đề xuất cho ISE.
Bất cứ lúc nào bạn có thắc mắc hoặc quan tâm về việc phiên bản nào của WLC là tốt nhất, ổn định nhất, và được khuyến nghị nhất, hãy xem trang web này:
https://supportforums.cisco.com/docu...mmended-aireos. Đó là nơi một nhóm được tạo thành từ TAC không dây và ISE TAC đưa ra các khuyến nghị chung dựa trên kinh nghiệm của họ.
Các tính năng và lịch sử phiên bản của AireOS
Giống như bất kỳ sản phẩm nào khác, phiên bản WLC bạn chọn sẽ cần dựa trên việc kiểm tra các tính năng bạn muốn hoặc cần cho môi trường của bạn và cân nhắc lợi ích của các tính năng đó so với các phiên bản cũ có thể không có tính năng nhưng được biết đến nhiều hơn và thực thể đã được chứng minh. Để giúp bạn một chút với quyết định phiên bản của mình, Bảng 2-6 cung cấp một bản tóm tắt ngắn gọn về một số tính năng liên quan đến ISE đã có trong WLC kể từ phiên bản 7.0.
Bây giờ bạn đã kiểm tra các phiên bản khác nhau, bắt đầu cấu hình Bộ điều khiển LAN không dây.
Cấu hình xác thực trên WLC
Cũng như các thiết bị chuyển mạch Cisco Catalyst, phần này giả định rằng bạn đã thiết lập kết nối cơ bản với NAD và hiện đang đến thời điểm khởi động WLC để sử dụng với ISE. Tương tự, sẽ có một số cấu hình có thể áp dụng trên toàn cầu, có nghĩa là nó áp dụng cho toàn bộ hệ thống và cấu hình khác trên mỗi mạng LAN không dây (theo SSID), tương đương với cấu hình giao diện trên các NAD có dây.
Cấu hình máy chủ AAA
Bước đầu tiên để khởi động WLC là thêm các Nút dịch vụ chính sách ISE vào WLC làm máy chủ xác thực và kế toán RADIUS.
Thêm máy chủ xác thực RADIUS
From the WLC GUI:
Step 1. Navigate to Security > AAA > RADIUS > Authentication.
Step 2. Ensure that MAC Delimiter field is set to Hyphen.
Điều này sẽ đảm bảo rằng định dạng của địa chỉ MAC là aa-bb-cc-dd-ee-ff, đó là cách ISE mong đợi. Hình 2-73 hiển thị cài đặt Dấu phân cách MAC.
Step 3. Click New to add the ISE Policy Service Node as a new RADIUS authentication server.
Step 4. In the Server IP Addresses (Ipv4/Ipv6) field, enter the IP address of the PSN (we are adding 10.1.100.245 in this example).
Step 5. In the Shared Secret field, enter the shared secret, which must match what is configured in ISE for the network device.
Step 6. If your WLC is version 8.4 or higher, check the Apply Cisco ISE Default Settings check box.
Step 7. Đặt trường Số cổng thành 1812 để xác thực.
Step 8. Đảm bảo rằng trường Trạng thái máy chủ được đặt thành Enabled.
Step 9. Đảm bảo rằng trường Hỗ trợ cho CoA được đặt thành Enabled (trong các WLC cũ hơn, cái này sẽ được dán nhãn là RFC 3576).
Step 10. Thay đổi trường Hết thời gian máy chủ từ giá trị mặc định thành 5 giây, sẽ hoạt động tốt.
Step 11. Đảm bảo rằng người dùng mạng Enabled hộp kiểm được kiểm tra. Điều này chỉ đơn giản chỉ ra rằng máy chủ RADIUS có thể được sử dụng để xác thực mạng.
Step 12. Chọn Apply ở góc trên bên phải.
Step 13. Chọn Save Configuration.
Hình 2-74 hiển thị một cấu hình máy chủ đã hoàn thành.
Lặp lại các bước này cho mỗi PSN mà bạn cần thêm. Trong môi trường ISE phân tán của chúng tôi, bạn sẽ chỉ thêm hai PSN: 10.1.100.245 và 10.1.100.246.
Điều quan trọng đối với phần này của chương là các mạng có dây và không dây hoạt động rất khác nhau khi được xác thực. Chắc chắn, cả hai phương tiện đều có khả năng thực hiện xác thực 802.1X. Tuy nhiên, cấu hình mạng có dây có khả năng hỗ trợ các điểm cuối xác thực và không xác thực trên cùng một cổng chuyển đổi vật lý và bạn định cấu hình một cổng duy nhất để hỗ trợ tất cả các loại xác thực có thể.
Đó là nơi không dây hoạt động hoàn toàn khác nhau. Mỗi mạng LAN không dây (WLAN) được cấu hình để sử dụng 802.1X hoặc để mở; nhưng nó không thể hỗ trợ cả hai. Do đó, không có dự phòng. Nếu xác thực thất bại, bạn có thể nhận được một cấp truy cập khác; bạn không có quyền truy cập nào cả. Điểm truy cập won được cho phép radio của bạn liên lạc với radio và thiết bị của bạn không có kết nối.
Hãy suy nghĩ về nó. Nếu bạn có thể tham gia một mạng không dây, bạn thường chấp nhận rằng nó có vấn đề và tìm kiếm một cổng có dây ở đâu đó. Tuy nhiên, nếu bạn cắm vào một cổng có dây và nó không hoạt động thì bây giờ hệ thống đang sụp đổ.
Là một ứng cử viên CCIE Security, hoặc một chuyên gia được chứng nhận CCIE Security, hoàn toàn có khả năng bạn không quen với mạng không dây. Mặt khác, bạn có thể là một chuyên gia không dây và hiện đang cười thầm với chính mình về câu trước bạn vừa đọc.
