配置基本网络环境

在本例中使用的是Cisco Catalyst3560系 列的某款交换机，WLC 4402和AP1242等无线设备，以及ISE设 备，Windows Server 2008 R2域控，DHCP服务器等都连接到该交换机上，相关设备处于名为“xxx.com”的域环境中。AP设备规划到VLAN 20中，WLC设备、域控、DHCP服务器等规划到VLAN 10中。DHCP服务器和域控的 IP均 为 192.168.1.168。在交换机全局配置模式下执行“interface vlan 20”，“ip address 192.168.20.254 255. 255.255.0”命令，创建VLAN20，并设置其IP地址。

执 行“interface fa 0/22”，“switchport trunk encapsulation dot1q”，“switchport mode trunk”命令，在交换机的fa 0/22接口上开启Truck连接，WLC 4402就连接在该接口上。执行“interface fa 0/20”，“switch access vlan 20”，“switchport mode access”，“spanning-tree portfast”命令，将fa 0/20接口划分到VLAN 20中，并将其接口设置为ACCESS模式，AP 12425就连接到该接口上。

执 行“ipdhcppoolvlan 20”，“network 192.168.20.0 255.255.255.0”，“defaultroute 192.168.20.254”，“option 42 hex f104.xxx.xxxx”命令，为VLAN 20创建地址池，指定网关地址，并通告AP需要注册的WLC设备的 AP接口地址，“f104”表示仅仅使用一台WLC设备，“xxx.xxxx”为 WLC设备的AP接口的IP地址的十六进制数值。WLC的管理地址为192.168.1.100，AP管理接口IP为 192.168.1.101，其 均属于VLAN 10。ISE设备的IP为192.168.1.200。

初始化WLC设备

对于新的WLC设备来说，在使用前需要进行初始化配置，在向导界面中依次输入其名称，管理员名称和密码，设置带外网管地址，是否使用链路汇聚功能，管理接口地址，掩码和默认网关，VLAN的TAG（这里为10，VLAN 10需要预先配置好），管理接口的端口编号（例如1），管理接口的DHCP服务器的地址，设置AP管理接口地址，AP管理接口DHCP服务器地址，虚拟网关地址（例如“1.1.1.1”，该地址不可路由，主要充当DHCP中继 代理，让WLC和DHCP服务器联系获取IP，并分配给客户，这样可以保护真实的DHCP服务器）。

然后设置漫游组名称（同组中的AP可以漫游），指定SSID名称（例如“Wlan01”），根据需要决定是否启用DHCP桥模式，是否允许客户手动设置IP，接着配置RADIS服务器信息，设置其IP，端口号，连接密钥。然后设置国家代码（例如“CN”）。接着 激 活 802.11b，802.11 和802.11g网络，选中Auto-RF功能（该功能可以在某些AP出现故障后，WLC会自动扩大其他AP的发射功率，更好的实现区域覆盖），然后选择是否设置NTP服务器，或者手动设置时间。完成以上配置后，保存并重启WLC设备。对于无线控制器来说，如果需要清空配置的话，可以在其管理界面中执行“clear config”命令，并输入“y”进行确认。执行“reset system”命令，依次输入“n”和“y”后，重启无线控制器即可。

在WLC上创建动态接口

打开 浏览器，访 问W L C的 地 址“http://192.168.1.100”。输入预设的账户名和密码，进入其管理界面。

在“Summary”的页面中的“Access Point Summary”栏中显示已经注册的AP数量。

在工具栏上点击“WLANS”项，在WLANS列表中显示存在的WLANS项目（例如上述“Wlan01”），包括其ID、类型、项目名称、SSID、管理状态和安全特性等。

在列表中选择“Create New”项，点击“Go”按钮，可以创建新的WLAN。

图1 设置动态端口属性

仅仅有了WLAN是不够的，还需要创建相应的动态接口，使其和对应本地VLAN和WLAN进行关联。在工具栏上点击“CONTROLLER”项，在左侧点击“Interfaces”项，在右侧显示所有的端口信息。

在右上角点击“New”按钮，在打开界面中的“Interface Name” 栏 中输入动态接口名称（例如“dtport01”），在“VLAN ID”栏中输入VLAN的ID（例如“2”，该VLAN必须事先创建）。点击“Apply”按钮保存该接口。

