Введение
Предложения этого документа обзор нескольких важных аспектов должен был обработать взаимодействие безопасности между контроллерами беспроводных LAN (WLC) и сеть, где они связаны. Этот документ фокусируется прежде всего на управлении трафиком, и не обращается к политике безопасности WLAN, AAA или WPS.
Темы, влияющие на трафик с назначением “к контроллеру”, затронуты в этом документе, и не отнесены к трафику, который отнесен “пользователю к сети”.
Примечание. Проверьте изменяется прежде, чем применить их к вашей сети, поскольку некоторые примеры в этом документе могут заблокировать административный доступ к вашим контроллерам если применено неправильно. Обслуживание компьютеров вашей организации рекомендуем доверить нам.
Предварительные условия
Требования
Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:
· Знание того, как настроить WLC и облегченную точку доступа (LAP) для главной операции
· Базовые знания о Модели OSI
· Общие сведения, как работает Список управления доступом (ACL)
Используемые компоненты
Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:
· Cisco 2000 / 2100 / 4400 WLC Серии, которые выполняют микропрограммное обеспечение 4.2.130.0, 5.2.157.0 или позже
Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.
Условные обозначения
Обработка трафика в WLC
Один критически важный компонент на сетевой безопасности является управлением трафиком. На любых развертываниях это очень важно для прямоугольных типов трафика, достигая устройств, чтобы предотвратить проблемы потенциальной угрозы безопасности (DoS, информационная потеря, расширение полномочий, и т.д.).
На WLC на управление трафиком влияет важный факт: существует два компонента, обрабатывающие трафик в устройстве:
· ЦПУ — Главный процессор, который заботится обо всей управленческой деятельности, RRM, управлении LWAPP, аутентификации, DHCP, и т.д.
· NPU — Сетевой процессор, который заботится о быстром перенаправлении трафика для заверенных клиентов (соединенный проводом к радио и наоборот).
Эта архитектура позволяет быстрое перенаправление трафика, и сокращает загрузку на основном CPU, который может тогда выделить все его ресурсы для задач высокого уровня.
Эта архитектура найдена на этих 4400, WiSM и 3750 интегрированных контроллерах. Для 2106 и WLC NM и отнесенные контроллеры, пересылка сделана в программном обеспечении, также основным CPU. Поэтому, это действительно берет более высокий налог на ЦПУ. Именно поэтому эти платформы предлагают более низкому пользователю и поддержке количества AP. ИТ аудит поможет вам обрести уверенность в надежной защите вашей информации.
Управление трафиком
В любое время вы требуете к трафику фильтрации в связи с WLC, важно знать, является ли это пользователем к сетевому трафику, или это находится к основному CPU.
· Для любого трафика к ЦПУ, например, протоколы управления, такие как SNMP, HTTPS, SSH, Telnet, или протоколы сетевых служб, такие как Радиус или DHCP, использует “ACL ЦПУ”.
· Для любого трафика к и от беспроводного клиента, включая трафик, проходящий через туннель EoIP (гостевой доступ), ACL Интерфейса, используется ACL WLAN, или за пользовательский ACL.
Трафик определен “к ЦПУ” как трафик, который вводит контроллер, с назначением к управлению IP-адресами, любому из динамических интерфейсов или адреса сервисного порта. AP - диспетчер не обрабатывает никакой другой трафик кроме LWAPP/CAPWAP.