配置无线访问
无线接入层的主要功能是在校园的任何地方为无线设备提供网络连接。无线访问必须是安全、可用、容错和可靠的,以满足当今用户的需求。
为了满足各种网络设计对无线接入的要求,Aruba ESP Campus支持无线和有线网络之间的两种流量交换模式。桥接模式下,AP将802.11帧转换为802.3以太网帧。隧道模式是指AP对GRE报文中的802.11帧进行封装,通过隧道将流量送到Gateway设备进行解封装、附加检查,如果允许,还可以进入正确的VLAN。
SSID用于在wlan之间划分流量。使用多个ssid的一个典型示例是将员工流量与访问者流量分开。另一个原因可能是将物联网设备与其他类型的端点分开。
对于大型校园拓扑,Aruba ESP Campus为Visitor SSID使用桥接模式,并为SSID使用预共享密钥身份验证,这可能是仓库或医疗保健设置中的设备所需要的。同样,通过802.1X认证的SSID也采用隧道模式。
ESP校园内的无线ap如下图所示。
网桥模式ssid的接入vlan如下表所示。
例如:AP接入vlan
| VLAN的名字 | VLAN ID |
|---|---|
| 员工 | 3. |
| BLDG_MGMT | 4 |
| 相机 | 5 |
| 打印机 | 6 |
| 游客 | 12 |
| REJECT_AUTH | 13 |
| CRITICAL_AUTH | 14 |
| 管理 | 15 |
下表显示了RADIUS服务器配置的ClearPass策略管理器。
RADIUS服务器的例子:
| 主机名 | IP地址 | 角色 |
|---|---|---|
| cppm example.local——1. | 10.2.120.94 | 出版商 |
| cppm example.local——2. | 10.2.120.95 | 订阅者 |
配置WPA3-Enterprise无线局域网
使用此步骤配置WPA3-Enterprise SSID。
WPA3-Enterprise支持在用户和设备被授权访问网络之前使用密码或证书进行身份验证。无线客户端使用EAP-TLS交换对RADIUS服务器进行身份验证,AP充当一个中继。客户端和RADIUS服务器都使用证书来验证自己的身份。
步骤1导航到中央并使用管理员凭据登录。
步骤2在中央帐户主页上,启动网络运营应用程序。
步骤32 .在过滤器下拉列表框中选择AOS10集团名称,然后从左侧菜单中选择设备.
步骤4在“Access Points”界面右上角,选择配置.
步骤5在“Access Points”页面中,选择“wlan”页签,然后在“Wireless SSIDs”表的左下方单击+添加名称.
步骤6在“常规”选项卡上的“创建新网络”页中展开预先设置,然后按+扩大迹象广播/多播.
步骤7单击+扩大迹象传输速率(仅适用于旧版本),执行以下设置,然后单击下一个.
- 名称(SSID):例子- 8021 x
- 广播过滤:所有
- 动态组播优化(DMO):向右滑动
- DMO客户机阈值:40
- 2.4 GHz:分钟:5
- 5 GHz:分钟:18
注意:SSID名称不应包括空格或特殊字符,以兼容所有客户端设备。
一个DMO客户阈值40是推荐的初始值,应根据实际性能结果进行调整。
步骤8在vlan单击“”页签,执行以下设置,然后单击下一个.
- 交通运输模式:隧道
- 主网关集群:UI-WIRELESS:服务- 7210
- 二级网关集群:没有(默认)
- 客户VLAN的任务:静态(默认)
- VLAN ID:员工(103)
注意:在“配置网关设备”中创建“主网关集群”和“VLAN ID”。
如果没有配置,请在本节中为SSID创建命名vlan。
步骤9在Security选项卡上,实现以下设置。
- 安全级别:滑到企业
- 密钥管理:128年WPA3企业(CMM)
注意:WPA3比WPA2提供了显著的安全性改进,应该尽可能使用它。请参阅端点文档以确认支持。
第十步在“安全性”选项卡上,单击+旁边的标志主服务器.
步骤11在New Server弹出框中,实现以下设置,然后单击好吧.
- 服务器类型:半径
- 名称:CPPM-1
- IP地址:10.2.120.94
- 共享密钥:共享密钥
- 重新输入关键:共享密钥
注意:重要的是要记录共享密钥上面创建的用于在下面的过程中配置ClearPass Policy Manager时使用。
步骤12使用适当的值对第二个CPPM服务器重复前面的两个步骤。
步骤13在Security选项卡上,实现以下设置。
- 负载均衡:向右滑动
注意:最佳实践是部署2台RADIUS服务器,并启用负载均衡。
步骤14在Security选项卡上展开高级设置,向下滚动,点击+扩大迹象快速漫游,执行以下设置,然后单击下一个.
- 投机取巧的关键缓存:向右滑动
- 802.11 k:向右滑动
步骤15在Access选项卡上,实现以下设置,然后单击Next。
- 访问规则:幻灯片无限制的
注意:这类SSID的限制在网关中完成。
步骤16在Summary选项卡上,检查设置并选择完成.
为WPA3-Enterprise无线局域网配置ClearPass
使用此过程为WPA3-Enterprise SSID配置ClearPass策略管理器。
步骤1浏览到ClearPass Policy Manager服务器,并使用管理员凭证登录。
步骤2从左侧导航菜单中选择配置,可以使用+扩大迹象网络,然后选择设备.
步骤3单击“网络设备”界面右上角的+添加.
步骤4在“添加设备”界面,执行如下设置后,单击添加.
- 名称:的例子。当地10
- IP或子网地址:10.0.0.0/8
- 描述:<子网的描述>
- Radius共享密钥和验证:RADIUS-SECRET
- TACACS共享秘密和验证:RADIUS-SECRET
- 供应商名称:阿鲁巴岛(默认)
- 启用RADIUS动态授权:选择目录
- 端口:3799(默认)
步骤5为网络中的其他ClearPass Policy Manager服务器重复这个过程。
配置预共享密钥无线局域网
使用此过程配置带有预共享密钥的WPA3-Personal SSID。
WPA3-Personal允许在不支持802.1X认证的设备上使用预共享密钥进行认证。
步骤1在“Access Points”页面中,选择“wlan”页签,然后在“Wireless SSIDs”表的左下方单击+添加名称.
步骤2在“常规”选项卡上的“创建新网络”页中展开预先设置,然后按+扩大迹象广播/多播.
步骤3单击+扩大迹象传输速率(仅适用于旧版本),执行以下设置,然后单击下一个.
- 名称(SSID):EXAMPLE-PSK
- 广播过滤:所有
- 动态组播优化(DMO):向右滑动
- DMO客户机阈值:40
- 2.4 GHz:分钟:5
- 5 GHz:分钟:18
步骤42 .在“vlan”页签中,进行如下配置,然后单击下一个:
- 交通运输模式:桥
- 客户VLAN的任务:静态
- VLAN ID:打印机(6)
步骤5在Security选项卡上,实现以下设置,然后单击下一个:
- 安全级别:滑到个人
- 密钥管理:WPA3个人
- 密码:密码
- 重新输入:密码
步骤6在Access选项卡上,实现以下设置,然后单击Next。
- 访问规则:幻灯片无限制的
注意:对这类SSID的限制在交换机网络中完成。
步骤7在Summary选项卡上,检查设置并选择完成.
配置Visitor无线局域网
通过此步骤可以配置访问者SSID。
步骤1从“Access Points”页面中,选择“wlan”选项卡,然后在“Wireless SSIDs”表的左下方单击+添加名称.
步骤2在“常规”选项卡上的“创建新网络”页中展开预先设置,然后按+扩大迹象广播/多播.
步骤3单击+扩大迹象传输速率(仅适用于旧版本),然后执行以下设置。
- 名称(SSID):EXAMPLE-VISITOR
- 广播过滤:所有
- 动态组播优化(DMO):向右滑动
- DMO客户机阈值:40
- 2.4 GHz:分钟:5
- 5 GHz:分钟:18
步骤4在“常规”选项卡上,向下滚动,单击+扩大迹象时间范围简介,然后在区域的中间,点击+新的时间范围配置文件.
步骤5在New Profile弹出框中,实现以下设置,然后单击保存.
- 名称:游客工作日
- 类型:周期
- 重复一遍:每天
- 天范围:星期一至五(星期一至五)
- 开始时间:7分钟:0
- 结束时间:18分钟:0
步骤6在“状态”下拉列表中的“时间范围配置文件”区域框中,找到新创建的配置文件,选择启用,然后在页面底部,点击下一个.
步骤72 .在“vlan”页签中,进行如下配置,然后单击下一个.
交通运输模式:桥
客户VLAN的任务:静态
VLAN ID:访客(12)
步骤8在Security选项卡上,实现以下设置。
- 安全级别:滑块至专属入口
- 俘虏门户类型:外部
步骤9在启动页面部分中,单击+旁边的标志俘虏门户配置文件.
第十步在External Captive Portal-New弹出框中,实现以下设置,然后单击好吧.
- 名称:CPPM-Portal
- 认证类型:半径的身份验证
- IP或主机名:cppm.example.local
- URL:/客户/ example_guest.php
- 端口:443
- 重定向URL://www.nexbus-cng.com
步骤11在Splash Page部分的Security选项卡上,单击+旁边的标志主服务器.
步骤12在New Server弹出框中,实现以下设置,然后单击好吧.
- 服务器类型:半径
- 名称:CPPM-1
- IP地址:10.2.120.94
- 共享密钥:共享密钥
- 重新输入关键:共享密钥
步骤13使用适当的值对第二个CPPM服务器重复前面的两个步骤。
步骤14在Splash Page部分的Security选项卡上,实现以下设置,然后单击下一个.
- 负载均衡:向右滑动
- 加密:向左滑动
- 密钥管理:加强开放
注意:俘虏门户概要文件需要来自网络上的CPPM服务器的信息。详细步骤请参见附录1:如何查找访客无线局域网的ClearPass详细信息.
步骤15在Access选项卡上,将滑块移动到基于网络的,选择允许任意到所有目的地规则,然后单击铅笔图标。
步骤16在“访问规则”弹出框中,实现以下设置,然后单击好吧.
- 行动:否认
警告:这一步将更改默认值允许任意到所有目的地规则,拒绝任何到所有目的地访客流量规则。这一行必须总是访问规则的最后一项,以防止未经授权的访问内部网络资源。
步骤17在Access选项卡上,选择+添加规则.
一般情况下,用户只需要访问DHCP和DNS服务,通过HTTP/HTTPS协议访问Internet上的所有目的地址即可。允许内部网络的DHCP服务器访问,允许两个知名DNS服务器访问DNS。为防止内部资源被访问,在HTTP和HTTPS允许规则中添加例外网络和屏蔽内部IP地址的掩码。
示例:访问者访问规则
| 规则类型 | 服务类型 | 服务名称 | 行动 | 目的地 |
|---|---|---|---|---|
| 访问控制 | 网络 | DHCP | 允许 | 10.2.120.98(内部DHCP服务器) |
| 访问控制 | 网络 | DHCP | 允许 | 10.2.120.99(内部DHCP服务器) |
| 访问控制 | 网络 | DNS | 允许 | 8.8.4.4(知名DNS服务器) |
| 访问控制 | 网络 | DNS | 允许 | 8.8.8.8(知名DNS服务器) |
| 访问控制 | 网络 | HTTP | 允许 | 所有目的地,内部除外 |
| 访问控制 | 网络 | HTTPS | 允许 | 所有目的地,内部除外 |
| 访问控制 | 网络 | 任何 | 否认 | 所有的目的地 |
18步在“访问规则”弹出框中,实现以下设置,然后单击好吧.
- 规则类型:访问控制
- 服务:网络
- 服务:下拉:dhcp
- 行动:允许
- 目的地:到特定的服务器
- 知识产权:10.2.120.98
- 选项:没有选择
注意:在使用所提供的表时,最简单的添加规则的方法是从下至上的,以确保完成时它们的顺序是正确的。
步骤19重复前面的两个步骤,添加表中的所有规则。
20步在“Access”页签中,单击下一个.
步骤21在Summary选项卡上,检查设置并选择完成.