Nếu bạn không quen thuộc với các chi tiết kỹ thuật của không dây, bạn có thể không quen thuộc với một số thuật ngữ được sử dụng trong thế giới không dây, chẳng hạn như khái niệm về mạng WLAN cũng được gọi là Định danh bộ dịch vụ (SSID). Một mạng WLAN không xác định Vlan và trên thực tế, một mạng WLAN có thể ánh xạ tới nhiều Vlan có thể được gán cho máy khách bởi máy chủ xác thực.
Với các mạng có dây, khách hàng không biết mình đang cố gắng kết nối với mạng nào; nó chỉ là bất cứ cổng nào bạn cắm vào. Với mạng không dây, máy khách thực sự phải chọn mạng nào để thử và liên kết (kết nối với) bằng cách chọn SSID của mạng WLAN. Có nhiều sự khác biệt sẽ được chỉ ra cho bạn trên đường đi, khi bạn đọc phần này.
Giới thiệu về AireOS và các phiên bản của nó
Phần này sẽ xem xét cấu hình cho các WLC của Cisco. Trọng tâm sẽ là phiên bản 8.0 trở lên, mặc dù tất cả các ảnh chụp màn hình WLC trong chương này là từ phiên bản WLC 8.5, bao gồm nhiều cải tiến tốt cho WLC, chẳng hạn như một hộp kiểm duy nhất đảm bảo bộ hẹn giờ và các giá trị khác trên WLC được đặt thành các giá trị được đề xuất cho ISE.
Bất cứ lúc nào bạn có thắc mắc hoặc quan tâm về việc phiên bản nào của WLC là tốt nhất, ổn định nhất, và được khuyến nghị nhất, hãy xem trang web này:
https://supportforums.cisco.com/docu...mmended-aireos. Đó là nơi một nhóm được tạo thành từ TAC không dây và ISE TAC đưa ra các khuyến nghị chung dựa trên kinh nghiệm của họ.
Các tính năng và lịch sử phiên bản của AireOS
Giống như bất kỳ sản phẩm nào khác, phiên bản WLC bạn chọn sẽ cần dựa trên việc kiểm tra các tính năng bạn muốn hoặc cần cho môi trường của bạn và cân nhắc lợi ích của các tính năng đó so với các phiên bản cũ có thể không có tính năng nhưng được biết đến nhiều hơn và thực thể đã được chứng minh. Để giúp bạn một chút với quyết định phiên bản của mình, Bảng 2-6 cung cấp một bản tóm tắt ngắn gọn về một số tính năng liên quan đến ISE đã có trong WLC kể từ phiên bản 7.0.
Bây giờ bạn đã kiểm tra các phiên bản khác nhau, bắt đầu cấu hình Bộ điều khiển LAN không dây.
Cấu hình xác thực trên WLC
Cũng như các thiết bị chuyển mạch Cisco Catalyst, phần này giả định rằng bạn đã thiết lập kết nối cơ bản với NAD và hiện đang đến thời điểm khởi động WLC để sử dụng với ISE. Tương tự, sẽ có một số cấu hình có thể áp dụng trên toàn cầu, có nghĩa là nó áp dụng cho toàn bộ hệ thống và cấu hình khác trên mỗi mạng LAN không dây (theo SSID), tương đương với cấu hình giao diện trên các NAD có dây.
Cấu hình máy chủ AAA
Bước đầu tiên để khởi động WLC là thêm các Nút dịch vụ chính sách ISE vào WLC làm máy chủ xác thực và kế toán RADIUS.
Thêm máy chủ xác thực RADIUS
From the WLC GUI:
Step 1. Navigate to Security > AAA > RADIUS > Authentication.
Step 2. Ensure that MAC Delimiter field is set to Hyphen.
Điều này sẽ đảm bảo rằng định dạng của địa chỉ MAC là aa-bb-cc-dd-ee-ff, đó là cách ISE mong đợi. Hình 2-73 hiển thị cài đặt Dấu phân cách MAC.
Step 3. Click New to add the ISE Policy Service Node as a new RADIUS authentication server.
Step 4. In the Server IP Addresses (Ipv4/Ipv6) field, enter the IP address of the PSN (we are adding 10.1.100.245 in this example).
Step 5. In the Shared Secret field, enter the shared secret, which must match what is configured in ISE for the network device.
Step 6. If your WLC is version 8.4 or higher, check the Apply Cisco ISE Default Settings check box.
Step 7. Đặt trường Số cổng thành 1812 để xác thực.
Step 8. Đảm bảo rằng trường Trạng thái máy chủ được đặt thành Enabled.
Step 9. Đảm bảo rằng trường Hỗ trợ cho CoA được đặt thành Enabled (trong các WLC cũ hơn, cái này sẽ được dán nhãn là RFC 3576).
Step 10. Thay đổi trường Hết thời gian máy chủ từ giá trị mặc định thành 5 giây, sẽ hoạt động tốt.
Step 11. Đảm bảo rằng người dùng mạng Enabled hộp kiểm được kiểm tra. Điều này chỉ đơn giản chỉ ra rằng máy chủ RADIUS có thể được sử dụng để xác thực mạng.
Step 12. Chọn Apply ở góc trên bên phải.
Step 13. Chọn Save Configuration.
Hình 2-74 hiển thị một cấu hình máy chủ đã hoàn thành.
Lặp lại các bước này cho mỗi PSN mà bạn cần thêm. Trong môi trường ISE phân tán của chúng tôi, bạn sẽ chỉ thêm hai PSN: 10.1.100.245 và 10.1.100.246.