وصول الضيف السلكي مع كل من جهاز الإرساء والأجنبي ك 5760 WLC
المحتويات
المقدمة
يغطي هذا المستند نشر ميزة الوصول الضيف السلكي على وحدة التحكم في الشبكة المحلية اللاسلكية Cisco 5760 التي تعمل كمرسى خارجي ووحدة التحكم في الشبكة المحلية اللاسلكية Cisco 5760 التي تعمل كمرسى ضيف في المنطقة المجردة من السلاح (DMZ) مع الإصدار 03.03.2.SE Release Software. اليوم، توجد حلول لتوفير وصول الضيف من خلال الشبكات اللاسلكية والسلكية على وحدة التحكم في الشبكة المحلية (LAN) اللاسلكية Cisco 5508. تعمل الميزة بطريقة مماثلة على المحول Cisco Catalyst 3650 switch الذي يعمل كوحدة تحكم أجنبية.
في شبكات المؤسسات، تكون هناك عادة حاجة إلى توفير الوصول إلى الشبكة لضيوفها في المجمع. تتضمن متطلبات وصول الزائرين توفير إمكانية الاتصال بالإنترنت أو موارد المؤسسات الانتقائية الأخرى لكل من الضيوف السلكيين واللاسلكيين بطريقة متناسقة وقابلة للإدارة. يمكن إستخدام وحدة التحكم في الشبكة المحلية (LAN) اللاسلكية نفسها لتوفير الوصول إلى كلا النوعين من الضيوف في المجمع. ولأسباب تتعلق بالأمان، يقوم عدد كبير من مسؤولي شبكة المؤسسات بعزل وصول الضيف إلى وحدة التحكم في المنطقة المنزوعة السلاح (DMZ) عبر الاتصال النفقي. كما يتم إستخدام حل الوصول إلى الضيوف كطريقة إحتياطية لعملاء الضيوف الذين يفشل في طرق مصادقة تجاوز نقطة1x و MAC (MAB).
يتصل المستخدم الضيف بالمنفذ السلكي المعين على محول طبقة الوصول للوصول وقد يتم إجباره إختياريا على الانتقال من خلال أوضاع موافقة الويب أو مصادقة الويب، وفقا لمتطلبات الأمان (التفاصيل في الأقسام اللاحقة). وبمجرد نجاح مصادقة الضيف، يتم توفير الوصول إلى موارد الشبكة وتقوم وحدة التحكم بالضيف بإدارة حركة مرور العميل. المرسى الخارجي هو المحول الأساسي الذي يتصل فيه العميل للوصول إلى الشبكة. يقوم ببدء طلبات النفق. نقطة ربط الضيف هي المحول الذي يتم فيه ربط العميل بالفعل. بعيدا عن وحدة التحكم في الشبكة المحلية اللاسلكية (WLAN) من السلسلة Cisco 5500 Series، يمكن إستخدام وحدة التحكم في شبكة LAN اللاسلكية Cisco 5760 كارتساء ضيف. قبل نشر ميزة الوصول للضيف، يجب أن يكون هناك نفق تنقل مؤسس بين المرساة الخارجية ومحولات ارتساء الضيف. تعمل ميزة وصول الضيف لكل من طرازي MC (الإرساء الخارجي) > MC (الإرساء الضيف) و MA (الإرساء الخارجي) > MC (الإرساء الضيف). يقوم محول الإرساء الأجنبي بربط حركة مرور الضيف السلكية إلى وحدة تحكم الإرساء الضيف ويمكن تكوين العديد من روابط الضيف لموازنة الأحمال. يرتبط العميل بوحدة تحكم ربط DMZ. وهو مسؤول أيضا عن معالجة تعيين عنوان IP ل DHCP بالإضافة إلى مصادقة العميل. بعد اكتمال المصادقة، يمكن للعميل الوصول إلى الشبكة.
سيناريو النشر
ويغطي المستند حالات الاستخدام الشائع حيث يتصل العملاء السلكيون بمحولات الوصول للوصول إلى الشبكة. ويتم شرح وضعين للوصول في أمثلة مختلفة. في جميع الطرق، يمكن أن تعمل ميزة وصول الضيف السلكي كطريقة إحتياطية للمصادقة. عادة ما تكون هذه حالة إستخدام عندما يقوم مستخدم ضيف بجلب جهاز طرفي غير معروف للشبكة. بما أن الجهاز الطرفي يفتقد طلب نقطة النهاية، فإنه يفشل في وضع dot1x للمصادقة. وبالمثل، ستفشل مصادقة MAB أيضا، حيث أن عنوان MAC الخاص بالجهاز الطرفي سيكون غير معروف للخادم الذي تتم مصادقته. تجدر الإشارة إلى أنه في عمليات التنفيذ هذه، ستتمكن الأجهزة الطرفية الخاصة بالشركات من الوصول إليها بنجاح لأنها قد يكون لها ممول dot1x أو عناوين MAC الخاصة بها في الخادم المصدق من أجل التحقق من الصحة. وهذا يسمح بالمرونة في النشر، حيث لا يحتاج المسؤول إلى تقييد المنافذ وربطها ببعضها بشكل خاص للوصول إلى الضيوف.
طوبولوجيا
يوضح هذا المخطط المخطط المخطط المستخدم في سيناريو النشر:
أوبن أوث
تكوين إرساء الضيف
- قم بتمكين تعقب جهاز IP (IPDT) وتطفل DHCP على شبكة VLAN الخاصة بالعميل، في هذه الحالة VLAN 75. يلزم إنشاء شبكة VLAN الخاصة بالعميل على مثبت الضيف.
ip device tracking ip dhcp relay information trust-all ip dhcp snooping vlan 75 ip dhcp snooping information option allow-untrusted ip dhcp snooping
- خلقت VLAN 75 وال L3 VLAN قارن.
vlan 75 interface Vlan75 ip address 75.1.1.1 255.255.255.0 ip helper-address 192.168.1.1 ip dhcp pool DHCP_75 network 75.1.1.0 255.255.255.0 default-router 75.1.1.1 lease 0 0 10 update arp
- خلقت ضيف lan أن يعين الزبون VLAN مع ال 5760 نفسه أن يعمل كالربط حركي.
بالنسبة للوضع المفتوح، يلزم الأمر no security web-auth.
guest-lan GUEST_LAN_OPENAUTH 3 client vlan 75 mobility anchor no security web-auth no shutdown
التكوين الخارجي
- قم بتمكين DHCP وإنشاء شبكة VLAN. وكما ذكرنا، لا يلزم إعداد شبكة VLAN الخاصة بالعميل على الشبكة الخارجية.
ip dhcp relay information trust-all
ip dhcp snooping information option allow-untrusted
ip dhcp snooping
ip device tracking - يقوم المحول باكتشاف عنوان MAC الخاص بالعميل الوارد على قناة المنفذ التي تم تكوينها باستخدام "access-Session port-control auto" ويطبق نهج المشترك OpenAUTH. يجب إنشاء سياسة OpenAuth كما هو موضح هنا أولا.
policy-map type control subscriber OPENAUTH
event session-started match-all
1 class always do-until-failure
2 activate service-template SERV-TEMP3-OPENAUTH
3 authorize
interface Po1
switchport trunk allowed vlan 19,137
switchport mode trunk
ip arp inspection trust
access-session port-control auto
service-policy type control subscriber OPENAUTH
ip dhcp snooping trust
end - يجب تكوين تعلم عنوان MAC على الشبكة المحلية الظاهرية (VLAN) الخارجية.
mac address-table learning vlan 19
- تتم الإشارة إلى سياسة OpenAuth بشكل تسلسلي، وهو ما يشير في هذه الحالة إلى خدمة.
تم تعريف القالب المسمى "Serv-TEMP3 OpenAuth" هنا:
service-template SERV-TEMP3-OPENAUTH
tunnel type capwap name GUEST_LAN_OPENAUTH - يحتوي قالب الخدمة على مرجع لنوع النفق واسمه. يجب أن تكون شبكة VLAN الخاصة بالعميل 75 موجودة فقط على مثبت الضيف لأنها مسؤولة عن معالجة حركة مرور العميل.
guest-lan GUEST_LAN_OPENAUTH 3
client vlan 75
mobility anchor 9.7.104.62
no security web-auth
no shutdown - يتم بدء طلب النفق من الخارج إلى مرسى الضيف للعميل السلكي ويشير Tunneladdsuccess إلى اكتمال عملية إنشاء النفق.
