Управление управляющим доступ
WLC имеют управление доступом "сеансового уровня" для протоколов управления. Важно понять, как они работают, чтобы предотвратить неправильную оценку на том, что позволено или не позволено контроллером. Мы занимаемся услугами ит-аутсорсинга.
Команды для ограничения, что позволены протоколы управления, (на глобальной области видимости):
· config network ssh enable|disable— Это включает или отключает службу SSH на контроллер. Это значение используется по умолчанию. После того, как отключенный, порт (TCP 22) не будет достижим.
· config network telnet enable|disable— Это включает или отключает службу Telnet на контроллере. Это отключено по умолчанию. После того, как отключенный, порт (TCP 23) не будет достижим.
· http сети config enable|disable— Это включает или отключает службу http на контроллер. Порт (TCP 80) не более длинен достижимый. Это отключено по умолчанию.
· https сети config enable|disable— Это включает или отключает службу https на контроллер. Это значение используется по умолчанию. После того, как отключенный, порт (TCP 443) не будет достижим.
· config snmp version v1|v2|v3 enable|disable— Это включает или отключает определенные версии службы SNMP на контроллер. Необходимо отключить все для предотвращения доступа SNMP к контроллеру, если используя ACL.
· config network mgmt-via-wireless enable|disable— Это предотвращает это, клиенты, привязанные к этому контроллеру, могут протоколы управления доступом к нему (ssh, https, и т.д.). Это не предотвращает или закрывает соответствующие порты TCP с точки зрения беспроводного устройства. Это означает, что беспроводное устройство, когда это собирается отключить, может открыть SSH - подключение, если включен протокол. Однако пользователю никогда не будут предоставлять приглашение регистрации.
· сеть config mgmt-via-dynamic-interface enable|disable— Это предотвращает это устройства на том же VLAN, как контроллер может протоколы управления доступом к нему (ssh, https, и т.д.) к соответствующему адресу динамического интерфейса на том VLAN. Это не предотвращает или закрывает соответствующие порты TCP с точки зрения устройства. Это означает, что устройство, когда это собирается отключить, может открыть SSH - подключение, если включен протокол. Однако пользователю никогда не будут предоставлять приглашение регистрации. Дополнительно, адрес управления будет всегда оставаться доступным от VLAN динамического интерфейса, если ACL ЦПУ не будет идти, размещают. Мы всегда сможем заблокировать сайт от ваших сотрудников.
Например, это - конфигурация используя вышеупомянутая информация:
(Cisco Controller) >show network summary
RF-Network Name............................. 4400
Web Mode.................................... Disable
Secure Web Mode............................. Enable
Secure Web Mode Cipher-Option High.......... Disable
Secure Web Mode Cipher-Option SSLv2......... Enable
Secure Shell (ssh).......................... Enable
Telnet...................................... Disable
Ethernet Multicast Mode..................... Enable Mode: Ucast
Ethernet Broadcast Mode..................... Disable
AP Multicast Mode........................... Unicast
IGMP snooping............................... Disabled
IGMP timeout................................ 60 seconds
User Idle Timeout........................... 300 seconds
ARP Idle Timeout............................ 300 seconds
Cisco AP Default Master..................... Disable
AP Join Priority............................ Disable
Mgmt Via Wireless Interface................. Disable
Mgmt Via Dynamic Interface.................. Disable
Bridge MAC filter Config.................... Enable
Bridge Security Mode........................ EAP
Mesh Full Sector DFS........................ Enable
Over The Air Provisioning of AP's........... Enable
Apple Talk ................................. Disable
AP Fallback ................................ Enable
Web Auth Redirect Ports .................... 80
Fast SSID Change ........................... Disabled
802.3 Bridging ............................. Disable
IP/MAC Addr Binding Check .................. Enabled