二、 满足需求的拓扑架构图 2
三、 实验设备 2
四、 实施步骤: 2
1, 无线控制器初始化: 2
(1) 无线控制器启动过程 2
(2) 无线控制器初始化配置 5
2, 3com 交换机的配置 7
(1) 创建VLAN 7
(2) 添加VLan 地址 7
(3) 添加vlan 端口 7
(4) 与控制器相连端口配置 8
3, AD, DHCP,IAS的安装 8
(1) AD的安装 8
(2) DHCP,IAS的安装 18
4, DHCP的配置 19
(1) 创建作用域 19
(2) Option 43 选项配置(很重要) 25
5, 无线控制器web管理 31
6, IAS的配置 39
7, WLC的web认证和AD radius 整合 52
8, 测试无线网络 56
一、功能需求:
1,提供多个SSID,并分为多个不同部门,包括OA-SSID,FAB-SSID,GUEST-SSID.
2,将无线网络和AD 做整合,实现调用AD用户名和密码访问网络。
二、满足需求的拓扑架构图
三、实验设备
1,CISCO WireLess Controller (WLC) 4402-12 一台
2,Cisco LightWeight Wireless AP 1100 2颗
3,3COM 5500G 交换机一台
4,Windows server 2003 一台
四、实施步骤:
1,无线控制器初始化:
(1)无线控制器启动过程
FLASH:
Flash Bank 0: portsize = 2, size = 8 MB in 142 Sectors
8 MB
L2 cache enabled: 256KB
Card Id: 1540
Card Revision Id: 1
Card CPU Id: 1287
Number of MAC Addresses: 32
Number of Slots Supported: 4
Serial Number: FOC1217F06J
Unknown command Id: 0xa5
Unknown command Id: 0xa4
Unknown command Id: 0xa3
Manufacturers ID: 304
Board Maintenance Level: 00
Number of supported APs: 12
In: serial
Out: serial
Err: serial
.o88b. d888888b .d8888. .o88b. .d88b.
d8P Y8 `88' 88' YP d8P Y8 .8P Y8.
8P 88 `8bo. 8P 88 88
8b 88 `Y8b. 8b 88 88
Y8b d8 .88. db 8D Y8b d8 `8b d8'
`Y88P' Y888888P `8888Y' `Y88P' `Y88P'
Model AIR-WLC4402-12-K9 S/N: FOC1217F06J
Net:
PHY DEVICE : Found Intel LXT971A PHY at 0x01
FEC ETHERNET
IDE: Bus 0: OK
Device 0: Model: STI Flash 8.0.0 Firm: 01/17/07 Ser#: STI1M96307347152503
Type: Removable Hard Disk
Capacity: 245.0 MB = 0.2 GB (501760 x 512)
Device 1: not available
Booting Primary Image...
Press Detecting Hardware . . . XML config selected Cisco is a trademark of Cisco Systems, Inc. Software Copyright Cisco Systems, Inc. All rights reserved. Cisco AireOS Version 5.1.151.0 Initializing OS Services: ok Initializing Serial Services: ok Initializing Internal Interfaces: ok Initializing Network Services: ok Starting ARP Services: ok Starting Trap Manager: ok Starting Network Interface Management Services: ok Starting System Services: ok Starting FIPS Features: Not enabled Starting Fast Path Hardware Acceleration: ok Starting Switching Services: ok Starting QoS Services: ok Starting Policy Manager: ok Starting Data Transport Link Layer: ok Starting Access Control List Services: ok Starting System Interfaces: ok Starting Client Troubleshooting Service: ok Starting Management Frame Protection: ok Starting LWAPP: ok Starting Certificate Database: ok Starting VPN Services: ok Starting Security Services: ok Starting Policy Manager: ok Starting Authentication Engine: ok Starting Mobility Management: ok Starting LOCP: ok Starting Virtual AP Services: ok Starting AireWave Director: ok Starting Network Time Services: ok Starting Cisco Discovery Protocol: ok Starting Broadcast Services: ok Starting Logging Services: ok Starting DHCP Server: ok Starting IDS Signature Manager: ok Starting RFID Tag Tracking: ok Starting Power Supply and Fan Status Monitoring Service: ok Starting Mesh Services: ok Starting TSM: ok Starting CIDS Services: ok Starting Ethernet-over-IP: ok Starting HREAP Group Features: ok Starting FMC HS: ok Starting Management Services: Web Server: ok CLI: ok Secure Web: Web Authentication Certificate not found (error). If you cannot access management interface via HTTPS please reconfigure Virtual Interface. (Cisco Controller) Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backup Would you like to terminate autoinstall? [yes]: (2)无线控制器初始化配置 Would you like to terminate autoinstall? [yes]: no Enter Administrative User Name (24 characters max): admin Enter Administrative Password (24 characters max): ***** Re-enter Administrative Password : ***** /*输入管理员名和密码,配置完后可以web管理*/ Service Interface IP Address Configuration [none][DHCP]: none Service Interface IP Address: 10.10.10.10 Service Interface Netmask: 255.255.255.0 /*配置service 端口的ip地址,此端口在控制器的前面板上,提供带外管理*/ Enable Link Aggregation (LAG) [yes][NO]: no /*禁用link Aggregation功能*/ Management Interface IP Address: 192.168.10.1 Management Interface Netmask: 255.255.255.0 Management Interface Default Router: 192.168.10.254 /*配置management interface ip 地址,建议和DHCP server 在同一段*/ Management Interface VLAN Identifier (0 = untagged): /*直接回车*/ Management Interface Port Num [1 to 2]: 1 /*控制器前面板上对应端口号*/ Management Interface DHCP Server IP Address: 192.168.10.100 AP Manager Interface IP Address: 192.168.10.253 /*AP manager interface ip 是和AP通讯接口 ip 地址*/ AP-Manager is on Management subnet, using same values AP Manager Interface DHCP Server (192.168.10.100): /*直接回车*/ Virtual Gateway IP Address: 1.1.1.1 /*virtual IP ,随便配 ,控制器内部地址*/ Mobility/RF Group Name: cisco Enable Symmetric Mobility Tunneling [yes][NO]: yes Network Name (SSID): OA-SSID Allow Static IP Addresses [YES][no]: yes /*如果选择no,则拒绝无线client 段手工配置IP地址使用无线网络*/ Configure a RADIUS Server now? [YES][no]: no Warning! The default WLAN security policy requires a RADIUS server. Please see documentation for more details. Enter Country Code list (enter 'help' for a list of countries) [US]: us /*国家代码,根据产品料号选择不同代码*/ Enable 802.11b Network [YES][no]: yes Enable 802.11a Network [YES][no]: yes Enable 802.11g Network [YES][no]: yes Enable Auto-RF [YES][no]: yes Configure a NTP server now? [YES][no]: no Configure the system time now? [YES][no]: no Warning! No AP will come up unless the time is set. Please see documentation for more details. Configuration correct? If yes, system will save it and reset. [yes][NO]: yes Configuration saved! Resetting system with new configuration... 2,3com 交换机的配置 (1)创建VLAN vlan 10 # vlan 20 # vlan 30 # vlan 172 # (2)添加VLan 地址 interface Vlan-interface10 ip address 192.168.10.254 255.255.255.0 # interface Vlan-interface20 ip address 192.168.20.254 255.255.255.0 dhcp-server 1 # interface Vlan-interface30 ip address 192.168.30.254 255.255.255.0 dhcp-server 1 # interface Vlan-interface172 ip address 172.18.8.60 255.255.255.0 (3)添加vlan 端口 interface GigabitEthernet1/0/25 stp edged-port enable broadcast-suppression pps 3000 port access vlan 10 undo jumboframe enable apply qos-profile default # interface GigabitEthernet1/0/26 stp edged-port enable broadcast-suppression pps 3000 port access vlan 10 undo jumboframe enable apply qos-profile default # interface GigabitEthernet1/0/27 stp edged-port enable broadcast-suppression pps 3000 port access vlan 20 undo jumboframe enable apply qos-profile default # interface GigabitEthernet1/0/28 stp edged-port enable broadcast-suppression pps 3000 port access vlan 172 undo jumboframe enable apply qos-profile default (4)与控制器相连端口配置 interface GigabitEthernet1/0/1 stp edged-port enable port link-type trunk port trunk permit vlan all port trunk pvid vlan 10 broadcast-suppression pps 3000 undo jumboframe enable apply qos-profile default 注意:端口为trunk 口,这样,可以允许跨VLAN 部署无线网络。 port trunk pvid vlan 10 很重要,否则,无线控制器不能与交换机通讯。 3,AD, DHCP,IAS的安装 (1)AD的安装 打开控制面板,配置您的服务器向导: 选择域控制器,单击下一步: 单击下一步: 下一步: 下一步: 选择新域的域控制器,下一步: 选择在新的域林中的域,下一步: 输入AD的域名,本例以radius.com 为例: 取默认,下一步: 数据库文件夹,默认值,下一步: Syslog 文件夹,默认值,下一步: DNS 检测,选择安装并配置DNS 服务器,下一步: 根据需求选择选项,下一步: 注销域的密码,可以不设,下一步: 确认以前配置是否需要更改,下一步: 安装进行中,等待…… 安装完毕,点击完成。 立即重新启动计算机。 重启完毕,检查DNS树状目录,说明AD安装成功。 (2)DHCP,IAS的安装 控制面板,添加或删除程序,添加删除widows组件,网络服务,勾选DHCP,和internet 验证服务选项: 安装完毕,点击完成。 4,DHCP的配置 (1)创建作用域 打开DHCP管理器,新建作用域: 新建作用域名称和描述,vlan10 要排除的ip地址,下一步: 输入租约期限,默认值,下一步: 选择稍后配置这些选项,下一步: 点击完成,同样步骤,可以创建fab vlan 和guest vlan 的作用域: 创建10段,20 段,30 段地址,完成后,如图所示: 在AD 中授权该DHCP server : 激活刚才所创建的作用域,使之能够提供dhcp 服务: 为20段作用域添加作用域003 路由器选项: 添加作用域的DNS 选项: (2)Option 43 选项配置(很重要) 打开DHCP管理器,选择定义供应商类别: 新建类别: 输入名称,在ASCII中输入“Cisco AP c1100”(一定不能输错),此值需参照cisco 官网对应表填写: 创建好vender class 如下: 点击设置预定义选项: 选择刚才定义的厂商类别,cisco wireless AP 1100 : 点击添加,则会弹出选项类别窗口: 如下填写内容,代码 241 参照cisco 官网提供资料,点击确定: 在IP 地址数组编辑器里添加WLC 的IP 地址,192.168.10.1,点确定: 点击确定: 5,无线控制器web管理 https://192.168.10.1 登录无线控制器,输入CLI下配置的管理帐号和密码: 进入WLC的主页面: 进入Wlan菜单,可以看到我们在CLI下建的OA-SSID: 进入CONTROLLER-> interfaces 下, 准备创建FAB interface 和 GUEST interface , 点击new: 创建FAB-interface ,并和交换机的Vlan Id 20 相关联,点击apply。交换机的相关配置见交换机配置部分。 一些需要手工配置的信息(part 1): 一些需要手工配置的信息(part 2),完成后点击apply 按钮。 同样步骤,可以创建guest-interface ,创建好接口后的interface 界面图如下: 创建接口后,下一步创建WLan ,并和接口做关联。进入Wlan 菜单,点击new 按钮: 创建FAB-SSID,并将SSID设置为FAB-SSID,完成后点击apply: 在general 菜单下,将fab-interface 与FAB-SSID 想关联,同时启用该网络: 在security -> layer2 菜单下的layer2 security 选项中选择none ,创建完成后点击apply: 同样的方法,创建GUEST-SSID,并将guest-interface 与之相关联: 创建完成后的WLAN 如图所示: 此时,接入ap至3com 交换机 ,ap完成自身正常初始化,便成功注册到WLC中,在WLC的WIRELESS菜单下可以发现注册上去的AP(DHCP的配置见DHCP配置部分): 6,IAS的配置 目标:在AD上分oa,fab,guest 3个组,使之与oa-ssid,fab-ssid,guest-ssid对应,使之不能互相访问 。 在AD中注册IAS服务器 提示注册对话框,点击确定: 点击确定: 在IAS的radius 客户端中添加WLC 的ip地址: 客户端供应商选择RADIUS Standand ,并添加pre KEY ,要和WLC里的pre KEY 一致。 添加完毕后,会如图所示: 添加远程访问策略,点击新建远程访问策略: 命名访问策略名,选择自定义策略,并新建oa 用户访问策略,定义为oa-wireless-policy 选择windows group : 选择AD上的oa-group: 添加完毕后会如图所示,点击下一步,继续: 选择授予远程访问权限,下一步: 暂不编辑配置文件,点击下一步: 创建好oa策略如图所示: 右键点击刚才创建的oa-wireless-policy , 属性: 点击编辑: 拨入菜单: Ip菜单: 多重链接菜单: 身份验证菜单: 加密菜单: 高级菜单,修改service-type为login: 添加vender-specific,输入供应商代码:14179(cisco指定的),选择符合,我们根据SSID来分用户组,供应商指派属性号值:1 ,(如果根据其他策略来分组,此值会是其它值)属性格式选择十进制,属性值输入:1。(根据WLAN ID 值输入),然后点击确定。 添加完成后会如图所示,点击确定: 会提示帮助信息,点击否: 编辑FAB的policy ,由于fab对应的ssid 的WLAN ID 是2 ,所以,属性值里填2 。 同样,编辑guest-wireless-policy,由于guest 对应的SSID 的WLAN ID 号为3 ,所以,该属性值设为3. 7,WLC的web认证和AD radius 整合 进入控制器,在security菜单的radius 下,new 一个aaa server ,点击new : 输入aaa server 的IP地址,由于我们是用AD为radius server ,所以,此地址为AD 的地址 ,并输入share key ,和AD 中添加radius 的key 一致 。然后点击apply 。 创建完aaa server 后如图所示: 在WLANS 菜单下的layer3 层, 选择web policy ,点击apply 。 在aaa servers 菜单下的下拉菜单下选择刚才创建的aaa server,然后点击apply 。 系统会提示此操作会中断当前用户,点击确定。 我们在oa-ssid 的security policies 则会看到认证方式为web-auth 。 8,测试无线网络 查看无线网络:下载本文
