Tweet
General Tab (Tab chung)
Định cấu hình tab Chung để bật SSID và định cấu hình để sử dụng giao diện khách.
Step 1. Nếu bạn đã sẵn sàng làm việc với SSID này, hãy đảm bảo Enabled được kiểm tra.
Step 2. Trong hộp xoay Giao diện / Nhóm giao diện (G), chọn guest giao diện mà chúng ta đã tạo trước đây.
Step 3. Thực tiễn chung cho các mạng khách mở là bật SSID phát sóng, vì vậy hãy kiểm tra SSID phát song Enabled
Hình 2-83 hiển thị ví dụ Thẻ khách WLAN WLAN General.
Layer 2 Security Tab(Thẻ bảo mật)
Nhấp vào tab Security, trước tiên hiển thị tab Lớp 2 và định cấu hình Bảo mật Lớp 2 cho Bỏ qua Xác thực MAC không dây như sau:
Step 1. Thay đổi hộp quay Bảo mật Lớp 2 từ mặc định (WPA + WPA2) thành None.
Step 2. Chọn bộ kiểm MAC Filtering (là MAB không dây).
Hình 2-84 hiển thị ví dụ về tab Bảo mật WLAN WLAN Lớp 2.
Layer 3 Security Tab(Thẻ bảo mật lớp 3)
Nhấp vào tab Bảo mật Lớp 3 và định cấu hình như sau:
Step 1. Đảm bảo hộp xoay Bảo mật lớp 3 được đặt thành None.
Step 2. Đặt hộp xoay vòng Captive Network Assistant Bypass thành Enable.
Tùy chọn Captive Network Assistant Bypass cấu hình WLC nằm ở điểm cuối về việc được kết nối với Internet. Hầu hết các nhà cung cấp hệ điều hành kiểm tra khả năng kết nối với Internet của họ để tìm kiếm một cổng bị khóa và để hỗ trợ người dùng cuối truy cập mạng, HĐH sẽ tự động bật lên trình duyệt web hoặc trình duyệt giả như trang web của Apple.
Apple iOS sử dụng trang web thay vì trình duyệt Safari toàn diện như một cách để cô lập mật khẩu đã lưu và dữ liệu riêng tư khác vô tình được nhập vào kết nối mạng không tin cậy. Tuy nhiên, trình duyệt giả này thiếu rất nhiều chức năng cần thiết cho các chức năng mạng khách và BYOD nâng cao, và do đó, tốt nhất là cho phép Captive Network Assistant Bypass trên WLC để lừa iOS tin rằng không có cổng bị khóa và do đó ngăn chặn các trang web từ bao giờ bật lên.
Captive Network Assistant Bypass đã được thêm vào GUI WLC trong phiên bản 8.4. Nếu bạn đang sử dụng phiên bản thấp hơn 8.4, cấu hình vẫn ở đó, nhưng chỉ khả dụng trong CLI.
Hình 2-85 hiển thị ví dụ tab Bảo mật mạng WLAN dành cho khách lớp 3.
AAA Servers Tab (Thẻ máy chủ AAA)
Cisco WLC cho phép người quản trị chỉ định các máy chủ kế toán và xác thực khác nhau; tuy nhiên, đây là cấu hình không tương thích với máy chủ ISIUS RADIUS. ISE cung cấp các dịch vụ phiên được liên kết với nhau từ ID phiên trong gói xác thực và ID phiên trong gói kế toán.
Step 1. Chọn AAA Servers tab và kiểm tra Áp dụng Cài đặt mặc định của Cisco ISE Enabled.
Điều này tự động đảm bảo rằng các máy chủ xác thực và kế toán của bạn giống nhau trên mỗi dòng và định cấu hình các giá trị được gọi trong Bước 3 và 4. Nếu bạn đang sử dụng phiên bản WLC thấp hơn 8.4, thì cài đặt này không khả dụng và bạn phải tiến hành các Bước 3 và 4 bằng tay.
Step 2. Chọn (các) Nút dịch vụ chính sách ISE của bạn cho cả hai Authentication và Accounting.
Step 3. Trong phần Kế toán máy chủ RADIUS, hãy chọn kiểm tra Interim Update
Step 4. Đặt Khoảng thời gian tạm thời thành 0 giây.
