EN WLC
Дерево страниц

Сравнение версий

Старая версия 3

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Отдел Документации

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Step

Description

Command

Keys

1Configure local RADIUS server and enter its configuration mode.

wlc(config)# radius-server local

wlc(config-radius)#


2Enable local RADIUS server.wlc(config-radius)# enable
3Add NAS and enter its configuration mode.

wlc(config-radius)# nas <NAME>

wlc(config-radius-nas)#

<NAME> – NAS name, specified by a string of up to 235 characters.
4Specify the authentication key.

wlc(config-radius-nas)# key ascii-text { <KEY> | encrypted <ENCRYPTED-KEY> }

<KEY> – a string of [4..64] ASCII characters;

<ENCRYPTED-KEY> – encrypted key, specified by a string of [8..128] characters.

5Specify the network.wlc(config-radius-nas)# network <ADDR/LEN><ADDR/LEN> – IP address and subnet mask, specified as AAA.BBB.CCC.DDD/EE, where each part of AAA – DDD takes values [0..255] and EE takes values [1..32].
6Create a domain.wlc(config-radius)# domain <NAME><NAME> – domain ID, specified by a string of up to 235 characters.
7Configure virtual RADIUS server and enter its configuration mode.

wlc(config-radius)# virtual-server <NAME>

wlc(config-radius-vserver)#

<NAME> – virtual RADIUS server name, specified by a string of up to 235 characters.
8Enable virtual RADIUS server.wlc(config-radius-vserver)# enable
9

Add RADIUS server to the list of used servers and enter server configuration mode.

wlc(config)# radius-server host
{ <IP-ADDR> | <IPV6-ADDR> }
[ vrf <VRF> ]

wlc(config-radius-server)#

<IP-ADDR> – RADIUS server IP address, specified as AAA.BBB.CCC.DDD, where each part takes values [0..255];

<IPV6-ADDR> – RADIUS server IPv6 address, specified as X:X:X:X::X, where each part takes values in HEX [0..FFFF];

<VRF> – VRF name, specified by a string of up to 31 characters.

10Specify the authentication key.

wlc(config-radius-server)# key ascii-text { <KEY> | encrypted <ENCRYPTED-KEY> }

<KEY>  – string of [4..64] ASCII characters;

<ENCRYPTED-KEY> – encrypted key, specified by a string of [8..128] characters.

11

Create AAA profile and enter its configuration mode.

wlc(config)# aaa radius-profile <NAME>

wlc(config-aaa-radius-profile)#

<NAME> – server profile name, specified by a string of up to 31 characters.

12

Specify RADIUS server in AAA profile.

wlc(config-aaa-radius-profile)# radius-server host
{ <IP-ADDR> | <IPV6-ADDR> }

<IP-ADDR> – RADIUS server IP address, specified as AAA.BBB.CCC.DDD, where each part takes values [0..255];

<IPV6-ADDR> – RADIUS server IPv6 address, specified as X:X:X:X::X, where each part takes values in HEX [0..FFFF].

13Switch to SoftGRE controller configuration settings.

wlc(config)# softgre-controller

wlc(config-softgre-controller)#


14Specify router IP address to be used as a source IP address in sent RADIUS packets.wlc(config-softgre-controller)# nas-ip-address <ADDR><ADDR> – source IP address, specified as AAA.BBB.CCC.DDD, where each part takes values [0..255].
15Set SoftGRE DATA tunnels configuration mode.wlc(config-softgre-controller)# data-tunnel configuration { local | radius | wlc}

local – режим конфигурации, при котором параметры SoftGRE DATA туннелей получаются из локальной конфигурации маршрутизатора;

radius – режим, при котором параметры SoftGRE DATA туннелей запрашиваются у RADIUS-сервера;

wlc – режим, при котором параметры SoftGRE DATA туннелей запрашиваются у WLC.

16Specify ААА profile.wlc(config-softgre-controller)# aaa radius-profile <NAME><NAME> – server profile name, specified by a string of up to 31 characters.
17

Disable the exchange of ICMP messages that are used to check the availability of remote Wi-Fi tunnel gateway controller.

wlc(config-softgre-controller)# keepalive-disable
18Allow traffic in user vlan.

wlc(config-softgre-controller)# service-vlan add {<VLAN-ID> | <LIST_ID> | <RANGE_ID> }

<VLAN-ID> – vlan number, in which the user traffic passes, takes values [2..4094];

<LIST_ID> – vlan list, comma-separated (1,2,3), takes values [2..4094];

<RANGE_ID> – vlan range, dash-separated (1-3), takes values [2..4094].

19Enable Wi-Fi controller.

wlc(config-softgre-controller)# enable


20Switch to SoftGRE tunnel settings.

wlc(config)# tunnel softgre <TUN>

<TUN> – device tunnel name, specified in the form described in section Типы и порядок именования туннелей маршрутизатора.
21Set SoftGRE tunnel operating mode.wlc(config-softgre)# mode <MODE>

<MODE> – tunnel operating mode, possible options:

  • data – data mode;
  • management – management mode.
22

Set the local tunnel gateway IP address.

wlc(config-softgre)# local address <ADDR><ADDR> – local gateway IP address, specified as AAA.BBB.CCC.DDD, where each part takes values [0..255].
23

Enable the SoftGRE tunnel configuration use for automatic tunneks creations with the same mode and local address.

wlc(config-softgre)# default-profile 
24Enable tunnel.wlc(config-softgre)# enable 
25

Switch to the controller configuration.

wlc(config)# wlc


26

Create a profile for access points general settings configuration.

wlc(config-wlc)# ap-profile <NAME>

wlc(config-wlc-ap-profile)#

<NAME> – profile name, specified by a string of up to 235 characters.
27Set a password for access points connection.

wlc(config-wlc-ap-profile)# password ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> }

wlc(config-wlc-ap-profile)# exit

<CLEAR-TEXT> – password, specified by [8-64] characters.

<HASH_SHA512> – sha512 password hash, specified by [16-128] characters.

28Create a configuration profile for the radio interface operating in the 2.4 GHz frequency range.

wlc(config-wlc)# radio-2g-profile <NAME>

<NAME> – profile name, specified by a string of up to 235 characters.
29Configure the automatic channel bandwidth reduction mode when the airwaves are busy.

wlc(config-wlc-radio-2g-profile)# obss-coexistence {on | off}


on  automatic channel bandwidth reduction mode is enabled;

off  automatic channel bandwidth reduction mode is disabled;

30Set the radio interface operation mode.wlc(config-wlc-radio-2g-profile)# work-mode <WORK-MODE>

<WORK-MODE> – operation mode, possible options:

  • bg, nax, bgnax – for 2.4 GHz frequency range.
31Set the channel list for dynamic channel selection.

wlc(config-wlc-radio-2g-profile)# limit-channels <CHANNEL>[,<CHANNEL>]

<CHANNEL> – number of the channel used, possible options:
For 2g channels chose from the bandwidth:
[1.. 13].

32Set the channel bandwidth.wlc(config-wlc-radio-2g-profile)# bandwidth <BANDWIDTH>

<BANDWIDTH> – channel bandwidth, possible options:

  • 20;
  • 40L;
  • 40U.
33Set the power level for radio interface.wlc(config-wlc-radio-2g-profile)# tx-power {minimal | low | middle | high | maximal}


Возможные значения параметра в зависимости от модели точки доступа устанавливают следующие значения мощности в дБмThe possible values of the parameter, depending on the access point model, set the following power values in dBm:


2.4 GHz

minlowmiddlehighmax
WEP-1L1112141516
WEP-2L1112141516
WOP-2L1112141516
WOP-20L810121416
WEP-200L47101316
WEP-30L0481216
WOP-30L0481216
WOP-30LS036911
WEP-3ax68111416


34

Create a configuration profile for the radio interface operating in the 5 GHz frequency range.

wlc(config-wlc)# radio-5g-profile <NAME>

<NAME> – название профиля, задается строкой до 235 символов– profile name, specified by a string of up to 235 characters.
35Configure the automatic channel bandwidth reduction mode when the airwaves are busy.wlc(config-wlc-radio-5g-profile)# obss-coexistence {on | off}

on – режим автоматического уменьшения ширины канала активирован;

off – режим автоматического уменьшения ширины канала выключенon – automatic channel bandwidth reduction mode is enabled;

off – automatic channel bandwidth reduction mode is disabled.

36Set the radio interface operation mode.wlc(config-wlc-radio-5g-profile)# work-mode <WORK-MODE>

<WORK-MODE> – режим работы, доступные значенияoperation mode, possible options:

  • anacax – для частотного диапазона 5 ГГцfor 5 GHz frequency range.
37Set the channel list for dynamic channel selection.

wlc(config-wlc-radio-5g-profile)# limit-channels <CHANNEL>[,<CHANNEL>]

<CHANNEL> – номер используемого канала, доступные значения:
Для 5g каждый 4 канал из диапазонов– number of the channel used, possible options:
For 5g each 4 channel chose from the bandwidth:
[36.. 64]
[100.. 144]
[149.. 165]

38Set the channel bandwidth.wlc(config-wlc-radio-5g-profile)# bandwidth <BANDWIDTH>

<BANDWIDTH> – ширина канала, доступные значенияchannel bandwidth, possible options:

  • 20;
  • 40L;
  • 40U;
  • 80.
39Set the power level for radio interface.wlc(config-wlc-radio-5g-profile)# tx-power {minimal | low | middle | high | maximal}


Возможные значения параметра в зависимости от модели точки доступа устанавливают следующие значения мощности в дБм:The possible values of the parameter, depending on the access point model, set the following power values in dBm: 


5 GHz
minlowmiddlehighmax
WEP-1L1113151719
WEP-2L1113151719
WOP-2L1113151719
WOP-20L1113151719
WEP-200L811141719
WEP-30L05101519
WOP-30L05101519
WOP-30LS036911
WEP-3ax1012151719


40Set the dynamic frequency selection mode.wlc(config-wlc-radio-5g-profile)# dfs {auto | disabled | forced}

auto — механизм включенenabled;

disabled— механизм выключен. DFS-каналы не доступны для выбораdisabled — disabled. DFS channels are not available for selection;

forced — механизм выключен. DFS-каналы доступны для выбора;disabled. DFS channels are available for selection.

41Create a RADIUS server configuration profile.

wlc(config-wlc)# radius-profile <RADIUS-ID>

wlc(config-wlc-radius-profile)#

<RADIUS-ID> – идентификатор RADIUS -сервера, задается строкой до 235 символовserver ID, specified by a string of up to 235 characters.
42Specify the RADIUS server IP address that is responsible for authentication.wlc(config-wlc-radius-profile)# auth-address <ADDR><ADDR> – IP-адрес RADIUS-сервера, задаётся в виде: AAARADIUS server IP address, specified as AAA.BBB.CCC.DDD, где каждая часть принимает значения  where each part takes values [0..255].
43Specify the RADIUS server password that is responsible for authentication.wlc(config-wlc-radius-profile)# auth-password ascii-text { <CLEAR-TEXT> | encrypted <HASH_SHA512> }

<CLEAR-TEXT> – парольpassword, задаётся строкой specified by [8-64] символаcharacters.

<HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой sha512 password hash, specified by [16-128] символовcharacters.

44Specify the domain.
wlc(config-wlc-radius-profile)# domain <NAME> <NAME> – идентификатор домена, задается строкой до 235 символовdomain ID, specified by a string of up to 235 characters.
45Create SSID configuration profile.

wlc(config-wlc)# ssid-profile <NAME>

wlc(config-wlc-ssid-profile)#

<NAME> – название профиля SSID , задается строкой до 235 символовprofile name, specified by a string of up to 235 characters.
46Set profile description.wlc(config-wlc-ssid-profile)# description <DESCRIPTION>

<DESCRIPTION> – произвольное описание, задается строкой до 255 символовdescription, specified by a string of up to 255 characters.

47Configure the frequency range in which the SSID will broadcast.wlc(config-wlc-ssid-profile)# band <BAND>

<BAND> – диапазон частот, доступные значенияfrequency range, possible options:

  • 2g;
  • 5g.
48Specify user vlan.wlc(config-wlc-ssid-profile)# vlan-id <ID><ID> – идентификатор vlan , принимает значения в диапазоне ID, takes values [0-4094].
49Set the SSID connection security mode.wlc(config-wlc-ssid-profile)# security-mode <MODE>

<MODE> – режим безопасности, доступные значенияsecurity mode, possible options

  • WPA;
  • WPA2;
  • WPA2_1X;
  • WPA2_WPA3;
  • WPA2_WPA3_1X;
  • WPA3;
  • WPA3_1X;
  • WPA_1X;
  • WPA_WPA2;
  • WPA_WPA2_1X;
  • off.

Режим безопасности WPA3 поддерживается только на точках доступа моделей WPA3 security mode is supported only on WEP-3ax, WEP-30L, WOP-30L, WOP-30LS access points.

При выборе смешанного режима безопасности (напримерIf mixed security mode (e.g., WPA2_WPA3) WPA3 будет применен только для тех точек доступа, которые его поддерживают, для остальных будет применен второй режим is selected, WPA3 will be applied only to APs that support it, and the other APs will use the second mode (WPA2).

50Specify the RADIUS server profile.wlc(config-wlc-ssid-profile)# radius-profile <RADIUS-ID><RADIUS-ID> – идентификатор RADIUS -сервера, задается строкой до 235 символовserver ID, specified by a string of up to 235 characters.
51Specify the SSID name that will broadcast to users.wlc(config-wlc-ssid-profile)# ssid <NAME><NAME> – название SSID , задается строкой до 32 символов. Названия, содержащие пробел, необходимо заключать в кавычкиname, specified by a string of up to 32 characters. Titles containing a space must be enclosed in quotation marks.
52Enable SSID.wlc(config-wlc-ssid-profile)# enable
53Create the location profile.

wlc(config-wlc)# ap-location <NAME>

wlc(config-wlc-ap-location)#

<NAME> – название профиля локального конфигурирования, задается строкой до 235 символовlocal configuration profile name , specified by a string of up to 235 characters.
54Set profile description.wlc(config-wlc-ap-location)# description <DESCRIPTION>

<DESCRIPTION> – произвольное описание, задается строкой до 255 символовdescription, specified by a string of up to 255 characters.

55Specify the radio interface configuration profiles for the access points.

wlc(config-wlc-ap-location)# radio-5g-profile <NAME>

wlc(config-wlc-ap-location)# radio-2g-profile <NAME>

<NAME> – название профиля, задается строкой до 235 символовprofile name, specified by a string of up to 235 characters.
56

Specify the general settings profile for the access points.

wlc(config-wlc-ap-location)# ap-profile <PROFILE-ID> <PROFILE-ID> – идентификатор профиля, задается строкой до 235 символов и должен совпадать с названием описанного профиля из profile ID, specified by a string of up to 235 characters and must match the name of the described profile from ap-profile.
57Specify the SSID profile to be assigned to the access points.wlc(config-wlc-ap-location)# ssid-profile <NAME>

<NAME> – название профиля SSID , задается строкой до 235 символовprofile name, specified by a string of up to 235 characters.

58Create an address space for accessing the controller.

wlc(config-wlc)# ip-pool <NAME>

wlc(config-wlc-ip-pool)#

<NAME> – название адресного пространства, задается строкой до 235 символовaddress space name, specified by a string of up to 235 characters.
59Specify the access points network.
wlc(config-wlc-ip-pool)# network <ADDR/LEN>


<ADDR/LEN> – IP -адрес и маска подсети, задаётся в виде address and network mask, specified as AAA.BBB.CCC.DDD/EE, где каждая часть where each part of AAA – DDD принимает значения takes values [0..255] и and EE принимает значения takes values [1..32].

60

Specify the location profile name that is applied to the specified address space.

wlc(config-wlc-ip-pool)# ap-location <NAME><NAME> – название локации, задается строкой до 235 символовlocation name, specified by a string of up to 235 characters.
61Switch to the service activator settings.

wlc(config-wlc)# service-activator

wlc(config-wlc-service-activator)#


62

Configure automatic registration of access points on the controller.

wlc(config-wlc-service-activator)# aps join auto
63Specify the controller IP address that is visible for access points.wlc(config-wlc)# outside-address <ADDR><ADDR> – controller IP -адрес контроллера, задаётся в виде: AAAaddress, specified as AAA.BBB.CCC.DDD, где каждая часть принимает значения where each part takes values [0..255].
64Enable the controller.wlc(config-wlc)# enable

...


Configuration example

Задача

Организовать управление беспроводными точками доступа с помощью контроллера WLC. В частности, необходимо настроить подключение точек доступа, обновить и сконфигурировать их для предоставления доступа до ресурсов Интернет авторизованным пользователям Wi-Fi.

...

Task

Organize the management of wireless access points using the WLC controller. In particular, it is necessary to configure the connection of access points, update and configure them to provide access to Internet resources to authorized Wi-Fi users.

Подсказка

The configuration example is based on the factory configuration for a scheme with SoftGRE tunneling.


Drawio
bordertrue
viewerToolbartrue
fitWindowfalse
diagramNameWLC gre [2]
simpleViewertrue
width
linksauto
tbstyletop
lboxtrue
diagramWidth798
revision2

Решение

...

Solution

The solution provides automatic connection of access points to the WLC controller. When connecting to the network, the access point requests an address via DHCP and receives the URL of the access point initialization service in the 43 (vendor specific) опции DHCP option.

Получив данную опцию, точка доступа приходит на контроллер и появляется в базе обслуживаемых точек доступа (команда для мониторинга спискаHaving received this option, the access point enters to the controller and is displayed in the database of served access points (command for monitoring the list: show wlc ap). Далее контроллер инициализирует ее в соответствии со своей конфигурацией:

  1. Выполняет обновление, если версия ПО на точке доступа не соответствует версии, которая размещена на контроллере.
  2. Устанавливает пароль доступа.
  3. Выполняет конфигурирование в соответствии с настройками для данной локации (ap-location): выбранным профилем конфигурации для данного типа точек доступа и SSID.

Точки доступа могут быть подключены к контроллеру WLC через L2- или L3-сеть предприятия. 

Выделение и настройка VLAN при подключении новых точек доступа может оказаться трудоемкой задачей, особенно если на сети предприятия между точками доступа и контроллером используется большое количество коммутаторов. Поэтому заводская конфигурация WLC предполагает построение SoftGRE DATA туннелей для передачи пользовательского трафика. Такое решение даже в L2-сети позволяет упростить подключение точек доступа, так как отсутствует необходимость прокидывать VLAN для каждого SSID через все коммутаторы.

При организации связи в L3-сети необходимо обеспечить настройку DHCP-relay на оборудовании сети предприятия для перенаправления DHCP-запросов точек доступа на WLC, где настроен пул IP-адресов для управления точками доступа, а также выдача 43 опции 15 подопции DHCP, содержащая URL контроллера.

Последовательность настройки контроллера беспроводных сетей WLC:

  1. Настройка интерфейсов, сетевых параметров и firewall.
  2. Настройка контроллера для организации SoftGRE DATA туннелей.
  3. Настройка DHCP-сервера. 
  4. Настройка RADIUS-сервера.
  5. Настройка модуля управления точками доступа WLC:
    • Настройка SSID.
    • Настройка профилей конфигурации для каждого типа точек доступа.
    • Создание локации (ap-location) и определение правил конфигурирования точек доступа, входящих в данную локацию.
    • Определение подсетей обслуживаемых точек доступа.
  6. Настройка обновления точек доступа.
Настройка интерфейсов, сетевых параметров и firewall

...

The controller then initializes it according to its configuration:

  1. Performs an update if the software version on the access point does not match the version that is hosted on the controller.
  2. Sets the access password.
  3. Performs configuration according to the settings for this location (ap-location): the selected configuration profile for this type of access point and SSID.

Access points can be connected to the WLC controller through the enterprise L2 or L3 network.  

Сonfiguring VLANs when new APs are connected can be a time-consuming task, especially if the enterprise network uses a large number of switches between the APs and the controller. Therefore, the factory configuration of WLC assumes the construction of SoftGRE DATA tunnels for the transfer of user traffic. This solution even in L2 network allows to simplify access points connection, as there is no need to route VLAN for each SSID through all switches.

When organizing communication in L3 network, it is necessary to ensure DHCP relay configuration on the enterprise network equipment to redirect access points' DHCP requests to the WLC, where a pool of IP addresses for access points management is configured, as well as to issue 43 option 15 of the DHCP suboption containing the controller URL.

WLC configuration procedure:

  1. Configuring interfaces, network settings and firewall.
  2. Configuring the controller for SoftGRE DATA tunnels organization.
  3. Configuring the DHCP server. 
  4. Configuring the RADIUS server.
  5. Configuring the WLC access point management module:
    • Configuring SSID.
    • Setting up configuration profiles for each type of access point.
    • Creating a location (ap-location) and defining configuration rules for access points included in this location.
    • Defining the subnets of the APs to be served.
  6. Configuring access point updates.
Interface, network parametes and firewall configuration

Configure TCP/UDP port profiles for the required services

Блок кода
languagevb
wlc# configure

wlc(config)# object-group service ssh
wlc(config-object-group-service)# port-range 22
wlc(config-object-group-service)# exit

wlc(config)# object-group service dns
wlc(config-object-group-service)# port-range 53
wlc(config-object-group-service)# exit

wlc(config)# object-group service dhcp_server
wlc(config-object-group-service)# port-range 67
wlc(config-object-group-service)# exit

wlc(config)# object-group service dhcp_client
wlc(config-object-group-service)# port-range 68
wlc(config-object-group-service)# exit

wlc(config)# object-group service ntp
wlc(config-object-group-service)# port-range 123
wlc(config-object-group-service)# exit

wlc(config)# object-group service netconf
wlc(config-object-group-service)# port-range 830
wlc(config-object-group-service)# exit

wlc(config)# object-group service radius_auth
wlc(config-object-group-service)# port-range 1812
wlc(config-object-group-service)# exit

wlc(config)# object-group service sa
wlc(config-object-group-service)# port-range 8043-8044
wlc(config-object-group-service)# exit

wlc0(config)# object-group service airtune
wlc(config-object-group-service)# port-range 8099
wlc(config-object-group-service)# exit

Создайте три зоны безопасности — зона пользователей (users), доверенная зона для точек доступа (trusted) и недоверенная зона для выхода в Интернет (untrustedCreate three security zones  — user, trusted and untrusted (for Internet access):

Блок кода
languagevb
wlc(config)# security zone users
wlc(config-zone)# exit

wlc(config)# security zone trusted
wlc(config-zone)# exit

wlc(config)# security zone untrusted
wlc(config-zone)# exit

Scroll Pagebreak

Настройте правила Configure firewall rules:

Блок кода
languagevb
wlc(config)# security zone-pair trusted untrusted
wlc(config-zone-pair)# rule 1
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# exit
wlc(config)# security zone-pair trusted trusted
wlc(config-zone-pair)# rule 1
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# exit
wlc(config)# security zone-pair trusted self
wlc(config-zone-pair)# rule 10
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol tcp
wlc(config-zone-pair-rule)# match destination-port ssh
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# rule 20
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol icmp
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# rule 30
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol udp
wlc(config-zone-pair-rule)# match source-port dhcp_client
wlc(config-zone-pair-rule)# match destination-port dhcp_server
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# rule 40
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol udp
wlc(config-zone-pair-rule)# match destination-port ntp
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# rule 50
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol tcp
wlc(config-zone-pair-rule)# match destination-port dns
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# rule 60
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol udp
wlc(config-zone-pair-rule)# match destination-port dns
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# rule 70
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol tcp
wlc(config-zone-pair-rule)# match destination-port netconf
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit

...

Блок кода
languagevb
wlc(config-zone-pair)# rule 80
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol tcp
wlc(config-zone-pair-rule)# match destination-port sa
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# rule 90
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol udp
wlc(config-zone-pair-rule)# match destination-port radius_auth
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# rule 100
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol gre
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# exit
wlc(config)# security zone-pair users self
wlc(config-zone-pair)# rule 10
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol icmp
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# rule 20
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol udp
wlc(config-zone-pair-rule)# match source-port dhcp_client
wlc(config-zone-pair-rule)# match destination-port dhcp_server
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# rule 30
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol tcp
wlc(config-zone-pair-rule)# match destination-port dns
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# rule 40
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol udp
wlc(config-zone-pair-rule)# match destination-port dns
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# exit
wlc(config)# security zone-pair untrusted self
wlc(config-zone-pair)# rule 1
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# match protocol udp
wlc(config-zone-pair-rule)# match source-port dhcp_server
wlc(config-zone-pair-rule)# match destination-port dhcp_client
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# exit
wlc(config)# security zone-pair users untrusted
wlc(config-zone-pair)# rule 1
wlc(config-zone-pair-rule)# action permit
wlc(config-zone-pair-rule)# enable
wlc(config-zone-pair-rule)# exit
wlc(config-zone-pair)# exit

Настройте Configure NAT:

Блок кода
languagexml
wlc(config)# nat source
wlc(config-snat)# ruleset factory
wlc(config-snat-ruleset)# to zone untrusted
wlc(config-snat-ruleset)# rule 10
wlc(config-snat-rule)# description "replace 'source ip' by outgoing interface ip address"
wlc(config-snat-rule)# action source-nat interface
wlc(config-snat-rule)# enable
wlc(config-snat-rule)# exit
wlc(config-snat-ruleset)# exit
wlc(config-snat)# exit

Создайте Create VLAN для for uplink:

Блок кода
languagevb
wlc(config)# vlan 2
wlc(config-vlan)# exit

Создайте пользовательский Create user VLAN:

Блок кода
languagevb
wlc(config)# vlan 3
wlc(config-vlan)# force-up
wlc(config-vlan)# exit

Создайте интерфейсы для взаимодействия с подсетями управления точками доступа, пользователей Wi-Fi и ИнтернетCreate interfaces to interact with access point management subnets, Wi-Fi users, and the Internet:

Блок кода
languagevb
#Конфигурируем#Configure параметрыinterface интерфейсаparameters дляfor точекaccess доступаpoints:
wlc(config)# bridge 1
wlc(config-bridge)# vlan 1
wlc(config-bridge)# security-zone trusted
wlc(config-bridge)# ip address 192.168.1.1/24
wlc(config-bridge)# enable
wlc(config-bridge)# exit

#Конфигурируем#Configure параметрыparameters публичногоfor интерфейсаpublic interface:
wlc(config)# bridge 2
wlc(config-bridge)# vlan 2
wlc(config-bridge)# security-zone untrusted
wlc(config-bridge)# ip address dhcp
wlc(config-bridge)# enable
wlc(config-bridge)# exit

#Конфигурируем#Configure параметрыinterface интерфейсаparameters дляfor пользователей Wi-Fi users: 
wlc(config)# bridge 3
wlc(config-bridge)# security-zone users
wlc(config-bridge)# ip address 192.168.2.1/24
wlc(config-bridge)# vlan 3
wlc(config-bridge)# enable
wlc(config-bridge)# exit

Scroll Pagebreak
Настройте портыConfigure ports:

Блок кода
languagevb
#Конфигурируем#Configure интерфейсыinterfaces дляfor uplink:
wlc(config)# interface gigabitethernet 1/0/1
wlc(config-if-gi)# mode switchport
wlc(config-if-gi)# switchport access vlan 2
wlc(config-if-gi)# exit
wlc(config)# interface tengigabitethernet 1/0/1
wlc(config-if-te)# mode switchport
wlc(config-if-te)# switchport access vlan 2
wlc(config-if-te)# exit


#Конфигурируем#Configure интерфейсыinterfaces дляfor подключенияaccess точекpoints доступаconnection:
wlc(config)# interface gigabitethernet 1/0/2
wlc(config-if-gi)# mode switchport
wlc(config-if-gi)# exit
wlc(config)# interface gigabitethernet 1/0/3
wlc(config-if-gi)# mode switchport
wlc(config-if-gi)# exit
wlc(config)# interface gigabitethernet 1/0/4
wlc(config-if-gi)# mode switchport
wlc(config-if-gi)# exit
wlc(config)# interface tengigabitethernet 1/0/2
wlc(config-if-te)#  mode switchport
wlc(config-if-te)# exit

Включите разрешениеDNS-именEnable DNS name resolution:

Блок кода
languagevb
wlc(config)# domain lookup enable

Настройте профиль для поднятия туннелейConfigure profile to raise tunnels:

Блок кода
languagevb
wlc(config)# tunnel softgre 1
wlc(config-softgre)# mode data
wlc(config-softgre)# local address 192.168.1.1
wlc(config-softgre)# default-profile
wlc(config-softgre)# enable
wlc(config)# exit

Scroll Pagebreak

...

DHCP

...

server configuration
Примечание

Необходимо обязательно указывать NTP-сервер, т.к. корректное время позволяет пройти проверку валидности сертификатов.

...

It is obligatory to specify NTP server, because correct time allows to pass certificate validity check.

Configure the address space for the devices to be connected to the controller:

Блок кода
languagediff
wlc(config)# ip dhcp-server pool ap-pool

#Определяем#Define подсетьthe subnetwork:
wlc(config-dhcp-server)# network 192.168.1.0/24

#Задаем#Specify диапазонthe выдаваемыхrange IP-адресовof IP addresses to be issued:
wlc(config-dhcp-server)# address-range 192.168.1.2-192.168.1.254

#Шлюз#Default поgateway умолчанию.is Имthe являетсяaddress адресof бриджаAP управленияcontrol ТДbridge:
wlc(config-dhcp-server)# default-router 192.168.1.1

#Выдаем#Issue адрес DNS-сервераDNS sever address:
wlc(config-dhcp-server)# dns-server 192.168.1.1

#Необходимо#It обязательноis указыватьobligatory NTP-сервер, т.к. корректное время позволяет пройти проверку валидности сертификатов.

#Выдаем 42 опцию DHCP, содержащую адрес NTP-сервера, для синхронизации времени на точках доступаto specify NTP server, because correct time allows to pass certificate validity check.

#Issue 42 DHCP option, which includes NTP server address, for time synchronization on access points:
wlc(config-dhcp-server)# option 42 ip-address 192.168.1.1

#Выдаем#Issue 43 vendor specific опциюDHCP DHCPoption, котораяwhich содержитincludes:

- 12 подопциюsuboption, необходимуюwhich дляis построенияneeded for SoftGRE data туннелейtunnels building. ОпцияOption содержитincludes IP-адрес softgre-интерфейса контроллераadress of controller SoftGRE interface.
wlc(config-dhcp-server)# vendor-specific
wlc(config-dhcp-server-vendor-specific)# suboption 12 ascii-text "192.168.1.1"

- 15 подопциюsuboption, необходимуюwhich дляis того,needed чтобыfor точкаaccess доступаpoint автоматическиto пришлаautomatically наreach контроллерthe иcontroller включиласьand вgot работуinvolved подunder егоcontroller's управлениемmanagement. ОпцияOption содержитincludes controller HTTPS URL контроллера.
wlc(config-dhcp-server-vendor-specific)# suboption 15 ascii-text "https://192.168.1.1:8043"
wlc(config-dhcp-server-vendor-specific)# exit
wlc(config-dhcp-server)# exit

Настройте адресное пространство для пользователейConfigure the address space for users:

Блок кода
languagevb
wlc(config)# ip dhcp-server pool users-pool

#Определяем#Define подсетьthe network:
wlc(config-dhcp-server)# network 192.168.2.0/24

#Задаем#Define диапазонthe выдаваемыхrange пользователям of IP addresses to be issued to Wi-Fi IP-адресовusers:
wlc(config-dhcp-server)# address-range 192.168.2.2-192.168.2.254

#Шлюз#Default по умолчаниюgateway:
wlc(config-dhcp-server)# default-router 192.168.2.1

#Выдаем#Issue адресthe DNS-сервераadress of DNS server:
wlc(config-dhcp-server)# dns-server 192.168.2.1
wlc(config-dhcp-server)# exit

Scroll Pagebreak

Настройка RADIUS-сервера

...

RADIUS server configuration

Configure local RADIUS server

Блок кода
languagevb
wlc(config)# radius-server local

#Настраиваем#Configure NAS ap. СодержитContains подсетиthe точекAP доступа,subnets которыеthat будутwill обслуживатьсяbe локальным RADIUS-сервером при Enterprise-авторизации пользователей served by the local RADIUS server when Enterprise-authorizing Wi-Fi users:
wlc(config-radius)# nas ap
wlc(config-radius-nas)# key ascii-text password
wlc(config-radius-nas)# network 192.168.1.0/24
wlc(config-radius-nas)# exit

#Настраиваем#Configure NAS local. ИспользуетсяUsed приwhen обращении WLC кaccesses локальномуlocal RADIUS-серверу приserver построенииwhen building SoftGRE-туннелей tunnels:
wlc(config-radius)# nas local
wlc(config-radius-nas)# key ascii-text password
wlc(config-radius-nas)# network 127.0.0.1/32
wlc(config-radius-nas)# exit

#Создаем#Create доменuser для пользователейdomain:
wlc(config-radius)# domain default

#Создаем учетную запись пользователя #Create Wi-Fi дляuser подключенияaccount к to connect to the Enterprise SSID:
wlc(config-radius-domain)# user name1
wlc(config-radius-user)# password ascii-text password1
wlc(config-radius-user)# exit
wlc(config-radius-domain)# exit

#Настройки#The виртуальногоvirtual сервераserver содержатsettings номераcontain портовport дляnumbers аутентификацииfor иauthentication аккаунтингаand accounting, настройкиproxying проксированияsettings наto внешнийthe external RADIUS server. ИспользованиеUsing стандартныхstandard портовports (1812 дляfor аутентификацииauthentication иand 1813 дляfor аккаунтингаaccounting) неdoes требуетnot настройкиrequire configuration. ВIn такомthis случаеcase, достаточноenabling простоthe включенияvirtual виртуальногоserver сервераis (enable)sufficient.
wlc(config-radius)# virtual-server default
wlc(config-radius-vserver)# enable
wlc(config-radius-vserver)# exit
wlc(config-radius)# enable
wlc(config)# exit


Предупреждение

В заводской конфигурации учетная запись пользователя не настроена в целях безопасности, поэтому для подключения к Enterprise SSID в заводской конфигурации необходимо создать учетную запись.

...

In the factory configuration, the user account is not configured for security purposes, so you must create an account to connect to the Enterprise SSID in the factory configuration.

Define parameters for communication with the RADIUS server: IP address and key. Since the RADIUS server is located locally on the controller, set 127.0.0.1 . Ключ должен совпадать с ключом, указанным для nas as the host address. The key must match the key specified for nas local.

Блок кода
languagevb
wlc(config)# radius-server host 127.0.0.1
wlc(config-radius-server)# key ascii-text password
wlc(config-radius-server)# exit

Добавьте профиль AAA, укажите адрес сервера, который будет использоватьсяAdd a AAA profile, specify the server address to be used:

Блок кода
languagevb
wlc(config)# aaa radius-profile default_radius
wlc(config-aaa-radius-profile)# radius-server host 127.0.0.1
wlc(config-aaa-radius-profile)# exit

Настройте и включите функционал автоматического поднятия SoftGRE-туннелейConfigure and enable the functionality to automatically bring up SoftGRE tunnels:

Блок кода
languagevb
wlc(config)# softgre-controller

#Так#Since какthe RADIUS-сервер находитсяserver локальноis на контроллере,указываем located locally on the controller, we specify nas-ip-address 127.0.0.1:
wlc(config-softgre-controller)# nas-ip-address 127.0.0.1

#Выбираем#Choose режимthe созданияmode of creating data SoftGRE туннелейtunnels - WLC:
wlc(config-softgre-controller)# data-tunnel configuration wlc

#Выбираем#Select созданныйthe ранее ААА-профильpreviously created AAA profile:
wlc(config-softgre-controller)# aaa radius-profile default_radius
wlc(config-softgre-controller)# keepalive-disable

#Разрешаем#Enable трафикtraffic вin пользовательскомthe user vlan:
wlc(config-softgre-controller)# service-vlan add 3
wlc(config-softgre-controller)# enable
wlc(config-softgre-controller)# exit
Настройка модуля управления точками доступа WLC

...

Configuring the WLC Access Point Management Module

Move to the access point configuration nanagement module settings:

Блок кода
languagevb
wlc(config)# wlc
wlc(config-wlc)#

Настройте профиль RADIUS-сервера, который будет использоваться для аутентификации беспроводных клиентов Enterprise SSID точек доступа Wi-Fi. Если предполагается аутентификация клиентов на внешнем RADIUS-сервере, то здесь указывается его адрес и ключ. При такой настройке точка доступа будет проводить аутентификацию клиентов без участия Configure the RADIUS server profile that will be used to authenticate wireless clients with the Enterprise SSID of Wi-Fi access points. If clients are supposed to be authenticated to an external RADIUS server, its address and key are specified here. With this setting, the access point will authenticate clients without WLC.

Блок кода
languagevb
wlc(config-wlc)# radius-profile default-radius

#Так#Since какthe RADIUS-сервер находитсяserver локальноis на контроллереlocated locally on the controller, указываемwe адресspecify контроллераthe вaddress подсетиof точек доступаthe controller in the access point subnet:
wlc(config-wlc-radius-profile)# auth-address 192.168.1.1

#Ключ#RADIUS RADIUS-сервераserver долженkey совпадатьmust сmatch ключом,the указаннымkey дляspecified for the NAS ap:
wlc(config-wlc-radius-profile)# auth-password ascii-text password

#Указываем#Specify доменthe RADIUS domain. ЭтотThis доменdomain долженmust совпадатьmatch сthe доменом,domain вin которомwhich созданыthe учетныеEnterprise записиuser пользователейaccounts Enterpriseare created.
wlc(config-wlc-radius-profile)# domain default
wlc(config-wlc-radius-profile)# exit
Scroll Pagebreak

...

SSID configuration

Профиль SSID содержит настройки SSID точки доступа. Для примера приведена настройка Enterprise SSIDThe SSID profile contains the access point's SSID settings. The Enterprise SSID setting is shown as an example:

Блок кода
languagevb
wlc(config-wlc)# ssid-profile default-ssid

#Description можетcan содержатьcontain краткоеthe описаниеshort профиляprofile description:
wlc(config-wlc-ssid-profile)# description default-ssid

#SSID is названиеthe беспроводнойname сети,of котороеthe будутwireless видетьnetwork пользователиthat приusers сканировании эфираwill see when scanning the airwaves:
wlc(config-wlc-ssid-profile)# ssid default-ssid

#VLAN ID is номерthe VLAN дляnumber передачиfor пользовательскогоtransmitting трафикаuser traffic. ПриWhen передачеpassing трафика Wi-Fi клиентамtraffic меткаto будетclients, сниматьсяthe точкой доступаtag will be removed by the AP. ПриWhen прохожденииpassing трафикаtraffic вin обратнуюthe сторонуopposite наdirection, нетегированныйuntagged трафикtraffic отfrom клиентовclients меткаwill будетbe навешиватьсяtagged:
wlc(config-wlc-ssid-profile)# vlan-id 3

#Security mode – режимis the безопасностиwireless доступаnetwork кaccess беспроводнойsecurity сетиmode. ДляSelect EnterpriseWPA2_1X авторизацииmode выберитеfor режимEnterprise WPA2_1Xauthorization:
wlc(config-wlc-ssid-profile)# security-mode WPA2_1X

#Указываем#Specify профильthe настроек RADIUS-сервера, которыйserver будетsettings использоватьсяprofile дляthat авторизацииwill пользователей be used to authorize Wi-Fi users:
wlc(config-wlc-ssid-profile)# radius-profile default-radius

#Далее#Next, необходимоyou указатьmust хотяspecify быat одинleast диапазон,one вband которомin будетwhich работатьthe SSID will operate: 2.4/5 ГГцGHz:
wlc(config-wlc-ssid-profile)# band 2g
wlc(config-wlc-ssid-profile)# band 5g

#Активируем#Activate профильSSID SSIDprofile. ВIn случаеcase необходимостиit отключения is necessary to disable SSID наon всехall локацияхlocations, the SSID-профиль можноprofile выключитьcan командой be disabled with the 'no enable' command:
wlc(config-wlc-ssid-profile)# enable
wlc(config-wlc-ssid-profile)# exit
Настройка профилей конфигурации

...

Profile configuration

Create a profile of common access point settings:

Блок кода
languagevb
wlc(config-wlc)# ap-profile default-ap

#Задаем#Set парольthe дляpassword подключенияto кconnect точке доступаto the access point:
wlc(config-wlc-ap-profile)# password ascii-text password

#Если#If необходимоnecessary, можноyou активироватьcan доступenable кssh/telnet точкамaccess доступаto поthe ssh/telnetaccess иpoints web-интерфейсand the web interface:
wlc(config-wlc-ap-profile)# services
wlc(config-wlc-ap-profile-services)# ip ssh server
wlc(config-wlc-ap-profile-services)# ip telnet server
wlc(config-wlc-ap-profile-services)# ip http server
wlc(config-wlc-ap-profile)# exit

Scroll Pagebreak
Создайте профили конфигурации точек доступаCreate access point configuration profiles:

Подсказка

Для каждой точки доступа можно переопределить параметры отдельно через индивидуальный профиль. Подробную информацию о точках доступа можно найти в официальной документации по ссылке.

...

You can override the parameters for each access point separately via an individual profile. For detailed information about the access points, please refer to the official documentation.

Create a configuration profile for a radio interface operating in the 2.4 GHz frequency band:

Блок кода
languagevb
wlc(config-wlc)# radio-2g-profile default_2g

#Задаем#Set списокthe каналов,list изof которыхchannels точкаfrom доступаwhich будетthe автоматическиaccess выбиратьpoint наименееwill загруженный радиоканалautomatically select the least loaded radio channel:
wlc(config-wlc-radio-2g-profile)# limit-channels 1,6,11

#Выбираем#Select IEEE 802.11 режимradio работыinterface радиоинтерфейсаoperation mode:
wlc(config-wlc-radio-2g-profile)# work-mode bgnax

#Задаем#Set ширину радиоканалаthe radio channel bandwidth:
wlc(config-wlc-radio-2g-profile)# bandwidth 20

#Выставляем#Set мощностьthe сигналаtransmitter передатчикаsignal вstrength дБмin dBm:
wlc(config-wlc-radio-2g-profile)# tx-power maximal
wlc(config-wlc-radio-2g-profile)# exit

Создайте профиль конфигурирования радиоинтерфейса, работающего в частотном диапазоне 5 ГГцCreate a configuration profile for the radio interface operating in the 5 GHz frequency range:

Блок кода
languagevb
wlc(config-wlc)# radio-5g-profile default_5g

#Переводим#Change режимthe динамическогоdynamic выбораfrequency частотыselection вmode принудительныйto режимforced mode:
wlc(config-wlc-radio-5g-profile)# dfs forced

#Задаем#Specify списокa каналов,list изof которыхchannels точкаfrom доступаwhich будетthe автоматическиaccess выбиратьpoint наименееwill загруженный радиоканалautomatically select the least loaded radio channel:
wlc(config-wlc-radio-5g-profile)# limit-channels 36,40,44,48,52,56,60,64

#Выбираем#Select IEEE 802.11 режимradio работыinterface радиоинтерфейсаoperation mode:
wlc(config-wlc-radio-5g-profile)# work-mode anacax

#Задаем#Set ширину радиоканалаthe radio channel bandwidth:
wlc(config-wlc-radio-5g-profile)# bandwidth 20

#Выставляем#Set мощностьthe сигналаtransmitter передатчикаsignal вstrength дБмin dBm:
wlc(config-wlc-radio-5g-profile)# tx-power maximal
wlc(config-wlc-radio-5g-profile)# exit
Настройка локации

Под локацией понимается группа точек доступа, предназначенная для предоставления сервиса внутри топографического и/или логического сегмента сети, которые в общем случае будут конфигурироваться по одним и тем же правилам (профилям). Локация для точки (ap-location) определяется при подключении точки к контроллеру в зависимости от адресного пространства. Исключение составляет переопределение (override) радио-параметров и/или ap-location в индивидуально созданном шаблоне для точки доступа по ее MAC-адресу. 

...

Location configuration

A location is group of access points designed to provide service within a topographic and/or logical network segment, which in general will be configured according to the same rules (profiles). The location for a point (ap-location) is determined when the point is connected to the controller, depending on the address space. The exception is overriding the radio parameters and/or ap-location in an individually created template for the access point based on its MAC address.

Create a location and define the configuration rules for the APs in that location:

Блок кода
languagevb
wlc(config-wlc)# ap-location default-location

#Description можетcan содержатьcontain краткоеshort описаниеlocation локацииdescription:
wlc(config-wlc-ap-location)# description default-location

#Указываем#Specify профилиthe конфигурирования радиоинтерфейсовconfiguration profiles for the radio interfaces:
wlc(config-wlc-ap-location)# radio-2g-profile default_2g
wlc(config-wlc-ap-location)# radio-5g-profile default_5g

#Указываем#Specify профильthe общихprofile настроекof точек доступаthe common access point settings:
wlc(config-wlc-ap-location)# ap-profile default-ap

#Указываем#Specify профилиthe беспроводныхwireless сетей,network которыеprofiles будутthat предоставлятьwill услугиprovide вservices даннойin локацииthis location:
wlc(config-wlc-ap-location)# ssid-profile default-ssid default

#Так#Since какthe схемаscheme предполагаетassumes передачуthe пользовательскогоtransfer трафикаof черезuser SoftGRE-туннелиtraffic through SoftGRE tunnels, тоit необходимоis указать,necessary чтоto локацияspecify работаетthat вthe режиме туннелированияlocation operates in tunneling mode:
wlc(config-wlc-ap-location)# mode tunnel
wlc(config-wlc-ap-location)# exit
Определение подсетей обслуживаемых точек доступа

...

Define the Access Point subnets to be served

Define the address space of the access points to be connected:

Блок кода
languagevb
wlc(config-wlc)# ip-pool default-ip-pool

#Description можетcan содержатьcontain краткоеshort описаниеdescription пулаof адресовaddresses pool:
wlc(config-wlc-ip-pool)# description default-ip-pool

#Подсеть IP-адресов точек доступа указывается в параметре network. Если данный параметр не определен, то все точки доступа будут попадать под данное правило.

#Указываем ap-location, которая будет присваиваться точкам доступа данного пула адресов#The subnet of access point IP addresses is specified in the network parameter. If this parameter is not defined, all access points will be subject to this rule.

#Specify the ap-location that will be assigned to the access points in this address pool:
wlc(config-wlc-ip-pool)# ap-location default-location
wlc(config-wlc-ip-pool)# exit

Точки доступа, подсети которых не определены в ip-pool, не будут обслуживаться контроллером.

Авторегистрация точек доступа

Активируйте авторегистрацию точек доступа на контроллереAccess points with subnets not defined in ip-pool will not be served by the controller.

Access point auto-registration

Activate access point auto-registration on the controller:

Блок кода
languagevb
wlc(config-wlc)# service-activator
wlc(config-wlc-service-activator)# aps join auto

При подключении новых точек доступа не потребуется дополнительных действий, точки доступа будут зарегистроированы в автоматическом режиме When connecting new access points, no additional actions are required, the access points will be registered automatically.

Scroll Pagebreak

...

WLC enabling

Активируйте работу Enable WLC operation, укажите IP-адрес контроллера для точек доступа и сохраните настройкиspecify the controller IP address for the access points, and save the settings:

Блок кода
languagevb
wlc(config-wlc)# enable
wlc(config-wlc)# outside-address 192.168.1.1
wlc(config-wlc)# end
wlc# commit
wlc# confirm
Web

...

interface for monitoring

Web interface is available for monitoring access points and can be enabled with the command:

Блок кода
languagevb
wlc(config)# ip http server
wlc(config)# end
wlc# commit
wlc# confirm

Web -интерфейс будет доступен по interface is available on URL: http://<IP-address_wlc>, в конфигурации по умолчанию логин/парольlogin/password in default configuration are: admin/password.

Обновление точек доступа

В конфигурации по умолчанию при подключении точка доступа сразу автоматически обновится на прошивку, которая загружена на WLC. Если точка доступа уже находится под управлением WLC, то она обновится на новую прошивку сразу после ее загрузки.

...

Access Point Update

In the default configuration, when connected, the AP will immediately and automatically update to the firmware that is loaded on the WLC. If the AP is already under WLC control, it will update to the new firmware as soon as it is downloaded.

To download the firmware, use the command:

Блок кода
languagevb
#IP-адрес TFTP-сервера #TFTP server IP address – 192.168.1.2, WEP-1L-1.2.5_build_16.tar.gz – названиеfirmware файлаfile ПОname.
wlc# copy tftp://192.168.1.2:/WEP-1L-1.2.5_build_16.tar.gz system:access-points-firmwares

Если на WLC загружено несколько файлов ПО, то точка доступа будет обновляться на самую последнюю версию.

AirTune configuration

Одним из приоритетных направлений по развитию точек доступа в области If multiple firmware files are loaded on the WLC, the AP will update to the most recent version.

AirTune configuration

One of the priority areas for the development of access points in the field of Enterprise&High-Density Wi-Fi является реализация сервиса AirTune, основной функцией которого является is the implementation of AirTune service, the main function of which is Radio Resource Management (RRM).

Radio Resource Management позволяет автоматически оптимизировать характеристики точек доступа в зависимости от текущих условий. Сервис AirTune не заменяет собой процедуры радиопланирования, но позволяет провести финальный этап оптимизации сети, а также вести постоянный контроль. Используемые технологии и алгоритмыallows automatically optimizing access point performance based on current conditions. The AirTune service does not replace radio planning procedures, but allows for the final stage of network optimization, as well as ongoing monitoring.

Technologies and algorithms used:

  • Dynamic Channel Assignment (DCA) – алгоритм автоматического распределения частотных каналов каждой точки доступа в сети для избежания интерференции между нимиis an algorithm that automatically assigns frequency channels to each access point in the network to avoid interference between them;
  • Roaming – поддержка стандартов бесшовного роуминга

    Transmit Power Control (TPC)  – алгоритм управления мощностью передатчиков с целью обеспечения оптимальной зоны покрытия сети и минимизации «конфликтных» областей, где клиент находится в зоне уверенного приема нескольких соседних точек доступа;

  • Load Balancing – алгоритм автоматического распределения клиентских устройств между точками. В случае перегрузки сервис определит более оптимальную ТД для подключения клиента и выдаст рекомендации на точки доступа, клиент будет видеть в эфире только 1 ТД, рекомендованную для авторизации;

  • is an algorithm for controlling the power of transmitters to ensure optimal network coverage and minimize “conflict” areas, where the client is in the zone of confident reception of several neighboring access points;

  • Load Balancing is an algorithm for automatic distribution of client devices between points. In case of overload, the service will determine a more optimal AP for client connection and issue recommendations for access points, the client will see in the air only one AP recommended for authorization;
  • Roaming is support for 802.11 k/r seamless roaming standards.

Основными задачами функционала являются:

  • Автоматическая настройка рабочих каналов между точками доступа;
  • Автоматическая подстройка излучаемой мощности для стабильности зоны покрытия («соты»);
  • Оптимизация пропускной способности беспроводной сети;
  • Минимизация «конфликтных» областей между точками доступа;
  • Равномерное распределение нагрузки между точками доступа;
  • Поиск оптимальной точки доступа для клиента находящегося в «неуверенной» зоне приема;
  • Минимизация «случайных» переподключений клиентов на границах «сот»;
  • Поддержка бесшовного роуминга клиентов между точками доступа.

При работе функционала TPC/DCA точки доступа по команде от сервиса с помощью специальных пакетов (Action Frame) собирают информацию о радиосреде в текущий момент времени. Затем передают информацию на сервис, который выполняет анализ «качества радиоэфира» и проводит оптимизацию параметров для каждой точки доступа, что обеспечивает равномерность зоны покрытия и минимизацию интерференции. 

Также сервис включает в себя функционал роуминга:

  • Синхронизация списков соседних точек доступа стандарта 802.11k, который позволяет клиенту при ослабевании сигнала с текущей точки доступа искать более подходящую точку доступа из рекомендуемого списка, а не анализируя весь эфир.
  • Согласование ключей между точками доступа для роуминга стандарта 802.11r, который позволяет значительно ускорять процесс переключения клиента между точками доступа, т.к. клиенту не нужно будет проходить повторную полную авторизацию на встречной точке доступа, только ускоренную.
Информация

Для работы роуминга стандартов 802.11k/r необходима поддержка стандарта со стороны клиентов.

Простой пример работы оптимизации сети с помощью сервиса представлен на картинке (функционал DCA+TPCThe main tasks of the functionality are:

  • Automatic setting of working channels between access points;
  • Automatic adjustment of the radiated power for the stability of the coverage area (“cell”);
  • Optimization of wireless network throughput;
  • Minimizing “conflict” areas between access points;
  • Equal load distribution between access points;
  • Finding the optimal access point for a client located in an “unstable” reception zone;
  • Minimizing “accidental” client reconnections at cell boundaries;
  • Support for seamless roaming of clients between access points.

When the TPC/DCA functionality works, access points collect information about the radio environment at the current moment of time with the help of special packets (Action Frame) at the command of the service. Then they transmit the information to the service, which performs analysis of “radio air quality” and optimizes parameters for each access point, which ensures uniformity of coverage area and minimizes interference.

The service also includes roaming functionality:

  • Synchronization of lists of neighboring 802.11k access points, which allows the client to search for a more suitable access point from the recommended list, rather than analyzing the entire airwaves, when the signal from the current access point weakens.
  • Key negotiation between access points for 802.11r roaming, which allows to significantly accelerate the process of client switching between access points, because the client will not need to go through a second full authorization on the oncoming access point, only accelerated.
Информация

Roaming of 802.11k/r standards requires client-side support for the standard.

Simple example of network optimization using the service is shown in the picture (DCA+TPC functionality):

Scroll Pagebreak

Алгоритм работы

ТД при подключении к серверу (соединение между ТД и сервером осуществляется по протоколу WebSocket) отправляет сообщение "subscribe-request", где передает свои параметры, такие как:

  • заводские установочные параметры (серийный номер, тип устройство, MAC-адрес);
  • имя локации (географический домен);
  • радио настройки (канал, мощность);
  • список SSID;
  • список подключенных клиентов.

После того как ТД построила сессию с сервисом, на AirTune точки группируются по доменам. Если на сервисе нет домена, которому принадлежит точка, AirTune отправляет отказ в обслуживании.

...

Operating algorithm

When connecting to the server (the connection between the AP and the server is made via WebSocket protocol), the AP sends a “subscribe-request” message, where it transmits its parameters, such as:

  • factory installation parameters (serial number, device type, MAC address);
  • location name (geographical domain);
  • radio settings (channel, power);
  • SSID list;
  • list of connected clients.

After the AP has built a session with the service, AirTune groups the points by domain. If there is no domain on the service to which the point belongs, AirTune sends a denial of service.

If a domain is configured on AirTune, the server sends a “subscribe-response” indicating which features (DCA, TPC, Load Balance) настроены для этого доменаare configured for that domain.

Оптимизация Optimization (DCA, TPC) проходит внутри домена по следующему сценарию takes place within the domain as follows:

1) Первым этапом происходит авторизация ТД на сервисе AirTune, для этого система управления посредством SNMP-set запроса конфигурирует на точках доступа URL сервиса AirTune;2) ТД поднимают сессию с сервисом, обменявшись пакетами  The first step is authorization of APs on AirTune service, for this purpose the management system configures AirTune service URL on APs by means of SNMP-set request;

2) APs establish a session with the service by exchanging Subscribe-Request/Subscribe-Response , в которых ТД информирует сервис о текущей конфигурации. В случае если на сервисе не существует географический домен, переданный в сообщении от точки, сервис будет игнорировать запросы. Если домен найден, подключение происходит успешно;

3) Далее сервер отправляет на точки запрос "rrm-request-mode", чтобы актуализировать текущую информацию о них, т.к. оптимизация может начаться не только после подключения точки, а планово либо по команде администратора спустя долгое время после первичного подключения;

4) Точки доступа отвечают "rrm-response-mode", в котором передают свои текущие радио параметры;

5) Сервер отправляет запрос на сканирование окружения "rrm-update". В зависимости от опции eltex-rrm-scan сканирование может быть "обычным" (точка перебирает доступные каналы и детектирует все видимые точки) либо специальным, когда только точки из домена передают специальные action-пакеты в один, заранее определенный, момент времени;

6) Точки отправляют результат сканирования на сервер сообщением "rrm-response";

7) Получив результаты от всех ТД в домене, сервер в зависимости от настроек определяет для каждой точки оптимальную мощность, оптимальный канал, список соседей и отправляет сообщение "rrm-info";

8) После этого ТД применяют рекомендованные настройки, и оптимизация считается завершенной.

Информация

Оптимизация происходит в следующих случаях:

  • новая точка добавилась в домен;
  • одна из ТД была отключена;
  • на одной из точек были изменены радио параметры;
  • по таймеру (Optimization interval);
  • по нажатию администратором соответствующей кнопки.

Оптимизация не происходит в случае:

  • перезапуска ТД;
  • короткого пропадания связи между ТД и сервисом;
  • обновления ТД.

Scroll Pagebreak
Сценарий балансировки клиентов на ТДpackets, in which the AP informs the service about the current configuration. In case the geographic domain passed in the message from the point does not exist on the service, the service will ignore the requests. If the domain is found, the connection is successful;

3) Next, the server sends a “rrm-request-mode” request to the access points to update the current information about them, since optimization can start not only after the connection of the point, but routinely or by administrator's command long after the initial connection;

4) Access points respond with “rrm-response-mode” in which they transmit their current radio parameters;

5) The server sends a request to scan the “rrm-update”. Depending on the eltex-rrm-scan option, the scan can be a “normal” scan (a point tries the available channels and detects all visible points) or a special scan, where only points from the domain transmit special action packets at one, predefined, point in time;

6) The points send the result of scanning to the server with the message “rrm-response”;

7) Having received the results from all the APs in the domain, the server determines the optimal power, optimal channel, list of neighbors for each point depending on the settings and sends the message “rrm-info”;

8) After that, the APs apply the recommended settings, and the optimization is considered complete.

Информация

Optimization takes place in the following cases:

  • new point has been added to the domain;
  • one of the APs has been disconnected;
  • radio parameters have been changed on one of the points;
  • by timer (Optimization interval);
  • when the administrator presses the corresponding button.

Optimization does not take place in the following cases:

  • AP restart;
  • short loss of connection between AP and the service;
  • AP update.

Scroll Pagebreak
Customer balancing on AP:

Scroll Pagebreak
1) В случае если алгоритмы If TPC/DCA включены вместе с балансировщиком либо отключена опция "Use all AP for Balance", то первым этапом происходит поиск соседствующих точек в эфире;

Информация

В случае если стоит флаг "Use all AP for Balance" в конфигурации AirTune, то пункт "Поиск соседствующих точек в эфире" будет пропущен, рассылка будет осуществляться всем ТД, находящимся в одном домене.

2) Далее начинаются сценарии работы балансировщика. При подключении нового клиента с ТД на сервер отправляется сообщение "rrm-client-assoc", в котором содержится MAC-адрес клиента SSID, к которому клиент подключился. В случае если подключенный клиент находится в зоне уверенного приема и ТД не является загруженной, сервисом никаких действий не предпринимается, отправляется только сообщение "RRM-Client-Assoc-Ack" для портальных клиентов, после него ТД разблокирует клиентов для доступа в интернет (если пользователь уже авторизовался на портале);

3) Если при подключении клиента данная точка является загруженной (превышен лимит клиентов) или клиент имеет сигнал ниже установленного уровня, сервер инициирует процесс балансировки этого клиента;

4) Сервис отправляет "соседним" ТД, на которых настроен такой же SSID, сообщение "rrm-probe-request", чтобы определить с каким уровнем сигнала ТД "видят" данного клиента;

5) ТД отвечают сообщением "rrm-probe-response", в котором указывают уровень сигнала RSSI;

6) Если сервер не нашел подходящей точки для клиента, он оставляет его на текущей. Если оптимальная точка найдена, клиента отключаем от текущей ТД командой "rrm-disassoc-request", на всех остальных, кроме оптимальной, блокируем клиента командой "rrm-blacklist", таким образом клиент видит в эфире только 1 целевую ТД и произойдет переключение клиента (роуминг).

Информация

Балансировка клиентов между точками доступа происходит в рамках одного интерфейса (2.4 ГГц или 5 ГГц).

Если клиент подключился в 2.4 ГГц к загруженной ТД, то его балансировка на свободный интерфейс 5 ГГц второй точки доступа происходить не будет, только на аналогичный интерфейс (2.4 ГГц).

...

algorithms are enabled together with the balancer or the “Use all APs for Balance” option is disabled, the first step is to search for neighboring points in the air;

Информация

If the “Use all APs for Balance” flag is set in the AirTune configuration, the “Search for neighboring points on the air” item will be skipped, and the distribution will be done to all APs in the same domain.

2) When a new client connects to the AP, the server sends the “rrm-client-assoc” message, which contains the MAC address of the client SSID to which the client has connected. In case the connected client is in the zone of confident reception and the AP is not loaded, the service does not take any actions, only the message “RRM-Client-Assoc-Ack” is sent for portal clients, after it the AP unblocks the clients for Internet access (if the user is already authorized on the portal);

3) If when a client connects, this point is busy (client limit is exceeded) or the client has a signal below the set level, the server initiates the process of balancing this client;

4) The service sends “rrm-probe-request” message to “neighboring” APs, on which the same SSID is configured, to determine with what signal level APs “see” this client;

5) The APs respond with an “rrm-probe-response” message indicating the RSSI signal streng

6) If the server has not found a suitable point for the client, server leaves user at the current point. If the optimal point is found, the client is disconnected from the current AP with the command “rrm-disassoc-request”, on all others, except the optimal one, client gets blocked with the command “rrm-blacklist”, thus the client sees only 1 target AP on the air and the client will switch (roaming).


Информация

Client balancing between APs takes place within one interface (2.4 GHz or 5 GHz).

If a client is connected in 2.4 GHz to a loaded AP, it will not be balanced on the free 5 GHz interface of the second AP, only on the same interface (2.4 GHz).


Предупреждение

If the client device supports MAC address randomization functionality in Probe Request, the functionality will not work for such clients, because the analysis of the signal strength from the client on neighboring APs is based on management packets from the client (Probe request).

Scroll Pagebreak
Configuration algorithm

По умолчанию все необходимые настройки для работы сервиса настроены, нужно только указать IP-адрес контроллера, который виден точкам доступа, включить сервис, создать профиль и привязать его к локации.

Настройки производятся в режиме конфигурирования (config) раздела настройки контроллера WLC By default, all the necessary settings for the service operation are configured, the only thing needed is to specify the IP address of the controller, which is visible to access points, enable the service, create a profile and bind it to a location.

The settings are made in the configuration mode (config) of the WLC controller configuration section (config-wlc).

Step

Description

Command

Keys

1

Перейти в раздел конфигурирования WLC.Switch to WLC configuration. 

wlc# configure
wlc(config)# wlc

wlc(config-wlc)#


2Создать профиль Create AirTune profile.

wlc(config-wlc)# airtune-profile <NAME>

wlc(config-airtune-profile)#exit

wlc(config-wlc)#

<NAME> – название профиля, задается строкой до 235 символов.3Перейти в локацию, для которой требуется автоматическая оптимизация настроек точек доступаprofile name, specified by a string of up to 235 characters.
3Switch to location that requires automatic optimization of access point settings.

wlc(config-wlc)# ap-location <NAME>

wlc(config-wlc-ap-location)#

<NAME> – название профиля локации, задается строкой до 235 символовlocation profile name, specified by a string of up to 235 characters.
4

Привязать созданный профиль к локацииBind the created profile to location.

wlc(config-wlc-ap-location)# airtune-profile <NAME>

wlc(config-wlc-ap-location)#exit

wlc(config-wlc)#

<NAME> – название профиля локации, задается строкой до 235 символовlocation profile name, specified by a string of up to 235 characters.
5Перейти в раздел общих настроек сервисаSwitch to service general configuration.

wlc(config-wlc)# airtune

wlc(config-airtune)#


6Активировать работу сервисаEnable the service.

wlc(config-airtune)# enable

wlc(config-airtune)#end


Configuration example

Блок кода
languagevb
#Создаем#Create профильairtune airtuneprofile, поby умолчаниюdefault, вit немalready ужеcontains указаныthe оптимальныеoptimal настройкиservice сервисаsettings, поэтомуso достаточноit простоis создатьneeded сам профильonly to create the profile itself:
wlc# configure
wlc(config)# wlc
wlc(config-wlc)# airtune-profile default_airtune
wlc(config-airtune-profile)#exit

#Добавляем#Add профильa вprofile локацию,to чтобыa разрешитьlocation оптимизациюto вallow выбранной локацииoptimization in the selected location:
wlc(config-wlc)# 
wlc(config-wlc)# ap-location default-location
wlc(config-wlc-ap-location)# airtune-profile default_airtune
wlc(config-wlc-ap-location)#exit

#Глобально#Globally активируемactivate функционал airtune вfunctionality контроллереin the controller (оптимизацияoptimization будетwill проходитьonly толькоtake вplace локацияхin сlocations профилемwith airtune profile):
wlc(config-wlc)# airtune
wlc(config-airtune)# enable
wlc(config-wlc)# end

wlc# commit
wlc# confirm

Scroll Pagebreak