Configuration de l'accès convergé dans un réseau de petite filiale à commutateur unique

Options de téléchargement

  • PDF     (398.5 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (243.3 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (190.4 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:17 août 2015
ID du document:200061

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document fournit des exemples de configurations pour le déploiement de l'accès convergé dans un réseau à commutateur unique de petite filiale. Ces configurations peuvent être utilisées dans des centaines, voire des milliers de filiales pour déployer le réseau sans fil sur les sites des filiales avec des configurations testées et testées.

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Commutateur de la gamme Catalyst 3850
  • Cisco IOS version 03.03.00SE ou ultérieure
  • Cisco IES version 1.2 ou ultérieure

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informations générales

La succursale ou le magasin de détail distant de petite taille peut se composer d'une seule pile ou d'une pile de commutateurs Ethernet pour fournir une connectivité réseau aux utilisateurs filaires et sans fil. Ces petits réseaux peuvent faire converger la commutation Ethernet avec la fonctionnalité sans fil de nouvelle génération sur le même commutateur Catalyst.

Pour de telles conceptions de réseau, le commutateur peut intégrer des fonctions de contrôleur de mobilité WLC (Wireless LAN Controller) et d'agent de mobilité MA (Mobility Agent) sans nécessiter d'éléments d'accès convergé supplémentaires, tels que le groupe de pairs de commutation (SPG) dans le réseau. Ces réseaux peuvent nécessiter des services sans fil invités, ainsi que l'application de politiques de sécurité et d'accès réseau communes dans toutes les filiales.

Configurer

Diagramme du réseau

Cette image illustre une topologie de référence pour un réseau de succursale type.

Configurations

Configuration de la couche de base 2/3

  • Mode VTP (VLAN Trunk Protocol) : transparent

  Cet exemple montre la configuration du mode VTP.

vtp domain ‘name'
vtp mode transparent

      

  • Spanning Tree: Protocole Rapid-Per-VLAN Spanning Tree (PVST)

Cet exemple montre la configuration Rapid-PVST.

spanning-tree mode rapid-pvst
spanning-tree portfast default
spanning-tree portfast bpduguard default
spanning-tree portfast bpdufilter default
spanning-tree extend system-id

      

  • Créer des VLAN nommés

Cet exemple montre comment les VLAN sont créés.

vlan 151
name Voice_VLAN
!
vlan 152
name Video_VLAN
!
vlan 155
 name WM_VLAN
!
vlan 158
name 8021X_WiFi_VLAN   
  • Configurer la passerelle par défaut

La configuration de la passerelle par défaut est illustrée dans cet exemple.

ip default-gateway <ip address>
ip route vrf Mgmt-vrf 0.0.0.0 0.0.0.0 172.26.150.1

      

  • Configuration de la gestion du routage et du transfert virtuels (VRF)

La configuration VRF de gestion est illustrée dans cet exemple.

interface GigabitEthernet0/0
  description Connected to FlashNet - DO NOT ROUTE
  vrf forwarding Mgmt-vrf
  ip address 172.26.150.202 255.255.255.0
  no ip redirects
  no ip proxy-arp
  load-interval 30
  carrier-delay msec 0
  negotiation auto
  no cdp enable 

 vrf definition Mgmt-vrf  
  • Configuration de la surveillance IP DHCP

Dans cet exemple, la surveillance DHCP est configurée pour tous les VLAN clients sans fil.

ip dhcp snooping vlan 151-154,156-165
no ip dhcp snooping information option
ip dhcp snooping wireless bootp-broadcast enable
ip dhcp snooping

      

Remarque : les ports de liaison ascendante doivent être marqués comme fiables, comme indiqué dans l'exemple Ports de liaison ascendante/Port-Channel.

  • Configuration de l'inspection ARP (Address Resolution Protocol)

Dans cet exemple, l'inspection ARP est configurée pour tous les VLAN clients sans fil.

ip arp inspection vlan 151-154,156-165
ip arp inspection validate src-mac dst-mac ip allow zeros

  

Remarque : les ports de liaison ascendante doivent être marqués comme fiables, comme indiqué dans l'exemple Ports de liaison ascendante/Port-Channel.

