Содержание
Введение
Предварительные условия
Требования
Используемые компоненты
Решения по обеспечению безопасности единой беспроводной сети Cisco (UWN)
Уровень 2 Контроллера беспроводных LAN – Матрица совместимости Безопасности Уровня 3
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения
Введение
Этот документ предоставляет матрицу совместимости для Уровня 2 и механизмов обеспечения безопасности Уровня 3, поддерживаемых на контроллере беспроводных LAN (WLC).
Предварительные условия
Требования
Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:
· Основные сведения о настройке "облегченных" точек доступа и беспроводных локальных сетей Cisco
· Основные сведения о протоколе облегченных точек доступа (LWAPP)
· Базовые знания о решениях для безопасности беспроводной связи
Используемые компоненты
Сведения в этом документе основываются на WLC Серии Cisco 4400/2100, который выполняет версию микропрограммы 7.0.116.0
Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Наши инженеры, который оказывают услуги АйТи аутсорсинга в Москве любят свою работу. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.
Решения по обеспечению безопасности единой беспроводной сети Cisco (UWN)
Единая беспроводная сеть Cisco (UWN) поддерживает методы защиты Уровня 3 и Уровень 2.
· Безопасность Уровня 2
· Безопасность Уровня 3 (для WLAN) или безопасность Уровня 3 (для Гостевой LAN)
Безопасность Уровня 2 не поддерживается на Гостевых LAN.
Эта таблица приводит различный Уровень 2 и методы защиты Уровня 3, поддерживаемые на контроллере беспроводных LAN. Эти методы защиты могут быть включены от Вкладки Безопасность на WLAN> страница Edit WLAN.
|
Механизм обеспечения безопасности Уровня 2 |
||
|
Parameter |
Описание |
|
|
Безопасность Уровня 2 |
Ни один |
Никакая безопасность Уровня 2 не выбрана. |
|
WPA+WPA2 |
Используйте это приводящее в порядок для включения Защищенного доступа Wi-Fi. |
|
|
802.1X |
Используйте это приводящее в порядок для включения 802.1x аутентификация. |
|
|
Статический ключ WEP |
Используйте это приводящее в порядок для включения шифрования Статического ключа WEP. |
|
|
Статический ключ WEP + 802.1x |
Используйте это приводящее в порядок для включения и Статического ключа WEP и 802.1x параметры. |
|
|
CKIP |
Используйте это приводящее в порядок для включения протокола целостности ключей Cisco (CKIP). Функциональный на Моделях 1100, 1130 AP, и 1200, но не AP 1000. IE Aironet должен быть включен для этой функции работать. CKIP разворачивает ключи шифрования до 16 байтов. |
|
|
MAC Filtering.................................... |
Выберите для фильтрования клиентов MAC-адресом. Локально настройте клиенты MAC-адресом на странице MAC Filters> New. В противном случае настройте клиенты на сервере RADIUS. |
|
|
Механизм обеспечения безопасности Уровня 3 (для WLAN) |
||
|
Parameter |
Описание |
|
|
Безопасность Уровня 3 |
Ни один |
Никакая безопасность Уровня 3 не выбрана. |
|
IPSec |
Используйте это приводящее в порядок для включения IPSec. Необходимо проверить доступность ПО и совместимость оборудования клиента перед осуществлением IPSec. Примечание. У вас должен быть дополнительный Модуль VPN/Усиленной безопасности (крипто-карта процессора) установленный для включения IPSec. Проверьте, что это установлено на вашем контроллере на странице Inventory. |
|
|
Passthrough VPN |
Используйте это приводящее в порядок для включения Passthrough VPN. Примечание. Эта опция не доступна на Контроллерах серии 5500 Cisco и Контроллерах серии Cisco 2100. Однако можно реплицировать эту функциональность в Контроллер серии 5500 Cisco, или Контроллер серии Cisco 2100 путем создания открытого WLAN используют ACL. |
|
|
Веб-политика |
Установите этот флажок для включения веб-Политики. Контроллер передает трафик DNS к и от беспроводных клиентов перед аутентификацией. Примечание. Веб-Политика не может использоваться в сочетании с опциями Pass-Through VPN или IPSec. Эти параметры отображены: · Аутентификация — при отборе этой опции, пользователь вызвана для имени пользователя и пароля при соединении клиента с беспроводной сетью. · Passthrough — Если вы выбираете эту опцию, пользователь может обратиться к сети непосредственно без аутентификации имени пользователя и пароля. · Условное веб-Перенаправление — при отборе этой опции, пользователь может быть условно перенаправлено к определенной веб-странице после 802.1X, аутентификация успешно завершает. Можно задать страницу перенаправления и условия, при которых перенаправление происходит на сервере RADIUS. · Веб-Перенаправление Страницы-заставки — при отборе этой опции, пользователь перенаправлено к определенной веб-странице после 802.1X, аутентификация успешно завершает. После перенаправления у пользователя есть полный доступ к сети. Можно задать веб-страницу всплеска на сервере RADIUS. · На сбое Фильтра MAC — Включает web-аутентификацию сбои фильтра MAC. |
|
|
ACL предварительной проверки подлинности |
Выберите ACL, который будет использоваться для трафика между клиентом и контроллером. |
|
|
Глобальная конфигурация замены |
Показы, если вы выбираете Authentication. Установите этот флажок, чтобы отвергнуть набор конфигурации глобальной аутентификации на веб-Странице входа. |
|
|
Веб-тип Аутентификации |
Показы, если вы выбираете Web Policy и Over-ride Global Config. Выберите тип Web-аутентификации: · Внутренний · Настроенный (Загруженный) o Страница входа — Выбор страница входа от выпадающего списка. o Страница Login Failure — Выбор страница входа, которая отображает клиенту, если отказывает Web-аутентификация. o Страница Logout — Выбор страница входа, которая отображает клиенту когда входы пользователя в систему из системы. · Внешний (Перенаправление к внешнему серверу) o URL — Вводит URL внешнего сервера. |
|
|
Почтовый ввод |
Показы, если вы выбираете Passthrough. При отборе этой опции вы побуждены для вашего адреса электронной почты при соединении с сетью. |
|
|
Механизм обеспечения безопасности Уровня 3 (для Гостевой LAN) |
||
|
Parameter |
Описание |
|
|
Безопасность Уровня 3 |
Ни один |
Никакая безопасность Уровня 3 не выбрана. |
|
Web-аутентификация |
При отборе этой опции вы побуждены для имени пользователя и пароля при соединении клиента с сетью. |
|
|
Веб-Passthrough |
При отборе этой опции можно обратиться к сети непосредственно без аутентификации имени пользователя и пароля. |
|
|
ACL предварительной проверки подлинности |
Выберите ACL, который будет использоваться для трафика между клиентом и контроллером. |
|
|
Глобальная конфигурация замены |
Установите этот флажок, чтобы отвергнуть набор конфигурации глобальной аутентификации на веб-Странице входа. |
|
|
Веб-тип Аутентификации |
Показы, если вы выбираете Over-ride Global Config. Выберите тип Web-аутентификации: · Внутренний · Настроенный (Загруженный) o Страница входа — Выбор страница входа от выпадающего списка. o Страница Login Failure — Выбор страница входа, которая отображает клиенту, если отказывает Web-аутентификация. o Страница Logout — Выбор страница входа, которая отображает клиенту когда входы пользователя в систему из системы. · Внешний (Перенаправление к внешнему серверу) o URL — Вводит URL внешнего сервера. |
|
|
Почтовый ввод |
Показы, если вы выбираете Web Passthrough. При отборе этой опции вы побуждены для вашего адреса электронной почты при соединении с сетью. |
|
Примечание. В выпуске ПО контроллера 4.1.185.0 или позже, CKIP поддерживается для использования только со статическим ключом WEP. Если в компании менее 15-ти сотрудников, то выгодно использовать решение на базе операционной системы Windows Server Foundation. Это не поддерживается для использования с динамическим WEP. Поэтому, беспроводной клиент, который настроен для использования CKIP с динамическим WEP, неспособен связаться к беспроводной локальной сети, которая настроена для CKIP. Cisco рекомендует использовать любой динамический WEP без CKIP (который менее безопасен), или WPA/WPA2 с TKIP, или AES (которые более безопасны).
Уровень 2 Контроллера беспроводных LAN – Матрица совместимости Безопасности Уровня 3
При настройке безопасности на Беспроводной локальной сети и Уровень 2 и методы защиты Уровня 3 могут использоваться совместно. Однако не все методы защиты Уровня 2 могут использоваться со всеми методами защиты Уровня 3. Эта таблица показывает матрицу совместимости для Уровня 2 и методов защиты Уровня 3, поддерживаемых на контроллере беспроводных LAN.
|
Механизм обеспечения безопасности Уровня 2 |
Механизм обеспечения безопасности Уровня 3 |
Совместимость |
|
Ни один |
Ни один |
Допустимый |
|
WPA+WPA2 |
Ни один |
Допустимый |
|
WPA+WPA2 |
Web-аутентификация |
Инвалид |
|
WPA-PSK/WPA2-PSK |
Web-аутентификация |
Допустимый |
|
WPA+WPA2 |
Веб-Passthrough |
Инвалид |
|
WPA-PSK/WPA2-PSK |
Веб-Passthrough |
Допустимый |
|
WPA+WPA2 |
Условное веб-перенаправление |
Допустимый |
|
WPA+WPA2 |
Веб-перенаправление страницы-заставки |
Допустимый |
|
WPA+WPA2 |
VPN-PassThrough |
Допустимый |
|
802.1x |
Ни один |
Допустимый |
|
802.1x |
Web-аутентификация |
Инвалид |
|
802.1x |
Веб-Passthrough |
Инвалид |
|
802.1x |
Условное веб-перенаправление |
Допустимый |
|
802.1x |
Веб-перенаправление страницы-заставки |
Допустимый |
|
802.1x |
VPN-PassThrough |
Допустимый |
|
Статический ключ WEP |
Ни один |
Допустимый |
|
Статический ключ WEP |
Web-аутентификация |
Допустимый |
|
Статический ключ WEP |
Веб-Passthrough |
Допустимый |
|
Статический ключ WEP |
Условное веб-перенаправление |
Инвалид |
|
Статический ключ WEP |
Веб-перенаправление страницы-заставки |
Инвалид |
|
Статический ключ WEP |
VPN-PassThrough |
Допустимый |
|
Статический ключ WEP + 802.1x |
Ни один |
Допустимый |
|
Статический ключ WEP + 802.1x |
Web-аутентификация |
Инвалид |
|
Статический ключ WEP + 802.1x |
Веб-Passthrough |
Инвалид |
|
Статический ключ WEP + 802.1x |
Условное веб-перенаправление |
Инвалид |
|
Статический ключ WEP + 802.1x |
Веб-перенаправление страницы-заставки |
Инвалид |
|
Статический ключ WEP + 802.1x |
VPN-PassThrough |
Инвалид |
|
CKIP |
Ни один |
Допустимый |
|
CKIP |
Web-аутентификация |
Допустимый |
|
CKIP |
Веб-Passthrough |
Допустимый |
|
CKIP |
Условное веб-перенаправление |
Инвалид |
|
CKIP |
Веб-перенаправление страницы-заставки |
Инвалид |
|
CKIP |
VPN-PassThrough |
Допустимый |