تكوين تكامل WLC 9800 مع Aruba ClearPass - Dot1x &؛ FlexConnect لنشر الفروع

خيارات التنزيل

  • PDF     (2.3 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (2.2 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (1.7 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٠ يونيو ٢٠٢٤
معرّف المستند:217935

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند تكامل وحدة التحكم اللاسلكية Catalyst 9800 مع مدير سياسة Aruba ClearPass.

    المتطلبات الأساسية

    المتطلبات

    cisco يوصي أن يتلقى أنت معرفة من هذا موضوع وأن هم يتلقى يكون شكلت وتحقق:

    • وحدة التحكم اللاسلكية Catalyst 9800
    • خادم Aruba ClearPass (يتطلب ترخيص النظام الأساسي وترخيص الوصول والترخيص المدمج)
    • نظام التشغيل Windows AD
    • جهة منح الشهادة الاختيارية (CA) 
    • خادم DHCP التشغيلي 
    • خادم DNS التشغيلي (مطلوب للتحقق من صحة CRL للشهادة)
    • ESXi
    • تتم مزامنة جميع المكونات ذات الصلة إلى بروتوكول وقت الشبكة (NTP) ويتم التحقق منها للحصول على الوقت الصحيح (مطلوب للتحقق من صحة الشهادة)
    • معرفة المواضيع:
      • نشر C9800 وطراز تكوين جديد
      • عملية FlexConnect على C9800 
      • مصادقة dot1x

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات المكونات المادية والبرامج التالية:

    • C9800-L-C Cisco IOS-XE 17.3.3
    • C9130AX، 4800 APs
    • حزمة تصحيح Aruba ClearPass، 6-8-0-109592 و 6.8-3
    • خادم MS Windows
      • خدمة Active Directory (تم تكوين GP من أجل إصدار الشهادات المؤتمتة المستندة إلى الأجهزة إلى نقاط النهاية المدارة)
      • خادم DHCP مع الخيار 43 والخيار 60
      • خادم DNS
      • خادم NTP لإجراء مزامنة زمنية لجميع المكونات
      • سي أي

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    تدفق حركة المرور

    في عملية نشر نموذجية للمؤسسات مع مكاتب فرعية متعددة، يتم إعداد كل مكتب فرعي لتوفير إمكانية الوصول عبر الإنترنت إلى الموظفين في الشركات. في مثال التكوين هذا، يستخدم PEAP لتوفير وصول dot1x إلى مستخدمي الشركة عبر مثيل ClearPass الذي يتم نشره في مركز البيانات المركزي (DC). يتم إستخدام شهادات الجهاز مع التحقق من بيانات اعتماد الموظف مقابل خادم Microsoft AD.

    1. تدفق حركة المرور

    الرسم التخطيطي للشبكة

    2. الرسم التخطيطي للشبكة

    تكوين وحدة التحكم اللاسلكية Catalyst 9800

    في مثال التكوين هذا، يتم الاستفادة من نموذج التكوين الجديد في C9800 لإنشاء ملفات التعريف والعلامات اللازمة لتوفير وصول الشركة dot1x إلى فروع المؤسسة. يتم تلخيص التكوين الناتج في المخطط.

    3. نموذج تكوين جديد - تعيين العلامة

    C9800 - تكوين معلمات AAA ل dot1x

    الخطوة 1. إضافة خادم Aruba ClearPass Policy Manager 'Corp' إلى تكوين 9800 WLC. انتقل إلى التكوين > التأمين > AAA > الخوادم/المجموعات > RADIUS > الخوادم. انقر فوق +إضافة وأدخل معلومات خادم RADIUS. انقر على زر تطبيق على الجهاز كما هو موضح في هذه الصورة.

    4. خادم AAA RADIUS

    الخطوة 2. تحديد مجموعة خوادم AAA للمستخدمين المؤسسيين. انتقل إلى التكوين > التأمين > AAA > الخوادم/المجموعات > RADIUS > المجموعات وانقر فوق +إضافة، أدخل اسم مجموعة خوادم RADIUS وحدد معلومات خادم RADIUS. انقر على زر تطبيق على الجهاز كما هو موضح في هذه الصورة.