  • Ports de liaison ascendante/Port-Channel (autoriser les VLAN nécessaires)

Dans cet exemple, Uplink Port/Port-Channel est configuré.

interface Port-channel1
 description Connected Dist-1
 switchport trunk native vlan 4002
 switchport trunk allowed vlan 151-166,4093
 switchport mode trunk
 ip arp inspection trust
 load-interval 30
 carrier-delay msec 0
 ip dhcp snooping trust


interface GigabitEthernet1/1/1
 description Connected Dist-1
 switchport trunk native vlan 4002
 switchport trunk allowed vlan 151-166,4093
 switchport mode trunk
 ip arp inspection trust
 load-interval 30
 channel-protocol pagp
 channel-group 1 mode desirable
 ip dhcp snooping trust

interface GigabitEthernet1/1/2
 description Connected Dist-1
 switchport trunk native vlan 4002
 switchport trunk allowed vlan 151-166,4093
 switchport mode trunk
 ip arp inspection trust
 load-interval 30
 channel-protocol pagp
 channel-group 1 mode desirable
 ip dhcp snooping trust

      

Mobilité

  • Interface de gestion sans fil

Dans cet exemple, la fonctionnalité sans fil est activée et le WLC Guest Anchor 5760 est configuré comme homologue de mobilité.

interface vlan 105
 description Wireless Management Interface
 ip address 10.101.1.109 255.255.255.240
 load-interval 30
 logging event link-status
 no shutdown

wireless management interface vlan 105

wireless mobility group name 3850_Branch_1
wireless mobility group member ip 10.99.2.242 public-ip 10.99.2.242 group GA-Domain-1
wireless mobility group member ip 10.99.2.243 public-ip 10.99.2.243 group GA-Domain-2

       

Remarque : vous pouvez utiliser un WLC Cisco 5508 ou un AireOS 8510 comme contrôleur d'ancrage invité.

Sécurité

  • Paramètres globaux

Cet exemple montre la configuration des paramètres globaux.

       aaa new-model
aaa authentication login PRIME_RADIUS_AUTH_GRP group PRIME_RADIUS_SERVER_GRP
aaa authentication dot1x PRIME_RADIUS_AUTH_GRP group PRIME_RADIUS_SERVER_GRP
aaa authorization network PRIME_RADIUS_AUTHO_GRP group PRIME_RADIUS_SERVER_GRP
aaa authorization network PRIME_CWA_MAC_FILTER group PRIME_RADIUS_SERVER_GRP
aaa accounting Identity PRIME_RADIUS_ACCT_GRP start-stop group PRIME_RADIUS_SERVER_GRP


aaa server radius dynamic-author
client 10.100.1.49 server-key 7 02050D480809
 auth-type any
!
!
radius server PRIME_RADIUS_SERVER_1
address ipv4 10.100.1.49 auth-port 1812 acct-port 1813
timeout 1

key 7 121A0C041104
!
radius-server attribute 6 on-for-login-auth
radius-server attribute 31 send nas-port-detail
!
aaa group server radius PRIME_RADIUS_SERVER_GRP
server name PRIME_RADIUS_SERVER_1

      

     

WLAN

  • WLAN 802.1X

La configuration WLAN 802.1X est illustrée dans cet exemple.

wlan ABCCorp-8021X 1 ABCCorp-8021X
band-select
aaa-override
nac
wifidirect policy deny
client vlan 8021X_WiFi_VLAN
ip flow monitor wireless-avc-basic input
ip flow monitor wireless-avc-basic output
accounting-list PRIME_RADIUS_ACCT_GRP
security dot1x authentication-list PRIME_RADIUS_AUTH_GRP
session-timeout 21600
wmm require
no shutdown
  • WLAN à clé prépartagée

La configuration WLAN à clé pré-partagée est illustrée dans cet exemple.

wlan ABCCorp_PSK 2 ABCCorp_PSK
band-select
client vlan PSK_WiFi_VLAN
ip flow monitor wireless-avc-basic input
ip flow monitor wireless-avc-basic output
no security wpa akm dot1x
security wpa akm psk set-key ascii 8 AAPAAQeRgFGCE_dLbEOcNPP[AAAAAAMcLKMPc^TcSbIhbU\HeaSXF_AAB
service-policy output ABCCorp_PSK-PARENT-POLICY
session-timeout 7200
wifidirect policy deny
wmm require
no shutdown
  • WLAN ouvert

La configuration Open WLAN est illustrée dans cet exemple.

wlan ABCCorp_OPEN 3 ABCCorp_OPEN
band-select
client vlan Open_WiFi_VLAN
ip flow monitor wireless-avc-basic input
ip flow monitor wireless-avc-basic output
no security wpano security wpa akm dot1x
no security wpa wpa2
no security wpa wpa2 ciphers aes
service-policy output ABCCorp_OPEN-PARENT-POLICY
session-timeout 1800
wifidirect policy deny
wmm require
no shutdown

Solution Invité

  • WLAN invité CWA

La configuration WLAN invité CWA est illustrée dans cet exemple.

wlan ABCCorp-Guest 15 ABCCorp-Guest
aaa-override
accounting-list PRIME_RADIUS_ACCT_GRP
client vlan GUEST_VLAN
ip flow monitor wireless-avc-basic input
ip flow monitor wireless-avc-basic output
load-balance
security dot1x authentication-list PRIME_RADIUS_AUTH_GR
Pmac-filtering PRIME_CWA_MAC_FILTER
mobility anchor 10.99.2.242
mobility anchor 10.99.2.243
nac
no security wpa
no security wpa am dot1x
no security wpa wpa2
no security wpa wpa2 ciphers aes
session-timeout 3600
wmm require
no shutdown
  • Configuration de la mobilité et du WLAN invité sur l'ancre invité 1 du 5760

Dans cet exemple, Mobility and Guest WLAN est configuré sur 5760 Guest Anchor 1.

wireless mobility group name GA-Domain-1
wireless mobility group member ip 10.101.1.109 public-ip 10.101.1.109 group 3850_Branch_1

wlan ABCCorp-Guest 15 ABCCorp-Guest
aaa-override
accounting-list PRIME_RADIUS_ACCT_GRP
client vlan GUEST_WiFi_VLAN
ip flow monitor wireless-avc-basic input
ip flow monitor wireless-avc-basic output
load-balance
security dot1x authentication-list PRIME_RADIUS_AUTH_GRP
mac-filtering PRIME_CWA_MAC_FILTER
mobility anchor 10.99.2.242
nac
no security wpa
no security wpa am dot1x
no security wpa wpa2
no security wpa wpa2 ciphers aes
session-timeout 3600
wmm require
no shutdown
  • Redirection ACL pour CWA (Central Web-Auth)

La configuration pour rediriger l'ACL pour CWA est présentée dans cet exemple.

Extended IP access list PRIME-CWA-REDIRECT-ACL
10 deny icmp any any
20 deny udp any eq bootps any
30 deny udp any any eq bootpc
40 deny udp any eq bootpc any
50 deny udp any any eq domain
60 deny tcp any any eq domain
70 deny ip any host 10.100.1.49
80 permit tcp any any eq www

Services sans fil IOS avancés

  • Configuration de la visibilité et du contrôle des applications (AVC)

Cet exemple montre la configuration d'AVC.

flow exporter PRIME_FNF_COLLECTOR_1
description FLEXIBLE NETFLOW COLLECTOR
destination 10.100.1.82
dscp 46
transport udp 9991
!
!
flow monitor wireless-avc-basic
exporter PRIME_FNF_COLLECTOR_1
record wireless avc basic
  • Configuration d’un réseau local sans fil (WLAN)

Cet exemple montre la configuration d'un WLAN.

wlan ABCCorp-8021X 1 ABCCorp-8021X
ip flow monitor wireless-avc-basic input
ip flow monitor wireless-avc-basic output
  • Formatage de bande passante de sortie pour WLAN

L'exemple montre la configuration de la mise en forme de la bande passante de sortie pour les WLAN.

policy-map ABCCrop-8021X-PARENT-POLICY
description PRIME-ABCCorp-8021X EGRESS PARENT POLICY
class class-default
shape average percent 40
queue-buffers ratio 0

policy-map ABCCorp-PSK-PARENT-Policy
description PRIME-ABCCorp-PSK EGRESS PARENT POLICY
class class-default
shape average percent 30
queue-buffers ratio 0

  • Configuration d’un réseau local sans fil (WLAN)

Cet exemple montre la configuration d'un WLAN.

wlan ABCCorp-8021X 1 ABCCorp-8021X
service-policy output ABCCorp-8021X-PARENT-POLICY

Meilleures pratiques

Les meilleures pratiques pour la configuration sans fil incluent :

  • Utilisation de la commande wireless client fast-ssid-change pour configurer la modification rapide du SSID.
  • Utilisation des commandes passwd encryption on et passwd key obfuscate pour le chiffrement de mot de passe.

Historique de révision

Révision Date de publication Commentaires
1.0
21-Apr-2016
Première publication
TAC Authored

Contribution d’experts de Cisco

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits