思科瘦AP IOS全系列适用1140 1260 2600 2700 3600 3700 ap1g2-k9w8-tar.152-4.JB6.tar

wo juede te hoe hao

下载思科ccna ccnp ccie认证 资料 题库 免费视频教程 就来攻城狮论坛就对了 http://bbs.vlan5.com

感谢分享。。。。。。。。

哎,垃圾N那里下载需要积分.拿来主义卖钱可耻.

看看能不能用，谢谢

可以， 我看来来，试下能不能正常下载安装

有需要的资料可以在这里发帖让别人帮你找 攻城狮论坛 http://bbs.vlan5.com/forum-97-1.html

你知道么? 通过论坛客服报名CCNA,CCNP,CCIE 最高可省2000元培训费. 联系QQ 80766391

攻城狮论坛弄的不错 请大家多多支持 http://bbs.vlan5.com

本案例中的部件设备使用如下版本，其他版本配置差异具体请参考各版本的部署指南。控制器版本号：iMaster NCE-Campus V300R021C00;LSW网络设备版本号：V200R021C00。



组网场景
如图1所示，当前园区组网如下：

3层交换机组网，核心旁挂独立WAC。
核心作为Border，汇聚作为Edge，接入与汇聚之间起策略联动。
用户网关：核心（Border）
由于独立WAC互联border的端口会被控制器默认配置了端口隔离，因此独立WAC部署VRRP热备时，需要独立WAC之间部署直连心跳线。
配置方式：
            ◆防火墙：CLI/本地web网管

            ◆交换机: CLI/控制器（优先）

            ◆独立WAC：CLI/控制器web跳转本地网管

转发模型：
            ◆有线流量： 从Edge入VN，业务随行策略在edge执行。

            ◆无线流量：隧道转发，流量从Border入VN（从独立AC转发到核心，核心放通无线业务VLAN，根据VLAN入VN），业务随行策略在核心执行（核心需要订阅IP-GROUP功能）。

为了提升网络安全性，员工接入网络时，需要进行802.1X认证，认证通过则允许用户接入网络。无线访客终端通过MAC优先的Portal认证接入网络，即首次Portal认证成功后，可以通过iMaster NCE-Campus缓存的MAC地址信息在一段时间内免认证。



图1 虚拟化场景独立WAC旁挂Border组网示意图
zh-cn_image_0000001141860947.png



前置条件
园区交换机，WAC和AP已经在iMaster NCE-Campus上线。
核心/汇聚/接入交换机和WAC已被iMaster NCE-Campus纳管，Fit AP被WAC纳管。
用户接入认证模板已配置完成。
Underlay自动化资源池和Fabric全局资源池已配置完成。
Fabric网络配置已完成。
VN配置已完成。
无线网络配置已完成。


配置思路
配置安全组。
配置资源组。
配置策略控制。
配置IP-安全组表项订阅。
配置用户接入与认证。


操作步骤
步骤一 配置安全组。



使用租户管理员登录NCE-Campus，选择“准入 > 业务随行 > 安全组”菜单，单击“创建”，按数据规划增加安全组，以安全组RD_Wired_Employee_Sec创建为例，配置完成后单击“确定”。

zh-cn_image_0000001092062556.png



步骤二 配置资源组。



选择“准入 > 业务随行 > 资源组”菜单，单击“创建”，按数据规划增加资源组，配置完成后单击“确定”。

zh-cn_image_0000001146665791.png



步骤三 配置策略控制。



a.选择“准入 > 业务随行 > 策略控制”菜单，单击zh-cn_image_0000001139418735.png，创建策略控制矩阵。设置矩阵名称为“RD_Policy”，场景选择“Fabric场景”，选择“RD_VN”，添加策略执行点设备Core。配置完成后，单击“确定”。

zh-cn_image_0000001139184365.png

b.单击右上角的zh-cn_image_0000001139324629.png，选择矩阵模式。

zh-cn_image_0000001092563048.png

c.选定源安全组和目的组，单击对应方格中的zh-cn_image_0000001139586351.png，创建从源安全组到目的组的控制策略。以源安全组RD_Wired_Employee_Sec、目的组RD_Wireless_Employee_Sec为例。配置完成后，单击“确定”。

zh-cn_image_0000001095594564.png

表7 配置控制策略的部分参数说明

参数

说明

源安全组

策略控制的源安全组。

目的组

策略控制的目的组。

缺省权限

指定源安全组到目的组的访问权限，可以选择允许或者禁止。

反向规则

自动建立目的安全组到源安全组的反向访问控制规则。

如果同时启用了精细控制和反向规则，反向规则中的精细控制“源IP地址”和“目的IP地址”互换，“源端口”和“目的端口”互换。

精细控制规则

精细控制规则，可以通过指定IP地址，端口或者协议等参数指定流量匹配规则。

d.选中指定策略矩阵，单击“部署”，将已创建的控制策略在策略执行点设备进行部署。

zh-cn_image_0000001139440949.png



步骤四 配置IP-安全组表项订阅。



a.在主菜单中选择“准入 > 业务随行 > IP-安全组订阅”。单击“创建”，创建IP-安全组表项订阅。策略执行点设备添加Core，选择“安全组”，配置完成后，单击“确定”。

zh-cn_image_0000001095793990.png

b.勾选需要推送的设备，单击“全量推送”，可以对已经创建的订阅列表向策略执行点全量推送。

zh-cn_image_0000001139317969.png



步骤五 添加用户账号，以本地账号为例。



a.选择“准入 > 准入资源 > 用户管理”，选择“用户管理 > 用户”页签，单击zh-cn_image_0000001092606974.png，按规划数据添加用户组。以用户组RD_Wired_Employee_Group添加为例。

zh-cn_image_0000001092443434.png

b.选择用户组，单击“创建”，在该用户组下增加帐号，配置帐号信息。以用户组RD_Wired_Employee_Group添加rd_wired_employee1账号为例。

zh-cn_image_0000001092443964.png



步骤六 配置802.1x认证。



a.配置认证规则，以创建认证规则RD_Wired_Employee_Authen为例。

选择“准入 > 准入策略 > 认证授权”，选择“认证规则”页签。单击“创建”，选择“认证方式”为“用户接入认证”，选择接入方式为“有线”。匹配条件开启“用户组信息匹配”按钮，“用户组”选择RD_Wired_Employee_Group。然后选择认证协议，配置完成后，单击“确定”。

zh-cn_image_0000001092604374.png

b.配置授权结果，在授权结果中添加安全组信息，以创建授权结果RD_Wired_Employee_Result为例。

选择“准入 > 准入策略 > 认证授权”，选择“授权结果”页签，“安全组”选择RD_Wired_Employee_Sec。配置完成后，单击“确定”。

zh-cn_image_0000001142447375.png

c.配置授权规则，使得指定用户组的用户认证通过后，下发指定的授权结果，以创建授权规则RD_Wired_Employee_Rule为例。

选择“准入 > 准入策略 > 认证授权”，选择“授权规则”页签，认证方式选择“用户接入认证”，接入方式选择“有线”。匹配条件开启“用户组信息匹配”按钮，“用户组”选择RD_Wired_Employee_Group；“授权结果”选择RD_Wired_Employee_Result。配置完成后，单击“确定”。

zh-cn_image_0000001095567386.png



步骤七 配置MAC优先的Portal认证。



a.配置Portal认证规则，以创建认证规则Wireless_Guest_Authen为例。

选择“准入 > 准入策略 > 认证授权”，选择“认证规则”页签。单击“创建”，选择“认证方式”为“用户接入认证”，选择接入方式为“WIFI”。匹配条件开启“用户组信息匹配”按钮，“用户组”选择Wireless_Guest_Group。然后选择认证协议，配置完成后，单击“确定”。

zh-cn_image_0000001092636934.png

b.配置授权结果，在授权结果中添加安全组信息，以创建授权结果Wireless_Guest_Result为例。

选择“准入 > 准入策略 > 认证授权”，选择“授权结果”页签，“安全组”选择Wireless_Guest_Sec。配置完成后，单击“确定”。

zh-cn_image_0000001142327435.png

c.配置授权规则，使得指定用户组的用户认证通过后，下发指定的授权结果，以创建授权规则Wireless_Guest_Rule为例。

选择“准入 > 准入策略 > 认证授权”，选择“授权规则”页签。单击“创建”，选择“认证方式”为“用户接入认证”，选择接入方式为“WIFI”。匹配条件开启“用户组信息匹配”按钮，“用户组”选择Wireless_Guest_Group；“授权结果”选择Wireless_Guest_Result。配置完成后，单击“确定”。

zh-cn_image_0000001095767370.png

d.配置Portal免认证策略，使得用户在首次Portal认证后，可以在设置时长内免认证。

选择“准入 > 准入策略 > 用户在线控制”，选择“用户控制策略 > Portal免认证策略”页签，单击“创建”。配置免认证策略名称和时长，配置完成后，单击“确定”。

zh-cn_image_0000001139584821.png

单击创建好的Portal免认证策略Guest_Free_Policy的下拉菜单按钮，选择“分配给用户组”页签，单击“增加”，将Portal免认证策略分配给用户组Wireless_Guest_Group。配置完成后，单击“确定”。

zh-cn_image_0000001092605952.png

e.（可选）配置Portal页面推送策略。

选择“准入 > 准入资源 > 页面管理”，选择“Portal页面推送策略”页签，单击“创建”。配置策略名称，接入方式选择“无线”，认证方式选择“用户名密码认证”，推送页面选择“默认用户名密码定制页面”，推送页面可以根据需求进行定制。配置完成后，单击“应用”。

zh-cn_image_0000001092638012.png



验证配置结果
用户能够从园区网络中的任意位置、任意VLAN、任意IP网段接入，并可以始终控制其网络访问权限。
查看IP-安全组表项信息。
在主菜单中选择“准入 > 业务随行 > IP-安全组表项”，可以查看IP-安全组表项信息。

查看访客帐号配置信息。
选择“准入 > 准入资源 > 访客管理”，选择“访客帐号管理”页签，可以查看帐号信息。

查看认证规则和授权规则配置信息。
选择“准入 > 准入策略 > 认证授权”，选择“认证规则”和“授权规则”页签，可以分别查看配置的认证规则和授权规则信息。

查看用户接入认证信息。
用户认证通过后，选择“准入 > 准入策略 > 用户在线控制”，选择“在线用户”页签，可以查看用户接入信息。



----结束
i_f42.gif更多iMaster NCE-Campus 相关案例，尽在【NCE快充驿站】，点赞关注不迷路~
或者您有其他想要了解的相关内容，也可以在评论区给小编留言哦~~

iMaster NCE-Campus , 业务随行
本帖被以下专题推荐:
· Campus配置案例|主题: 50, 订阅: 25
1  0  分享点评 回复 ···
全部回复
楚天CJ楚天CJ   昨天 10:21