Step 5. Chọn Apply.
Hình 2-86 hiển thị ví dụ Thẻ khách WLAN WLAN AAA Máy chủ bảo mật.
Advanced Tab (Tab nâng cao)
Có một số cài đặt trên tab Nâng cao được yêu cầu cho hoạt động liền mạch với ISE cho tất cả các trường hợp sử dụng được áp dụng. Khi bạn đã chọn ISE làm máy chủ RADIUS, tất cả các cài đặt này được định cấu hình cho bạn.
Step 1. Check the Allow AAA Override Enabled check box.
Điều này sẽ cho phép ISE gán một Vlan và ACL khác với những gì được cấu hình trên mạng WLAN và giao diện theo mặc định. Điều này có thể được kiểm tra và chuyển sang màu xám tùy thuộc vào phiên bản WLC của bạn và nếu bạn đã sử dụng các hộp kiểm dễ dàng của Wikipedia cho ISE.
Step 2. Leave the Enable Session Timeout check box checked.
Step 3. Ensure that the Client Exclusion Enabled check box is checked.
Step 4. Change the NAC State spin box to ISE NAC.
Trong các phiên bản WLC thấp hơn 8.3, cài đặt này được đặt tên là Rad Radius NAC, vì đó là tất cả các chữ hoa, RADIUS, vì nó là từ viết tắt. Tên và chính tả của cài đặt là không quan trọng. Tuy nhiên, chính cài đặt là rất quan trọng để cho phép chuyển hướng URL, CWA, đánh giá tư thế, cung cấp thay thế tự nhiên, chuyển hướng MDM, v.v.
Step 5. Scroll down to the Radius [sic] Client Profiling section and check both DHCP Profiling and HTTP Profiling check boxes.
Step 6. Click Apply.
Step 7. Click Save Configuration.
Tab Nâng cao khá dài và UI yêu cầu bạn phải cuộn. Do đó, tab đã được chia thành ba hình ảnh khác nhau. Hình 2-87, 2-88 và 2-89 hiển thị ví dụ tab WLAN WLAN Advanced Advanced.
Định cấu hình tab Chung để bật SSID và định cấu hình để sử dụng giao diện khách.
Step 1. Nếu bạn đã sẵn sàng làm việc với SSID này, hãy đảm bảo Enabled được kiểm tra.
Step 2. Trong hộp xoay Giao diện / Nhóm giao diện (G), chọn guest giao diện mà chúng ta đã tạo trước đây.
Step 3. Thực tiễn chung cho các mạng khách mở là bật SSID phát sóng, vì vậy hãy kiểm tra SSID phát song Enabled
Hình 2-83 hiển thị ví dụ Thẻ khách WLAN WLAN General.
Layer 2 Security Tab(Thẻ bảo mật)
Nhấp vào tab Security, trước tiên hiển thị tab Lớp 2 và định cấu hình Bảo mật Lớp 2 cho Bỏ qua Xác thực MAC không dây như sau:
Step 1. Thay đổi hộp quay Bảo mật Lớp 2 từ mặc định (WPA + WPA2) thành None.
Step 2. Chọn bộ kiểm MAC Filtering (là MAB không dây).
Hình 2-84 hiển thị ví dụ về tab Bảo mật WLAN WLAN Lớp 2.
Layer 3 Security Tab(Thẻ bảo mật lớp 3)
Nhấp vào tab Bảo mật Lớp 3 và định cấu hình như sau:
Step 1. Đảm bảo hộp xoay Bảo mật lớp 3 được đặt thành None.
Step 2. Đặt hộp xoay vòng Captive Network Assistant Bypass thành Enable.
Tùy chọn Captive Network Assistant Bypass cấu hình WLC nằm ở điểm cuối về việc được kết nối với Internet. Hầu hết các nhà cung cấp hệ điều hành kiểm tra khả năng kết nối với Internet của họ để tìm kiếm một cổng bị khóa và để hỗ trợ người dùng cuối truy cập mạng, HĐH sẽ tự động bật lên trình duyệt web hoặc trình duyệt giả như trang web của Apple.
