简单的记录一下上周做的一个任务。
豆子需要给公司搭建一个SONOS 的WIFI HIFI系统,这玩意最开始是给家庭网络设计的,如果直接连接在2层交换机上一切简单OK,如果是连接在3层交换机上则需要改动不少东西。由于设计上的缺失,SONS本身没有任何访问控制的功能,因此任何同一个子网的计算机或者手机都能直接控制。豆子不希望整个公司的人都能随意的切换自己喜爱的歌曲,因此必须给这个音乐播放器搭建一个新的VLAN,并限制访问。
需求:创建一个新的SSID和VLAN,只有授权的用户可以从无线网登录管理SONOS的音响设备
无线环境:思科WLC+ISE+AP, Windows 2012 DHCP服务器,思科6900核心交换机
用户登录过程:客户端连接上AP,VLAN转发DHCP请求获取IP,域用户名字登入新的SSID MusicNet, WLC转发验证到指定的AAA服务器,这里我用的是Cisco ISE server,ISE根据authentication的条件判断身份是否合法,然后根据authorization的条件分配对应的ACL访问权限。最后用户成功登入SSID,使用SONOS Controller连接入无线HIFI系统。
基本步骤:
-
创建新的VLAN,配置IP-helper转发DHCP请求;
-
在DHCP上创建对应的新的scope;
-
把新建的VLAN加入WLC和AP的trunk端口;
-
在WLC上创建新的interface和WLAN;
-
在ISE上配置新的condition,ACL permission和authorization rule;
-
配置连接SONOS Boost设备的端口;
-
测试
下面是具体的操作截图。
创建新的VLAN 108,转发DHCP
配置新的Scope
配置WLC和交换机之间的Port Group
配置AP和交换机之间的端口
WLC上配置interface
WLC上配置新的SSID,绑定端口
新的WLAN对应的验证服务器,这里指向ISE服务器
勾选FlexConnect Local Switching
把对应的WLAN加入FlexConnect Group
ISE服务器里面添加新的条件(Conditions)
添加新的Permission Profile
然后ISE里面绑定一个AD的安全组,只有这个组里的人才能访问我新建的VLAN
最后配置一个新的authorization policy
别忘记了连接Boost的端口需要忽略掉STP
Okay,大功告成,现在用户可以成功的登录新建的SSID,并访问我的SONOS系统了。