Сравнение версий

Старая версия 4

changes.mady.by.user Садовская Диана Нафисовна

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Садовская Диана Нафисовна

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление


Предупреждение

После регистрации точки доступа на WLC все настройки должны выполняться исключительно через контроллер. Внесение изменений напрямую через веб-интерфейс или CLI точки доступа запрещено, так как это может привести к нестабильной работе или невозможности внесения изменений в конфигурацию точки доступа через WLC.

Настройка авторизации PSK


Блок кода
languagebash
titlePSK
wlc-30(config)# wlc
wlc-30(config-wlc)# ssid-profile Test_PSK
wlc-30(config-wlc-ssid-profile)# description test_psk
wlc-30(config-wlc-ssid-profile)# ssid Test_PSK
wlc-30(config-wlc-ssid-profile)# vlan-id 115
wlc-30(config-wlc-ssid-profile)# security-mode WPA2
wlc-30(config-wlc-ssid-profile)# key-wpa ascii-text password1!
wlc-30(config-wlc-ssid-profile)# band 2g 
wlc-30(config-wlc-ssid-profile)# band 5g 
wlc-30(config-wlc-ssid-profile)# 802.11r
wlc-30(config-wlc-ssid-profile)# minimal-signal -83
wlc-30(config-wlc-ssid-profile)# roaming-signal -78
wlc-30(config-wlc-ssid-profile)# check-signal-enable
wlc-30(config-wlc-ssid-profile)# enable 
wlc-30(config-wlc-ssid-profile)# exit
wlc-30(config-wlc)# ap-location default-location 
wlc-30(config-wlc-ap-location)# ssid-profile Test_PSK 
wlc-30(config-wlc-ap-location)# exit


Блок кода
titleОписание команд
#переходим в настройки WLC
#создаём профиль для конфигурации SSID
#прописываем краткое описание профиля
#указываем название беспроводной сети
#VLAN ID – номер VLAN для передачи пользовательского трафика
#режим безопасности для подключения к беспроводной сети
#указываем пароль к сети WI-FI
#указываем хотя бы один диапазон, в котором будет работать SSID: 2.4/5 ГГц

#включаем протокол роуминга 802.11r (если это необходимо)
#При достижении минимального уровня сигнала (Minimal signal) -83, точка доступа принудительно отключит клиентское устройство.
#Параметр активирует работу roaming-signal,при достижении значения -78 ТД на запрос от клиента «Probe Request» отвечать не будет
#активируем настройки minimal и roaming signal
#активируем профиль SSID

#переходим в настройки ap-location
#добавляем созданный ssid-profile в ap-location.


Проверка


Блок кода
languagebash
wlc-30# show wlc clients 

MAC User            IP User           MAC AP              Hostname AP                      SSID              Band       RSSI      AP-Location         Username            
-----------------   ---------------   -----------------   ------------------------------   ---------------   --------   -------   -----------------   -----------------   
5e:5f:7f:21:12:9e   192.168.2.5       68:13:e2:c2:e7:d0   WEP-30L                          Test_PSK          5g         -45 -36   default-location    --            

Enterprise-авторизация


Блок кода
languagebash
titleEnterprise
wlc-30(config-wlc)# ssid-profile testEnterprise
wlc-30(config-wlc-ssid-profile)# description Enterprise
wlc-30(config-wlc-ssid-profile)# ssid TestEnterprise
wlc-30(config-wlc-ssid-profile)# vlan-id 115
wlc-30(config-wlc-ssid-profile)# security-mode WPA2_1X 
wlc-30(config-wlc-ssid-profile)# radius-profile default-radius 
wlc-30(config-wlc-ssid-profile)# band 5g 
wlc-30(config-wlc-ssid-profile)# 802.11r
wlc-30(config-wlc-ssid-profile)# minimal-signal -83
wlc-30(config-wlc-ssid-profile)# roaming-signal -78
wlc-30(config-wlc-ssid-profile)# check-signal-enable
wlc-30(config-wlc-ssid-profile)# enable 
wlc-30(config-wlc-ssid-profile)# exit 
wlc-30(config-wlc)# ap-location default-location 
wlc-30(config-wlc-ap-location)# ssid-profile testEnterprise


