• Like
Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводного доступа и web-аутентификации.
Upcoming SlideShare
Loading in...5
×

Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводного доступа и web-аутентификации.

  • 428 views
Uploaded on

 

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
428
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
7
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводного доступа и web- аутентификации. Irina Ilyina-Sidorova CSE, Cisco TAC Brussels July, 2014
  • 2. 2© 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Support Community – Expert Series Webcast Сегодня на семинаре Эксперт Cisco TAC Ирина Ильина- Сидорова рассмотрит базовые настройки для организации беспроводного доступ на контроллерах нового поколения (3850, 5760, и пр.) Ирина Ильина-Сидорова Инженер центра технической поддержки Cisco TAC в Брюсселе
  • 3. 3© 2013-2014 Cisco and/or its affiliates. All rights reserved. Технические Эксперты Тема: Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводного доступа и web- аутентификации Дата проведения вебинара: 8 июля 2014 года Роман Манчур Инженер центра технической поддержки Cisco TAC в Брюселле
  • 4. 4© 2013-2014 Cisco and/or its affiliates. All rights reserved. Спасибо, что посетили наш вебинар сегодня Сегодняшняя презентация включает опросы аудитории Пожалуйста, участвуйте!
  • 5. 5© 2013-2014 Cisco and/or its affiliates. All rights reserved. Спасибо, что присоединились к нам сегодня Скачать презентацию Вы можете по ссылке: https://supportforums.cisco.com/ru/document/122507 06
  • 6. Присылайте Ваши вопросы! Используйте панель Q&A, чтобы задать вопрос. Наши эксперты ответят на них.
  • 7. 7© 2013-2014 Cisco and/or its affiliates. All rights reserved. Вопрос №1 Применяете ли вы сейчас устройства NGWC? a) Нет, не используем это оборудование в принципе b) Планируем использовать, но пока не применяем c) Используем исключительно как коммутатор d) Уже используем или ближайшее время планируется внедрение беспроводной функциональности
  • 8. 8© 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Support Community – Expert Series Webcast Ирина Ильина-Сидорова Инженер центра технической поддержки Cisco TAC в Брюсселе Июль, 2014 Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводного доступа и web- аутентификации.
  • 9. 9© 2013-2014 Cisco and/or its affiliates. All rights reserved.  Что такое NGWC  Базовая настройка беспроводного доступа  Web-аутентификация  Локальная  Локальная с использованием внешнего RADIUS  Локальная с использованием AD/LDAP  Централизованная – RADIUS (Cisco ISE) Содержание
  • 10. 10© 2013-2014 Cisco and/or its affiliates. All rights reserved.  Next Generation Wiring Closet  Next Generation Wireless Controller  Гибрид беспроводного контроллера и проводного коммутатора  5760, 3850, 3650  IOS-XE  Последние версии 3.3.0 и 3.6.0  Лицензирование подключений – right-to-use (RTU) license  Мобильные группы  HA (резервирование) Что такое NGWC
  • 11. 11© 2013-2014 Cisco and/or its affiliates. All rights reserved.  Mobility  Layer 2 и 3 VLAN  DHCP  Подсоединение AP  WLAN  Security Базовая настройка NGWC
  • 12. 12© 2013-2014 Cisco and/or its affiliates. All rights reserved.  Непосредственно к портам NGWC (для 3850)  access port, не trunk port c native VLAN (VLAN=wireless mgmt VLAN)  Страна (country code) должна совпадать  PoE – лучше настроить в явном виде  Активация лицензии: license right-to-use activate apcount <count> slot <#> acceptEULA  Проверка подсоединения точек доступа: show ap summary  Не поддерживаются модели 1130, 1240, 1250  Локальный режим работы точек доступа  Как обычно, важно точное время Подключение точек доступа
  • 13. 13© 2013-2014 Cisco and/or its affiliates. All rights reserved.  Management interface VLAN (управляющий интерфейс контроллера)  IP этого VLAN’а служит для терминации CAPWAP-туннелей от точек доступа  На канале upstream необходимо разрешить в trunk’е:  Управляющий VLAN  Клиентский VLAN  Для DHCP добавляем:  ip dhcp relay information trusted  ip dhcp snooping trust  MA (мобильный агент) использует лицензии, активированные на MC (мобильном контроллере)  Точка доступа не может присоединиться к мобильному агенту, который не имеет связи с мобильным контроллером  Беспроводные службы на 3850 требуют ipservices или ipbase license Базовая настройка
  • 14. 14© 2013-2014 Cisco and/or its affiliates. All rights reserved.  По умолчанию:  WPA 2 AES 802.1x  Client exclusion 60  Session timeout 1800 Настройка WLAN Пример: Test-PSK WLAN, VLAN21, используем WPA 1 TKIP
  • 15. 15© 2013-2014 Cisco and/or its affiliates. All rights reserved. Новая концепция мобильных групп  Новые термины:  Мобильный агент (MA)  Мобильный контроллер (MC)  Мобильный оракул (MO) С их помощью мы создаём:  Peer Groups  Sub-Domains  Mobility Groups  Mobility Domains Организация Mobility UDP Port 16666 – Трафик управления UDP Port 16667 – Клиентский трафик упакован в CAPWAP UDP Port 16668 – для связи с MO
  • 16. 16© 2013-2014 Cisco and/or its affiliates. All rights reserved. Новые термины: PoP и PoA  Point of Presense - это anchor WLC  Point of Attachment – это foreign WLC  Поскольку лицензии применяются на MC, мобильные группы лучше конфигурировать до начала развёртывания беспроводной сети  Просмотр имеющейся конфигурации:  Show run | in wireless  Show wireless mobility summary  Настройка на мобильном контроллере:  wireless management interface vlan 100  Wireless mobility controller  Wireless mobility controller peer-group ИМЯ_ГРУППЫ  Wireless mobility controller peer-group ИМЯ_ГРУППЫ member ip MGMT_IP_АГЕНТА  Настройка на мобильном агенте:  wireless mobility controller ip 192.168.100.16 Mobility - продолжение
  • 17. 17© 2013-2014 Cisco and/or its affiliates. All rights reserved.  Настройка мобильных групп проводится на MC:  Создаем группу: Wireless mobilty group name <name>  Определяем её членов: Wireless mobility group member ip <mgmt ip> group <group name>  Для траблшутинга: Сбои в Data and Control path  Debug mobility keep-alive Сбои в роуминге  Debug mobility handoff Фильтрация по конкретному контроллеру  Debug mobility peer=ip w.x.y.z Mobility - окончание
  • 18. 18© 2013-2014 Cisco and/or its affiliates. All rights reserved. Вопрос №2 Какая веб-аутентификация наиболее востребована в вашей компании? a) Локальная аутентификация b) Централизованная с использованием Cisco ISE c) Централизованная с использованием AD/LDAP/RADIUS d) Функциональность не востребована
  • 19. 19© 2013-2014 Cisco and/or its affiliates. All rights reserved. В случае локальной базы данных пользователей C использованием графического интерфейса  Конфигурируем Global Parameter Map (определяем virtual ip address)  Configuration > Security > Web Auth > Webauth Parameter Map Локальная аутентификация (LWA)
  • 20. 20© 2013-2014 Cisco and/or its affiliates. All rights reserved. Вначале необходимо настроить виртуальный IP адрес Локальная аутентификация (LWA) - 2
  • 21. 21© 2013-2014 Cisco and/or its affiliates. All rights reserved. Вводим виртуальный IP Локальная аутентификация (LWA) - 3
  • 22. 22© 2013-2014 Cisco and/or its affiliates. All rights reserved. Затем создаём новый parameter-map с типом webauth Локальная аутентификация (LWA) - 4
  • 23. 23© 2013-2014 Cisco and/or its affiliates. All rights reserved. Создаём лист методов аутентификации и авторизации Локальная аутентификация (LWA) - 5
  • 24. 24© 2013-2014 Cisco and/or its affiliates. All rights reserved. Для авторизации создаем список типа «network» с типом группы «local» Локальная аутентификация (LWA) - 6
  • 25. 25© 2013-2014 Cisco and/or its affiliates. All rights reserved. Ещё один лист понадобится для использования локальных пользователей для аутентификации: Локальная аутентификация (LWA) - 7
  • 26. 26© 2013-2014 Cisco and/or its affiliates. All rights reserved. Результат конфигурирования: Локальная аутентификация (LWA) - 8
  • 27. 27© 2013-2014 Cisco and/or its affiliates. All rights reserved. Теперь необходимо создать локальных пользователей Локальная аутентификация (LWA) - 9
  • 28. 28© 2013-2014 Cisco and/or its affiliates. All rights reserved.  Создаём WLAN  Задаем интерфейс, активируем WLAN  Отключаем Layer 2 Security  Включаем Web Policy в Security-> Layer 3 и указываем web-auth profile, webauth parameter map Локальная аутентификация (LWA) - 10
  • 29. 29© 2013-2014 Cisco and/or its affiliates. All rights reserved. Пример успешно аутентифицированного пользователя: Локальная аутентификация (LWA) - 11
  • 30. 30© 2013-2014 Cisco and/or its affiliates. All rights reserved.  Вот те же настройки, выполняемые через командную строку: AAA part  aaa authentication login local_webauth local # authentication method list called ‘local_webauth’ set to group type ‘local’  aaa authorization network local_webauth local # authorization method list called ‘local_webauth’ set to group type ‘local’  aaa authorization credential-download default local # authorization method list for use of local credentials Guest Users (local net users)  user-name USER_WEBAUTH  creation-time 1368715259  privilege 15  password 0 PASSWORD  type network-user description DESCRIPTION guest-user lifetime year 0 month 0 day 6 hour 23 minute 54 second 4 Локальная аутентификация (LWA) – CLI – 1
  • 31. 31© 2013-2014 Cisco and/or its affiliates. All rights reserved. Parameter-Map  parameter-map type webauth global  virtual-ip ipv4 172.16.16.16 # global parameter map is used to define the virtual ip address  parameter-map type webauth PARAMETER_MAP  type webauth  banner  # named parameter map (ex: vit_web) with type webauth  WLAN config  wlan WEBAUTH_WLAN 7 WEBAUTH_WLAN  client vlan WEBAUTH  no security wpa  no security wpa akm dot1x  no security wpa wpa2  no security wpa wpa2 ciphers aes  security web-auth # set the SSID to security ‘web-auth’  security web-auth authentication-list local_webauth # call the method list  security web-auth parameter-map PARAMETER_MAP # call the parameter map  session-timeout 1800 Локальная аутентификация (LWA) – CLI – 2
  • 32. 32© 2013-2014 Cisco and/or its affiliates. All rights reserved. Локальная аутентификация с использованием RADIUS Единственное отличие заключается в использовании списка методов аутентификации/авторизации, содержащего внешний RADIUS-сервер. То есть необходимо создать новые authentication и authorization method list и указать RADIUS server group
  • 33. 33© 2013-2014 Cisco and/or its affiliates. All rights reserved.  AAA part  aaa authentication login webauth_radius group ISE_Group  aaa authorization network webauth_radius group ISE_Group  aaa group server radius ISE_Group  server name ISE  radius server ISE  address ipv4 192.168.154.119 auth-port 1812 acct-port 1813  key ww-wireless  Parameter-Map  parameter-map type webauth global  virtual-ip ipv4 172.16.16.16  parameter-map type webauth PARAMETER_MAP  type webauth  banner Локальная аутентификация с использованием RADIUS - CLI
  • 34. 34© 2013-2014 Cisco and/or its affiliates. All rights reserved.  WLAN config  wlan WEBAUTH 7 WEBAUTH  client vlan CLIENT_VLAN  no security wpa  no security wpa akm dot1x  no security wpa wpa2  no security wpa wpa2 ciphers aes  security web-auth  security web-auth authentication-list webauth_radius  security web-auth parameter-map vit_web  session-timeout 1800 Локальная аутентификация с использованием RADIUS – CLI - 2
  • 35. 35© 2013-2014 Cisco and/or its affiliates. All rights reserved. В этом примере мы используем DC как LDAP сервер Локальная аутентификация с использованием AD/LDAP Далее создаём группу и список методов аутентификации, аналогично примеру с RADIUS
  • 36. 36© 2013-2014 Cisco and/or its affiliates. All rights reserved.  WebAuth Parameter map настраивает идентично примеру с RADIUS  В свойствах WLAN выбираем новый профиль и метод аутентификации Локальная аутентификация с использованием AD/LDAP - 2
  • 37. 37© 2013-2014 Cisco and/or its affiliates. All rights reserved. ldap server myldap ipv4 X.X.X.X bind authenticate root-dn CN=HOSTNAME,OU=Subunit,OU=Unit,DC=xx,DC=yyy,DC=zzz password hello123 base-dn OU=Unit,DC=xx,DC=yyy,DC=zzz search-filter user-object-type person aaa group server ldap myldap server myldap aaa authentication login MyLDAPAuthentication group myldap parameter-map type webauth global virtual-ip ipv4 3.3.3.3 banner text ^C TEST ^C Локальная аутентификация с использованием AD/LDAP - CLI
  • 38. 38© 2013-2014 Cisco and/or its affiliates. All rights reserved. parameter-map type webauth test_web type webauth banner text ^C Banner ^C wlan CCPSecuredAccess 7 CCPSecuredAccess client vlan VLAN0906 no security wpa no security wpa akm dot1x no security wpa wpa2 no security wpa wpa2 ciphers aes security dot1x authentication-list MyLDAPAuthentication security web-auth security web-auth authentication-list MyLDAPAuthentication security web-auth parameter-map test_web Локальная аутентификация с использованием AD/LDAP – CLI – 2
  • 39. 39© 2013-2014 Cisco and/or its affiliates. All rights reserved.  Также, как и раньше, конфигурируем Global Parameter Map (и определяем virtual ip address) Configuration > Security > Web Auth > Webauth Parameter Map  Добавляем ISE в качестве Radius-сервера и создаём RADIUS server group  Список методов аутентификации будет иметь тип dot1x  Список методов авторизации будет иметь тип network Аутентификация с использованием RADIUS
  • 40. 40© 2013-2014 Cisco and/or its affiliates. All rights reserved.  Adding RADIUS server • Define RADIUS server(s) • Create RADIUS group(s) • Create Method list to call under the SSID Аутентификация с использованием RADIUS-1
  • 41. 41© 2013-2014 Cisco and/or its affiliates. All rights reserved.  Создаём список методов аутентификации Аутентификация с использованием RADIUS-2
  • 42. 42© 2013-2014 Cisco and/or its affiliates. All rights reserved.  Создаём список методов авторизации  Основная идея в том, чтобы в случае Wireless MAB, процесс авторизации обращался к ISE для авторизации неизвестных MAC- адресов Аутентификация с использованием RADIUS-3
  • 43. 43© 2013-2014 Cisco and/or its affiliates. All rights reserved.  В Security>Layer-2 указываем mac-filter  В Security->Layer-3 указываем список методов аутентификации  В Advanced включаем AAA Override и NAC state Аутентификация с использованием RADIUS-4
  • 44. 44© 2013-2014 Cisco and/or its affiliates. All rights reserved.  radius-server attribute 31 send nas-port-detail mac-only # Send Client MACs  radius-server attribute 6 on-for-login-auth # send service type  radius-server vsa send accounting  radius-server vsa send authentication # Exchange VSA info  aaa server radius dynamic-author # Allow CoA from RADIUS  client 192.168.154.119 server-key ww-wireless  auth-type any Аутентификация с использованием RADIUS – CLI
  • 45. 45© 2013-2014 Cisco and/or its affiliates. All rights reserved. URL Redirect ACL which is sent from ISE Extended IP access list ACL-REDIRECT deny udp any eq bootps any deny udp any any eq bootpc deny udp any eq bootpc any # above 3 rules block DHCP deny udp any any eq domain deny tcp any any eq domain # block DNS deny ip any host 192.168.154.119 # block access to ISE server deny ip any host 192.168.150.25 # block access to DHCP/DNS servers permit tcp any any eq www # permit www and/or 443 Аутентификация с использованием RADIUS – CLI – 2
  • 46. 46© 2013-2014 Cisco and/or its affiliates. All rights reserved. AAA configuration aaa authorization network cwa_macfilter group ISE_Group # Authorization Method list for mac filtering which points to ISE for Wireless MAB aaa authentication login viten_cwa group ISE_Group # Authentication method list which calls the RADIUS server group radius server ISE address ipv4 192.168.154.119 auth-port 1812 acct-port 1813 key ww-wireless # Define RADIUS server aaa group server radius ISE_Group server name ISE # Define RADIUS server group Аутентификация с использованием RADIUS – CLI – 3
  • 47. 47© 2013-2014 Cisco and/or its affiliates. All rights reserved. WLAN configuration wlan Central_Webauth 7 viten_cwa aaa-override # enable AAA override client vlan Viten mac-filtering cwa_macfilter # mac filter list pointing to radius server group nac # enable radius nac no security wpa no security wpa akm dot1x no security wpa wpa2 no security wpa wpa2 ciphers aes security dot1x authentication-list viten_cwa # authentication method list session-timeout 1800 no shutdown Аутентификация с использованием RADIUS – CLI – 3
  • 48. 48© 2013-2014 Cisco and/or its affiliates. All rights reserved.  CAPWAP debugs for NGWC  Debug capwap ap event  Debug capwap ap error  AP debugs for NGWC  Debug capwap client events  Debug capwap client errors  Mobility  Debug mobility keep-alive  Debug mobility handoff  Debug mobility peer=ip w.x.y.z  WebAuth  Debug aaa authentication  Debug radius authentication  Debug client mac-address <mac>  Debug ip admissions [command family]  Show run aaa  Show run | section parameter  Show wireless client mac-address <mac> detail Поиск и устранение неисправностей
  • 49. 49© 2013-2014 Cisco and/or its affiliates. All rights reserved. Вопрос №3 Возникают ли у вас вопросы по продуктам и технологиям беспроводного доступа Cisco? a) Нет, я не использую Cisco wireless настолько, чтобы возникали вопросы b) Нет, всё достаточно понятно и так c) Да, я решаю их самостоятельно d) Да, для решения я общаюсь на глобальном Cisco Support Forums e) Да, общаюсь в российском сообществе Cisco Support Forums f) Да, открываю кейс в Cisco TAC
  • 50. Отправьте свой вопрос сейчас! Используйте панель Q&A, чтобы задать вопрос. Эксперты ответят на Ваши вопросы.
  • 51. Получить дополнительную информацию, а также задать вопросы эксперту в рамках данной темы Вы можете на странице, доступной по ссылке: https://supportforums.cisco.com/community/russian/expert-corner Вы можете получить видеозапись данного семинара и текст сессии Q&A в течении ближайших 5 дней по следующей ссылке https://supportforums.cisco.com/community/russian/expert-corner/webcast
  • 52. 52© 2013-2014 Cisco and/or its affiliates. All rights reserved. https://supportforms.cisco.com/community/russian http://www.facebook.com/CiscoSupportCommunity http://twitter.com/#!/cisco_support http://www.youtube.com/user/ciscosupportchannel https://plus.google.com/110418616513822966153?prsrc=3#110418616513822966 153/posts http://itunes.apple.com/us/app/cisco-technical-support/id398104252?mt=8 https://play.google.com/store/apps/details?id=com.cisco.swtg_android http://www.linkedin.com/groups/CSC-Cisco-Support-Community-3210019 Newsletter Subscription: https://tools.cisco.com/gdrp/coiga/showsurvey.do?surveyCode=589&keyCode=146298_2&PH YSICAL%20FULFILLMENT%20Y/N=NO&SUBSCRIPTION%20CENTER=YES
  • 53. 53© 2013-2014 Cisco and/or its affiliates. All rights reserved. • Испанском  https://supportforums.cisco.com/community/spanish • Португальском  https://supportforums.cisco.com/community/portuguese • Японском  https://supportforums.cisco.com/community/csc-japan
  • 54. Спасибо за Ваше время Пожалуйста, участвуйте в опросе