| Оглавление | ||
|---|---|---|
|
Настройка контроллера WLC
Алгоритм настройки
Шаг | Описание | Команда | Ключи |
|---|---|---|---|
| 1 | Настроить локальный RADIUS-сервер и перейти в режим его конфигурирования. | wlc(config)# radius-server local wlc(config-radius)# | |
| 2 | Активировать работу локального RADIUS-сервера. | wlc(config-radius)# enable | |
| 3 | Добавить NAS и перейти в режим его конфигурирования. | wlc(config-radius)# nas <NAME> wlc(config-radius-nas)# | <NAME> – название NAS, задается строкой до 235 символов. |
| 4 | Задать ключ аутентификации. | wlc(config-radius-nas)# key ascii-text { <KEY> | encrypted <ENCRYPTED-KEY> } | <KEY> – строка из [4..64] ASCII-символов; <ENCRYPTED-KEY> – зашифрованный ключ, задаётся строкой [8..128] символов. |
| 5 | Указать сеть. | wlc(config-radius-nas)# network <ADDR/LEN> | <ADDR/LEN> – IP-адрес и маска подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. |
| 6 | Создать домен. | wlc(config-radius)# domain <NAME> | <NAME> – идентификатор домена, задается строкой до 235 символов. |
| 7 | Добавить виртуальный RADIUS-сервер и перейти в режим его конфигурирования. | wlc(config-radius)# virtual-server <NAME> wlc(config-radius-vserver)# | <NAME> – название виртуального RADIUS-сервера, задается строкой до 235 символов. |
| 8 | Активировать работу виртуального RADIUS-сервера. | wlc(config-radius-vserver)# enable | |
| 9 | Добавить RADIUS-сервер в список используемых серверов и перейти в режим его конфигурирования. | wlc(config)# radius-server host wlc(config-radius-server)# | <IP-ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF] <VRF> – имя экземпляра VRF, задается строкой до 31 символа. |
| 10 | Задать ключ аутентификации. | wlc(config-radius-server)# key ascii-text { <KEY> | encrypted <ENCRYPTED-KEY> } | <KEY> – строка из [4..64] ASCII-символов; <ENCRYPTED-KEY> – зашифрованный ключ, задаётся строкой [8..128] символов. |
| 11 | Создать профиль ААА и перейти в режим его конфигурирования. | wlc(config)# aaa radius-profile <NAME> wlc(config-aaa-radius-profile)# | <NAME> – имя профиля сервера, задается строкой до 31 символа. |
| 12 | В профиле AAA указать RADIUS-сервер. | wlc(config-aaa-radius-profile)# radius-server host | <IP-ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]. |
| 13 | Перейти в настройки конфигурирования SoftGRE-контроллера. | wlc(config)# softgre-controller wlc(config-softgre)# | |
| 14 | Определить IP-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых RADIUS-пакетах. | wlc(config-softgre)# nas-ip-address <ADDR> | <ADDR> – IP-адрес источника, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. |
| 15 | Установить режим конфигурации SoftGRE DATA туннелей. | wlc(config-softgre)# data-tunnel configuration { local | radius | wlc} | local – режим конфигурации, при котором параметры SoftGRE DATA туннелей получаются из локальной конфигурации маршрутизатора; wlc – режим, при котором параметры SoftGRE DATA туннелей запрашиваются у WLC. |
| 16 | Указать профиль ААА. | wlc(config-softgre)# aaa radius-profile <NAME> | <NAME> – имя профиля сервера, задается строкой до 31 символа. |
| 17 | Отключить обмен ICMP-сообщениями, которые используются для проверки доступности удаленного шлюза туннелей Wi-Fi контроллера. | wlc(config-softgre)# keepalive-disable | |
| 18 | Разрешить трафик в пользовательском vlan. | wlc-30(config-softgre)# service-vlan add {<VLAN-ID> | <LIST_ID> | <RANGE_ID> } | <VLAN-ID> - <VLAN-ID> – номер vlan, в котором проходит пользовательский трафик, принимает значения [2..4094]; <LIST_ID> - <LIST_ID> – список vlan, указываемый через запятую (1,2,3), принимает значения [2..4094]; <RANGE_ID> - <RANGE_ID> – диапазон vlan, указывается через тире (1-3), , принимает значения [2..4094]. |
| 19 | Активировать работу контроллера Wi-Fi. | wlc(config-softgre)# enable | |
| 20 | Перейти в раздел конфигурирования контроллера. | wlc(config)# wlc wlc(config)# | |
| 21 | Создать профиль конфигурирования общих настроек точки доступа. | wlc(config-wlc)# ap-profile <NAME> wlc(config-wlc-ap-profile)# | <NAME> – название профиля, задается строкой до 235 символов. |
| 22 | Задать пароль для подключения к точкам доступа. | wlc(config-wlc-ap-profile)# password ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> } wlc(config-wlc-ap-profile)# exit | <CLEAR-TEXT> – пароль, задаётся строкой [8-64] символов. <HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой [16-128] символов. |
| 23 | Создать профиль конфигурирования для точки доступа конкретного типа. | wlc(config-wlc)# board-profile <NAME> wlc(config-wlc-board-profile)# | <NAME> – название профиля, задается строкой до 235 символов. |
| 24 | Указать тип точки доступа, для которой производится конфигурирование. | wlc(config-wlc-board-profile)# ap-model <BOARD-TYPE> | <BOARD-TYPE> – тип точки доступа, доступные значения:
|
| 25 | Перейти в настройки конфигурирования радиоинтерфейса. | wlc(config-wlc-board-profile)# radio <WLAN> | <WLAN> – радиоинтерфейс, доступные значения:
|
| 26 | Указать частотный диапазон, в котором работает радиоинтерфейс. | wlc(config-wlc-board-profile-radio)# band <BAND> | <BAND> – диапазон частот, доступны значения:
|
| 27 | Установить режим работы радиоинтерфейса. | wlc(config-wlc-board-profile-radio)# work-mode <WORK-MODE> | <WORK-MODE> – режим работы, доступные значения: WEP-3ax, WEP-30L, WOP-30L:
WEP-1L, WEP-2L, WOP-2L, WOP-20L:
|
| 28 | Задать список каналов для динамического выбора канала. | wlc(config-wlc-board-profile-radio)# limit-channels <CHANNEL> <CHANNEL> <CHANNEL> | <CHANNEL> – номер используемого канала, доступные значения: Для 5g каждый 4 канал из диапазонов: |
