简单的记录一下上周做的一个任务。

豆子需要给公司搭建一个SONOS 的WIFI HIFI系统,这玩意最开始是给家庭网络设计的,如果直接连接在2层交换机上一切简单OK,如果是连接在3层交换机上则需要改动不少东西。由于设计上的缺失,SONS本身没有任何访问控制的功能,因此任何同一个子网的计算机或者手机都能直接控制。豆子不希望整个公司的人都能随意的切换自己喜爱的歌曲,因此必须给这个音乐播放器搭建一个新的VLAN,并限制访问。

需求:创建一个新的SSID和VLAN,只有授权的用户可以从无线网登录管理SONOS的音响设备

无线环境:思科WLC+ISE+AP, Windows 2012 DHCP服务器,思科6900核心交换机 

用户登录过程:客户端连接上AP,VLAN转发DHCP请求获取IP,域用户名字登入新的SSID MusicNet, WLC转发验证到指定的AAA服务器,这里我用的是Cisco ISE server,ISE根据authentication的条件判断身份是否合法,然后根据authorization的条件分配对应的ACL访问权限。最后用户成功登入SSID,使用SONOS Controller连接入无线HIFI系统。

基本步骤:

  1. 创建新的VLAN,配置IP-helper转发DHCP请求;

  2. 在DHCP上创建对应的新的scope;

  3. 把新建的VLAN加入WLC和AP的trunk端口;

  4. 在WLC上创建新的interface和WLAN;

  5. 在ISE上配置新的condition,ACL permission和authorization rule;

  6. 配置连接SONOS Boost设备的端口;

  7. 测试

下面是具体的操作截图。

创建新的VLAN 108,转发DHCP

配置新的Scope

配置WLC和交换机之间的Port Group

配置AP和交换机之间的端口

WLC上配置interface

WLC上配置新的SSID,绑定端口

新的WLAN对应的验证服务器,这里指向ISE服务器

勾选FlexConnect Local Switching

把对应的WLAN加入FlexConnect Group

ISE服务器里面添加新的条件(Conditions)

添加新的Permission Profile

然后ISE里面绑定一个AD的安全组,只有这个组里的人才能访问我新建的VLAN

最后配置一个新的authorization policy

别忘记了连接Boost的端口需要忽略掉STP

Okay,大功告成,现在用户可以成功的登录新建的SSID,并访问我的SONOS系统了。