Apple iOS sử dụng trang web thay vì trình duyệt Safari toàn diện như một cách để cô lập mật khẩu đã lưu và dữ liệu riêng tư khác vô tình được nhập vào kết nối mạng không tin cậy. Tuy nhiên, trình duyệt giả này thiếu rất nhiều chức năng cần thiết cho các chức năng mạng khách và BYOD nâng cao, và do đó, tốt nhất là cho phép Captive Network Assistant Bypass trên WLC để lừa iOS tin rằng không có cổng bị khóa và do đó ngăn chặn các trang web từ bao giờ bật lên.
Captive Network Assistant Bypass đã được thêm vào GUI WLC trong phiên bản 8.4. Nếu bạn đang sử dụng phiên bản thấp hơn 8.4, cấu hình vẫn ở đó, nhưng chỉ khả dụng trong CLI.
Hình 2-85 hiển thị ví dụ tab Bảo mật mạng WLAN dành cho khách lớp 3.
AAA Servers Tab (Thẻ máy chủ AAA)
Cisco WLC cho phép người quản trị chỉ định các máy chủ kế toán và xác thực khác nhau; tuy nhiên, đây là cấu hình không tương thích với máy chủ ISIUS RADIUS. ISE cung cấp các dịch vụ phiên được liên kết với nhau từ ID phiên trong gói xác thực và ID phiên trong gói kế toán.
Step 1. Chọn AAA Servers tab và kiểm tra Áp dụng Cài đặt mặc định của Cisco ISE Enabled.
Điều này tự động đảm bảo rằng các máy chủ xác thực và kế toán của bạn giống nhau trên mỗi dòng và định cấu hình các giá trị được gọi trong Bước 3 và 4. Nếu bạn đang sử dụng phiên bản WLC thấp hơn 8.4, thì cài đặt này không khả dụng và bạn phải tiến hành các Bước 3 và 4 bằng tay.
Step 2. Chọn (các) Nút dịch vụ chính sách ISE của bạn cho cả hai Authentication và Accounting.
Step 3. Trong phần Kế toán máy chủ RADIUS, hãy chọn kiểm tra Interim Update
Step 4. Đặt Khoảng thời gian tạm thời thành 0 giây.
Step 5. Chọn Apply.
Hình 2-86 hiển thị ví dụ Thẻ khách WLAN WLAN AAA Máy chủ bảo mật.
Advanced Tab (Tab nâng cao)
Có một số cài đặt trên tab Nâng cao được yêu cầu cho hoạt động liền mạch với ISE cho tất cả các trường hợp sử dụng được áp dụng. Khi bạn đã chọn ISE làm máy chủ RADIUS, tất cả các cài đặt này được định cấu hình cho bạn.
Step 1. Check the Allow AAA Override Enabled check box.
Điều này sẽ cho phép ISE gán một Vlan và ACL khác với những gì được cấu hình trên mạng WLAN và giao diện theo mặc định. Điều này có thể được kiểm tra và chuyển sang màu xám tùy thuộc vào phiên bản WLC của bạn và nếu bạn đã sử dụng các hộp kiểm dễ dàng của Wikipedia cho ISE.
Step 2. Leave the Enable Session Timeout check box checked.
Step 3. Ensure that the Client Exclusion Enabled check box is checked.
Step 4. Change the NAC State spin box to ISE NAC.
Trong các phiên bản WLC thấp hơn 8.3, cài đặt này được đặt tên là Rad Radius NAC, vì đó là tất cả các chữ hoa, RADIUS, vì nó là từ viết tắt. Tên và chính tả của cài đặt là không quan trọng. Tuy nhiên, chính cài đặt là rất quan trọng để cho phép chuyển hướng URL, CWA, đánh giá tư thế, cung cấp thay thế tự nhiên, chuyển hướng MDM, v.v.
Step 5. Scroll down to the Radius [sic] Client Profiling section and check both DHCP Profiling and HTTP Profiling check boxes.
Step 6. Click Apply.
Step 7. Click Save Configuration.
Tab Nâng cao khá dài và UI yêu cầu bạn phải cuộn. Do đó, tab đã được chia thành ba hình ảnh khác nhau. Hình 2-87, 2-88 và 2-89 hiển thị ví dụ tab WLAN WLAN Advanced Advanced.