قم بتكوين ASA 5506W-X باستخدام تكوين IP غير افتراضي أو شبكة VLAN متعددة
المحتويات
المقدمة
يوضح هذا المستند كيفية إجراء التثبيت والتكوين الأوليين لجهاز Cisco Adaptive Security Appliance (ASA) 5506W-X عندما يلزم تعديل نظام عنونة IP الافتراضي ليتناسب مع شبكة موجودة أو إذا كانت هناك حاجة إلى شبكات VLAN لاسلكية متعددة. هناك عدة تغييرات في التكوين مطلوبة عند تعديل عناوين IP الافتراضية للوصول إلى نقطة الوصول اللاسلكية (WAP) وكذلك التأكد من إستمرار الخدمات الأخرى (مثل DHCP) في العمل كما هو متوقع. وبالإضافة إلى ذلك، يوفر هذا المستند بعض أمثلة تكوين واجهة سطر الأوامر لنقطة الوصول اللاسلكية المتكاملة (WAP) لتسهيل إكمال التكوين الأولي ل WAP. ويقصد بهذا المستند استكمال دليل البدء السريع Cisco ASA 5506-X الموجود المتاح على موقع Cisco على الويب.
المتطلبات الأساسية
لا ينطبق هذا المستند إلا على التكوين الأولي لجهاز Cisco ASA5506W-X الذي يحتوي على نقطة وصول لاسلكية ويقصد به فقط معالجة التغييرات المختلفة المطلوبة عند تعديل مخطط عنونة IP الموجود أو إضافة شبكات VLAN لاسلكية إضافية. بالنسبة لتثبيتات التكوين الافتراضية، يجب الإشارة إلى دليل البدء السريع ASA 5506-X الموجود.
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- الجهاز Cisco ASA 5506W-X
- جهاز عميل مزود ببرنامج محاكاة طرفية مثل PuTTY و SecureCRT، إلخ.
- المهايئ الطرفي لكبل وحدة التحكم والمهايئ الطرفي للكمبيوتر التسلسلي (من DB-9 إلى RJ-45)
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- الجهاز Cisco ASA 5506W-X
- جهاز عميل مزود ببرنامج محاكاة طرفية مثل PuTTY و SecureCRT، إلخ.
- المهايئ الطرفي لكبل وحدة التحكم والمهايئ الطرفي للكمبيوتر التسلسلي (من DB-9 إلى RJ-45)
- الوحدة النمطية ASA FirePOWER
- نقطة الوصول اللاسلكية المدمجة Cisco Aironet 702i (نقطة الوصول WAP المدمجة)
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
مخططات الشبكة
كما هو موضح في هذه الصورة، أمثلة على عنونة IP التي سيتم تطبيقها في طوبوليتين مختلفتين:
ASA + FirePOWER مع محول داخلي:
ASA + FirePOWER بدون محول داخلي:
التكوين
يجب تنفيذ هذه الخطوات بعد تشغيل ASA وتمهيد تشغيله باستخدام كبل وحدة التحكم المتصل بالعميل.
الخطوة 1. تعديل تكوين IP للواجهة على ASA
قم بتكوين الواجهات الداخلية (GigabitEthernet 1/2) و WiFi (GigabitEthernet 1/9) للحصول على عناوين IP حسب الحاجة داخل البيئة الموجودة. في هذا المثال، يوجد عملاء داخليون على شبكة 10.0.0.1/24 ويوجد عملاء WiFi على شبكة 10.1.0.1/24.
asa(config)# interface gigabitEthernet 1/2 asa(config-if)# ip address 10.0.0.1 255.255.255.0 asa(config)# interface gigabitEthernet 1/9 asa(config-if)# ip address 10.1.0.1 255.255.255.0[an error occurred while processing this directive]
Interface address is not on same subnet as DHCP pool WARNING: DHCPD bindings cleared on interface 'inside', address pool removed[an error occurred while processing this directive]
الخطوة 2. تعديل إعدادات تجمع DHCP على كل من واجهات WiFi
هذه الخطوة مطلوبة إذا كان ال ASA أن يكون استعملت كال DHCP نادل في البيئة. إذا تم إستخدام خادم DHCP آخر لتعيين عناوين IP إلى العملاء، فيجب تعطيل DHCP على ASA بالكامل. بما أنك قد غيرت الآن نظام عنونة IP الخاص بنا، فأنت بحاجة إلى تغيير نطاقات عناوين IP الموجودة التي يوفرها ASA للعملاء. ستقوم هذه الأوامر بإنشاء تجمعات جديدة لمطابقة نطاق عناوين IP الجديد:
asa(config)# dhcpd address 10.0.0.2-10.0.0.100 inside asa(config)# dhcpd address 10.1.0.2-10.1.0.100 wifi[an error occurred while processing this directive]
كما سيؤدي تعديل تجمعات DHCP إلى تعطيل خادم DHCP السابق على ASA، وستحتاج إلى إعادة تمكينه.
asa(config)# dhcpd enable inside[an error occurred while processing this directive]
asa(config)# dhcpd enable wifi
إذا لم تقم بتغيير عناوين IP الخاصة بالواجهة قبل إجراء تغييرات DHCP، فستتلقى هذا الخطأ:
asa(config)# dhcpd address 10.0.0.2-10.0.0.100 inside Address range subnet 10.0.0.2 or 10.0.0.100 is not the same as inside interface subnet 192.168.1.1[an error occurred while processing this directive]
الخطوة 3. حدد خادم DNS للتمرير إلى الداخل وعملاء WiFi DHCP
عندما يقومون بتعيين عناوين IP عبر DHCP، يحتاج معظم العملاء أيضا إلى أن يتم تعيين خادم DNS لهم بواسطة خادم DHCP. ستقوم هذه الأوامر بتكوين ASA لتضمين خادم DNS الموجود في 10.0.0.250 إلى جميع العملاء. تحتاج إلى إستبدال 10.0.0.250 إما بخادم DNS داخلي أو خادم DNS الموفر من قبل ISP الخاص بك.
asa(config)# dhcpd dns 10.0.0.250 interface inside asa(config)# dhcpd dns 10.0.0.250 interface wifi[an error occurred while processing this directive]
الخطوة 4. تعديل تكوين الوصول إلى HTTP على ASA للوصول إلى مدير أجهزة الأمان القابل للتكيف (ASDM):
بما أن عنوان IP تم تغييره، فإن وصول HTTP إلى ASA يحتاج أيضا إلى التعديل حتى يمكن للعملاء على الداخل وشبكات WiFi الوصول إلى ASDM لإدارة ASA.
asa(config)# no http 192.168.1.0 255.255.255.0 inside[an error occurred while processing this directive]
asa(config)# no http 192.168.10.0 255.255.255.0 wifi
asa(config)# http 0.0.0.0 0.0.0.0 inside asa(config)# http 0.0.0.0 0.0.0.0 wifi
الخطوة 5. تعديل واجهة IP لإدارة نقطة الوصول في وحدة تحكم الشبكة المحلية اللاسلكية (واجهة BVI1):
asa# session wlan console ap>enable Password: Cisco ap#configure terminal Enter configuration commands, one per line. End with CNTL/Z. ap(config)#interface BVI1 ap(config-if)#ip address 10.1.0.254 255.255.255.0[an error occurred while processing this directive]
الخطوة 6. تعديل البوابة الافتراضية على WAP
هذه الخطوة مطلوبة بحيث يعرف WAP أين أن يرسل كل حركة المرور التي لم تنشأ على الشبكة الفرعية المحلية. وهذا مطلوب لتوفير الوصول إلى واجهة المستخدم الرسومية (GUI) ل WAP عبر HTTP من عميل على واجهة ASA الداخلية.
ap(config)#ip default-gateway 10.1.0.1[an error occurred while processing this directive]
الخطوة 7. تعديل عنوان IP الخاص بإدارة وحدة FirePOWER النمطية (إختياري)
إذا كنت تخطط أيضا لنشر وحدة Cisco FirePOWER (المعروفة أيضا باسم SFR)، فأنت بحاجة أيضا إلى تغيير عنوان IP الخاص بها للوصول إليه من واجهة الإدارة المادية 1/1 على ASA. هناك سيناريوهان أساسيان للنشر يحددان كيفية تكوين ASA ووحدة SFR:
- مخطط يتم فيه توصيل واجهة ASA Management1/1 بمحول داخلي (وفقا لدليل البدء السريع العادي)
- طبولوجيا حيث مفتاح داخلي غير موجود.
حسب السيناريو الخاص بك، فهذه هي الخطوات المناسبة:
إذا كانت واجهة ASA Management1/1 متصلة بمحول داخلي:
أنت يستطيع جلسة داخل الوحدة نمطية وغيرها من ال ASA قبل أن يربط هو إلى مفتاح داخلي. يسمح هذا تشكيل أنت أن ينفذ ال SFR وحدة نمطية عبر IP بوضعها على ال نفسه subnet as the ASA داخل قارن مع عنوان 10.0.0.254.
تكون الخطوط المكتوبة بخط غامق خاصة بهذا المثال وهي مطلوبة لإنشاء اتصال IP.
الخطوط المائلة ستختلف حسب البيئة.
asa# session sfr console Opening console session with module sfr. Connected to module sfr. Escape character sequence is 'CTRL-^X'. Cisco ASA5506W v5.4.1 (build 211) Sourcefire3D login: admin Password: Sourcefire <<Output Truncated - you will see a large EULA>> Please enter 'YES' or press <ENTER> to AGREE to the EULA: YES System initialization in progress. Please stand by. You must change the password for 'admin' to continue. Enter new password: Confirm new password: You must configure the network to continue. You must configure at least one of IPv4 or IPv6. Do you want to configure IPv4? (y/n) [y]: y Do you want to configure IPv6? (y/n) [n]: n Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]: 10.0.0.254
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0
Enter the IPv4 default gateway for the management interface []:
10.0.0.1
[an error occurred while processing this directive]
Enter a fully qualified hostname for this system [Sourcefire3D]: Cisco_SFR
Enter a comma-separated list of DNS servers or 'none' []: 10.0.0.250
Enter a comma-separated list of search domains or 'none' [example.net]: example.net
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy'
Applying 'Default Allow All Traffic' access control policy.
إذا لم يتم توصيل ASA بمحول داخلي:
قد لا يوجد محول داخلي في بعض عمليات النشر الصغيرة. في هذا النوع من المخطط، يتصل العملاء عادة ب ASA عبر واجهة WiFi. في هذا السيناريو، من الممكن التخلص من الحاجة إلى محول خارجي والوصول إلى وحدة SFR عبر واجهة ASA منفصلة من خلال التوصيل المتبادل بين واجهة Management1/1 وواجهة ASA مادية أخرى.
في هذا المثال، يجب أن يكون هناك اتصال إيثرنت طبيعي بين واجهة ASA GigabitEthernet1/3 وواجهة Management1/1. بعد ذلك، يمكنك تكوين وحدة ASA و SFR النمطية لتكون على شبكة فرعية منفصلة ثم يمكنك الوصول إلى SFR من كل من واجهة ASA وكذلك العملاء الموجودين على الواجهات الداخلية أو واجهات WiFi.
تكوين واجهة ASA:
asa(config)# interface gigabitEthernet 1/3 asa(config-if)# ip address 10.2.0.1 255.255.255.0 asa(config-if)# nameif sfr INFO: Security level for "sfr" set to 0 by default. asa(config-if)# security-level 100 asa(config-if)# no shut[an error occurred while processing this directive]
تكوين وحدة SFR النمطية:
asa# session sfr console Opening console session with module sfr. Connected to module sfr. Escape character sequence is 'CTRL-^X'. Cisco ASA5506W v5.4.1 (build 211) Sourcefire3D login: admin Password: Sourcefire <<Output Truncated - you will see a large EULA>> Please enter 'YES' or press <ENTER> to AGREE to the EULA: YES System initialization in progress. Please stand by. You must change the password for 'admin' to continue. Enter new password: Confirm new password: You must configure the network to continue. You must configure at least one of IPv4 or IPv6. Do you want to configure IPv4? (y/n) [y]: y Do you want to configure IPv6? (y/n) [n]: n Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]: 10.2.0.254 Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0 Enter the IPv4 default gateway for the management interface []: 10.2.0.1
Enter a fully qualified hostname for this system [Sourcefire3D]: Cisco_SFR Enter a comma-separated list of DNS servers or 'none' []: 10.0.0.250 Enter a comma-separated list of search domains or 'none' [example.net]: example.net If your networking information has changed, you will need to reconnect. For HTTP Proxy configuration, run 'configure network http-proxy' Applying 'Default Allow All Traffic' access control policy.[an error occurred while processing this directive]
بمجرد تطبيق تكوين SFR، يجب أن تكون قادرا على إختبار اتصال عنوان IP الخاص بإدارة SFR من ASA:
asa# ping 10.2.0.254
Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.2.0.254, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms asa#[an error occurred while processing this directive]
إذا تعذر عليك إختبار اتصال الواجهة بنجاح، فتحقق من تكوين إتصالات الإيثرنت المادية وحالتها.
الخطوة 8. ربطت إلى AP gui أن يمكن لاسلكي واضبط آخر تشكيل WAP
عند هذه النقطة، يجب أن يكون لديك اتصال لإدارة WAP عبر واجهة المستخدم الرسومية (GUI) ل HTTP كما هو موضح في دليل البدء السريع. ستحتاج إما إلى الاستعراض إلى عنوان IP الخاص بواجهة BVI الخاصة ب WAP من مستعرض ويب لعميل متصل بالشبكة الداخلية على الطراز 5506W أو يمكنك تطبيق مثال التكوين والاتصال ب SSID الخاص ب WAP. إذا لم تستخدم واجهة سطر الأوامر أدناه، فستحتاج إلى توصيل كبل إيثرنت من العميل إلى واجهة Gigabit1/2 على ASA.
إن يفضل أنت أن يستعمل ال CLI أن يشكل ال WAP، أنت يستطيع جلسة داخل هو من ال ASA يستعمل هذا مثال تشكيل. وهذا يؤدي إلى إنشاء SSID مفتوح باسم 5506W و 5506W_5GHz حتى يمكنك إستخدام عميل لاسلكي للاتصال ب WAP والمزيد من إدارته.
WAP CLI تشكيل ل VLAN لاسلكي وحيد يستعمل يعدل IP مدى
dot11 ssid 5506W authentication open guest-mode dot11 ssid 5506W_5Ghz authentication open guest-mode ! interface Dot11Radio0 ! ssid 5506W ! interface Dot11Radio1 ! ssid 5506W_5Ghz ! interface BVI1 ip address 10.1.0.254 255.255.255.0 ip default-gateway 10.1.0.1 ! interface Dot11Radio0 no shut ! interface Dot11Radio1 no shut[an error occurred while processing this directive]
من هذه النقطة فصاعدا، يمكنك تنفيذ الخطوات العادية لإكمال تكوين WAP ويجب أن تكون قادرا على الوصول إليه من مستعرض ويب لعميل متصل ب SSID الذي تم إنشاؤه أعلاه. اسم المستخدم الافتراضي لنقطة الوصول هو Cisco باستخدام كلمة مرور من Cisco مع رأس مال C.
دليل البدء السريع من سلسلة Cisco ASA 5506-X
تحتاج إلى إستخدام عنوان IP الخاص ب 10.1.0.254 بدلا من 192.168.10.2 كما هو موضح في دليل البدء السريع.
التكوينات
يجب أن يتطابق التكوين الناتج مع الإخراج (بافتراض أنك أستخدمت مثال نطاقات IP، أو استبدلت وفقا لذلك:
تكوين ASA
الواجهات:
asa# sh run interface gigabitEthernet 1/2
! interface GigabitEthernet1/2 nameif inside security-level 100 ip address 10.0.0.1 255.255.255.0
asa# sh run interface gigabitEthernet 1/3
!
