配置基本網(wǎng)絡(luò)環(huán)境

在本例中使用的是Cisco Catalyst3560系 列的某款交換機(jī)，WLC 4402和AP1242等無(wú)線(xiàn)設(shè)備，以及ISE設(shè) 備，Windows Server 2008 R2域控，DHCP服務(wù)器等都連接到該交換機(jī)上，相關(guān)設(shè)備處于名為“xxx.com”的域環(huán)境中。AP設(shè)備規(guī)劃到VLAN 20中，WLC設(shè)備、域控、DHCP服務(wù)器等規(guī)劃到VLAN 10中。DHCP服務(wù)器和域控的 IP均 為 192.168.1.168。在交換機(jī)全局配置模式下執(zhí)行“interface vlan 20”，“ip address 192.168.20.254 255. 255.255.0”命令，創(chuàng)建VLAN20，并設(shè)置其IP地址。

執(zhí) 行“interface fa 0/22”，“switchport trunk encapsulation dot1q”，“switchport mode trunk”命令，在交換機(jī)的fa 0/22接口上開(kāi)啟Truck連接，WLC 4402就連接在該接口上。執(zhí)行“interface fa 0/20”，“switch access vlan 20”，“switchport mode access”，“spanning-tree portfast”命令，將fa 0/20接口劃分到VLAN 20中，并將其接口設(shè)置為ACCESS模式，AP 12425就連接到該接口上。

執(zhí) 行“ipdhcppoolvlan 20”，“network 192.168.20.0 255.255.255.0”，“defaultroute 192.168.20.254”，“option 42 hex f104.xxx.xxxx”命令，為VLAN 20創(chuàng)建地址池，指定網(wǎng)關(guān)地址，并通告AP需要注冊(cè)的WLC設(shè)備的 AP接口地址，“f104”表示僅僅使用一臺(tái)WLC設(shè)備，“xxx.xxxx”為 WLC設(shè)備的AP接口的IP地址的十六進(jìn)制數(shù)值。WLC的管理地址為192.168.1.100，AP管理接口IP為 192.168.1.101，其 均屬于VLAN 10。ISE設(shè)備的IP為192.168.1.200。

初始化WLC設(shè)備

對(duì)于新的WLC設(shè)備來(lái)說(shuō)，在使用前需要進(jìn)行初始化配置，在向?qū)Ы缑嬷幸来屋斎肫涿Q(chēng)，管理員名稱(chēng)和密碼，設(shè)置帶外網(wǎng)管地址，是否使用鏈路匯聚功能，管理接口地址，掩碼和默認(rèn)網(wǎng)關(guān)，VLAN的TAG（這里為10，VLAN 10需要預(yù)先配置好），管理接口的端口編號(hào)（例如1），管理接口的DHCP服務(wù)器的地址，設(shè)置AP管理接口地址，AP管理接口DHCP服務(wù)器地址，虛擬網(wǎng)關(guān)地址（例如“1.1.1.1”，該地址不可路由，主要充當(dāng)DHCP中繼 代理，讓W(xué)LC和DHCP服務(wù)器聯(lián)系獲取IP，并分配給客戶(hù)，這樣可以保護(hù)真實(shí)的DHCP服務(wù)器）。

然后設(shè)置漫游組名稱(chēng)（同組中的AP可以漫游），指定SSID名稱(chēng)（例如“Wlan01”），根據(jù)需要決定是否啟用DHCP橋模式，是否允許客戶(hù)手動(dòng)設(shè)置IP，接著配置RADIS服務(wù)器信息，設(shè)置其IP，端口號(hào)，連接密鑰。然后設(shè)置國(guó)家代碼（例如“CN”）。接著 激 活 802.11b，802.11 和802.11g網(wǎng)絡(luò)，選中Auto-RF功能（該功能可以在某些AP出現(xiàn)故障后，WLC會(huì)自動(dòng)擴(kuò)大其他AP的發(fā)射功率，更好的實(shí)現(xiàn)區(qū)域覆蓋），然后選擇是否設(shè)置NTP服務(wù)器，或者手動(dòng)設(shè)置時(shí)間。完成以上配置后，保存并重啟WLC設(shè)備。對(duì)于無(wú)線(xiàn)控制器來(lái)說(shuō)，如果需要清空配置的話(huà)，可以在其管理界面中執(zhí)行“clear config”命令，并輸入“y”進(jìn)行確認(rèn)。執(zhí)行“reset system”命令，依次輸入“n”和“y”后，重啟無(wú)線(xiàn)控制器即可。

在WLC上創(chuàng)建動(dòng)態(tài)接口

打開(kāi) 瀏覽器，訪(fǎng) 問(wèn)W L C的 地 址“http://192.168.1.100”。輸入預(yù)設(shè)的賬戶(hù)名和密碼，進(jìn)入其管理界面。

在“Summary”的頁(yè)面中的“Access Point Summary”欄中顯示已經(jīng)注冊(cè)的AP數(shù)量。

在工具欄上點(diǎn)擊“WLANS”項(xiàng)，在WLANS列表中顯示存在的WLANS項(xiàng)目（例如上述“Wlan01”），包括其ID、類(lèi)型、項(xiàng)目名稱(chēng)、SSID、管理狀態(tài)和安全特性等。

在列表中選擇“Create New”項(xiàng)，點(diǎn)擊“Go”按鈕，可以創(chuàng)建新的WLAN。

圖1 設(shè)置動(dòng)態(tài)端口屬性

僅僅有了WLAN是不夠的，還需要?jiǎng)?chuàng)建相應(yīng)的動(dòng)態(tài)接口，使其和對(duì)應(yīng)本地VLAN和WLAN進(jìn)行關(guān)聯(lián)。在工具欄上點(diǎn)擊“CONTROLLER”項(xiàng)，在左側(cè)點(diǎn)擊“Interfaces”項(xiàng)，在右側(cè)顯示所有的端口信息。

在右上角點(diǎn)擊“New”按鈕，在打開(kāi)界面中的“Interface Name” 欄 中輸入動(dòng)態(tài)接口名稱(chēng)（例如“dtport01”），在“VLAN ID”欄中輸入VLAN的ID（例如“2”，該VLAN必須事先創(chuàng)建）。點(diǎn)擊“Apply”按鈕保存該接口。

在屬性頁(yè)面（如圖1）中的“Port Number”欄中輸入接口數(shù)量（例如“1”），在“IP Address”欄中輸入其IP（例 如“192.168.2.90”），在“Netmask”欄中輸入掩碼，在“Gateway”欄中輸入網(wǎng)關(guān)地址（例如“192.168.2.254”），在“Primary DHCP Server”欄中輸入DHCP服務(wù)器地址（例如“192.168.1.168”）。

點(diǎn)擊“Apply”按鈕保存配置信息。這樣，就讓該動(dòng)態(tài)接口和特定的VLAN建立連接。

設(shè)置WLAN的安全屬性

在工具欄上點(diǎn)擊“WLANs”項(xiàng)，在上述“Wlan01”項(xiàng)的“WLAN ID”列中點(diǎn)擊其ID號(hào)，在屬性頁(yè)面中的“Interface/Interface Group”列表中選擇上述“dtport01”接口。

這樣，就實(shí)現(xiàn)了將該WLAN和目標(biāo)動(dòng)態(tài)接口的關(guān)聯(lián)，當(dāng)客戶(hù)端連接目標(biāo)AP后，產(chǎn)生的流量就從該動(dòng)態(tài)接口進(jìn)入有線(xiàn)網(wǎng)絡(luò)中。 在“Security” 面 板中 的“Layer2”標(biāo) 簽 中 的“Layer 2 Security”列表中選擇“WPA+WPA2”項(xiàng)，選擇所需的安全級(jí)別。選擇“WPA Policy”項(xiàng)，在“Auth key Mgmt”列表中選擇“PSK”項(xiàng)，選擇預(yù)共享密鑰。在“PSK Format”欄中輸入密碼。點(diǎn)擊“Apply”按鈕保存配置信息。

這樣，客戶(hù)端就可以在無(wú)線(xiàn)熱點(diǎn)列表中看到該WLAN的SSID信息，將其選中后輸入密碼，就可以連接到本地網(wǎng)絡(luò)中。在客戶(hù)機(jī)上執(zhí)行“ipconfig”命令，顯示獲取的IP信息。

將客戶(hù)機(jī)添加到域環(huán)境

在該客戶(hù)機(jī)上打開(kāi)系統(tǒng)屬性窗口，點(diǎn)擊“更改設(shè)置”鏈接，輸入域的名稱(chēng)和域賬戶(hù)密碼，將其加入到域環(huán)境中。這樣，對(duì)其管理起來(lái)就更加便捷。

在域控上打開(kāi)Active Directory用戶(hù)和計(jì)算機(jī)窗口，在其中已經(jīng)創(chuàng)建名為“isegrp”的OU，用來(lái)管理和ISE相關(guān)的賬戶(hù)，計(jì)算機(jī)和 組（例 如“isegroup1”）。將該客戶(hù)機(jī)（例如名稱(chēng)為“Win7kh”）拖動(dòng)到該OU中。

打開(kāi)其屬性窗口，在“隸屬于”面板中點(diǎn)擊“添加”按鈕，將其添加到上述“isegroup1”中。 在 該 客戶(hù)機(jī)上以特定的域賬戶(hù)（例如“xxxiseruser01”） 身份登錄。當(dāng)然，該賬戶(hù)預(yù)先已經(jīng)創(chuàng)建好，并存儲(chǔ)在上述“isegrp”的OU中。 執(zhí) 行“mmc”程序，在控制臺(tái)上點(diǎn)擊菜單“文件”-“添加/刪除管理單元”項(xiàng)，分別添加用戶(hù)和計(jì)算機(jī)證書(shū)。在左側(cè)選擇“證書(shū)”-“個(gè)人”-“所有任務(wù)”-“申請(qǐng)新證書(shū)”項(xiàng)，在向?qū)Ы缑嫔暾?qǐng)證書(shū)并注冊(cè)，具體操作很簡(jiǎn)單，這里不再詳述。同理，執(zhí)行計(jì)算機(jī)證書(shū)的申請(qǐng)和注冊(cè)。

在WLC上創(chuàng)建控制列表

在WLC管理頁(yè)面工具欄 上點(diǎn) 擊“SECURITY”項(xiàng)，在 左 側(cè) 選 擇“RADIUS”-“Authentication” 項(xiàng)，在已經(jīng)存在的認(rèn)證項(xiàng)目的“Server Index”列 中 點(diǎn)擊 序 號(hào)，在“Support for RFC”列表中選擇“Enabled”項(xiàng)，激活COA授權(quán)更改功能。在左側(cè)點(diǎn)擊“RADIUS”-“Accounting”項(xiàng)，在右側(cè)點(diǎn)擊“New”按鈕，在打開(kāi)頁(yè)面中的“Server IP Address”欄中輸入ISE服務(wù)器的IP（例如“192.168.1.200”）。 在“Shared Secret”欄中輸入密碼。點(diǎn)擊“Apply”按鈕，添加新的審計(jì)項(xiàng)目。

在左側(cè)選擇“Access Control Lists”-“Access Control lists”項(xiàng)，在 右側(cè)點(diǎn)擊“New”按鈕，輸入新的控制列表的名稱(chēng)（例如“acclist1”），點(diǎn) 擊“Apply”按鈕保存該列表。然后點(diǎn)擊該ACL列表，在其屬性窗口中的“Souce”列表中選擇“Any”，在“Destination”列 表 中 選 擇“Any”，在“Protocol”列表中選擇“UDP”， 在“Source Port”列 表 中 選 擇“Any”，在“Destination Port”列 表選擇“DHCP Server”項(xiàng)，在“DSCP”和“Direction”列表中均選擇“Any”，在“Action”列表中選擇“Permit”項(xiàng)，放行和DHCP相關(guān)的流量。

點(diǎn)擊“Add New Rule”按鈕，創(chuàng)建新的條目，創(chuàng)建與上述幾乎相同的內(nèi)容，所不同的是在“Source Port”列表中 選 擇“DHCP Server”，在“Destination Port”列 表選擇“Any”項(xiàng)。這是因?yàn)樵赪LC控制規(guī)則中，需要對(duì)進(jìn)出的流量分別控制。同理，針對(duì)ICMP，DNS協(xié)議相關(guān)的流量進(jìn)行放行。對(duì)于ICMP流量來(lái)說(shuō)，設(shè)置允許探測(cè)的地址，這樣可限制客戶(hù)可以探測(cè)范圍。按照同樣的方法，創(chuàng)建名為“Acclist2”的訪(fǎng)問(wèn)控制列表，在其屬性窗口中所有的列表均選擇“Any”，在“Action”列 表 中 選 擇“Permit”項(xiàng)，放行所有流量。

設(shè)置動(dòng)態(tài)接口屬性

在 上 述“dtport01”動(dòng)態(tài)端口屬性頁(yè)面中的“ACL Name”列表中選擇“Acclist1”項(xiàng)，選擇具有基本管控功能的列表項(xiàng)目。

為便于說(shuō)明，在上述“Wlan01” 項(xiàng) 的“WLAN ID”列中點(diǎn)擊其ID號(hào)，在其屬性頁(yè)面中的“Interface/Interface Group”列表中選擇“management”項(xiàng)，表示授權(quán)放行所有操作。

在“Security” 面 板中 的“Layer2”標(biāo) 簽 中 的“Layer 2 Security” 列表中選擇“WPA+WPA2”項(xiàng)，在“Auth Key Mgmt”列 表中 選 擇“802.1X”項(xiàng)，在“AAA Server”標(biāo) 簽 中 的“Authentication Servers”欄中選擇“Enabled”項(xiàng)，激活認(rèn)證功能。

在“Server1”列表中選擇ISE服務(wù)器的IP地址，將ISE服務(wù)器作為認(rèn)證服務(wù)器。

在“Advanced”面板中的“Allow AAA Override”欄中選擇“Enabled”項(xiàng)，激活A(yù)AA配置覆蓋功能。點(diǎn)擊“Apply”按鈕保存配置信息。

