الأسئلة المتداولة حول الوصول إلى الضيف اللاسلكي

المقدمة

يصف هذا المستند المعلومات الخاصة بالأسئلة الأكثر شيوعا (FAQs) حول ميزة "الوصول إلى الضيف اللاسلكي"، والتي تعد جزءا من شبكة Cisco اللاسلكية الموحدة.

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

ما هو نفق إيثرنت عبر IP (EoIP) إلى منطقة الشبكة غير الآمنة؟

توصي Cisco باستخدام وحدة تحكم مخصصة لحركة مرور الضيوف. وحدة التحكم هذه تعرف باسم وحدة التحكم في الإرساء المضيفة.

عادة ما يكون جهاز تحكم المرساة الضيف موجودا في منطقة شبكة غير آمنة، يطلق عليها في كثير من الأحيان المنطقة المنزوعة السلاح (DMZ). توجد وحدات التحكم الأخرى في الشبكة المحلية اللاسلكية (WLAN) الداخلية التي تنشأ منها حركة المرور في شبكة LAN للمؤسسة. يتم إنشاء نفق EoIP بين وحدات التحكم في الشبكة المحلية اللاسلكية (WLAN) الداخلية ووحدة التحكم في الإرساء المضيفة لضمان عزل مسار حركة مرور الضيوف من حركة مرور بيانات المؤسسة. تعد عملية عزل المسار ميزة إدارة أمان بالغة الأهمية للوصول إلى الضيوف. وهو يضمن إمكانية فصل سياسات الأمان وجودة الخدمة (QoS)، كما يتم تمييزها بين حركة مرور الزائرين وحركة مرور الشركة أو حركة المرور الداخلية.

من الميزات الهامة لبنية الشبكة اللاسلكية الموحدة من Cisco إمكانية إستخدام نفق EoIP لتعيين واحدة أو أكثر من شبكات WLAN المزودة بشكل ثابت (أي SSIDs) إلى وحدة تحكم معينة في إرساء الضيف داخل الشبكة. تعبر كل حركات المرور - من وإلى شبكة WLAN معينة - نفق EoIP ثابت تم إنشاؤه بين وحدة تحكم عن بعد ووحدة تحكم الإرساء المضيفة.

باستخدام هذا الأسلوب، يمكن نقل جميع حركة مرور الضيف المرتبطة بشكل شفاف عبر شبكة المؤسسة إلى وحدة تحكم مضيف إرساء موجودة في منطقة الشبكة غير الآمنة.

كيف يمكنني تحديد وحدة التحكم المناسبة ليتم نشرها كوحدة تحكم ضيف في الإرساء؟

يعتمد تحديد وحدة التحكم في إرساء الضيف على مقدار حركة مرور الضيف كما هو محدد بواسطة عدد جلسات عمل العميل الضيف النشطة، أو كما هو محدد بواسطة سعة واجهة الوصلة على وحدة التحكم، أو كلاهما.

فيما يلي إجمالي الإنتاجية وقيود العملاء لكل وحدة تحكم في إرساء ضيف:

• وحدة التحكم في شبكة LAN اللاسلكية Cisco 2504 - 4 * واجهات 1 جيجابت في الثانية و 1000 عميل ضيف

• وحدة التحكم في الشبكة المحلية (LAN) اللاسلكية Cisco 5508 (WLC) - عملاء من الضيوف بسرعة 8 جيجابت في الثانية و 7000

• الوحدة النمطية للخدمات اللاسلكية Cisco Catalyst 6500 Series Wireless Services Module (WiSM-2) - 20 Gbps و 15000 عميل

• وحدة التحكم في شبكة LAN اللاسلكية (WLC) من Cisco 8500 - بسرعة 10 جيجابت في الثانية و 64000 عميل

ملاحظة: لا يمكن تكوين قوائم التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 7500 من Cisco كوحدة تحكم في ارتساء ضيف. ارجع إلى ما هي وحدات التحكم التي يمكن إستخدامها لدعم وصول الضيف في منطقة الشبكة غير الآمنة؟ للحصول على قائمة وحدات التحكم في الشبكة المحلية اللاسلكية (WLC) التي تدعم وظيفة إرساء الضيف.

يمكن تخزين 2048 اسم مستخدم وكلمة مرور زائرين كحد أقصى على قاعدة بيانات كل وحدة تحكم. لذلك، إذا تجاوز العدد الإجمالي لبيانات اعتماد الضيف النشطة هذا الرقم، يلزم توفر أكثر من وحدة تحكم واحدة. وبدلا من ذلك، يمكن تخزين بيانات اعتماد الضيف في خادم RADIUS خارجي.

لا يؤثر عدد نقاط الوصول في الشبكة على تحديد وحدة التحكم في إرساء الضيف.

كم عدد أنفاق إيثرنت عبر IP (EoIP) التي يمكن إنهاؤها على وحدة تحكم في الإرساء ضيف؟

يمكن لوحدة التحكم في إرساء الضيف إنهاء ما يصل إلى 71 نفقا EoIP من وحدات التحكم في الشبكة المحلية اللاسلكية (WLAN) الداخلية. هذه السعة هي نفسها عبر أي طراز من وحدة التحكم في شبكة LAN اللاسلكية من Cisco باستثناء WLC-2504. يمكن لوحدة التحكم 2504 إنهاء ما يصل إلى 15 نفق EoIP. يمكن تكوين أكثر من وحدة تحكم في الإرساء ضيف واحد إذا كانت هناك حاجة إلى أنفاق إضافية.

يتم حساب أنفاق EoIP لكل وحدة تحكم في الشبكة المحلية اللاسلكية (WLAN)، بشكل مستقل عن عدد الشبكات المحلية اللاسلكية (WLAN) النفقية أو معرفات المجموعات الآمنة (SSID) في كل EoIP.

يتم تكوين نفق EoIP واحد بين وحدة التحكم في إرساء الضيف وكل وحدة تحكم داخلية تدعم نقاط الوصول مع اقترانات عميل الضيف.

هل يمكنني إنشاء أنفاق إيثرنت عبر IP (EoIP) بين وحدات التحكم التي تشغل إصدارات برامج مختلفة؟

لا تدعم جميع إصدارات برامج وحدة تحكم الشبكة المحلية اللاسلكية ذلك. في مثل هذه الحالات، يجب أن تقوم وحدة التحكم عن بعد والمرساة بتشغيل نفس إصدار برنامج WLC. ومع ذلك، تتيح إصدارات البرامج الأخيرة لوحدات التحكم عن بعد في الإرساء أن يكون لها إصدارات مختلفة.

تسرد هذه المصفوفة إصدارات برنامج وحدة تحكم الشبكة المحلية اللاسلكية التي يمكنك من خلالها إنشاء أنفاق EoIP.

هل يمكن إستخدام وحدة التحكم في الشبكة المحلية (LAN) اللاسلكية من السلسلة Cisco 2100/2500 Series كضيف وحدة تحكم في الإرساء في منطقة الشبكة غير الآمنة؟

نعم، بدءا من برنامج Cisco Unified Wireless Network Software، الإصدار 7.4، يمكن لوحدة التحكم في الشبكة المحلية اللاسلكية من السلسلة Cisco 2500 Series إنهاء حركة مرور الضيف (ما يصل إلى 15 نفق EoIP) خارج جدار الحماية. لا يمكن لوحدة التحكم في الشبكة المحلية (LAN) اللاسلكية Cisco 2000 Series إلا إنشاء أنفاق الضيف.

هل يمكن إستخدام وحدة التحكم في الشبكة المحلية (LAN) اللاسلكية من Cisco لموجهات الخدمات المدمجة (WLCM أو WLCM2) كوحدة تحكم في الإرساء ضيف في منطقة الشبكة غير الآمنة؟

لا، ال WLCM أو WLCM2 يستطيع لا ينهي ضيف أنفاق. يمكن أن تنشئ إدارة الشبكة المحلية اللاسلكية (WLCM) أنفاق ضيوف فقط.

ما هي وحدات التحكم التي يمكن إستخدامها لدعم وصول الضيوف في منطقة الشبكة غير الآمنة؟

وظيفة إرساء النفق الضيف، والتي تتضمن إنهاء نفق EoIP ومصادقة الويب والتحكم في الوصول للعملاء الزائرين، مدعومة في هذه الأنظمة الأساسية لوحدة التحكم في الشبكة المحلية اللاسلكية من Cisco مع الإصدار 4. 0 أو صور البرامج الأحدث:

• الوحدة النمطية Cisco Catalyst 6500 Series Wireless Services Module (WiSM2)

• وحدة التحكم في شبكة LAN اللاسلكية من السلسلة Cisco WiSM-2 Series

• وحدة التحكم Cisco Catalyst 3750G Integrated Wireless LAN

• وحدة تحكم شبكة LAN اللاسلكية للسلسلة Cisco 5508 Series

• وحدة التحكم في الشبكة المحلية (LAN) اللاسلكية Cisco 2500 Series (الدعم المقدم في إصدار البرنامج 7.4)

إذا تم إستخدام وحدة التحكم في إرساء الضيف خارج جدار الحماية، فما هي منافذ جدار الحماية المفتوحة لوصول الضيف للعمل؟

على أي جدار حماية بين وحدة التحكم في الإرساء المضيفة ووحدات التحكم عن بعد، يلزم أن تكون هذه المنافذ مفتوحة:

• إمكانية التنقل القديمة: بروتوكول IP رقم 97 لحركة مرور بيانات المستخدم، منفذ UDP رقم 1666

• قابلية التنقل الجديدة: منفذ UDP 1666 و 16667

للإدارة الاختيارية، يلزم أن تكون منافذ جدار الحماية هذه مفتوحة:

• SSH/Telnet - منفذ TCP 22/23

• TFTP - منفذ UDP 69

• NTP - منفذ UDP 123

• SNMP - منافذ UDP 161 (الحصول على البيانات وتجهيزها) و 162 (الملائمات)

• HTTPS/HTTP - منفذ TCP 443/80

• Syslog - منفذ TCP 514

• منفذ مصادقة/حساب UDP ل RADIUS 1812 و 1813

هل يمكن لحركة مرور الضيوف المرور عبر جدار حماية مع تكوين ترجمة عنوان الشبكة (NAT)؟

يجب إستخدام nat واحد إلى واحد على نفق EoIP عبر جدار حماية.

في ارتساء - سيناريو WLC خارجي، أي WLC يرسل محاسبة RADIUS؟

في هذا السيناريو، يتم إجراء المصادقة دائما بواسطة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الخاص بالارتباط. لذلك، يتم إرسال محاسبة RADIUS بواسطة الربط WLC.

ملاحظة: في مصادقة ويب مركزية (CWA) و/أو تغيير نشر التفويض (CoA)، يجب تعطيل حساب RADIUS على المرسى، وإستخدامه فقط على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الخارجي.

يفشل نفق الضيف بين وحدة التحكم الداخلية ووحدة تحكم الإرساء. أرى هذه السجلات في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC): mm_listen.c:5373 mm-3-invalid_pkt_recvd: تم تلقي حزمة غير صالحة من 10. 40.220.18. عضو المصدر:0.0.0.0. عضو المصدر غير معروف.. لماذا؟

تحقق من حالة النفق من واجهة المستخدم الرسومية (GUI) الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC) في صفحة شبكات WLAN. انقر فوق المربع المنسدل بالقرب من شبكة WLAN واختر نقاط ربط Mobility التي تحتوي على حالة التحكم ومسار البيانات. رأيت رسالة الخطأ واجب إلى واحد من هذا سبب:

1. توجد وحدات التحكم الداخلية ووحدات التثبيت في إصدارات مختلفة من التعليمات البرمجية. تأكد من أنهم يشغلون نفس إصدارات الرمز.