interface GigabitEthernet1/3
nameif sfr
security-level 100
ip address 10.2.0.1 255.255.255.0
asa# sh run interface gigabitEthernet 1/9
! interface GigabitEthernet1/9 nameif wifi security-level 100 ip address 10.1.0.1 255.255.255.0 asa#[an error occurred while processing this directive]
DHCP:
asa# sh run dhcpd
[an error occurred while processing this directive]
dhcpd auto_config outside **auto-config from interface 'outside' **auto_config dns x.x.x.x x.x.x.x <-- these lines will depend on your ISP **auto_config domain isp.domain.com <-- these lines will depend on your ISP ! dhcpd address 10.0.0.2-10.0.0.100 inside dhcpd dns 10.0.0.250 interface inside dhcpd enable inside ! dhcpd address 10.1.0.2-10.1.0.100 wifi dhcpd dns 10.0.0.250 interface wifi dhcpd enable wifi ! asa#
HTTP:
asa# show run http
http server enable http 0.0.0.0 0.0.0.0 outside http 0.0.0.0 0.0.0.0 inside asa#[an error occurred while processing this directive]
تكوين WAP من Aironet (بدون مثال تكوين SSID)
asa# session wlan console ap>enable Password: Cisco ap#configure terminal Enter configuration commands, one per line. End with CNTL/Z.
ap#show configuration | include default-gateway
ip default-gateway 10.1.0.1
ap#show configuration | include ip route
ip route 0.0.0.0 0.0.0.0 10.1.0.1
ap#show configuration | i interface BVI|ip address 10
[an error occurred while processing this directive]
interface BVI1 ip address
10.1.0.254 255.255.255.0
تكوين الوحدة النمطية FirePOWER (بمحول داخلي)
asa# session sfr console Opening console session with module sfr. Connected to module sfr. Escape character sequence is 'CTRL-^X'. > show network ===============[ System Information ]=============== Hostname : Cisco_SFR Domains : example.net DNS Servers : 10.0.0.250 Management port : 8305
IPv4 Default route Gateway : 10.0.0.1
======================[ eth0 ]====================== State : Enabled Channels : Management & Events Mode : MDI/MDIX : Auto/MDIX MTU : 1500 MAC Address : B0:AA:77:7C:84:10
----------------------[ IPv4 ]---------------------
Configuration : Manual Address : 10.0.0.254 Netmask : 255.255.255.0 Broadcast : 10.0.0.255
----------------------[ IPv6 ]---------------------- Configuration : Disabled ===============[ Proxy Information ]================ State : Disabled Authentication : Disabled >[an error occurred while processing this directive]
تكوين الوحدة النمطية FirePOWER (بدون محول داخلي)
asa# session sfr console Opening console session with module sfr. Connected to module sfr. Escape character sequence is 'CTRL-^X'. > show network ===============[ System Information ]=============== Hostname : Cisco_SFR Domains : example.net DNS Servers : 10.0.0.250 Management port : 8305
IPv4 Default route Gateway : 10.2.0.1
======================[ eth0 ]====================== State : Enabled Channels : Management & Events Mode : MDI/MDIX : Auto/MDIX MTU : 1500 MAC Address : B0:AA:77:7C:84:10
----------------------[ IPv4 ]--------------------- Configuration : Manual Address : 10.2.0.254 Netmask : 255.255.255.0 Broadcast : 10.2.0.255
----------------------[ IPv6 ]---------------------- Configuration : Disabled ===============[ Proxy Information ]================ State : Disabled Authentication : Disabled >[an error occurred while processing this directive]
التحقق من الصحة
للتحقق من أن لديك الاتصال المناسب ب WAP لإكمال عملية التثبيت:
- قم بتوصيل عميل الاختبار بواجهة ASA الداخلية وتأكد من أنها تستلم عنوان IP من ال ASA عبر DHCP الموجود ضمن نطاق IP المطلوب.
- أستخدم مستعرض ويب على العميل الخاص بك للتنقل إلى https://10.1.0.254 والتحقق من إمكانية الوصول إلى واجهة المستخدم الرسومية (GUI) لنقطة الوصول الآن.
- يتم إختبار اتصال واجهة إدارة SFR من العميل الداخلي و ASA للتحقق من الاتصال الصحيح.
شكلت DHCP مع يتعدد لاسلكي VLANs
يفترض التكوين أنك تستخدم شبكة VLAN لاسلكية واحدة. يمكن أن توفر واجهة الجسر الظاهرية (BVI) على نقطة الوصول اللاسلكية جسرا لشبكات VLAN متعددة. بسبب الصياغة الخاصة ب DHCP على ASA، إذا كنت ترغب في تكوين الطراز 5506W كخادم DHCP لشبكات VLAN متعددة، فأنت بحاجة إلى إنشاء واجهات فرعية على واجهة Gigabit1/9 وإعطاء كل اسم. يرشدك هذا قسم من خلال عملية كيف أن يزيل التقصير تشكيل وأن يطبق التشكيل ضروري أن يثبت ال ASA ك DHCP نادل ل يتعدد VLANs.
الخطوة 1. أزلت موجود DHCP تشكيل على gig1/9
أولا، قم بإزالة تكوين DHCP الموجود على واجهة Gig1/9 (WiFi):
ciscoasa# no dhcpd address 10.1.0.2-10.1.0.100 wifi[an error occurred while processing this directive]
ciscoasa# no dhcpd enable wifi
الخطوة 2. قم بإنشاء واجهات فرعية لكل شبكة VLAN على Gig1/9
لكل شبكة VLAN قمت بتكوينها على نقطة الوصول، يلزمك تكوين واجهة فرعية من Gig1/9. في مثال التكوين هذا، تقوم بإضافة واجهتين فرعيتين:
-gig1/9.5، الذي سيكون له اسم if vlan5، وسيطابق VLAN 5 والشبكة الفرعية 10.5.0.0/24.
-gig1/9.30، والذي سيكون له اسم if vlan30، وسيطابق VLAN 30 والشبكة الفرعية 10.3.0.0/24.
عمليا، من الضروري أن تتطابق الشبكة المحلية الظاهرية (VLAN) والشبكة الفرعية التي تم تكوينها هنا مع شبكة VLAN والشبكة الفرعية المحددة على نقطة الوصول. يمكن أن يكون الاسم ورقم الواجهة الفرعية أي شيء تختاره. يرجى الرجوع إلى دليل البدء السريع المذكور سابقا للروابط لتكوين نقطة الوصول باستخدام واجهة المستخدم الرسومية (GUI) للويب.
ciscoasa(config)# interface g1/9.5[an error occurred while processing this directive]
ciscoasa(config-if)# vlan 5
ciscoasa(config-if)# nameif vlan5
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# ip address 10.5.0.1 255.255.255.0
ciscoasa(config-if)# interface g1/9.30
ciscoasa(config-if)# vlan 30
ciscoasa(config-if)# nameif vlan30
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# ip address 10.30.0.1 255.255.255.0
الخطوة 3. عينت DHCP بركة ل كل VLAN
قم بإنشاء تجمع DHCP منفصل لكل شبكة VLAN يتم تكوينها. تتطلب الصياغة الخاصة بهذا الأمر أن تقوم بإدراج الاسم الذي سيستخدم ASA منه التجمع المعني. رأيت في هذا مثال، أي يستعمل VLANs 5 و 30:ciscoasa(config)# dhcpd address 10.5.0.2-10.5.0.254 vlan5 ciscoasa(config)# dhcpd address 10.30.0.2-10.30.0.254 vlan30 ciscoasa(config)# dhcpd enable vlan5 ciscoasa(config)# dhcpd enable vlan30[an error occurred while processing this directive]
الخطوة 4. تشكيل SSIDs لنقطة الوصول وحفظ التكوين وإعادة ضبط الوحدة النمطية
وأخيرا يلزم تكوين نقطة الوصول بحيث تتوافق مع تكوين ASA. تسمح لك واجهة واجهة المستخدم الرسومية لنقطة الوصول بتكوين شبكات VLAN على نقطة الوصول من خلال العميل المتصل بواجهة ASA داخل (Gigabit1/2). ومع ذلك، إذا كنت تفضل إستخدام واجهة سطر الأوامر (CLI) لتكوين نقطة الوصول عبر جلسة عمل وحدة تحكم ASA ثم الاتصال لاسلكيا لإدارة نقطة الوصول، فيمكنك إستخدام هذا التكوين كقالب لإنشاء إثنين من SSIDs على شبكات VLAN رقم 5 و 30. يجب إدخال هذا ضمن وحدة تحكم نقطة الوصول في وضع التكوين العام:
dot11 vlan-name VLAN30 vlan 30 dot11 vlan-name VLAN5 vlan 5 ! dot11 ssid SSID_VLAN30 vlan 30 authentication open mbssid guest-mode ! dot11 ssid SSID_VLAN5 vlan 5 authentication open mbssid guest-mode ! interface Dot11Radio0 ! ssid SSID_VLAN30 ! ssid SSID_VLAN5 mbssid ! interface Dot11Radio0.5 encapsulation dot1Q 5 bridge-group 5 bridge-group 5 subscriber-loop-control bridge-group 5 spanning-disabled bridge-group 5 block-unknown-source no bridge-group 5 source-learning no bridge-group 5 unicast-flooding ! interface Dot11Radio0.30 encapsulation dot1Q 30 bridge-group 30 bridge-group 30 subscriber-loop-control bridge-group 30 spanning-disabled bridge-group 30 block-unknown-source no bridge-group 30 source-learning no bridge-group 30 unicast-flooding ! interface Dot11Radio1 ! ssid SSID_VLAN30 ! ssid SSID_VLAN5 mbssid ! interface Dot11Radio1.5 encapsulation dot1Q 5 bridge-group 5 bridge-group 5 subscriber-loop-control bridge-group 5 spanning-disabled bridge-group 5 block-unknown-source no bridge-group 5 source-learning no bridge-group 5 unicast-flooding ! interface Dot11Radio1.30 encapsulation dot1Q 30 bridge-group 30 bridge-group 30 subscriber-loop-control bridge-group 30 spanning-disabled bridge-group 30 block-unknown-source no bridge-group 30 source-learning no bridge-group 30 unicast-flooding ! interface GigabitEthernet0.5 encapsulation dot1Q 5 bridge-group 5 bridge-group 5 spanning-disabled no bridge-group 5 source-learning ! interface GigabitEthernet0.30 encapsulation dot1Q 30 bridge-group 30 bridge-group 30 spanning-disabled no bridge-group 30 source-learning ! interface BVI1 ip address 10.1.0.254 255.255.255.0 ip default-gateway 10.1.0.1 ! interface Dot11Radio0 no shut ! interface Dot11Radio1 no shut[an error occurred while processing this directive] عند هذه النقطة، يجب أن يكون تكوين إدارة ASA و AP مكتملا، ويعمل ASA كخادم DHCP لشبكات VLAN 5 و 30. بعد حفظ التكوين باستخدام الأمر write memory على نقطة الوصول، إذا كنت لا تزال تواجه مشاكل اتصال، فيجب عليك إعادة تحميل نقطة الوصول باستخدام الأمر reload من واجهة سطر الأوامر. ومع ذلك، إذا كنت تتلقى عنوان IP على عناوين SSIDs التي تم إنشاؤها حديثا، فلا يتطلب أي إجراء إضافي.
ap#write memory Building configuration... [OK] ap#reload Proceed with reload? [confirm] Writing out the event log to flash:/event.log ...[an error occurred while processing this directive]
بمجرد أن تنتهي نقطة الوصول من إعادة التحميل، يجب أن يكون لديك اتصال بواجهة المستخدم الرسومية (GUI) لنقطة الوصول من جهاز عميل على WiFi أو الشبكات الداخلية. يستغرق الأمر عموما حوالي دقيقتين لنقطة الوصول لإعادة التشغيل بالكامل. من هذه النقطة فصاعدا، يمكنك تطبيق الخطوات العادية لإكمال تكوين WAP.
دليل البدء السريع من سلسلة Cisco ASA 5506-X
استكشاف الأخطاء وإصلاحها
أستكشاف أخطاء اتصال ASA وإصلاحها خارج نطاق هذا المستند نظرا لأن هذا مخصص للتكوين الأولي. يرجى الرجوع إلى أقسام التحقق والتكوين لضمان إكمال جميع الخطوات بشكل صحيح.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
30-Mar-2016 |
الإصدار الأولي |
التعليقات