Презентации / 6_7_ProfilingPosture_WirelessSecurityFull
.pdf
Настройка SSID
802.1X PSK
19
7
Настройка SSID
§Authentication — пользователь видит окно ввода логина-пароля, которые затем проверяются на контроллере
(в его локальной базе), либо на RADIUS-сервере
§Passthrough — пользователь видит окно приветствия, где у него могут опционально спросить его e-mail адрес (далее нигде не используется и не проверяется)
§Conditional Web Redirect — позволяет редиректить сессию пользователя на указанную в RADIUS-ответе
страницу после авторизации. Например, на страницу пополнения баланса. После редиректа пользователь должен авторизоваться снова.
§Splash Page Web Redirect — то же самое, но с доступом в сеть сразу
§On MAC Filter failure — редирект происходит при блокировке пользователя MAC-фильтром
None
IPSec
VPN Pass-Through
No Layer 3 security selected.
Use this setting in order to enable IPSec. You need to check software availability and client hardware compatibility before you implement IPSec.
Use this setting in order to enable VPN Pass-Through.
19
8
Настройка SSID
20
0
Настройка SSID
§Allow AAA Override — позволяет передать дополнительные параметры от RADIUS-
сервера в момент успешной авторизации клиента, и применить их к данному клиенту индивидуально. Такими параметрами могут быть номер VLAN, имя локального интерфейса, список доступа (ACL), URL для редиректа, QoS политика и т.п.
§P2P Blocking Action — определяет политику
пропускания трафика между
беспроводными клиентами (в пределах
контроллера). Допустимые значения: Disabled (пропускать), Drop (не пропускать), Forward-UpStream (отправлять на роутер,
пусть он решает).
§Client Exclusion, Timeout Value (secs) —
включает и задает тайм-аут исключения (временной блокировки) клиента,
авторизация которого в беспроводной сети окончилась неудачно
§Maximum Allowed Clients — задает
максимальное число одновременных ассоциаций с данной сетью
20
1
Настройка SSID
§DHCP Server Override, DHCP Server IP Addr — использовать указанный IP-адрес DHCP-сервера вместо того, который
прописан в настройках проводного интерфейса контроллера, на который «замыкается» трафик беспроводных клиентов.
§DHCP Addr. Assignment — требовать использования DHCP-сервера клиентами данной беспроводной сети (статически
настроенные клиенты работать не будут)
§Client Load Balancing — разрешает
балансировку клиентов между точками доступа согласно их загруженности
§Client Band Select — разрешает
«выталкивание» клиентов в диапазон 5ГГц,
который более предпочтителен в силу меньшей его загруженности
20
2
203
Local EAP
В разделе SECURITY/Local EAP/Profiles создать свой профиль
CAPWAP
Коммутатор
AP 1
Si |
AAA сервер |
Клиент
EAPoL
AP 2
Контроллер
204
Local EAP
•WLANs > Edit / Security / AAA Servers / Local EAP Authentication
настроить
Local EAP Authentication и выбрать свой профиль EAP
205
Local EAP
Поменять у SSID профиль безопасности Layer 2 security
206
Local EAP
207