ACS الإصدار 5.2 و WLC لكل مثال تكوين مصادقة WLAN

المقدمة

يقدم هذا المستند مثالا للتكوين لتقييد وصول كل مستخدم إلى شبكة محلية لاسلكية (WLAN) استنادا إلى معرف مجموعة الخدمة (SSID).

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• كيفية تكوين وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) ونقطة الوصول في الوضع Lightweight (LAP) للتشغيل الأساسي
• كيفية تكوين خادم التحكم في الوصول الآمن (ACS) من Cisco
• البروتوكول الخفيف لنقطة الوصول (LWAPP) وطرائق الأمان اللاسلكية

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• Cisco 5500 Series WLC الذي يشغل البرنامج الثابت، الإصدار 7.4.110
• نقطة الوصول في الوضع Lightweight من السلسلة Cisco 1142 Series LAP
• Cisco Secure ACS Server، الإصدار 5.2.0.26.11

التكوين

لتكوين الأجهزة لهذا الإعداد، يجب:

1. قم بتكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لشبكتي WLAN وخادم RADIUS.
2. قم بتكوين مصدر المحتوى الإضافي الآمن من Cisco.
3. قم بتكوين العملاء اللاسلكيين والتحقق من التكوين.

تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)

أتمت هذا steps in order to شكلت ال WLC ل هذا إعداد:

1. قم بتكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لإعادة توجيه بيانات اعتماد المستخدم إلى خادم RADIUS خارجي. يتحقق خادم RADIUS الخارجي (Cisco Secure ACS في هذه الحالة) من مسوغات المستخدم ويوفر الوصول إلى العملاء اللاسلكيين. أكمل الخطوات التالية:
   1. حدد تأمين > مصادقة RADIUS من واجهة المستخدم الرسومية (GUI) لوحدة التحكم لعرض صفحة خوادم مصادقة RADIUS.

      

   2. انقر فوق جديد لتحديد معلمات خادم RADIUS.

      وتتضمن هذه المعلمات عنوان IP لخادم RADIUS والسر المشترك ورقم المنفذ وحالة الخادم. تحدد خانات إختيار مستخدم الشبكة وإدارتها ما إذا كانت المصادقة المستندة إلى RADIUS تنطبق على مستخدمي الإدارة والشبكة. يستعمل هذا مثال ال cisco يأمن ACS بما أن RADIUS نادل مع عنوان 10.104.208.56.

      

   3. طقطقة يطبق.
2. أكمل هذه الخطوات لتكوين شبكة WLAN واحدة للموظف باستخدام موظف SSID وشبكة WLAN الأخرى للمتعاقدين مع متعهد SSID.
   1. طقطقت WLANs من الجهاز تحكم gui in order to خلقت WLAN. يظهر نافذة WLANs. تسرد هذه النافذة شبكات WLAN التي تم تكوينها على وحدة التحكم.
   2. طقطقت جديد in order to شكلت WLAN جديد.
   3. يقوم هذا المثال بإنشاء موظف مسمى WLAN ومعرف WLAN هو 1. طقطقة يطبق.

      

   4. حدد نافذة تحرير > WLAN وحدد المعلمات الخاصة بالشبكة المحلية اللاسلكية (WLAN):
      1. من صفحة تأمين الطبقة 2، حدد 802.1x. بشكل افتراضي، يكون خيار تأمين الطبقة 2 هو 802.1x. وهذا يمكن مصادقة 802.1 x/Extensible Authentication Protocol (EAP) للشبكة المحلية اللاسلكية (WLAN).

         

      2. من علامة التبويب خوادم AAA، حدد خادم RADIUS المناسب من القائمة المنسدلة تحت خوادم RADIUS. يمكن تعديل المعلمات الأخرى استنادا إلى متطلبات شبكة WLAN. طقطقة يطبق.

         

   5. بالمثل، من أجل إنشاء شبكة WLAN للمتعاقدين، كرر الخطوات من b إلى d.

تكوين مصدر المحتوى الإضافي الآمن من Cisco

على خادم ACS الآمن من Cisco، يلزمك:

1. قم بتكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) كعميل AAA.
2. إنشاء قاعدة بيانات المستخدم (بيانات الاعتماد) للمصادقة المستندة إلى SSID.
3. تمكين مصادقة EAP.

