تكوين الوصول المجمع في شبكة فرعية صغيرة ذات محول واحد
المحتويات
المقدمة
يقدم هذا المستند نموذجا لتكوينات نشر Converged Access في شبكة محول واحدة صغيرة الفروع. يمكن إستخدام هذه التكوينات عبر مئات أو حتى آلاف الفروع لنشر الشبكة اللاسلكية في مواقع الفروع من خلال عمليات تهيئة مجربة ومختبرة.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- محول Catalyst 3850 Series
- IOS الإصدار 03.03.00SE من Cisco أو إصدار أحدث
- Cisco IES، الإصدار 1.2 أو إصدار أحدث
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
يمكن أن يتكون المكتب الفرعي أو متجر البيع بالتجزئة صغير الحجم عن بعد من محول واحد أو مجموعة محولات إيثرنت لتوفير اتصال الشبكة للمستخدمين السلكيين واللاسلكيين. يمكن لهذه الشبكات الصغيرة تجميع تحويل الإيثرنت باستخدام الجيل التالي من القدرات اللاسلكية على محول Catalyst نفسه.
لمثل تصميمات الشبكة، يمكن للمحول دمج وظائف وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) ووحدة التحكم في التنقل والوكيل المتنقل (MA) دون الحاجة إلى أي عناصر وصول مجمعة إضافية، مثل مجموعة نظير المحول (SPG) في الشبكة. قد تتطلب هذه الشبكات خدمات لاسلكية للضيوف، فضلا عن تطبيق سياسة الأمان والوصول إلى الشبكة بشكل عام في جميع المكاتب الفرعية.
التكوين
الرسم التخطيطي للشبكة
توضح هذه الصورة مخطط مرجع لشبكة فرعية نموذجية.
التكوينات
تكوين الطبقة الأساسية 2/3
- وضع بروتوكول خط اتصال شبكة VLAN (VTP): شفاف
يبدي هذا مثال التشكيل من VTP أسلوب.
vtp domain ‘name'
vtp mode transparent
- الشجرة الممتدة: الشجرة الممتدة السريعة لكل شبكة VLan (PVST)
يوضح هذا المثال تكوين PVST السريع.
spanning-tree mode rapid-pvst
spanning-tree portfast default
spanning-tree portfast bpduguard default
spanning-tree portfast bpdufilter default
spanning-tree extend system-id
- خلقت VLANs يعين
يوضح هذا المثال كيفية إنشاء شبكات VLAN.
vlan 151
name Voice_VLAN
!
vlan 152
name Video_VLAN
!
vlan 155
name WM_VLAN
!
vlan 158
name 8021X_WiFi_VLAN
- تكوين البوابة الافتراضية
يتم عرض تكوين البوابة الافتراضية في هذا المثال.
ip default-gateway <ip address>
ip route vrf Mgmt-vrf 0.0.0.0 0.0.0.0 172.26.150.1
- تكوين التوجيه وإعادة التوجيه الظاهري للإدارة (VRF)
يتم عرض تكوين Management VRF في هذا المثال.
interface GigabitEthernet0/0
description Connected to FlashNet - DO NOT ROUTE
vrf forwarding Mgmt-vrf
ip address 172.26.150.202 255.255.255.0
no ip redirects
no ip proxy-arp
load-interval 30
carrier-delay msec 0
negotiation auto
no cdp enable
vrf definition Mgmt-vrf
- تكوين التطفل على بروتوكول IP DHCP
في هذا المثال، تم تكوين التطفل على بروتوكول DHCP لجميع شبكات VLAN الخاصة بالعميل اللاسلكي.
ip dhcp snooping vlan 151-154,156-165
no ip dhcp snooping information option
ip dhcp snooping wireless bootp-broadcast enable
ip dhcp snooping
- تكوين فحص بروتوكول تحليل العنوان (ARP)
في هذا المثال، تم تكوين فحص ARP لجميع شبكات VLAN الخاصة بالعميل اللاسلكي.
ip arp inspection vlan 151-154,156-165
ip arp inspection validate src-mac dst-mac ip allow zeros
- منافذ الوصلات/قناة المنفذ (السماح بشبكات VLAN الضرورية)
في هذا المثال، تم تكوين منفذ الوصلة/قناة المنفذ.
