无线局域网控制器可信AP策略.PDF

无线局域网控制器的可信AP策略 目录 简介 先决条件 要求 规则 委托AP策略 什么是委托AP ？ 如何配置AP作为从WLC GUI的委托AP ？ 了解委托AP策略设置 如何配置委托在WLC的AP策略？ 委托AP策略违反警报消息 相关信息 简介 本文描述在无线局域网控制器(WLC)的委托AP无线保护策略，定义了委托AP策略，并且提供所有委 托AP策略简要描述。 先决条件 要求 保证您有无线LAN安全参数基本的了解(例如SSID、加密，验证，等等)。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 委托AP策略 委托AP策略是在方案设计使用客户有并行自治AP网络与控制器一起的控制器的一个安全功能。在 该方案中，自治AP可以被标记作为在控制器的委托AP，并且用户能定义这些的策略委托应该使用 WEP或WPA的AP (、仅我们自己的SSID，短的前导，等等)。如果满足这些策略的这些AP失败中的 任一，控制器发出报警到该的网络管理设备(无线控制系统)状态委托AP违犯了一项已配置的策略。 什么是委托AP ？ 委托AP是不作为组织的部分的AP。然而，他们不导致对网络的一个安全威胁。这些AP也呼叫友好 AP。几个方案存在您也许要配置AP作为委托AP的地方。 例如，您也许有AP不同的类别在您的网络的例如： 或许您拥有不运行LWAPP的AP (他们运行IOS或VxWorks) 员工带来的LWAPP AP (与管理员的知识) AP用于的LWAPP测试现有的网络 该的LWAPP AP邻居拥有 通常，委托AP是归入类别1 ，是AP您拥有不运行LWAPP的AP。他们也许是旧有AP运行VxWorks或 IOS。为了保证这些AP不损坏网络，某些功能可以被强制执行，例如正确Ssid和验证类型。配置在 WLC的委托AP策略，并且确保委托AP满足这些策略。否则，您能配置控制器采取数次行动，例如 发出报警到网络管理设备(WCS)。 已知AP属于的邻居可以配置作为委托AP。 通常， MFP (管理帧保护)应该防止不是从加入WLC的合法LWAPP AP的AP。如果NIC卡支持 MFP，除实时AP之外，他们没有允许接受从设备的解除验证。参考的基础设施管理帧保护(MFP)与 关于MFP的更多信息WLC和LAP配置示例。 如果有AP运行VxWorks或IOS (正如在类别1)，他们不会加入LWAPP组或执行MFP，但是您也许要 强制执行在该页列出的策略。在这类情况下，委托AP策略在AP的控制器需要配置利益。 一般来说，如果知道关于非法AP并且识别它不是对您的网络的一个威胁，您能识别该AP作为已知 委托AP。 如何配置AP作为从WLC GUI的委托AP ？ 完成这些步骤为了配置AP作为委托AP ： 1. 通过HTTP或https登录WLC的GUI登陆。 2. 从控制器主菜单，请点击无线。 3. 在theWireless页的左边查找的菜单，请点击恶意AP。 恶意AP页列出检测作为在网络的恶意AP的所有AP。 4. 从恶意AP此列表，请找出您想要配置作为委托AP属于类别1的AP (按照前面部分说明)。您能 找出与在恶意AP页列出的MAC地址的AP。如果希望的AP不在此页，其次请单击为了识别从 Next页的AP。 5. 一旦希望的AP从对应于AP，把您带对AP的详细信息页的非法AP列表查找，请点击编辑按钮 。 在Details页的非法AP，您能找到关于此AP的详细信息(例如是否该AP连接对有线网络，以及 AP的当前状态等)。 6. 为了配置此AP作为委托AP，选择已知内部从更新状态下拉列表，和单击应用。当您更新AP状 态对已知内部时 ，此AP配置作为此网络委托AP。 7. 重复您要配置作为委托AP的所有AP的这些步骤。 验证委托AP配置 完成这些步骤为了验证AP正确地配置作为从控制器GUI的委托AP ： 1. 点击无线。 2. 在theWireless页的左边查找的菜单，请点击已知恶意AP。 希望的AP应该出现在与作为知道列出的状态的已知恶意AP页。 了解委托AP策略设置 WLC有这些委托AP策略： 被强制执行的加密策略 被强制执行的前导策略 被强制执行的无线电类型策略 验证SSID 警报，如果委托AP缺失 委托AP条目的(秒钟)有效期超时 被强制执行的加密策略 此策略用于定义委托AP应该使用的加密类型。您能根据被强制执行的加密策略配置这些加密类型中 的任一种：