2. تكوينات خاطئة في تكوين نقطة ربط قابلية التنقل. تحقق من تكوين DMZ نفسه كمرساة Mobility و WLCs الداخلية بها ال DMZ WLC مكون كمرساة Mobility. أحلت ل كثير معلومة على كيف أن يشكل الربط حركي، ال يشكل mise à niveau حركية قسم من cisco لاسلكي lan جهاز تحكم تشكيل مرشد، إطلاق 7.0. سيؤدي ذلك إلى عدم قدرة المستخدمين الضيوف على تمرير حركة المرور.

في إعداد وصول الضيف اللاسلكي، لا يستلم العملاء عنوان IP من خادم DHCP. تظهر رسالة الخطأ Thu 22 يناير 16:39:09 2009: xx:xx:xx:xx:xx:xx dhcp drop reply من Export-Foreign STA على وحدة التحكم الداخلية. لماذا؟

في إعداد وصول الضيف اللاسلكي، يجب أن يتطابق إعداد وكيل بروتوكول DHCP في وحدات تحكم تثبيت الضيف ووحدة التحكم الداخلية. وإلا، يتم إسقاط طلب DHCP من العملاء وتشاهد رسالة الخطأ هذه على وحدة التحكم الداخلية:

Thu Jan 22 16:39:09 2009: XX:XX:XX:XX:XX:XX  DHCP dropping REPLY from Export-Foreign STA

استعملت هذا أمر in order to غيرت ال DHCP وكيل يثبت على ال WLC:

(Cisco Controller) >config dhcp proxy ?

enable         Enable DHCP processing's proxy style behaviour.
disable        Disable DHCP processing's proxy style behaviour.

أستخدم الأمر show dhcp proxy على كلا وحدات التحكم للتحقق من أن كلا وحدتي التحكم لديهما نفس إعداد وكيل DHCP.

(Cisco Controller) >show dhcp proxy

DHCP Proxy Behaviour: enabled

(Cisco Controller) >

إذا تم إنشاء قنوات لنقل بيانات الضيوف إلى منطقة الشبكة غير الآمنة، فأين يمكن للعملاء الضيوف الحصول على عنوان IP؟

يتم نقل حركة مرور الضيوف داخل المؤسسة في الطبقة 3 عبر بروتوكول EoIP. لذلك، تكون النقطة الأولى التي يمكن عندها تنفيذ خدمات بروتوكول التكوين الديناميكي للمضيف (DHCP) محليا على وحدة التحكم في إرساء الضيف، أو يمكن لوحدة التحكم في إرساء الضيف ترحيل طلبات DHCP الخاصة بالعميل إلى خادم خارجي. وهذه أيضا هي الطريقة التي تتم بها معالجة تحليل عنوان نظام اسم المجال (DNS).

هل تدعم وحدة التحكم في شبكة LAN اللاسلكية من Cisco بوابات الويب لمصادقة الضيف؟

توفر وحدات التحكم في شبكة LAN اللاسلكية من Cisco، الإصدار 3.2 أو إصدار أحدث من البرنامج، بوابة ويب مدمجة تلتقط بيانات اعتماد الضيف للمصادقة وتوفر إمكانات إنشاء علامات تجارية بسيطة، بالإضافة إلى إمكانية عرض معلومات إخلاء المسؤولية ومعلومات سياسة الاستخدام المقبولة.

كيف يمكنني تخصيص بوابة الويب؟

لمزيد من المعلومات حول كيفية تخصيص مدخل ويب، ارجع إلى إختيار صفحة تسجيل الدخول لمصادقة الويب.

كيف تتم إدارة بيانات اعتماد الضيوف؟

يمكن إنشاء بيانات اعتماد الضيف وإدارتها مركزيا باستخدام Cisco Wireless Control System (WCS)، الإصدار 7.0 و/أو نظام التحكم في الشبكة (NCS) الإصدار 1.0. يمكن لمسؤول الشبكة إنشاء حساب إداري ذو امتياز محدود داخل WCS يسمح بوصول "سفير البهو" بغرض إنشاء بيانات اعتماد الضيف. في WCS أو NCS، الشخص الذي لديه حساب سفير بهو قادر على إنشاء وتخصيص ومراقبة وحذف بيانات اعتماد الضيف لوحدة التحكم التي تعمل كمراقب إرساء ضيف.

