Настройте записи для пассивного клиента (при необходимости)
Если один или более "пассивных клиентов" находятся позади WGB, например, проводные устройства, которые имеют статические IP - адреса и которые постоянно не передают незапрашиваемые данные IP, то специальные шаги должны быть предприняты, чтобы гарантировать, что WGB и CUWN могут найти те клиенты. В данном примере у клиента есть IP-адрес 10.0.47.66 и MAC-адрес 0040.96b4.7e8f. Наш ит-аудит поможет вам сократить затраты на содержание компьютеров.
Выполните эти шаги, чтобы использовать этот метод:
1. Настройте статическую запись моста на WGB для клиента:
2. B(config)#bridge 1 address 0040.96b4.7e8f
forward fastethernet0
3. Настройте статический MAC К СОПОСТАВЛЕНИЮ IP-АДРЕСОВ на WLC:
a. Настройте WLAN, чтобы включить фильтрацию по MAC-адресам, замену AAA, а не потребовать DHCP:
b. (Cisco Controller) >show wlan summary
c.
d.
e. !--- Make a note of the WLAN ID for the SSID used for EAP-TLS.
f.
g.
h. (Cisco Controller) >config wlan disable 6
i. (Cisco Controller) >config wlan mac-filtering enable 6
j. (Cisco Controller) >config wlan aaa-override enable 6
k. (Cisco Controller) >config wlan dhcp_server 6 0.0.0.0
l.
m. !--- Do not have DHCP required checked.
n.
o. Добавьте фильтр MAC (сопоставление MAC К IP) для каждого клиента:
p. (Cisco Controller) >config macfilter add
q. 0040.96b4.7e8f 6 management "client1" 10.0.47.66
Специальные примечания, если 802.11a (5 ГГц) Используется
С тех пор 802.11a поддерживает еще много каналов, чем 802.11b/g (2.4 ГГц), он может взять WGB намного дольше для сканирования всех доступных каналов. Поэтому, простои, в то время как вы перемещаетесь в 5 ГГц, или после неполадок подключения к корневой точке доступа, могут продлиться в течение нескольких секунд. Дополнительно при использовании каналов DFS сканирование канала может взять намного дольше, и простои краткого описания после того, как может произойти радарное событие обнаружения DFS.
Поэтому рекомендуется, если вы используете 802.11a, избежать использования каналов DFS, например, в домене FCC, и использовать только UNII 1 и UNII 3 полосы. Интерфейс Dot11Radio1 WGB должен также быть настроен для сканирования только каналов в использовании в зоне уверенного приема. Например:
WGB(config-if)#mobile station scan
36 40 44 48 149 153 157
Конфигурации
Вот конфигурация WGB в качестве примера для AP1242, который использует Cisco IOS Software Release 12.4 (10b) JA2, Проверка подлинности EAP-TLS с WPA1-TKIP, 2.4 ГГц.
Примечание. Некоторые линии этой конфигурации были перемещены во вторую линию вследствие пространственных ограничений. По вопросам обслуживания компьютеров вы сможете обратиться к нам.
version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname WGB ! logging buffered 200000 debugging enable secret 5 $1$xPtX$hjxzdWVR9qa4ykoxLYba91 ! no aaa new-model clock timezone MST -7 ! ! ! dot11 ssid EAPTLS authentication network-eap eap_methods authentication key-management wpa version 1 dot1x credentials EAPTLS dot1x eap profile EAPTLS infrastructure-ssid ! power inline negotiation prestandard source eap profile EAPTLS method tls ! ! crypto pki trustpoint COPY-PASTE enrollment terminal subject-name CN=WGB revocation-check none rsakeypair manual-keys 1024 ! ! crypto pki certificate chain COPY-PASTE certificate 1379B07200000000000C [...] quit certificate ca 612683248DBA539B44B039BD51CD1D48 [...] quit dot1x credentials EAPTLS username WGB pki-trustpoint COPY-PASTE ! username Cisco password 0 Cisco ! bridge irb ! ! interface Dot11Radio0 no ip address no ip route-cache ! encryption mode ciphers tkip ! ssid EAPTLS ! packet retries 128 drop-packet station-role workgroup-bridge no dot11 qos mode bridge-group 1 bridge-group 1 spanning-disabled ! interface Dot11Radio1 no ip address no ip route-cache shutdown ! station-role root bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding bridge-group 1 spanning-disabled ! interface FastEthernet0 no ip address no ip route-cache duplex auto speed auto bridge-group 1 bridge-group 1 spanning-disabled ! interface BVI1 ip address dhcp client-id FastEthernet0 no ip route-cache ! ip http server no ip http secure-server ip http help-path bridge 1 route ip ! ! ! line con 0 line vty 0 4 login local ! sntp server 10.0.47.1 end |