    5. مجموعة خوادم AAA RADIUS

    الخطوة 3. قم بتحديد قائمة طرق المصادقة dot1x للمستخدمين المؤسسيين. انتقل إلى التكوين > الأمان > AAA > قائمة طرق AAA > المصادقة وانقر فوق +إضافة. حدد نوع dot1x من القائمة المنسدلة. انقر على زر تطبيق على الجهاز كما هو موضح في هذه الصورة.

    6. أسلوب مصادقة AAA

    C9800 - تكوين ملف تعريف WLAN 'Corp'

    الخطوة 1. انتقل إلى التكوين > علامات وتوصيفات > لاسلكي وانقر +إضافة. أدخل اسم ملف تعريف و SSID 'Corp' ومعرف WLAN غير مستخدم بالفعل.

    7 - لمحة عن الشبكة المحلية اللاسلكية - عام

    الخطوة 2. انتقل إلى علامة التبويب الأمان وعلامة التبويب الفرعية الطبقة 2. لا حاجة لتغيير أي من المعلمات الافتراضية لمثال التكوين هذا.

    8. ملف تعريف الشبكة المحلية اللاسلكية (WLAN) - الأمان - الطبقة 2

    الخطوة 3. انتقل إلى علامة التبويب الفرعية AAA وحدد قائمة طرق المصادقة التي تم تكوينها مسبقا. انقر على زر تطبيق على الجهاز كما هو موضح في هذه الصورة.

    9. ملف تعريف الشبكة المحلية اللاسلكية (WLAN) - الأمان - AAA

    C9800 - تكوين ملف تعريف السياسة

    الخطوة 1. انتقل إلى التكوين > علامات وملفات التعريف > السياسة وانقر +إضافة وأدخل اسم وصف لتوصيف السياسة. قم بتمكين النهج، وتعطيل التحويل المركزي و DHCP والاقتران، حيث يتم تحويل حركة مرور المستخدم الشركة محليا في نقطة الوصول كما هو موضح في الصورة.

    10 - موجز السياسات - عام

    الخطوة 2. انتقل إلى علامة التبويب سياسات الوصول وأدخل معرف شبكة VLAN يدويا ليتم إستخدامه في الفرع لحركة مرور المستخدم الخاصة بالمؤسسة. لا يلزم تكوين شبكة VLAN هذه على C9800 نفسه. يجب تكوينها في ملف تعريف Flex، كما هو مفصل أكثر. لا تحدد اسم شبكة VLAN من القائمة المنسدلة (راجع معرف تصحيح الأخطاء من Cisco CSCvn48234 للحصول على مزيد من المعلومات). انقر على زر تطبيق على الجهاز كما هو موضح في هذه الصورة.

    11 - موجز السياسات - سياسات الوصول

    C9800 - تكوين علامة النهج

    بمجرد إنشاء ملف تعريف WLAN (WP_CORP) وملف تعريف النهج (PP_CORP)، يجب إنشاء علامة نهج بدورها لربط ملفات تعريف السياسة و WLAN هذه معا. يتم تطبيق علامة النهج هذه على نقاط الوصول. قم بتعيين علامة النهج هذه لنقاط الوصول لتشغيل تكوين هذه النقاط لتمكين SSIDs المحددة عليها.

    الخطوة 1. انتقل إلى التكوين > علامات تمييز وملفات تعريف > علامات تمييز، حدد علامة التبويب نهج وانقر فوق +إضافة. أدخل اسم علامة النهج والوصف. انقر فوق +إضافة ضمن خرائط نهج WLAN. حدد ملف تعريف WLAN وملف تعريف النهج الذي تم إنشاؤه مسبقا، ثم انقر فوق زر علامة الاختيار كما هو موضح في هذه الصورة.

    12 - رقم السياسة - تعيين الشبكة المحلية اللاسلكية (WLAN) والسياسة

    الخطوة 2. تحقق من زر تطبيق على الجهاز وانقر عليه كما هو موضح في هذه الصورة.

    13. علامة النهج - تطبيق

    C9800 - ملف تعريف ربط AP

    يلزم تكوين توصيفات ربط نقطة الوصول وتوصيفات Flex وتخصيصها لنقاط الوصول ذات علامات الموقع. يجب إستخدام علامة موقع مختلفة لكل فرع لدعم الانتقال السريع 802.11r (FT) داخل أحد الفروع، مع الحد من توزيع PMK العميل بين نقاط الوصول الخاصة بهذا الفرع فقط. من المهم عدم إعادة إستخدام نفس علامة الموقع عبر فروع متعددة. تكوين ملف تعريف ربط نقطة الوصول. يمكنك إستخدام ملف تعريف انضمام نقطة وصول واحد إذا كانت كل الفروع متشابهة أو إنشاء ملفات تعريف متعددة إذا كان يجب أن تكون بعض المعلمات التي تم تكوينها مختلفة.

    الخطوة 1. انتقل إلى التكوين > علامات وملفات التعريف > ربط AP وانقر +إضافة. أدخل اسم ملف تعريف ربط نقطة الوصول والوصف. انقر على زر تطبيق على الجهاز كما هو موضح في هذه الصورة.

    14. ملف تعريف الانضمام إلى نقطة الوصول - عام

    C9800 - ملف تعريف مرن

    الآن قم بتكوين ملف تعريف Flex. ومرة أخرى، يمكنك إستخدام توصيف واحد لكل الفروع إذا كانت متماثلة ولها نفس تخطيط VLAN/SSID. أو يمكنك إنشاء توصيفات متعددة إذا كانت بعض المعلمات التي تم تكوينها مثل تعيينات VLAN مختلفة.

    الخطوة 1. انتقل إلى التكوين > علامات تمييز وملفات تعريف > Flex وانقر +Add. أدخل اسم ووصف ملف تعريف Flex.

    15 - لمحة موجزة مرنة - عام

    الخطوة 2. انتقل إلى علامة تبويب شبكة VLAN وانقر +إضافة. دخلت ال VLAN إسم ومعرف من VLAN محلي في الفرع أي ال ap ينبغي استعملت أن يحول محليا المستعمل حركة مرور. انقر فوق الزر حفظ كما هو موضح في هذه الصورة.

    16. ملف تعريف مرن - شبكة VLAN - إضافة

    الخطوة 3. تحقق من زر تطبيق على الجهاز وانقر عليه كما هو موضح في هذه الصورة.

    17. ملف تعريف مرن - شبكة VLAN - تطبيق

    C9800 - علامة الموقع

    تستخدم علامات الموقع لتعيين توصيفات الوصل وتوصيفات Flex لنقاط الوصول. كما ذكر سابقا، يجب إستخدام علامة موقع مختلفة لكل فرع لدعم الانتقال السريع 802.11r (FT) داخل أحد الفروع، مع الحد من توزيع PMK العميل بين نقاط الوصول الخاصة بهذا الفرع فقط. من المهم عدم إعادة إستخدام نفس علامة الموقع عبر فروع متعددة.

    الخطوة 1. انتقل إلى التكوين > علامات تمييز وملفات تعريف > علامات تمييز، وحدد علامة تبويب الموقع وانقر فوق +إضافة. أدخل اسم ووصف لعلامة الموقع، وحدد ملف تعريف ربط نقطة الوصول الذي تم إنشاؤه، وقم بإلغاء تحديد مربع تمكين الموقع المحلي، وأخيرا حدد ملف تعريف Flex الذي تم إنشاؤه مسبقا. قم بإلغاء تحديد المربع تمكين الموقع المحلي لتغيير نقطة الوصول من الوضع المحلي إلى FlexConnect. أخيرا، انقر فوق زر تطبيق على الجهاز كما هو موضح في هذه الصورة.

    18 - رقم الموقع

    C9800 - علامة التردد اللاسلكي

    الخطوة 1. انتقل إلى التكوين > علامات تمييز وملفات تعريف > علامات تمييز، حدد علامة تبويب التردد اللاسلكي وانقر +إضافة. أدخل اسما ووصفا لعلامة التردد اللاسلكي.حدد توصيفات التردد اللاسلكي المعرفة بواسطة النظام من القائمة المنسدلة. انقر على زر تطبيق على الجهاز كما هو موضح في هذه الصورة.

    19. علامة التردد اللاسلكي

    C9800 - تعيين علامات لنقطة الوصول 

    الآن بعد أن تم إنشاء علامات التمييز التي تتضمن السياسات المختلفة والملفات المطلوبة لتكوين نقاط الوصول، يجب علينا تعيينها لنقاط الوصول. يوضح هذا القسم كيفية تنفيذ علامة ثابتة يتم تعيينها لنقطة وصول يدويا، استنادا إلى عنوان MAC الخاص بها على شبكة الإيثرنت. بالنسبة لبيئات إنتاج المنتج، يوصى باستخدام سير عمل PNP لنقطة الوصول من مركز DNA ل Cisco، أو إستخدام طريقة تحميل CSV المجمعة الثابتة المتوفرة في 9800.

    الخطوة 1. انتقل إلى تكوين > علامات تمييز وتوصيفات > علامات تمييز، وحدد علامة التبويب AP، ثم علامة التبويب ثابتة. انقر +إضافة وأدخل عنوان AP MAC، وحدد علامة السياسة، علامة الموقع، وعلامة RF المحددة مسبقا. انقر على زر تطبيق على الجهاز كما هو موضح في هذه الصورة.

    20. ربط العلامات بنقطة الوصول

    تكوين CPPm ل Aruba

    التكوين الأولي لخادم Aruba ClearPass Policy Manager

    يتم نشر Aruba ClearPass عبر قالب OVF على خادم ESXi مع هذه الموارد:

    • وحدتا معالجة مركزية (CPU) افتراضية محجوزتان
    • ذاكرة وصول عشوائي (RAM) سعة 6 جيجابايت
    • محرك أقراص سعة 80 جيجابايت (يجب إضافته يدويا بعد النشر الأولي للقرص الافتراضي قبل تشغيل الجهاز)

    تطبيق التراخيص

    تطبيق ترخيص النظام الأساسي عبر: الإدارة > مدير الخادم > الترخيص. إضافة حق الوصول وعلى اللوحة

    إضافة وحدة التحكم اللاسلكية C9800 كجهاز شبكة

    انتقل إلى التكوين > الشبكة > الأجهزة > الإضافة كما هو موضح في هذه الصورة.

    21. CPPm - تفاصيل الجهاز

    تكوين CPPm لاستخدام Windows AD كمصدر مصادقة

    انتقل إلى التكوين > المصادقة > المصادر > إضافة. حدد النوع: Active Directory من القائمة المنسدلة كما هو موضح في هذه الصورة.

    22. CPPm - مصادر المصادقة

    تكوين خدمة مصادقة CPPm Dot1X

    الخطوة 1. إنشاء 'خدمة' تطابق سمات RADIUS المتعددة:

    • RADIUS:IETF | الاسم: عنوان NAS-IP | يساوي | <عنوان IP.>
    • RADIUS:IETF | الاسم: نوع الخدمة | يساوي | 1,2,8

    الخطوة 2. بالنسبة للإنتاج، يوصى بالمطابقة على اسم SSID بدلا من "NAS-IP-Address"، لذلك يكفي شرط واحد في النشر متعدد عناصر WLC. RADIUS:Cisco:Cisco-AVPair | cisco-wlan-ssid | Dot1XSSID

    23. CPPm - خدمة المصادقة - الشروط

    24. CPPm - خدمة المصادقة - المصادقة

    التحقق من الصحة

    لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.

    استكشاف الأخطاء وإصلاحها

    من المهم ملاحظة أن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800 لا يستخدم بشكل موثوق به نفس منفذ مصدر UDP لحركة RADIUS خاصة بالعميل اللاسلكي. هذا شيء يمكن أن يكون ClearPass حساس له. ومن المهم أيضا أن تقوم على موازنة حمل RADIUS على معرف محطة اتصال العميل ولا تحاول الاعتماد على منفذ مصدر UDP من جانب عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).

    معلومات ذات صلة

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    2.0
    20-Jun-2024
    تمت إضافة ملاحظة صغيرة حول منفذ مصدر RADIUS
    1.0
    24-Jun-2022
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Igor Manassypov
      Cisco Sales Engineering

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات