目录

• 相依iguring the AP Group
  • Create an AP Group
  • 导航到AP组
  • 相依igure the WPA3-Enterprise Wireless LAN
    • 相依iguring SSID VLAN
    • 相依iguring SSID Security Settings
    • 配置网络访问规则
  • 相依igure the Visitor Wireless LAN
    • 配置VLAN.s
    • 相依iguring Security
    • 相依iguring Access For Guest SSID
  • 相依iguring the WLAN Access Points
    • Assign the WLAN AP Group
  • 将WLAN接入点分配到网站
  • Renaming the Access Points

相依iguring the AP Group

本节遍及AP组的创建和配置，以支持分支中的无线服务。

如何创建交换机组

Create an AP Group

该组已在准备部署部分中创建。如果已创建该组，请不要遵循此过程。

第1步在左侧导航窗格中，在“维护”部分中，选择组织。

第2步选择Groups tile.

第3步点击（+）to create a New Group.

导航到AP组

This Procedure will cover navigation of the AP group

第1步In Global drop-down list, search or select the group you created in the previous section.

第2步在左侧导航窗格中，在“管理”部分中，选择Devices。

第3步选择APtab, and then click the gear icon in the upper right corner.

Step 4点击取消，然后单击出口。

相依igure the WPA3-Enterprise Wireless LAN

Use this procedure to configure a WPA3-Enterprise SSID.

WPA3-Enterprise enables authentication using passwords or certificates to identify users and devices. The wireless client authenticates against a RADIUS server using an EAP-TLS exchange, and the AP acts as a relay. Both the client and the RADIUS server use certificates to verify their identities.

第1步在“访问点”页面中，选择“WLAN”选项卡，然后在“无线SSID”表的左下方，单击（+）Add SSID。

第2步在“常规”选项卡上的“创建新网页”中，展开Advance Settings。

第3步配置SSID名称：示例 - 公司

Step 4点击（+）sign to expand广播/多播。

• 改变Broadcast filteringto全部
• EnableDMO, and set theDMO Client Thresholdto40

Note:ADMO Client Threshold40是建议的初始值，应根据实际性能进行调整。

Step 5点击（+）sign to expand传输速率（仅限遗留）。

• Set2.4 GHz到A.Min: 5,Max:54
• Set5 GHztoMin:18,Max:54

Step 6click下一个

相依iguring SSID VLAN

On thevlans.tab, implement the following settings:

第1步Set the交通转发模式to隧道。

第2步Set thePrimary Gateway Cluster:UI-BGW-01-AUTO网站群集离开辅助网关集群：None (default)。

第3步Set the客户端VLAN分配：静态（默认）。

Step 4选择Employee VLAN(101)。

Step 5点击下一个。

相依iguring SSID Security Settings

WPA3通过WPA2提供了显着的安全性改进，并应尽可能使用。请参阅相关的端点文档以确认支持。

On the Security tab, implement the following settings:

第1步安全级别:向企业滑动

第2步Key Management:WPA3 Enterprise CMM 128

第3步在“安全”选项卡上，单击“（+）sign next to主服务器。

Step 4在新服务器弹出时，实现以下设置，然后单击好的。

• Set服务器类型to半径
• 为服务器命名cppm-01
• 输入Radius IP address10.2.120.94
• enter theShared Key:共享钥匙

Note:重要的是记录Shared Keycreated above for use when configuring ClearPass Policy Manager in the procedure below.

Step 6Repeat the two previous steps for the second CPPM server using the appropriate values.

Step 7Enable负载均衡选择切换。

Note:The best practice is to deploy 2 RADIUS servers and enable load balancing.

Step 8On the Security tab, expand高级设置and scroll down.

Step 9点击（+）sign to expandFast Roaming。

第10步Ensure Opportunistic Key Caching is enabled.

第11步Enable802.11k.。

配置网络访问规则

隧道mode SSID restrictions are configured on the Gateway.

第1步On the Access Tab, ensure theAccess Rules被设定为不受治的。

第2步On the Summary tab, review the settings and select结束。

相依igure the Visitor Wireless LAN

Use this procedure to configure a visitor SSID.

第1步From the Access Points page, select the WLANs tab, and then, on the bottom left of the Wireless SSIDs table, click（+）Add SSID。

第2步配置SSID名称：EXAMPLE-GUEST

第3步在“常规”选项卡上的“创建新网页”中，展开Advance Settings。

Step 4点击（+）sign to expand广播/多播。

• 改变Broadcast filteringto全部。
• EnableDMO, and set theDMO Client Thresholdto40。

Note:ADMO Client Thresholdof 40 is the recommended initial value and should be adjusted based on actual performance results.

Step 5点击（+）sign to expand传输速率（仅限遗留）。

• Set2.4 GHz到A.Min: 5,Max:54
• Set5 GHztoMin:18,Max:54

Step 6On the General tab, scroll down, click the（+）sign to expandTime Range Profiles，然后在部分中间

Step 7click（+）New Time Range Profile。

Step 8In the New Profile pop up, implement the following settings, and then click保存。

• 相依igure theName:Visitor Weekdays。
• 确保类型是Periodic。
• Set repetition toDaily。
• Set theDay Range:Monday - Friday (Weekdays)(This can be changed to fit other environments).
• Set the开始时间：7Minutes:0。
• Set the结束时间：18Minutes:0。

Step 9From the Time Range Profiles section in the Status drop-down list, find the newly created profile, selectEnabled，然后在页面的底部点击下一个。

配置VLAN.s

第1步On the VLANs tab, implement the following settings, and then click下一个。

• Set the*流量转发模式**至*隧道。
• 客户端VLAN分配：Static。
• VLAN ID:客人（104）。

相依iguring Security

第1步On the Security tab, implement the following settings.

• Set the安全级别to游客。
• Captive Portal Type:External。

第2步在Splash页面中，单击（+）sign next to俘虏门户概况。

第3步In the External Captive Portal-New pop up, implement the following settings, and then click好的。

• 输入Name:CPPM-Portal。
• Set the身份验证类型：半径Authentication。
• 输入ClearpassIP或主机名：cppm.example.local。
• 输入俘虏门户URL:/guest/example_guest.php.。
• 确保端口是443.。
• Set the重定向URL：//www.nexbus-cng.com。

Step 4On the Security tab in the Splash Page section, click the drop-down menu next to主服务器。并选择在WPA3 Enterprise部分中创建的RADIUS服务器。确保Secondary server也被选中。然后启用负载均衡。

Step 5如果Radius服务器没有创建WPA3年代ection, then follow the following steps to configure the Radius Server.

Step 6在“安全”选项卡上，单击“（+）sign next to主服务器。

Step 7In the New Server pop-up, implement the following settings, and then click好的。

• Set服务器类型to半径。
• 为服务器命名cppm-01。
• 输入Radius IP address10.2.120.94。
• enter theShared Key:共享钥匙。

Note:重要的是记录Shared Keycreated above for use when configuring ClearPass Policy Manager in the procedure below.

Step 8Repeat the two previous steps for the second CPPM server using the appropriate values.

Step 9Enable负载均衡选择切换，然后单击下一个。

Note:The Captive Portal Profile requires information from the CPPM server on the network. For detailed steps, seeAppendix 1: How to Find ClearPass Details for the Visitor WLAN。

相依iguring Access For Guest SSID

在大多数情况下，访问者只需要访问DHCP和DNS服务，以及HTTP / HTTPS对Internet上所有目的地的访问权限。为防止访问内部资源，请在HTTP和HTTPS覆盖内部IP地址的异常网络和掩码允许规则。

第1步On the Access tab, move the slider toNetwork Based。

第2步选择允许任何目的地rule, and then click thepencil图标。

第3步In the Access Rules pop-up, change the action from全部owtoDeny，然后单击好的。

Step 4在“访问”选项卡上，选择（+）添加规则。

Step 5In the Access Rules popup, implement the settings in the table below, and then click好的。

Step 6对表中的每一行重复步骤4和5。

警告：This step changes the defaultallow any to all destinations规则到A.否认任何目的地访客流量规则。此行必须始终是访问规则中的最后一个条目，以防止未经授权访问内部网络资源。

示例：访问访客的规则

Step 7查看ACL，然后选择下一个。

Step 8在“摘要”选项卡上，查看设置，然后选择结束。

相依iguring the WLAN Access Points

一旦分支运行，接入点就会自动创建虚拟控制器（VC）群集并加入默认组。

Assign the WLAN AP Group

第1步In the filter drop-down list, verify that全部Devices被选中。

第2步在左侧导航窗格中，在“管理”部分中，选择Devices.

第3步On theAccess Points选项卡在接入点部分中，标识AP的MAC地址并将AP分配给UI-AP-BR01团体。

Step 4在左侧导航窗格中，在“维护”部分中，选择组织。

Step 5将虚拟控制器拖到已配置的AP组中。站点中的所有接入点都将自动移动到AP组。

将WLAN接入点分配到网站

以下过程将显示如何将访问点分配给站点。创建站点显示在预制到指南部署部分。

第1步Navigate to组织and select地点

第2步SelectUnassigned设备并将AP分配给正确的站点，然后单击Yes

Renaming the Access Points

第1步Navigate toUI-AP-BR01团体。

第2步Select相依iguration。

第3步选择AP and then click the铅笔图标。

Step 4输入new AP name in this example itsRS01-AP01。点击保存Settings。

---