История страницы

...

Примечание
Функционал WLC можно активировать на сервисных маршрутизаторах ESR-15 , ESR-30 и ESR-3200 по инструкции.

Алгоритм настройки

Шаг

Описание

Команда

Ключи

1

Настроить локальный RADIUS-сервер и перейти в режим его конфигурирования.

wlc(config)# radius-server local

wlc(config-radius)#

2 Активировать работу локального RADIUS-сервера. wlc(config-radius)# enable

3

Добавить NAS и перейти в режим его конфигурирования.

wlc(config-radius)# nas <NAME>

wlc(config-radius-nas)#

<NAME> – название NAS, задается строкой до 235 символов.

4

Задать ключ аутентификации.

wlc(config-radius-nas)# key ascii-text { <KEY> | encrypted <ENCRYPTED-KEY> }

<KEY> – строка из [4..64] ASCII-символов;

<ENCRYPTED-KEY> – зашифрованный ключ, задаётся строкой [8..128] символов.

5 Указать сеть. wlc(config-radius-nas)# network <ADDR/LEN> <ADDR/LEN> – IP-адрес и маска подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].

6 Создать домен. wlc(config-radius)# domain <NAME> <NAME> – идентификатор домена, задается строкой до 235 символов.

7

Добавить виртуальный RADIUS-сервер и перейти в режим его конфигурирования.

wlc(config-radius)# virtual-server <NAME>

wlc(config-radius-vserver)#

<NAME> – название виртуального RADIUS-сервера, задается строкой до 235 символов.

8 Активировать работу виртуального RADIUS-сервера. wlc(config-radius-vserver)# enable

9

Добавить RADIUS-сервер в список используемых серверов и перейти в режим его конфигурирования.

wlc(config)# radius-server host
{ <IP-ADDR> | <IPV6-ADDR> }
[ vrf <VRF> ]

wlc(config-radius-server)#

<IP-ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];

<VRF> – имя экземпляра VRF, задается строкой до 31 символа.

10

Задать ключ аутентификации.

wlc(config-radius-server)# key ascii-text { <KEY> | encrypted <ENCRYPTED-KEY> }

<KEY> – строка из [4..64] ASCII-символов;

<ENCRYPTED-KEY> – зашифрованный ключ, задаётся строкой [8..128] символов.

11

Создать профиль ААА и перейти в режим его конфигурирования.

wlc(config)# aaa radius-profile <NAME>

wlc(config-aaa-radius-profile)#

<NAME> – имя профиля сервера, задается строкой до 31 символа.

12

В профиле AAA указать RADIUS-сервер.

wlc(config-aaa-radius-profile)# radius-server host
{ <IP-ADDR> | <IPV6-ADDR> }

<IP-ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

13

Перейти в настройки конфигурирования SoftGRE-контроллера.

wlc(config)# softgre-controller

wlc(config-softgre-controller)#

14 Определить IP-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых RADIUS-пакетах. wlc(config-softgre-controller)# nas-ip-address <ADDR> <ADDR> – IP-адрес источника, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

15

Установить режим конфигурации SoftGRE DATA туннелей.

wlc(config-softgre-controller)# data-tunnel configuration { local | radius | wlc}

local – режим конфигурации, при котором параметры SoftGRE DATA туннелей получаются из локальной конфигурации маршрутизатора;

radius – режим, при котором параметры SoftGRE DATA туннелей запрашиваются у RADIUS-сервера;

wlc – режим, при котором параметры SoftGRE DATA туннелей запрашиваются у WLC.

16 Указать профиль ААА. wlc(config-softgre-controller)# aaa radius-profile <NAME> <NAME> – имя профиля сервера, задается строкой до 31 символа.

17 Отключить обмен ICMP-сообщениями, которые используются для проверки доступности удаленного шлюза туннелей Wi-Fi контроллера. wlc(config-softgre-controller)# keepalive-disable

18

Разрешить трафик в пользовательском vlan.

wlc(config-softgre-controller)# service-vlan add {<VLAN-ID> | <LIST_ID> | <RANGE_ID> }

<VLAN-ID> – номер vlan, в котором проходит пользовательский трафик, принимает значения [2..4094];

<LIST_ID> – список vlan, указываемый через запятую (1,2,3), принимает значения [2..4094];

<RANGE_ID> – диапазон vlan, указывается через тире (1-3), принимает значения [2..4094].

19

Активировать работу контроллера
Wi-Fi.

wlc(config-softgre-controller)# enable

20

Перейти в настройки SoftGRE-туннеля.

wlc(config)# tunnel softgre <TUN>

<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.

21

Задать режим работы SoftGRE-туннеля.

wlc(config-softgre)# mode <MODE>

<MODE> – режим работы туннеля, возможные значения:

data – режим данных;
management – режим управления.

22 Устанавить IP-адрес локального шлюза туннеля. wlc(config-softgre)# local address <ADDR> <ADDR> – IP-адрес локального шлюза, задаётся в виде: AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

23 Активировать использование конфигурации данного SoftGRE-туннеля для автоматического создания туннелей с такими же mode и local address. wlc(config-softgre)# default-profile

24 Включить туннель. wlc(config-softgre)# enable

25

Перейти в раздел конфигурирования контроллера.

wlc(config)# wlc

26

Создать профиль конфигурирования общих настроек точки доступа.

wlc(config-wlc)# ap-profile <NAME>

wlc(config-wlc-ap-profile)#

<NAME> – название профиля, задается строкой до 235 символов.

27

Задать пароль для подключения к точкам доступа.

wlc(config-wlc-ap-profile)# password ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> }

wlc(config-wlc-ap-profile)# exit

<CLEAR-TEXT> – пароль, задаётся строкой [8-64] символов.

<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой [16-128] символов.

28

Создать профиль конфигурирования радиоинтерфейса, работающего в частотном диапазоне 2,4 ГГц.

wlc(config-wlc)# radio-2g-profile <NAME>

<NAME> – название профиля, задается строкой до 235 символов.

29

Настроить работу режима автоматического уменьшения ширины канала при загруженном радиоэфире

wlc(config-wlc-radio-2g-profile)# obss-coexistence {on | off}

on – режим автоматического уменьшения ширины канала активирован;

off – режим автоматического уменьшения ширины канала выключен.

30

Установить режим работы радиоинтерфейса.

wlc(config-wlc-radio-2g-profile)# work-mode <WORK-MODE>

<WORK-MODE> – режим работы, доступные значения:

bg, nax, bgnax – для частотного диапазона 2,4 ГГц.

31

Задать список каналов для динамического выбора канала.

wlc(config-wlc-radio-2g-profile)# limit-channels <CHANNEL>[,<CHANNEL>]

<CHANNEL> – номер используемого канала, доступные значения:
Для 2g каналы из диапазона:
[1.. 13].

32

Настроить ширину канала.

wlc(config-wlc-radio-2g-profile)# bandwidth <BANDWIDTH>

<BANDWIDTH> – ширина канала, доступные значения:

20;
40L;
40U.

33

Настроить уровень мощности для радиоинтерфейса.

wlc(config-wlc-radio-2g-profile)# tx-power {minimal | low | middle | high | maximal}

Возможные значения параметра в зависимости от модели точки доступа устанавливают следующие значения мощности в дБм:

Модель	2,4 ГГц
Модель	min	low	middle	high	max
WEP-1L	11	12	14	15	16
WEP-2L	11	12	14	15	16
WOP-2L	11	12	14	15	16
WOP-20L	8	10	12	14	16
WEP-200L	4	7	10	13	16
WEP-30L	0	4	8	12	16
WOP-30L	0	4	8	12	16
WOP-30LS	0	3	6	9	11
WEP-3ax	6	8	11	14	16

34

Создать профиль конфигурирования радиоинтерфейса, работающего в частотном диапазоне 5 ГГц.

wlc(config-wlc)# radio-5g-profile <NAME>

<NAME> – название профиля, задается строкой до 235 символов.

35

Настроить работу режима автоматического уменьшения ширины канала при загруженном радиоэфире

wlc(config-wlc-radio-5g-profile)# obss-coexistence {on | off}

on – режим автоматического уменьшения ширины канала активирован;

off – режим автоматического уменьшения ширины канала выключен.

36

Установить режим работы радиоинтерфейса.

wlc(config-wlc-radio-5g-profile)# work-mode <WORK-MODE>

<WORK-MODE> – режим работы, доступные значения:

anacax – для частотного диапазона 5 ГГц.

37

Задать список каналов для динамического выбора канала.

wlc(config-wlc-radio-5g-profile)# limit-channels <CHANNEL>[,<CHANNEL>]

<CHANNEL> – номер используемого канала, доступные значения:
Для 5g каждый 4 канал из диапазонов:
[36.. 64]
[100.. 144]
[149.. 165]

38

Настроить ширину канала.

wlc(config-wlc-radio-5g-profile)# bandwidth <BANDWIDTH>

<BANDWIDTH> – ширина канала, доступные значения:

20;
40L;
40U;
80.

39

Настроить уровень мощности для радиоинтерфейса.

wlc(config-wlc-radio-5g-profile)# tx-power {minimal | low | middle | high | maximal}

Возможные значения параметра в зависимости от модели точки доступа устанавливают следующие значения мощности в дБм:

Модель	5 ГГц
Модель	min	low	middle	high	max
WEP-1L	11	13	15	17	19
WEP-2L	11	13	15	17	19
WOP-2L	11	13	15	17	19
WOP-20L	11	13	15	17	19
WEP-200L	8	11	14	17	19
WEP-30L	0	5	10	15	19
WOP-30L	0	5	10	15	19
WOP-30LS	0	3	6	9	11
WEP-3ax	10	12	15	17	19

40

Настроить режим динамического выбора частоты.

wlc(config-wlc-radio-5g-profile)# dfs {auto | disabled | forced}

auto — механизм включен;

disabled— механизм выключен. DFS-каналы не доступны для выбора;

forced — механизм выключен. DFS-каналы доступны для выбора;

41

Создать профиль конфигурирования RADIUS-сервера.

wlc(config-wlc)# radius-profile <RADIUS-ID>

wlc(config-wlc-radius-profile)#

<RADIUS-ID> – идентификатор RADIUS-сервера, задается строкой до 235 символов.

42 Указать IP-адрес RADIUS-сервера, который отвечает за аутентификацию. wlc(config-wlc-radius-profile)# auth-address <ADDR> <ADDR> – IP-адрес RADIUS-сервера, задаётся в виде: AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

43

Указать пароль RADIUS-сервера, который отвечает за аутентификацию.

wlc(config-wlc-radius-profile)# auth-password ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> }

<CLEAR-TEXT> – пароль, задаётся строкой [8-64] символа.

<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой [16-128] символов.

44 Указать домен. wlc(config-wlc-radius-profile)# domain <NAME> <NAME> – идентификатор домена, задается строкой до 235 символов.

45

Создать профиль конфигурирования SSID.

wlc(config-wlc)# ssid-profile <NAME>

wlc(config-wlc-ssid-profile)#

<NAME> – название профиля SSID, задается строкой до 235 символов.

46

Задать описание профиля.

wlc(config-wlc-ssid-profile)# description <DESCRIPTION>

<DESCRIPTION> – произвольное описание, задается строкой до 255 символов.

47

Настроить частотный диапазон, в котором будет происходить вещание SSID.

wlc(config-wlc-ssid-profile)# band <BAND>

<BAND> – диапазон частот, доступные значения:

2g;
5g.

48 Указать пользовательский vlan. wlc(config-wlc-ssid-profile)# vlan-id <ID> <ID> – идентификатор vlan, принимает значения в диапазоне [0-4094].

49

Установить режим безопасности подключения к SSID.

wlc(config-wlc-ssid-profile)# security-mode <MODE>

<MODE> – режим безопасности, доступные значения:

WPA;
WPA2;
WPA2_1X;
WPA2_WPA3;
WPA2_WPA3_1X;
WPA3;
WPA3_1X;
WPA_1X;
WPA_WPA2;
WPA_WPA2_1X;
off.

Режим безопасности WPA3 поддерживается только на точках доступа моделей WEP-3ax, WEP-30L, WOP-30L, WOP-30LS.

При выборе смешанного режима безопасности (например, WPA2_WPA3) WPA3 будет применен только для тех точек доступа, которые его поддерживают, для остальных будет применен второй режим (WPA2).

50 Указать профиль RADIUS-сервера. wlc(config-wlc-ssid-profile)# radius-profile <RADIUS-ID> <RADIUS-ID> – идентификатор RADIUS-сервера, задается строкой до 235 символов.

51 Задать название SSID, который будет вещаться пользователям. wlc(config-wlc-ssid-profile)# ssid <NAME> <NAME> – название SSID, задается строкой до 32 символов. Названия, содержащие пробел, необходимо заключать в кавычки.

52 Активировать работу SSID. wlc(config-wlc-ssid-profile)# enable

53

Создать профиль локации.

wlc(config-wlc)# ap-location <NAME>

wlc(config-wlc-ap-location)#

<NAME> – название профиля локального конфигурирования, задается строкой до 235 символов.

54

Задать описание профиля.

wlc(config-wlc-ap-location)# description <DESCRIPTION>

<DESCRIPTION> – произвольное описание, задается строкой до 255 символов.

55

Указать для точек доступа существующие профили настроек радиоинтерфейсов.

wlc(config-wlc-ap-location)# radio-5g-profile <NAME>

wlc(config-wlc-ap-location)# radio-2g-profile <NAME>

<NAME> – название профиля, задается строкой до 235 символов.

56 Указать для точек доступа существующий профиль общих настроек. wlc(config-wlc-ap-location)# ap-profile <PROFILE-ID> <PROFILE-ID> – идентификатор профиля, задается строкой до 235 символов и должен совпадать с названием описанного профиля из ap-profile.

57 Указать профиль SSID, который будет назначен точкам доступа. wlc(config-wlc-ap-location)# ssid-

profile <NAME> <LOCATION>

profile <NAME>

<NAME> – название профиля SSID, задается строкой до 235 символов.

<LOCATION> – bridge location, используется для построения SoftGRE DATA туннеля, должен совпадать с location, указанным в конфигурации бриджа для пользовательского трафика, задается строкой до 220 символов. При использовании схемы L2 параметр не задается.

58	Создать адресное пространство для доступа к контроллеру.	wlc(config-wlc)# ip-pool <NAME> wlc(config-wlc-ip-pool)#	<NAME> – название адресного пространства, задается строкой до 235 символов.
59	Указать подсеть точек доступа.	wlc(config-wlc-ip-pool)# network <ADDR/LEN>	<ADDR/LEN> – IP-адрес и маска подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].
60	Указать название профиля локации, который применяется к заданному адресному пространству.	wlc(config-wlc-ip-pool)# ap-location <NAME>	<NAME> – название локации, задается строкой до 235 символов.
61	Перейти в настройки сервис-активатора.	wlc(config-wlc)# service-activator wlc(config-wlc-service-activator)#
62	Настроить автоматическую регистрацию точек доступа на контроллере.	wlc(config-wlc-service-activator)# aps join auto
63	Указать IP-адрес контроллера, который виден точкам доступа.	wlc(config-wlc)# outside-address <ADDR>	<ADDR> – IP-адрес контроллера, задаётся в виде: AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
64	Активировать работу контроллера.	wlc(config-wlc)# enable

Пример настройки

Задача

Организовать управление беспроводными точками доступа с помощью контроллера WLC. В частности, необходимо настроить подключение точек доступа, обновить и сконфигурировать их для предоставления доступа до ресурсов Интернет авторизованным пользователям Wi-Fi.

...

Настройка интерфейсов, сетевых параметров и firewall

Настроим Настройте профили TCP/UDP-портов для необходимых сервисов:

Блок кода

language	vb

wlc# configure

wlc(config)# object-group service ssh
wlc(config-object-group-service)# port-range 22
wlc(config-object-group-service)# exit

wlc(config)# object-group service dns
wlc(config-object-group-service)# port-range 53
wlc(config-object-group-service)# exit

wlc(config)# object-group service dhcp_server
wlc(config-object-group-service)# port-range 67
wlc(config-object-group-service)# exit

wlc(config)# object-group service dhcp_client
wlc(config-object-group-service)# port-range 68
wlc(config-object-group-service)# exit

wlc(config)# object-group service ntp
wlc(config-object-group-service)# port-range 123
wlc(config-object-group-service)# exit

wlc(config)# object-group service netconf
wlc(config-object-group-service)# port-range 830
wlc(config-object-group-service)# exit

wlc(config)# object-group service radius_auth
wlc(config-object-group-service)# port-range 1812
wlc(config-object-group-service)# exit

wlc(config)# object-group service sa
wlc(config-object-group-service)# port-range 8043-8044
wlc(config-object-group-service)# exit

wlc0(config)# object-group service airtune
wlc(config-object-group-service)# port-range 8099
wlc(config-object-group-service)# exit

Создаём Создайте три зоны безопасности — зона пользователей (users), доверенная зона для точек доступа (trusted) и недоверенная зона для выхода в Интернет (untrusted):

Блок кода

language	vb

wlc(config)# security zone users
wlc(config-zone)# exit

wlc(config)# security zone trusted
wlc(config-zone)# exit

wlc(config)# security zone untrusted
wlc(config-zone)# exit

Scroll Pagebreak

Настраиваем Настройте правила firewall:

Блок кода

language	vb

wlc(config)# security zone-pair trusted untrusted
wlc(config-zone-pair)# rule 1
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# exit
wlc(config)# security zone-pair trusted trusted
wlc(config-zone-pair)# rule 1
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# exit
wlc(config)# security zone-pair trusted self
wlc(config-zone-pair)# rule 10
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol tcp
wlc(config-zone-pair-rule)# match destination-port ssh
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# rule 20
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol icmp
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# rule 30
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol udp
wlc(config-zone-pair-rule)# match source-port dhcp_client
wlc(config-zone-pair-rule)# match destination-port dhcp_server
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# rule 40
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol udp
wlc(config-zone-pair-rule)# match destination-port ntp
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# rule 50
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol tcp
wlc(config-zone-pair-rule)# match destination-port dns
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# rule 60
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol udp
wlc(config-zone-pair-rule)# match destination-port dns
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# rule 70
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol tcp
wlc(config-zone-pair-rule)# match destination-port netconf
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit

...

Блок кода

language	vb

wlc(config-zone-pair)# rule 80
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol tcp
wlc(config-zone-pair-rule)# match destination-port sa
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# rule 90
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol udp
wlc(config-zone-pair-rule)# match destination-port radius_auth
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# rule 100
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol gre
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# exit
wlc(config)# security zone-pair users self
wlc(config-zone-pair)# rule 10
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol icmp
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# rule 20
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol udp
wlc(config-zone-pair-rule)# match source-port dhcp_client
wlc(config-zone-pair-rule)# match destination-port dhcp_server
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# rule 30
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol tcp
wlc(config-zone-pair-rule)# match destination-port dns
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# rule 40
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol udp
wlc(config-zone-pair-rule)# match destination-port dns
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# exit
wlc(config)# security zone-pair untrusted self
wlc(config-zone-pair)# rule 1
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol udp
wlc(config-zone-pair-rule)# match source-port dhcp_server
wlc(config-zone-pair-rule)# match destination-port dhcp_client
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# exit
wlc(config)# security zone-pair users untrusted
wlc(config-zone-pair)# rule 1
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# exit

Настраиваем Настройте NAT:

Блок кода

language	xml

wlc(config)# nat source
wlc(config-snat)# ruleset factory
wlc(config-snat-ruleset)# to zone untrusted
wlc(config-snat-ruleset)# rule 10
wlc(config-snat-rule)# description "replace 'source ip' by outgoing interface ip address"
wlc(config-snat-rule)# action source-nat interface
wlc(config-snat-rule)# enable
wlc(config-snat-rule)# exit
wlc(config-snat-ruleset)# exit
wlc(config-snat)# exit

Создаем Создайте VLAN для uplink:

Блок кода

language	vb

wlc(config)# vlan 2
wlc(config-vlan)# exit

Создаем Создайте пользовательский VLAN:

Блок кода

language	vb

wlc(config)# vlan 3
wlc(config-vlan)# force-up
wlc(config-vlan)# exit

Создаем Создайте интерфейсы для взаимодействия с подсетями управления точками доступа, пользователей Wi-Fi и Интернет:

Блок кода

language	vb

#Конфигурируем параметры интерфейса для точек доступа:
wlc(config)# bridge 1
wlc(config-bridge)# vlan 1
wlc(config-bridge)# security-zone trusted
wlc(config-bridge)# ip address 192.168.1.1/24
wlc(config-bridge)# enable
wlc(config-bridge)# exit

#Конфигурируем параметры публичного интерфейса:
wlc(config)# bridge 2
wlc(config-bridge)# vlan 2
wlc(config-bridge)# security-zone untrusted
wlc(config-bridge)# ip address dhcp
wlc(config-bridge)# enable
wlc(config-bridge)# exit

#Конфигурируем параметры интерфейса для пользователей Wi-Fi: 
wlc(config)# bridge 3
wlc(config-bridge)# security-zone users
wlc(config-bridge)# ip address 192.168.2.1/24
wlc(config-bridge)# vlan 3
wlc(config-bridge)# enable
wlc(config-bridge)# exit

Scroll Pagebreak

Настраиваем Настройте порты:

Блок кода

language	vb

#Конфигурируем интерфейсы для uplink:
wlc(config)# interface gigabitethernet 1/0/1
wlc(config-if-gi)# mode switchport
wlc(config-if-gi)# switchport access vlan 2
wlc(config-if-gi)# exit
wlc(config)# interface tengigabitethernet 1/0/1
wlc(config-if-te)# mode switchport
wlc(config-if-te)# switchport access vlan 2
wlc(config-if-te)# exit


#Конфигурируем интерфейсы для подключения точек доступа:
wlc(config)# interface gigabitethernet 1/0/2
wlc(config-if-gi)# mode switchport
wlc(config-if-gi)# exit
wlc(config)# interface gigabitethernet 1/0/3
wlc(config-if-gi)# mode switchport
wlc(config-if-gi)# exit
wlc(config)# interface gigabitethernet 1/0/4
wlc(config-if-gi)# mode switchport
wlc(config-if-gi)# exit
wlc(config)# interface tengigabitethernet 1/0/2
wlc(config-if-te)#  mode switchport
wlc(config-if-te)# exit

Включаем Включите разрешениеDNS-имен:

Блок кода

language	vb

wlc(config)# domain lookup enable

Настраиваем Настройте профиль для поднятия туннелей:

...

Примечание
Необходимо обязательно указывать NTP-сервер, т.к. корректное время позволяет пройти проверку валидности сертификатов.

Настраиваем Настройте адресное пространство для устройств, которые будут подключены к контроллеру:

Блок кода

language	diff

wlc(config)# ip dhcp-server pool ap-pool

#Определяем подсеть:
wlc(config-dhcp-server)# network 192.168.1.0/24

#Задаем диапазон выдаваемых IP-адресов:
wlc(config-dhcp-server)# address-range 192.168.1.2-192.168.1.254

#Шлюз по умолчанию. Им является адрес бриджа управления ТД:
wlc(config-dhcp-server)# default-router 192.168.1.1

#Выдаем адрес DNS-сервера:
wlc(config-dhcp-server)# dns-server 192.168.1.1

#Необходимо обязательно указывать NTP-сервер, т.к. корректное время позволяет пройти проверку валидности сертификатов.

#Выдаем 42 опцию DHCP, содержащую адрес NTP-сервера, для синхронизации времени на точках доступа:
wlc(config-dhcp-server)# option 42 ip-address 192.168.1.1

#Выдаем 43 vendor specific опцию DHCP, которая содержит:

- 12 подопцию, необходимую для построения SoftGRE data туннелей. Опция содержит IP-адрес softgre-интерфейса контроллера.
wlc(config-dhcp-server)# vendor-specific
wlc(config-dhcp-server-vendor-specific)# suboption 12 ascii-text "192.168.1.1"

- 15 подопцию, необходимую для того, чтобы точка доступа автоматически пришла на контроллер и включилась в работу под его управлением. Опция содержит HTTPS URL контроллера.
wlc(config-dhcp-server-vendor-specific)# suboption 15 ascii-text "https://192.168.1.1:8043"
wlc(config-dhcp-server-vendor-specific)# exit
wlc(config-dhcp-server)# exit

Настраиваем Настройте адресное пространство для пользователей:

...

Scroll Pagebreak

Настройка RADIUS-сервера

Настраиваем Настройте локальный RADIUS-сервер.

Блок кода

language	vb

wlc(config)# radius-server local

#Настраиваем NAS ap. Содержит подсети точек доступа, которые будут обслуживаться локальным RADIUS-сервером при Enterprise-авторизации пользователей Wi-Fi:
wlc(config-radius)# nas ap
wlc(config-radius-nas)# key ascii-text password
wlc(config-radius-nas)# network 192.168.1.0/24
wlc(config-radius-nas)# exit

#Настраиваем NAS local. Используется при обращении WLC к локальному RADIUS-серверу при построении SoftGRE-туннелей:
wlc(config-radius)# nas local
wlc(config-radius-nas)# key ascii-text password
wlc(config-radius-nas)# network 127.0.0.1/32
wlc(config-radius-nas)# exit

#Создаем домен для пользователей:
wlc(config-radius)# domain default

#Создаем учетную запись пользователя Wi-Fi для подключения к Enterprise SSID:
wlc(config-radius-domain)# user name1
wlc(config-radius-user)# password ascii-text password1
wlc(config-radius-user)# exit
wlc(config-radius-domain)# exit

#Настройки виртуального сервера содержат номера портов для аутентификации и аккаунтинга, настройки проксирования на внешний RADIUS server. Использование стандартных портов (1812 для аутентификации и 1813 для аккаунтинга) не требует настройки. В таком случае достаточно просто включения виртуального сервера (enable).
wlc(config-radius)# virtual-server default
wlc(config-radius-vserver)# enable
wlc(config-radius-vserver)# exit
wlc(config-radius)# enable
wlc(config)# exit

Предупреждение
Обратите внимание, что в В заводской конфигурации учетная запись пользователя не настроена в целях безопасности, поэтому для подключения к Enterprise SSID в заводской конфигурации необходимо создать учетную запись.

Определим Определите параметры для взаимодействия с RADIUS-сервером: IP-адрес и ключ. Так как RADIUS-сервер находится локально на контроллере, в качестве адреса хоста задаем задайте 127.0.0.1. Ключ должен совпадать с ключом, указанным для nas local.

Блок кода

language	vb

wlc(config)# radius-server host 127.0.0.1
wlc(config-radius-server)# key ascii-text password
wlc(config-radius-server)# exit

ДобавляемДобавьте профиль AAA, указываем укажите адрес сервера, который будет использоваться:

Блок кода

language	vb

wlc(config)# aaa radius-profile default_radius
wlc(config-aaa-radius-profile)# radius-server host 127.0.0.1
wlc(config-aaa-radius-profile)# exit

Настраиваем Настройте и включаем включите функционал автоматического поднятия SoftGRE-туннелей:

...

Настройка модуля управления точками доступа WLC

Переходим Перейдите к настройкам модуля управления конфигурацией точек доступа:

Блок кода

language	vb

wlc(config)# wlc
wlc(config-wlc)#

Настраиваем Настройте профиль RADIUS-сервера, который будет использоваться для аутентификации беспроводных клиентов Enterprise SSID точек доступа Wi-Fi. Если предполагается аутентификация клиентов на внешнем RADIUS-сервере, то здесь указывается его адрес и ключ. При такой настройке точка доступа будет проводить аутентификацию клиентов без участия WLC.

...

Профиль SSID содержит настройки SSID точки доступа. Для примера настроим приведена настройка Enterprise SSID:

Блок кода

language	vb

wlc(config-wlc)# ssid-profile default-ssid

#Description может содержать краткое описание профиля:
wlc(config-wlc-ssid-profile)# description default-ssid

#SSID – название беспроводной сети, которое будут видеть пользователи при сканировании эфира:
wlc(config-wlc-ssid-profile)# ssid default-ssid

#VLAN ID – номер VLAN для передачи пользовательского трафика. При передаче трафика Wi-Fi клиентам метка будет сниматься точкой доступа. При прохождении трафика в обратную сторону на нетегированный трафик от клиентов метка будет навешиваться:
wlc(config-wlc-ssid-profile)# vlan-id 3

#Security mode – режим безопасности доступа к беспроводной сети. Для Enterprise авторизации выберите режим WPA2_1X:
wlc(config-wlc-ssid-profile)# security-mode WPA2_1X

#Указываем профиль настроек RADIUS-сервера, который будет использоваться для авторизации пользователей Wi-Fi:
wlc(config-wlc-ssid-profile)# radius-profile default-radius

#Далее необходимо указать хотя бы один диапазон, в котором будет работать SSID: 2.4/5 ГГц:
wlc(config-wlc-ssid-profile)# band 2g
wlc(config-wlc-ssid-profile)# band 5g

#Активируем профиль SSID. В случае необходимости отключения SSID на всех локациях, SSID-профиль можно выключить командой 'no enable':
wlc(config-wlc-ssid-profile)# enable
wlc(config-wlc-ssid-profile)# exit

Настройка профилей конфигурации

Создаем Создайте профиль общих настроек точек доступа:

Блок кода

language	vb

wlc(config-wlc)# ap-profile default-ap

#Задаем пароль для подключения к точке доступа:
wlc(config-wlc-ap-profile)# password ascii-text password

#Если необходимо, можно активировать доступ к точкам доступа по ssh/telnet и web-интерфейс:
wlc(config-wlc-ap-profile)# services
wlc(config-wlc-ap-profile-services)# ip ssh server
wlc(config-wlc-ap-profile-services)# ip telnet server
wlc(config-wlc-ap-profile-services)# ip http server
wlc(config-wlc-ap-profile)# exit

Scroll Pagebreak

Создаем Создайте профили конфигурации точек доступа:

Подсказка
Для каждой точки доступа можно переопределить параметры отдельно через индивидуальный профиль. Подробную информацию о точках доступа можно найти в официальной документации по ссылке.

Создаем Создайте профиль конфигурирования радиоинтерфейса, работающего в частотном диапазоне 2,4 ГГц:

Блок кода

language	vb

wlc(config-wlc)# radio-2g-profile default_2g

#Задаем список каналов, из которых точка доступа будет автоматически выбирать наименее загруженный радиоканал:
wlc(config-wlc-radio-2g-profile)# limit-channels 1,6,11

#Выбираем IEEE 802.11 режим работы радиоинтерфейса:
wlc(config-wlc-radio-2g-profile)# work-mode bgnax

#Задаем ширину радиоканала:
wlc(config-wlc-radio-2g-profile)# bandwidth 20

#Выставляем мощность сигнала передатчика в дБм:
wlc(config-wlc-radio-2g-profile)# tx-power maximal
wlc(config-wlc-radio-2g-profile)# exit

Создаем Создайте профиль конфигурирования радиоинтерфейса, работающего в частотном диапазоне 5 ГГц:

...

Под локацией понимается группа точек доступа, предназначенная для предоставления сервиса внутри топографического и/или логического сегмента сети, которые в общем случае будут конфигурироваться по одним и тем же правилам (профилям). Локация для точки (ap-location) определяется при подключении точки к контроллеру в зависимости от адресного пространства. Исключение составляет переопределение (override) радио-параметров и/или ap-location в индивидуально созданном шаблоне для точки доступа по ее MAC-адресу.

Создаем Создайте локацию и определяем определите правила конфигурирования точек доступа, входящих в данную локацию:

...

Определение подсетей обслуживаемых точек доступа

Определяем Определите адресное пространство подключаемых точек доступа:

...

Авторегистрация точек доступа

Активируем Активируйте авторегистрацию точек доступа на контроллере:

...

Включение функционала WLC

Активируем Активируйте работу WLC, указываем укажите IP-адрес контроллера для точек доступа и сохраняем сохраните настройки:

Блок кода

language	vb

wlc(config-wlc)# enable
wlc(config-wlc)# outside-address 192.168.1.1
wlc(config-wlc)# end
wlc# commit
wlc# confirm

...

Если на WLC загружено несколько файлов ПО, то точка доступа будет обновляться на самую последнюю версию.

Настройка AirTune

Описание

Одним из приоритетных направлений по развитию точек доступа в области Enterprise&High-Density Wi-Fi является реализация сервиса AirTune, основной функцией которого является Radio Resource Management (RRM).

...

Dynamic Channel Assignment (DCA) – алгоритм автоматического распределения частотных каналов каждой точки доступа в сети для избежания интерференции между ними;
Transmit Power Control (TPC) – алгоритм управления мощностью передатчиков с целью обеспечения оптимальной зоны покрытия сети и минимизации "конфликтных" «конфликтных» областей, где клиент находится в зоне уверенного приема нескольких соседних точек доступа;
Load Balancing – алгоритм автоматического распределения клиентских устройств между точками. В случае перегрузки сервис определит более оптимальную ТД для подключения клиента и выдаст рекомендации на точки доступа, клиент будет видеть в эфире только 1 ТД, рекомендованную для авторизации;
Roaming – поддержка стандартов бесшовного роуминга 802.11 k/r.

...

При работе функционала TPC/DCA точки доступа по команде от сервиса с помощью специальных пакетов (Action Frame) собирают информацию о радиосреде в текущий момент времени. Затем передают информацию на сервис, который выполняет анализ "качества радиоэфира" «качества радиоэфира» и проводит оптимизацию параметров для каждой точки доступа, что обеспечивает равномерность зоны покрытия и минимизацию интерференции.

...

Информация
В случае если стоит флаг "Use all AP for Balance" в конфигурации AirTune, то пункт "Поиск соседствующих точек в эфире" будет пропущен, рассылка будет осуществляться всем ТД, находящимся в одном домене;.

2) Далее начинаются сценарии работы балансировщика. При подключении нового клиента с ТД на сервер отправляется сообщение "rrm-client-assoc", в котором содержится MAC-адрес клиента SSID, к которому клиент подключился. В случае если подключенный клиент находится в зоне уверенного приема и ТД не является загруженной, сервисом никаких действий не предпринимается, отправляется только сообщение "RRM-Client-Assoc-Ack" для портальных клиентов, после него ТД разблокирует клиентов для доступа в интернет (если пользователь уже авторизовался на портале);

...

Дерево страниц

Сравнение версий

Старая версия 29

Новая версия Текущий

Ключ

Алгоритм настройки

Пример настройки

Задача

Настройка интерфейсов, сетевых параметров и firewall

Настройка RADIUS-сервера

Настройка модуля управления точками доступа WLC

Настройка профилей конфигурации

Определение подсетей обслуживаемых точек доступа

Авторегистрация точек доступа

Включение функционала WLC

Настройка AirTune

Описание