| 29 | Включить использование созданного списка. | wlc(config-wlc-board-profile-radio)# use-limit-channels | |
| 30 | Активировать функцию динамического выбора канала. | wlcconfigwlc(config-wlc-board-profile-radio)# autochannel | |
| 31 | Настроить ширину канала. | wlcconfigwlc(config-wlc-board-profile-radio)# bandwidth <BANDWIDTH> | <BANDWIDTH> – ширина канала, доступны значения:
|
| 32 | Настроить уровень мощности для радиоинтерфейса. | wlc(config-wlc-board-profile-radio)# tx-power <TX-POWER> | <TX-POWER> – уровень мощности в дБм, принимает значения в диапазоне [6.. 19]. |
| 33 | Создать профиль конфигурирования RADIUS-сервера. | wlc(config-wlc)# radius-profile <RADIUS-ID> wlc(config-wlc-radius-profile)# | <RADIUS-ID> – идентификатор RADIUS-сервера, задается строкой до 235 символов. |
| 34 | Указать IP-адрес RADIUS-сервера, который отвечает за аутентификацию. | wlc(config-wlc-radius-profile)# auth-address <ADDR> | <ADDR> – IP-адрес RADIUS-сервера, задаётся в виде: AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. |
| 35 | Указать пароль RADIUS-сервера, который отвечает за аутентификацию. | wlc(config-wlc-radius-profile)# auth-password ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> } | <CLEAR-TEXT> – пароль, задаётся строкой [8-64] символа. <HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой [16-128] символов. |
| 36 | Указать домен. | wlc(config-wlc-radius-profile)# domain <NAME> | <NAME> – идентификатор домена, задается строкой до 235 символов. |
| 37 | Создать профиль конфигурирования SSID. | wlc(config-wlc)# ssid-profile <NAME> wlc(config-wlc-ssid-profile)# | <NAME> – название профиля SSID, задается строкой до 235 символов. |
| 38 | Задать описание профиля. | wlc(config-wlc-ssid-profile)# description <DESCRIPTION> | <DESCRIPTION> – произвольное описание, задается строкой до 255 символов. |
| 39 | Настроить частотный диапазон, в котором будет происходить вещание SSID. | wlc(config-wlc-ssid-profile)# band <BAND> | <BAND> – диапазон частот, доступные значения:
|
| 40 | Указать пользовательский vlan. | wlc(config-wlc-ssid-profile)# vlan-id <ID> | <ID> – идентификатор vlan, принимает значения в диапазоне [0-4094]. |
| 41 | Установить режим безопасности подключения к SSID. | wlc(config-wlc-ssid-profile)# security-mode <MODE> | <MODE> – режим безопасности, доступные значения:
|
| 42 | Указать профиль RADIUS-сервера. | wlc(config-wlc-ssid-profile)# radius-profile <RADIUS-ID> | <RADIUS-ID> – идентификатор RADIUS-сервера, задается строкой до 235 символов. |
| 43 | Задать название SSID, который будет вещаться пользователям. | wlc(config-wlc-ssid-profile)# ssid <NAME> | <NAME> – название SSID, задается строкой до 32 символов. Названия, содержащие пробел, необходимо заключать в кавычки. |
| 44 | Активировать работу SSID. | wlc(config-wlc-ssid-profile)# enable | |
| 45 | Создать профиль локации. | wlc(config-wlc)# ap-location <NAME> wlc(config-wlc-ap-location)# | <NAME> – название профиля локального конфигурирования, задается строкой до 235 символов. |
| 46 | Задать описание профиля. | wlc(config-wlc-ap-location)# description <DESCRIPTION> | <DESCRIPTION> – произвольное описание, задается строкой до 255 символов. |
| 47 | Указать для точек доступа существующий профиль настроек. | wlc(config-wlc-ap-location)# board-profile <BOARD-TYPE> <PROFILE-ID> | <BOARD-TYPE> – тип точки доступа, доступные значения:
<PROFILE-ID> – идентификатор профиля, задается строкой до 235 символов, и должен совпадать с названием описанного профиля из board-profile. |
| 48 | Указать для точек доступа существующий профиль общих настроек. | wlc(config-wlc-ap-location)# ap-profile <PROFILE-ID> | <PROFILE-ID> – идентификатор профиля, задается строкой до 235 символов, и должен совпадать с названием описанного профиля из ap-profile. |
| 49 | Указать профиль SSID, который будет назначен точкам доступа. | wlc(config-wlc-ap-location)# ssid-profile <NAME> <LOCATION> | <NAME> – название профиля SSID, задается строкой до 235 символов. <LOCATION> – bridge location, используется для построения SoftGRE DATA туннеля, должен совпадать с location, указанным в конфигурации бриджа для пользовательского трафика, задается строкой до 220 символов. При использовании схемы L2 параметр не задается. |
| 50 | Создать адресное пространство для доступа к контроллеру. | wlc(config-wlc)# ip-pool <NAME> wlc(config-wlc-ip-pool)# | <NAME> – название адресного пространства, задается строкой до 235 символов. |
| 51 | Задать описание адресного пространства. | wlc(config-wlc-ip-pool)# description <DESCRIPTION> | <DESCRIPTION> – произвольное описание, задается строкой до 255 символов. |
| 52 | Указать название профиля локации, который применяется к заданному адресному пространству. | wlc(config-wlc-ip-pool)# ap-location <NAME> | <NAME> – название локации, задается строкой до 235 символов. |
| 53 | Перейти в настройки сервис-активатора. | wlc(config-wlc)# service-activator wlc(config-wlc-service-activator)# | |
| 54 | Настроить автоматическую регистрацию точек доступа на контроллере. | wlc(config-wlc-service-activator)# aps join auto | |
| 55 | Указать IP-адрес контроллера, который виден точкам доступа. | wlc-30(config-wlc)# outside-address <ADDR> | <ADDR> – IP-адрес контроллера, задаётся в виде: AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. |
| 56 | Активировать работу контроллера. | wlc(config-wlc)# enable |
Пример настройки
Задача
Организовать управление беспроводными точками доступа с помощью контроллера WLC-30. В частности, необходимо настроить подключение точек доступа, обновить и сконфигурировать их для предоставления доступа до ресурсов Интернет авторизованным пользователям Wi-Fi.
...
| Drawio | ||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Решение
Архитектура решения предполагает автоматическое подключение точек доступа к контроллеру WLC-30. При подключении к сети точка доступа запрашивает адрес по DHCP и вместе с ним должна получить URL сервиса инициализации точек доступа в 43 (vendor specific) опции DHCP.
...
Точки доступа могут быть подключены к контроллеру WLC -30 через L2- или L3-сеть предприятия.
Выделение и настройка VLAN при подключении новых точек доступа может оказаться трудоемкой задачей, особенно если на сети предприятия между точками доступа и контроллером используется большое количество коммутаторов. Поэтому заводская конфигурация WLC-30 предполагает WLC предполагает построение SoftGRE DATA туннелей для передачи пользовательского трафика. Такое решение даже в L2-сети позволяет упростить подключение точек доступа, так как отсутствует необходимость прокидывать VLAN для каждого SSID через все коммутаторы.
При организации связи в L3-сети необходимо обеспечить настройку DHCP-relay на оборудовании сети предприятия для перенаправления DHCP-запросов точек доступа на WLC-30, где настроен пул IP-адресов для управления точками доступа, а также выдача 43 опции 15 подопции DHCP, содержащая URL контроллера.
Последовательность настройки контроллера беспроводных сетей WLC-30:
- Настройка интерфейсов, сетевых параметров и firewall.
- Настройка контроллера для организации SoftGRE DATA туннелей.
- Настройка DHCP-сервера.
- Настройка RADIUS-сервера.
- Настройка модуля управления точками доступа WLC:
- Настройка SSID.
- Настройка профилей конфигурации для каждого типа точек доступа.
- Создание локации (ap-location) и определение правил конфигурирования точек доступа, входящих в данную локацию.
- Определение подсетей обслуживаемых точек доступа.
- Настройка обновления точек доступа.
Scroll Pagebreak
Настройка интерфейсов, сетевых параметров и firewall
Настроим профили TCP/UDP-портов для необходимых сервисов:
| Блок кода | ||
|---|---|---|
| ||
wlc-30#wlc# configure wlc-30(config)# object-group service ssh wlc-30(config-object-group-service)# port-range 22 wlc-30(config-object-group-service)# exit wlc-30(config)# object-group service dns wlc-30(config-object-group-service)# port-range 53 wlc-30(config-object-group-service)# exit wlc-30(config)# object-group service dhcp_server wlc-30(config-object-group-service)# port-range 67 wlc-30(config-object-group-service)# exit wlc-30(config)# object-group service dhcp_client wlc-30(config-object-group-service)# port-range 68 wlc-30(config-object-group-service)# exit wlc-30(config)# object-group service ntp wlc-30(config-object-group-service)# port-range 123 wlc-30(config-object-group-service)# exit wlc-30(config)# object-group service netconf wlc-30(config-object-group-service)# port-range 830 wlc-30(config-object-group-service)# exit wlc-30(config)# object-group service radius_auth wlc-30(config-object-group-service)# port-range 1812 wlc-30(config-object-group-service)# exit wlc-30(config)# object-group service sa wlc-30(config-object-group-service)# port-range 8043-8044 wlc-30(config-object-group-service)# exit wlc-30wlc0(config)# object-group service airtune wlc-30(config-object-group-service)# port-range 8099 wlc-30(config-object-group-service)# exit |
Создаём три зоны безопасности — зона пользователей (users), доверенная зона для точек доступа (trusted) и недоверенная зона для выхода в Интернет (untrusted):
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config)# security zone users wlc-30(config-zone)# exit wlc-30(config)# security zone trusted wlc-30(config-zone)# exit wlc-30(config)# security zone untrusted wlc-30(config-zone)# exit |
| Scroll Pagebreak |
|---|
Настраиваем правила firewall:
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config)# security zone-pair trusted untrusted wlc-30(config-zone-pair)# rule 1 wlc-30(config-zone-pair-rule)# action permit wlc-30(config-zone-pair-rule)# enable wlc-30(config-zone-pair-rule)# exit wlc-30(config-zone-pair)# exit wlc-30(config)# security zone-pair trusted trusted wlc-30(config-zone-pair)# rule 1 wlc-30(config-zone-pair-rule)# action permit wlc-30(config-zone-pair-rule)# enable wlc-30(config-zone-pair-rule)# exit wlc-30(config-zone-pair)# exit wlc-30(config)# security zone-pair trusted self wlc-30(config-zone-pair)# rule 10 wlc-30(config-zone-pair-rule)# action permit wlc-30(config-zone-pair-rule)# match protocol tcp wlc-30(config-zone-pair-rule)# match destination-port ssh wlc-30(config-zone-pair-rule)# enable wlc-30(config-zone-pair-rule)# exit wlc-30(config-zone-pair)# rule 20 wlc-30(config-zone-pair-rule)# action permit wlc-30(config-zone-pair-rule)# match protocol icmp wlc-30(config-zone-pair-rule)# enable wlc-30(config-zone-pair-rule)# exit wlc-30(config-zone-pair)# rule 30 wlc-30(config-zone-pair-rule)# action permit wlc-30(config-zone-pair-rule)# match protocol udp wlc-30(config-zone-pair-rule)# match source-port dhcp_client wlc-30(config-zone-pair-rule)# match destination-port dhcp_server wlc-30(config-zone-pair-rule)# enable wlc-30(config-zone-pair-rule)# exit wlc-30(config-zone-pair)# rule 40 wlc-30(config-zone-pair-rule)# action permit wlc-30(config-zone-pair-rule)# match protocol udp wlc-30(config-zone-pair-rule)# match destination-port ntp wlc-30(config-zone-pair-rule)# enable wlc-30(config-zone-pair-rule)# exit wlc-30(config-zone-pair)# rule 50 wlc-30(config-zone-pair-rule)# action permit wlc-30(config-zone-pair-rule)# match protocol tcp wlc-30(config-zone-pair-rule)# match destination-port dns wlc-30(config-zone-pair-rule)# enable wlc-30(config-zone-pair-rule)# exit wlc-30(config-zone-pair)# rule 60 wlc-30(config-zone-pair-rule)# action permit wlc-30(config-zone-pair-rule)# match protocol udp wlc-30(config-zone-pair-rule)# match destination-port dns wlc-30(config-zone-pair-rule)# enable wlc-30(config-zone-pair-rule)# exit wlc-30(config-zone-pair)# rule 70 wlc-30(config-zone-pair-rule)# action permit wlc-30(config-zone-pair-rule)# match protocol tcp wlc-30(config-zone-pair-rule)# match destination-port netconf wlc-30(config-zone-pair-rule)# enable wlc-30(config-zone-pair-rule)# exit |
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config-zone-pair)# rule 80 wlc-30(config-zone-pair-rule)# action permit wlc-30(config-zone-pair-rule)# match protocol tcp wlc-30(config-zone-pair-rule)# match destination-port sa wlc-30(config-zone-pair-rule)# enable wlc-30(config-zone-pair-rule)# exit wlc-30(config-zone-pair)# rule 90 wlc-30(config-zone-pair-rule)# action permit wlc-30(config-zone-pair-rule)# match protocol udp wlc-30(config-zone-pair-rule)# match destination-port radius_auth wlc-30(config-zone-pair-rule)# enable wlc-30(config-zone-pair-rule)# exit wlc-30(config-zone-pair)# rule 100 wlc-30(config-zone-pair-rule)# action permit wlc-30(config-zone-pair-rule)# match protocol gre wlc-30(config-zone-pair-rule)# enable wlc-30(config-zone-pair-rule)# exit wlc-30(config-zone-pair)# exit wlc-30(config)# security zone-pair users self wlc-30(config-zone-pair)# rule 10 wlc-30(config-zone-pair-rule)# action permit wlc-30(config-zone-pair-rule)# match protocol icmp wlc-30(config-zone-pair-rule)# enable wlc-30(config-zone-pair-rule)# exit wlc-30(config-zone-pair)# rule 20 wlc-30(config-zone-pair-rule)# action permit wlc-30(config-zone-pair-rule)# match protocol udp wlc-30(config-zone-pair-rule)# match source-port dhcp_client wlc-30(config-zone-pair-rule)# match destination-port dhcp_server wlc-30(config-zone-pair-rule)# enable wlc-30(config-zone-pair-rule)# exit wlc-30(config-zone-pair)# rule 30 wlc-30(config-zone-pair-rule)# action permit wlc-30(config-zone-pair-rule)# match protocol tcp wlc-30(config-zone-pair-rule)# match destination-port dns wlc-30(config-zone-pair-rule)# enable wlc-30(config-zone-pair-rule)# exit wlc-30(config-zone-pair)# rule 40 wlc-30(config-zone-pair-rule)# action permit wlc-30(config-zone-pair-rule)# match protocol udp wlc-30(config-zone-pair-rule)# match destination-port dns wlc-30(config-zone-pair-rule)# enable wlc-30(config-zone-pair-rule)# exit wlc-30(config-zone-pair)# exit wlc-30(config)# security zone-pair untrusted self wlc-30(config-zone-pair)# rule 1 wlc-30(config-zone-pair-rule)# action permit wlc-30(config-zone-pair-rule)# match protocol udp wlc-30(config-zone-pair-rule)# match source-port dhcp_server wlc-30(config-zone-pair-rule)# match destination-port dhcp_client wlc-30(config-zone-pair-rule)# enable wlc-30(config-zone-pair-rule)# exit wlc-30(config-zone-pair)# exit wlc-30(config)# security zone-pair users untrusted wlc-30(config-zone-pair)# rule 1 wlc-30(config-zone-pair-rule)# action permit wlc-30(config-zone-pair-rule)# enable wlc-30(config-zone-pair-rule)# exit wlc-30(config-zone-pair)# exit |
Настраиваем NAT:
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config)# nat source wlc-30(config-snat)# ruleset factory wlc-30(config-snat-ruleset)# to zone untrusted wlc-30(config-snat-ruleset)# rule 10 wlc-30(config-snat-rule)# description "replace 'source ip' by outgoing interface ip address" wlc-30(config-snat-rule)# action source-nat interface wlc-30(config-snat-rule)# enable wlc-30(config-snat-rule)# exit wlc-30(config-snat-ruleset)# exit wlc-30(config-snat)# exit |
Создаем VLAN для uplink:
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config)# vlan 2 wlc-30(config-vlan)# exit |
Создаем пользовательский VLAN:
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config)# vlan 3 wlc-30(config-vlan)# force-up wlc-30(config-vlan)# exit |
Создаем интерфейсы для взаимодействия с подсетями управления точками доступа, пользователей Wi-Fi и Интернет:
| Блок кода | ||
|---|---|---|
| ||
#Сконфигурируем параметры интерфейса для точек доступа: wlc-30(config)# bridge 1 wlc-30(config-bridge)# vlan 1 wlc-30(config-bridge)# security-zone trusted wlc-30(config-bridge)# ip address 192.168.1.1/24 wlc-30(config-bridge)# enable wlc-30(config-bridge)# exit #Сконфигурируем параметры публичного интерфейса: wlc-30(config)# bridge 2 wlc-30(config-bridge)# vlan 2 wlc-30(config-bridge)# security-zone untrusted wlc-30(config-bridge)# ip address dhcp wlc-30(config-bridge)# enable wlc-30(config-bridge)# exit #Сконфигурируем параметры интерфейса для пользователей Wi-Fi: wlc-30(config)# bridge 3 wlc-30(config-bridge)# security-zone users wlc-30(config-bridge)# ip address 192.168.2.1/24 wlc-30(config-bridge)# vlan 3 wlc-30(config-bridge)# enable wlc-30(config-bridge)# exit |
Настраиваем порты:Scroll Pagebreak
| Блок кода | ||
|---|---|---|
| ||
#Конфигурируем интерфейсы для uplink: wlc-30(config)# interface gigabitethernet 1/0/1 wlc-30(config-if-gi)# mode switchport wlc-30(config-if-gi)# switchport access vlan 2 wlc-30(config-if-gi)# exit wlc-30(config)# interface tengigabitethernet 1/0/1 wlc-30(config-if-te)# mode switchport wlc-30(config-if-te)# switchport access vlan 2 wlc-30(config-if-te)# exit #Конфигурируем интерфейсы для подключения точек доступа: wlc-30(config)# interface gigabitethernet 1/0/2 wlc-30(config-if-gi)# mode switchport wlc-30(config-if-gi)# exit wlc-30(config)# interface gigabitethernet 1/0/3 wlc-30(config-if-gi)# mode switchport wlc-30(config-if-gi)# exit wlc-30(config)# interface gigabitethernet 1/0/4 wlc-30(config-if-gi)# mode switchport wlc-30(config-if-gi)# exit wlc-30(config)# interface tengigabitethernet 1/0/2 wlc-30(config-if-te)# mode switchport wlc-30(config-if-te)# exit |
Включаем разрешениеDNS-имен:
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config)# domain lookup enable |
Настраиваем профиль для поднятия туннелей:
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config)# tunnel softgre 1 wlc-30(config-softgre)# mode data wlc-30(config-softgre)# local address 192.168.1.1 wlc-30(config-softgre)# default-profile wlc-30(config-softgre)# enable wlc-30(config)# exit |
| Scroll Pagebreak |
|---|
Настройка DHCP-сервера
| Примечание |
|---|
Необходимо обязательно указывать NTP-сервер, т.к. корректное время позволяет пройти проверку валидности сертификатов. |
Настраиваем адресное пространство для устройств, которые будут подключены к контроллеру:
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config)# ip dhcp-server pool ap-pool #Определяем подсеть: wlc-30(config-dhcp-server)# network 192.168.1.0/24 #Задаем диапазон выдаваемых IP-адресов: wlc-30(config-dhcp-server)# address-range 192.168.1.2-192.168.1.254 #Шлюз по умолчанию. Им является адрес бриджа управления ТД: wlc-30(config-dhcp-server)# default-router 192.168.1.1 #Выдаем адрес DNS-сервера: wlc-30(config-dhcp-server)# dns-server 192.168.1.1 #Необходимо обязательно указывать NTP-сервер, т.к. корректное время позволяет пройти проверку валидности сертификатов. #Выдаем 42 опцию DHCP, содержащую адрес NTP-сервера, для синхронизации времени на точках доступа: wlc-30(config-dhcp-server)# option 42 ip-address 192.168.1.1 #Выдаем 43 vendor specific опцию DHCP, которая содержит: - 12 подопцию, необходимую для построения SoftGRE data туннелей. Опция содержит IP-адрес softgre-интерфейса контроллера. wlc-30(config-dhcp-server)# vendor-specific wlc-30(config-dhcp-server-vendor-specific)# suboption 12 ascii-text "192.168.1.1" - 15 подопцию, необходимую для того, чтобы точка доступа автоматически пришла на контроллер и включилась в работу под его управлением. Опция содержит HTTPS URL контроллера. wlc-30(config-dhcp-server-vendor-specific)# suboption 15 ascii-text "https://192.168.1.1:8043" wlc-30(config-dhcp-server-vendor-specific)# exit wlc-30(config-dhcp-server)# exit |
Настраиваем адресное пространство для пользователей:
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config)# ip dhcp-server pool users-pool #Определяем подсеть: wlc-30(config-dhcp-server)# network 192.168.2.0/24 #Задаем диапазон выдаваемых пользователям Wi-Fi IP-адресов: wlc-30(config-dhcp-server)# address-range 192.168.2.2-192.168.2.254 #Шлюз по умолчанию: wlc-30(config-dhcp-server)# default-router 192.168.2.1 #Выдаем адрес DNS-сервера: wlc-30(config-dhcp-server)# dns-server 192.168.2.1 wlc-30(config-dhcp-server)# exit |
| Scroll Pagebreak |
|---|
Настройка RADIUS-сервера
Настраиваем локальный RADIUS-сервер.
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config)# radius-server local #Настраиваем NAS ap. Содержит подсети точек доступа, которые будут обслуживаться локальным RADIUS-сервером при Enterprise-авторизации пользователей Wi-Fi: wlc-30(config-radius)# nas ap wlc-30(config-radius-nas)# key ascii-text password wlc-30(config-radius-nas)# network 192.168.1.0/24 wlc-30(config-radius-nas)# exit #Настраиваем NAS local. Используется при обращении WLC к локальному RADIUS-серверу при построении SoftGRE-туннелей: wlc-30(config-radius)# nas local wlc-30(config-radius-nas)# key ascii-text password wlc-30(config-radius-nas)# network 127.0.0.1/32 wlc-30(config-radius-nas)# exit #Создаем домен для пользователей: wlc-30(config-radius)# domain default #Создаем учетную запись пользователя Wi-Fi для подключения к Enterprise SSID: wlc-30(config-radius-domain)# user name1 wlc-30(config-radius-user)# password ascii-text password1 wlc-30(config-radius-user)# exit wlc-30(config-radius-domain)# exit #Настройки виртуального сервера содержат номера портов для аутентификации и аккаунтинга, настройки проксирования на внешний RADIUS server. Использование стандартных портов (1812 для аутентификации и 1813 для аккаунтинга) не требует настройки. В таком случае достаточно просто включения виртуального сервера (enable). wlc-30(config-radius)# virtual-server default wlc-30(config-radius-vserver)# enable wlc-30(config-radius-vserver)# exit wlc-30(config-radius)# enable wlc-30(config)# exit |
| Предупреждение |
|---|
Обратите внимание, что в заводской конфигурации учетная запись пользователя не настроена в целях безопасности, поэтому для подключения к Enterprise SSID в заводской конфигурации необходимо создать учетную запись. |
Определим параметры для взаимодействия с RADIUS-сервером: IP-адрес и ключ. Так как RADIUS-сервер находится локально на контроллере, в качестве адреса хоста задаем 127.0.0.1. Ключ должен совпадать с ключом, указанным для nas local.
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config)# radius-server host 127.0.0.1 wlc-30(config-radius-server)# key ascii-text password wlc-30(config-radius-server)# exit |
Добавляем профиль AAA, указываем адрес сервера, который будет использоваться:
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config)# aaa radius-profile default_radius wlc-30(config-aaa-radius-profile)# radius-server host 127.0.0.1 wlc-30(config-aaa-radius-profile)# exit |
Настраиваем и включаем функционал автоматического поднятия SoftGRE-туннелей:
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config)# softgre-controller #Так как RADIUS-сервер находится локально на контроллере,указываем nas-ip-address 127.0.0.1: wlc-30(config-softgre)# nas-ip-address 127.0.0.1 #Выбираем режим создания data SoftGRE туннелей – WLC: wlc-30(config-softgre)# data-tunnel configuration wlc #Выбираем созданный ранее ААА-профиль: wlc-30(config-softgre)# aaa radius-profile default_radius wlc-30(config-softgre)# keepalive-disable #Разрешаем трафик в пользовательском vlan: wlc-30(config-softgre)# service-vlan add 3 wlc-30(config-softgre)# enable wlc-30(config-softgre)# exit |
Настройка модуля управления точками доступа WLC
Переходим к настройкам модуля управления конфигурацией точек доступа:
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config)# wlc wlc-30(config-wlc)# |
Настраиваем профиль RADIUS-сервера, который будет использоваться для аутентификации беспроводных клиентов Enterprise SSID точек доступа Wi-Fi. Если предполагается аутентификация клиентов на внешнем RADIUS-сервере, то здесь указывается его адрес и ключ. При такой настройке точка доступа будет проводить аутентификацию клиентов без участия WLC.
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config-wlc)# radius-profile default-radius #Так как RADIUS-сервер находится локально на контроллере, указываем адрес контроллера в подсети точек доступа: wlc-30(config-wlc-radius-profile)# auth-address 192.168.1.1 #Ключ RADIUS-сервера должен совпадать с ключом, указанным для NAS ap: wlc-30(config-wlc-radius-profile)# auth-password ascii-text password #Указываем домен RADIUS. Этот домен должен совпадать с доменом, в котором созданы учетные записи пользователей Enterprise. wlc-30(config-wlc-radius-profile)# domain default wlc-30(config-wlc-radius-profile)# exit |
| Scroll Pagebreak |
|---|
Профиль SSID содержит настройки SSID точки доступа. Для примера настроим Enterprise SSID:
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config-wlc)# ssid-profile default-ssid #Description может содержать краткое описание профиля: wlc-30(config-wlc-ssid-profile)# description default-ssid #SSID – название беспроводной сети, которое будут видеть пользователи при сканировании эфира: wlc-30(config-wlc-ssid-profile)# ssid default-ssid #VLAN ID – номер VLAN для передачи пользовательского трафика. При передаче трафика Wi-Fi клиентам метка будет сниматься точкой доступа. При прохождении трафика в обратную сторону на нетегированный трафик от клиентов метка будет навешиваться: wlc-30(config-wlc-ssid-profile)# vlan-id 3 #Security mode – режим безопасности доступа к беспроводной сети. Для Enterprise авторизации выберите режим WPA2_1X: wlc-30(config-wlc-ssid-profile)# security-mode WPA2_1X #Указываем профиль настроек RADIUS-сервера, который будет использоваться для авторизации пользователей Wi-Fi: wlc-30(config-wlc-ssid-profile)# radius-profile default-radius #Далее необходимо указать хотя бы один диапазон, в котором будет работать SSID: 2.4/5 ГГц: wlc-30(config-wlc-ssid-profile)# band 2g wlc-30(config-wlc-ssid-profile)# band 5g #Активируем профиль SSID. В случае необходимости отключения SSID на всех локациях, SSID-профиль можно выключить командой 'no enable': wlc-30(config-wlc-ssid-profile)# enable wlc-30(config-wlc-ssid-profile)# exit |
Настройка профилей конфигурации
Создаем профиль общих настроек точек доступа:
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config-wlc)# ap-profile default-ap #Задаем пароль для подключения к точке доступа: wlc-30(config-wlc-ap-profile)# password ascii-text password #Если необходимо, можно активировать доступ к точкам доступа по ssh/telnet и web-интерфейс: wlc-30(config-wlc-ap-profile)# services wlc-30(config-wlc-ap-profile-services)# ip ssh server wlc-30(config-wlc-ap-profile-services)# ip telnet server wlc-30(config-wlc-ap-profile-services)# ip http server wlc-30(config-wlc-ap-profile)# exit |
...
Создаем профили точек доступа WEP-1L, WEP-2L, WOP-2L, WOP-20L:
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config-wlc)# board-profile default_wep-1l_profile #Указываем модель точки доступа, для которой создается профиль: wlc-30(config-wlc-board-profile)# ap-model WEP-1L #Выполняем настройки радиоинтерфейсов точки доступа. Заходим в настройки первого радиоинтерфейса (wlan0): wlc-30(config-wlc-board-profile)# radio wlan0 #Задаем радиочастотный диапазон 2.4 ГГц: wlc-30(config-wlc-board-profile-radio)# band 2g #Выбираем IEEE 802.11 режим работы радиоинтерфейса: wlc-30(config-wlc-board-profile-radio)# work-mode bgn #Задаем номер радиоканала, который будет выставлен при выключенной опции автовыбора каналов: wlc-30(config-wlc-board-profile-radio)# channel 1 #Задаем ширину радиоканала: wlc-30(config-wlc-board-profile-radio)# bandwidth 20 #Выставляем мощность сигнала передатчика в дБм: wlc-30(config-wlc-board-profile-radio)# tx-power 16 #Задаем список каналов, из которых точка доступа будет автоматически выбирать наименее загруженный радиоканал при включенных настройках autochannel и use-limit-channels: wlc-30(config-wlc-board-profile-radio)# limit-channels 1 6 11 #Включаем использование списка каналов для автовыбора. При выключенной опции use-limit-channels точка доступа будет выбирать рабочий канал из всех доступных каналов данного диапазона частот: wlc-30(config-wlc-board-profile-radio)# use-limit-channels wlc-30(config-wlc-board-profile-radio)# exit |
...
| Блок кода | ||
|---|---|---|
| ||
#Заходим в настройки второго радиоинтерфейса (wlan1): wlc-30(config-wlc-board-profile)# radio wlan1 #Задаем радиочастотный диапазон 5 ГГц: wlc-30(config-wlc-board-profile-radio)# band 5g #Выбираем IEEE 802.11 режим работы радиоинтерфейса: wlc-30(config-wlc-board-profile-radio)# work-mode ac #Задаем номер радиоканала, который будет выставлен при выключенной опции автовыбора каналов: wlc-30(config-wlc-board-profile-radio)# channel 36 #Задаем ширину радиоканала: wlc-30(config-wlc-board-profile-radio)# bandwidth 20 #Выставляем мощность сигнала передатчика в дБм: wlc-30(config-wlc-board-profile-radio)# tx-power 19 #Задаем список каналов, из которых точка доступа будет автоматически выбирать наименее загруженный радиоканал при включенных настройках autochannel и use-limit-channels: wlc-30(config-wlc-board-profile-radio)# limit-channels 36 40 44 48 wlc-30(config-wlc-board-profile-radio)# exit wlc-30(config-wlc-board-profile)# exit |
Создаем аналогично профили точек доступа WEP-3ax, WEP-30L,WOP-30L, учитывая особенности конфигурации:
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config-wlc)# board-profile default_wep-3ax_profile wlc-30(config-wlc-board-profile)# ap-model WEP-3ax wlc-30(config-wlc-board-profile)# radio wlan0 wlc-30(config-wlc-board-profile-radio)# band 2g wlc-30(config-wlc-board-profile-radio)# work-mode bgn wlc-30(config-wlc-board-profile-radio)# channel 1 wlc-30(config-wlc-board-profile-radio)# use-limit-channels wlc-30(config-wlc-board-profile-radio)# bandwidth 20 wlc-30(config-wlc-board-profile-radio)# tx-power 16 wlc-30(config-wlc-board-profile-radio)# limit-channels 1 6 11 wlc-30(config-wlc-board-profile-radio)# exit wlc-30(config-wlc-board-profile)# radio wlan1 wlc-30(config-wlc-board-profile-radio)# band 5g wlc-30(config-wlc-board-profile-radio)# work-mode anacax wlc-30(config-wlc-board-profile-radio)# channel 36 wlc-30(config-wlc-board-profile-radio)# bandwidth 20 wlc-30(config-wlc-board-profile-radio)# tx-power 19 wlc-30(config-wlc-board-profile-radio)# limit-channels 36 wlc-30(config-wlc-board-profile-radio)# limit-channels 40 44 48 wlc-30(config-wlc-board-profile-radio)# exit wlc-30(config-wlc-board-profile)# exit |
Настройка локации
Под локацией понимается группа точек доступа, предназначенная для предоставления сервиса внутри топографического и/или логического сегмента сети, которые в общем случае будут конфигурироваться по одним и тем же правилам (профилям). Локация для точки (ap-location) определяется при подключении точки к контроллеру в зависимости от адресного пространства. Исключение составляет переопределение профиля конфигурации и/или ap-location в индивидуально созданном шаблоне для точки доступа по ее MAC-адресу.
Создаем локацию и определяем правила конфигурирования точек доступа, входящих в данную локацию:
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config-wlc)# ap-location default-location #Description может содержать краткое описание локации: wlc-30(config-wlc-ap-location)# description default-location #Устанавливаем соответствия типа точки доступа и профиля конфигурации, который содержит правила настройки точек доступа в данной локации: wlc-30(config-wlc-ap-location)# board-profile WEP-1L default_wep-1l_profile wlc-30(config-wlc-ap-location)# board-profile WEP-2L default_wep-2l_profile wlc-30(config-wlc-ap-location)# board-profile WEP-3ax default_wep-3ax_profile wlc-30(config-wlc-ap-location)# board-profile WOP-20L default_wop-20l_profile wlc-30(config-wlc-ap-location)# board-profile WOP-2L default_wop-2l_profile wlc-30(config-wlc-ap-location)# board-profile WEP-30L default_wep-30l_profile wlc-30(config-wlc-ap-location)# board-profile WOP-30L default_wop-30l_profile #Указываем профили беспроводных сетей, которые будут предоставлять услуги в данной локации: wlc-30(config-wlc-ap-location)# ssid-profile default-ssid default #Так как схема предполагает передачу пользовательского трафика через SoftGRE-туннели, то необходимо указать, что локация работает в режиме туннелирования: wlc-30(config-wlc-ap-location)# mode tunnel wlc-30(config-wlc-ap-location)# exit |
Определение подсетей обслуживаемых точек доступа
Определяем адресное пространство подключаемых точек доступа:
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config-wlc)# ip-pool default-ip-pool #Description может содержать краткое описание пула адресов: wlc-30(config-wlc-ip-pool)# description default-ip-pool #Подсеть IP-адресов точек доступа указывается в параметре network. Если данный параметр не определен, то все точки доступа будут попадать под данное правило. #Указываем ap-location, которая будет присваиваться точкам доступа данного пула адресов: wlc-30(config-wlc-ip-pool)# ap-location default-location wlc-30(config-wlc-ip-pool)# exit |
Точки доступа, подсети которых не определены в ip-pool, не будут обслуживаться контроллером.
Авторегистрация точек доступа
Активируем авторегистрацию точек доступа на контроллере:
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config-wlc)# service-activator wlc-30(config-wlc-service-activator)# aps join auto |
При подключении новых точек доступа не потребуется дополнительных действий, точки доступа будут зарегистроированы в автоматическом режиме.
| Scroll Pagebreak |
|---|
Включение функционала WLC
Активируем работу WLC, указываем ipIP-адрес контроллера для точек доступа и сохраняем настройки:
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config-wlc)# enable wlc-30(config-wlc)# outside-address 192.168.1.1 wlc-30(config-wlc)# end wlc-30#wlc# commit wlc-30#wlc# confirm |
Web-интерфейс для мониторинга
Для мониторинга точек доступа доступен web-интерфесинтерфейс, включить можно командой:
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config)# ip http server wlc-30(config)# end wlc-30#wlc# commit wlc-30#wlc# confirm |
Web-интерфейс будет доступен по URL: http://<IP-address_wlc>, в дефолтной конфигурации логин/пароль: admin/password.
Обновление точек доступа
В конфигурации по умолчанию при подключении точка доступа сразу автоматически обновится на прошивку, которая загружена на WLC. Если точка доступа уже находится под управлением WLC, то она обновится на новую прошивку сразу после ее загрузки.
...
| Блок кода | ||
|---|---|---|
| ||
#IP-адрес TFTP-сервера – 192.168.1.2, WEP-1L-1.2.5_build_16.tar.gz – название файла ПО. wlc-30#wlc# copy tftp://192.168.1.2:/WEP-1L-1.2.5_build_16.tar.gz system:access-points-firmwares |
Если на WLC загружено несколько файлов ПО, то точка доступа будет обновляться на самую последнюю версию.
Настройка AirTune
Описание
Одним из приоритетных направлений по развитию точек доступа в области Enterprise&High-Density Wi-Fi является реализация сервиса AirTune, основной функцией которого является Radio Resource Management (RRM).
...
Простой пример работы оптимизации сети с помощью сервиса представлен на картинке (функционал DCA+TPC):
| Scroll Pagebreak |
|---|
Алгоритм работы
ТД при подключении к серверу (соединение между ТД и сервером осуществляется по протоколу WebSocket) отправляет сообщение "subscribe-request", где передает свои параметры, такие как:
...
Сценарий балансировки клиентов на ТД:Scroll Pagebreak
| Scroll Pagebreak |
|---|
| Информация |
|---|
В случае если стоит флаг "Use all AP for Balance" в конфигурации AirTune, то пункт Поиск соседствующих точек в эфире будет пропущен, рассылка будет осуществляться всем ТД, находящимся в одном домене; |
...
| Предупреждение |
|---|
Если клиентское устройство поддерживает функционал рандомизации MAC-адреса в Probe Request, то для таких клиентов функционал работать не будет, т.к. анализ уровня сигнала от клиента на соседних точках доступа основывается на менеджмент-пакетах от клиента (Probe request). |
| Scroll Pagebreak |
|---|
По умолчанию все необходимые настройки для работы сервиса настроены, нужно только указать IP-адрес контроллера, который виден точкам доступа, включить сервис, создать профиль и привязать его к локации.
...
Шаг | Описание | Команда | Ключи |
|---|---|---|---|
1 | Перейти в раздел конфигурирования WLC. | wlc-30# wlc# configure wlc-30(config-wlc)# | |
| 2 | Создать профиль AirTune. | wlc-30(config-wlc)# airtune-profile <NAME> wlc-30(config-airtune-profile)#exit wlc-30(config-wlc)# | <NAME> – название профиля, задается строкой до 235 символов. |
| 3 | Перейти в локацию, для которой требуется автоматическая оптимизация настроек точек доступа. | wlc-30(config-wlc)# ap-location <NAME> wlc-30(config-wlc-ap-location)# | <NAME> – название профиля локации, задается строкой до 235 символов. |
| 4 | Привязать созданный профиль к локации. | wlc-30(config-wlc-ap-location)# airtune-profile <NAME> wlc-30(config-wlc-ap-location)#exit wlc-30(config-wlc)# | <NAME> – название профиля локации, задается строкой до 235 символов. |
| 5 | Перейти в раздел общих настроек сервиса. | wlc-30(config-wlc)# airtune wlc-30(config-airtune)# | |
| 6 | Активировать работу сервиса. | wlc-30(config-airtune)# enable wlc-30(config-airtune)#end |
Пример настройки
| Без форматирования |
|---|
wlc-30#wlc# configure wlc-30(config)# wlc wlc-30(config-wlc)# airtune-profile default_airtune wlc-30(config-airtune-profile)#exit wlc-30(config-wlc)# wlc-30(config-wlc)# ap-location default-location wlc-30(config-wlc-ap-location)# airtune-profile default_airtune wlc-30(config-wlc-ap-location)#exit wlc-30(config-wlc)# airtune wlc-30(config-airtune)# enable wlc-30(config-wlc)# end wlc-30#wlc# commit wlc-30#wlc# confirm |