DCB1无线网络安全配置标准 v1.0.docx

文件标题： 无线网络安全配置标准 文档编号：DCB1-IT-POL-05 文档信息项目名称： 文档信息 项目名称： 文档编号： DCB1-IT-POL-13 文件名称： FILENAME 无线网络安全配置标准 签发予： 文档状态： 初稿 文档版本： V1.0 版本日期： 2011-10-12 撰写者： 刘怿平 撰写日期： 2011-10-12 审核者： 审核日期： 签字 日期 批准： 签字 日期 文件标题： 无线网络安全配置标准 文档编号：DCB1-IT-POL-05 Page PAGE 23 of NUMPAGES 23 版本记录 版本号 日期 修改人 描述 V1.0 2011-10-12 Yiping liu 初稿  目录 TOC \o 1-3 \h \z \u 1. 摘要 4 1.1. 目的 4 1.2. 适用范围 4 2. 系统概述 5 2.1. 无线网络系统架构 5 2.2. 拓扑图 6 3. DHCP服务器配置 7 3.1. 作用域 7 3.2. 客户端租约时间 7 4. Radius服务器配置 8 4.1. 建立Radius服务器 8 4.2. 配置Radius客户端 8 4.3. Radius客户端验证 9 4.4. 远程访问策略 10 4.5. 加密与验证 11 5. 无线控制服务器配置 13 5.1. 审计客户端 13 5.2. 受信任证书 14 5.3. TACACS+和Radius 14 5.4. 高级用户接口配置 16 6. 无线控制器配置 17 6.1. CONTROLLER安全配置 17 6.2. WLAN安全配置 18 6.3. SECURITY 19 6.3.1 Radius Security 19 6.3.2 TACACS+ Security 20 6.3.3 AAA Local Net User Security 22 6.3.4 授权优先顺序 22 6.4. MANAGEMENT安全配置 23 6.4.1 设置SNMP安全 23 6.4.2 设置本地用户 23 摘要 目的 制订港区无线系统安全配置基准，强化无线系统管理，为系统操作员和网络管理员提供指引。 适用范围 大铲湾码头一期无线网络设备及控制器。 系统概述 无线网络系统架构 港区的无线网络系统由以下四部分组成： 一、无线控制器 无线网络控制器（Wireless Access Point Controller）的型号为WLC 4402，连接到核心交换机C6509-GC-A的G5/1和G5/2口，接口配置为trunk。负责统一管理港区内无线设备和用户资源。 二、无线控制系统 无线控制系统（Wireless Control System）部署在Dcbsyslog（2）服务器上，实现RF预测、策略配置、网络优化、排障、用户跟踪、安全监控和无线局域网系统管理。 三、认证 认证服务（Radius）部署DCBPR-DC02（5）服务器上，采用微软的Internet认证服务系统，负责认证用户身份（Authentication），响应用户的连接请求（Authorization）。 四、无线访问接入点 访问接入点（Wireless Access Point）分为Office Wireless AP和Port Wireless AP两大区域，AP的型号为AIR-LAP1310G，负责无线客户端的网络接入。 拓扑图 DHCP服务器配置 作用域 在DC01配置DHCP服务器，新建地址池与作用域范围，将该段IP分配给无线客户端使用。 客户端租约时间 将租约时间限制为一天，超过一天未活动的无线客户端将重新入池获取IP地址。 Radius服务器配置 建立Radius服务器 在DC02上添加Internet验证服务，将其配置成无线网络的Radius服务器。 配置Radius客户端 在管理工具中打开Internet验证服务。新建Radius客户端，命名后指向Cisco4402无线控制器。 验证无线控制器，解析其IP地址，完成Radius客户端的添加过程。 Radius客户端验证 设置Radius认证的密码，用于无线控制器Cisco4402的接入身份验证身份。 远程访问策略 在远程访问策略中新建策略，命名为Wireless Access，使用向导配置，进入下一步。 设置策略应用对象为无线，客户端将使用登录时需要匹配此策略； 设置允许的用户群组为“DCB1\Domain User