Cisco Cisco Identity Services Engine 1.0.4 产品宣传页
© 2015 思科系统公司
第
4 页
安全访问操作指南
在本设计中,当终端与已启用
FlexConnect 的 WLAN 相关联时,该终端将通过从 LAP 到控制器的 CAPWAP 隧
道进行身份验证,但是,在完成身份验证后,流量交换将从
LAP 到本地 LAN 以本地方式实现,而不是通过中
央无线控制器进行。本设计配置有两个
WLAN:一个是带有 MAC 过滤功能的开放式 SSID WLAN,另一个是
已启用
WPA2/802.1X 的 WLAN。与 example_open SSID 关联的终端将切换到在 FlexConnect AP 上本地定义的
VLAN 40,而与 example_secure SSID 关联的终端则将切换到 VLAN 30。与 example_open SSID 关联的终端将依
据
据
WLC 上定义的 FlexConnect ACL(发布在 FlexConnect AP 上)限制为只能访问互联网。此 ACL 在授权期间
将使用
Airespace RADIUS 属性从 ISE 应用于会话。
虽然
FlexConnect 模式支持诸如本地身份验证等其他配置,但在 ISE 集成过程中不会讨论这些选项。此外,尽
管本文档涉及
ISE 与 FlexConnect 模式进行集成的必要配置,但有一些其他配置(包括分析和详细的访客访问)
未涵盖在本文档中。有关这些配置的详细信息,请参阅相应的操作指南。
使用的组件
•
Cisco ISE 1.2.0.899
•
Cisco 2504 CUWN AireOS 7.5.102.0
•
(以下传统和网状
AP 型号不支持使用 RADIUS 的 FlexConnect ACL:1130、1240、1520 和 1550。
有关
FlexConnect 模式和 AAA 覆盖功能的详细信息,请参阅 WLC 指南:
http://www.cisco.com/en/US/docs/wireless/controller/7.5/config_guide/b_cg75_chapter_010001010.html)
•
作为
AD/DNS/DHCP 服务器的 MS Windows 2008 Server
注:仅支持将此处描述的通过
ACL 进行授权的 FlexConnect 与运行 AireOS 7.5.102.0 和更高版本的 WLC 配合用
于受支持的
AP 型号。对于其他版本的 WLC 和 AP,可以在 FlexConnect 组级别上改用静态 VLAN 分配来控制
流量。有关使用
FlexConnect VLAN 分配的说明,请参阅以下 URL 中提供的 BYOD 2.5 CVD:
http://www.cisco.com/en/US/docs/solutions/Enterprise/Borderless_Networks/Unified_Access/BYOD_Wireless.html
交换机配置
由于此设计要求为不同的
WLAN 映射本地 VLAN,因此需要将连接到 LAP 的接口配置为中继端口。
Remote-Switch(config)#interface
GigabitEthernet x/y/z
Remote-Switch(config-if)#description AP
Remote-Switch(config-if)#switchport mode trunk
Remote-Switch(config-if)#switchport trunk native vlan 80
Remote-Switch(config-if)#no shut
连接到
WLC 的接口可以是中继接口,也可以是接入接口。如果要将 WLC 用于像本地模式下部署的 AP 那样集
中交换用户流量,则需要中继。由于本文档重点针对
flex-connect 模式 AP,因此接口将配置为接入端口。
DC-Switch(config)#interface
GigabitEthernet x/y/z
DC-Switch(config-if)#description WLC
DC-Switch(config-if)#switchport mode access
DC-Switch(config-if)#switchport access vlan 202
DC-Switch(config-if)#no shut