本节书摘来自异步社区《CCNA无线640-722认证考试指南》一书中的第15章,第15.3节配置WLAN,作者 【美】David Hucaby,更多章节内容可以访问云栖社区“异步社区”公众号查看
15.3 配置WLAN
CCNA无线640-722认证考试指南
控制器默认无任何配置,也就是说没有任何WLAN,因而在创建新WLAN之前,必须考虑以下参数:
SSID;
控制器接口和VLAN号;
所需的无线安全类型。
15.3.1 配置RADIUS服务器
如果新WLAN使用的安全方案需要用到RADIUS服务器,那么就需要首先定义RADIUS服务器。选择Security > AAA > RADIUS > Authentication即可看到已配置的RADIUS服务器(如图15-2所示)。如果已经定义了多个服务器,那么控制器将依次尝试使用这些服务器。点击New可以创建一个新服务器。
接下来输入RADIUS服务器的IP地址、共享秘密密钥以及端口号(如图15-3所示)。由于该控制器已经配置了两个RADIUS服务器,因而地址为192.168.200.30的RAIDUS服务器索引号为3。一定要将该服务器的状态设置为Enabled,以便控制器可以开始使用该服务器。在配置页面的底部,可以选择由该服务器认证的用户类型。选中Network User(网络用户),表示认证无线客户端。选中Management(管理),则表示认证将访问控制器管理功能的无线管理员。点击Apply按钮即可完成RADIUS服务器的配置工作。
15.3.2 创建动态接口
第10章曾经解释过不同类型的控制器接口。动态接口负责将控制器连接到有线网络的VLAN上。在创建新WLAN的时候,必须将动态接口(和VLAN)绑定到无线网络上。
如果要创建动态接口,可以选择Controller > Interfaces,应该可以看到目前已配置的所有控制器接口列表。点击New按钮即可定义一个新接口,然后输入该接口的名称以及将要绑定的VLAN号。从图15-4可以看出,名为Engineering的接口被映射到有线VLAN 100上。最后点击Apply按钮。
接下来输入该接口的IP地址、子网掩码以及网关地址。此外还要定义一个主用和备用DHCP服务器地址,控制器在转发绑定到该接口的客户端的DHCP请求时需要用到该信息。图15-5显示了为接口Engineering配置IP地址192.168.100.10的方式。点击Apply按钮即可完成接口配置并返回接口列表。
接下来需要输入一个描述性的名称作为配置文件名以及SSID文本字符串。为了直观起见,图15-7将配置文件名和SSID都设置为相同值。ID号被用作控制器上定义的WLAN列表中的索引,在Cisco NCS(Network Control System,网络控制系统)或PI(Prime Infrastructure,主要基础设施)上利用模板同时在多个控制器上配置WLAN时,该ID号将非常有用。
利用Status复选框可以控制是否启用该WLAN。虽然General页面显示该WLAN有一个特定的安全策略(默认基于802.1x的WPA2),但完全可以在后面的步骤中通过Security标签页更改该设置。
在Radio Policy(无线电策略)下,选择将要提供给该WLAN的无线电类型,默认该WLAN将被提供给加入该控制器的所有无线电。也可以选择更精确的无线电策略,如802.11a only、802.11a/g only、802.11g only或802.11b/g only。例如,如果要为仅支持2.4GHz无线电的设备配置新WLAN,那么同时在2.4GHz频带和5GHz频带上宣告该WLAN明显是不合理的。
接下来选择将要绑定到该WLAN的控制器接口。下拉菜单列表中包含所有可用的接口名称。图15-8中名为engineering的新WLAN将被绑定到engineering接口上。
最后利用Broadcast SSID(广播SSID)复选框来选择AP是否在信标中广播该SSID名称。广播SSID对用户来说通常更为方便,因为用户设备能够自动获知并显示这些SSID名称。隐藏SSID(即不广播SSID)名称并不能提供真正有效的安全性,只能阻止用户设备发现SSID并试图将其用作默认网络。
15.3.4 配置WLAN安全
选择Security(安全)标签即可配置WLAN的安全设置。默认选中Layer 2 Security(二层安全)标签,然后在Layer 2 Security的下拉菜单中选择希望使用的安全方案。表15-2列出了可用的安全类型。此外,还可以选中MAC Filtering(MAC过滤)复选框,将客户端MAC地址用作认证凭证。
如果选择了要求RADIUS服务器的二层安全方案,那么控制器将使用在Security > AAA > RADIUS >Authentication下定义的服务器全局列表。虽然也可以修改该服务器列表,但需要注意的是,在WLAN配置中最多只能定义3个特定的RADIUS服务器。查看AAA Servers标签页,然后在每个服务器下,从全局定义的服务器下拉菜单中选择特定的服务器IP地址,控制器将依次尝试Server 1,、Server 2和Server 3,直到某个服务器做出响应为止。图15-10显示了从192.168.200.28、192.168.200.29和192.168.200.30的服务器列表中选择并设置Server 1。
控制器默认通过其管理接口联系RADIUS服务器。也可以选中紧挨着Radius Server Overwrite Interface(Radius服务器更改接口)的复选框来修改该默认行为,此时控制器将通过关联到该WLAN的动态接口发起RADIUS请求。
15.3.5 配置WLAN QoS
选择QoS标签即可进行WLAN的服务质量设置(如图15-11所示)。控制器默认将WLAN中的所有帧均视为普通数据,采取尽力而为的处理模式。也可以设置Quality of Service(QoS)下拉菜单,将所有的帧分为以下几类:
Platinum (voice)(白金[语音]);
Gold (video)(金[视频]);
Silver (best effort) (银[尽力而为]);
Bronze (background) (铜[背景])。
此外,还可以在QoS配置页面设置WMM(Wi-Fi Multimedia,Wi-Fi多媒体)策略以及CAC(Call Admission Control,呼叫准入控制)策略。
15.3.6 配置WLAN的高级设置
最后,选择Advanced(高级)标签即可配置各种高级的WLAN设置,包括启用覆盖盲区检测、点到点阻塞、客户端驱逐以及客户端负载限制等特性(如图15-12所示)。
虽然大多数高级设置都已经超出了CCNA无线考试的范围,但还是应该了解一些可能影响无线客户端的默认特性。
在默认情况下,客户端与WLAN之间的会话被限制在1800秒(30分钟)以内。一旦会话超时,就要求客户端进行重认证。该设置是由Enable Session Timeout(企业会话超时)复选框和Timeout(超时)字段控制的。
控制器维护了一组用来检测潜在恶意无线客户端的安全策略。如果某客户端表现出一些特定行为,那么控制器就可以将该客户端从WLAN中驱逐出去一段时间。默认所有的客户端都要接受Security > Wireless Protection Policies > Client Exclusion Policies下配置的安全策略的管理。这些安全策略包括802.11关联失败次数过多、802.11认证失败次数过多、802.1x认证失败次数过多、Web认证失败次数过多以及IP地址被盗或重用。违反这些安全策略的客户端将被自动驱逐或阻塞60秒钟,从而达到遏制无线网络攻击的目的。
提示:
60秒钟时间是否足够遏制来自无线客户端的攻击行为呢?对于利用字典概率来猜测密码的暴力攻击来说,60秒钟时间足以中断并推迟该攻击进程。有了客户端驱逐策略,原本只需要2分钟即可找到匹配密码的攻击将被延长到15年左右。
15.3.7 完成WLAN配置
如果对WLAN配置标签页面上的所有设置均满意,那么就可以点击Apply按钮。此后将创建一个新WLAN并被添加到控制器的配置中。从图15-13可以看出,名为engineering的WLAN已经被添加为WLAN ID 2,而且已经被启用。