锚点和外部AS 5760 WLC的有线访客接入

下载选项

  • PDF     (220.3 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (86.4 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (101.1 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2016 年 9 月 21 日
文档 ID:118810

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍在Cisco 5760无线LAN控制器(用作外部锚点)和Cisco 5760无线LAN控制器(用作非军事区(DMZ)中的访客锚点)上部署有线访客接入功能(使用版本03.03.2.SE版本软件)。如今,Cisco 5508无线LAN控制器上的解决方案可通过无线和有线网络提供访客接入。该功能在充当外部控制器的Cisco Catalyst 3650交换机上以类似方式工作。

在企业网络中,通常需要为园区内的访客提供网络访问。访客接入要求包括以一致且可管理的方式为有线和无线访客提供到互联网或其他选择性企业资源的连接。同一无线LAN控制器可用于为园区中两种类型的访客提供访问。出于安全原因,大量企业网络管理员通过隧道隔离访客对DMZ控制器的访问。访客接入解决方案还用作失败dot1x和MAC身份验证绕行(MAB)身份验证方法的访客客户端的回退方法。

访客用户连接到接入层交换机上的指定有线端口进行接入,并可选择根据安全要求(后面各节的详细信息)进行Web同意或Web身份验证模式。 访客身份验证成功后,将提供对网络资源的访问,访客控制器管理客户端流量。外部锚点是客户端连接以进行网络访问的主交换机。它发起隧道请求。访客锚点是客户端实际锚点的交换机。除Cisco 5500系列WLAN控制器外,Cisco 5760无线LAN控制器还可用作访客锚点。在部署访客接入功能之前,必须在外部锚点和访客锚点交换机之间建立移动隧道。访客接入功能适用于MC(外部锚点)>> MC(访客锚点)和MA(外部锚点)>> MC(访客锚点)模型。外部锚点交换机将有线访客流量中继到访客锚点控制器,并且可以配置多个访客锚点以实现负载均衡。客户端锚定到DMZ锚点控制器。它还负责处理DHCP IP地址分配以及客户端的身份验证。身份验证完成后,客户端可以访问网络。

部署方案

本文档介绍有线客户端连接到接入交换机进行网络接入的常见使用案例。不同的示例说明了两种访问模式。在所有方法中,有线访客接入功能都可用作身份验证的回退方法。这通常是访客用户将未知的终端设备带到网络时的使用案例。由于终端设备缺少终端请求方,因此它将失败dot1x身份验证模式。同样,MAB身份验证也会失败,因为身份验证服务器将不知道终端设备的MAC地址。值得注意的是,在此类实施中,企业终端设备将成功获得访问权限,因为它们在身份验证服务器中拥有dot1x请求方或其MAC地址进行验证。这允许灵活部署,因为管理员无需专门限制和捆绑访客接入端口。

拓扑

此图显示了部署方案中使用的拓扑:

OPENAUTH

访客锚点配置

  1. 在客户端VLAN(本例中为VLAN 75)上启用IP设备跟踪(IPDT)和DHCP监听。客户端VLAN需要在访客锚点上创建。 
    ip device tracking
ip dhcp relay information trust-all
ip dhcp snooping vlan 75
ip dhcp snooping information option allow-untrusted
ip dhcp snooping
  2. 创建VLAN 75和L3 VLAN接口。 
    vlan 75
interface Vlan75
ip address 75.1.1.1 255.255.255.0
ip helper-address 192.168.1.1
ip dhcp pool DHCP_75
network 75.1.1.0 255.255.255.0
default-router 75.1.1.1
lease 0 0 10
update arp
  3. 创建一个访客LAN,该LAN指定客户端VLAN,其中5760本身充当移动锚点。

    对于openmode,需要no security web-auth命令。

    guest-lan GUEST_LAN_OPENAUTH 3
client vlan 75
mobility anchor
no security web-auth
no shutdown

外部配置

  1. 启用DHCP并创建VLAN。如前所述,客户端VLAN无需在外部设置。 
    ip dhcp relay information trust-all
    ip dhcp snooping information option allow-untrusted
    ip dhcp snooping
    ip device tracking
  2. 交换机在配置了“access-Session port-control auto”的端口通道上检测传入客户端的MAC地址,并应用用户策略OPENAUTH。应首先创建此处所述的OPENAUTH策略。 
    policy-map type control subscriber OPENAUTH
    event session-started match-all
    1 class always do-until-failure
    2 activate service-template SERV-TEMP3-OPENAUTH
    3 authorize

    interface Po1
    switchport trunk allowed vlan 19,137
    switchport mode trunk
    ip arp inspection trust
    access-session port-control auto
    service-policy type control subscriber OPENAUTH
    ip dhcp snooping trust
    end
  3. 应在VLAN的外部配置MAC地址学习。 
    mac address-table learning vlan 19
  4. OPENAUTH策略按顺序引用,在本例中指向服务。

    名为“SERV-TEMP3 OPENAUTH”的模板定义如下:

    service-template SERV-TEMP3-OPENAUTH
    tunnel type capwap name GUEST_LAN_OPENAUTH
  5. 服务模板包含对隧道类型和名称的引用。客户端VLAN 75只需存在于访客锚点上,因为它负责处理客户端流量。 
    guest-lan GUEST_LAN_OPENAUTH 3
    client vlan 75
    mobility anchor 9.7.104.62
    no security web-auth
    no shutdown
  6. 隧道请求从外部发起到有线客户端的访客锚点,隧道addsuccess表示隧道建立过程已完成。

    在ACCESS-SWITCH1上,有线客户端连接到网络管理员设置为接入模式的以太网端口。本例中为端口GigabitEthernet1/0/11。

    interface GigabitEthernet1/0/11
    switchport access vlan 19
    switchport mode access

WEBAUTH

访客锚点配置

  1. 在客户端VLAN(本例中为VLAN 75)上启用IPDT和DHCP监听。客户端VLAN需要在访客锚点上创建。 
    ip device tracking
    ip dhcp relay information trust-all
    ip dhcp snooping vlan 75
    ip dhcp snooping information option allow-untrusted
    ip dhcp snooping
  2. 创建VLAN 75和L3 VLAN接口。 
    vlan 75
    interface Vlan75
    ip address 75.1.1.1 255.255.255.0
    ip helper-address 192.168.1.1
    ip dhcp pool DHCP_75
    network 75.1.1.0 255.255.255.0
    default-router 75.1.1.1
    lease 0 0 10
    update arp

  3. 创建一个访客LAN,该LAN指定客户端VLAN,其中5760本身充当移动锚点。对于openmode,需要no security web-auth命令。

    guest-lan GUEST_LAN_WEBAUTH 3
    client vlan VLAN0075
    mobility anchor
    security web-auth authentication-list default
    security web-auth parameter-map webparalocal
    no shutdown

外部配置

  1. 启用DHCP并创建VLAN。如前所述,客户端VLAN无需在外部设置。 
    ip dhcp relay information trust-all
    ip dhcp snooping information option allow-untrusted
    ip dhcp snooping
    ip device tracking
  2. 交换机在配置了“access-Session port-control auto”的端口通道上检测传入客户端的MAC地址,并应用用户策略WEBAUTH。应首先创建此处所述的WEBAUTH策略。 
    policy-map type control subscriber WEBAUTH
    event session-started match-all
    1 class always do-until-failure
    2 activate service-template SERV-TEMP3-WEBAUTH
    3 authorize

    interface po1
    switchport trunk allowed vlan 19,137
    switchport mode trunk
    ip arp inspection trust
    access-session port-control auto
    service-policy type control subscriber WEBAUTH
    ip dhcp snooping trust
    end
  3. 应在VLAN的外部上配置MAC学习。 
    mac address-table learning vlan 19
  4. 配置RADIUS和参数映射。 
    aaa new-model
    aaa group server radius rad-grp
    server Radius1

    dot1x system-auth-control
    aaa authentication dot1x default group rad-grp


    radius server Radius1
    address ipv4 172.19.45.194 auth-port 1812 acct-port 1813
    timeout 60
    retransmit 3
    key radius

    parameter-map type webauth webparalocal
    type webauth
    timeout init-state sec 5000
  5. WEBAUTH策略按顺序引用,在本例中指向服务。名为SERV-TEMP3 WEBAUTH的模板,如此定义。 
    service-template SERV-TEMP3-WEBAUTH
    tunnel type capwap name GUEST_LAN_WEBAUTH
  6. 服务模板包含对隧道类型和名称的引用。客户端VLAN 75只需存在于访客锚点上,因为它负责处理客户端流量。 
    guest-lan GUEST_LAN_WEBAUTH 3
    client vlan 75
    mobility anchor 9.7.104.62
    security web-auth authentication-list default
    security web-auth parameter-map webparalocal
    no shutdown
  7. 隧道请求从外部发起到有线客户端的访客锚点,“tunneladdsuccess”表示隧道建立过程已完成。

    在ACCESS-SWITCH1上,有线客户端连接到网络管理员设置为接入模式的以太网端口。本例中为端口GigabitEthernet1/0/11。

    interface GigabitEthernet1/0/11
    switchport access vlan 19
    switchport mode access

并行配置OPENAUTH和WEBAUTH

为了拥有两个访客LAN并将其分配给不同的客户端,您必须将其基于获取客户端的VLAN。

访客锚点配置

  1. 在客户端VLAN(本例中为VLAN 75)上启用IPDT和DHCP监听。客户端VLAN需要在访客锚点上创建。 
    ip device tracking
    ip dhcp relay information trust-all
    ip dhcp snooping vlan 75
    ip dhcp snooping information option allow-untrusted
    ip dhcp snooping
  2. 创建VLAN 75和L3 VLAN接口。 
    vlan 75
    interface Vlan75
    ip address 75.1.1.1 255.255.255.0
    ip helper-address 192.168.1.1
    ip dhcp pool DHCP_75
    network 75.1.1.0 255.255.255.0
    default-router 75.1.1.1
    lease 0 0 10
    update arp
  3. 创建一个访客LAN,该LAN指定客户端VLAN,其中5760本身充当移动锚点。

    对于openmode,需要no security web-auth命令。

    guest-lan GUEST_LAN_OPENAUTH 3
    client vlan 75
    mobility anchor
    no security web-auth
    no shutdown


    guest-lan GUEST_LAN_WEBAUTH 4
    client vlan VLAN0075
    mobility anchor
    security web-auth authentication-list joseph
    security web-auth parameter-map webparalocal
    no shutdown

外部配置

  1. 启用DHCP并创建VLAN。如前所述,客户端VLAN无需在外部设置。 
    ip dhcp relay information trust-all
    ip dhcp snooping information option allow-untrusted
    ip dhcp snooping
    ip device tracking
  2. 交换机在配置了“access-Session port-control auto”的端口通道上检测传入客户端的MAC地址,并应用用户策略DOUBLEAUTH。类映射mac1包含您为OPENAUTH添加的MAC地址。其他一切都是使用第二个“始终”类映射和“match-first”事件的WEBAUTH。应首先创建此处所述的DOUBLEAUTH策略。 
    policy-map type control subscriber DOUBLEAUTH
    event session-started match-first
      1 class vlan19 do-until-failure
      2 activate service-template SERV-TEMP3-OPENAUTH
      3 authorize
      2 class vlan18 do-until-failure
      2 activate service-template SERV-TEMP4-WEBAUTH
      3 authorize


    interface po1
    switchport trunk allowed vlan 19,137
    switchport mode trunk
    ip arp inspection trust
    access-session port-control auto
     service-policy type control subscriber DOUBLEAUTH
    ip dhcp snooping trust
    end
  3. 应在VLAN 18和19的外部配置MAC学习。 
    mac address-table learning vlan 18 19
  4. VLAN 19和VLAN18类映射包含VLAN匹配条件,根据该条件,您将区分客户端所属的访客LAN。定义如下: 
    class-map type control subscriber match-any vlan18
     match vlan 18

    class-map type control subscriber match-any vlan19
     match vlan 19
  5. OPENAUTH策略按顺序引用,在本例中指向服务。

    名为SERV-TEMP3 OPENAUTH的模板,如此处所定义。

    service-template SERV-TEMP3-OPENAUTH
    tunnel type capwap name GUEST_LAN_OPENAUTH

    service-template SERV-TEMP4-WEBAUTH
    tunnel type capwap name GUEST_LAN_WEBAUTH
  6. 服务模板包含对隧道类型和名称的引用。客户端VLAN 75只需存在于访客锚点上,因为它负责处理客户端流量。  
    guest-lan GUEST_LAN_OPENAUTH 3
    client vlan 75
    mobility anchor 9.7.104.62
    no security web-auth
    no shutdown


    guest-lan GUEST_LAN_WEBAUTH 4
    client vlan VLAN0075
    mobility anchor 9.7.104.62
    security web-auth authentication-list joseph
    security web-auth parameter-map webparalocal
    no shutdown
  7. 隧道请求从外部发起到有线客户端的访客锚点,“tunneladdsuccess”表示隧道建立过程已完成。

    在ACCESS-SWITCH上,有多个有线客户端连接到VLAN 18或VLAN19,然后可以相应地为访客LAN分配这些客户端。本例中为端口GigabitEthernet1/0/11。

    interface GigabitEthernet1/0/11
    switchport access vlan 19
    switchport mode access

WEBAUTH命令O/P示例

外国

FOREIGN#show wir client summary
Number of Local Clients : 2
MAC Address    AP Name                          WLAN State              Protocol
--------------------------------------------------------------------------------
0021.ccbc.44f9 N/A                              3    UP                 Ethernet
0021.ccbb.ac7d N/A                              4    UP                 Ethernet

ANCHOR#show mac address-table
         Mac Address Table
-------------------------------------------

Vlan   Mac Address    Type       Ports
----   -----------    --------   -----
19   0021.ccbc.44f9   DYNAMIC     Po1
19   0021.ccbb.ac7d   DYNAMIC     Po1

FOREIGN#show access-session mac 0021.ccbc.44f9 details
           Interface: Port-channel1
              IIF-ID: 0x83D880000003D4
         MAC Address: 0021.ccbc.44f9
        IPv6 Address: Unknown
        IPv4 Address: Unknown
           User-Name: 0021.ccbc.44f9
         Device-type: Un-Classified Device
              Status: Unauthorized
              Domain: DATA
      Oper host mode: multi-auth
    Oper control dir: both
     Session timeout: N/A
   Common Session ID: 090C895F000012A70412D338
     Acct Session ID: Unknown
              Handle: 0x1A00023F
      Current Policy: OPENAUTH
       Session Flags: Session Pushed


Local Policies:
       Service Template: SERV-TEMP3-OPENAUTH (priority 150)

Tunnel Profile Name: GUEST_LAN_OPENAUTH
         Tunnel State: 2

Method status list:
       Method           State
       webauth         Authc Success

#show wir client summary
Number of Local Clients : 1
MAC Address    AP Name                          WLAN State              Protocol
--------------------------------------------------------------------------------
0021.ccbc.44f9 N/A                              3    WEBAUTH_PEND       Ethernet
0021.ccbb.ac7d N/A                              4    WEBAUTH_PEND       Ethernet

ANCHOR#show wir client summary
Number of Local Clients : 2
MAC Address    AP Name                          WLAN State              Protocol
--------------------------------------------------------------------------------
0021.ccbc.44f9 N/A                              3    UP                 Ethernet
0021.ccbb.ac7d N/A                              4    UP                 Ethernet

ANCHOR#show mac address-table
         Mac Address Table
-------------------------------------------
Vlan   Mac Address       Type       Ports
----   -----------       --------   -----
19   0021.ccbc.44f9   DYNAMIC     Po1
18   0021.ccbb.ac7d   DYNAMIC     Po1

ANCHOR#show wir client summary
Number of Local Clients : 1

MAC Address   AP Name                         WLAN State             Protocol
--------------------------------------------------------------------------------
0021.ccbc.44f9 N/A                             3   UP                 Ethernet
0021.ccbb.ac7d N/A                             4   UP                 Ethernet

ANCHOR#show access-session mac 0021.ccbc.44f9

Interface   MAC Address   Method Domain Status Fg Session ID
----------------------------------------------------------------------
Ca1         0021.ccbc.44f9 webauth DATA   Auth     090C895F000012A70412D338

ANCHOR#show access-session mac 0021.ccbc.44f9 details
           Interface: Capwap1
              IIF-ID: 0x6DAE4000000248
         MAC Address: 0021.ccbc.44f9
        IPv6 Address: Unknown
        IPv4 Address: 75.1.1.11
           User-Name: 0021.ccbc.44f9
              Status: Authorized
              Domain: DATA
      Oper host mode: multi-auth
    Oper control dir: both
     Session timeout: N/A
   Common Session ID: 090C895F000012A70412D338
     Acct Session ID: Unknown
              Handle: 0x4000023A
      Current Policy: (No Policy)

Method status list:
       Method           State
       webauth         Authc Success
TAC Authored

由思科工程师提供

  • Joseph Vasanth Louis
    Cisco Engineering.

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品