على Access-SWITCH1 يتصل عميل سلكي بمنفذ Ethernet الذي تم تعيينه على وضع الوصول بواسطة مسؤول الشبكة. هو ميناء GigabitEthernet1/0/11 في هذا مثال.
interface GigabitEthernet1/0/11
switchport access vlan 19
switchport mode access
ويب أوث
تكوين إرساء الضيف
- مكنت IPDT و DHCP يتطفل على زبون VLAN (s)، في هذه الحالة VLAN 75. يلزم إنشاء شبكة VLAN الخاصة بالعميل على مثبت الضيف.
ip device tracking
ip dhcp relay information trust-all
ip dhcp snooping vlan 75
ip dhcp snooping information option allow-untrusted
ip dhcp snooping - خلقت VLAN 75 وال L3 VLAN قارن.
vlan 75
interface Vlan75
ip address 75.1.1.1 255.255.255.0
ip helper-address 192.168.1.1
ip dhcp pool DHCP_75
network 75.1.1.0 255.255.255.0
default-router 75.1.1.1
lease 0 0 10
update arp -
خلقت ضيف lan أن يعين الزبون VLAN مع ال 5760 نفسه يعمل كالربط حركي. بالنسبة للوضع المفتوح، يلزم الأمر no security web-auth.
guest-lan GUEST_LAN_WEBAUTH 3
client vlan VLAN0075
mobility anchor
security web-auth authentication-list default
security web-auth parameter-map webparalocal
no shutdown
التكوين الخارجي
- قم بتمكين DHCP وإنشاء شبكة VLAN. وكما ذكرنا، لا يلزم إعداد شبكة VLAN الخاصة بالعميل على الشبكة الخارجية.
ip dhcp relay information trust-all
ip dhcp snooping information option allow-untrusted
ip dhcp snooping
ip device tracking - يقوم المحول باكتشاف عنوان MAC الخاص بالعميل الوارد على قناة المنفذ التي تم تكوينها باستخدام "access-Session port-control auto" ويطبق سياسة المشترك WebAuth. يجب إنشاء سياسة WebAuth كما هو موضح هنا أولا.
policy-map type control subscriber WEBAUTH
event session-started match-all
1 class always do-until-failure
2 activate service-template SERV-TEMP3-WEBAUTH
3 authorize
interface po1
switchport trunk allowed vlan 19,137
switchport mode trunk
ip arp inspection trust
access-session port-control auto
service-policy type control subscriber WEBAUTH
ip dhcp snooping trust
end - يجب تكوين تعلم MAC على الشبكة المحلية الظاهرية (VLAN) الخارجية.
mac address-table learning vlan 19
- قم بتكوين نصف القطر ومخطط المعلمة.
aaa new-model
aaa group server radius rad-grp
server Radius1
dot1x system-auth-control
aaa authentication dot1x default group rad-grp
radius server Radius1
address ipv4 172.19.45.194 auth-port 1812 acct-port 1813
timeout 60
retransmit 3
key radius
parameter-map type webauth webparalocal
type webauth
timeout init-state sec 5000 - تتم الإشارة إلى سياسة WebAuth بشكل تسلسلي، والذي يشير في هذه الحالة إلى خدمة. القالب المسمى SERV-TEMP3 WEBAUTH كما هو معرف هنا.
service-template SERV-TEMP3-WEBAUTH
tunnel type capwap name GUEST_LAN_WEBAUTH - يحتوي قالب الخدمة على مرجع لنوع النفق واسمه. يجب أن تكون شبكة VLAN الخاصة بالعميل 75 موجودة فقط على مثبت الضيف لأنها مسؤولة عن معالجة حركة مرور العميل.
guest-lan GUEST_LAN_WEBAUTH 3
client vlan 75
mobility anchor 9.7.104.62
security web-auth authentication-list default
security web-auth parameter-map webparalocal
no shutdown - يتم بدء طلب النفق من جهة أجنبية إلى مرسى الضيف للعميل السلكي ويشير "Tunneladdsuccess" إلى اكتمال عملية إنشاء النفق.
على Access-Switch1 يتصل عميل سلكي بمنفذ Ethernet الذي تم تعيينه على وضع الوصول بواسطة مسؤول الشبكة. هو ميناء GigabitEthernet1/0/11 في هذا مثال.
interface GigabitEthernet1/0/11
switchport access vlan 19
switchport mode access
تكوين OpenAuth و WebAuth بالتوازي
من أجل الحصول على شبكتي LAN ضيفتين وتخصيصهما لشبكات العملاء المختلفة، يجب عليك تأسيسهما على شبكات VLAN التي يتم التعرف على العملاء عليها.
تكوين إرساء الضيف
- مكنت IPDT و DHCP يتطفل على الزبون VLAN (s)، في هذه الحالة VLAN 75. يلزم إنشاء شبكة VLAN الخاصة بالعميل على مثبت الضيف.
ip device tracking
ip dhcp relay information trust-all
ip dhcp snooping vlan 75
ip dhcp snooping information option allow-untrusted
ip dhcp snooping - خلقت VLAN 75 وال L3 VLAN قارن.
vlan 75
interface Vlan75
ip address 75.1.1.1 255.255.255.0
ip helper-address 192.168.1.1
ip dhcp pool DHCP_75
network 75.1.1.0 255.255.255.0
default-router 75.1.1.1
lease 0 0 10
update arp - خلقت ضيف lan أن يعين الزبون VLAN مع ال 5760 نفسه أن يعمل كالربط حركي.
بالنسبة للوضع المفتوح، يلزم الأمر no security web-auth.
guest-lan GUEST_LAN_OPENAUTH 3
client vlan 75
mobility anchor
no security web-auth
no shutdown
guest-lan GUEST_LAN_WEBAUTH 4
client vlan VLAN0075
mobility anchor
security web-auth authentication-list joseph
security web-auth parameter-map webparalocal
no shutdown
التكوين الخارجي
- قم بتمكين DHCP وإنشاء شبكة VLAN. وكما ذكرنا، لا يلزم إعداد شبكة VLAN الخاصة بالعميل على الشبكة الخارجية.
ip dhcp relay information trust-all
ip dhcp snooping information option allow-untrusted
ip dhcp snooping
ip device tracking - يقوم المحول باكتشاف عنوان MAC الخاص بالعميل الوارد على قناة المنفذ التي تم تكوينها باستخدام 'access-Session port-control auto' ويطبق سياسة المشترك المزدوجة. يحتوي ClassMap MAC1 على عناوين MAC التي تضيفها ل OpenAuth. كل شيء آخر هو Webauth الذي يستخدم خريطة الفئة "دائما" الثانية مع حدث "match-first". ينبغي أولا وضع سياسة إزدواجية النهج على النحو المبين هنا.
policy-map type control subscriber DOUBLEAUTH
event session-started match-first
1 class vlan19 do-until-failure
2 activate service-template SERV-TEMP3-OPENAUTH
3 authorize
2 class vlan18 do-until-failure
2 activate service-template SERV-TEMP4-WEBAUTH
3 authorize
interface po1
switchport trunk allowed vlan 19,137
switchport mode trunk
ip arp inspection trust
access-session port-control auto
service-policy type control subscriber DOUBLEAUTH
ip dhcp snooping trust
end - يجب تكوين تعلم MAC على الشبكة الخارجية لشبكات VLAN أرقام 18 و 19.
mac address-table learning vlan 18 19
- ال VLAN 19 و VLAN18 صنف يحتوي خرائط ال VLAN مطابقة معيار على أساس أن أنت ستميز أي ضيف شبكة محلية العميل يقع في. وهو معرف هنا:
class-map type control subscriber match-any vlan18
match vlan 18
class-map type control subscriber match-any vlan19
match vlan 19 - تتم الإشارة إلى سياسة OpenAuth بشكل تسلسلي، وهو ما يشير في هذه الحالة إلى خدمة.
القالب المسمى SERV-TEMP3 OpenAUTH كما هو معرف هنا.
service-template SERV-TEMP3-OPENAUTH
tunnel type capwap name GUEST_LAN_OPENAUTH
service-template SERV-TEMP4-WEBAUTH
tunnel type capwap name GUEST_LAN_WEBAUTH - يحتوي قالب الخدمة على مرجع لنوع النفق واسمه. يجب أن تكون شبكة VLAN الخاصة بالعميل 75 موجودة فقط على مثبت الضيف لأنها مسؤولة عن معالجة حركة مرور العميل.
guest-lan GUEST_LAN_OPENAUTH 3
client vlan 75
mobility anchor 9.7.104.62
no security web-auth
no shutdown
guest-lan GUEST_LAN_WEBAUTH 4
client vlan VLAN0075
mobility anchor 9.7.104.62
security web-auth authentication-list joseph
security web-auth parameter-map webparalocal
no shutdown - يتم بدء طلب النفق من جهة أجنبية إلى مرسى الضيف للعميل السلكي ويشير "Tunneladdsuccess" إلى اكتمال عملية إنشاء النفق.
على Access-Switch، هناك العديد من العملاء السلكيين الذين يربطون بشبكة VLAN رقم 18 أو شبكة VLAN19، والتي يمكن بعد ذلك تعيين شبكات LAN الضيف وفقا لذلك. هو ميناء GigabitEthernet1/0/11 في هذا مثال.
interface GigabitEthernet1/0/11
switchport access vlan 19
switchport mode access
مثال أمر WebAuth
أجنبي
FOREIGN#show wir client summary
Number of Local Clients : 2
MAC Address AP Name WLAN State Protocol
--------------------------------------------------------------------------------
0021.ccbc.44f9 N/A 3 UP Ethernet
0021.ccbb.ac7d N/A 4 UP Ethernet
ANCHOR#show mac address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
19 0021.ccbc.44f9 DYNAMIC Po1
19 0021.ccbb.ac7d DYNAMIC Po1
FOREIGN#show access-session mac 0021.ccbc.44f9 details
Interface: Port-channel1
IIF-ID: 0x83D880000003D4
MAC Address: 0021.ccbc.44f9
IPv6 Address: Unknown
IPv4 Address: Unknown
User-Name: 0021.ccbc.44f9
Device-type: Un-Classified Device
Status: Unauthorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Common Session ID: 090C895F000012A70412D338
Acct Session ID: Unknown
Handle: 0x1A00023F
Current Policy: OPENAUTH
Session Flags: Session Pushed
Local Policies:
Service Template: SERV-TEMP3-OPENAUTH (priority 150)
Tunnel Profile Name: GUEST_LAN_OPENAUTH
Tunnel State: 2
Method status list:
Method State
webauth Authc Success
مرساة
#show wir client summary
Number of Local Clients : 1
MAC Address AP Name WLAN State Protocol
--------------------------------------------------------------------------------
0021.ccbc.44f9 N/A 3 WEBAUTH_PEND Ethernet
0021.ccbb.ac7d N/A 4 WEBAUTH_PEND Ethernet
ANCHOR#show wir client summary
Number of Local Clients : 2
MAC Address AP Name WLAN State Protocol
--------------------------------------------------------------------------------
0021.ccbc.44f9 N/A 3 UP Ethernet
0021.ccbb.ac7d N/A 4 UP Ethernet
ANCHOR#show mac address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
19 0021.ccbc.44f9 DYNAMIC Po1
18 0021.ccbb.ac7d DYNAMIC Po1
ANCHOR#show wir client summary
Number of Local Clients : 1
MAC Address AP Name WLAN State Protocol
--------------------------------------------------------------------------------
0021.ccbc.44f9 N/A 3 UP Ethernet
0021.ccbb.ac7d N/A 4 UP Ethernet
ANCHOR#show access-session mac 0021.ccbc.44f9
Interface MAC Address Method Domain Status Fg Session ID
----------------------------------------------------------------------
Ca1 0021.ccbc.44f9 webauth DATA Auth 090C895F000012A70412D338
ANCHOR#show access-session mac 0021.ccbc.44f9 details
Interface: Capwap1
IIF-ID: 0x6DAE4000000248
MAC Address: 0021.ccbc.44f9
IPv6 Address: Unknown
IPv4 Address: 75.1.1.11
User-Name: 0021.ccbc.44f9
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Common Session ID: 090C895F000012A70412D338
Acct Session ID: Unknown
Handle: 0x4000023A
Current Policy: (No Policy)
Method status list:
Method State
webauth Authc Success
التعليقات