无线控制器配置

在本文中,我将配置无线控制器以将ISE用于AAA,设置我的SSID,并配置其他基本设置。我将从虚拟无线控制器的初始安装开始,并完成这些步骤。完成之后,我将设置您需要的所有初始配置,以使无线控制器使用ISE。

在本实验中,我将vWLC导入了ESXi环境。在启动虚拟机之前,我已将NIC配置为中继端口。这是可选的,但是如果您希望ISE和WLC根据获得授权的用户动态更改VLAN,则需要将其中继回网络的其余部分,以便WLC可以访问这些VLAN。 配置网络适配器后,启动虚拟机。

 

进入虚拟机,您应该能够启动无线控制器的安装脚本。

这是我配置的安装脚本:
您要终止自动安装吗? --
系统名称: 虚拟世界
管理用户名: 管理员
管理密码: 网络节点
服务IP地址配置: 静态的
服务接口IP地址: 1.1.1.1
服务接口网络掩码: 255.255.255.252
管理 Interface IP Address: 10.1.100.41
管理 Interface Netmask: 255.255.255.0
管理 Interface Default Router: 10.1.100.1
管理 Interface VLAN Identifier: 100
管理 Interface Port Number: 1
管理接口DHCP服务IP地址: 10.1.100.1
虚拟网关IP地址: 2.2.2.2
移动性/ RF组名称: 移动集团
网络名称(SSID): 安全LabCorp
配置DHCP桥接模式:
允许静态IP地址:
Configure a 半径 服务器: 没有
国家代码: 我们
启用802.11b:
启用802.11a:
启用802.11g:
启用自动RF:
配置NTP服务器:
NTP服务器IP地址: 24.56.178.140
轮询间隔: 3600
配置IPv6? 没有
保存配置?

无线控制器完成安装后,通过浏览器浏览至无线控制器GUI,网址为http:// _。管理IP地址/ 并使用您在上一步中创建的凭据登录。点击 高级 链接导航到高级设置

 

如果您使用的是无线控制器的评估版,或者需要添加许可证,请导航至 管理>Software Activation>Licenses 和下 Adder 执照,添加5个许可证,然后单击 设定计数。接受弹出的EULA:

 

如果您的AP没有与您的无线控制器关联,请检查以下内容:

  • AP正在获取IP地址
  • 您在无线控制器上有许可证
  • 控制台进入AP并使用默认凭据登录 思科/思科。进入EXEC模式并发出以下命令:
    清除capwap private-config
    清除lwapp private-config
    重装
  • 如果上述方法无效,请导航至 管理>Logs>Messages 日志 在WLC GUI中查看是否可以确定无线控制器是否看到AP试图与其关联。
  • 查看AP的控制台输出,查看是否有任何消息或警告表明问题所在。
  • 如果不起作用,请检查AP的固件版本号。一些较旧的AP的证书已过期或需要完整擦除和还原

AP关联到无线控制器后,导航到 无线>Access Points 并单击AP:

如果该AP先前已加入另一个无线控制器,但仍具有剩余设置,则建议在此菜单上对该AP进行硬件重置。如果一切正常,请选择 FlexConnect 来自 AP模式 下拉菜单中,然后单击 .

如果不将AP模式更改为FlexConnect,则尝试广播SSID时可能会遇到问题,因此进行更改很重要。

我通常也希望启用“快速SSID更改”。启用此功能后,控制器将允许客户端更快地在SSID之间移动。这样做的方式是,当客户端为另一个SSID发送新的关联时,在将客户端添加到新的SSID之前,将清除控制器表中的客户端条目。要启用此设置,请导航至 控制者>General 并确保 快速SSID更改 已启用。

建议在无线控制器上禁用DHCP代理,这样您就可以使DHCP处于桥接模式,并将来自无线客户端的所有DHCP数据包转发到ISE。您可以基于每个接口或全局在无线控制器上执行此操作。在我的实验室中,我将通过导航到全局禁用它 控制者>Advanced>DHCP 并取消选中旁边的框 启用 DHCP服务器服务器 Proxy. 请点击 .

 

伊势将使用SNMP向无线控制器查询某些属性,以帮助识别和配置连接到网络的端点。为了实现这一点,我们将需要在WLC上配置SNMP社区。导航 管理>SNMP>General 并确保已启用SNMP v2:

 

之后,我将导航到 管理>SNMP>Communities 并删除两个默认社区字符串。点击后 创建一个新的社区字符串,我使用SNMP社区字符串I 在ISE(网络节点)中配置IP地址,并用ISE服务器的地址配置IP地址。我还要确保此社区的状态为 已启用:

接下来,我导航到 管理>SNMP>Trap Recievers 然后点击 再次。我用 网络节点 作为我的社区名称,请放入我的ISE节点的IP地址,并确保将状态设置为 启用 在应用更改之前:

 

现在,我已经设置了SNMP,我将在无线控制器上将ISE配置为我的RADIUS服务器。导航 安全>RADIUS>Authentication. 在此页面上,我们将确保 验证被叫站ID类型 被设定为 AP MAC地址:SSID 在下拉菜单中。请点击 .

在此“新RADIUS身份验证服务器”页面上,确保配置了以下内容:

  • 新的RADIUS服务器是我的ISE服务器的IP地址
  • 我正在使用之前在ISE中为此NAD(网络节点)配置的共享密钥。
  • 我保证 启用 在下拉菜单中选择 RFC 3576 -这是动态授权扩展的RFC
  • 的端口号是1812
  • 服务器状态 已启用
  • 管理 框未选中

完成身份验证配置后,导航至 安全>RADIUS>Accounting。在此页面上,确保 验证被叫站ID类型AP MAC地址:SSID 从下拉菜单中。请点击 .

在“新RADIUS记帐服务器”页面上,我将使用以下设置将ISE配置为我的RADIUS服务器:

  • 伊势的IP地址
  • 我之前在ISE中为此NAD配置的共享机密
  • 服务器状态 已启用
  • 端口号是1813
  • 网络用户 被检查

 

现在,我已经在无线控制器上配置了RADIUS AAA服务器,接下来将配置接口。导航 控制者>Interfaces 然后点击 添加新界面。在这种情况下,VLAN将成为我的用户VLAN(VLAN 50)。

点击后 应用,我将在Edit 介面页面中找到自己。在此页面上,我可以在无线控制器上为此接口指定端口号(“ 1”),配置接口IP地址,子网掩码和默认网关。我还可以指定DHCP服务器以及启用或禁用DHCP代理模式。默认值应该是“ Global”,但是如果您在生产环境中并且不想像我一样全局禁用它,我建议您仅在要用于ISE SSID的接口本身上进行更改:

此处未显示,但在我的实验室中,我为来宾VLAN(VLAN 70)创建了另一个接口。完成配置后,我想确保所有接口都在接口组中,因此我导航至 控制者>Interface Groups 然后点击 。我确保将所有接口添加到该新接口组:

在当前和以前的代码版本中,无线控制器从不支持dACL。因此,我们仍然需要在无线控制器上定义ACL。只要我们在ISE中创建的“授权配置文件”中按名称将其命名,ISE仍可以使用这些ACL。我将在下一篇博客文章中对此进行更详细的介绍,但这是需要注意的。

我要导航到 安全>Access Control Lists>Access Control Lists 然后点击 。这些是我将要开始的ACL,我将尝试解释其中的逻辑。

注意:WLC的“入站/出站”角度是不直观的。这是从WLC面向无线客户端的角度出发,而不是从客户端的角度来看。因此,入站方向意味着从您的端点到无线客户端的数据包,出站方向意味着从WLC到客户端的数据包。

在深入研究ACL之前,这是我实验室中的IP方案的快速提醒:

  • 3650交换机– 10.1.100.1
  • FlowCollector – 10.1.100.8
  • 隐形手表管理控制台– 10.1.100.9
  • 火力管理控制台– 10.1.100.10
  • 连结1000v – 10.1.100.11
  • 优质基础设施– 10.1.100.13
  • Web 安全 Appliance – 10.1.100.16
  • 伊势 – 10.1.100.21
  • Active Directory / DNS / DHCP服务器服务器-10.1.100.40
  • 无线控制器– 10.1.100.41

这是将来将用于我的WebAuth重定向的ACL。

以下是规则的细目分类:
1-允许端点获取IP地址
2-允许端点使用DNS与ISE通信所必需
3-允许端点与ISE通信
4-允许从服务器子网到客户端的出站流量。这可能是DNS和DHCP的依赖,也可能是来自ISE的任何东西。如果愿意,您可以将其锁定得更多,但是在我的下一个ACE中,我将锁定离开端点的任何其他流量。
5-其他所有内容均被拒绝

这是我将用于未登录用户的公司计算机的ACL。通常,如果没有人登录,您根本不希望公司的PC完全无法访问网络,因为您仍然希望它们接收组策略更新,补丁程序等,并防止"鸡蛋前的鸡" scenarios with new users trying 至 authenticate 至 the network.

这是规则的细分:
1-允许端点获取IP地址
2-允许端点使用DNS
3-允许端点与ISE通信
4-允许端点从我的服务器子网接收流量
5-其他所有内容均被拒绝

This rule 是 a lot like my 伊势-Only rule but in a production environment, you might be specifying specific AD 和 WSUS servers instead of the blanket ACEs I used for a lab. You also might specify specific ports (i.e. "389")。我的实验室非常简单,因此我只是重复使用了以前的ACL中的规则,但是生产环境看起来可能会有所不同,并且出于组织规则的目的,我希望为此使用一个单独的ACL。

这将成为我对员工的ACL。我拒绝某些设备使用它们只是为了表明ISE根据用户的角色提供了不同的访问权限。

这是规则的细分:
1-允许端点获取IP地址
2-允许端点使用DNS
3-允许端点与ISE通信
4-允许端点与我的AD服务器通信
5-允许端点从我的服务器子网接收流量
6-拒绝我的员工端点与ESXi主机进行对话,因为我确定我的正式员工不应该登录ESXi
7-拒绝我的员工将流量发送到服务器子网上的其余部分,因为没有理由他们应该尝试与该子网上的其余服务器进行通信。
8-允许其他所有内容

这是我在网络上用于访客的ACL。

这是规则的细分:
1-允许端点获取IP地址
2-允许端点使用我的DNS服务器
3-允许端点与我的ISE服务器通信-可以将其进一步锁定到端口8443。8449等,但这是一个实验,因此我不必为此担心。
4-这允许流量从任何10.0.0.0/8子网返回到此终结点。
5-这允许该终结点与我的AD服务器通信-您可以根据需要将其锁定,但是如果您想为客户端强制进行更新或更新,我通常会在环​​境中使用我的AD服务器来推送它们。在生产网络中,您不会这样做,因此在您自己的实验室中删除此规则是安全的。
6-拒绝端点访问我的任何内部子网-您可以进一步添加更多的ACE,其中包括其他RFC 1918地址,但是我仅使用10.0.0.0/8空间,因此无需实验室
7-允许其他所有内容,因此访客可以访问互联网

这是不言自明的。我将让我的域管理员可以访问所有内容。在生产中,您可能希望将其锁定。通常,最佳做法是为您的域管理员提供一个日常使用的帐户(非域管理员用户),以及属于Domain Admins组的帐户,他们可以将其用于特定目的。如果您在这样的环境中,则可能需要创建上述规则,以允许访问所有内部资源,但禁止访问外部资源(例如Internet)

 

现在我们已经完成了ACL的创建,接下来我将继续创建SSID。导航 无线局域网 您可以单击在无线控制器安装过程中创建的WLAN名称,或单击 创建一个新的。无论哪种方式,您都将在此SSID的“编辑”页面中。

我想确保已启用SSID,并且对于该接口,我将此SSID放入刚创建的接口组中:

接下来,我将移至 安全>AAA 服务器s 在此编辑页面上。确保启用了身份验证和计费服务器,然后从下拉列表中为两者选择您的ISE服务器。如果您配置了多个ISE PSN,则也可以在此处添加它们:

在“编辑”页面上,导航至 高级 标签。这通常是我在此页面上所做的更改:

  • 选中旁边的框 允许AAA覆盖
  • 检查 DHCP服务器服务器 Addr Assignment
  • 改变 NAC州 半径NAC 在下拉菜单中
  • 取消选中旁边的框 Flexconnect本地交换 -这仅适用于我的实验室环境。 *生产*将不同。
  • 在Radius客户端分析下,选中两个复选框 HTTP DHCP服务器服务器 剖析

请点击 应用 完成时。

接下来,我将添加Guest和Hotspot SSID。来自 无线局域网 页面上,单击 并创建以下内容:

我将再次将接口组更改为我先前创建的组,并启用SSID:

此SSID的主要区别在于 安全>Layer 2,我将更改以下内容:

  • 第2层 安全没有 在下拉菜单中
  • 选中旁边的框 MAC过滤
  • 选中旁边的框 快速过渡
  • 取消选中该框 通过DS

安全>AAA 服务器s 标签,就像在上一个SSID中一样,添加我的ISE服务器:

高级 标签,其配置与先前的SSID完全相同:

对于Hotspot SSID,配置为 究竟 与访客SSID相同。唯一的区别是名称,因此,如果您想配置该SSID,则可以重复最后的步骤。

要对此WLC进行设置,我们需要做的最后一件事是配置Web-Auth Captive-Bypass。之所以如此重要,是因为某些设备(例如Apple iOS设备)具有一种机制,可以根据对指定URL发出的HTTP WISPr请求,确定设备已连接到Internet。此机制用于设备在无法直接连接到Internet时自动打开Web浏览器,并使用户能够提供其凭据来访问Internet。当无线客户端执行任何其他页面请求时,此HTTP请求将触发控制器中的Web身份验证拦截,并且此租约会租用到常规Web身份验证请求。问题是,如果将Web身份验证与任何控制器初始页面功能(即配置的RADIUS服务器提供的URL-在我们的情况下为ISE)一起使用,则可能永远不会显示初始页面,因为WISPr请求是在很长时间内发出的间隔很短,并且一旦这些查询之一能够到达指定的服务器,在后台执行的任何Web重定向或初始页面显示过程都会中止,并且设备会处理页面请求,从而导致初始页面功能中断。

为了避免出现问题,最佳实践是将控制器配置为绕过WISPr检测过程,以便仅在用户请求导致用户上下文中的初始页面加载的网页时才进行Web身份验证拦截。为此,请登录无线控制器的CLI。输入以下命令:
配置网络网络验证强制旁路启用

返回您的WLC GUI,单击 保存配置 屏幕顶部的链接。这将保存您的配置,因此在下次重新启动时将保持不变。然后导航到 指令>Reboot 然后选择 重启.