WLC和NAC访客服务器(NGS)集成指南

下载选项

  • PDF     (872.1 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (616.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (686.7 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2008 年 8 月 1 日
文档 ID:107630

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档提供了集成 NAC Guest Server 和无线 LAN 控制器的指南。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco 无线 LAN 控制器 (WLC) 4.2.61.0

  • 带有 IOS® 12.2(25)SEE2 版的 Catalyst 3560

  • Cisco ADU 4.0.0.279 版

  • NAC Guest Server 1.0 版

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则。

背景信息

Cisco NAC Guest Server 是为来宾、访客、承包商、顾问或客户提供临时网络访问权的完整配置和报告系统。Guest Server 与 Cisco NAC Appliance 或 Cisco 无线 LAN 控制器配合工作,后者为访客访问提供捕获式门户和实施点。

Cisco NAC Guest Server 允许拥有权限的任何用户轻松地创建临时访客帐户和邀请访客。Cisco NAC Guest Server 对邀请人(创建访客帐户的用户)执行完整的身份验证,并允许邀请人通过打印输出、电子邮件或 SMS 将帐户详细信息提供给访客。系统会存储从创建用户帐户到访客访问网络的完整体验以进行审计和报告。

在创建访客帐户时,系统会在 Cisco NAC Appliance Manager (Clean Access Manager) 中配置它们,或将它们存储在 Cisco NAC Guest Server 上的内置数据库中。当您使用 Guest Server 的内置数据库时,外部网络接入设备(例如 Cisco 无线 LAN 控制器)可以利用远程身份验证拨入用户服务 (RADIUS) 协议根据 Guest Server 对用户进行身份验证。

在创建帐户时,Cisco NAC Guest Server 会为访客帐户配置指定的有效期。在帐户过期后,Guest Server 将直接从 Cisco NAC Appliance Manager 中删除帐户,或发送 RADIUS 消息来通知网络接入设备 (NAD) 帐户剩余的有效时间长度,在该时间长度后,NAD 必须删除用户。

Cisco NAC Guest Server 提供了重要的访客网络访问记帐,方法是合并从创建访客帐户到访客使用帐户的整个审计跟踪过程,以便可以通过中心管理界面执行报告。

访客访问概念

Cisco NAC Guest Server 利用许多术语来解释提供访客访问所需的组件。

来宾用户

访客用户是需要用户帐户来访问网络的人。

发起人

邀请人是创建访客用户帐户的人。此人通常是提供网络访问的组织的员工。邀请人可以是承担某些工作职责的特定个人,也可以是可以根据企业目录(例如 Microsoft Active Directory (AD))进行身份验证的任何员工。

网络实施设备

这些设备是提供网络访问的网络基础设施组件。另外,网络实施设备将访客用户推送到捕获式门户,他们可以在其中输入其访客帐户详细信息。当访客输入其临时用户名和密码时,网络实施设备将根据 Guest Server 所创建的访客帐户来检查这些凭证。

Guest Server

这是 Cisco NAC Guest Server,它将所有访客访问连接在一起。访客服务器将这些链接在一起:创建访客帐户的发起人、传递到访客的帐户详细信息、针对网络实施设备的访客身份验证,以及访客的网络实施设备与访客服务器的验证。另外,Cisco NAC Guest Server 合并网络实施设备中的记帐信息以提供单点访客访问报告。

在 CCO 中提供了有关 NGS 的详细文档。

http://www.cisco.com/en/US/docs/security/nac/guestserver/configuration_guide/10/nacguestserver.html

实验室拓扑概述

WLC_NGS-1.gif

配置无线 LAN 控制器 (WLC)

请按照以下步骤配置 WLC:

  1. 初始化控制器和接入点。

  2. 配置控制器接口。

  3. 配置 RADIUS。

  4. 配置 WLAN 设置。

初始化

对于初始配置,请使用控制台连接(例如 HyperTerminal)并按照设置提示来填充登录和接口信息。reset system 命令也可启动这些提示。

Welcome to the Cisco Wizard Configuration Tool
Use the '-' character to backup
System Name [Cisco_44:36:c3]: WLC
Enter Administrative User Name (24 characters max): admin
Enter Administrative Password (24 characters max): admin
Service Interface IP Address Configuration [none][DHCP]: <ENTER>
Enable Link Aggregation (LAG) [yes][NO]:no
Management Interface IP Address: 10.10.51.2
Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 10.10.51.1
Management Interface VLAN Identifier (0 = untagged): 0
Management Interface Port Num [1 to 2]: 1
Management Interface DHCP Server IP Address: 10.10.51.1
AP Transport Mode [layer2][LAYER3]: layer3
AP Manager Interface IP Address: 10.10.51.3
AP-Manager is on Management subnet, using same values
AP Manager Interface DHCP Server (10.10.5<X>.1):<ENTER>
Virtual Gateway IP Address: 1.1.1.1
Mobility/RF Group Name: mobile-1
Enable Symmetric Mobility Tunneling: No
Network Name (SSID): wireless-1
Allow Static IP Addresses [YES][no]:<ENTER>
Configure a RADIUS Server now? [YES][no]:<ENTER>
Enter the RADIUS Server's Address: 10.1.1.12
Enter the RADIUS Server's Port [1812]:<ENTER>
Enter the RADIUS Server's Secret: cisco
Enter Country Code (enter 'help' for a list of countries) [US]:<ENTER>
Enable 802.11b Network [YES][no]:<ENTER>
Enable 802.11a Network [YES][no]:<ENTER>
Enable 802.11g Network [YES][no]:<ENTER>
Enable Auto-RF [YES][no]:<ENTER>
Configure a NTP server now? [YES][no]: no
Configure the system time now? [YES][no]: yes
Enter the date in MM/DD/YY format: mm/dd/yy
Enter the time in HH:MM:SS format: hh:mm:ss

Cisco NAC Guest Server

Cisco NAC Guest Server 是为客户端(例如访客、承包商等)提供临时网络访问的配置和报告解决方案。Cisco NAC Guest Server 与 Cisco 统一无线网络或 Cisco NAC Appliance 解决方案配合工作。本文档指导您完成将 Cisco NAC Guest Server 与 Cisco WLC 集成的步骤,这将可以创建访客用户帐户并验证访客的临时网络访问。

按照以下步骤完成集成:

  1. 在 WLC 中添加 Cisco NAC Guest Server 作为身份验证服务器。

    1. 浏览到您的 WLC(https://10.10.51.2,admin/admin)来执行以下配置。

    2. 选择 Security > RADIUS > Authentication

      WLC_NGS-2.gif

    3. 选择 New

    4. 添加 Cisco NAC Guest Server 的 IP 地址 (10.1.1.14)。

    5. 添加共享密钥。

    6. 确认共享密钥。

      WLC_NGS-3.gif

    7. 选择 Apply

      WLC_NGS-4.gif

  2. 在 WLC 中添加 Cisco NAC Guest Server 作为记帐服务器。

    1. 选择 Security > RADIUS >Accounting

      WLC_NGS-5.gif

    2. 选择 New

    3. 添加 Cisco NAC Guest Server 的 IP 地址 (10.1.1.14)。

    4. 添加共享密钥。

    5. 确认共享密钥。

      WLC_NGS-6.gif

    6. 选择 Apply

      WLC_NGS-7.gif

  3. 修改 WLAN(无线 x)以使用 NAC Guest Server。

    1. 编辑 WLAN(无线 x)。

    2. 选择 Security 选项卡。

    3. 将第 2 层安全更改为 None,并将第 3 层安全更改为使用 Web Authentication

      WLC_NGS-8.gif

    4. 选择“Security”选项卡下的 AAA Servers。

    5. 在“Server 1”框下,选择 RADIUS server (10.1.1.14)。

    6. 在“Server 1”框下,选择 Accounting Server (10.1.1.14)

      WLC_NGS-9.gif

    7. 选择 Advanced 选项卡。

    8. 启用 Allow AAA Override。这允许从 NAC Guest 设备设置每客户端会话超时。

      WLC_NGS-10.gif

      注意:在SSID上启用AAA override时,NGS上的访客用户的剩余寿命将作为访客用户登录时的会话超时推送到WLC。

    9. 选择 Apply 来保存您的 WLAN 配置。

      WLC_NGS-11.gif

  4. 验证是否在 Cisco NAC Guest Server 中将控制器添加为 Radius 客户端。

    1. 浏览到 NAC Guest Server (https://10.1.1.14/admin) 来执行以下配置。

      注:如果您在URL中指定/admin,您将看到“管理”(Administration)页面。

      WLC_NGS-12.gif

    2. 选择 Radius Clients

    3. 选择 Add Radius

    4. 输入 Radius 客户端信息:

      • 输入名称:WLC系统名称。

      • 输入IP地址:WLC的IP地址(10.10.51.2)

      • 输入您在步骤 1 中输入的同一共享密钥。

      • 确认您的共享密钥。

      • 输入说明。

      • 选择 Add Radius Client

        WLC_NGS-13.gif

    5. 重新启动 Radius 服务以使更改生效。

    6. 选择 Radius Clients

    7. 选择“Restart Radius”框中的 Restart。

      WLC_NGS-14.gif

  5. 在 Cisco NAC Guest Server 中创建本地用户,即,Lobby Ambassador。

    1. 选择 Local Users

    2. 选择 Add User

      注意:您必须填写所有字段。

    3. 输入名字:lobby

    4. 输入姓氏:Ambassador

    5. 输入用户名:lobby

    6. 输入密码:密码

    7. 保留组为 Default

    8. 输入电子邮件地址:lobby@xyz.com

    9. 选择 Add User

      WLC_NGS-15.gif

  6. 作为本地用户登录并创建访客帐户。

    1. 浏览到 NAC Guest Server (https://10.1.1.14),使用您在步骤 5 中创建的用户名/密码登录,然后执行以下配置:

      WLC_NGS-16.gif

    2. 为访客用户帐户选择 Create。

      注意:您必须填写所有字段。

    3. 输入名字。

    4. 输入姓氏。

    5. 输入公司。

    6. 输入电子邮件地址。

      注意:电子邮件地址是用户名。

    7. 输入帐户结束:时间

    8. 选择 Add User

      WLC_NGS-17.gif

  7. 连接到访客 WLAN 并作为访客用户登录。

    1. 将您的无线客户端连接到访客 WLAN(无线 x)。

    2. 打开 Web 浏览器以重定向到 Web-Auth 登录页。

      注意:或者,键入https://1.1.1.1/login.html以重定向到“登录”页面。

    3. 输入您在步骤 6 中创建的访客用户名。

    4. 输入在步骤 6 中自动生成的密码。

    5. 通过 Telnet 登录到 WLC 并使用 show client detail 命令验证是否设置了会话超时。

    6. 当会话超时到期时,访客客户端将断开连接,并且您的 ping 将停止。

      WLC_NGS-18.gif

注意:要设置从无线LAN控制器(WLC)到NAC访客服务器(NGS)的Web身份验证,您需要对Web身份验证属性使用PAP模式身份验证。如果 Web 身份验证策略设置为 CHAP,则身份验证将失败,因为 NGS 不支持 CHAP。

相关信息

修订历史记录

版本 发布日期 备注
1.0
01-Aug-2008
初始版本

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品