Руководство По Работе для Cisco Cisco Identity Services Engine 1.3
© 2015 思科系统公司
第
9 页
安全访问操作指南
配置
VLAN 和 SVI
使用轻量级
AP 创建 CAPWAP 隧道需要使用无线管理接口。此外,需要为无线接入要设置的每个 WLAN 创
建
VLAN。此外,我们还需要创建将要映射到 WLAN 的所有用户 VLAN。
步骤
1
为无线管理和
WLAN 接口添加以下 VLAN:
3850(config)#vlan 80
3850(config-vlan)#name AP_VLAN
3850(config-vlan)#vlan 30
3850(config-vlan)#name WLAN_USER
3850(config-vlan)#vlan 40
3850(config-vlan)#name WLAN_GUEST
步骤
2 为无线管理接口创建 SVI。
此接口将用于与
LWAP 通信。LWAP 需要直接连接到 3850 交换机,且需要使用与无线管理 VLAN 相同
的
VLAN 配置接口。此外,请配置 IP 帮助程序,将来自 LWAP 的 DHCP 请求转发到 DHCP 服务器。
3850(config)#interface Vlan 80
3850(config-if)#ip address 192.168.80.1 255.255.255.0
3850(config-if)#ip helper-address 192.168.201.72
3850(config-if)#no shutdown
配置
DHCP 监听(可选)
虽然
3850 无线功能无需 DHCP 监听即可运行,但最佳实践是要求所有终端都通过 DHCP 服务器分配地址。
为此,应在
WLAN 配置上全局启用 DHCP 监听并运行 dhcp 所需的选项。
配置
DHCP 监听之前,请确保记下您信任的 DHCP 服务器的位置。配置 DHCP 监听时,交换机会拒绝来自任
何未配置为“信任”的端口的
DHCP 服务器应答。输入上行链路接口的接口配置模式,并将其配置为信任端口。
步骤
1
为受信任的端口配置动态主机配置协议
(DHCP) 监听。
3850(config)#interface GigabitEthernet x/y/z
3850(config-if)#description Server
3850(config-if)#ip dhcp snooping trust
步骤
2
启用
DHCP 监听。
已在全局配置模式下启用
DHCP 监听。启用 DHCP 监听之后,您必须配置应该用于此监听的 VLAN,在
我们的示例中为
VLAN 30 和 40。
3850(config)#ip dhcp snooping vlan 30, 40
3850(config)#no ip dhcp snooping information option
3850(config)#ip dhcp snooping