يمكن أن يدخل سفير البهو اسم مستخدم الضيف (أو معرف المستخدم) وكلمة مرور، أو يمكن إنشاء بيانات الاعتماد تلقائيا. هناك أيضا معلمة تكوين عمومي تتيح إستخدام اسم مستخدم وكلمة مرور واحد لجميع الضيوف، أو اسم مستخدم وكلمة مرور فريدين لكل ضيف.

أحلت in order to شكلت البهو سفير حساب على ال WCS، ال create ضيف مستعمل حساب قسم من cisco لاسلكي تحكم نظام تشكيل مرشد، إطلاق 7.0.

هل وظيفة سفير البهو متوفرة في وحدة التحكم في شبكة LAN اللاسلكية من Cisco بالإضافة إلى نظام التحكم اللاسلكي (WCS) أو NCS؟

نعم. إذا لم يتم نشر WCS أو NCS، يمكن لمسؤول الشبكة إنشاء حساب سفير باللوحة على وحدة التحكم في إرساء الضيوف. يمكن للشخص الذي يقوم بتسجيل الدخول إلى وحدة تحكم المرساة الضيف باستخدام حساب سفير البهو الوصول إلى وظائف إدارة المستخدم الضيف فقط.

إذا كان هناك العديد من وحدات التحكم في إرساء الضيف، فيجب إستخدام WCS أو NCS لتكوين أسماء المستخدمين في الوقت نفسه على وحدات تحكم إرساء الضيف المتعددة.

أحلت لمعلومة على كيف أن يخلق لوبي سفير حساب يستعمل لاسلكي lan جهاز تحكم، ال create لوبي سفير حساب قسم من cisco لاسلكي lan جهاز تحكم تشكيل مرشد، إطلاق 7.0.

هل يمكن مصادقة الضيوف باستخدام خادم المصادقة والتفويض والمحاسبة (AAA) الخارجي؟

نعم. يمكن نقل طلبات مصادقة الضيف إلى خادم RADIUS خارجي. 

ماذا يحدث عندما يدخل ضيف؟

عندما يقوم ضيف لاسلكي بتسجيل الدخول من خلال بوابة الويب، فإن وحدة تحكم ارتساء الضيف تتعامل مع المصادقة عن طريق تنفيذ الخطوات التالية:

1. تتحقق وحدة التحكم في الإرساء المضيفة من قاعدة البيانات المحلية الخاصة بها لاسم المستخدم وكلمة المرور، وإذا كانا حاضرين، فتوفر إمكانية الوصول.

2. إذا لم تكن هناك مسوغات مستخدم موجودة محليا على وحدة التحكم في الإرساء المضيفة، يتحقق جهاز تحكم الإرساء الضيف من إعدادات تكوين شبكة WLAN لمعرفة ما إذا تم تكوين خادم (خوادم) RADIUS الخارجية للشبكة المحلية اللاسلكية (WLAN) للضيف. إذا كان الأمر كذلك، فتقوم وحدة التحكم بإنشاء حزمة طلب وصول RADIUS باسم المستخدم وكلمة المرور وإعادة توجيهها إلى خادم RADIUS المحدد للمصادقة.

3. إذا لم يتم تكوين أي خوادم RADIUS معينة للشبكة المحلية اللاسلكية (WLAN)، فإن وحدة التحكم تتحقق من إعدادات تكوين خادم RADIUS العام الخاصة بها. يتم الاستعلام عن أي خوادم RADIUS خارجية تم تكوينها باستخدام الخيار لمصادقة "مستخدم الشبكة" باستخدام بيانات اعتماد المستخدم الضيف. وإلا، إذا لم يتم تحديد أي خوادم  "مستخدم الشبكة"، ولم تتم مصادقة المستخدم من خلال الخطوات 1 أو 2، فإن المصادقة تفشل.

