思科无线控制器配置案例

篇一:思科无线局域网控制器产品资料

思科无线局域网控制器产品资料

图1 Cisco 2000系列、4100系列和4400系列无线局域网控制器

Cisco 2000系列无线局域网控制器

Cisco 4100系列无线局域网控制器

Cisco 4400系列无线局域网控制器

产品简介

思科?无线局域网控制器适用于企业无线局域网部署,并提供了系统级无线局域网功能,如安全策略、入侵防御、RF管理、服务质量(QoS)和移动性。它们与Cisco 1000系列轻型接入点和思科无线控制系统(WCS)软件共用,可支持关键的无线应用。从语音和数据服务到地点跟踪,WLAN控制器提供了必要的控制能力、可扩展性和可靠性,以便IT经理能构建从分支机构到主园区的安全、企业级无线网络。

思科无线局域网控制器可平稳地集成入现有企业网络中。它们使用轻型接入点协议(LWAPP),与Cisco 1000系列轻型接入点在任意第二层(以太网)或第三层(IP)基础设施上通信(图2)。这种新型IETF标准有助于确保接入点和无线局域网控制器间的通信安全,可完全自动地支持重要的无线局域网配置和管理功能,从而实现经济有效的无线局域网运营。

图2 集中型无线局域网

思科无线局域网控制器使企业能为支持关键业务应用的端到端无线局域网系统,创建和实施策略。多个WLAN控制器可自动相互发现,并在它们之间无缝协调WLAN服务。以这种方式,思科无线局域网控制器可作为单一无缝系统运行,提供一个有数千AP的可扩展WLAN网络。从语音和数据服务到地点跟踪,WLAN控制器提供了必要的控制能力、可扩展性和可靠性,以便IT经理能构建安全的企业级无线网络。

灵活的部署选项

思科系统公司提供了几种无线局域网控制器,适用于不同的企业部署情况。这其中包括Cisco 2000系列、4100系列和4400系列。

Cisco 2000系列为中小型企业环境提供了思科屡获大奖的无线局域网服务。它可支持多达6个轻型接入点,是用于小型楼宇的经济有效的解决方案。凭借集成动态主机控制协议(DHCP)服务和自动接入点配置,Cisco 2000系列也适用于现场IT支持有限的环境,如分散型企业中的分支机构。

Cisco 4100系列无线局域网控制器适用于中型机构。它有三种配置—4112、4124和4136,它们分别最多可支持12、24和36个接入点。Cisco 4100系列提供了单一千兆以太网上行链路,和一条热待机链路,可提供高速局域网连接和网络可靠性。

Cisco 4400系列无线局域网控制器适用于大中型机构,有两个型号—带2个千兆以太网端口,其配置可支持12、25和50个接入点的4402,以及带4个千兆以太网端口,支持100个接入点的4404。4402具有1个扩展插槽,4404具有

2个扩展插槽,可用于在将来添加增强功能,如VPN终结等。此外,每个4400 WLAN控制器均支持一个可选冗余电源,以确保最高可靠性。

智能RF管理

所有思科WLAN控制器都配备了用于自适应实时RF管理的内嵌软件。思科WLAN系统使用即将荣获专利的无线资源管理(RRM)算法,来实时发现空中无线资源使用的变化并作出调整。这些调整以类似于路由协议为IP网络计算最佳拓扑的方式,为无线网络创建最优拓扑。

图3 覆盖整个企业的RF智能

思科无线局域网控制器所管理的特定智能RF功能包括:

? 动态信道分配—802.11信道可根据不断变化的RF情况进行调整,以优化网络覆盖范围和性能。

?

? 干扰检测和避免—该系统可检测干扰并重新调整网络,以避免性能问题。 负载均衡—此系统对多个接入点提供了自动的用户负载均衡,即使负载量很大,也能获得最优网络性能。

? 覆盖盲区检测和修复—无线资源管理(RMM)软件可发现覆盖盲区,并尝试通过调整接入点的功率输出来修复它们。

? 动态功率控制—该系统可动态调整各接入点的功率输出,来适应不断变化的网络情况,以确保达到预期的无线性能和可靠性。

严格的安全性

思科无线局域网控制器符合最严格的安全标准,包括:

?

? 802.11i Wi-Fi WPA2,WPA和有线等效加密(WEP) 802.1X,带多种可扩展验证协议(EAP)类型—受保护EAP (PEAP),带传输层安全的EAP(EAP-TLS),带隧道化TLS的EAP (EAP-TTLS)和思科LEAP

? VPN终结—4100系列的可选模块,提供IP安全(IPSec)和第二层隧道协议(L2TP) VPN终结

因此,它堪称业界最全面的无线局域网安全解决方案。

在思科无线局域网架构中,接入点可作为无线监控器,向无线局域网控制器通报有关无线域的实时信息。经由思科WCS,可进行准确分析并采取校正措施,从而迅速识别所有安全威胁,并将其提交给网络管理员。

思科提供了唯一能同时进行无线保护和提供无线局域网服务的无线局域网系统。这有助于确保实现完整的无线局域网保护,无需花费重复的设备成本或购买额外的监控设备。思科无线局域网系统最初可作为独立无线入侵防御系统部署,再在稍后重新配置,添加无线局域网数据服务。这使网络管理员能环绕其RF域创建一个“防御屏障”, 抑制未授权无线活动,直至他们作好部署无线局域网服务的准备为止。

思科通过提供以下多个保护层来实现无线局域网安全:

?

? RF安全—检测和避免802.11干扰和消除不必要的RF传播 无线局域网入侵防御和定位—思科无线局域网系统不仅可发现恶意设备或潜在的无线威胁,而且能对这些设备定位。这使系统管理员能快速评估威胁级别,立即按需采取措施来抵御威胁。

? 基于身份的联网—IT人员必须在保护无线局域网的同时支持大量不同的用户访问权限、设备格式和应用要求。思科无线局域网系统使企业可为无线用户或用户组提供不同的安全策略。

这其中包括:

- 第二层安全功能—802.1x (PEAP, LEAP, TTLS), WPA, 802.11i (WPA2)和L2TP - 第三层(和更高层次)的安全功能—IPSec, web验证

- VLAN分配

- 访问控制列表(ACL)—IP限制,协议类型,端口和差分服务代码点(DSCP)数值

- QoS—多个服务级别,带宽减少,流量整形和RF利用

- 验证、授权和记帐(AAA)/RADIUS—用户连接策略和权限管理

? 网络准入控制(NAC)—实施客户端配置和行为策略,以确保只有拥有适当安全工具的终端用户设备才能访问网络。

? 安全移动—在移动环境中保持最高安全水平。这包括随用户移动而移动的VPN,无需重新建立安全隧道。此外,思科已开发了主动密钥缓存(PKC),这是802.11i标准的扩展、802.11r标准的前身,可通过AES加密和RADIUS验证实现安全漫游。

? 访客隧道—为访客接入公司网络提供更高安全性。它可确保访客如不首先通过公司防火墙,就无法接入公司网络。

篇二:配置无线控制器1206

配置无线控制器2106

无线控制器接上电源启动后按住esc键直到出现“Please enter your choice:”选择5:

1.无线控制器配置

之后对无线控制器先进行基本设置(账号密码可以自己设置,这里账号名为admin,密码Lenx.kdtser):

Would you like to terminate autoinstall? [yes]: yes

System Name [Cisco_63:26:20] (31 characters max):

AUTO-INSTALL: process terminated -- no configuration loaded

Enter Administrative User Name (24 characters max): admin 管理员账号

Enter Administrative Password (24 characters max): ******* 管理员密码 Re-enter Administrative Password : ******* 确认管理员密码 设置无线控制器的管理地址:

Management Interface IP Address: 10.0.15.27管理地址ip Management Interface Netmask: 255.255.0.0管理地址子网掩码

Management Interface Default Router: 10.0.0.9 无线控制器的管理地址默认网关 Management Interface VLAN Identifier (0 = untagged): 无线网络vlan(多台服务器时用) Management Interface Port Num [1 to 8]: 1web接口(一共8个,这里选第一个) Management Interface DHCP Server IP Address: 10.0.15.1 DHCP服务器ip地址

AP Manager Interface IP Address: 10.0.15.28 AP管理地址接口

AP-Manager is on Management subnet, using same values

AP Manager Interface DHCP Server (10.0.15.1):AP的管理接口的DHCP服务器地址

Virtual Gateway IP Address: 1.1.1.1 虚拟网关

Mobility/RF Group Name: demo 无线网络所属组

Network Name (SSID): kdt001 设置ssid

Configure DHCP Bridging Mode [yes][NO]: no 是否配置DHCP桥接 Allow Static IP Addresses [YES][no]: yes 是否接受静态ip地址

Configure a RADIUS Server now? [YES][no]: no 是否现在设置RADIUS服务器 Warning! The default WLAN security policy requires a RADIUS server.

