...
Шаг | Описание | Команда | Ключи |
|---|---|---|---|
| 1 | Настроить локальный RADIUS-сервер и перейти в режим его конфигурирования. | wlc(config)# radius-server local wlc(config-radius)# | |
| 2 | Активировать работу локального RADIUS-сервера. | wlc(config-radius)# enable | |
| 3 | Добавить NAS и перейти в режим его конфигурирования. | wlc(config-radius)# nas <NAME> wlc(config-radius-nas)# | <NAME> – название NAS, задается строкой до 235 символов. |
| 4 | Задать ключ аутентификации. | wlc(config-radius-nas)# key ascii-text { <KEY> | encrypted <ENCRYPTED-KEY> } | <KEY> – – строка из [4..64] ASCII-символов; <ENCRYPTED-KEY> – зашифрованный ключ, задаётся строкой [8..128] символов. |
| 5 | Указать сеть. | wlc(config-radius-nas)# network <ADDR/LEN> | <ADDR/LEN> – IP-адрес и маска подсети, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32]. |
| 6 | Создать домен. | wlc(config-radius)# domain <NAME> | <NAME> – идентификатор домена, задается строкой до 235 символов. |
| 7 | Добавить виртуальный RADIUS-сервер и перейти в режим его конфигурирования. | wlc(config-radius)# virtual-server <NAME> wlc(config-radius-vserver)# | <NAME> – название виртуального RADIUS-сервера, задается строкой до 235 символов. |
| 8 | Активировать работу виртуального RADIUS-сервера. | wlc(config-radius-vserver)# enable | |
| 9 | Добавить RADIUS-сервер в список используемых серверов и перейти в режим его конфигурирования. | wlc(config)# radius-server host wlc(config-radius-server)# | <IP-ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF] <VRF> – имя экземпляра VRF, задается строкой до 31 символа. |
| 10 | Задать ключ аутентификации. | wlc(config-radius-server)# key ascii-text { <KEY> | encrypted <ENCRYPTED-KEY> } | <KEY> – строка из [4..64] ASCII-символов; <ENCRYPTED-KEY> – зашифрованный ключ, задаётся строкой [8..128] символов. |
| 11 | Создать профиль ААА и перейти в режим его конфигурирования. | wlc(config)# aaa radius-profile <NAME> wlc(config-aaa-radius-profile)# | <NAME> – имя профиля сервера, задается строкой до 31 символа. |
| 12 | В профиле AAA указать RADIUS-сервер. | wlc(config-aaa-radius-profile)# radius-server host | <IP-ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]. |
| 13 | Перейти в настройки конфигурирования контроллера Wi-Fi. | wlc(config)# softgre-controller wlc(config-softgre)# | |
| 14 | Определить IP-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых RADIUS-пакетах. | wlc(config-softgre)# nas-ip-address <ADDR> | <ADDR> – IP-адрес источника, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. |
| 15 | Установить режим конфигурации SoftGRE DATA туннелей. | wlc(config-softgre)# data-tunnel configuration { local | radius | wlc} | local – режим конфигурации, при котором параметры SoftGRE DATA туннелей получаются из локальной конфигурации маршрутизатора; wlc – режим, при котором параметры SoftGRE DATA туннелей запрашиваются у WLC. |
| 16 | Указать профиль ААА. | wlc(config-softgre)# aaa radius-profile <NAME> | <NAME> – имя профиля сервера, задается строкой до 31 символа. |
| 17 | Отключить обмен ICMP-сообщениями, которые используются для проверки доступности удаленного шлюза туннелей Wi-Fi контроллера. | wlc(config-softgre)# keepalive-disable | |
| 18 | Активировать работу контроллера Wi-Fi. | wlc(config-softgre)# enable | |
| 19 | Перейти в раздел конфигурирования контроллера. | wlc(config)# wlc wlc(config)# | |
| 20 | Создать профиль конфигурирования общих настроек точки доступа. | wlc(config-wlc)# ap-profile <NAME> wlc(config-wlc-ap-profile)# | <NAME> – название профиля, задается строкой до 235 символов. |
| 21 | Задать пароль для подключения к точкам доступа. | wlc(config-wlc-ap-profile)# password ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> } wlc(config-wlc-ap-profile)# exit | <CLEAR-TEXT> – пароль, задаётся строкой [8-64] символов. <HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой [16-128] символов. |
| 22 | Создать профиль конфигурирования для точки доступа конкретного типа. | wlc(config-wlc)# board-profile <NAME> wlc(config-wlc-board-profile)# | <NAME> – название профиля, задается строкой до 235 символов. |
| 23 | Указать тип точки доступа, для которой производится конфигурирование. | wlc(config-wlc-board-profile)# ap-model <BOARD-TYPE> | <BOARD-TYPE> – тип точки доступа, доступные значения:
|
| 24 | Перейти в настройки конфигурирования радиоинтерфейса. | wlc(config-wlc-board-profile)# radio <WLAN> | <WLAN> – радиоинтерфейс, доступные значения:
|
| 25 | Указать частотный диапазон, в котором работает радиоинтерфейс. | wlc(config-wlc-board-profile-radio)# band <BAND> | <BAND> – диапазон частот, доступны значения:
|
| 26 | Установить режим работы радиоинтерфейса. | wlc(config-wlc-board-profile-radio)# work-mode <WORK-MODE> | <WORK-MODE> – режим работы, доступные значения: WEP-3ax, WEP-3ax-Z, WOP-3ax, WEP-30L:
WEP-1L, WEP-2L, WOP-2L, WEP-20L, WOP-20L:
|
| 27 | Задать список каналов для динамического выбора канала. | wlc(config-wlc-board-profile-radio)# limit-channels <CHANNEL> <CHANNEL> <CHANNEL> | <CHANNEL> – номер используемого канала, доступные значения: Для 5g каждый 4 канал из диапазонов: |
| 28 | Включить использование созданного списка. | wlc(config-wlc-board-profile-radio)# use-limit-channels | |
| 29 | Активировать функцию динамического выбора канала. | wlcconfig-wlc-board-profile-radio)# autochannel | |
| 30 | Настроить ширину канала. | wlcconfig-wlc-board-profile-radio)# bandwidth <BANDWIDTH> | <BANDWIDTH> – ширина канала, доступны значения:
|
| 31 | Настроить уровень мощности для радиоинтерфейса. | wlc(config-wlc-board-profile-radio)# tx-power <TX-POWER> | <TX-POWER> – уровень мощности в дБм, принимает значения в диапазоне [6.. 19]. |
| 32 | Создать профиль конфигурирования RADIUS-сервера. | wlc(config-wlc)# radius-profile <RADIUS-ID> wlc(config-wlc-radius-profile)# | <RADIUS-ID> – идентификатор RADIUS-сервера, задается строкой до 235 символов. |
| 33 | Указать IP-адрес RADIUS-сервера, который отвечает за аутентификацию. | wlc(config-wlc-radius-profile)# auth-address <ADDR> | <ADDR> – IP-адрес RADIUS-сервера, задаётся в виде: AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. |
| 34 | Указать пароль RADIUS-сервера, который отвечает за аутентификацию. | wlc(config-wlc-radius-profile)# auth-password ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> } | <CLEAR-TEXT> – пароль, задаётся строкой [8-64] символа. <HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой [16-128] символов. |
| 35 | Указать домен. | wlc(config-wlc-radius-profile)# domain <NAME> | <NAME> – идентификатор домена, задается строкой до 235 символов. |
| 36 | Создать профиль конфигурирования SSID. | wlc(config-wlc)# ssid-profile <NAME> wlc(config-wlc-ssid-profile)# | <NAME> – название профиля SSID, задается строкой до 235 символов. |
| 37 | Задать описание профиля. | wlc(config-wlc-ssid-profile)# description # description <DESCRIPTION> | <DESCRIPTION> – произвольное описание, задается строкой до 255 символов. |
| 38 | Настроить частотный диапазон, в котором будет происходить вещание SSID. | wlc(config-wlc-ssid-profile)# band <BAND> | <BAND> – диапазон частот, доступные значения:
|
| 39 | Указать пользовательский vlan. | wlc(config-wlc-ssid-profile)# vlan-id <ID> | <ID> – идентификатор vlan, принимает значения в диапазоне [0-4094]. |
| 40 | Установить режим безопасности подключения к SSID. | wlc(config-wlc-ssid-profile)# security-mode <MODE> | <MODE> – режим безопасности, доступные значения:
|
| 41 | Указать профиль RADIUS-сервера. | wlc(config-wlc-ssid-profile)# radius-profile <RADIUS-ID> | <RADIUS-ID> – идентификатор RADIUS-сервера, задается строкой до 235 символов. |
| 42 | Задать название SSID, который будет вещаться пользователям. | wlc(config-wlc-ssid-profile)# ssid <NAME> | <NAME> – название SSID, задается строкой до 32 символов. Названия, содержащие пробел, необходимо заключать в кавычки. |
| 43 | Активировать работу SSID. | wlc(config-wlc-ssid-profile)# enable | |
| 44 | Создать профиль локации. | wlc(config-wlc)# ap-location <NAME> wlc(config-wlc-ap-location)# | <NAME> – название профиля локального конфигурирования, задается строкой до 235 символов. |
| 45 | Задать описание профиля. | wlc(config-wlc-ap-location)# description # description <DESCRIPTION> | <DESCRIPTION> – произвольное описание, задается строкой до 255 символов. |
| 46 | Указать для точек доступа существующий профиль настроек. | wlc(config-wlc-ap-location)# board-profile <BOARD-TYPE> <PROFILE-ID> | <BOARD-TYPE> – тип точки доступа, доступные значения:
<PROFILE-ID> – идентификатор профиля, задается строкой до 235 символов, и должен совпадать с названием описанного профиля из board-profile. |
| 47 | Указать для точек доступа существующий профиль общих настроек. | wlc(config-wlc-ap-location)# ap-profile <PROFILE-ID> | <PROFILE-ID> – идентификатор профиля, задается строкой до 235 символов, и должен совпадать с названием описанного профиля из ap-profile. |
| 48 | Указать профиль SSID, который будет назначен точкам доступа. | wlc(config-wlc-ap-location)# ssid-profile <NAME> <LOCATION>profile <NAME> | <NAME> – название профиля SSID, задается строкой до 235 символов. <LOCATION> – bridge location, используется для построения SoftGRE DATA туннеля, должен совпадать с location, указанным в конфигурации бриджа для пользовательского трафика, задается строкой до 220 символов. При использовании схемы L2 параметр не задается. |
| 49 | Создать адресное пространство для доступа к контроллеру. | wlc(config-wlc)# ip-pool <NAME> wlc(config-wlc-ip-pool)# | <NAME> – название адресного пространства, задается строкой до 235 символов. |
| 50 | Задать описание адресного пространства. | wlc(config-wlc-ip-pool)# description # description <DESCRIPTION> | <DESCRIPTION> – произвольное описание, задается строкой до 255 символов. |
| 51 | Указать название профиля локации, который применяется к заданному адресному пространству. | wlc(config-wlc-ip-pool)# ap-location <NAME> | <NAME> – название локации, задается строкой до 235 символов. |
| 52 | Перейти в настройки сервис-активатора. | wlc(config-wlc)# service-activator wlc(config-wlc-service-activator)# | |
| 53 | Настроить автоматическую регистрацию точек доступа на контроллере. | wlc(config-wlc-service-activator)# aps join auto | |
| 54 | Активировать работу контроллера. | wlc(config-wlc)# enable |
Пример настройки
Задача
Организовать управление беспроводными точками доступа с помощью контроллера WLC-30. В частности, необходимо настроить подключение точек доступа, обновить и сконфигурировать их для предоставления доступа до ресурсов Интернет авторизованным пользователям Wi-Fi.
...
| Drawio | ||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Решение
Архитектура решения предполагает автоматическое подключение точек доступа к контроллеру WLC-30. При подключении к сети точка доступа запрашивает адрес по DHCP и вместе с ним должна получить URL сервиса инициализации точек доступа в 43 (vendor specific) опции DHCP.
...
| Блок кода | ||
|---|---|---|
| ||
#Сконфигурируем параметры интерфейса для точек доступа: wlc-30(config)# bridge 1 wlc-30(config-bridge)# vlan 1 wlc-30(config-bridge)# security-zone trusted wlc-30(config-bridge)# ip address 192.168.1.1/24 wlc-30(config-bridge)# enable wlc-30(config-bridge)# exit #Сконфигурируем параметры публичного интерфейса: wlc-30(config)# bridge 2 wlc-30(config-bridge)# vlan 2 wlc-30(config-bridge)# security-zone untrusted wlc-30(config-bridge)# ip address dhcp wlc-30(config-bridge)# enable wlc-30(config-bridge)# exit #Сконфигурируем параметры интерфейса для пользователей Wi-Fi. Параметр locationvlan необходим для построения SoftGRE-туннелей и должен совпадать с указанным для SSID-профиля в настройках ap-location: wlc-30(config)# bridge 3 wlc-30(config-bridge)# security-zone users wlc-30(config-bridge)# ip address 192.168.2.1/24 wlc-30(config-bridge)# locationvlan default1000 wlc-30(config-bridge)# enable wlc-30(config-bridge)# exit |
...
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config)# softgre-controller
#Так как RADIUS-сервер находится локально на контроллере,указываем nas-ip-address 127.0.0.1:
wlc-30(config-softgre)# nas-ip-address 127.0.0.1
#Выбираем режим создания data SoftGRE туннелей – WLC:
wlc-30(config-softgre)# data-tunnel configuration wlc
#Выбираем созданный ранее ААА-профиль:
wlc-30(config-softgre)# aaa radius-profile default_radius
wlc-30(config-softgre)# keepalive-disable
wlc-30(config-softgre)# enable
wlc-30(config-softgre)# exit |
...
Создаем профили точек доступа WEP-1L, WEP-2L, WEPWOP-20L, WOP-2L, WOP-20L:
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config-wlc)# board-profile default_wep-1l_profile #Указываем модель точки доступа, для которой создается профиль: wlc-30(config-wlc-board-profile)# ap-model WEP-1L #Выполняем настройки радиоинтерфейсов точки доступа. Заходим в настройки первого радиоинтерфейса (wlan0): wlc-30(config-wlc-board-profile)# radio wlan0 #Задаем радиочастотный диапазон 2.4 ГГц: wlc-30(config-wlc-board-profile-radio)# band 2g #Выбираем IEEE 802.11 режим работы радиоинтерфейса: wlc-30(config-wlc-board-profile-radio)# work-mode bgn #Задаем номер радиоканала, который будет выставлен при выключенной опции автовыбора каналов: wlc-30(config-wlc-board-profile-radio)# channel 1 #Задаем ширину радиоканала: wlc-30(config-wlc-board-profile-radio)# bandwidth 20 #Выставляем мощность сигнала передатчика в дБм: wlc-30(config-wlc-board-profile-radio)# tx-power 16 #Задаем список каналов, из которых точка доступа будет автоматически выбирать наименее загруженный радиоканал при включенных настройках autochannel и use-limit-channels: wlc-30(config-wlc-board-profile-radio)# limit-channels 1 6 11 #Включаем использование списка каналов для автовыбора. При выключенной опции use-limit-channels точка доступа будет выбирать рабочий канал из всех доступных каналов данного диапазона частот: wlc-30(config-wlc-board-profile-radio)# use-limit-channels wlc-30(config-wlc-board-profile-radio)# exit |
...
Создаем аналогично профили точек доступа WEPдоступа WEP-3ax-Z, WEP-3ax, WOP-3ax, WEP-30L, учитывая особенности конфигурации:
...
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config-wlc)# ap-location default-location #Description может содержать краткое описание локации: wlc-30(config-wlc-ap-location)# description default-location #Устанавливаем соответствия типа точки доступа и профиля конфигурации, который содержит правила настройки точек доступа в данной локации: wlc-30(config-wlc-ap-location)# board-profile WEP-1L default_wep-1l_profile wlc-30(config-wlc-ap-location)# board-profile WEP-20L default_wep-20l_profile wlc-30(config-wlc-ap-location)# board-profile WEP-2L default_wep-2l_profile wlc-30(config-wlc-ap-location)# board-profile WEP-3ax default_wep-3ax_profile wlc-30(config-wlc-ap-location)# board-profile WEP-3ax-Z default_wep-3ax-z_profile wlc-30(config-wlc-ap-location)# board-profile WOP-20L default_wop-20l_profile wlc-30(config-wlc-ap-location)# board-profile WOP-2L default_wop-2l_profile wlc-30(config-wlc-ap-location)# board-profile WOP-3ax default_wop-3ax_profile wlc-30(config-wlc-ap-location)# board-profile WEP-30L default_wep-30l_profile | ||
| Блок кода | ||
| ||
#Указываем профили беспроводных сетей, которые будут предоставлять услуги в данной локации. Так : wlc-30(config-wlc-ap-location)# ssid-profile default-ssid default #Так как схема предполагает передачу пользовательского трафика через SoftGRE-туннели, то после названия профиля SSID необходимо указать bridge location, которыйчто долженлокация совпадать с location, указанным на бридже, куда приходит пользовательский трафик, в нашем случае bridge 3работает в режиме туннелирования: wlc-30(config-wlc-ap-location)# ssid-profile default-ssid default mode tunnel wlc-30(config-wlc-ap-location)# exit |
...
Точки доступа, подсети которых не определены в ip-pool, не будут обслуживаться контроллером.
Авторегистрация точек доступа
Активируем авторегистрацию точек доступа на контроллере:
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config-wlc)# service-activator
wlc-30(config-wlc-service-activator)# aps join auto |
При подключении новых точек доступа не потребуется дополнительных действий, точки доступа будут зарегистроированы в автоматическом режиме.
| Scroll Pagebreak |
|---|
Включение функционала WLC
Активируем работу WLC и сохраняем настройки:
...
- Синхронизация списков соседних точек доступа стандарта 802.11k, который позволяет клиенту при ослабевании сигнала с текущей точки доступа искать более подходящую точку доступа из рекомендуемого списка, а не анализируя весь эфир.
Scroll Pagebreak - Согласование ключей между точками доступа для роуминга стандарта 802.11r, который позволяет значительно ускорять процесс переключения клиента между точками доступа, т.к. клиенту не нужно будет проходить повторную полную авторизацию на встречной точке доступа, только ускоренную.
...
Сценарий балансировки клиентов на ТД:Scroll Pagebreak
| Scroll Pagebreak |
|---|
| Информация |
|---|
В случае если стоит флаг "Use all AP for Balance" в конфигурации AirTune, то пункт Поиск соседствующих точек в эфире будет пропущен, рассылка будет осуществляться всем ТД, находящимся в одном домене; |
2) Далее начинаются сценарии работы балансировщика. При подключении нового клиента с ТД на сервер отправляется сообщение "rrm-client-assoc", в котором содержится MAC-адрес клиента, SSID к которому клиент подключился. В случае если подключенный клиент находится в зоне уверенного приема и ТД не является загруженной, сервисом никаких действий не предпринимается, отправляется только сообщение "RRM-Client-Assoc-Ack" для портальных клиентов, после него ТД разблокирует клиентов для доступа в интернет (если пользователь уже авторизовался на портале);
3) Если при подключении клиента данная точка является загруженной (превышен лимит клиентов) или клиент имеет сигнал ниже установленного уровня, сервер инициирует процесс балансировки этого клиента;
4) Сервис отправляет "соседним" ТД, на которых настроен такой же SSID сообщение "rrm-probe-request", чтобы определить с каким уровнем сигнала ТД "видят" данного клиента;
5) ТД отвечают сообщением "rrm-probe-response", в котором указывают уровень сигнала RSSI;
6) Если сервер не нашел подходящей точки для клиента, он оставляет его на текущей. Если оптимальная точка найдена, клиента отключаем от текущей ТД командой "rrm-disassoc-request", на всех остальных, кроме оптимальной, блокируем клиента командой "rrm-blacklist", таким образом клиент видит в эфире только 1 целевую ТД и произойдет переключение клиента (роуминг).
| Информация |
|---|
Балансировка клиентов между точками доступа происходит в рамках одного интерфейса (2.4 ГГц или 5 ГГц). Если клиент подключился в 2.4 ГГц к загруженной ТД, то его балансировка на свободный интерфейс 5 ГГц второй точки доступа происходить не будет, только на аналогичный интерфейс (2.4 ГГц). |
| Предупреждение |
|---|
Если клиентское устройство поддерживает функционал рандомизации MAC-адреса в Probe Request, то для таких клиентов функционал работать не будет, т.к. анализ уровня сигнала от клиента на соседних точках доступа основывается на менеджмент-пакетах от клиента (Probe request). |
| Scroll Pagebreak |
|---|
По умолчанию все необходимые настройки для работы сервиса настроены, нужно только указать IP-адрес контроллера, который виден точкам доступа, включить сервис, создать профиль и привязать его к локации.
Настройки производятся в режиме конфигурирования (config) раздела настройки контроллера WLC (config-wlc).
Шаг | Описание | Команда | Ключи |
|---|---|---|---|
1 | Перейти в раздел конфигурирования WLC. | wlc-30# configure wlc-30(config-wlc)# | |
| 2 | Создать Создать профиль AirTune. | wlc-30(config-wlc)# airtune-profile <NAME> wlc-30(config-airtune-profile)#exit wlc-30(config-wlc)# | <NAME> – название профиля, задается строкой до 235 символов. |
| 3 | Перейти в локацию, для которой требуется автоматическая оптимизация настроек точек доступа. | wlc-30(config-wlc)# ap-location <NAME> wlc-30(config-wlc-ap-location)# | <NAME> – название профиля локации, задается строкой до 235 символов. |
| 4 | Привязать созданный профиль к локации. | wlc-30(config-wlc-ap-location)# airtune-profile <NAME> wlc-30(config-wlc-ap-location)#exit wlc-30(config-wlc)# | <NAME> – название профиля локации, задается строкой до 235 символов. |
| 5 | Перейти в раздел общих настроек сервиса. | wlc-30(config-wlc)# airtune wlc-30(config-airtune)# | |
| 6 | Активировать работу сервиса. | wlc-30(config-airtune)# enable wlc-30(config-airtune)#end | |
| 7 | Указать IP-адрес контроллера, который виден точкам доступа. | wlc-30(config-wlc)# outside-address <ADDR> | <ADDR> – IP-адрес контроллера, задаётся в виде: AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. |
...