在属性页面（如图1）中的“Port Number”栏中输入接口数量（例如“1”），在“IP Address”栏中输入其IP（例 如“192.168.2.90”），在“Netmask”栏中输入掩码，在“Gateway”栏中输入网关地址（例如“192.168.2.254”），在“Primary DHCP Server”栏中输入DHCP服务器地址（例如“192.168.1.168”）。

点击“Apply”按钮保存配置信息。这样，就让该动态接口和特定的VLAN建立连接。

设置WLAN的安全属性

在工具栏上点击“WLANs”项，在上述“Wlan01”项的“WLAN ID”列中点击其ID号，在属性页面中的“Interface/Interface Group”列表中选择上述“dtport01”接口。

这样，就实现了将该WLAN和目标动态接口的关联，当客户端连接目标AP后，产生的流量就从该动态接口进入有线网络中。 在“Security” 面 板中 的“Layer2”标 签 中 的“Layer 2 Security”列表中选择“WPA+WPA2”项，选择所需的安全级别。选择“WPA Policy”项，在“Auth key Mgmt”列表中选择“PSK”项，选择预共享密钥。在“PSK Format”栏中输入密码。点击“Apply”按钮保存配置信息。

这样，客户端就可以在无线热点列表中看到该WLAN的SSID信息，将其选中后输入密码，就可以连接到本地网络中。在客户机上执行“ipconfig”命令，显示获取的IP信息。

将客户机添加到域环境

在该客户机上打开系统属性窗口，点击“更改设置”链接，输入域的名称和域账户密码，将其加入到域环境中。这样，对其管理起来就更加便捷。

在域控上打开Active Directory用户和计算机窗口，在其中已经创建名为“isegrp”的OU，用来管理和ISE相关的账户，计算机和 组（例 如“isegroup1”）。将该客户机（例如名称为“Win7kh”）拖动到该OU中。

打开其属性窗口，在“隶属于”面板中点击“添加”按钮，将其添加到上述“isegroup1”中。 在 该 客户机上以特定的域账户（例如“xxxiseruser01”） 身份登录。当然，该账户预先已经创建好，并存储在上述“isegrp”的OU中。 执 行“mmc”程序，在控制台上点击菜单“文件”-“添加/删除管理单元”项，分别添加用户和计算机证书。在左侧选择“证书”-“个人”-“所有任务”-“申请新证书”项，在向导界面申请证书并注册，具体操作很简单，这里不再详述。同理，执行计算机证书的申请和注册。

在WLC上创建控制列表

在WLC管理页面工具栏 上点 击“SECURITY”项，在 左 侧 选 择“RADIUS”-“Authentication” 项，在已经存在的认证项目的“Server Index”列 中 点击 序 号，在“Support for RFC”列表中选择“Enabled”项，激活COA授权更改功能。在左侧点击“RADIUS”-“Accounting”项，在右侧点击“New”按钮，在打开页面中的“Server IP Address”栏中输入ISE服务器的IP（例如“192.168.1.200”）。 在“Shared Secret”栏中输入密码。点击“Apply”按钮，添加新的审计项目。

在左侧选择“Access Control Lists”-“Access Control lists”项，在 右侧点击“New”按钮，输入新的控制列表的名称（例如“acclist1”），点 击“Apply”按钮保存该列表。然后点击该ACL列表，在其属性窗口中的“Souce”列表中选择“Any”，在“Destination”列 表 中 选 择“Any”，在“Protocol”列表中选择“UDP”， 在“Source Port”列 表 中 选 择“Any”，在“Destination Port”列 表选择“DHCP Server”项，在“DSCP”和“Direction”列表中均选择“Any”，在“Action”列表中选择“Permit”项，放行和DHCP相关的流量。

点击“Add New Rule”按钮，创建新的条目，创建与上述几乎相同的内容，所不同的是在“Source Port”列表中 选 择“DHCP Server”，在“Destination Port”列 表选择“Any”项。这是因为在WLC控制规则中，需要对进出的流量分别控制。同理，针对ICMP，DNS协议相关的流量进行放行。对于ICMP流量来说，设置允许探测的地址，这样可限制客户可以探测范围。按照同样的方法，创建名为“Acclist2”的访问控制列表，在其属性窗口中所有的列表均选择“Any”，在“Action”列 表 中 选 择“Permit”项，放行所有流量。

设置动态接口属性

在 上 述“dtport01”动态端口属性页面中的“ACL Name”列表中选择“Acclist1”项，选择具有基本管控功能的列表项目。

为便于说明，在上述“Wlan01” 项 的“WLAN ID”列中点击其ID号，在其属性页面中的“Interface/Interface Group”列表中选择“management”项，表示授权放行所有操作。

在“Security” 面 板中 的“Layer2”标 签 中 的“Layer 2 Security” 列表中选择“WPA+WPA2”项，在“Auth Key Mgmt”列 表中 选 择“802.1X”项，在“AAA Server”标 签 中 的“Authentication Servers”栏中选择“Enabled”项，激活认证功能。

在“Server1”列表中选择ISE服务器的IP地址，将ISE服务器作为认证服务器。

在“Advanced”面板中的“Allow AAA Override”栏中选择“Enabled”项，激活AAA配置覆盖功能。点击“Apply”按钮保存配置信息。

在工具栏上点击“MANAGEMENT”项，在 左 侧选 择“SNMP”-“SNMP V3 Users”项，在右侧删除默认配置项目。

点击“New”按钮，输入其用户名称（例如“snmp01”），在“Access Mode”列表中选择“Read Write”项。

在“Authentication Protocol”列表中选择“HMAC-MD5”项，选择MD5方式进行哈希处理，并输入密码。

在“Pricacy Protocol”列表中选择“CBC-DES”项，选择DES加密方式，并输入密码。

在ISE中配置无线认证项目

登录ISE管理界面，点击菜单“Administration”-“Network Devices”项，在打开界面中点击“Add”按钮，输入WLC的名称（例如“WLC01”），在“IP Address”栏中输入上述WLC设备管理接口的地址。在“Device Type”和“Location”列 表中分别选择设备类型和位置。打开“Authentication Settings”面板，在“Shared Secret”栏中输入上述WLC设备的连接密钥。打开“SNMP Settings”面板，在其中依次选择版本号（例如“3”），输入上述SNMP用户名称，在“Security Level”列表中选择“Prvi”，并选择MD5哈希方式和DES加密方式，分别输入对应的密码，这里与上述SNMP配置相同。点击“Submit”按钮，提交上述配置信息。

点 击 菜 单“Policy”-“Authentication”项，在策略列表中选择第一个策略项，在右侧点击“Actions”按钮，在弹出菜单中点击“Insert new row above”项，插入一个新策略，输入其名称（例如“WirelessAuthen1”），在“Condition(s)” 列 中选 择“Select Existing Condition from Library”项，在已经存在的条件中选择“Wireless_802.1X”项。

当 然， 点 击“Add Attribute/Value”项，可以添加更多的条件。例如选择设备所处的地点等。在“Select Network Access”列中选择所需的协议，例如选择默认的“Default Network Access”。 在 认 证数据库选择面板中选择和域账户关联的项目。

实现需要将Windows Server 2008 R2的域账户信息导入到ISE中，例如将活动目录中的“isegrp”中的域账户信息导入进来，点击“Submit”按钮，保存该认证项目。

在ISE中配置无线授权项目

点 击 菜 单“Policy”-“Result” 项， 在 左 侧点 击“Authorzation”-“Authprization Profiles”项，在右侧点击“Add”按钮，添加名为“profile1”的授权项目，在其中选择“VLAN”项，在“Tag ID”栏中输入合适的VLAN号（例如“2”）。选择“Airespace ACL Name”项，设置有关无线的控制列表，输入在WLC上创建的ACL列表，这里输入“Acclist2”。点击“Submit”按钮提交修改。

点击工具栏上的“Authorization”按钮，在授权策略列表中选择第一个策略项，在右侧点击“Edit”项，在弹出菜单中选择“Insert New Rule Above”项，插入新的授权策略，输入其名称（例如“WirelessAuthor1”），在“Condition(s)”列中选择合适的条件，例如选择“Wireless_802.1X”，WLC 设备所在的位置等。在“Permissions”列中选择上述名为“profile1”的授权项目。