在工具欄上點(diǎn)擊“MANAGEMENT”項(xiàng)，在 左 側(cè)選 擇“SNMP”-“SNMP V3 Users”項(xiàng)，在右側(cè)刪除默認(rèn)配置項(xiàng)目。

點(diǎn)擊“New”按鈕，輸入其用戶(hù)名稱(chēng)（例如“snmp01”），在“Access Mode”列表中選擇“Read Write”項(xiàng)。

在“Authentication Protocol”列表中選擇“HMAC-MD5”項(xiàng)，選擇MD5方式進(jìn)行哈希處理，并輸入密碼。

在“Pricacy Protocol”列表中選擇“CBC-DES”項(xiàng)，選擇DES加密方式，并輸入密碼。

在ISE中配置無(wú)線(xiàn)認(rèn)證項(xiàng)目

登錄ISE管理界面，點(diǎn)擊菜單“Administration”-“Network Devices”項(xiàng)，在打開(kāi)界面中點(diǎn)擊“Add”按鈕，輸入WLC的名稱(chēng)（例如“WLC01”），在“IP Address”欄中輸入上述WLC設(shè)備管理接口的地址。在“Device Type”和“Location”列 表中分別選擇設(shè)備類(lèi)型和位置。打開(kāi)“Authentication Settings”面板，在“Shared Secret”欄中輸入上述WLC設(shè)備的連接密鑰。打開(kāi)“SNMP Settings”面板，在其中依次選擇版本號(hào)（例如“3”），輸入上述SNMP用戶(hù)名稱(chēng)，在“Security Level”列表中選擇“Prvi”，并選擇MD5哈希方式和DES加密方式，分別輸入對(duì)應(yīng)的密碼，這里與上述SNMP配置相同。點(diǎn)擊“Submit”按鈕，提交上述配置信息。

點(diǎn) 擊 菜 單“Policy”-“Authentication”項(xiàng)，在策略列表中選擇第一個(gè)策略項(xiàng)，在右側(cè)點(diǎn)擊“Actions”按鈕，在彈出菜單中點(diǎn)擊“Insert new row above”項(xiàng)，插入一個(gè)新策略，輸入其名稱(chēng)（例如“WirelessAuthen1”），在“Condition(s)” 列 中選 擇“Select Existing Condition from Library”項(xiàng)，在已經(jīng)存在的條件中選擇“Wireless_802.1X”項(xiàng)。

當(dāng) 然， 點(diǎn) 擊“Add Attribute/Value”項(xiàng)，可以添加更多的條件。例如選擇設(shè)備所處的地點(diǎn)等。在“Select Network Access”列中選擇所需的協(xié)議，例如選擇默認(rèn)的“Default Network Access”。 在 認(rèn) 證數(shù)據(jù)庫(kù)選擇面板中選擇和域賬戶(hù)關(guān)聯(lián)的項(xiàng)目。

實(shí)現(xiàn)需要將Windows Server 2008 R2的域賬戶(hù)信息導(dǎo)入到ISE中，例如將活動(dòng)目錄中的“isegrp”中的域賬戶(hù)信息導(dǎo)入進(jìn)來(lái)，點(diǎn)擊“Submit”按鈕，保存該認(rèn)證項(xiàng)目。

在ISE中配置無(wú)線(xiàn)授權(quán)項(xiàng)目

點(diǎn) 擊 菜 單“Policy”-“Result” 項(xiàng)， 在 左 側(cè)點(diǎn) 擊“Authorzation”-“Authprization Profiles”項(xiàng)，在右側(cè)點(diǎn)擊“Add”按鈕，添加名為“profile1”的授權(quán)項(xiàng)目，在其中選擇“VLAN”項(xiàng)，在“Tag ID”欄中輸入合適的VLAN號(hào)（例如“2”）。選擇“Airespace ACL Name”項(xiàng)，設(shè)置有關(guān)無(wú)線(xiàn)的控制列表，輸入在WLC上創(chuàng)建的ACL列表，這里輸入“Acclist2”。點(diǎn)擊“Submit”按鈕提交修改。

點(diǎn)擊工具欄上的“Authorization”按鈕，在授權(quán)策略列表中選擇第一個(gè)策略項(xiàng)，在右側(cè)點(diǎn)擊“Edit”項(xiàng)，在彈出菜單中選擇“Insert New Rule Above”項(xiàng)，插入新的授權(quán)策略，輸入其名稱(chēng)（例如“WirelessAuthor1”），在“Condition(s)”列中選擇合適的條件，例如選擇“Wireless_802.1X”，WLC 設(shè)備所在的位置等。在“Permissions”列中選擇上述名為“profile1”的授權(quán)項(xiàng)目。