CiscObsidian

13.3. Configure a WPA2 Enterprise WLAN on the WLC

2 min read

book2

13.3 Configure a WPA2 Enterprise WLAN on the WLC

Это уже более серьёзный enterprise scenario, где WLAN строится не на общем пароле, а на централизованной authentication infrastructure.

SNMP and RADIUS

SNMP (Simple Network Management Protocol) — протокол для мониторинга и управления сетевыми устройствами. abbreviation RADIUS (Remote Authentication Dial-In User Service) — протокол централизованной аутентификации, авторизации и учёта. abbreviation

Для этого раздела главное понимать:

  • SNMP нужен для management/monitoring;
  • RADIUS нужен для enterprise authentication.

Configure SNMP Server Information

На WLC можно указать SNMP server details, чтобы controller можно было нормально мониторить из централизованной системы.

SNMP community / settings — параметры доступа monitoring system к устройству. networkterm

Configure RADIUS Server Information

Это ключевой шаг для WPA2-Enterprise.

На WLC задают:

  • RADIUS server IP address;
  • shared secret;
  • authentication parameters.

shared secret — общий секрет между WLC и RADIUS server для защищённого trust relationship. networkterm

Самая важная идея

WPA2-Personal = один общий пароль.

WPA2-Enterprise = внешняя authentication system через RADIUS.

Configure a New Interface

Дальше под новый WLAN часто создают отдельный interface, связанный с конкретным VLAN.

Шаги обычно такие:

  1. создать interface;
  2. указать VLAN ID и name;
  3. назначить physical port;
  4. задать IP address / mask;
  5. указать DHCP server address;
  6. применить и проверить.

VLAN interface — logical interface на WLC, через который WLAN mapping идёт в конкретный VLAN/подсеть. networkterm

Configure a DHCP Scope

Если для нового WLAN нужна отдельная addressing policy, создают новый DHCP scope.

DHCP scope — диапазон адресации и связанных параметров, который DHCP server выдаёт клиентам конкретной сети. networkterm

Обычно задают:

  • scope name;
  • network/subnet;
  • default gateway;
  • pool range;
  • DNS information;
  • enable state.

Configure a WPA2 Enterprise WLAN

Финальный flow:

  1. создать новый WLAN;
  2. задать WLAN name и SSID;
  3. привязать WLAN к новому interface/VLAN;
  4. включить WPA2 + AES;
  5. включить 802.1X;
  6. указать RADIUS server;
  7. enable WLAN и проверить доступность.

802.1X — framework для централизованной network access authentication. networkterm AES (Advanced Encryption Standard) — современный алгоритм шифрования, используемый в WPA2. abbreviation

Быстрая таблица

КомпонентРоль
WLCцентрально управляет WLAN
RADIUSпроверяет credentials
802.1Xframework authentication access
AESшифрует traffic
VLAN interfaceразводит WLAN по нужной подсети
DHCP scopeвыдаёт IP clients

Exam trap

Если создать WLAN, но не привязать правильный interface/VLAN или не настроить RADIUS, client может видеть SSID, но нормально не подключится.

Если понял тему

Ты можешь описать весь WPA2-Enterprise flow: добавить RADIUS, создать VLAN interface, настроить DHCP scope, включить 802.1X/AES и опубликовать новый WLAN.

Graph View

Backlinks