...
Шаг | Описание | Команда | Ключи |
|---|---|---|---|
| 1 | Настроить локальный RADIUS-сервер и перейти в режим его конфигурирования. | wlc(config)# radius-server local wlc(config-radius)# | |
| 2 | Активировать работу локального RADIUS-сервера. | wlc(config-radius)# enable | |
| 3 | Добавить NAS и перейти в режим его конфигурирования. | wlc(config-radius)# nas <NAME> wlc(config-radius-nas)# | <NAME> – название NAS, задается строкой до 235 символов. |
| 4 | Задать ключ аутентификации. | wlc(config-radius-nas)# key ascii-text { <KEY> | encrypted <ENCRYPTED-KEY> } | <KEY> – строка из [4..64] ASCII-символов; <ENCRYPTED-KEY> – зашифрованный ключ, задаётся строкой [8..128] символов. |
| 5 | Указать сеть. | wlc(config-radius-nas)# network <ADDR/LEN> | <ADDR/LEN> – IP-адрес и маска подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. |
| 6 | Создать домен. | wlc(config-radius)# domain <NAME> | <NAME> – идентификатор домена, задается строкой до 235 символов. |
| 7 | Добавить виртуальный RADIUS-сервер и перейти в режим его конфигурирования. | wlc(config-radius)# virtual-server <NAME> wlc(config-radius-vserver)# | <NAME> – название виртуального RADIUS-сервера, задается строкой до 235 символов. |
| 8 | Активировать работу виртуального RADIUS-сервера. | wlc(config-radius-vserver)# enable | |
| 9 | Добавить RADIUS-сервер в список используемых серверов и перейти в режим его конфигурирования. | wlc(config)# radius-server host wlc(config-radius-server)# | <IP-ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]; <VRF> – имя экземпляра VRF, задается строкой до 31 символа. |
| 10 | Задать ключ аутентификации. | wlc(config-radius-server)# key ascii-text { <KEY> | encrypted <ENCRYPTED-KEY> } | <KEY> – строка из [4..64] ASCII-символов; <ENCRYPTED-KEY> – зашифрованный ключ, задаётся строкой [8..128] символов. |
| 11 | Создать профиль ААА и перейти в режим его конфигурирования. | wlc(config)# aaa radius-profile <NAME> wlc(config-aaa-radius-profile)# | <NAME> – имя профиля сервера, задается строкой до 31 символа. |
| 12 | В профиле AAA указать RADIUS-сервер. | wlc(config-aaa-radius-profile)# radius-server host | <IP-ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]. |
| 13 | Перейти в настройки конфигурирования SoftGRE-контроллера. | wlc(config)# softgre-controller wlc(config-softgre-controller)# | |
| 14 | Определить IP-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых RADIUS-пакетах. | wlc(config-softgre-controller)# nas-ip-address <ADDR> | <ADDR> – IP-адрес источника, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. |
| 15 | Установить режим конфигурации SoftGRE DATA туннелей. | wlc(config-softgre-controller)# data-tunnel configuration { local | radius | wlc} | local – режим конфигурации, при котором параметры SoftGRE DATA туннелей получаются из локальной конфигурации маршрутизатора; wlc – режим, при котором параметры SoftGRE DATA туннелей запрашиваются у WLC. |
| 16 | Указать профиль ААА. | wlc(config-softgre-controller)# aaa radius-profile <NAME> | <NAME> – имя профиля сервера, задается строкой до 31 символа. |
| 17 | Отключить обмен ICMP-сообщениями, которые используются для проверки доступности удаленного шлюза туннелей Wi-Fi контроллера. | wlc(config-softgre-controller)# keepalive-disable | |
| 18 | Разрешить трафик в пользовательском vlan. | wlc(config-softgre-controller)# service-vlan add {<VLAN-ID> | <LIST_ID> | <RANGE_ID> } | <VLAN-ID> – номер vlan, в котором проходит пользовательский трафик, принимает значения [2..4094]; <LIST_ID> – список vlan, указываемый через запятую (1,2,3), принимает значения [2..4094]; <RANGE_ID> – диапазон vlan, указывается через тире (1-3), , принимает значения [2..4094]. |
| 19 | Активировать работу контроллера Wi-Fi. | wlc(config-softgre-controller)# enable | |
| 20 | Перейти в раздел конфигурирования контроллера. | wlc(config)# wlc wlc(config)# | |
| 21 | Создать профиль конфигурирования общих настроек точки доступа. | wlc(config-wlc)# ap-profile <NAME> wlc(config-wlc-ap-profile)# | <NAME> – название профиля, задается строкой до 235 символов. |
| 22 | Задать пароль для подключения к точкам доступа. | wlc(config-wlc-ap-profile)# password ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> } wlc(config-wlc-ap-profile)# exit | <CLEAR-TEXT> – пароль, задаётся строкой [8-64] символов. <HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой [16-128] символов. |
| 23 | Создать профиль конфигурирования для точки доступа конкретного типа. | wlc(config-wlc)# board-profile <NAME> wlc(config-wlc-board-profile)# | <NAME> – название профиля, задается строкой до 235 символов. |
| 24 | Указать тип точки доступа, для которой производится конфигурирование. | wlc(config-wlc-board-profile)# ap-model <BOARD-TYPE> | <BOARD-TYPE> – тип точки доступа, доступные значения:
|
| 25 | Перейти в настройки конфигурирования радиоинтерфейса. | wlc(config-wlc-board-profile)# radio <WLAN> | <WLAN> – радиоинтерфейс, доступные значения:
|
| 26 | Указать частотный диапазон, в котором работает радиоинтерфейс. | wlc(config-wlc-board-profile-radio)# band <BAND> | <BAND> – диапазон частот, доступны значения:
|
| 27 | Установить режим работы радиоинтерфейса. | wlc(config-wlc-board-profile-radio)# work-mode <WORK-MODE> | <WORK-MODE> – режим работы, доступные значения: WEP-3ax, WEP-30L, WOP-30L, WOP-30LS:
WEP-1L, WEP-2L, WOP-2L, WOP-20L:
|
| 28 | Задать список каналов для динамического выбора канала. | wlc(config-wlc-board-profile-radio)# limit-channels <CHANNEL> <CHANNEL> <CHANNEL> | <CHANNEL> – номер используемого канала, доступные значения: Для 5g каждый 4 канал из диапазонов: |
| 29 | Включить использование созданного списка. | wlc(config-wlc-board-profile-radio)# use-limit-channels | |
| 30 | Активировать функцию динамического выбора канала. | wlc(config-wlc-board-profile-radio)# autochannel | |
| 31 | Настроить ширину канала. | wlc(config-wlc-board-profile-radio)# bandwidth <BANDWIDTH> | <BANDWIDTH> – ширина канала, доступны значения:
|
| 32 | Настроить уровень мощности для радиоинтерфейса. | wlc(config-wlc-board-profile-radio)# tx-power <TX-POWER> | <TX-POWER> – уровень мощности в дБм, принимает значения в диапазоне [6.. 19]. |
| 33 | Создать профиль конфигурирования RADIUS-сервера. | wlc(config-wlc)# radius-profile <RADIUS-ID> wlc(config-wlc-radius-profile)# | <RADIUS-ID> – идентификатор RADIUS-сервера, задается строкой до 235 символов. |
| 34 | Указать IP-адрес RADIUS-сервера, который отвечает за аутентификацию. | wlc(config-wlc-radius-profile)# auth-address <ADDR> | <ADDR> – IP-адрес RADIUS-сервера, задаётся в виде: AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. |
| 35 | Указать пароль RADIUS-сервера, который отвечает за аутентификацию. | wlc(config-wlc-radius-profile)# auth-password ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> } | <CLEAR-TEXT> – пароль, задаётся строкой [8-64] символа. <HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой [16-128] символов. |
| 36 | Указать домен. | wlc(config-wlc-radius-profile)# domain <NAME> | <NAME> – идентификатор домена, задается строкой до 235 символов. |
| 37 | Создать профиль конфигурирования SSID. | wlc(config-wlc)# ssid-profile <NAME> wlc(config-wlc-ssid-profile)# | <NAME> – название профиля SSID, задается строкой до 235 символов. |
| 38 | Задать описание профиля. | wlc(config-wlc-ssid-profile)# description <DESCRIPTION> | <DESCRIPTION> – произвольное описание, задается строкой до 255 символов. |
| 39 | Настроить частотный диапазон, в котором будет происходить вещание SSID. | wlc(config-wlc-ssid-profile)# band <BAND> | <BAND> – диапазон частот, доступные значения:
|
| 40 | Указать пользовательский vlan. | wlc(config-wlc-ssid-profile)# vlan-id <ID> | <ID> – идентификатор vlan, принимает значения в диапазоне [0-4094]. |
| 41 | Установить режим безопасности подключения к SSID. | wlc(config-wlc-ssid-profile)# security-mode <MODE> | <MODE> – режим безопасности, доступные значения:
Режим безопасности WPA3 поддерживается только на точках доступа моделей WEP-3ax, WEP-30L, WOP-30L, WOP-30LS. При выборе смешанного режима безопасности (например, WPA2_WPA3) WPA3 будет применен только для тех точек доступа, которые его поддерживают, для остальны будет применен второй режим (WPA2). |
| 42 | Указать профиль RADIUS-сервера. | wlc(config-wlc-ssid-profile)# radius-profile <RADIUS-ID> | <RADIUS-ID> – идентификатор RADIUS-сервера, задается строкой до 235 символов. |
| 43 | Задать название SSID, который будет вещаться пользователям. | wlc(config-wlc-ssid-profile)# ssid <NAME> | <NAME> – название SSID, задается строкой до 32 символов. Названия, содержащие пробел, необходимо заключать в кавычки. |
| 44 | Активировать работу SSID. | wlc(config-wlc-ssid-profile)# enable | |
| 45 | Создать профиль локации. | wlc(config-wlc)# ap-location <NAME> wlc(config-wlc-ap-location)# | <NAME> – название профиля локального конфигурирования, задается строкой до 235 символов. |
| 46 | Задать описание профиля. | wlc(config-wlc-ap-location)# description <DESCRIPTION> | <DESCRIPTION> – произвольное описание, задается строкой до 255 символов. |
| 47 | Указать для точек доступа существующий профиль настроек. | wlc(config-wlc-ap-location)# board-profile <BOARD-TYPE> <PROFILE-ID> | <BOARD-TYPE> – тип точки доступа, доступные значения:
<PROFILE-ID> – идентификатор профиля, задается строкой до 235 символов, и должен совпадать с названием описанного профиля из board-profile. |
| 48 | Указать для точек доступа существующий профиль общих настроек. | wlc(config-wlc-ap-location)# ap-profile <PROFILE-ID> | <PROFILE-ID> – идентификатор профиля, задается строкой до 235 символов, и должен совпадать с названием описанного профиля из ap-profile. |
| 49 | Указать профиль SSID, который будет назначен точкам доступа. | wlc(config-wlc-ap-location)# ssid-profile <NAME> <LOCATION> | <NAME> – название профиля SSID, задается строкой до 235 символов. <LOCATION> – bridge location, используется для построения SoftGRE DATA туннеля, должен совпадать с location, указанным в конфигурации бриджа для пользовательского трафика, задается строкой до 220 символов. При использовании схемы L2 параметр не задается. |
| 50 | Создать адресное пространство для доступа к контроллеру. | wlc(config-wlc)# ip-pool <NAME> wlc(config-wlc-ip-pool)# | <NAME> – название адресного пространства, задается строкой до 235 символов. |
| 51 | Задать описание адресного пространства. | wlc(config-wlc-ip-pool)# description <DESCRIPTION> | <DESCRIPTION> – произвольное описание, задается строкой до 255 символов. |
| 52 | Указать название профиля локации, который применяется к заданному адресному пространству. | wlc(config-wlc-ip-pool)# ap-location <NAME> | <NAME> – название локации, задается строкой до 235 символов. |
| 53 | Перейти в настройки сервис-активатора. | wlc(config-wlc)# service-activator wlc(config-wlc-service-activator)# | |
| 54 | Настроить автоматическую регистрацию точек доступа на контроллере. | wlc(config-wlc-service-activator)# aps join auto | |
| 55 | Указать IP-адрес контроллера, который виден точкам доступа. | wlc(config-wlc)# outside-address <ADDR> | <ADDR> – IP-адрес контроллера, задаётся в виде: AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. |
| 56 | Активировать работу контроллера. | wlc(config-wlc)# enable |
...
Настройка DHCP-сервера
| Примечание |
|---|
Необходимо обязательно указывать NTP-сервер, т.к. корректное время позволяет пройти проверку валидности сертификатов. |
Настраиваем адресное пространство для устройств, которые будут подключены к контроллеру:
...
| Блок кода | ||
|---|---|---|
| ||
wlc(config)# radius-server local #Настраиваем NAS ap. Содержит подсети точек доступа, которые будут обслуживаться локальным RADIUS-сервером при Enterprise-авторизации пользователей Wi-Fi: wlc(config-radius)# nas ap wlc(config-radius-nas)# key ascii-text password wlc(config-radius-nas)# network 192.168.1.0/24 wlc(config-radius-nas)# exit #Настраиваем NAS local. Используется при обращении WLC к локальному RADIUS-серверу при построении SoftGRE-туннелей: wlc(config-radius)# nas local wlc(config-radius-nas)# key ascii-text password wlc(config-radius-nas)# network 127.0.0.1/32 wlc(config-radius-nas)# exit #Создаем домен для пользователей: wlc(config-radius)# domain default #Создаем учетную запись пользователя Wi-Fi для подключения к Enterprise SSID: wlc(config-radius-domain)# user name1 wlc(config-radius-user)# password ascii-text password1 wlc(config-radius-user)# exit wlc(config-radius-domain)# exit #Настройки виртуального сервера содержат номера портов для аутентификации и аккаунтинга, настройки проксирования на внешний RADIUS server. Использование стандартных портов (1812 для аутентификации и 1813 для аккаунтинга) не требует настройки. В таком случае достаточно просто включения виртуального сервера (enable). wlc(config-radius)# virtual-server default wlc(config-radius-vserver)# enable wlc(config-radius-vserver)# exit wlc(config-radius)# enable wlc(config)# exit |
| Предупреждение |
|---|
Обратите внимание, что в заводской конфигурации учетная запись пользователя не настроена в целях безопасности, поэтому для подключения к Enterprise SSID в заводской конфигурации необходимо создать учетную запись. |
Определим параметры для взаимодействия с RADIUS-сервером: IP-адрес и ключ. Так как RADIUS-сервер находится локально на контроллере, в качестве адреса хоста задаем 127.0.0.1. Ключ должен совпадать с ключом, указанным для nas local.
...
| Scroll Pagebreak |
|---|
| Примечание |
|---|
Для каждой модели подключаемых точек доступа необходимо создать отдельный профиль конфигурации, так как точки доступа различных типов могут иметь особенности конфигурации (например, разные IEEE 802.11 режимы работы радиоинтерфейса). В профиле обязательно указывается тип точки доступа – ap-model. |
| Подсказка |
|---|
Подробную информацию о точках доступа можно найти в официальной документации по ссылке. |
Создаем профили точек доступа WEP-1L, WEP-2L, WOP-2L, WOP-20L:
...
- Синхронизация списков соседних точек доступа стандарта 802.11k, который позволяет клиенту при ослабевании сигнала с текущей точки доступа искать более подходящую точку доступа из рекомендуемого списка, а не анализируя весь эфир.
- Согласование ключей между точками доступа для роуминга стандарта 802.11r, который позволяет значительно ускорять процесс переключения клиента между точками доступа, т.к. клиенту не нужно будет проходить повторную полную авторизацию на встречной точке доступа, только ускоренную.
| Информация |
|---|
Для работы роуминга стандартов 802.11k/r необходима поддержка стандарта со стороны клиентов. |
Простой пример работы оптимизации сети с помощью сервиса представлен на картинке (функционал DCA+TPC):
...