Переконайтеся, що ви забезпечили виконання наступних вимог, перш ніж спробувати цю конфігурацію:
Основні відомості про конфігурацію точок LAPі контролерів Cisco WLC
Базові знання про Рішеннях по забезпеченню безпеки уніфікованої бездротового зв'язку Cisco
Відомості, що містяться в даному документі, стосуються наступних версій програмного забезпечення і устаткування:
WLC Cisco 4400, який працює під управлінням ПО версії 5.2.178.0
LAP Cisco 1230AG Series
Бездротовий клієнтський адаптер a / b / g 802.11 з мікропрограмним забезпеченням 4.4
Версія 4.4 Службовим програми робочого столу Aironet (ADU)
Відомості, представлені в цьому документі, були отримані від пристроїв, що працюють в спеціальній лабораторній середовищі. Всі пристрої, описані в цьому документі, були запущені з чистою (стандартної) конфігурацією. У робочій мережі необхідно вивчити потенційний вплив всіх команд до їх використання.
Існує два типи перевірки автентичності MAC, які підтримуються на WLC:
Перевірка справжності MAC за допомогою сервера RADIUS
За замовчуванням локальна база даних WLC підтримує до 512 вводів користувача.
База локальних користувачів обмежена максимумом записів 2048 року. Локальна база даних зберігає записи для цих елементів:
Користувачі локального управління, який включає послів лобі
Користувачі локальної мережі, який включає гостей
Записи фільтра MAC
Записи списку виключення
Користувачі всіх цих типів разом не можуть перевищувати налаштований розмір бази даних.
Для збільшення локальної бази даних використовуйте цю команду від CLI:
Примітка: Перед налаштуванням перевірки автентичності MAC необхідно налаштувати WLC для головної операції і зареєструвати полегшені точки доступу на контролері. Цей документ передбачає, що WLC вже налаштований для головної операції і що LAP зареєстровані до WLC. Якщо ви - новий користувач, який намагається встановлювати WLC для головної операції з LAP, зверніться до реєстрації полегшених точок доступу до Контролеру бездротової локальної мережі (WLC).
Примітка: Немає ніякої спеціальної конфігурації, необхідної на бездротовому клієнта для підтримки перевірки автентичності MAC.
Натисніть WLANs в графічному інтерфейсі контролера для створення WLAN.
Відкриється вікно WLAN. В даному вікні знаходиться список мереж WLAN, налаштованих на контролері.
Натисніть New для настройки нової WLAN.
В даному прикладі WLAN називають WLAN MAC. і ІДЕНТИФІКАТОР WLAN дорівнює 1.
У вікні WLAN> Edit вкажіть параметри мережі.
Під Політикою безпеки> безпеку рівня 2, перевірте прапорець MAC Filtering.
Це включає перевірку справжності MAC для WLAN.
Відповідно до Загальної політикою> Ім'я інтерфейсу, виберіть інтерфейс, з яким підтверджено WLAN.
В даному прикладі WLAN зіставлений з інтерфейсом управління.
Виберіть інші параметри, які залежать від вимог до проектування WLAN.
Див. VLAN на Примері конфігурації Контролерів бездротової локальної мережі для отримання інформації про те, як налаштувати динамічні інтерфейси (VLAN) на WLC.
Натисніть Security від графічного інтерфейсу контролера, і потім натисніть MAC Filtering з лівого бокового меню.
Вікно MAC Filtering з'являється.
Повторіть кроки 2-4, щоб додати більше клієнтів до локальної базі даних.
Виконайте ці кроки для настройки перевірки автентичності MAC за допомогою сервера RADIUS. В даному прикладі сервер Cisco Secure ACS використовується в якості сервера RADIUS.
Натисніть WLANs в графічному інтерфейсі контролера для створення WLAN.
Відкриється вікно WLAN. В даному вікні знаходиться список мереж WLAN, налаштованих на контролері.
Натисніть New для настройки нової WLAN.
В даному прикладі WLAN називають WLAN ACS MAC. і ІДЕНТИФІКАТОР WLAN дорівнює 2.
У вікні WLAN> Edit вкажіть параметри мережі.
Під Політикою безпеки> безпеку рівня 2, перевірте прапорець MAC Filtering.
Це включає перевірку справжності MAC для WLAN.
Відповідно до Загальної політикою> Ім'я інтерфейсу, виберіть інтерфейс, з яким підтверджено WLAN.
Під серверами RADIUS виберіть сервер RADIUS, який буде використовуватися для перевірки справжності MAC.
Примітка: Перш ніж можна буде вибрати сервер RADIUS від вікна WLANs> Edit, необхідно визначити сервер RADIUS в вікні Security> Radius Authentication і включити сервер RADIUS.
Виберіть інші параметри, які залежать від вимог до проектування WLAN.
Натисніть Security> MAC Filtering.
У вікні MAC Filtering виберіть тип сервера RADIUS під Режимом сумісності RADIUS.
Даний приклад використовує ACS Cisco.
Від меню, що випадає роздільник MAC виберіть роздільник MAC.
Даний приклад використовує Двокрапка.
Визначте WLC як клієнта AAA на сервері ACS. У ACS GUI натисніть Network Configuration.
Відомості про серверах аутентифікації, відмінною від ACS, см. В документації від виробника.
Примітка: Загальний секретний ключ на WLC і сервері ACS повинні збігатися. При введенні загального секретного ключа необхідно враховувати регістр.
З головного меню ACS натисніть User Setup.
Натисніть кнопку Submit (Надіслати).
Повторіть кроки 2-5, щоб додати інших користувачів до бази даних ACS.
Цей документ раніше обговорив, як використовувати GUI WLC для налаштування фільтрів MAC. Можна також використовувати CLI для налаштування фільтрів MAC на WLC. Можна використовувати ці команди для налаштування фільтра MAC на WLC:
команда config macfilter add:
Команда config macfilter add дозволяє вам додати macfilter, інтерфейс, опис, і т.д.
Використовуйте команду config macfilter add для створення запису фільтра MAC на контролері WLAN Cisco. Використовуйте цю команду для додавання клієнта локально до бездротової локальної мережі на контролері WLAN Cisco. Цей фільтр обходить процес Перевірки достовірності RADIUS.
команда config macfilter ip-address
Можна налаштувати таймаут для відключених клієнтів. Клієнти, які не в змозі аутентифицироваться три рази під час спроб зв'язатися, автоматично відключені від подальших спроб асоціації. Після того, як період очікування закінчується, клієнтові дозволяють повторити аутентифікацію, поки це не прив'язує або не відмовляє аутентифікацію і виключено знову.
Введіть команду config wlan exclusionlist wlan_id timeout для настройки таймаута для відключених клієнтів. Значення таймаута може бути з 1 до 65535 секунд, або можна увійти 0 для постійного відключення клієнта.
Використовуйте ці команди, щоб перевірити, чи налаштований фільтр MAC правильно:
show macfilter summary - Показує зведення всіх записів фільтра MAC.
Ось приклад команди show macfilter summary.
Ось приклад команди show macfilter detail:
Можна використовувати ці команди для усунення проблем конфігурації:
debug aaa all enable - Надає налагодження всіх повідомлень AAA.
Ось приклад команди debug aaa all enable:
Способи вирішення проблеми такі:
Понизьте до ACS 4.0.
Не здатний додати фільтр MAC за допомогою GUI WLC
Це може статися becaue ідентифікатора помилки Cisco CSCsj98722 (тільки зареєстровані клієнти). Помилку виправлено в 4.2 випусках коду. Якщо ви - робочі версії раніше, ніж 4.2, можна оновити вбудоване програмне забезпечення до 4.2 або використовувати ці два обхідних шляху для цієї проблеми.
Використовуйте CLI для настройки Фільтри MAC з цією командою:
Тихий клієнт, який не розміщений в виконане стан