Cisco Cisco Identity Services Engine 1.2 产品宣传页

 

 
 

© 2015 思科系统公司 

第

 16 页  

安全访问操作指南

分支机构中的无线网络

在一个典型的无线部署中，所有来自接入点的流量都将传送回网络上将其引入的

 WLC 中。我们将此隧道称为

无线网络的分离

 MAC 架构。因为所有流量都是在 WLC 进行中心交换，由思科 ISE 将策略向下推送至 WLC。 

虽然分离

 MAC 架构在园区 WLAN 部署中工作效果不错，但是，我们并不建议将其用于远程站点部署。在远

程站点安装的接入点通常将与位于数据中心中的

 WLAN 进行通信。若使用分离 MAC 架构，需要将所有用户

流量首先通过

 WAN 流向 WLC，然后才能进行交换，这将增加 WAN 链路上的负载。思科建议使用混合远程

边缘接入点

 (H-REAP) 或本地 MAC 架构。H-REAP 模式只在 WAN 链路上将控制流量转发至 WLC，所有用户

数据都在远程站点本地进行交换（表

 1）。 

 

表

 1.  无线控制器的 TrustSec 功能 

TrustSec 功能 

思科

 5508 无线控制器和思科无线

服务模块

思科

 Flex 7500 系列无线控制器

中心交换

本地交换

中心交换

本地交换

基本

 AAA 功能   是  

是

  

N/A  

是

  

分析

  

是

  

否

  

N/A  

否

  

状态

  

是

  

否

  

N/A  

否

  

VLAN 优先  

是

  

否

  

N/A  

否

  

ACL 优先  

是

  

否

  

N/A  

否

  

访客配置

  

否

  

否

  

否

  

否

  

网络身份验证

在从监控模式透明地转至低影响模式时，

Web 身份验证配置是关键的一步。到目前为止，授权策略中的默认

规则（“终极规则”）设置为

 PermitAccess，这意味着，如果设备不符合前面提到的任何更具体的条件，我们

仍将允许它全面访问网络。

 

通过实施

 Web 身份验证，我们将提供一个不同的终极授权规则。如果您未通过任何一个更具体的规则获得授

权，用户

/设备会被强制指定为授权状态，流量将极度受限，且交换机/WLC 会将所有 Web 流量重定向至 Web 

身份验证限定性门户。这种重定向会为用户提供一个（类似访客和员工的）网页，以通过网络的身份验证，
并获得授权结果。

 

Web 身份验证分为两种不同的类型。一种是本地网络身份验证，对于交换机或 WLC 的网络页面和身份验证
事务都在本地进行；另一种是更高级的集中

 Web 身份验证方法，交换机或 WLC 将网络流量重定向至 ISE 上

的一个集中限定性门户，身份验证事务在

 ISE 进行而非在 WLC 本地进行。

 

 

 

 

                         

1 WLC 7.2.110.0 已通过 HREAP 增加了对 TrustSec 的支持，但其尚未针对 TrustSec 版本进行测试，因此本文未涵盖。