Блок кода
titleОписание команд
#создаём профиль для конфигурации SSID
#прописываем краткое описание профиля
#указываем название беспроводной сети
#VLAN ID – номер VLAN для передачи пользовательского трафика
#Security mode – режим безопасности доступа к беспроводной сети. Для Enterprise-авторизации выбираем режим WPA2_1X
#указываем профиль настроек RADIUS-сервера, который будет использоваться для авторизации пользователей Wi-Fi
#указываем хотя бы один диапазон, в котором будет работать SSID: 2.4/5 ГГц
#включаем протокол роуминга 802.11r (если это необходимо)
#При достижении минимального уровня сигнала (Minimal signal) -83, точка доступа принудительно отключит клиентское устройство
#Параметр активирует работу roaming-signal,при достижении значения -78 ТД на запрос от клиента «Probe Request» отвечать не будет
#активируем настройки minimal и roaming signal
#активируем профиль SSID

#переходим в настройки ap-location
#добавляем созданный ssid-profile в ap-location.

Проверка


Блок кода
languagebash
wlc-30# show wlc clients 
MAC User            IP User           MAC AP              Hostname AP                      SSID              Band       RSSI      AP-Location         Username            
-----------------   ---------------   -----------------   ------------------------------   ---------------   --------   -------   -----------------   -----------------   
1e:ea:99:b6:24:41   192.168.2.6       68:13:e2:c2:e7:d0   WEP-30L                          TestEnterprise   5g         -43 -39   default-location    name1

Портальная авторизация

Встроенного портала на аппаратном контроллере нет, поэтому рассмотрим настройку портальной авторизации через RADIUS.

Создайте белый список URL, который может содержать URL и/или регулярные выражения RegExp. Доступ к указанным адресам будет разрешён до авторизации.

Блок кода
themeEclipse
titleWhite list
wlc(config)# object-group url white_url							#создаём object-group по url
wlc(config-object-group-url)# url eltex-co.ru					#указываем url страницы, который будет разрешён
wlc(config-object-group-url)# regexp '(.+\.)eltex-co\.com'		#указываем regexp
wlc(config-object-group-url)# exit

Создайте белый список IP-адресов, доступ к которым будет разрешён до авторизации. В белый список можно добавлять адреса подсетей, которые нужны для авторизации.

Блок кода
titleWhite list IP
wlc(config)# object-group network white_ip						#создаём object-group по url
wlc(config-object-group-network)# ip prefix 192.168.0.0/24		#указываем пул разрешённых IP
wlc(config-object-group-network)# exit

Создайте portal-profile, где будут указаны все необходимы параметры для перенаправления клиента на внешний портал.

Блок кода
titlePortal-profile
wlc(config-wlc)# portal-profile portal-pr							#создаём профиль портала
wlc(config-wlc-portal-profile)# redirect-url https://eltex-co.ru	#указываем адрес, на который будет перенаправляться подключающийся клиент
wlc(config-wlc-portal-profile)# age-timeout 10						#временной интервал, в течение которого точка доступа "помнит" клиента и не проводит MAB-авторизацию. Время в секундах
wlc(config-wlc-portal-profile)# verification-mode external-portal	#указываем режим работы портала. external-portal - внешний портал
wlc(config-wlc-portal-profile)# white-list domain white_url			#указываем созданные ранее белые списки URL, IP-адресов
wlc(config-wlc-portal-profile)# white-list address white_ip			
wlc(config-wlc-portal-profile)# exit

Создайте radius-profile.

Блок кода
titleRADIUS-profile
wlc(config)# wlc	
wlc(config-wlc)# radius-profile portal_radius											#создаём radius-profile
wlc(config-wlc-radius-profile)#auth-address 192.168.4.5									#указываем ip address RADIUS-сервера, который будет указываться для аутентификации пользователей
wlc(config-wlc-radius-profile)#auth-password ascii-text encrypted 92BB3C7EB50C5AFE80    #устанавливаем пароль для связи с Radius-сервером. Можно (но не рекомендуется) указать в незашифрованном виде
wlc(config-wlc-radius-profile)#auth-acct-id-send                                        #включаем отправку идентификатора аутентификации и учета на RADIUS-сервер (это позволит ему различать сессии и правильно отследить их активность)
wlc(config-wlc-radius-profile)#acct-enable												#включаем аккаунтинг пользователей
wlc(config-wlc-radius-profile)#acct-address 192.168.4.5									#указываем ip address RADIUS-сервера для ведения аккаунтинга
wlc(config-wlc-radius-profile)#acct-password ascii-text encrypted 92BB3C7EB50C5AFE80	#устанавливаем пароль для RADIUS-сервера для ведения аккаунтинга
wlc(config-wlc-radius-profile)#acct-periodic											#активируем периодическую отправку информации о сессиях подключенных клиентов
wlc(config-wlc-radius-profile)#acct-interval 300										#указываем интервал отправки информации
wlc(config-wlc-radius-profile)# exit

Создайте ssid-profile.

Блок кода
titleSSID-profile.
wlc(config)#wlc
wlc(config-wlc)#ssid-profile portal_test                                #создаём профиль для конфигурации SSID
wlc(config-wlc-ssid-profile)#ssid portal_test							#указываем название SSID
wlc(config-wlc-ssid-profile)#radius-profile portal_radius				#указываем профиль RADIUS-сервера, указанный выше. Он будет использоваться для авторизации пользователей Wi-Fi
wlc(config-wlc-ssid-profile)#portal-enable								#включаем Captive Portal 
wlc(config-wlc-ssid-profile)#portal-profile portal-pr					#указываем настроенный ранее portal-profile
wlc(config-wlc-ssid-profile)#vlan-id 115								#VLAN ID – номер VLAN для передачи пользовательского трафика  
wlc(config-wlc-ssid-profile)#band 5g									#указываем хотя бы один диапазон, в котором будет работать SSID: 2.4/5 ГГц
wlc(config-wlc-ssid-profile)#enable										#активируем профиль SSID
wlc(config-wlc-ssid-profile)# exit

Добавьте ssid-profile в ap-location.

Локация — группа точек доступа, предназначенная для предоставления сервиса внутри топографического и/или логического сегмента сети, которые, в общем случае, будут конфигурироваться по одним и тем же правилам (профилям). Локация для точки (ap-location) определяется при подключении точки к контроллеру в зависимости от адресного пространства.

Блок кода
titleAP-location
wlc(config)#wlc															
wlc(config-wlc)# ap-location default-location							#переходим в настройки локации
wlc(config-wlc-ap-location)#ssid-profile portal_test					#указываем, что SSID в профиле  portal_test относятся к данной локации
wlc-30(config-wlc-ap-location)# mode tunnel 							#указывается в случае, если требуется туннелирование трафика 
wlc(config-wlc-ap-location)# end


Если есть необходимость с части SSID трафик выпускать локально, то в настройках SSID-profile необходимо указать режим: 

local-switching → wlc(config-wlc-ssid-profile)# local-switching

В этом случае весь трафик локации туннелируется, за исключением SSID c указанным режимом.


Информация

В приведенном выше примере показана часть настройки ap-location. Более подробно процесс создания и настройки локации описан в руководстве WLC.


Предупреждение

Все внесённые изменения в конфигурации необходимо записать в постоянную память устройства. 

wlc-30# commit

Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds. #изменения сохранены и запущен таймер

wlc-30# confirm 

Configuration has been confirmed. Commit timer canceled. #изменения подтверждены и применены