Cisco无线网络部署(WLC4402+LAP1240+ACS4.2+AD域)

Cisco无线网络实施方案2011.08.31目录设备管理地址和初始密码：................................................................................................................3第一部分基本配置：..........................................................................................................................31.1示意拓扑：.............................................................................................................................31.2DHCP配置：..........................................................................................................................41.3ACS安装及基本配置：.........................................................................................................91.4CiscoWLC4402基本配置：................................................................................................18第二部分安全验证配置：................................................................................................................252.1WLC配置本地认证：..........................................................................................................252.2配置ACS本地认证：.........................................................................................................272.3配置WindowsAD域用户认证：......................................................................................31第三部分其他应用配置建议：........................................................................................................383.1控制域用户上网权限：.......................................................................................................383.2使用组策略推送无线网络配置：.......................................................................................403.3客户端无线网络属性配置：...............................................................................................44Cisco无线网络实施方案设备管理地址和初始密码：序号设备名称描述管理地址远程管理方式用户名密码1C1240-LZKJ无线控制器CiscoWLC44022ACS4.2CiscoACS服务器序号功能描述密钥1ACS数据库密钥ACS数据库加密密钥，仅在ACS软件安装时输入。2AAA密钥AAA验证时使用的密钥，server端、client端配置需要一致。第一部分基本配置：1.1示意拓扑：WLC4402接入交换机AP1242PC无线连接G4/6Port1TrunkTrunkVlan1104507R如图，目前WLC连接到核心4507R的g4/6口，接口配置为trunk。AP连接到接入交换机，目前只在vlan110部署了测试AP，后期如果其他vlan也需要开通无线接入，只需将AP接入相应的vlan，并在相应DHCP服务器内添加相应option43配置即可（option43配置方法详见1.2DHCP配置）。1.2DHCP配置：1．定义VCI（供应商类别标识符）：为了让DHCP服务器可以识别VCIAirespace.AP1240，需要增加一个新的vendorclass.在MMC中,右键点击DHCP服务器图标,选择DefineVendorClasses。2．点击Add创建新class：3．输入DisplayName，本例中使用Airespace。在Description区域添加简短说明。点击ASCII区域，添加VCI，本例使用Airespace.AP1240：4．完成后，点击Close：5．在Predefined选项中为新增加的VonderClass增加WLCsub-option.在这里可以定义sub-option的编码类型和数据格式，用以给AP返回一个厂商特定信息。右键点击Server图标，选择SetPredefinedOptions：6．在Optionclass中选中新建的Airespace，点击Add：7.Name输入AirespaceIPprovision，Datetype输入Binary，Code输入102，点击OK：8.右击ServerOptions文件夹，选择ConfigureOptions：9.点击Advanced，选择要用的VonverClass，本例为Airespace。选中前面配置的sub-option241，在DataEntry中,输入控制器的管理地址x.x.x.x结果如下：完成这一步，Option43即配置完成，并且对DHCP服务器中所有的地址池有效。当LAP请求地址时，DHCP服务器会同时把option43返回给LAP。1.3ACS安装及基本配置：ACS安装1.点击Accept，继续安装：2.点击Next：3.点击Next：4．确认以下4个选项的要求都满足，选择Next：5.选择安装的路径：6.选择是否使用Windows数据库作为验证数据库，选择Next：7.安装进行：8.设定ACS的高级选项（也可以在安装完后设置），按以下选项选择即可：9.下一步，继续安装：10．输入数据库的加密密码：cisco12311.选择Finish：12.完成安装：ACS基本配置：1.添加远程管理账户：在AministrationControl菜单下，点击AddAdministrator按钮添加管理员。键入管理员的名字及密码并点击GrantAll按钮，然后点击Submit。配置好远程管理用户后即可远程登录，输入用户名密码后可远程管理ACS服务器：2.自签名证书生成与安装：创建证书并导入ACS，systemconfiguration》ACScertificatesetup》generatedself-signedcertificate：证书格式为如下：证书称随便写（我们写的是301_root），密码随便写（我们写的是cisco），注意勾选最下面的Installgeneratedcertificate，然后点提交：在ACScertificationauthoritysetup中导入证书：提交后证书安装完毕。3.添加AAA客户端：在networkconfiguration中添加AAAClients，配置其地址和KEY，注意将authenticateusing改为radius(ciscoairspace)。4.添加AAASservers配置RADIUS地址和KEY（此KEY必须与配置WLC的KEY一样）：至此ACS的基本配置完成。1.4CiscoWLC4402基本配置：1.初始化配置：连接到WLC的console口，启动超级终端或其它终端软件，把com口属性设置还原为默认值（如下图），点确定应用配置回车进入命令行管理界面：选择5，清除原有设置，并进行初始设置WelcometotheCiscoWizardConfigurationToolUsethe'-'charactertobackupSystemName[Cisco_40:4a:03]:C1240-LZKJ//主机名EnterAdministrativeUserName(24charactersmax):cisco//用户名EnterAdministrativePassword(24charactersmax):cisco//密码ServiceInterfaceIPAddressConfiguration[none][DHCP]:192.168.254.254ManagementInterfaceIPAddress:10.8.6.150ManagementInterfaceNetmask:255.255.255.0ManagementInterfaceDefaultRouter:10.8.6.254ManagementInterfaceVLANIdentifier(0=untagged):6ManagementInterfaceDHCPServerIPAddress:10.8.1.1APManagerInterfaceIPAddress:10.8.6.151APManagerInterfaceDHCPServer:10.8.1.1VirtualGatewayIPAddress:1.1.1.1Mobility/RFGroupName:ciscoNetworkName(SSID):ciscoAllowStaticIPAddresses[YES][no]:yesConfigureaRADIUSServernow?[YES][no]:noEnable802.11bNetwork[YES][no]:yesEnable802.11aNetwork[YES][no]:yesEnable802.11gNetwork[YES][no]:yesEnableAuto-RF[YES][no]:yesConfigurationsaved!Resettingsystemwithnewconfiguration...至此，WLC初始设置完成。2.通过IE浏览器管理设备：打开浏览器，在地址栏输入，回车后出现安全警报提示（如下图）点击是，出现WirelessLanController登陆界面（如下图）点击login，出现输入用户名密码界面，输入初始设置里配置的用户名和密码user:ciscopassword:cisco（如下图）点击确定进入WLC配置主页面（如下图）3.配置接口：依次点CONTROLLERInterfaces,进入接口管理界面：点击interfacename可以编辑现有接口，点击New可以新建接口，新建接口输入接口名称和VLANid后点应用：进入接口详细信息配置，主要配置Portnumber（物理接口，连展科技现在使用第一个物理接口，portnumber键入“1”）、VLANIdentifier（vlanid，需要填4507上对应的vlan号）、I