Labb 22: WLC & RADIUS

I denna laboration kommer vi att konfigurera en nätverkstopologi som inkluderar en Cisco 2960 switch (S1), en Cisco 2911 router (R1), en Cisco 3504 Wireless LAN Controller (WLC), en Light Weight Access Point (LAP1), och en admin-dator. Målet med laborationen är att skapa ett säkert och segmenterat trådlöst nätverk med hjälp av RADIUS-server och 802.1x-autentisering, samt att använda FlexConnect för effektiv trafikhantering.

Översikt av RADIUS, AAA, och 802.1X

RADIUS (Remote Authentication Dial-In User Service) är ett protokoll som används för att hantera autentisering, auktorisering och redovisning (Accounting) av användare som ansluter till ett nätverk. Det är särskilt användbart i stora nätverk där centraliserad hantering av användare och deras åtkomst är nödvändig. RADIUS-servern kommunicerar med klienter (som WLC i denna laboration) för att autentisera användare som försöker ansluta till nätverket.

AAA (Authentication, Authorization, and Accounting) är en ramverk som ger en strukturerad metod för att hantera användares nätverksåtkomst. Det omfattar tre huvudelement:

  • Authentication (Autentisering): Kontroll av användarens identitet innan åtkomst ges. I denna laboration hanteras detta av RADIUS-servern som verifierar användarnamn och lösenord.
  • Authorization (Auktorisering): Bestämmer vilka resurser och tjänster en autentiserad användare har tillgång till. I laborationen kan detta innebära att olika användare (lärare och studenter) får olika nivåer av åtkomst.
  • Accounting (Redovisning): Loggning av användarens aktiviteter och resursanvändning. Detta kan användas för att övervaka nätverksanvändning och för säkerhetsändamål.

802.1X är en IEEE-standard för portbaserad nätverksåtkomstkontroll. Det används för att tillhandahålla autentisering till enheter som försöker ansluta till ett nätverk, vilket säkerställer att endast auktoriserade användare får åtkomst. Denna standard används tillhandahåller:

  • Autentisering: 802.1X kräver att användare autentiseras innan de får åtkomst till nätverket. Detta förhindrar obehörig åtkomst och skyddar nätverksresurser.
  • Dynamiska Nycklar: Genom att använda 802.1X kan nätverket generera dynamiska krypteringsnycklar för varje session, vilket minskar risken för att nycklar snappas upp och används av angripare.
  • Centraliserad Hantering: RADIUS och 802.1X arbetar ofta tillsammans för centraliserad autentisering och auktorisering. Detta gör det enklare att hantera användaruppgifter och åtkomstpolicyer från en central plats.

Nätverkstopologi

Instruktioner

Starta LAP1:

  • Börja med att ansluta el-laddaren till LAP1 så att den startar.

Aktivera porten Gig0/0 på R1:

  • Klicka på R1 för att öppna konfigurationsfönstret.
  • Gå till fliken Config.
  • Klicka på GigabitEthernet0/0 i spalten till vänster.
  • I spalten till höger, aktivera porten genom att markera On eller klicka på knappen för att aktivera porten.

IP adressera RADIUS server

  • Klicka på RADIUS server
  • konfigurera statisk IP:
    • IP address: 172.68.13.2
    • Subnet Mask: 255.255.255.0
    • Default gateway: 172.68.13.1
    • DNS server: 8.8.8.8

Konfigurera AAA

  • Klicka på Services och därefter på AAA
  • Ange följande uppgifter:
    • Client Name: WLC
    • Client IP: 192.16.99.62
    • Secret: WLC123
    • Server Type: Radius
  • Klicka på Add
  • Registrera användare för autentisering:
    • Username: teacher1
    • Password: teacher123
  • Klicka pa Add
    • Username: student1
    • Password: student123
  • Klicka på Add
  • port-nummer kommer att ändras senare i konfigurationen.
  • AAA-tjänsten ska vara på

IP adressera WLC

  • Ändra namnet till WLC
  • konfigurera statisk IP:
    • IP address: 192.16.99.62
    • Subnet Mask: 255.255.255.192
    • Default gateway: 192.16.99.1
    • DNS server: 8.8.8.8

  • Switch> enable
  • Switch# configure terminal
  • Switch(config)# hostname S1
  • S1(config)# vlan 10
  • S1(config-vlan)# name Teachers
  • S1(config-vlan)# vlan 20
  • S1(config-vlan)# name Students
  • S1(config-vlan)# vlan 99
  • S1(config-vlan)# name Native
  • S1(config-vlan)# exit
  • S1(config)# interface range fa0/1-3
  • S1(config-if)# switchport mode trunk
  • S1(config-if)# switchport trunk native vlan 99
  • S1(config-if)# exit
  • S1(config)# int fa0/4
  • S1(config-if)# switchport mode access
  • S1(config-if)# switchport access vlan 99
  • S1(config-if)# end
  • S1# copy running-config startup-config
  • Router> enable
  • Router# configure terminal
  • Router(config)# hostname R1
  • R1(config)# interface g0/1
  • R1(config-if)# ip address 172.68.13.1 255.255.255.0
  • R1(config-if)# no shut
  • R1(config-if)# exit
  • R1(config)# interface g0/0.10
  • R1(config-subif)# encapsulation dot1q 10
  • R1(config-subif)# ip address 192.16.10.1 255.255.255.192
  • R1(config-subif)# no shut
  • R1(config-subif)# interface g0/0.20
  • R1(config-subif)# encapsulation dot1q 20
  • R1(config-subif)# ip address 192.16.20.1 255.255.255.192
  • R1(config-subif)# no shut
  • R1(config-subif)# interface g0/0.99
  • R1(config-subif)# encapsulation dot1q 99 native
  • R1(config-subif)# ip address 192.16.99.1 255.255.255.192
  • R1(config-subif)# no shut
  • R1(config-subif)# exit
  • R1(config)# 
  • R1(config)# ip dhcp excluded-address 192.16.10.1 192.16.10.10
  • R1(config)# ip dhcp excluded-address 192.16.20.1 192.16.20.10
  • R1(config)# ip dhcp excluded-address 192.16.99.1 192.16.99.10
  • R1(config)# ip dhcp pool vlan-10
  • R1(dhcp-config)# network 192.16.10.0 255.255.255.192
  • R1(dhcp-config)# default-router 192.16.10.1
  • R1(dhcp-config)# dns-server 8.8.8.8
  • R1(dhcp-config)# exit
  • R1(config)# ip dhcp pool vlan-20
  • R1(dhcp-config)# network 192.16.20.0 255.255.255.192
  • R1(dhcp-config)# default-router 192.16.20.1
  • R1(dhcp-config)# dns-server 8.8.8.8
  • R1(dhcp-config)# exit
  • R1(config)# ip dhcp pool vlan-99
  • R1(dhcp-config)# network 192.16.99.0 255.255.255.192
  • R1(dhcp-config)# default-router 192.16.99.1
  • R1(dhcp-config)# dns-server 8.8.8.8
  • R1(dhcp-config)# end
  • R1#
  • Verifiera IP-kommunikation:
    • Klicka på admin-dator för att verifiera IP-adressen (DHCP klient)
    • Starta kommandotolken (CMD) på admin-datorn.
    • Skriv ping 192.16.99.62 och tryck på Enter för att bekräfta IP-kommunikationen mellan admin-datorn och WLC.
    • Om kommunikationen mellan admin-dator och WLC fungerar starta webbläsaren från admin-dator
  • Logga in på WLC GUI:
    • Ange som URL IP-adressen 192.16.99.62

  • Skapa ett admin-konto och ange som lösenordet Admin123

  • Konfigurera Management interface utan att ändra VLAN ID

  • Skapa ett trådlös nätverk

  • Klicka ett par gånger på Next och därefter slutar du den första delen av WLC-konfigurationen genom att klicka på Apply. Det tar en stund innan den grafiska konfigurationen är tillbaka.
  • För att snabba till processen klicka på den vita ikonen som ser ut vara en dubbel pil längs ner till vänster.

  • Verifiera IP-kommunikation:
    • Starta kommandotolken (CMD) på admin-datorn.
    • Skriv ping 192.16.99.62 och tryck på Enter för att bekräfta IP-kommunikationen mellan admin-datorn och WLC.
  • Logga in på WLC:
    • Öppna en webbläsare på admin-datorn.
    • Ange https://192.16.99.62 i URL-fältet och tryck på Enter.
    • Logga in som admin genom att ange användarnamnet admin och lösenordet Admin123.
  • Sammanfattning (Monitor):
    • Efter inloggning kommer du att se en sammanfattning (Monitor) som visar alla inställningar och vilka AP (Access Points) som har fångats upp.
  • Kontrollera WLAN-Teachers:
    • Klicka på fliken WLAN.
    • Kontrollera att det trådlösa nätverket WLAN-Teachers har skapats och visas i listan över tillgängliga WLAN.

  • Klicka på nummer 1 för att se detaljer för WLAN-Teachers.
    • Observera att interfacet som standard är satt till management.
    • Detta ska ändras till INT-Teachers, men först måste vi skapa det interfacet

  • Verifiera RADIUS port
    • Klicka på fliken Security
    • Klicka på fliken AAA servers
    • Verifiera port-numret (1812)

  • Ändra RADIUS port på server
    • Klicka på server RADIUS och därefter på Services
    • Klicka på AAA i spalten till vänster och ändra portnumret till 1812

  • Skapa interface INT-Teachers:
    • Gå till fliken Controller och klicka på Interfaces.
    • Klicka på knappen New för att skapa ett nytt interface.

  • Ange följande information:
    • Port Number 1
    • Interface Name: INT-Teachers
    • VLAN ID: 30
    • IP Address: 172.20.30.2
    • Netmask: 255.255.255.128
    • Gateway: 172.20.30.1
    • Primary DHCP Server: 172.20.99.1

  • Spara interface-inställningarna:
    • Klicka på Apply för att spara det nya interfacet INT-Teachers.
  • Återgå till WLAN-Teachers:
    • Gå tillbaka till fliken WLAN.
    • Klicka återigen på nummer 1 för WLAN-Teachers.
    • Ändra interfacet från management till INT-Teachers.

    • Klicka på fliken Security och därefter på Layer 2
    • Verifiera utvalda inställningar:
      • WPA+WPA2 Spara inställningarna.
      • WPA2 Policy
      • WPA2 Encryption AES
      • 802.1X

    • Klicka på fliken Advanced
    • Verifiera utvalda inställningarna:
      • FlexConnect Local Switching
      • FlexConnect Local Auth

  • Högst upp i WLAN redigerare hittar du knappen BACK.
  • Klicka på den knappen för att återgå till huvudsidan.
  • Skapa interfacet INT-Students:
    • Port number 1, VLAN Identifier 20, IP address 192.16.20.62, 255.255.255.192, Gateway 192.16.20.1, Primary DHCP server 192.16.20.1
    • Spara interface och därefter återgå till fliken WLANs för att införa liknande ändringar som för INT-Teachers, men anpassad till INT-Students.

  • Skapa WLAN-Students
    • Klicka på fliken WLANS
    • Klicka på knappen Create New Go

    • Klicka på Apply för att spara WLAN-Students
    • Klicka på BACK för att återgå till WLANs
    • Öppna WLAN-Students redigerare genom att klicka på nummer 2 i listan WLAN ID
    • Verifiera att WLAN-Students har utvalda samma inställningar som WLAN-Teachers

Följande steg visar hur du utrustar alla laptops med ett trådlöst nätverkskort och konfigurerar dem att ansluta till respektive WLAN med rätt inställningar. Ett exempel på konfigurationen för WLAN-Teachers illustreras med en bild.

  1. Utrusta laptops med trådlöst nätverkskort:
    • Dubbelklicka på en laptop i Packet Tracer för att öppna enhetsfönstret.
    • Gå till fliken Physical.
    • Stäng av laptopen genom att klicka på Power-knappen.
    • Dra och släpp ett trådlöst nätverkskort (t.ex. WPC300N) till den tomma kortplatsen på laptopen.
    • Starta om laptopen genom att klicka på Power-knappen igen.

  1. Konfigurera trådlöst nätverkskort (Wireless0):
    • Gå till fliken Desktop och öppna PC Wireless.
    • Klicka på Wireless0 i spalten till vänster.
    • Ange nätverksnamn (SSID):
      • För VLAN Teachers: Ange WLAN-Teachers.
    • Konfigurera säkerhetsinställningar:
      • Autentisering: Välj WPA2
      • User ID: Ange teacher1
      • Password: Ange teacher123
      • Kryptering: Välj AES.
    • IP-konfiguration:
      • Se till att IP-konfigurationen är inställd på DHCP.

Bildillustration (Exempel för WLAN-Teachers)

Bilden ovan visar konfigurationsfönstret för WLAN-Teachers, där SSID är inställt på "WLAN-Teachers", säkerhetsinställningarna är inställda på WPA2 per användare, exempelvis teacher1, och krypteringen är inställd på AES.

  • Konfigurera de andra laptops på samma sätt men till respektive WLAN.

I denna laboration används RADIUS-servern för att autentisera användare som ansluter till WLAN-Teachers och WLAN-Students. Se exempel nedan:

  1. Användaren teacher1 ansluter till WLAN-Teachers och anger sina inloggningsuppgifter (användarnamn och lösenord).
    • Autentiseringsbegäran Skickas till LAP1
  2. LAP1 Vidarebefordrar till WLC
  3. WLC Kommunicerar med RADIUS-servern
    • WLC skickar egna inloggningsuppgifterna till RADIUS-servern.
    • WLC skickar klientens autentiseringsbegäran för verifiering
  4. RADIUS-servern kontrollerar användarens inloggningsuppgifter mot sin databas.
    • Om inloggningsuppgifterna är korrekta, skickar RADIUS-servern en bekräftelse tillbaka till WLC.
    • Om inloggningsuppgifterna är felaktiga, skickar RADIUS-servern ett avslag tillbaka till WLC.
  5. WLC informerar LAP1 om autentiseringsresultatet.
    • Om autentiseringen är godkänd, tillåts användaren teacher1 att ansluta till WLAN-Teachers.
    • Om autentiseringen misslyckas, nekas åtkomst och användaren uppmanas att ange korrekta inloggningsuppgifter.