أتمت هذا steps على ال cisco يأمن ACS:

1. لتحديد وحدة التحكم كعميل AAA على خادم ACS، حدد موارد الشبكة > أجهزة الشبكة وعملاء AAA من واجهة المستخدم الرسومية (ACS). تحت أجهزة الشبكة وعملاء AAA، انقر فوق إنشاء.
2. عندما تظهر صفحة تكوين الشبكة، قم بتعريف اسم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) وعنوان IP والسر المشترك وطريقة المصادقة (RADIUS).

   

3. حدد المستخدمين ومخازن الهوية > مجموعات الهوية من واجهة المستخدم الرسومية (ACS). قم بإنشاء المجموعات الخاصة بالموظف والمقاول وانقر فوق إنشاء. في هذا المثال، المجموعة التي تم إنشاؤها تسمى "موظفين".

   

4. حدد المستخدمين ومخازن الهوية > متاجر الهوية الداخلية. طقطقة يخلق وأدخل ال username. ضعهم في المجموعة الصحيحة، وقم بتعريف كلمة المرور الخاصة بهم، وانقر فوق إرسال.في هذا المثال، يتم إنشاء مستخدم باسم موظف 1 في المجموعة. وبالمثل، قم بإنشاء متعهد مسمى لمستخدم 1 تحت متعهدي المجموعة.

   

5. حدد عناصر النهج > شروط الشبكة > عوامل تصفية المحطة الطرفية. طقطقة يخلق.

   

   1. أدخل اسما ذا معنى وتحت علامة التبويب عنوان IP أدخل عنوان IP الخاص ب WLC. في هذا المثال، الأسماء هي "موظف" و"مقاول".

      

   2. تحت علامة التبويب CLI/DNIS، أترك CLI ك -ANY وأدخل DNIS ك *<SSID>. في هذا المثال، يتم إدخال حقل DNIS ك *Employee حيث يتم إستخدام عامل تصفية المحطة الطرفية هذا لتقييد الوصول إلى شبكة WLAN للموظف فقط. تعرف سمة DNIS SSID المسموح للمستخدم بالوصول إليه. يرسل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) معرف SSID في سمة DNIS إلى خادم RADIUS.
   3. كرر نفس الخطوات لعامل تصفية المحطة الخاص ب "المقاول".

      

      

6. حدد عناصر النهج > التخويل والأذونات > الوصول إلى الشبكة > توصيفات التخويل. يجب أن يكون هناك ملف تعريف افتراضي للوصول المسموح به.

   

7. حدد سياسات الوصول > خدمات الوصول > قواعد تحديد الخدمة. انقر فوق تخصيص.
   1. إضافة أي شرط مناسب. يستخدم هذا المثال البروتوكول ك RADIUS كشرط مطابقة.
   2. طقطقة يخلق. قم بتسمية القاعدة. حدد بروتوكول وحدد RADIUS.
   3. تحت النتائج، أختر خدمة الوصول المناسبة. في هذا المثال، يتم تركها كوصول افتراضي إلى الشبكة.

      

      

8. حدد سياسات الوصول > خدمات الوصول > الوصول الافتراضي للشبكة > الهوية. أختر تحديد نتيجة مفردة ومصدر هوية كمستخدمين داخليين.

   

   1. حدد سياسات الوصول > خدمات الوصول > الوصول الافتراضي إلى الشبكة > التخويل.  انقر فوق تخصيص وقم بإضافة الشروط المخصصة. يستخدم هذا المثال "مجموعة الهوية" و NDG:Device Type و End Station Filter بهذا الترتيب.

      

   2. طقطقة يخلق. قم بتسمية القاعدة واختيار مجموعة الهوية المناسبة ضمن كافة المجموعات. في هذا المثال يكون الموظف.

      

   3. انقر فوق زر تصفية STN الخاص ب الموظف" أو أدخل الاسم الذي أدخلته في الخطوة1b في قسم "تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)".

      

   4. حدد خانة الاختيار السماح بالوصول.

      

   5. كرر نفس الخطوات أعلاه لقواعد المقاول أيضا. تأكد من أن الإجراء الافتراضي هو رفض الوصول.

      بمجرد اكتمال الخطوة E، يجب أن تبدو القواعد الخاصة بك بهذا المثال:

      

بهذا ينتهي التكوين. بعد هذا القسم، يلزم تكوين العميل وفقا لذلك باستخدام معلمات SSID والأمان للاتصال.

التحقق من الصحة

لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.

استكشاف الأخطاء وإصلاحها

لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.