用ISE管理無線設備

配置基本網絡環境

在本例中使用的是Cisco Catalyst3560系 列的某款交換機，WLC 4402和AP1242等無線設備，以及ISE設 備，Windows Server 2008 R2域控，DHCP服務器等都連接到該交換機上，相關設備處于名為“xxx.com”的域環境中。AP設備規劃到VLAN 20中，WLC設備、域控、DHCP服務器等規劃到VLAN 10中。DHCP服務器和域控的 IP均 為 192.168.1.168。在交換機全局配置模式下執行“interface vlan 20”，“ip address 192.168.20.254 255. 255.255.0”命令，創建VLAN20，并設置其IP地址。

執 行“interface fa 0/22”，“switchport trunk encapsulation dot1q”，“switchport mode trunk”命令，在交換機的fa 0/22接口上開啟Truck連接，WLC 4402就連接在該接口上。執行“interface fa 0/20”，“switch access vlan 20”，“switchport mode access”，“spanning-tree portfast”命令，將fa 0/20接口劃分到VLAN 20中，并將其接口設置為ACCESS模式，AP 12425就連接到該接口上。

執 行“ipdhcppoolvlan 20”，“network 192.168.20.0 255.255.255.0”，“defaultroute 192.168.20.254”，“option 42 hex f104.xxx.xxxx”命令，為VLAN 20創建地址池，指定網關地址，并通告AP需要注冊的WLC設備的 AP接口地址，“f104”表示僅僅使用一臺WLC設備，“xxx.xxxx”為 WLC設備的AP接口的IP地址的十六進制數值。WLC的管理地址為192.168.1.100，AP管理接口IP為 192.168.1.101，其 均屬于VLAN 10。ISE設備的IP為192.168.1.200。

初始化WLC設備

對于新的WLC設備來說，在使用前需要進行初始化配置，在向導界面中依次輸入其名稱，管理員名稱和密碼，設置帶外網管地址，是否使用鏈路匯聚功能，管理接口地址，掩碼和默認網關，VLAN的TAG（這里為10，VLAN 10需要預先配置好），管理接口的端口編號（例如1），管理接口的DHCP服務器的地址，設置AP管理接口地址，AP管理接口DHCP服務器地址，虛擬網關地址（例如“1.1.1.1”，該地址不可路由，主要充當DHCP中繼 代理，讓WLC和DHCP服務器聯系獲取IP，并分配給客戶，這樣可以保護真實的DHCP服務器）。

然后設置漫游組名稱（同組中的AP可以漫游），指定SSID名稱（例如“Wlan01”），根據需要決定是否啟用DHCP橋模式，是否允許客戶手動設置IP，接著配置RADIS服務器信息，設置其IP，端口號，連接密鑰。然后設置國家代碼（例如“CN”）。接著 激 活 802.11b，802.11 和802.11g網絡，選中Auto-RF功能（該功能可以在某些AP出現故障后，WLC會自動擴大其他AP的發射功率，更好的實現區域覆蓋），然后選擇是否設置NTP服務器，或者手動設置時間。完成以上配置后，保存并重啟WLC設備。對于無線控制器來說，如果需要清空配置的話，可以在其管理界面中執行“clear config”命令，并輸入“y”進行確認。執行“reset system”命令，依次輸入“n”和“y”后，重啟無線控制器即可。

在WLC上創建動態接口

打開 瀏覽器，訪 問W L C的 地 址“http://192.168.1.100”。輸入預設的賬戶名和密碼，進入其管理界面。

在“Summary”的頁面中的“Access Point Summary”欄中顯示已經注冊的AP數量。

在工具欄上點擊“WLANS”項，在WLANS列表中顯示存在的WLANS項目（例如上述“Wlan01”），包括其ID、類型、項目名稱、SSID、管理狀態和安全特性等。

在列表中選擇“Create New”項，點擊“Go”按鈕，可以創建新的WLAN。

圖1 設置動態端口屬性

僅僅有了WLAN是不夠的，還需要創建相應的動態接口，使其和對應本地VLAN和WLAN進行關聯。在工具欄上點擊“CONTROLLER”項，在左側點擊“Interfaces”項，在右側顯示所有的端口信息。

在右上角點擊“New”按鈕，在打開界面中的“Interface Name” 欄 中輸入動態接口名稱（例如“dtport01”），在“VLAN ID”欄中輸入VLAN的ID（例如“2”，該VLAN必須事先創建）。點擊“Apply”按鈕保存該接口。

在屬性頁面（如圖1）中的“Port Number”欄中輸入接口數量（例如“1”），在“IP Address”欄中輸入其IP（例 如“192.168.2.90”），在“Netmask”欄中輸入掩碼，在“Gateway”欄中輸入網關地址（例如“192.168.2.254”），在“Primary DHCP Server”欄中輸入DHCP服務器地址（例如“192.168.1.168”）。

點擊“Apply”按鈕保存配置信息。這樣，就讓該動態接口和特定的VLAN建立連接。

設置WLAN的安全屬性

在工具欄上點擊“WLANs”項，在上述“Wlan01”項的“WLAN ID”列中點擊其ID號，在屬性頁面中的“Interface/Interface Group”列表中選擇上述“dtport01”接口。

這樣，就實現了將該WLAN和目標動態接口的關聯，當客戶端連接目標AP后，產生的流量就從該動態接口進入有線網絡中。 在“Security” 面 板中 的“Layer2”標 簽 中 的“Layer 2 Security”列表中選擇“WPA+WPA2”項，選擇所需的安全級別。選擇“WPA Policy”項，在“Auth key Mgmt”列表中選擇“PSK”項，選擇預共享密鑰。在“PSK Format”欄中輸入密碼。點擊“Apply”按鈕保存配置信息。

這樣，客戶端就可以在無線熱點列表中看到該WLAN的SSID信息，將其選中后輸入密碼，就可以連接到本地網絡中。在客戶機上執行“ipconfig”命令，顯示獲取的IP信息。

將客戶機添加到域環境

在該客戶機上打開系統屬性窗口，點擊“更改設置”鏈接，輸入域的名稱和域賬戶密碼，將其加入到域環境中。這樣，對其管理起來就更加便捷。

在域控上打開Active Directory用戶和計算機窗口，在其中已經創建名為“isegrp”的OU，用來管理和ISE相關的賬戶，計算機和 組（例 如“isegroup1”）。將該客戶機（例如名稱為“Win7kh”）拖動到該OU中。

打開其屬性窗口，在“隸屬于”面板中點擊“添加”按鈕，將其添加到上述“isegroup1”中。 在 該 客戶機上以特定的域賬戶（例如“xxxiseruser01”） 身份登錄。當然，該賬戶預先已經創建好，并存儲在上述“isegrp”的OU中。 執 行“mmc”程序，在控制臺上點擊菜單“文件”-“添加/刪除管理單元”項，分別添加用戶和計算機證書。在左側選擇“證書”-“個人”-“所有任務”-“申請新證書”項，在向導界面申請證書并注冊，具體操作很簡單，這里不再詳述。同理，執行計算機證書的申請和注冊。

在WLC上創建控制列表

在WLC管理頁面工具欄 上點 擊“SECURITY”項，在 左 側 選 擇“RADIUS”-“Authentication” 項，在已經存在的認證項目的“Server Index”列 中 點擊 序 號，在“Support for RFC”列表中選擇“Enabled”項，激活COA授權更改功能。在左側點擊“RADIUS”-“Accounting”項，在右側點擊“New”按鈕，在打開頁面中的“Server IP Address”欄中輸入ISE服務器的IP（例如“192.168.1.200”）。 在“Shared Secret”欄中輸入密碼。點擊“Apply”按鈕，添加新的審計項目。

在左側選擇“Access Control Lists”-“Access Control lists”項，在 右側點擊“New”按鈕，輸入新的控制列表的名稱（例如“acclist1”），點 擊“Apply”按鈕保存該列表。然后點擊該ACL列表，在其屬性窗口中的“Souce”列表中選擇“Any”，在“Destination”列 表 中 選 擇“Any”，在“Protocol”列表中選擇“UDP”， 在“Source Port”列 表 中 選 擇“Any”，在“Destination Port”列 表選擇“DHCP Server”項，在“DSCP”和“Direction”列表中均選擇“Any”，在“Action”列表中選擇“Permit”項，放行和DHCP相關的流量。

點擊“Add New Rule”按鈕，創建新的條目，創建與上述幾乎相同的內容，所不同的是在“Source Port”列表中 選 擇“DHCP Server”，在“Destination Port”列 表選擇“Any”項。這是因為在WLC控制規則中，需要對進出的流量分別控制。同理，針對ICMP，DNS協議相關的流量進行放行。對于ICMP流量來說，設置允許探測的地址，這樣可限制客戶可以探測范圍。按照同樣的方法，創建名為“Acclist2”的訪問控制列表，在其屬性窗口中所有的列表均選擇“Any”，在“Action”列 表 中 選 擇“Permit”項，放行所有流量。

設置動態接口屬性

在 上 述“dtport01”動態端口屬性頁面中的“ACL Name”列表中選擇“Acclist1”項，選擇具有基本管控功能的列表項目。

為便于說明，在上述“Wlan01” 項 的“WLAN ID”列中點擊其ID號，在其屬性頁面中的“Interface/Interface Group”列表中選擇“management”項，表示授權放行所有操作。

在“Security” 面 板中 的“Layer2”標 簽 中 的“Layer 2 Security” 列表中選擇“WPA+WPA2”項，在“Auth Key Mgmt”列 表中 選 擇“802.1X”項，在“AAA Server”標 簽 中 的“Authentication Servers”欄中選擇“Enabled”項，激活認證功能。

在“Server1”列表中選擇ISE服務器的IP地址，將ISE服務器作為認證服務器。

在“Advanced”面板中的“Allow AAA Override”欄中選擇“Enabled”項，激活AAA配置覆蓋功能。點擊“Apply”按鈕保存配置信息。

在工具欄上點擊“MANAGEMENT”項，在 左 側選 擇“SNMP”-“SNMP V3 Users”項，在右側刪除默認配置項目。

點擊“New”按鈕，輸入其用戶名稱（例如“snmp01”），在“Access Mode”列表中選擇“Read Write”項。

在“Authentication Protocol”列表中選擇“HMAC-MD5”項，選擇MD5方式進行哈希處理，并輸入密碼。

在“Pricacy Protocol”列表中選擇“CBC-DES”項，選擇DES加密方式，并輸入密碼。

在ISE中配置無線認證項目

登錄ISE管理界面，點擊菜單“Administration”-“Network Devices”項，在打開界面中點擊“Add”按鈕，輸入WLC的名稱（例如“WLC01”），在“IP Address”欄中輸入上述WLC設備管理接口的地址。在“Device Type”和“Location”列 表中分別選擇設備類型和位置。打開“Authentication Settings”面板，在“Shared Secret”欄中輸入上述WLC設備的連接密鑰。打開“SNMP Settings”面板，在其中依次選擇版本號（例如“3”），輸入上述SNMP用戶名稱，在“Security Level”列表中選擇“Prvi”，并選擇MD5哈希方式和DES加密方式，分別輸入對應的密碼，這里與上述SNMP配置相同。點擊“Submit”按鈕，提交上述配置信息。

點 擊 菜 單“Policy”-“Authentication”項，在策略列表中選擇第一個策略項，在右側點擊“Actions”按鈕，在彈出菜單中點擊“Insert new row above”項，插入一個新策略，輸入其名稱（例如“WirelessAuthen1”），在“Condition(s)” 列 中選 擇“Select Existing Condition from Library”項，在已經存在的條件中選擇“Wireless_802.1X”項。

當 然， 點 擊“Add Attribute/Value”項，可以添加更多的條件。例如選擇設備所處的地點等。在“Select Network Access”列中選擇所需的協議，例如選擇默認的“Default Network Access”。 在 認 證數據庫選擇面板中選擇和域賬戶關聯的項目。

實現需要將Windows Server 2008 R2的域賬戶信息導入到ISE中，例如將活動目錄中的“isegrp”中的域賬戶信息導入進來，點擊“Submit”按鈕，保存該認證項目。

在ISE中配置無線授權項目

點 擊 菜 單“Policy”-“Result” 項， 在 左 側點 擊“Authorzation”-“Authprization Profiles”項，在右側點擊“Add”按鈕，添加名為“profile1”的授權項目，在其中選擇“VLAN”項，在“Tag ID”欄中輸入合適的VLAN號（例如“2”）。選擇“Airespace ACL Name”項，設置有關無線的控制列表，輸入在WLC上創建的ACL列表，這里輸入“Acclist2”。點擊“Submit”按鈕提交修改。

點擊工具欄上的“Authorization”按鈕，在授權策略列表中選擇第一個策略項，在右側點擊“Edit”項，在彈出菜單中選擇“Insert New Rule Above”項，插入新的授權策略，輸入其名稱（例如“WirelessAuthor1”），在“Condition(s)”列中選擇合適的條件，例如選擇“Wireless_802.1X”，WLC 設備所在的位置等。在“Permissions”列中選擇上述名為“profile1”的授權項目。