信息安全备忘录

学习&分享Infosec知识

网络 无线的

思科无线控制器5508配置步骤 - 第3部分(证书AUTH和其他设置)

经过Jon.

2016年6月26日 , 无线的

此帖子将在Office环境中使用典型的WiFi作为示例,在WLC,RADIUS(NPS),DHCP服务器上呈现相关配置。

1.拓扑:

1.1网络拓扑


相关帖子:

1.2设备列表:

  • 思科 AP 1702i.
  • 开关
  • RADIUS服务器 - Microsoft NPS
  • DHCP服务器
  • 思科 WLC5508.


1.3无线访问与数字证书客户端身份验证的拓扑

2. WiFi访问要求
此WiFi访问主要用于通过域组策略在计算机上安装客户端证书的公司笔记本电脑。此WiFi网络将位于其他Office VLAN的单独办公VLAN上。

其他WiFi连接设备不得允许连接到此Office Wifi。他们将通过公司提供无线网络连接。不应允许使用BYOD,BlackBerry或其他PDA和智能手机等移动设备连接到Office Wifi。

3. NPS配置

使用具有802.1x认证的WPA2-Enterprise,可以将Aea-TLS指定为身份验证方法。当EAP-TLS是所选择的身份验证方法时,无线客户端和RADIUS服务器都使用证书来验证它们的身份彼此并执行相互认证。以下是在Windows网络策略服务器中配置策略以支持EAP-TLS的步骤。 

创建连接请求策略以支持IEEE 802.11无线连接。
  1. 打开 网络策略服务器 console.
  2. 导航 NPS(本地)>Policies>连接请求策略.
  3. 右键点击 连接请求策略 and select 新的.
  4. 上 指定连接策略名称和连接类型 enter a 政策名称: and click 下一页.
  5. 上 指定条件 click 添加.
  6. 选择 NAS端口类型 as a condition.
  7. 为了 NAS端口类型 check 无线 - IEEE 802.11 and 无线 - 其他 click 好的 .
  8. 点击 下一页.
  9. 上 指定连接请求转发 留下默认值并单击 下一页.
  10. 上 指定身份验证方法 留下默认值并单击 下一页.
  11. 上 配置设置 click 下一页.
  12. 查看设置  完成连接请求策略向导 and click 结束
  13. 右键单击创建的连接策略并选择 提升 所以它的处理订单是在任何其他政策之前。 
创建网络策略以支持EAP-TLS作为IEEE 802.11无线连接的身份验证方法。
  1. 右键点击 Network Policies and select New.
  2. 上 指定网络策略名称 and 连接类型 enter a 政策名称: and click 下一页.
  3. 上 指定条件 click 添加.
  4. 选择 NAS端口类型 as a condition.
  5. 为了 NAS端口类型 check 无线 - IEEE 802.11 and 无线 - 其他 click OK.
  6. 点击 下一页.
  7. 上 指定访问权限 make sure 授予访问权限 被选中并单击 下一页.
  8. 上 配置身份验证方法 click 添加 and choose 微软:智能卡或其他证书 为了 添加EAP. and click 好的 .
  9. 取消选中任何框 较少安全的身份验证方法.
  10. 选择 微软:智能卡或其他证书 for EAP类型 and click 编辑
  11. 验证 证书发给: 下拉显示了是Active Directory CA Server的正确证书和发行者。然后点击 好的 .
  12. 点击 下一页.
  13. 上 配置约束 click 下一页.
  14. 上 配置设置 choose 午睡执法.
  15. 在下面 自动修复, uncheck这个盒子 自动修复客户端计算机 and click 下一页.
  16. 查看设置 完成新的网络策略 然后点击 结束.
  17. 右键单击创建的网络策略并选择 提升 所以它的处理订单是在任何其他政策之前。 

以下是NPS策略的屏幕截图:

 





4. WLC配置






5. DHCP选项43配置

当您在不同的子网上安装三层接入点时,请确保从您将安装接入点的子网可以访问DHCP服务器,并且子网有路线思科无线局域网控制器。还可以确定回到思科无线LAN控制器的路线有目的地UDP端口5246和5247开放,用于CAPWAP通信。确保返回主要,辅助和三级无线LAN控制器的路由允许IP数据包片段。最后,确保如果使用了地址转换,则接入点和思科无线LAN控制器对外部地址具有静态1至1 NAT。 (不支持端口地址转换。)

您可以使用 DHCP选项43为访问点提供控制器IP地址列表,使其能够查找并加入控制器。

接入点必须能够找到控制器的IP地址。这可以通过DHCP选项43的配置解决。 

选项43 Hex.<hex string>
通过连接下面显示的TLV值来组装十六进制字符串:
类型+长度+值
类型始终是f1(十六进制)。长度是HEX中的控制器管理IP地址时间4的数量。值是在十六进制中按顺序列出的控制器的IP地址。
例如,假设有两个控制器具有管理接口IP地址,10.126.126.2和10.127.127.2。该类型是F1(十六进制)。长度为2 * 4 = 8 = 08(十六进制)。 IP地址转换为0a7e7e02和0a7f7f02。组装串然后产生F1080A7E7E020A7F7F02。添加到DHCP范围的生成的Cisco IOS命令是选项43十六进制F1080A7E7E020A7F7F0

IP地址到六角转换器 有一个在线转换器,可以帮助您将IP地址转换为HEX。

参考:

经过 Jon.

相关帖子

网络

可见路线跟踪工具

3月6日,2021年 Jon
网络

IPv6仅机器访问和来自IPv4世界的访问

1月27日,2021年1月27日 Jon
网络

配置OpenWRT允许所有流量(通过有状态防火墙路由所有流量)

Jan 2, 2021 Jon

发表评论

你错过了

Docker.

在低内存VPS中安装Neko(自托管虚拟浏览器Docker)(1GB)

3月17日,2021年 Jon.
Docker.

使用Docker + Portainer安装开源密码管理器 - Bitwarden

3月15日,2021年 Jon.
Docker.

在Debian Nginx Docker上安装Certbot,以保护Portainer与Letsencryt证书

3月7日,2021年 Jon.
Docker.

Portainer使用提示和技巧

3月6日,2021年 Jon.