Cisco Cisco Identity Services Engine 1.2 产品宣传页

第

4 页

安全访问操作指南

在本设计中，当终端与已启用

FlexConnect 的 WLAN 相关联时，该终端将通过从 LAP 到控制器的 CAPWAP 隧

道进行身份验证，但是，在完成身份验证后，流量交换将从

LAP 到本地 LAN 以本地方式实现，而不是通过中

央无线控制器进行。本设计配置有两个

WLAN：一个是带有 MAC 过滤功能的开放式 SSID WLAN，另一个是

已启用

WPA2/802.1X 的 WLAN。与 example_open SSID 关联的终端将切换到在 FlexConnect AP 上本地定义的

VLAN 40，而与 example_secure SSID 关联的终端则将切换到 VLAN 30。与 example_open SSID 关联的终端将依
据

WLC 上定义的 FlexConnect ACL（发布在 FlexConnect AP 上）限制为只能访问互联网。此 ACL 在授权期间

将使用

Airespace RADIUS 属性从 ISE 应用于会话。

虽然

FlexConnect 模式支持诸如本地身份验证等其他配置，但在 ISE 集成过程中不会讨论这些选项。此外，尽

管本文档涉及

ISE 与 FlexConnect 模式进行集成的必要配置，但有一些其他配置（包括分析和详细的访客访问）

未涵盖在本文档中。有关这些配置的详细信息，请参阅相应的操作指南。

使用的组件

•

Cisco ISE 1.2.0.899

•

Cisco 2504 CUWN AireOS 7.5.102.0

•

（以下传统和网状

AP 型号不支持使用 RADIUS 的 FlexConnect ACL：1130、1240、1520 和 1550。

有关

FlexConnect 模式和 AAA 覆盖功能的详细信息，请参阅 WLC 指南：

http://www.cisco.com/en/US/docs/wireless/controller/7.5/config_guide/b_cg75_chapter_010001010.html）

•

作为

AD/DNS/DHCP 服务器的 MS Windows 2008 Server

注：仅支持将此处描述的通过

ACL 进行授权的 FlexConnect 与运行 AireOS 7.5.102.0 和更高版本的 WLC 配合用

于受支持的

AP 型号。对于其他版本的 WLC 和 AP，可以在 FlexConnect 组级别上改用静态 VLAN 分配来控制

流量。有关使用

FlexConnect VLAN 分配的说明，请参阅以下 URL 中提供的 BYOD 2.5 CVD：

http://www.cisco.com/en/US/docs/solutions/Enterprise/Borderless_Networks/Unified_Access/BYOD_Wireless.html

交换机配置

由于此设计要求为不同的

WLAN 映射本地 VLAN，因此需要将连接到 LAP 的接口配置为中继端口。

Remote-Switch(config)#interface

GigabitEthernet x/y/z

Remote-Switch(config-if)#description AP

Remote-Switch(config-if)#switchport mode trunk

Remote-Switch(config-if)#switchport trunk native vlan 80

Remote-Switch(config-if)#no shut

连接到

WLC 的接口可以是中继接口，也可以是接入接口。如果要将 WLC 用于像本地模式下部署的 AP 那样集

中交换用户流量，则需要中继。由于本文档重点针对

flex-connect 模式 AP，因此接口将配置为接入端口。

DC-Switch(config)#interface

GigabitEthernet x/y/z

DC-Switch(config-if)#description WLC

DC-Switch(config-if)#switchport mode access

DC-Switch(config-if)#switchport access vlan 202

DC-Switch(config-if)#no shut