IBA智能业务平台智能业务平台中小企业无边界网络远程办公解决方案部署指南configureterminalntpserver10.
10.
48.
17class-map[highestclassname]Router#enablewrr-queuerandom-detectmax-threshold1100100100100100100100100前言本指南是一份思科智能业务平台(IBA)指南.
本指南的目标受众本指南主要面向在企业中承担以下职务的人员:需要实施解决方案时的标准规范的系统工程师需要获取参考资料以撰写思科IBA实施项目工作说明书的项目经理需要借助产品指南销售新技术或撰写自己的实施文档的销售合作伙伴需要课堂讲授或在职培训材料的培训人员一般来说,您也可以将思科IBA指南作为工程师之间技术交流、项目实施经验分享的统一指导文件,或利用它更好地规划项目成本预算和项目工作范围.
版本系列思科每年对IBA指南进行两次更新和修订.
在发布思科IBA指南系列之前,我们将在IBA实验室对其进行整体评测.
为确保思科IBA指南中各个设计之间的兼容性,您应使用同一IBA系列中的设计指南文档.
所有思科IBA指南的封面和每页的左下角均标有指南系列的名称.
指南系列的命名方式如下:年2月指南系列年8月指南系列其中的年表示发布该指南系列的公历年度.
您可以在以下网址查看最新的思科IBA指南系列:客户登录:http://www.
cisco.
com/go/cn/iba合作伙伴登录:http://www.
cisco.
com/go/cn/iba如何阅读命令许多思科IBA指南详细说明了思科网络设备的配置步骤,这些设备运行着CiscoIOS、CiscoNX-OS或其他需要通过命令行界面(CLI)进行配置的操作系统.
下面描述了系统命令的指定规则,您需要按照这些规则来输入命令.
在CLI中输入的命令如下所示:为某个变量指定一个值的命令如下所示:包含您必须定义的变量的命令如下所示:以交互示例形式显示的命令(如脚本和包含提示的命令)如下所示:包含自动换行的长命令以下划线表示.
应将其作为一个命令进行输入:问题和评论如需要了解更多有关思科IBA智能业务平台的信息,请访问http://www.
cisco.
com/go/cn/iba如需要注册快速报价工具(QPT),请访问http://www.
cisco.
com/go/qpt如果您希望在出现新评论时获得通知,我们可以发送RSS信息.
前言2012年上半年What'sInThisSBAGuide1AboutSBA1AboutThisGuide1Introduction2BusinessOverview2TechnologyOverview2FoundationDesignConsiderations4ResilientWANDesign5BusinessOverview5TechnologyOverview5ConfiguringConnectivitytotheDRSite7DeployingaVPNHubontheDRSiteWANRouter8ConfiguringRemote-SiteResilientWAN10ResilientWANOptimization14BusinessOverview14TechnologyOverview14ConfiguringtheDR-SiteWAAS/WAE16AppendixA:ProductList23AppendixB:DeviceConfigurations24ASA5520InternetEdge243925DR-SiteWANRouter272911Remote-SiteRouter31TableofContentsALLDESIGNS,SPECIFICATIONS,STATEMENTS,INFORMATION,ANDRECOMMENDATIONS(COLLECTIVELY,"DESIGNS")INTHISMANUALAREPRESENTED"ASIS,"WITHALLFAULTS.
CISCOANDITSSUPPLIERSDISCLAIMALLWARRANTIES,INCLUDING,WITHOUTLIMITATION,THEWARRANTYOFMERCHANTABILITY,FITNESSFORAPARTICULARPURPOSEANDNONINFRINGEMENTORARISINGFROMACOURSEOFDEALING,USAGE,ORTRADEPRACTICE.
INNOEVENTSHALLCISCOORITSSUPPLIERSBELIABLEFORANYINDIRECT,SPECIAL,CONSEQUENTIAL,ORINCIDENTALDAMAGES,INCLUDING,WITHOUTLIMITA-TION,LOSTPROFITSORLOSSORDAMAGETODATAARISINGOUTOFTHEUSEORINABILITYTOUSETHEDESIGNS,EVENIFCISCOORITSSUPPLIERSHAVEBEENADVISEDOFTHEPOSSIBILITYOFSUCHDAMAGES.
THEDESIGNSARESUBJECTTOCHANGEWITHOUTNOTICE.
USERSARESOLELYRESPONSIBLEFORTHEIRAPPLICATIONOFTHEDESIGNS.
THEDESIGNSDONOTCONSTITUTETHETECHNICALOROTHERPROFESSIONALADVICEOFCISCO,ITSSUPPLIERSORPARTNERS.
USERSSHOULDCONSULTTHEIROWNTECHNICALADVISORSBEFOREIMPLEMENTINGTHEDESIGNS.
RESULTSMAYVARYDEPENDINGONFACTORSNOTTESTEDBYCISCO.
AnyInternetProtocol(IP)addressesusedinthisdocumentarenotintendedtobeactualaddresses.
Anyexamples,commanddisplayoutput,andfiguresincludedinthedocumentareshownforillustrativepurposesonly.
AnyuseofactualIPaddressesinillustrativecontentisunintentionalandcoincidental.
2012CiscoSystems,Inc.
Allrightsreserved.
What'sInThisSBAGuide1AboutSBA1AboutThisGuide1Introduction2BusinessOverview2TechnologyOverview2FoundationDesignConsiderations4ResilientWANDesign5BusinessOverview5TechnologyOverview5ConfiguringConnectivitytotheDRSite7DeployingaVPNHubontheDRSiteWANRouter8ConfiguringRemote-SiteResilientWAN10ResilientWANOptimization14BusinessOverview14TechnologyOverview14ConfiguringtheDR-SiteWAAS/WAE16AppendixA:ProductList23AppendixB:DeviceConfigurations24ASA5520InternetEdge243925DR-SiteWANRouter272911Remote-SiteRouter31TableofContentsALLDESIGNS,SPECIFICATIONS,STATEMENTS,INFORMATION,ANDRECOMMENDATIONS(COLLECTIVELY,"DESIGNS")INTHISMANUALAREPRESENTED"ASIS,"WITHALLFAULTS.
CISCOANDITSSUPPLIERSDISCLAIMALLWARRANTIES,INCLUDING,WITHOUTLIMITATION,THEWARRANTYOFMERCHANTABILITY,FITNESSFORAPARTICULARPURPOSEANDNONINFRINGEMENTORARISINGFROMACOURSEOFDEALING,USAGE,ORTRADEPRACTICE.
INNOEVENTSHALLCISCOORITSSUPPLIERSBELIABLEFORANYINDIRECT,SPECIAL,CONSEQUENTIAL,ORINCIDENTALDAMAGES,INCLUDING,WITHOUTLIMITA-TION,LOSTPROFITSORLOSSORDAMAGETODATAARISINGOUTOFTHEUSEORINABILITYTOUSETHEDESIGNS,EVENIFCISCOORITSSUPPLIERSHAVEBEENADVISEDOFTHEPOSSIBILITYOFSUCHDAMAGES.
THEDESIGNSARESUBJECTTOCHANGEWITHOUTNOTICE.
USERSARESOLELYRESPONSIBLEFORTHEIRAPPLICATIONOFTHEDESIGNS.
THEDESIGNSDONOTCONSTITUTETHETECHNICALOROTHERPROFESSIONALADVICEOFCISCO,ITSSUPPLIERSORPARTNERS.
USERSSHOULDCONSULTTHEIROWNTECHNICALADVISORSBEFOREIMPLEMENTINGTHEDESIGNS.
RESULTSMAYVARYDEPENDINGONFACTORSNOTTESTEDBYCISCO.
AnyInternetProtocol(IP)addressesusedinthisdocumentarenotintendedtobeactualaddresses.
Anyexamples,commanddisplayoutput,andfiguresincludedinthedocumentareshownforillustrativepurposesonly.
AnyuseofactualIPaddressesinillustrativecontentisunintentionalandcoincidental.
2012CiscoSystems,Inc.
Allrightsreserved.
目录目录本手册中的所有设计、规格、陈述、信息和建议(统称为"设计")均按"原样"提供,可能包含错误信息.
思科及其供应商不提供任何保证,包括但不限于适销性、适合特定用途和非侵权保证,或与交易过程、使用或贸易惯例相关的保证.
在任何情况下,思科及其供应商对任何间接的、特殊的、继发的或偶然性的损害均不承担责任,包括但不限于由于使用或未能使用本手册所造成的利润损失或数据丢失或损害,即使思科或其供应商已被告知存在此类损害的可能性.
这些设计如有更改,恕不另行通知.
用户对于这些设计的使用负有全部责任.
这些设计不属于思科、供应商或合作伙伴的技术建议或其它专业建议.
用户在采用这些设计之前应咨询他们的技术顾问.
思科未测试的一些因素可能导致结果有所不同.
文中使用的任何互联网协议(IP)地址均非真实地址.
文中的任何举例、命令显示输出和图示仅供说明之用.
在图示中使用任何真实IP地址均属无意和巧合.
2012思科系统公司.
保留所有权利.
2012年上半年本IBA指南的内容1关于IBA.
1关于本指南.
1简介.
2AnyConnectPC和电话.
3业务概述.
3技术概述.
3部署详情.
4配置CiscoASA.
4配置CiscoUCM.
5配置IP电话.
9CiscoASA5505.
12业务概述.
12技术概述.
12部署详情.
13配置用于远程工作人员VPN的互联网边缘ASA.
13配置远程工作人员CiscoASA5505终端.
19CiscoOfceExtend.
21业务概述.
21技术概述.
21部署详情.
21配置互联网边缘.
22配置局域网.
25配置WLC.
26配置600系列OfceExtend接入点.
30附录A:产品列表.
32附录B:配置文件.
33IE-ASA5540.
33What'sInThisSBAGuideAboutSBACiscoSBAhelpsyoudesignandquicklydeployafull-servicebusinessnetwork.
ACiscoSBAdeploymentisprescriptive,out-of-the-box,scalable,andflexible.
CiscoSBAincorporatesLAN,WAN,wireless,security,datacenter,applicationoptimization,andunifiedcommunicationtechnologies—testedtogetherasacompletesystem.
Thiscomponent-levelapproachsimplifiessystemintegrationofmultipletechnologies,allowingyoutoselectsolutionsthatsolveyourorganization'sproblems—withoutworryingaboutthetechnicalcomplexity.
Formoreinformation,seetheHowtoGetStartedwithCiscoSBAdocument:http://www.
cisco.
com/en/US/docs/solutions/Enterprise/Borderless_Networks/Smart_Business_Architecture/SBA_Getting_Started.
pdfAboutThisGuideThisadditionaldeploymentguideincludesthefollowingsections:BusinessOverview—Thechallengethatyourorganizationfaces.
Businessdecisionmakerscanusethissectiontounderstandtherel-evanceofthesolutiontotheirorganizations'operations.
TechnologyOverview—HowCiscosolvesthechallenge.
Technicaldecisionmakerscanusethissectiontounderstandhowthesolutionworks.
DeploymentDetails—Step-by-stepinstructionsforimplementingthesolution.
Systemsengineerscanusethissectiontogetthesolutionupandrunningquicklyandreliably.
Thisguidepresumesthatyouhavereadtheprerequisitesguides,asshownontheRoutetoSuccessbelow.
1RoutetoSuccessToensureyoursuccesswhenimplementingthedesignsinthisguide,youshouldreadanyguidesthatthisguidedependsupon—showntotheleftofthisguideontherouteabove.
Anyguidesthatdependuponthisguideareshowntotherightofthisguide.
ForcustomeraccesstoallSBAguides:http://www.
cisco.
com/go/sbaForpartneraccess:http://www.
cisco.
com/go/sbachannelBN本IBA指南的内容本IBA指南的内容What'sInThisSBAGuideAboutSBACiscoSBAhelpsyoudesignandquicklydeployafull-servicebusinessnetwork.
ACiscoSBAdeploymentisprescriptive,out-of-the-box,scalable,andflexible.
CiscoSBAincorporatesLAN,WAN,wireless,security,datacenter,applicationoptimization,andunifiedcommunicationtechnologies—testedtogetherasacompletesystem.
Thiscomponent-levelapproachsimplifiessystemintegrationofmultipletechnologies,allowingyoutoselectsolutionsthatsolveyourorganization'sproblems—withoutworryingaboutthetechnicalcomplexity.
Formoreinformation,seetheHowtoGetStartedwithCiscoSBAdocument:http://www.
cisco.
com/en/US/docs/solutions/Enterprise/Borderless_Networks/Smart_Business_Architecture/SBA_Getting_Started.
pdfAboutThisGuideThisadditionaldeploymentguideincludesthefollowingsections:BusinessOverview—Thechallengethatyourorganizationfaces.
Businessdecisionmakerscanusethissectiontounderstandtherel-evanceofthesolutiontotheirorganizations'operations.
TechnologyOverview—HowCiscosolvesthechallenge.
Technicaldecisionmakerscanusethissectiontounderstandhowthesolutionworks.
DeploymentDetails—Step-by-stepinstructionsforimplementingthesolution.
Systemsengineerscanusethissectiontogetthesolutionupandrunningquicklyandreliably.
Thisguidepresumesthatyouhavereadtheprerequisitesguides,asshownontheRoutetoSuccessbelow.
1RoutetoSuccessToensureyoursuccesswhenimplementingthedesignsinthisguide,youshouldreadanyguidesthatthisguidedependsupon—showntotheleftofthisguideontherouteabove.
Anyguidesthatdependuponthisguideareshowntotherightofthisguide.
ForcustomeraccesstoallSBAguides:http://www.
cisco.
com/go/sbaForpartneraccess:http://www.
cisco.
com/go/sbachannelBN2012年上半年What'sInThisSBAGuideAboutSBACiscoSBAhelpsyoudesignandquicklydeployafull-servicebusinessnetwork.
ACiscoSBAdeploymentisprescriptive,out-of-the-box,scalable,andflexible.
CiscoSBAincorporatesLAN,WAN,wireless,security,datacenter,applicationoptimization,andunifiedcommunicationtechnologies—testedtogetherasacompletesystem.
Thiscomponent-levelapproachsimplifiessystemintegrationofmultipletechnologies,allowingyoutoselectsolutionsthatsolveyourorganization'sproblems—withoutworryingaboutthetechnicalcomplexity.
Formoreinformation,seetheHowtoGetStartedwithCiscoSBAdocument:http://www.
cisco.
com/en/US/docs/solutions/Enterprise/Borderless_Networks/Smart_Business_Architecture/SBA_Getting_Started.
pdfAboutThisGuideThisadditionaldeploymentguideincludesthefollowingsections:BusinessOverview—Thechallengethatyourorganizationfaces.
Businessdecisionmakerscanusethissectiontounderstandtherel-evanceofthesolutiontotheirorganizations'operations.
TechnologyOverview—HowCiscosolvesthechallenge.
Technicaldecisionmakerscanusethissectiontounderstandhowthesolutionworks.
DeploymentDetails—Step-by-stepinstructionsforimplementingthesolution.
Systemsengineerscanusethissectiontogetthesolutionupandrunningquicklyandreliably.
Thisguidepresumesthatyouhavereadtheprerequisitesguides,asshownontheRoutetoSuccessbelow.
1RoutetoSuccessToensureyoursuccesswhenimplementingthedesignsinthisguide,youshouldreadanyguidesthatthisguidedependsupon—showntotheleftofthisguideontherouteabove.
Anyguidesthatdependuponthisguideareshowntotherightofthisguide.
ForcustomeraccesstoallSBAguides:http://www.
cisco.
com/go/sbaForpartneraccess:http://www.
cisco.
com/go/sbachannelBNutSBASBAhelpsyoudesignandquicklydeployafull-servicebusinessk.
ACiscoSBAdeploymentisprescriptive,out-of-the-box,scalable,xible.
SBAincorporatesLAN,WAN,wireless,security,datacenter,applicationzation,andunifiedcommunicationtechnologies—testedtogetherasaetesystem.
Thiscomponent-levelapproachsimplifiessystemintegrationipletechnologies,allowingyoutoselectsolutionsthatsolveyourzation'sproblems—withoutworryingaboutthetechnicalcomplexity.
oreinformation,seetheHowtoGetStartedwithCiscoSBAment:www.
cisco.
com/en/US/docs/solutions/Enterprise/Borderless_Networks/_Business_Architecture/SBA_Getting_Started.
pdfAboutThisGuideThisadditionaldeploymentguideincludesthefollowingsections:BusinessOverview—ThechallengethatyourorganizationfaceBusinessdecisionmakerscanusethissectiontounderstandthevanceofthesolutiontotheirorganizations'operations.
TechnologyOverview—HowCiscosolvesthechallenge.
Techndecisionmakerscanusethissectiontounderstandhowthesolworks.
DeploymentDetails—Step-by-stepinstructionsforimplementsolution.
Systemsengineerscanusethissectiontogetthesoluandrunningquicklyandreliably.
Thisguidepresumesthatyouhavereadtheprerequisitesguides,aontheRoutetoSuccessbelow.
1outetoSuccessensureyoursuccesswhenimplementingthedesignsinthisguide,ushouldreadanyguidesthatthisguidedependsupon—showntoeleftofthisguideontherouteabove.
Anyguidesthatdependuponsguideareshowntotherightofthisguide.
rcustomeraccesstoallSBAguides:http://www.
cisco.
com/go/sbarpartneraccess:http://www.
cisco.
com/go/sbachannelBNAboutSBACiscoSBAhelpsyoudesignandquicklydeployafull-servicebusinessnetwork.
ACiscoSBAdeploymentisprescriptive,out-of-the-box,scalable,andflexible.
CiscoSBAincorporatesLAN,WAN,wireless,security,datacenter,applicationoptimization,andunifiedcommunicationtechnologies—testedtogetherasacompletesystem.
Thiscomponent-levelapproachsimplifiessystemintegrationofmultipletechnologies,allowingyoutoselectsolutionsthatsolveyourorganization'sproblems—withoutworryingaboutthetechnicalcomplexity.
Formoreinformation,seetheHowtoGetStartedwithCiscoSBAdocument:http://www.
cisco.
com/en/US/docs/solutions/Enterprise/Borderless_Networks/Smart_Business_Architecture/SBA_Getting_Started.
pdfAboutThisGuiThisadditionaldeploymBusinessOverview—BusinessdecisionmevanceofthesolutioTechnologyOverviedecisionmakerscanworks.
DeploymentDetailssolution.
SystemsenandrunningquicklyaThisguidepresumesthaontheRoutetoSuccessRoutetoSuccessToensureyoursuccesswhenimplementingthedesignsinthisguide,youshouldreadanyguidesthatthisguidedependsupon—showntotheleftofthisguideontherouteabove.
Anyguidesthatdependuponthisguideareshowntotherightofthisguide.
ForcustomeraccesstoallSBAguides:http://www.
cisco.
com/go/sbaForpartneraccess:http://www.
cisco.
com/go/sbachannelBN本指南所依据的指南您在这里关于IBA思科IBA能帮助您设计和快速部署一个全服务企业网络.
IBA系统是一种规范式设计,即购即用,而且具备出色的可扩展性和灵活性.
思科IBA在一个综合解决方案中集成了局域网、广域网、无线、安全、数据中心、应用优化和统一通信技术,并对其进行了严格测试,确保能够实现无缝协作.
IBA采用的组件式方法简化了在采用多种技术时通常需要进行的系统集成工作,使您可以随意选择能够满足企业需求的解决方案,而不必担心技术复杂性方面的问题.
成功部署路线图为确保您能够按照本指南中的设计成功完成部署,您应当阅读本指南所依据的所有相关指南——即上面路线图中本指南左侧的所有指南.
所有以本指南为依据的指南都在右侧.
如需要了解更多有关思科IBA智能业务平台的信息,请访问:http://www.
cisco.
com/go/cn/iba如需要注册快速报价工具(QPT),请访问:http://www.
cisco.
com/go/qpt关于本指南本指南是一份附加部署指南.
思科IBA部署指南包含以下章节:业务概述—描述了本指南中提出的解决方案的具体功能和应用价值.
这一章节的内容对业务决策者尤为重要.
技术概述—描述了支持此企业应用情形的技术解决方案,包括对构成此解决方案的思科产品的介绍.
技术决策者可以利用此章节的内容了解解决方案的工作原理.
部署详情—详细描述各个部署步骤,指导您部署和配置思科IBA解决方案.
系统工程师可以在这些步骤的指导下快速、可靠地配置和启用解决方案.
在成功部署路线图上,附加部署指南总是紧随基础部署指南之后,如下所示.
基础设计概述基础部署指南远程办公解决方案部署指南2简介简介2012年上半年表1.
远程办公需求和对应的解决方案目前,远程办公(也称作远程通信)已不再是一个新概念.
早在2010年,IDC就估计全球会有超过3000万远程工作人员.
远程工作人员与移动工作人员的不同之处在于,他们需要一个更像办公室的环境,通常在一个半永久性地点办公,大多数情况是在家中.
这些工作人员与主管间可以是非正式的工作关系,也可以有更加规范化的工作安排,遵循书面政策,须注册登记.
如今,远程工作人员效率越来越高,连通性越来越好,这使得公司能够招聘到位于世界各地的优秀人才.
同时,远程工作也能帮助员工达成工作与生活间的最佳平衡,在保持出色生产率和业务连续性的同时,提高员工的工作满意度.
支持员工从居住环境访问联网业务服务,给最终用户和IT部门提出了严峻挑战.
对于在家中办公的远程工作人员来说,关键是要能够可靠、一致地访问业务服务,获得类似于坐在公司大厦的格子间或办公室的体验.
此外,解决方案还必须支持众多具备不同技能的远程员工,因而能够轻松、简便地部署可接入公司环境的设备至关重要.
IT部门在部署远程办公解决方案方面,面临着一系列不同的挑战,包括如何从中央站点正确保护、维护和管理远程工作人员环境等.
云计算服务的推出,要求IT部门在确保员工能够访问这些服务的同时,提供安全的互联网接入,将病毒或攻击风险降至最低.
鉴于运营开支始终是一个重要考虑因素,IT部门必须部署经济高效的解决方案,在不影响质量或功能的情况下提供全面的投资保护.
远程工作人员的需求各不相同,具体取决于他们完成工作所需的信息类型和信息访问频率.
没有能够满足所有远程办公需求的"万能"技术解决方案.
为优化远程工作人员解决方案,企业必须了解单个最终用户的独特需求,同时为遍布各地的全体用户提供一个统一、安全的操作环境.
思科提供了一套远程办公解决方案,配以多种选项,适用于所有类型的远程工作人员.
思科远程办公解决方案包括:CiscoAnyConnectPC和电话思科自适应安全设备(ASA)系列5505CiscoOfceExtend思科虚拟办公室(CVO)本文分为多个部分,每部分介绍一种远程办公解决方案.
为帮助您明确哪种远程办公解决方案最适合贵公司,请使用下表确定您的需求和对应的解决方案.
AnyConnect您的需求PC+电话ASA5505OfceExtend无线连接X1X有线连接X1XX2高效的站点内X通信3配置复杂度中等高低永续性中等中等低此解决方案的50050500建议支持人数注:1.
每个设备都必须原生支持CiscoAnyConnect.
2.
CiscoOfceExtend600系列接入点支持一条物理局域网连接和多达四个MAC地址.
3.
是指流量不必离开站点,在设备间通信.
3AnyConnectPC和电话AnyConnectPC和电话2012年上半年业务概述支持员工从居住环境访问联网业务服务,给最终用户和IT部门提出了严峻挑战.
对于在家中办公的远程工作人员来说,关键是要能够可靠、一致地访问业务服务,获得类似于坐在公司大厦的格子间或办公室的体验.
然而,许多员工已在家中进行了个人网络设置,因为缺少以太网线或会在2.
4GHz无线频段发生拥堵,并行集成另一网络的作法恐怕不太现实.
IT部门在部署远程办公解决方案方面,面临一系列挑战,包括如何从中央站点正确保护、维护和管理远程工作人员环境等.
鉴于运营开支始终是一个重要考虑因素,IT部门必须部署经济高效的解决方案,在不影响质量或功能的情况下提供全面的投资保护.
技术概述适用于CiscoUnifiedIP电话的CiscoVPN客户端与适用于PC和笔记本电脑的CiscoAnyConnect客户端共用,为那些远程工作人员只需要访问数据和语音服务的企业,提供了出色的解决方案.
本解决方案以《面向中小企业的思科IBA智能业务平台——无边界网络基础部署指南》中所介绍的远程接入VPN解决方案为基础.
该解决方案无需任何修改,就能同时用于支持移动用户和远程工作人员.
因为员工可能全天候远程办公,为了提供与办公室更为接近的环境,本解决方案使用了物理电话,而非在PC上运行的软电话.
另外,为将电话与员工所属企业相连,本解决方案采用了适用于CiscoUniedIP电话的CiscoVPN客户端.
CiscoVPN客户端:易于部署——您可通过CiscoUniedCommunicationsManager(UCM)管理,完成所有设置.
该电话使用CiscoASA上现有的VPN群组配置,建立一条VPN连接,连接到与CiscoAnyConnectPC客户端相连的CiscoASA设备对.
易于使用——在大型企业环境中完成电话的配置后,用户可将其带回家,插入宽带路由器中,立即实现连接,无需配置繁杂的菜单.
此外,如果企业为远程工作人员提供的是一部CiscoUnifiedIP电话9971和一台配有无线网卡的笔记本电脑,那么该解决方案无需家庭办公室具备有线连接.
易于管理——电话能够远程进行固件更新和配置更改.
安全可靠——VPN隧道仅适用于来自于电话本身的流量.
一台连接到PC端口的电脑负责运行VPN客户端软件,进行身份验证并建立自己的隧道.
和AnyConnectPC客户端一样,对电话进行身份验证需要用户提供MicrosoftActiveDirectory(AD)用户名和密码.
CiscoVPN客户端配置需要预先配置电话,并在公司网络内部建立初始连接,以检索电话配置.
在电话检索到配置后,再使用VPN建立后续连接.
用于CiscoUnifiedIP电话的CiscoVPN客户端目前支持以下CiscoUnifiedIP电话:7942、7962、7945、7965、7975、8900系列和9900系列.
4流程部署详情本部署指南采用了特定的标准设计参数,并参考了多种不属于CVO解决方案范畴的网络基础设施服务.
这些参数如下表所列.
表2.
通用设计参数网络服务IP地址域名cisco.
localActiveDirectory、DNS服务器和DHCP服务器10.
10.
48.
10RADIUS身份验证系统(WindowsServer)10.
10.
48.
10网络时间协议(NTP)服务器10.
10.
48.
17IP组播汇聚点(AnycastRP)10.
10.
15.
252配置CiscoASA以下CiscoASA配置假定设备已采用《面向中小企业的思科IBA智能业务平台——无边界网络基础部署指南》远程接入VPN章节中的流程进行了预先配置.
程序1创建身份证书为能够从IP电话连接至CiscoASA,您必须将该设备的一份身份证书导入CiscoUCM中.
自行签发的身份证书(在基础部署指南中面向CiscoASA的远程接入VPN配置流程期间配置)必须导出为base64格式文件,然后再导入到CiscoUCM中.
步骤1:启动ASA安全设备管理器.
步骤2:在Conguration(配置)>DeviceManagement(设备管理)>CerticateManagement(证书管理)中,点击IdentityCerticates(身份证书).
步骤3:从身份证书列表中,选择正在使用的身份证书.
(例如:ASDM_TrustPoint0)步骤4:点击Export(导出).
步骤5:在Exportcertificate(导出证书)对话框中,为证书输入一个文件名.
(例如:C:\RAVPN.
pem)步骤6:选择PEMFormat(CertificateOnly)(PEM格式(仅限证书)),然后点击ExportCerticate(导出证书).
Information(信息)对话框显示证书已导出.
步骤7:点击OK,然后点击Apply(应用).
AnyConnectPC和电话2012年上半年5流程程序1导入ASA证书配置CiscoUCM1.
导入ASA证书2.
配置VPN网关3.
配置VPN群组4.
设置VPN配置文件5.
配置VPN功能6.
配置通用电话配置文件步骤1:转至CiscoUniedOperatingSystemsAdministration(CiscoUnied操作系统管理)页面.
(例如:https://cucm.
cisco.
local/cmplatform/)步骤2:在Security(安全)>CerticateManagement(证书管理)中,点击UploadCerticate(上传证书).
步骤3:在UploadCertificate(上传证书)页,CertificateName(证书名称)选择Phone-VPN-trust.
步骤4:在UploadFile(上传文件)框中,输入程序1步骤5中获得的证书文件名称.
步骤5:点击UploadFile(上传文件).
上传完成后,Status(状态)窗格就显示Success:CerticateUploaded(成功:证书已上传).
AnyConnectPC和电话2012年上半年6程序2配置VPN网关步骤1:在Navigation(导航)列表中,选择CiscoUniedCMAdministration(CiscoUniedCM管理),然后点击Go(开始).
步骤2:在AdvancedFeatures(高级功能)>VPN>VPNGateway(VPN网关)中,点击AddNew(新增).
步骤3:在VPNGatewayConguration(VPN网关配置)页面,为VPN网关输入一个名称.
(例如:IE-ASA5520)步骤4:在VPNGatewayURL(VPN网关URL)框中,为CiscoASA主用互联网连接上的VPN组输入URL.
(例如:https://172.
16.
30.
2/anyconnect/)步骤5:在VPNGatewayCertificates(VPN网关证书)窗格,通过选中证书并点击下箭头,将证书从可信库移动到该位置.
步骤6:点击Save(保存).
AnyConnectPC和电话2012年上半年7程序3配置VPN群组步骤1:在AdvancedFeatures(高级功能)>VPN>VPNGroup(VPN群组)中,点击AddNew(新增).
步骤2:在VPNGroupConfiguration(VPN群组配置)页面,输入一个VPNGroupName(VPN群组名称).
(例如RA-VPN)步骤3:通过选中网关并点击下箭头,将主VPN网关从AvailableVPNGatewaylist(可用VPN网关列表)移动到SelectedVPNGatewaylist(所选VPN网关列表).
步骤4:点击Save(保存).
程序4设置VPN配置文件步骤1:在AdvancedFeatures(高级功能)>VPN>VPNProfile(VPN配置文件)中,点击AddNew(新增).
步骤2:在VPNProleConguration(VPN配置文件设置)页面,输入一个Name(名称).
(例如:RAVPN-ASAs)步骤3:因为CiscoASA的身份证书是自行签发的,请不要勾选EnableHostIDCheck(启用主机ID检查).
步骤4:选择EnablePasswordPersistence(启用永久密码).
步骤5:点击Save(保存).
AnyConnectPC和电话2012年上半年8程序5配置VPN功能程序6配置通用电话配置文件步骤1:在Advanced(高级)>VPN中,点击VPNFeatureConguration(VPN功能配置).
步骤2:因为CiscoASA的身份证书是自行签发的,所以应在EnableHostIDCheck(启用主机ID检查)字段中选择False(不支持).
步骤3:点击Save(保存).
步骤1:在Device(设备)>DeviceSettings(设备设置)>CommonPhoneProle(通用电话配置文件)中,点击AddNew(新增).
步骤2:在CommonPhoneProfileConfiguration(通用电话配置文件设置)页面,输入Name(名称).
(Example:VPNCommonPhoneProle)步骤3:在VPNinformation(VPN信息)窗格中,选择程序3中创建的VPNGroup(VPN群组).
(例如:RA-VPN)步骤4:在VPNinformation(VPN信息)窗格中,选择程序4中创建的VPNProfile(VPN配置文件).
(例如:RAVPN-ASAs)步骤5:点击Save(保存).
AnyConnectPC和电话2012年上半年9程序1创建远程工作人员设备池配置IP电话1.
创建远程工作人员设备池2.
注册和配置设备3.
连接IP电话在最终用户通过VPN使用电话之前,电话必须从企业网络内部向CiscoUCM进行注册.
注册流程将更新电话固件并下载电话配置,包括VPN设置.
以下程序为注册设备配置了VPN信息,以便最终用户能在企业网络之外部署该设备.
步骤1:在System(系统)>Region(地区)中,点击AddNew(新增).
步骤2:输入该地区的名称,然后点击Save(保存).
(例如:Teleworkers)步骤3:在ModifyRelationshiptootherRegions(修改与其它地区的关系)面板中,在Regions(地区)列表中选择每个地区.
步骤4:在MaxAudioBitRate(最大音频码率)中,选择16kbps(iLBC,G.
728).
步骤5:在LinkLossType(链路损耗类型)列表中选择Lossy(损耗),然后点击Save(保存).
步骤6:在System(系统)>DevicePool(设备池)中,点击AddNew(新增).
步骤7:在DevicePoolName(设备池名称)选项框中,输入一个名称.
(例如:Teleworker_DP)步骤8:在CiscoUnifiedCommunicationsManagerGroup(CiscoUnifiedCommunicationsManager群组)列表中,选择主群组.
(例如:CG_1)步骤9:在Date/TimeGroup(日期/时间群组)列表中,为远程工作人员设备选择时区.
(例如:Pacic)AnyConnectPC和电话2012年上半年流程10步骤10:在Region(地区)列表中,选择步骤2中创建的远程工作人员地区,然后点击Save(保存).
(例如:Teleworkers)程序2注册和配置设备步骤1:在Device(设备)>Phone(电话)中,在搜索文本框中输入设备名称.
步骤2:点击Find(搜索).
步骤3:要打开PhoneConguration(电话配置)页面,在DeviceName(设备名称)栏中点击设备名称.
步骤4:在PhoneConfiguration(电话配置)页面,选择DevicePool(设备池).
(例如:Teleworker_DP)步骤5:选择程序6中创建的CommonPhoneProle(通用电话配置文件).
(例如:VPNCommonPhoneProle)步骤6:选择CallingSearchSpace(呼叫搜索空间),然后点击Save(保存).
(例如:Remote_CSS)步骤7:点击ApplyCong(应用配置).
AnyConnectPC和电话2012年上半年11程序3连接IP电话步骤1:将电话与用户的家庭网络相连.
步骤2:要通过VPN将电话与企业相连,选择Applications(应用)>VPN.
步骤3:对于VPNEnabled(启用VPN)项,选择On(打开).
步骤4:输入用户ID和密码.
步骤5:按SignIn(登入).
VPNStatus(VPN状态)显示为Connected(连接).
AnyConnectPC和电话2012年上半年12CiscoASA5505业务概述目前,许多企业都日益需要为员工提供远程办公解决方案.
员工们普遍认为上下班路上和办公室闲聊的时间都属于工作时间,而企业需要租用或购买办公室场地和办公家具,甚至部署用于为员工提供支持的网络基础设施,这些加起来是巨大的投资和运营开支.
在远程工作人员家中提供类似办公室的工作环境,需要:一部能作为企业电话系统分机的电话.
一个运行安静、平稳的低功率解决方案,为一部或多部IP电话或其它桌面协作资源提供多条以太网连接.
一条或多条供计算机接入企业网络的以太网连接,以及用于其它联网设备,如打印机和IP视频监视设备等的以太网连接.
员工在远程办公站点无需无线连接,因为所有的远程办公资源都使用有线以太网.
技术概述CiscoASA5505是远程工作人员连接企业总部(HQ)的低成本选择.
CiscoASA5505在一个紧凑、无风扇的机型中,为数据和协作终端提供了安全连接,最大程度降低了噪音级别和空间需求.
CiscoASA5505远程办公解决方案可以与思科IBA智能业务平台中小企业或大型企业设计的互联网边缘部分相集成.
远程工作人员连接在总部或是备用站点(如地区办公室或业务连续性站点)的永续CiscoASA防火墙上端接.
尽管某些配置可以完全不使用远程接入虚拟专用网(RAVPN)资源,但也可以重复利用其中的一些配置.
该配置无需中断服务即能应用,增加了头端对于CiscoASA5505远程工作人员终端的支持,且不会影响RAVPN连接.
CiscoASA5505远程工作人员解决方案为终端设备,如笔记本电脑和台式机、IP电话、打印机,以及其它通过有线以太网连接而与网络相连的设备等,提供了网络接入功能.
CiscoASA5505的两个端口提供有以太网供电,可支持IP电话、IP视频监视和其它终端,而不必在远程工作人员的办公室布置大量的线缆和"墙壁"电源.
ASA5505远程工作人员解决方案提供:低廉的成本——完美结合了CiscoASA5505、思科IP电话,以及总部互联网边缘ASA上的必要许可证.
.
灵活的连接——CiscoASA5505的集成以太网交换机能支持多种终端设备,包括两个能提供以太网供电(PoE)的接口.
简单的部署——CiscoASA5505能使用简要文本文件配置,快速完成配置工作.
安全可靠——远程员工的连接可通过取消激活总部设备上的远程办公站点证书而终止.
在理想状态下,CiscoASA5505远程工作人员的设备将在预配置后,送回到他们的家中.
此外,他们还可将新配置的桌面IP电话或已有桌面IP电话带回家,并通过VPN在CallManager服务器上注册.
CiscoASA55052012年上半年13部署详情远程接入连接的配置分两个阶段.
在第一阶段,您将在总部配置永续的互联网边缘设备对,以接收来自远程工作人员5505设备的VPN连接.
在第二阶段,您将进行远程工作人员5505硬件客户端上的配置.
流程配置用于远程工作人员VPN的互联网边缘ASA1.
配置IPsec(IKEv1)连接配置文件2.
配置NAT豁免按照规定,针对CiscoASA5505远程工作人员VPN的总部互联网边缘CiscoASA配置是独立的.
但有几个特性取决于互联网边缘基础的配置,因此您需要遵循《面向中小企业的IBA智能业务平台——无边界网络基础部署指南》中关于CiscoASA远程接入VPN的配置步骤.
程序1配置IPsec(IKEv1)连接配置文件IPsec连接配置文件中包括大量设定VPN客户端连接行为的配置,因此在这一流程中,您必须执行多个步骤,来完成中央配置.
步骤1:转至Configuration(配置)>RemoteAccessVPN(远程接入VPN)>Network(Client)AccessIPsec(IKEv1)ConnectionProfiles(网络(客户端)接入IPsec(IKEv1)连接配置文件)选项卡,在ConnectionProles(连接配置文件)下方右边的窗格中,点击Add(添加)按钮.
CiscoASA55052012年上半年14步骤2:在AddIPsecRemoteAccessConnectionProle(添加IPsec远程接入连接配置文件)对话框中,输入以下详细信息.
该配置会影响5505远程工作人员设备的行为,如下所述:Name(名称):Teleworker5505此条目是5505EasyVPN客户端配置中将用到的VPN群组的名称.
IKE对等体身份验证预共享密钥:[IKEGroupKey]此条目是必须在5505EasyVPN客户端配置中重复输入的群组密钥.
服务器组:SelectAD此条目选择了网络的WindowsDomainController,该控制器会验证为打开EasyVPN客户端隧道而提交的用户名和密码.
步骤3:在GroupPolicy(群组策略)列表的右侧,点击Manage(管理).
步骤4:在CongureGroupPolicies(配置群组策略)对话框中,点击Add(添加).
步骤5:在AddInternalGroupPolicy(添加内部群组策略)对话框中,选择General(常规),然后在Name(名称)框中输入5505-Policy.
步骤6:要展开选项面板,点击MoreOptions(更多选项).
步骤7:在TunnelingProtocols(隧道协议)旁,取消勾选Inherit(继承),然后选择IPsecIKEv1.
步骤8:转至Advanced(高级)>SplitTunneling(分离隧道),在右侧面板中,取消勾选Policy(策略)旁的Inherit(继承).
CiscoASA55052012年上半年15步骤9:在Policy(策略)框中,确保选择TunnelAllNetworks(隧道连接所有网络).
步骤10:转至Advanced(高级)>IPsecClient(IPsec客户端),取消勾选位于StorePasswordOnClientSystem(将密码存储在客户端系统中)旁边的Inherit(继承).
确保选择Disable(禁用).
步骤11:转至Advanced(高级)>IPsecClient(IPsec客户端)>HardwareClient(硬件客户端),完成以下任务:取消勾选位于RequireInteractiveClientAuthentication(需要交互式客户端身份验证)旁边的Inherit(继承),确保选择Enable(启用).
取消勾选位于AllowNetworkExtensionMode(许可网络扩展模式)旁边的Inherit(继承),确保选择Enable(启用).
单击OK(确定).
步骤12:在CongureGroupPolicies(配置群组策略)对话框中,点击OK.
步骤13:在AddIPsecRemoteAccessConnectionProfile(添加IPsec远程接入连接配置文件)对话框中,取消勾选EnableL2TPoverIPsecprotocol(启用L2TPoverIPsec协议),然后点击OK.
步骤14:在ConnectionProles(连接配置文件)窗口,转至Conguration(配置)>RemoteAccessVPN(远程接入VPN)>Network(Client)Access(网络(客户端)接入)>IPsec(IKEv1).
步骤15:在AccessInterfaces(访问接口)下,在设备的outside(外部)接口旁边,确保勾选AllowAccess(允许访问)复选框.
CiscoASA55052012年上半年16group-policy5505-Policyinternalgroup-policy5505-Policyattributespassword-storagedisablevpn-tunnel-protocolikev1split-tunnel-policytunnelallsecure-unit-authenticationenablenemenableexittunnel-groupTeleworker5505typeremote-accesstunnel-groupTeleworker5505general-attributesdefault-group-policy5505-Policyauthentication-server-groupADtunnel-groupTeleworker5505ipsec-attributesikev1pre-shared-key[c1sco123]步骤16:在ConnectionProfiles(连接配置文件)下,确认新的Teleworker5505配置文件已出现,然后点击Apply(应用).
通过完成以上步骤,将应用下面的配置:备注CiscoASA55052012年上半年17程序2配置NAT豁免对于进出包含远程工作人员远程地址的IP子网的流量,互联网边缘设备不得应用网络地址转换(NAT).
您必须配置一个策略来防止互联网边缘设备应用NAT.
步骤1:转至Configuration(配置)>Firewall(防火墙)>NATRules(NAT规则),点击Add(添加)旁边的箭头,然后选择AddNATRuleBefore"NetworkObject"NATRules(在"网络对象"NAT规则前添加NAT规则)步骤2:在AddNATRule(添加NAT规则)窗口中,在MatchCriteria:OriginalPacket(匹配标准:原始数据包)下方,在DestinationAddress(目的地地址)框中,点击省略号(.
.
.
).
步骤3:在BrowseOriginalDestinationAddress(浏览原始目的地地址)对话框中,点击Add(添加),然后点击NetworkObject(网络对象).
步骤4:在AddNetworkObject(添加网络对象)对话框中,输入以下值,然后点击OK.
Name(名称):5505-poolType(类型):NetworkIPAddress(IP地址):[10.
10.
30.
0]Netmask(子网掩码):[255.
255.
254.
0]Description(描述):5505TeleworkerSubnetCiscoASA55052012年上半年18objectnetwork5505-poolsubnet10.
10.
30.
0255.
255.
254.
0description5505TeleworkerSubnetnat3sourcestaticanyanydestinationstatic5505-pool5505-pool步骤5:在BrowseOriginalDestinationAddress(浏览原始目的地地址)对话框中,展开IPv4NetworkObjects(IPv4网络对象)列表中,双击5505-pool,然后点击OK.
双击5505-pool,选择5505远程工作人员子网作为原始目的地地址.
步骤6:在AddNATRule(添加NAT规则)对话框中,在MatchCriteria:OriginalPacket>DestinationAddress(匹配标准:原始数据包>目的地地址)字段中,确认其值为5505-pool.
步骤7:在Options(选项)下,确保选择EnableRule(启用规则)且方向为Both(双向),然后点击OK.
步骤8:查看配置,然后点击Apply(应用).
CiscoASDM采用以下配置:CiscoASA55052012年上半年19hostname5505site1domain-namecisco.
localusername[admin]password[c1sco123]privilege15enablepassword[c1sco123]interfaceVlan1nameifinsidesecurity-level100ipaddress10.
10.
30.
1255.
255.
255.
248interfaceEthernet0/1switchportaccessvlan1noshutdown…interfaceEthernet0/7switchportaccessvlan1noshutdownhttpserverenablehttp10.
0.
0.
0255.
0.
0.
0insidessh10.
0.
0.
0255.
0.
0.
0insidemanagement-accessinside配置远程工作人员CiscoASA5505终端1.
定义全局设备配置2.
配置内部VLAN和交换机端口3.
配置外部VLAN和交换机端口4.
配置CiscoASA5505DHCP服务器5.
配置CiscoASA5505EasyVPN客户端每位远程工作人员的CiscoASA5505设备都必须进行配置,以连接到部署在总部的永续互联网边缘设备.
因为此配置很有可能会部署在多个设备上,所以为简化部署,我们仅以命令行界面展示此配置.
所有5505远程工作人员站点都使用网络扩展模式(NEM)进行连接,这种模式允许远程工作人员站点终端随意与企业局域网相连.
以NEM进行连接,这对于IP电话和视频监控摄像机等易受NAT数据流量修改影响的终端来说尤为重要.
每个站点必须使用一个独特的内部IP子网.
否则,就会出现两个站点的所有配置都相同的情况.
为了避免地址分配冲突,思科建议您制作并维护一个电子表格,用于记录将分发到CiscoASA5505远程办公设备的各用户的子网分配情况.
User名称ASA5505局域网地址子网主机名Employee110.
10.
30.
110.
10.
30.
0/295505site1Employee210.
10.
30.
910.
10.
30.
8/295505site2程序1定义全局设备配置步骤3:设置启用密码.
步骤1:配置CiscoASA5055主机名和域名.
步骤2:定义一个本地管理用户名.
程序2配置内部VLAN和交换机端口每个CiscoASA5505远程工作人员站点都需要一个独特的内部子网,您应在本流程介绍部分建议的电子表格中找到它们.
步骤1:配置用于远程工作人员站点局域网的VLAN1接口.
步骤2:将CiscoASA5505的以太网0/1到以太网0/7接口与VLAN1相关联,并指导远程工作人员将支持PoE的设备连接到以太网0/6和0/7端口.
步骤3:定义管理配置.
CiscoASA55052012年上半年流程20interfaceVlan2nameifoutsidesecurity-level0ipaddressdhcpsetrouteinterfaceEthernet0/0switchportaccessvlan2noshutdowndhcpdaddress[10.
10.
30.
2-10.
10.
30.
6]insidedhcpddns10.
10.
48.
10interfaceinsidedhcpddomaincisco.
localinterfaceinsidedhcpdoption150ip10.
10.
48.
20dhcpdenableinsidevpnclientserver172.
16.
30.
2vpnclientmodenetwork-extension-modevpnclientvpngroupTeleworker5505password[c1sco123]vpnclientenable程序3配置外部VLAN和交换机端口程序4配置CiscoASA5505DHCP服务器程序5配置CiscoASA5505EasyVPN客户端步骤1:配置VLAN接口,以通过DHCP接收来自远程工作人员互联网网关设备的IP地址.
步骤2:将CiscoASA5505的以太网0/0接口与VLAN2相关联,并指导远程工作人员将以太网0/0接口连接到互联网网关设备.
CiscoASA5505必须通过配置,为计算机、电话、打印机和视频监视设备等远程工作人员终端提供IP地址.
每个站点必须使用一个独特的子网,您应在本流程介绍部分提及的电子表格中跟踪它们.
步骤1:定义DHCP域的地址范围.
DHCP域必须与内部(VLAN1)接口位于同一子网之中.
步骤2:配置将分发给客户的DNS和域名值.
步骤3:定义DHCP选项150,为思科IP电话提供CiscoUnifiedCallManagerServer地址.
步骤4:启用DHCP域.
CiscoASA5505使用EasyVPN网络扩展模式,与总部站点的CiscoASA远程接入服务器进行有关VPN连接的协商.
步骤1:为远程工作人员的CiscoASA5505定义EasyVPN客户端连接属性:将总部互联网边缘ASA的地址设定为VPN服务器值设置网络扩展模式.
vpngroup和密码值必须与您在总部设备上配置的IPsec远程接入连接配置文件相匹配.
步骤2:启用CiscoASA5505的EasyVPN客户端:远程工作人员必须手动启动VPN;当远程工作人员通过web浏览器访问总部网络上的web内容时,CiscoASA5505将截获该连接,并提供交互式登录提示.
远程工作人员必须提供登录证书,使用所提供的用户名和密码,协商VPN连接.
如果用户的VPN连接未激活,则与CiscoASA5505相连的IP电话将无法拨打和接听电话.
如果必须撤销远程工作人员的VPN接入,身份验证服务器应拒绝远程工作人员的访问.
技术提示CiscoASA55052012年上半年21CiscoOfceExtend业务概述支持员工从居住环境访问联网业务服务给最终用户和IT部门提出了严峻挑战.
对于在家办公的远程工作人员,可靠一致地访问业务服务非常重要,他们需要获得与坐在公司大厦的格子间或办公室里相同的体验.
然而,我们发现住宅和城市环境往往在常用的2.
4GHz无线频段上存在许多潜在的拥塞源.
潜在的干扰源包括无绳手持设备、个人家用笔记本电脑、iPhone或iPod、婴儿监视器等等.
此外,解决方案还必须支持众多具备不同技能集的远程工作人员,因而能够轻松、简便地部署可接入公司环境的设备至关重要.
IT部门在部署远程办公解决方案方面,面临着一系列不同的挑战,包括如何从中央站点正确保护、维护和管理远程工作人员环境等.
鉴于运营开支始终是一个重要考虑因素,IT部门必须部署经济高效的解决方案,在不影响质量或功能的情况下提供全面的投资保护.
技术概述CiscoOfceExtend解决方案专门针对主要使用无线设备的远程工作人员而设计;该解决方案包含以下组件:CiscoAironet600系列OfceExtend接入点Cisco5500系列无线局域网控制器CiscoOfficeExtend解决方案配置、管理和故障排除工作在思科无线局域网控制器(WLC)上集中完成.
每个Cisco5500系列无线局域网控制器可支持多达500个OfceExtend接入点.
本部署指南使用的CiscoWLC与局域网无线接入点使用的相同.
这样就无需购买额外的硬件,降低了解决方案的总体成本.
通常,提供面向公共互联网的服务的设备都部署在防火墙隔离区(DMZ)中,以降低内部主机的安全风险.
鉴于由数据报传输层安全(DTLS)保护的无线接入点控制和配置流量(CAPWAP)是唯一被允许进出CiscoWLC的互联网流量,因而只存在极小的安全风险.
此外,WLC将配置为仅接受来自可信OfceExtend接入点的连接,由此进一步降低了出现非法接入点连接的可能性.
为了使用户无需重新配置即可将其终端设备连接到企业的现场无线网络或家庭远程工作无线网络,CiscoOfceExtend远程工作解决方案在远程工作人员的家中提供了与在企业内部支持数据和语音服务所用的相同无线服务集标识符(SSID).
CiscoOfficeExtend提供了全面的802.
11n无线性能,可避免住宅设备由于同时在2.
4GHz和5GHz无线频段运行所引起的拥塞.
OfceExtend解决方案采用与网络核心相同的服务质量(QoS)和安全策略,因此没有需要管理的叠加网络.
在家庭办公室进行初始设置时,远程员工可将接入点插入到与宽带调制解调器相连接或集成的家用路由器中.
CiscoAironet600系列OfceExtend接入点可以提前进行配置或由用户进行配置,将建立一个到位于公司总部的思科无线控制器的安全隧道.
部署详情本部署指南采用了特定的标准设计参数,并参考了多种不属于CVO解决方案范畴的网络基础设施服务.
这些参数如下表所列.
表3.
通用设计参数网络服务IP地址域名cisco.
localActiveDirectory、DNS服务器、DHCPServer、10.
10.
48.
10WindowsRADIUS网络时间协议(NTP)服务器10.
10.
48.
17IP组播汇聚点10.
10.
15.
252CiscoOfceExtend2012年上半年22配置互联网边缘1.
配置NAT2.
配置安全策略程序1配置NAT局域网使用的专用网(RFC1918)地址无法在互联网上路由,因此防火墙必须将WLC的内部地址转换为外部公共地址.
下表中以示例方式列出了与WLC专用地址相对应的公共IP地址.
WLC专用地址WLC公共地址(NAT转换之后外部可路由)10.
10.
50.
11172.
16.
30.
8步骤1:转至Configuration(配置)>Firewall(防火墙)>Objects(对象)>NetworkObjects(网络对象)/Groups(组).
步骤2:为WLC的公共地址添加网络对象,然后点击Add(添加)>NetworkObject(网络对象).
步骤3:在AddNetworkObject(添加网络对象)对话框中,配置以下属性:在Name(名称)框中,为WLC的公共IP地址输入一个描述.
(例如:wlc-outside)在IPAddress(IP地址)框中,输入WLC的公共IP地址,然后点击OK.
(例如:172.
16.
30.
8)步骤4:为WLC的专用DMZ地址添加网络对象,然后转至Add(添加)>NetworkObject(网络对象).
CiscoOfceExtend2012年上半年流程23步骤5:在AddNetworkObject(添加网络对象)对话框中,配置以下属性:在Name(名称)框中,为WLC的专用IP地址输入一个描述.
(例如:wlc-inside)在IPAddress(IP地址)框中,输入WLC的专用IP地址.
(例如:10.
10.
50.
11)步骤6:点击两个向下箭头.
NAT窗格会展开.
步骤7:选择AddAutomaticAddressTranslationRules(添加自动地址转换规则).
步骤8:在TranslatedAddr(转换的地址)列表中,选择在步骤2中创建的网络对象,然后点击Advanced(高级).
CiscoOfceExtend2012年上半年24objectnetworkwlc-insidehost10.
10.
50.
11descriptionPrivateAddressforWLCobjectnetworkwlc-outsidehost172.
16.
30.
8descriptionInternetAddressforTeleworkerAPsobjectnetworkwlc-insidenat(any,outside)staticwlc-outside步骤9:在AdvancedNATSettings(高级NAT设置)对话框中,配置以下值:在SourceInterface(源接口)列表中,选择内部接口的名称.
(例如:inside)在DestinationInterface(目的地接口)列表中,选择互联网连接的接口名称.
(例如:outside)步骤10:在AdvancedNATSettings(高级NAT设置)对话框中,点击OK,然后在AddNetworkObject(添加网络对象)对话框中点击OK.
这一程序应用以下配置:程序2配置安全策略步骤1:转至Conguration(配置)>Firewall(防火墙)>AccessRules(访问规则).
步骤2:转至Add(添加)>AddAccessRule(添加访问规则).
步骤3:定义一个规则,允许Cisco600系列OfficeExtend接入点使用具有以下值的CAPWAP与DMZ中的WLC进行通信:在Interface(接口)列表选择Any(任意).
在Destination(目的地)列表中,选择程序1步骤5中创建的网络对象组.
(例如:wlc-inside)在Service(服务)列表中,输入udp/5246,udp/5247,然后点击OK.
CiscoOfceExtend2012年上半年25object-groupserviceDM_INLINE_UDP_1udpport-objecteq5246port-objecteq5247access-listglobal_accessline11remarkAllowCAPWAPtoWLCforTeleworkerAPsaccess-listglobal_accessline12extendedpermitudpanyobjectwlc-insideobject-groupDM_INLINE_UDP_1vlan134nameOEAP-remote-LANinterfaceVlan134descriptionOEAPRemoteLANDataNetworkipaddress10.
10.
34.
1255.
255.
254.
0noshutdowninterfacePort-channel48descriptionTrunktoServerRoomswitchswitchporttrunkallowedvlanadd134vlan134nameOEAP-remote-LANinterfacePort-channel1descriptionTrunktoCoreswitchswitchporttrunkallowedvlanadd134interfacePort-channel11descriptionTrunktoWLC-1switchporttrunkallowedvlanadd134步骤4:单击Apply(应用).
这一操作将应用以下配置:流程配置局域网1.
配置局域网核心层交换机2.
配置服务器机房交换机以下配置示例中所用的VLAN为:无线数据:VLAN116,IP:10.
10.
16.
0/24.
无线语音:VLAN120,IP10.
10.
20.
0/24.
远程局域网:VLAN134,IP10.
10.
34.
0/24.
VLAN116和120专为《面向中小企业的IBA智能业务平台——无边界网络基础部署指南》中的总部局域网接入点而配置,并且将被重新用于将总部无线局域网扩展到远程工作人员的家中.
VLAN134是一个您将添加到总部局域网中的独立VLAN,以便为连接到OfceExtend接入点上家庭办公局域网端口的主机提供连接性.
程序1配置局域网核心层交换机程序2配置服务器机房交换机步骤1:定义第二层VLAN配置:步骤2:配置VLAN接口(SVI),为远程局域网VLAN提供路由:步骤3:将VLAN添加到与服务器机房交换机相连的端口通道中:步骤1:定义第二层VLAN配置:步骤2:将远程局域网的VLAN添加到与核心层交换机相连的端口通道中:步骤3:将远程局域网的VLAN添加到与WLC相连的端口通道中:CiscoOfceExtend2012年上半年26配置WLC1.
针对NAT配置WLC2.
创建远程局域网接口3.
配置远程局域网4.
配置OfceExtend接入点组程序1针对NAT配置WLC这一WLC配置以《基础部署指南》中的无线局域网控制器配置为基础.
互联网边缘防火墙将WLC管理接口的IP地址转换为公共可到达的IP地址,以便远程办公地点的600系列OfficeExtend接入点能够访问WLC.
但是,为了使600系列OfficeExtend接入点能够与WLC进行通信,该公共可到达的地址也必须在WLC管理接口上进行配置.
步骤1:在Controller(控制器)>Interfaces(接口)中,点击management(管理)接口.
步骤2:选择EnableNATAddress(启用NAT地址).
步骤3:在NATIPAddress(NATIP地址)框中输入公共可到达的IP地址.
(例如:172.
16.
30.
8)步骤4:点击Apply(应用).
CiscoOfceExtend2012年上半年流程27程序2创建远程局域网接口添加一个允许远程局域网上的设备与企业中其他设备进行通信的接口.
步骤1:在Controller(控制器)>Interfaces(接口)中,点击New(新建),然后输入以下值:输入InterfaceName(接口名称).
(例如:teleworker-LAN).
输入VLANidentier(VLAN标识符)(例如:134).
步骤2:单击Apply(应用).
步骤3:在IPAddress(IP地址)框中,输入分配给WLC接口的IP地址.
(例如:10.
10.
34.
11)步骤4:输入子网掩码.
(例如:255.
255.
254.
0)步骤5:在Gateway(网关)框中,输入您添加到核心层交换机中的VLAN134接口的IP地址.
(例如:10.
10.
34.
1)步骤6:在PrimaryDHCPServer(主用DHCP服务器)框中,输入企业DHCP服务器的IP地址.
(例如:10.
10.
48.
10)步骤7:单击Apply(应用).
CiscoOfceExtend2012年上半年28程序3配置远程局域网远程局域网类似于无线局域网(WLAN),区别在于它被映射到Cisco600系列OfceExtend接入点背部的一个以太网端口.
步骤1:转至WLANs.
步骤2:在CurrentFilter(当前过滤器)旁边的列表中,选择CreateNew(新建),然后点击Go(开始).
步骤3:在Type(类型)列表中,选择RemoteLAN(远程局域网).
步骤4:输入ProleName(配置文件名称).
(例如:OEAP-LAN)步骤5:单击Apply(应用).
步骤6:在General(常规)选项卡上,Status(状态)选择Enabled(启用).
步骤7:在Interface(接口)列表中,选择在程序2中创建的接口.
(例如:teleworker-LAN)CiscoOfceExtend2012年上半年29步骤8:单击Security(安全性)选项卡.
步骤9:在Layer2(第二层)选项卡上,取消勾选MACFiltering(MAC过滤),然后点击Apply(应用).
程序4配置OfceExtend接入点组Cisco600系列OfficeExtend接入点最多可支持两个无线局域网和一个远程局域网.
mineserver怎么样?mineserver是一家国人商家,主要提供香港CN2 KVM VPS、香港CMI KVM VPS、日本CN2 KVM VPS、洛杉矶cn2 gia端口转发等服务,之前介绍过几次,最近比较活跃。这家新推出了洛杉矶CN2 GIA VPS,512MB内存/20GB NVME/800GB流量/200Mbps/KVM,58元/季,并且进行了带宽升级,同时IP更改为美国IP。点击...
hostsailor怎么样?hostsailor成立多年,是一家罗马尼亚主机商家,机房就设在罗马尼亚,具说商家对内容管理的还是比较宽松的,商家提供虚拟主机、VPS及独立服务器,今天收到商家推送的八月优惠,针对所有的产品都有相应的优惠,商家的VPS产品分为KVM和OpenVZ两种架构,OVZ的比较便宜,有这方面需要的朋友可以看看。点击进入:hostsailor商家官方网站HostSailor优惠活动...
易探云产品限时秒杀&QQ音乐典藏活动正在进行中!购买易探云香港/美国云服务器送QQ音乐绿钻豪华版1年,价值180元,性价比超级高。目前,有四大核心福利产品推荐:福利一、香港云服务器1核1G2M,仅218元/年起(香港CN2线路,全球50ms以内);福利二、美国20G高防云服务器1核1G5M,仅336元/年起(美国BGP线路,自带20G防御);福利三、2G虚拟主机低至58.8元/年(更有免费...