interface Port-channel1
description Connected Dist-1
switchport trunk native vlan 4002
switchport trunk allowed vlan 151-166,4093
switchport mode trunk
ip arp inspection trust
load-interval 30
carrier-delay msec 0
ip dhcp snooping trust
interface GigabitEthernet1/1/1
description Connected Dist-1
switchport trunk native vlan 4002
switchport trunk allowed vlan 151-166,4093
switchport mode trunk
ip arp inspection trust
load-interval 30
channel-protocol pagp
channel-group 1 mode desirable
ip dhcp snooping trust
interface GigabitEthernet1/1/2
description Connected Dist-1
switchport trunk native vlan 4002
switchport trunk allowed vlan 151-166,4093
switchport mode trunk
ip arp inspection trust
load-interval 30
channel-protocol pagp
channel-group 1 mode desirable
ip dhcp snooping trust
قابلية التنقل
- واجهة الإدارة اللاسلكية
في هذا المثال، يتم تمكين الوظائف اللاسلكية ويتم تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الخاص بوضع الضيف 5760 باعتباره نظير التنقل.
interface vlan 105
description Wireless Management Interface
ip address 10.101.1.109 255.255.255.240
load-interval 30
logging event link-status
no shutdown
wireless management interface vlan 105
wireless mobility group name 3850_Branch_1
wireless mobility group member ip 10.99.2.242 public-ip 10.99.2.242 group GA-Domain-1
wireless mobility group member ip 10.99.2.243 public-ip 10.99.2.243 group GA-Domain-2
الأمان
- معلمات عمومية
يوضح هذا المثال تكوين المعلمات العمومية.
aaa new-model
aaa authentication login PRIME_RADIUS_AUTH_GRP group PRIME_RADIUS_SERVER_GRP
aaa authentication dot1x PRIME_RADIUS_AUTH_GRP group PRIME_RADIUS_SERVER_GRP
aaa authorization network PRIME_RADIUS_AUTHO_GRP group PRIME_RADIUS_SERVER_GRP
aaa authorization network PRIME_CWA_MAC_FILTER group PRIME_RADIUS_SERVER_GRP
aaa accounting Identity PRIME_RADIUS_ACCT_GRP start-stop group PRIME_RADIUS_SERVER_GRP
aaa server radius dynamic-author
client 10.100.1.49 server-key 7 02050D480809
auth-type any
!
!
radius server PRIME_RADIUS_SERVER_1
address ipv4 10.100.1.49 auth-port 1812 acct-port 1813
timeout 1
key 7 121A0C041104
!
radius-server attribute 6 on-for-login-auth
radius-server attribute 31 send nas-port-detail
!
aaa group server radius PRIME_RADIUS_SERVER_GRP
server name PRIME_RADIUS_SERVER_1
WLAN
- شبكة 802.1X WLAN
يتم عرض تكوين شبكة WLAN 802.1X في هذا المثال.
wlan ABCCorp-8021X 1 ABCCorp-8021X
band-select
aaa-override
nac
wifidirect policy deny
client vlan 8021X_WiFi_VLAN
ip flow monitor wireless-avc-basic input
ip flow monitor wireless-avc-basic output
accounting-list PRIME_RADIUS_ACCT_GRP
security dot1x authentication-list PRIME_RADIUS_AUTH_GRP
session-timeout 21600
wmm require
no shutdown
- شبكة WLAN الخاصة بالمفتاح المشترك مسبقا
يتم عرض تكوين شبكة WLAN الخاصة بالمفتاح المشترك مسبقا في هذا المثال.
wlan ABCCorp_PSK 2 ABCCorp_PSK
band-select
client vlan PSK_WiFi_VLAN
ip flow monitor wireless-avc-basic input
ip flow monitor wireless-avc-basic output
no security wpa akm dot1x
security wpa akm psk set-key ascii 8 AAPAAQeRgFGCE_dLbEOcNPP[AAAAAAMcLKMPc^TcSbIhbU\HeaSXF_AAB
service-policy output ABCCorp_PSK-PARENT-POLICY
session-timeout 7200
wifidirect policy deny
wmm require
no shutdown
- فتح شبكة WLAN
يتم عرض تكوين شبكة WLAN المفتوحة في هذا المثال.
wlan ABCCorp_OPEN 3 ABCCorp_OPEN
band-select
client vlan Open_WiFi_VLAN
ip flow monitor wireless-avc-basic input
ip flow monitor wireless-avc-basic output
no security wpano security wpa akm dot1x
no security wpa wpa2
no security wpa wpa2 ciphers aes
service-policy output ABCCorp_OPEN-PARENT-POLICY
session-timeout 1800
wifidirect policy deny
wmm require
no shutdown
حل الضيف
- CWA Guest WLAN
يتم عرض تكوين شبكة WLAN الخاصة بضيف CWA في هذا المثال.
wlan ABCCorp-Guest 15 ABCCorp-Guest
aaa-override
accounting-list PRIME_RADIUS_ACCT_GRP
client vlan GUEST_VLAN
ip flow monitor wireless-avc-basic input
ip flow monitor wireless-avc-basic output
load-balance
security dot1x authentication-list PRIME_RADIUS_AUTH_GR
Pmac-filtering PRIME_CWA_MAC_FILTER
mobility anchor 10.99.2.242
mobility anchor 10.99.2.243
nac
no security wpa
no security wpa am dot1x
no security wpa wpa2
no security wpa wpa2 ciphers aes
session-timeout 3600
wmm require
no shutdown
- إمكانية التنقل وتكوين شبكة WLAN للضيف على نقطة ربط 5760 Guest 1
في هذا المثال، تم تكوين Mobility و Guest WLAN على 5760 Guest Anchor 1.
wireless mobility group name GA-Domain-1
wireless mobility group member ip 10.101.1.109 public-ip 10.101.1.109 group 3850_Branch_1
wlan ABCCorp-Guest 15 ABCCorp-Guest
aaa-override
accounting-list PRIME_RADIUS_ACCT_GRP
client vlan GUEST_WiFi_VLAN
ip flow monitor wireless-avc-basic input
ip flow monitor wireless-avc-basic output
load-balance
security dot1x authentication-list PRIME_RADIUS_AUTH_GRP
mac-filtering PRIME_CWA_MAC_FILTER
mobility anchor 10.99.2.242
nac
no security wpa
no security wpa am dot1x
no security wpa wpa2
no security wpa wpa2 ciphers aes
session-timeout 3600
wmm require
no shutdown
- إعادة توجيه قائمة التحكم في الوصول (ACL) ل CWA (المصادقة المركزية للويب)
يتم عرض التكوين لإعادة توجيه قائمة التحكم في الوصول (ACL) ل CWA في هذا المثال.
Extended IP access list PRIME-CWA-REDIRECT-ACL
10 deny icmp any any
20 deny udp any eq bootps any
30 deny udp any any eq bootpc
40 deny udp any eq bootpc any
50 deny udp any any eq domain
60 deny tcp any any eq domain
70 deny ip any host 10.100.1.49
80 permit tcp any any eq www
خدمات IOS اللاسلكية المتقدمة
- تكوين رؤية التطبيق والتحكم (AVC)
يوضح هذا المثال تكوين AVC.
flow exporter PRIME_FNF_COLLECTOR_1
description FLEXIBLE NETFLOW COLLECTOR
destination 10.100.1.82
dscp 46
transport udp 9991
!
!
flow monitor wireless-avc-basic
exporter PRIME_FNF_COLLECTOR_1
record wireless avc basic
- تكوين شبكة WLAN
يوضح هذا المثال تكوين شبكة WLAN.
wlan ABCCorp-8021X 1 ABCCorp-8021X
ip flow monitor wireless-avc-basic input
ip flow monitor wireless-avc-basic output
- تشكيل عرض النطاق الترددي للخروج لشبكات WLAN
يوضح المثال تكوين تشكيل عرض النطاق الترددي للخروج لشبكات WLAN.
policy-map ABCCrop-8021X-PARENT-POLICY
description PRIME-ABCCorp-8021X EGRESS PARENT POLICY
class class-default
shape average percent 40
queue-buffers ratio 0
policy-map ABCCorp-PSK-PARENT-Policy
description PRIME-ABCCorp-PSK EGRESS PARENT POLICY
class class-default
shape average percent 30
queue-buffers ratio 0
- تكوين شبكة WLAN
يوضح هذا المثال تكوين شبكة WLAN.
wlan ABCCorp-8021X 1 ABCCorp-8021X
service-policy output ABCCorp-8021X-PARENT-POLICY
أفضل الممارسات
وتتضمن أفضل الممارسات لتكوين الشبكات اللاسلكية ما يلي:
- إستخدام الأمر Wireless client fast-ssid-change لتكوين تغيير SSID سريع.
- إستخدام أوامر تشفير كلمة المرور على مفتاح كلمة المرور وتشفيرها.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
21-Apr-2016 |
الإصدار الأولي |
التعليقات