Asigurați-vă că ați îndeplinit următoarele cerințe înainte de a încerca această configurație:
Înțelegerea configurației punctului LAP și a controlorilor Cisco WLC
Cunoștințe de bază privind soluțiile de securitate Cisco Unified Security
Informațiile conținute în acest document se referă la următoarele versiuni software și hardware:
WLC Cisco 4400, care rulează versiunea software 5.2.178.0
LAP Cisco 1230AG Series
Adaptor client wireless a / b / g 802.11 cu firmware 4.4
Versiunea 4.4 a utilitarului Aironet Desktop Utility (ADU)
Informațiile prezentate în acest document au fost obținute de la dispozitive care funcționează într-un mediu de laborator special. Toate dispozitivele descrise în acest document au fost lansate cu o configurație curată (standard). În rețeaua de lucru, trebuie să studiați impactul potențial al tuturor echipelor înainte de a le utiliza.
Există două tipuri de autentificare MAC care sunt acceptate pe WLC:
Autentificare MAC utilizând serverul RADIUS
În mod implicit, baza de date locală WLC acceptă până la 512 intrări de utilizator.
Baza utilizatorilor locali este limitată la maximul înregistrărilor din 2048. Baza de date locală stochează intrările pentru următoarele elemente:
Utilizatori locali de management care includ ambasadori ai lobby-ului
Utilizatorii rețelei locale care include oaspeții
Intrările de filtre MAC
Excluderea intrărilor din listă
Utilizatorii de toate aceste tipuri împreună nu pot depăși dimensiunea bazei de date configurate.
Pentru a mări baza de date locală, utilizați această comandă din CLI:
Notă: Trebuie să configurați WLC pentru operațiunea principală și înregistra punctul de acces ușor pe controlerul Înainte de a configura autentificarea MAC. Acest document presupune că WLC este deja configurat pentru operația principală și că LAP-urile sunt înregistrate la WLC. Dacă - un nou utilizator încearcă să instaleze WLC pentru principalele operatiuni cu LAP, se referă la punctele de acces ușoare de înregistrare la controlerul LAN fără fir (WLC).
Notă: Nu există o configurație specială necesară pentru clientul wireless pentru a suporta autentificarea MAC.
Faceți clic pe WLAN în interfața grafică a controlerului pentru a crea WLAN.
Se deschide fereastra WLAN. Această fereastră conține o listă de rețele WLAN configurate pe controler.
Faceți clic pe Nou pentru a configura o nouă rețea WLAN.
În acest exemplu, o rețea WLAN se numește MAC WLAN. iar ID-ul WLAN este 1.
În fereastra WLAN> Editați, specificați setările de rețea.
În secțiunea Politică de securitate> securitate de nivel 2, bifați caseta de selectare Filtrare MAC.
Aceasta include autentificarea MAC pentru WLAN.
În conformitate cu politica comună> Nume interfață, selectați interfața cu care este mapată WLAN.
În acest exemplu, WLAN este mapat la interfața de management.
Selectați alte opțiuni care depind de cerințele de proiectare WLAN.
Consultați VLAN-ul din Exemplu de configurare a controlerului LAN fără fir pentru informații despre modul de configurare a interfețelor dinamice (VLAN) pe WLC.
Faceți clic pe Securitate din interfața grafică a controlerului, apoi faceți clic pe Filtrarea MAC din meniul din stânga.
Apare fereastra MAC Filtering.
Repetați pașii 2-4 pentru a adăuga mai mulți clienți la baza de date locală.
Urmați acești pași pentru a configura autentificarea MAC utilizând serverul RADIUS. În acest exemplu, serverul Cisco Secure ACS este folosit ca server RADIUS.
Faceți clic pe WLAN în interfața grafică a controlerului pentru a crea WLAN.
Se deschide fereastra WLAN. Această fereastră conține o listă de rețele WLAN configurate pe controler.
Faceți clic pe Nou pentru a configura o nouă rețea WLAN.
În acest exemplu, o rețea WLAN se numește WLAN ACS MAC. iar ID-ul WLAN este 2.
În fereastra WLAN> Editați, specificați setările de rețea.
În secțiunea Politică de securitate> securitate de nivel 2, bifați caseta de selectare Filtrare MAC.
