Презентации / CiscoWLAN_CVD_2018_2020-01-06_CW_prev-разблокирован
.pdfWLAN recommendations
WLAN, может ограничивать доступ к интерфейсу управления. Это переносит нагрузку на ЦП ACL с контроллера WLAN на коммутатор уровня 3. Кроме того, вы можете настроить ACL ЦП на контроллере WLAN для фильтрации протоколов управления. Вы также можете запретить управление контроллером WLAN через беспроводное устройство, способ, который также может обеспечить дополнительную безопасность, если целью является управление беспроводной инфраструктурой из центра управления сетью.
Доступ к устройствам беспроводной инфраструктуры должен осуществляться через безопасные протоколы, такие как HTTPS и SSHv2, где это возможно. Доступ по незашифрованным протоколам,
таким как HTTP и Telnet, должен быть по возможности отключен. Это защищает конфиденциальность |
|
информации в течение сеанса управления. При использовании SNMP рекомендуется включать SNMPv3, |
|
где это возможно. SNMPv2c использует общую строку сообщества, которая отправляется в виде |
|
открытого текста по сети. Будьте осторожны при использовании SNMPv2c, особенно при использовании |
|
SNMP для доступа на чтение/запись. SNMPv3 использует уникальные учетные данные (идентификатор |
|
|
ly |
пользователя и пароль), а также может предоставлять услуги шифрования и аутентификации данных для |
|
трафика SNMP. |
on |
Локальное профилирование |
|
|
|
В настоящее время Cisco ISE предлагает богатый набор функций, которые обеспечивают |
|
идентификацию устройства, подключение, положение и политику. Какwальтернатива, локальное профилирование на WLC выполняет профилирование устройств на основе протоколов, таких как HTTP и DHCP, чтобы идентифицировать конечные устройства в сети. Пользователь может настраивать
политики на основе устройств и применять политику для каждого пользователя или для каждого |
||||||
устройства в сети. WLC также будет отображать статистику на eоснове конечных точек для каждого |
||||||
|
|
|
|
|
|
i |
пользователя или для каждого устройства и политик, применимых для каждого устройства. С локальным |
||||||
профилированием вы можете реализовать BYOD в небольшом масштабе внутри самого WLC. |
||||||
|
|
|
|
|
|
v |
Профилирование и применение политик настроены как два отдельных компонента. Конфигурация на |
||||||
WLC основана на определенных параметрах, определенных для клиентов, присоединяющихся к сети. |
||||||
Интересующие атрибуты политики: |
|
e |
||||
● Роль - |
|
|
r |
|
||
Определяет тип пользователя |
или группу пользователей, к которой принадлежит |
|||||
|
пользователь (Примеры: студент или сотрудник); |
|
||||
● Устройство - определяет тип устройства (например, компьютер с ОС Windows, смартфон или |
||||||
|
устройство Apple); |
|
p |
|
||
|
|
|
|
|
||
● Время дня - позволяет определять конфигурацию в то время суток, когда конечные точки |
||||||
● |
CL; |
|
- |
|
|
|
FT |
|
|
|
|||
|
разрешены в сети; |
|
|
|
|
|
● Тип EAP - проверяет метод EAP, используемый клиентом.
Вышеуказанные параметры настраиваются как атрибуты соответствия политики. После того, как у WLC |
|
есть соответствие, соответствующее вышеупомянутым параметрам для конечной точки, применение |
|
DRA |
|
политики вступает в картину. Применение политики будет основываться на атрибутах сеанса, таких как: |
|
● |
VL N; |
● |
Session timeout; |
● |
QoS; |
● |
Sleeping Client; |
● |
FlexConnect ACL; |
● Профиль AVC (добавлен в версии 8.0); ● Профиль mDNS (добавлен в выпуск 8.0).
Пользователь может настроить эти политики и применить конечные точки с заданными политиками. Беспроводные клиенты профилируются на основе пользовательского агента MAC OUI, DHCP и HTTP (для успешного HTTP-профилирования требуется действующий Интернет). WLC использует эти атрибуты и предопределенные профили классификации для идентификации устройства.
КОНТРОЛЬНЫЙ СПИСОК РЕКОМЕНДАЦИЙ
31
WLAN recommendations
Для удобства инженеров по развертыванию сети, начиная с версии 8.1 программного обеспечения CUWN (AireOS), на панели мониторинга для контроллеров WLAN доступен контрольный список рекомендаций. Контрольный список используется для точной настройки конфигурации WLC в соответствии с рекомендациями Cisco. Контрольный список сравнивает локальную конфигурацию на контроллере с рекомендуемыми рекомендациями и выделяет все функции, которые отличаются. Проверка также предоставляет простую панель конфигурации для включения лучших практик.
Использование контрольного списка рекомендаций настоятельно рекомендуется для развертывания
WLAN с участием WLC. |
|
|
|
ly |
|
|
|
|
|
|
|
|
w |
on |
|
|
e |
|
|
|
i |
|
|
|
|
v |
|
|
|
e |
|
|
|
|
r |
|
|
|
|
p |
|
|
|
|
- |
|
|
|
|
FT |
|
|
|
|
DRA |
|
|
|
|
32