هل من الممكن تخطي مصادقة المستخدم الضيف وعرض خيار إخلاء المسؤولية لصفحة الويب فقط؟

نعم. خيار تكوين آخر للوصول اللاسلكي للضيف هو تجاوز مصادقة المستخدم بالكامل والسماح بالوصول المفتوح. ومع ذلك، قد تكون هناك حاجة لتقديم سياسة إستخدام مقبول وصفحة إخلاء المسؤولية للضيوف قبل منح الوصول. للقيام بذلك، يمكن تكوين شبكة WLAN للضيف للمرور الخاص بنهج الويب. في هذا السيناريو، تتم إعادة توجيه مستخدم ضيف إلى صفحة مدخل ويب تحتوي على معلومات إخلاء المسؤولية. لتمكين تعريف المستخدم الضيف، يحتوي وضع المرور أيضا على خيار للمستخدم لإدخال عنوان بريد إلكتروني قبل الاتصال.

هل نحتاج إلى وحدة التحكم عن بعد ووحدة التحكم في الإرساء المضيفة على نفس المجموعة المخصصة للتنقل؟

لا. يمكن أن تكون وحدة التحكم في الإرساء المضيفة ووحدة التحكم عن بعد على مجموعات تنقل منفصلة.

في حالة وجود أكثر من SSID ضيف واحد، هل يمكن توجيه كل WLAN (SSID) إلى مدخل صفحة ويب فريد؟

نعم. تتم إعادة توجيه جميع حركات مرور الضيوف، إما على شبكة محلية لاسلكية (WLAN) واحدة أو عدة شبكات محلية لاسلكية (WLAN)، إلى صفحة ويب واحدة. بدءا من الإصدار 4.2 من WLC أو إصدار أحدث، يمكن توجيه كل شبكة محلية لاسلكية (WLAN) إلى صفحة بوابة ويب فريدة. ارجع إلى قسم تعيين تسجيل الدخول وفشل تسجيل الدخول وسقوط الصفحات لكل شبكة محلية لاسلكية (WLAN) من دليل تكوين وحدة التحكم في الشبكة المحلية اللاسلكية من Cisco، الإصدار 7.0.

ما هي وظائف الإعداد الجديد في الإصدار 7.0 من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، فشل WebAuth في عامل تصفية Mac؟

إذا كانت شبكة WLAN تحتوي على كل من الطبقة 2 (عامل تصفية ماك) وأمان الطبقة 3 (WebAuth-on-macFilter-failure) الذي تم تكوينه، ينتقل العميل إلى حالة تشغيل إذا تم تمرير أي منهما. وإذا فشل في تأمين الطبقة 2 (MacFilter)، ينقل العميل إلى تأمين الطبقة 3 (WebAuth on-Macfilter-failure).

هل يعمل العميل بشكل صحيح إذا تم تكوين المستعرض للخادم الوكيل؟

قبل الإصدار 7.0، لم يتمكن العميل من إنشاء اتصال TCP عند تكوين خادم الوكيل في المستعرض. بعد الإصدار 7.0، تتم إضافة دعم خادم وكيل WebAuth هذا ويمكن تكوين عنوان IP للخادم الوكيل ومنفذ على وحدة التحكم.

هل هناك دليل نشر للوصول اللاسلكي للضيف؟

هذا هو الرابط إلى دليل النشر:

دليل النشر: وصول الضيف من Cisco باستخدام وحدة التحكم في الشبكة المحلية (LAN) اللاسلكية من Cisco

هل يوجد دليل تصميم للوصول الآمن واللاسلكي للضيوف؟

هذه هي الروابط إلى أدلة التصميم:

• خدمات الوصول الموحد للضيف اللاسلكي من Cisco
• وصول الضيف السلكي باستخدام مثال تكوين وحدات تحكم WLAN من Cisco

معلومات ذات صلة

• وصول الضيف السلكي باستخدام مثال تكوين وحدات تحكم WLAN من Cisco
• دليل النشر: Cisco Guest Access باستخدام وحدة التحكم في الشبكة المحلية اللاسلكية من Cisco، الإصدار 4.1
• الدعم التقني والمستندات - Cisco Systems