Aceasta include autentificarea MAC pentru WLAN.
În conformitate cu politica comună> Nume interfață, selectați interfața cu care este mapată WLAN.
Sub serverele RADIUS, selectați serverul RADIUS care va fi utilizat pentru autentificarea MAC.
Notă: Înainte de a putea selecta serverul RADIUS de acoperire WLAN> Editare fereastra, trebuie să definiți serverul RADIUS în fereastra de securitate> Raza de Autentificare și activați serverul RADIUS.
Selectați alte opțiuni care depind de cerințele de proiectare WLAN.
Faceți clic pe Securitate> Filtrare MAC.
În fereastra Filtrare MAC, selectați tipul de server RADIUS în modul de compatibilitate RADIUS.
Acest exemplu utilizează ACS-ul Cisco.
Din meniul derulant MAC Delimiter, selectați delimitatorul MAC.
Acest exemplu folosește colonul.
Definiți WLC ca client AAA pe serverul ACS. În GUI ACS, faceți clic pe Configurare rețea.
Pentru informații despre alte servere de autentificare decât ACS, consultați documentația producătorului.
Notă: Cheia secretă partajată de pe serverul WLC și ACS trebuie să se potrivească. Când introduceți o cheie secretă partajată, trebuie să luați în considerare acest caz.
Din meniul ACS principal, faceți clic pe Setare utilizator.
Faceți clic pe butonul Trimitere.
Repetați pașii 2-5 pentru a adăuga mai mulți utilizatori la baza de date ACS.
Acest document a discutat anterior cum se utilizează GUI GUI pentru a configura filtrele MAC. De asemenea, puteți utiliza CLI pentru a configura filtrele MAC pe WLC. Puteți utiliza aceste comenzi pentru a configura filtrul MAC pe WLC:
comandă config macfilter adăugați:
Comanda de adăugare a comenzii macfilter config vă permite să adăugați macfilter, o interfață, o descriere etc.
Utilizați comanda config macfilter add pentru a crea o intrare filtru MAC pe controlerul WLAN de la Cisco. Utilizați această comandă pentru a adăuga clientul local la rețeaua LAN wireless de pe controlerul WLAN Cisco. Acest filtru ocolește procesul de autentificare RADIUS.
config macfilter ip-address comanda
Aveți posibilitatea să configurați un timeout pentru clienții cu handicap. Clienții care nu reușesc să se autentifice de trei ori în timpul încercărilor de contact sunt deconectați automat de la alte tentative de asociere. După expirarea perioadei de așteptare, clientului i se permite să repete autentificarea până când se leagă sau refuză autentificarea și este din nou exclusă.
Tastați comanda config wlan exclusionlist wlan_id timeout pentru a seta timpul de expirare pentru clienții cu handicap. Valoarea timeout poate fi de la 1 la 65535 secunde sau puteți introduce 0 pentru a deconecta permanent clientul.
Utilizați aceste comenzi pentru a verifica dacă filtrul MAC este configurat corect:
Afișați rezumatul macrofilterului - Afișează un rezumat al tuturor intrărilor de filtre MAC.
Iată un exemplu al comenzii sumare a macrofilterului de afișare.
Iată un exemplu de comandă a detaliilor Macfilter:
Puteți utiliza aceste comenzi pentru a depana problemele de configurare:
debug aaa all enable - Oferă depanarea tuturor mesajelor AAA.
Iată un exemplu de comandă de depanare aaa all enable:
Modalitățile de rezolvare a problemei sunt următoarele:
Coborâți la ACS 4.0.
Imposibil de adăugat un filtru MAC utilizând graficul WLC
Acest lucru se poate întâmpla din cauza ID-ului de eroare Cisco CSCsj98722 (numai clienți înregistrați). Problema a fost rezolvată în versiunea 4.2 a codului. Dacă lucrați la versiuni mai devreme de 4.2, puteți să actualizați firmware-ul la 4.2 sau să utilizați aceste două soluții pentru această problemă.
Utilizați CLI pentru a configura filtrul MAC cu această comandă:
Client liniștit, care nu este plasat în starea finalizată
Trimiteți-le prietenilor: