Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводного доступа и web-аутентификации.

Беспроводные контроллеры
нового поколения (NGWC) –
настройка беспроводного
доступа и web-
аутентификации.
Irina Ilyina-Sidorova
CSE, Cisco TAC Brussels
July, 2014

2© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Support Community – Expert Series Webcast
Сегодня на семинаре Эксперт Cisco TAC Ирина Ильина-
Сидорова рассмотрит базовые настройки для организации
беспроводного доступ на контроллерах нового поколения
(3850, 5760, и пр.)
Ирина Ильина-Сидорова
Инженер центра
технической поддержки
Cisco TAC в Брюсселе

Технические Эксперты
Тема: Беспроводные контроллеры нового поколения
(NGWC) – настройка беспроводного доступа и web-
аутентификации
Дата проведения вебинара: 8 июля 2014 года
Роман Манчур
Инженер центра
технической поддержки
Cisco TAC в Брюселле

Спасибо, что посетили наш вебинар сегодня
Сегодняшняя презентация включает опросы аудитории
Пожалуйста, участвуйте!

Спасибо, что присоединились к нам сегодня
Скачать презентацию Вы можете по ссылке:
https://supportforums.cisco.com/ru/document/122507
06

Присылайте Ваши вопросы!
Используйте панель Q&A, чтобы задать вопрос.
Наши эксперты ответят на них.

Вопрос №1
Применяете ли вы сейчас устройства NGWC?
a) Нет, не используем это оборудование в принципе
b) Планируем использовать, но пока не применяем
c) Используем исключительно как коммутатор
d) Уже используем или ближайшее время планируется
внедрение беспроводной функциональности

Cisco Support Community – Expert
Series Webcast
Ирина Ильина-Сидорова
Инженер центра технической поддержки Cisco TAC в Брюсселе
Июль, 2014
Беспроводные контроллеры нового
поколения (NGWC) – настройка
беспроводного доступа и web-
аутентификации.

 Что такое NGWC
 Базовая настройка беспроводного доступа
 Web-аутентификация
 Локальная
 Локальная с использованием внешнего RADIUS
 Локальная с использованием AD/LDAP
 Централизованная – RADIUS (Cisco ISE)
Содержание

 Next Generation Wiring Closet
 Next Generation Wireless Controller
 Гибрид беспроводного контроллера и проводного коммутатора
 5760, 3850, 3650
 IOS-XE
 Последние версии 3.3.0 и 3.6.0
 Лицензирование подключений – right-to-use (RTU) license
 Мобильные группы
 HA (резервирование)
Что такое NGWC

 Mobility
 Layer 2 и 3 VLAN
 DHCP
 Подсоединение AP
 WLAN
 Security
Базовая настройка NGWC

 Непосредственно к портам NGWC (для 3850)
 access port, не trunk port c native VLAN (VLAN=wireless mgmt VLAN)
 Страна (country code) должна совпадать
 PoE – лучше настроить в явном виде
 Активация лицензии:
license right-to-use activate apcount <count> slot <#> acceptEULA
 Проверка подсоединения точек доступа:
show ap summary
 Не поддерживаются модели 1130, 1240, 1250
 Локальный режим работы точек доступа
 Как обычно, важно точное время
Подключение точек доступа

 Management interface VLAN (управляющий интерфейс контроллера)
 IP этого VLAN’а служит для терминации CAPWAP-туннелей от точек
доступа
 На канале upstream необходимо разрешить в trunk’е:
 Управляющий VLAN
 Клиентский VLAN
 Для DHCP добавляем:
 ip dhcp relay information trusted
 ip dhcp snooping trust
 MA (мобильный агент) использует лицензии, активированные на MC
(мобильном контроллере)
 Точка доступа не может присоединиться к мобильному агенту,
который не имеет связи с мобильным контроллером
 Беспроводные службы на 3850 требуют ipservices или ipbase license
Базовая настройка

 По умолчанию:
 WPA 2 AES 802.1x
 Client exclusion 60
 Session timeout 1800
Настройка WLAN
Пример: Test-PSK WLAN,
VLAN21, используем WPA 1 TKIP

Новая концепция мобильных групп
 Новые термины:
 Мобильный агент (MA)
 Мобильный контроллер (MC)
 Мобильный оракул (MO)
С их помощью мы создаём:
 Peer Groups
 Sub-Domains
 Mobility Groups
 Mobility Domains
Организация Mobility
UDP Port 16666 – Трафик управления
UDP Port 16667 – Клиентский трафик
упакован в CAPWAP
UDP Port 16668 – для связи с MO

Новые термины: PoP и PoA
 Point of Presense - это anchor WLC
 Point of Attachment – это foreign WLC
 Поскольку лицензии применяются на MC, мобильные группы лучше
конфигурировать до начала развёртывания беспроводной сети
 Просмотр имеющейся конфигурации:
 Show run | in wireless
 Show wireless mobility summary
 Настройка на мобильном контроллере:
 wireless management interface vlan 100
 Wireless mobility controller
 Wireless mobility controller peer-group ИМЯ_ГРУППЫ
 Wireless mobility controller peer-group ИМЯ_ГРУППЫ member ip
MGMT_IP_АГЕНТА
 Настройка на мобильном агенте:
 wireless mobility controller ip 192.168.100.16
Mobility - продолжение

 Настройка мобильных групп проводится на MC:
 Создаем группу:
Wireless mobilty group name <name>
 Определяем её членов:
Wireless mobility group member ip <mgmt ip> group <group name>
 Для траблшутинга:
Сбои в Data and Control path
 Debug mobility keep-alive
Сбои в роуминге
 Debug mobility handoff
Фильтрация по конкретному контроллеру
 Debug mobility peer=ip w.x.y.z
Mobility - окончание

Вопрос №2
Какая веб-аутентификация наиболее
востребована в вашей компании?
a) Локальная аутентификация
b) Централизованная с использованием Cisco ISE
c) Централизованная с использованием AD/LDAP/RADIUS
d) Функциональность не востребована

В случае локальной базы
данных пользователей
C использованием
графического интерфейса
 Конфигурируем Global
Parameter Map (определяем
virtual ip address)
 Configuration > Security > Web
Auth > Webauth Parameter Map
Локальная аутентификация (LWA)

Вначале необходимо настроить виртуальный IP адрес
Локальная аутентификация (LWA) - 2

Вводим виртуальный IP

Затем создаём новый parameter-map с типом webauth

Создаём лист методов аутентификации и авторизации

Для авторизации создаем список типа «network» с типом группы «local»

Ещё один лист понадобится для использования локальных
пользователей для аутентификации:

Результат конфигурирования:

Теперь необходимо создать локальных пользователей

 Создаём WLAN
 Задаем интерфейс, активируем WLAN
 Отключаем Layer 2 Security
 Включаем Web Policy в Security-> Layer 3 и указываем web-auth
profile, webauth parameter map

Пример успешно аутентифицированного пользователя:

 Вот те же настройки, выполняемые через командную строку:
AAA part
 aaa authentication login local_webauth local
# authentication method list called ‘local_webauth’ set to group type ‘local’
 aaa authorization network local_webauth local
# authorization method list called ‘local_webauth’ set to group type ‘local’
 aaa authorization credential-download default local
# authorization method list for use of local credentials
Guest Users (local net users)
 user-name USER_WEBAUTH
 creation-time 1368715259
 privilege 15
 password 0 PASSWORD
 type network-user description DESCRIPTION guest-user lifetime year 0 month 0
day 6 hour 23 minute 54 second 4
Локальная аутентификация (LWA) – CLI – 1

Parameter-Map
 parameter-map type webauth global
 virtual-ip ipv4 172.16.16.16
# global parameter map is used to define the virtual ip address
 parameter-map type webauth PARAMETER_MAP
 type webauth
 banner
 # named parameter map (ex: vit_web) with type webauth
 WLAN config
 wlan WEBAUTH_WLAN 7 WEBAUTH_WLAN
 client vlan WEBAUTH
 no security wpa
 no security wpa akm dot1x
 no security wpa wpa2
 no security wpa wpa2 ciphers aes
 security web-auth # set the SSID to security ‘web-auth’
 security web-auth authentication-list local_webauth # call the method list
 security web-auth parameter-map PARAMETER_MAP # call the parameter map
 session-timeout 1800
Локальная аутентификация (LWA) – CLI – 2

Локальная аутентификация с использованием RADIUS
Единственное отличие заключается в использовании списка методов
аутентификации/авторизации, содержащего внешний RADIUS-сервер.
То есть необходимо создать новые authentication и authorization method list и
указать RADIUS server group

 AAA part
 aaa authentication login webauth_radius group ISE_Group
 aaa authorization network webauth_radius group ISE_Group
 aaa group server radius ISE_Group
 server name ISE
 radius server ISE
 address ipv4 192.168.154.119 auth-port 1812 acct-port 1813
 key ww-wireless
 Parameter-Map
 parameter-map type webauth global
 virtual-ip ipv4 172.16.16.16
 parameter-map type webauth PARAMETER_MAP
 type webauth
 banner
Локальная аутентификация с использованием RADIUS -
CLI

 WLAN config
 wlan WEBAUTH 7 WEBAUTH
 client vlan CLIENT_VLAN
 no security wpa
 no security wpa akm dot1x
 no security wpa wpa2
 no security wpa wpa2 ciphers aes
 security web-auth
 security web-auth authentication-list webauth_radius
 security web-auth parameter-map vit_web
 session-timeout 1800
Локальная аутентификация с использованием RADIUS –
CLI - 2

В этом примере мы используем DC как LDAP сервер
Локальная аутентификация с использованием AD/LDAP
Далее создаём
группу и список
методов
аутентификации,
аналогично
примеру с RADIUS

 WebAuth Parameter map настраивает идентично примеру с RADIUS
 В свойствах WLAN выбираем новый профиль и метод
аутентификации
- 2

ldap server myldap
ipv4 X.X.X.X
bind authenticate root-dn
CN=HOSTNAME,OU=Subunit,OU=Unit,DC=xx,DC=yyy,DC=zzz
password hello123
base-dn OU=Unit,DC=xx,DC=yyy,DC=zzz
search-filter user-object-type person
aaa group server ldap myldap
server myldap
aaa authentication login MyLDAPAuthentication group myldap
parameter-map type webauth global
virtual-ip ipv4 3.3.3.3
banner text ^C TEST ^C
- CLI

parameter-map type webauth test_web
type webauth
banner text ^C Banner ^C
wlan CCPSecuredAccess 7 CCPSecuredAccess
client vlan VLAN0906
no security wpa
no security wpa akm dot1x
no security wpa wpa2
no security wpa wpa2 ciphers aes
security dot1x authentication-list MyLDAPAuthentication
security web-auth
security web-auth authentication-list MyLDAPAuthentication
security web-auth parameter-map test_web
– CLI – 2

 Также, как и раньше, конфигурируем Global Parameter Map (и
определяем virtual ip address)
Configuration > Security > Web Auth > Webauth Parameter Map
 Добавляем ISE в качестве Radius-сервера и создаём RADIUS server group
 Список методов аутентификации будет иметь тип dot1x
 Список методов авторизации будет иметь тип network
Аутентификация с использованием RADIUS

 Adding RADIUS server
• Define RADIUS server(s)
• Create RADIUS group(s)
• Create Method list to call under the SSID
Аутентификация с использованием RADIUS-1

 Создаём список методов аутентификации

 Создаём список методов авторизации
 Основная идея в том, чтобы в случае Wireless MAB, процесс
авторизации обращался к ISE для авторизации неизвестных MAC-
адресов

 В Security>Layer-2 указываем mac-filter
 В Security->Layer-3 указываем список методов аутентификации
 В Advanced включаем AAA Override и NAC state

 radius-server attribute 31 send nas-port-detail mac-only
# Send Client MACs
 radius-server attribute 6 on-for-login-auth
# send service type
 radius-server vsa send accounting
 radius-server vsa send authentication
# Exchange VSA info
 aaa server radius dynamic-author
# Allow CoA from RADIUS
 client 192.168.154.119 server-key ww-wireless
 auth-type any
Аутентификация с использованием RADIUS – CLI

URL Redirect ACL which is sent from ISE
Extended IP access list ACL-REDIRECT
deny udp any eq bootps any
deny udp any any eq bootpc
deny udp any eq bootpc any
# above 3 rules block DHCP
deny udp any any eq domain
deny tcp any any eq domain
# block DNS
deny ip any host 192.168.154.119 # block access to ISE server
deny ip any host 192.168.150.25 # block access to DHCP/DNS servers
permit tcp any any eq www # permit www and/or 443
Аутентификация с использованием RADIUS – CLI – 2

AAA configuration
aaa authorization network cwa_macfilter group ISE_Group
# Authorization Method list for mac filtering which points to ISE for Wireless
MAB
aaa authentication login viten_cwa group ISE_Group
# Authentication method list which calls the RADIUS server group
radius server ISE
address ipv4 192.168.154.119 auth-port 1812 acct-port 1813
key ww-wireless
# Define RADIUS server
aaa group server radius ISE_Group
server name ISE
# Define RADIUS server group

WLAN configuration
wlan Central_Webauth 7 viten_cwa
aaa-override # enable AAA override
client vlan Viten
mac-filtering cwa_macfilter # mac filter list pointing to radius server group
nac # enable radius nac
no security wpa
no security wpa akm dot1x
no security wpa wpa2
no security wpa wpa2 ciphers aes
security dot1x authentication-list viten_cwa # authentication method list
session-timeout 1800
no shutdown

 CAPWAP debugs for NGWC
 Debug capwap ap event
 Debug capwap ap error
 AP debugs for NGWC
 Debug capwap client events
 Debug capwap client errors
 Mobility
 Debug mobility keep-alive
 Debug mobility handoff
 Debug mobility peer=ip w.x.y.z
 WebAuth
 Debug aaa authentication
 Debug radius authentication
 Debug client mac-address <mac>
 Debug ip admissions [command
family]
 Show run aaa
 Show run | section parameter
 Show wireless client mac-address
<mac> detail
Поиск и устранение неисправностей

Вопрос №3
Возникают ли у вас вопросы по продуктам и
технологиям беспроводного доступа Cisco?
a) Нет, я не использую Cisco wireless настолько, чтобы
возникали вопросы
b) Нет, всё достаточно понятно и так
c) Да, я решаю их самостоятельно
d) Да, для решения я общаюсь на глобальном Cisco Support
Forums
e) Да, общаюсь в российском сообществе Cisco Support
Forums
f) Да, открываю кейс в Cisco TAC

Отправьте свой вопрос сейчас!
Используйте панель Q&A, чтобы задать вопрос.
Эксперты ответят на Ваши вопросы.

Получить дополнительную информацию, а также задать вопросы
эксперту в рамках данной темы Вы можете на странице,
доступной по ссылке:
https://supportforums.cisco.com/community/russian/expert-corner
Вы можете получить видеозапись данного семинара и текст
сессии Q&A в течении ближайших 5 дней по следующей ссылке
https://supportforums.cisco.com/community/russian/expert-corner/webcast

https://supportforms.cisco.com/community/russian
http://www.facebook.com/CiscoSupportCommunity
http://twitter.com/#!/cisco_support
http://www.youtube.com/user/ciscosupportchannel
https://plus.google.com/110418616513822966153?prsrc=3#110418616513822966
153/posts
http://itunes.apple.com/us/app/cisco-technical-support/id398104252?mt=8
https://play.google.com/store/apps/details?id=com.cisco.swtg_android
http://www.linkedin.com/groups/CSC-Cisco-Support-Community-3210019
Newsletter Subscription:
https://tools.cisco.com/gdrp/coiga/showsurvey.do?surveyCode=589&keyCode=146298_2&PH
YSICAL%20FULFILLMENT%20Y/N=NO&SUBSCRIPTION%20CENTER=YES

• Испанском  https://supportforums.cisco.com/community/spanish
• Португальском  https://supportforums.cisco.com/community/portuguese
• Японском  https://supportforums.cisco.com/community/csc-japan

Спасибо за Ваше время
Пожалуйста, участвуйте в опросе

Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводного доступа и web-аутентификации.

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Andere mochten auch

Andere mochten auch (9)

Ähnlich wie Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводного доступа и web-аутентификации.

Ähnlich wie Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводного доступа и web-аутентификации. (20)

Mehr von Cisco Russia

Mehr von Cisco Russia (20)

Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводного доступа и web-аутентификации.