Please see documentation for more details.

Enter Country Code list (enter 'help' for a list of countries) [US]: cn 所属区域(cn代表中国)Global Public Safety State: Already configured, Configuring Local States...

Enable 802.11b Network [YES][no]: yes 是否启用802.11b Network网络 Enable 802.11a Network [YES][no]: yes 是否启用802.11a Network网络 Enable 802.11g Network [YES][no]: yes 是否启用802.11g Network网络 Enable Auto-RF [YES][no]: yes 是否启动自动射频

Configure a NTP server now? [YES][no]: no是否现在设置NTP服务器 Configure the system time now? [YES][no]: yes是否现在设置时间

Enter the date in MM/DD/YY format: 07/04/11设置月/日/年

Enter the time in HH:MM:SS format: 09:15:30 设置时/分/秒

Configuration correct? If yes, system will save it and reset. [yes][NO]: yes 保存设置

有的AC不能用WEB访问应启动以下命令

Network webmode enable 启动AC

2.WEB配置瘦AP

从浏览器输入管理IP地址如:HTTPS://10.0.15.27 然后从web界面进入控制台,对无线控制器进行设置(之前所设置的,这里是账号admin,密码Lenx.kdtser)

进入控制界面后,单击上方得WLANs,再在右方单击WLANs,进入到下面界面在单击刚刚设置的1:

进入到kdt001配置界面后先设置加密方式为WEP,然后是key Size为40bit,可以 Format为HEX(哈希),Encryption Key为8410000000(这里我们以公司的标准配),然后单击右上角的Apply保存:

配置好加密方式并应用后,点击右上角Save Configuration 保存设置。

无线控制器2106配置完成。

进入CONTROLLER界面,Interfaces为配置接口设置,internal DHCP Server为DHCP服务器设置,Mobility Management为无限组定义设置,Ports为端口配置(可以自行设置,刚才在基本配置里面已经配置过,这里不再配置):

瘦AP设置IP地址

# Lwapp ap ip add 10.0.15.22 255.255.0.0

篇三:Cisco无线网络部署(WLC4402+LAP1240+ACS4.2+AD域)

Cisco无线网络实施方案

2011.08.31

目录

设备管理地址和初始密码:................................................................................................................ 3 第一部分 基本配置:.........................................................................................................(本文来自:WWW.xiaocaoFanwEn.cOM 小草范文网:思科无线控制器配置案例)................. 3

1.1 示意拓扑:............................................................................................................................. 3 1.2 DHCP配置: .......................................................................................................................... 4 1.3 ACS安装及基本配置: ......................................................................................................... 9 1.4 Cisco WLC4402基本配置:................................................................................................ 18 第二部分 安全验证配置:................................................................................................................ 25

2.1 WLC配置本地认证:.......................................................................................................... 25 2.2 配置ACS本地认证: ......................................................................................................... 27 2.3 配置Windows AD域用户认证: ...................................................................................... 31 第三部分 其他应用配置建议:........................................................................................................ 38

3.1 控制域用户上网权限:....................................................................................................... 38 3.2 使用组策略推送无线网络配置:....................................................................................... 40 3.3 客户端无线网络属性配置:............................................................................................... 44

Cisco无线网络实施方案

设备管理地址和初始密码:

第一部分 基本配置:

1.1 示意拓扑:

AP1242

PC

如图,目前WLC连接到核心4507R的g4/6口,接口配置为trunk。AP连接到接入交换机,目前只在vlan 110部署了测试AP,后期如果其他vlan也需要开通无线接入,只需将AP接入

相应的vlan,并在相应DHCP服务器内添加相应option43配置即可(option43配置方法详见1.2 DHCP配置)。

1.2 DHCP配置:

1.定义VCI(供应商类别标识符):为了让DHCP 服务器可以识别VCI Airespace.AP1240,需要增加一个新的vendor class. 在 MMC 中, 右键点击DHCP 服务器图标, 选择 Define Vendor Classes。

2.点击 Add 创建新class:

3.输入 Display Name,本例中使用Airespace。在Description 区域添加简短说明。点击ASCII 区域,添加VCI,本例使用 Airespace.AP1240:

4.完成后,点击Close:

5.在 Predefined 选项中为新增加的Vonder Class 增加WLC sub-option. 在这里可以定义sub-option 的编码类型和数据格式,用以给AP 返回一个厂商特定信息。右键点击Server 图标,选择Set Predefined Options: