通过RADIUS服务器和无线控制器配置基于用户ACL.pdfVIP

通过RADIUS 服务器和无线控制器配置基于用户的ACL 介绍 本文介绍如何在 RADIUS 认证服务器和无线控制器(WLC)上配置基于用户的 ACL ． 配置条件 必要条件 在配置前，请先确定掌握以下知识点： （1） 使用 ACS 认证无线客户端 （2） LAP 和WLC （3） 思科无线安全体系 使用说明 本文涉及的信息基于以下软件及硬件版本： （1） 使用软件版本 的4400WLC （2） １０００系列的ＬＡＰ （3） 使用软件 3.６的思科８０２．１１ａ／ｂ／ｇ的无线客户端 （4） 软件版本 3.6 的思科无线客户软件（ＡＤＵ） （5） 软件版本 4.1 的思科准入控制软件ＡＣＳ （6） 使用软件版本12.4(11)T 的思科2800ISR 路由器 （7） 使用软件版本12.0(5)WC3b 的思科2900XL 交换机 文档中描述的是在实验环境，所有设备都是初始配置，请先确定各命令的意义，再做 配置。 规定 请参考以下网址，获得更多信息 /en/US/tech/tk801/tk36/technologies_tech_note09186a0080121a c5.shtml 知识点 基于用户的 ACL 是思科无线认证体系中一部分,当用户进入某个 SSID 的 WLAN 时,通过 ALC 实施对用户的安全策略. 通 过 RADIUS 服 务 器 的 认 证 , 可 以 实 现 对 用 户 的 ACL 下 发 , 利 用 的 是 VSA(Airespace-ACL-Name Vendor Specific Attribute)属性. 这个属性标明应用给用户的 ACL 名称，在客户经过成功认证后，配置在认证服务器上 的ACL ，下发给相应的客户，它将覆盖任何应用在接口上的ACL 。 【译者注】如果使用基于用户的ACL ，要使用 802.1x 的认证功能 以下是使用VSA 属性发布 ACL 的格式。 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Vendor-Id +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Vendor-Id (cont.) | Vendor type | Vendor length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | ACL Name... +-+-+-+-+-+-+-+-+-+-+-+-+-+-+- • Type - 26 for Vendor-Specific • Length - 7 • Vendor-Id - 14179 • Vendor type - 6 • Vendor length - 0 • Value - A string that includes the name of the ACL to use for the client. The string is case sensitive. 网络拓扑 WLC 和 LAP 为部门 A 和部门 B 提供无线服务，所以无线客户使用相同的 SSID 准入 无线网络 通过使用 LEAP 的认证方法，为无线客户端做认证，ACS 作为认证服务器，WLC ，LAP 以及ACS 通过二层交换机连接。 路由器 R1