配置巩固有Dot1x的一个FlexconnectAP连接孔-Cisco.pdf

配置巩固有Dot1x的一个Flexconnect AP连接孔 Contents Introduction Prerequisites Requirements Components Used Configure Network Diagram    Verify Troubleshoot Introduction 本文描述配置巩固FlexConnect访问接入点(AP)验证与Dot1x使用device-traffic-class=switch Radius VSA允许从本地交换的无线LAN的连接孔(WLANs)的数据流。 Prerequisites Requirements Cisco 建议您了解以下主题： 在无线局域网控制器(WLC)的FlexConnect 在Cisco交换机的802.1x 网络边缘认证拓扑(整洁) Components Used 本文档中的信息基于以下软件和硬件版本： WS-C3560CX-8PC-S， 15.2(4)E1 AIR-CT-2504-K9， 8.2.141.0 身份服务引擎(ISE) 2.0 基于IOS的接入点(x500,x600,x700系列)。 根据AP OS 2 APs的通知不自此文字的时期支持flexconnect Trunk dot1x。 The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command. Configure Network Diagram    使用EAP-FAST，在设置接入点的这中作为802.1x请求方和由ISE的交换机验证。一旦端口为 802.1x认证被配置，交换机不允许任何数据流除802.1x数据流之外穿过端口，直到设备被连接到端 口成功验证。 一旦接入点利用ISE验证成功，交换机接受Cisco VSA属性“device-traffic-class=switch，并且自动地 移动端口建立中继。 这意味着，如果AP支持FlexConnect模式和本地交换被配置的Ssid，它能发送标记的数据流。保证 VLAN支持在AP被启用，并且配置正确的本地VLAN。  AP配置：-- 1. 如果AP已经被加入对WLC，是Wireless选项卡并且点击接入点。是Credetials字段，并且nder朝 向802.1x请求方的证件，检查改写全局证件机箱设置此接入点的802.1x用户名和密码。  您能也设置被加入对与全局配置菜单的WLC的所有接入点的一个comman用户名和密码。 2. 如果接入点未加入WLC，您必须控制到LAP设置证件和使用此CLI命令： LAP#debug capwap控制台cli LAP#capwap ap dot1x用户名username密码password  交换机配置：-- 1. 在全局交换机的Enable (event) dot1x和添加ISE服务器交换 aaa new-model !! aaa authentication dot1x default group半径 !! AAA授权网络默认组半径 !! dot1x系统auth控制 !! RADIUS服务器ISE 地址ipv4 10.48.39.161 auth端口1645 acct-port 1646  键7 123A0C0411045D5679 2. 现在请配置AP交换端口 建立接口GigabitEthernet0/4 交换端口访问VLAN 231 交换端口Trunk允许的VLAN 231,232 switchport mode access authentication host-mode多个主机 authentication order dot1x 认证端口控制自动 dot1x pae证明人 生成树Portfast边缘 如果一要配置MAB而不是dot1x那么端口设置看起来象：-- 接口GigabitEthernet0/4 交换端口访问VLAN 231 交换端口Trunk允许的VLAN 231,232 switchp