История страницы

...

wlc(config)# security zone users
wlc(config-zone)# exit

wlc(config)# security zone trusted
wlc(config-zone)# exit

wlc(config)# security zone untrusted
wlc(config-zone)# exit

Настройте правила firewall:

...

Настройка NTP-сервера

Для корректной регистрации точек доступа на контроллере требуется синхронизация времени. Настройте NTP-сервер, чтобы контроллер получил актуальное время от вышестоящего сервера. Затем укажите адрес контроллера в качестве NTP-сервера для точек доступа в 42 опции DHCP (пример настройки представлен в разделе Настройка DHCP-сервера), чтобы точки доступа также смогли получить актуальное время.

...

#Включаем DHCP-сервер:
wlc(config)# ip dhcp-server

Настройка RADIUS-сервера

Настройте локальный RADIUS-сервер. 

wlc(config)# radius-server local

#Настраиваем NAS ap. Содержит подсети точек доступа, которые будут обслуживаться локальным RADIUS-сервером при Enterprise-авторизации пользователей Wi-Fi:
wlc(config-radius)# nas ap
wlc(config-radius-nas)# key ascii-text password
wlc(config-radius-nas)# network 192.168.1.0/24
wlc(config-radius-nas)# exit

#Настраиваем NAS local. Используется при обращении WLC к локальному RADIUS-серверу при построении SoftGRE-туннелей:
wlc(config-radius)# nas local
wlc(config-radius-nas)# key ascii-text password
wlc(config-radius-nas)# network 127.0.0.1/32
wlc(config-radius-nas)# exit

#Создаем домен для пользователей:
wlc(config-radius)# domain default

#Создаем учетную запись пользователя Wi-Fi для подключения к Enterprise SSID:
wlc(config-radius-domain)# user name1
wlc(config-radius-user)# password ascii-text password1
wlc(config-radius-user)# exit
wlc(config-radius-domain)# exit

#Настройки виртуального сервера содержат номера портов для аутентификации и аккаунтинга, настройки проксирования на внешний RADIUS-сервер. Использование стандартных портов (1812 для аутентификации и 1813 для аккаунтинга) не требует настройки. В таком случае достаточно просто включения виртуального сервера (enable).
wlc(config-radius)# virtual-server default
wlc(config-radius-vserver)# enable
wlc(config-radius-vserver)# exit

#Включаем RADIUS-сервер:
wlc(config-radius)# enable
wlc(config)# exit

Определите параметры для взаимодействия с RADIUS-сервером: IP-адрес и ключ. Так как RADIUS-сервер находится локально на контроллере, в качестве адреса хоста задайте 127.0.0.1. Ключ должен совпадать с ключом, указанным для nas local.

...

wlc(config-wlc)# radius-profile default-radius

#Так как RADIUS-сервер находится локально на контроллере, указываем адрес контроллера в подсети точек доступа:
wlc(config-wlc-radius-profile)# auth-address 192.168.1.1

#Ключ RADIUS-сервера должен совпадать с ключом, указанным для NAS ap:
wlc(config-wlc-radius-profile)# auth-password ascii-text password

#Указываем домен RADIUS. Этот домен должен совпадать с доменом, в котором созданы учетные записи пользователей Enterprise.
wlc(config-wlc-radius-profile)# domain default
wlc(config-wlc-radius-profile)# exit

...

Настройка SSID

Профиль SSID содержит настройки SSID точки доступа. Для примера приведена настройка Enterprise SSID:

...

wlc(config-wlc)# ap-profile default-ap

#Задаем пароль для подключения к точке доступа:
wlc(config-wlc-ap-profile)# password ascii-text password

#По умолчанию доступ до точкам доступа закрыт. При необходимости, можно активировать доступ по ssh/telnet и web-интерфейс:
wlc(config-wlc-ap-profile)# services
wlc(config-wlc-ap-profile-services)# ip ssh server
wlc(config-wlc-ap-profile-services)# ip telnet server
wlc(config-wlc-ap-profile-services)# ip http server
wlc(config-wlc-ap-profile)# exit

Создайте профили конфигурации точек доступа:

Создайте профиль конфигурирования радиоинтерфейса, работающего в частотном диапазоне 2.4 ГГц:

...

wlc(config-wlc)# radio-5g-profile default_5g

#Переводим режим динамического выбора частоты в принудительный режим:
wlc(config-wlc-radio-5g-profile)# dfs forced

#Задаем список каналов, из которых точка доступа будет автоматически выбирать наименее загруженный радиоканал:
wlc(config-wlc-radio-5g-profile)# limit-channels 36,40,44,48,52,56,60,64

#Выбираем IEEE 802.11 режим работы радиоинтерфейса:
wlc(config-wlc-radio-5g-profile)# work-mode anacax

#Задаем ширину радиоканала:
wlc(config-wlc-radio-5g-profile)# bandwidth 20

#Выставляем мощность сигнала передатчика:
wlc(config-wlc-radio-5g-profile)# tx-power maximal
wlc(config-wlc-radio-5g-profile)# exit

Настройка локации

Под локацией понимается группа точек доступа, предназначенная для предоставления сервиса внутри топографического и/или логического сегмента сети, которые в общем случае будут конфигурироваться по одним и тем же правилам (профилям). Локация для точки (ap-location) определяется при подключении точки к контроллеру в зависимости от адресного пространства. Исключение составляет переопределение (override) радиопараметров и/или ap-location в индивидуально созданном шаблоне для точки доступа по ее MAC-адресу. Scroll Pagebreak

Создайте локацию и определите правила конфигурирования точек доступа, входящих в данную локацию:

...

По умолчанию параметр network имеет значение 0.0.0.0/0, то есть под правило попадает любой IP-адрес. Увидеть значение параметра по умолчанию можно с помощью команды show running-config full wlc ip-pool. 
Если ip-pool ограничен конкретной подсетью и IP-адрес точки доступа не попадает в эту подсеть, а также для этой точки доступа не создан индивидуальный профиль по ее MAC-адресу, такая точка не будет обслуживаться контроллером.

Авторегистрация точек доступа

...

• Синхронизация списков соседних точек доступа стандарта 802.11k, который позволяет клиенту при ослабевании сигнала с текущей точки доступа искать более подходящую точку доступа из рекомендуемого списка, а не анализируя весь эфир.
• Согласование ключей между точками доступа для роуминга стандарта 802.11r, который позволяет значительно ускорять процесс переключения клиента между точками доступа, т. к. клиенту не нужно будет проходить повторную полную авторизацию на встречной точке доступа, только ускоренную.

Простой пример работы оптимизации сети с помощью сервиса представлен на картинке (функционал DCA+TPC):

...

Если на AirTune домен настроен, то сервер отправляет "subscribe-response" c указанием какие функции (DCA, TPC, Load Balance) настроены для этого домена.

Оптимизация (DCA, TPC) проходит внутри локации по следующему сценарию:

Image Modified

1. На первом этапе происходит авторизация ТД на сервисе AirTune, для этого система управления посредством SNMP-set запроса конфигурирует на точках доступа URL сервиса AirTune.
2. ТД поднимают сессию с сервисом, обменявшись пакетами Subscribe-Request/Subscribe-Response, в которых ТД информирует сервис о текущей конфигурации. В случае, если на сервисе не существует географический домен, переданный в сообщении от точки, сервис будет игнорировать запросы. Если домен найден, подключение происходит успешно.
3. Сервер отправляет на ТД запрос «rrm-request-mode», чтобы актуализировать текущую информацию о них, т. к. оптимизация может начаться не только после подключения точки, а также планово либо по команде администратора спустя долгое время после первичного подключения.
4. ТД отвечают «rrm-response-mode», в котором передают свои текущие радио параметры.
5. Сервер отправляет запрос на сканирование окружения «rrm-update». В зависимости от опции eltex-rrm-scan сканирование может быть «обычным» (точка перебирает доступные каналы и детектирует все видимые точки) либо специальным, когда только точки из домена передают специальные action-пакеты в один заранее определенный момент времени.
6. Точки отправляют результат сканирования на сервер сообщением «rrm-response».
7. Получив результаты от всех ТД в локации, сервер в зависимости от настроек определяет для каждой точки оптимальную мощность, оптимальный канал, список соседей и отправляет сообщение «rrm-info».
8. ТД применяют рекомендованные настройки, и оптимизация считается завершенной.

Сценарий балансировки клиентов на ТД:

Image Modified

...