Беспроводные сети: Контроллер и точки (часть 2)

И так, в прошлой статье мы создали гостевой доступ к интернету и ограничили его, целью этой статьи будет создание корпоративной точки доступа в авторизацией по доменным учетным записям с использованием Cisco ACS.

Но, для начала немного теории: каждая точка доступа может работать в разных режимах, в прошлой статье ТД работали в режиме local, который является стандартным для «железных» контроллеров версии 7.4.2, но существует тенденция использования по умолчанию режим Flexconnect. А теперь подробнее про все это:

Режим local – некогда стандартный режим работы точек, в нем точка производит авторизацию и аутентификацию пользователя через контроллер, после чего весь пользовательский трафик отправляется через CAPWAP-туннель опять-таки на контроллер, где производится его дальнейшее перенаправлении.

Режим Flexconnect – как видно из названия это режим гибкого подключения точек, раньше данный режим назывался H-Reap и сейчас он набирает все большего применения, становясь стандартом де-факто.  В данном режиме можно выбрать как будет производиться аутентификация и авторизация пользователей: локально или на контроллере, а так же как будет обрабатываться трафик: локально или централизовано. Изначально данный режим предназначался для удаленных офисов, чтобы осталась возможность управление точками централизовано, но клиентов они обслуживали локально.

Режим Monitor – данный режим используется для мониторинга радио-среды, поиска других Wi-Fi точек, нахождения их клиентов, а так же Location Tracking’. В данном режиме точка не обсуживает клиентов и радиус её действия существенно увеличивается.

Режим Rogue Detector – режим обнаружения мошенников в проводной сети, в данном режиме точка так же не обсуживает клиентов. Стоит так же отметить, что точки контроллеры не обмениваются информацией про обнаруженных мошенников в сети, так что каждый контроллер на котором активирована такая функция должен иметь свою точку работающую в данном режиме.

Режим Sniffer – точка захватывает все кадры проводной и беспроводной среды и отправляет их на указанный компьютер на котором включен анализатор трафика. Для фреймов 802.11 можно посмотреть информацию о силе сигнала, SSID, размерах пакета и т.д.

Нас будет интересовать режим Flexconnect, для начала переведем все точки в такой режим работы, для этого выбираем Wireless> AP Name > AP mode > Flexconnect > apply. Точка перезагрузиться, заново присоединиться к контроллеру и продолжит дальше раздавать гостевой Wi-Fi, который мы настроили в прошлой статье. Определим требования для нашего корпоративного Wi-Fi:

  1. Трафик должен обсуживаться локально, т.к.  dhcp, dns, AD DC, почта и прокси, все находится в локальной подсети офиса.
  2. Авторизация происходит по доменной учетной записи, никаких паролей и сертификатов.  Пользователь должен состоять в специальной группе.

Начнем с создания WLAN’а, как мы уже делали переходим в WLAN’s > create new > go. Вводим имя профиля и SSID. В качестве интерфейса выбираем management, т.к. трафик все равно не будет доходить до контроллера и сразу переходим на закладку advanced. Тут нас интересует в первую очередь галочка FlexConnect Local Switching, чуть ниже можно выбрать галочку Learn client IP address, правда в некоторых случаях она приводит к разрыву связи между клиентом точкой, т.к. при подключении возможен небольшой интервал, в течении которого контроллер как раз и получат IP адрес клиента, проблемы были замечены лишь на совсем старых ноутбуках. В целом следует отметить, что современные мобильные телефоны, планшеты и прочие сугубо беспроводные устройства намного лучше поддерживают многие новые технологии чем их компьютерные собратья. Так же можно поставить галочку dhcp address assignment required, чтобы исключить возможность подключение клиентов со статическим ИП. Стоит отметить, что включение режима локального свитчинга трафика исключает возможность использовать технологию mDNS, что не критично если вы не используете технологии Apple. Так что снимаем галочку mDNS Snooping. После всех настроек мы должны получить примерно следующий вид:

 2

Рис. 1.1 Пример настройка вкладки Advanced

1

Рис. 1.2 Пример настройки вкладки Advanced

Как мы видим, вариаций настроек большое множество, что дает определенную гибкость в конфигурировании беспроводной сети. WLAN мы создали, теперь необходимо добавить его в нашу AP Group, созданную в прошлой статье, чтобы наши офисные точки могли вещать и корпоративный SSID, и гостевой. Переходим в WLAN’s > Advanced > AP group > Office > WLANs > add new выбираем наш SSID, интерфейс management и жмем add. Теперь остался последний момент – режим Flexconnect поддерживает тегирование трафика на выходе из точки, для настройки VLAN в которой будет попадать наш корпоративный трафик перейдем в WIRELESS > AP name > Flexconnect > VLAN Support тут надо поставить галочку, выставить native vlan и перейти в vlan mappings, тут мы увидим, что гостевой vlan будет отмечен как centrally switched wlan, а над ним будет ещё один, напротив которого можно будет вписать нужный нам номер. Теперь для корректного прохождения трафика необходимо настроить порт к которому подключена точка в режиме trunk и разрешить соответствующие vlan’ы. Так же для local switched трафика можно настроить ACL, которые настраиваются прямо на точке.

 5

Рис. 2. Пример настройки Vlan mappings

На этом с созданием WLAN’а все, перейдем к настройке доступа, а именно к ACS-серверу.

ACS-сервера от Cisco бывают как в «железном» варианте, так и в виртуальном для гипервизора ESXI. ACS представляет собой простейший вариант сервера контроля доступа, объединяет в себе RADIUS и TACACS+, мы будем использовать Raidus. И так, вы установили и впервые запустили сервер, после загрузки вы получите предложение ввести login: setup для первоначальной настройки.  После первоначальной настройки заходит через веб-браузер и приступим:

  1. Добавим устройство, чьи запросы мы будем обрабатывать Network Recourses > Network Devices and AAA clients > create вводите имя и ip адрес, можно ввести одиночный адрес, подсеть или диапазон адресов, после чего выбираем тип сервера – radius, вводим shared key и жмем submit. Устройство добавлено.
  2. Добавим домен контроллер, с которого будем брать информацию о пользователях которых дан доступ к сети Users and identity stores > External identity stores > active directory > join\ test connection,  в поле name вводим hostname домен-контроллера, а так же учетный данные пользователя у которого есть права на доступ к DC, после чего жмем test connection и join. Когда все пройдет удачно, то запись о данном контроллере изменит статус на Joined and Connected . Переходим на вкладку Directory Groups, жмем Select  и выбираем нужную нам группу, после чего кнопкой Add  добавляем её в список.
  3. Теперь самое интересное, создание правил, тут логика следующая: создается Access Services, к которому относится Identity ( наш AD) и authorization (набор правил, который содержит условие и результат). Для выбора того, какой Access Services  будет использоваться служит Service Selection Rules  в котором задается условие, а результатом будет Access Service. В качестве условия может выступать протокол, тип устройств и их расположение (эти данные вводятся при добавлении устройств в Network Devices and AAA clients). А теперь поэтапно:

3.1   Создаем Access Service > Create вводим имя, выбираем User Selected Service Type параметр network access, в которой отмечает identity и  authorization, жмем next и выбираем протоколы для запросов, для авторизации через AD следует выбрать MSChapV2 и PEAP, в котором отмечает MSChapV2.

 3

Рис. 3.1 Пример настройки Access Service

 4

Рис. 3.2 Пример Access Service

3.2   Слева в списке Access Service выбираем наш, и из развернувшегося списка выбираем Identity, сейчас нам следует выбрать откуда будут браться данные для авторизаций. Выбираем вариант Single result selection  и в списке identity source выбираем AD1, это и будет наш домен контроллер.

3.3   Теперь переходим к Authorization, создаем правило и результат.

3.4   А сейчас переходим к Service Selection Rules, где создаем ещё одно правило, в котором условием будет протокол Radius, а результат наш Access Service.

Есть один интересный момент, почти на каждой странице с созданием правил есть кнопка Customize, она позволяет выбрать самому поля для условия и для результата, что позволяет создавать действительно гибкую конфигурацию. А сейчас вернемся обратно к настройке WLAN’a.

  1. Переходим в Security > AAA > Radius > Authentication и добавляем наш сервер, сложного ничего нету, вводим IP адрес, shared key и жмем apply
  2. Осталось донастроить WLAN, для чего переходим в WLAN’s > WLAN’s > наш WLAN > Security выбираем шифрование WPA+WPA2, WPA2 Policy, AES и метод аутентификации 802.1x. Далее AAA Servers, где отмечает Authentication Servers  и выбираем из списка наш, жмем Apply и готово. Напомню, чтобы иметь возможность подключиться надо чтобы пользователь состоял в отмеченной группе. Но, попробовав подключиться с ноутбука вас не пустит, проблема заключается в том, что по умолчанию система будет пытаться проверить сертификат нашего сервера на одном из ключевых центров сертификации, а такой сертификат не установлен, так что надо создать отдельно подключение, в котором снять галочку «Проверять сертификат сервера» или, что будет правильнее, подписать сервер на одном из таких серверов. В любом случае,  создание данного подключение легко делается групповой политикой, оставляя ещё определенное поле для маневра.

С ув. Дмитрий Бидзиля


Комментарии:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Hide me
Получать регулярно свежие материалы, лабораторные и вебинары
Email Имя
Show me