...
| Блок кода | ||
|---|---|---|
| ||
wlc(config)# security zone users wlc(config-zone)# exit wlc(config)# security zone trusted wlc(config-zone)# exit wlc(config)# security zone untrusted wlc(config-zone)# exit |
Scroll Pagebreak
Настройте правила firewall:
...
Настройка NTP-сервера
| Примечание |
|---|
Необходимо обязательно синхронизировать время на контроллере и точках доступа, т. к. корректное время позволяет пройти проверку валидности сертификатов. |
Для корректной регистрации точек доступа на контроллере требуется синхронизация времени. Настройте NTP-сервер, чтобы контроллер получил актуальное время от вышестоящего сервера. Затем укажите адрес контроллера в качестве NTP-сервера для точек доступа в 42 опции DHCP (пример настройки представлен в разделе Настройка DHCP-сервера), чтобы точки доступа также смогли получить актуальное время.
...
| Блок кода | ||
|---|---|---|
| ||
#Включаем DHCP-сервер: wlc(config)# ip dhcp-server |
...
Настройка RADIUS-сервера
Настройте локальный RADIUS-сервер.
| Блок кода | ||
|---|---|---|
| ||
wlc(config)# radius-server local #Настраиваем NAS ap. Содержит подсети точек доступа, которые будут обслуживаться локальным RADIUS-сервером при Enterprise-авторизации пользователей Wi-Fi: wlc(config-radius)# nas ap wlc(config-radius-nas)# key ascii-text password wlc(config-radius-nas)# network 192.168.1.0/24 wlc(config-radius-nas)# exit #Настраиваем NAS local. Используется при обращении WLC к локальному RADIUS-серверу при построении SoftGRE-туннелей: wlc(config-radius)# nas local wlc(config-radius-nas)# key ascii-text password wlc(config-radius-nas)# network 127.0.0.1/32 wlc(config-radius-nas)# exit #Создаем домен для пользователей: wlc(config-radius)# domain default #Создаем учетную запись пользователя Wi-Fi для подключения к Enterprise SSID: wlc(config-radius-domain)# user name1 wlc(config-radius-user)# password ascii-text password1 wlc(config-radius-user)# exit wlc(config-radius-domain)# exit #Настройки виртуального сервера содержат номера портов для аутентификации и аккаунтинга, настройки проксирования на внешний RADIUS-сервер. Использование стандартных портов (1812 для аутентификации и 1813 для аккаунтинга) не требует настройки. В таком случае достаточно просто включения виртуального сервера (enable). wlc(config-radius)# virtual-server default wlc(config-radius-vserver)# enable wlc(config-radius-vserver)# exit #Включаем RADIUS-сервер: wlc(config-radius)# enable wlc(config)# exit |
| Предупреждение |
|---|
В заводской конфигурации учетная запись пользователя не настроена в целях безопасности, поэтому для подключения к Enterprise SSID в заводской конфигурации необходимо создать учетную запись. |
Определите параметры для взаимодействия с RADIUS-сервером: IP-адрес и ключ. Так как RADIUS-сервер находится локально на контроллере, в качестве адреса хоста задайте 127.0.0.1. Ключ должен совпадать с ключом, указанным для nas local.
| Блок кода | ||
|---|---|---|
| ||
wlc(config)# radius-server host 127.0.0.1 wlc(config-radius-server)# key ascii-text password wlc(config-radius-server)# exit |
...
Добавьте профиль AAA, укажите адрес сервера, который будет использоваться:
...
| Блок кода | ||
|---|---|---|
| ||
wlc(config-wlc)# radius-profile default-radius #Так как RADIUS-сервер находится локально на контроллере, указываем адрес контроллера в подсети точек доступа: wlc(config-wlc-radius-profile)# auth-address 192.168.1.1 #Ключ RADIUS-сервера должен совпадать с ключом, указанным для NAS ap: wlc(config-wlc-radius-profile)# auth-password ascii-text password #Указываем домен RADIUS. Этот домен должен совпадать с доменом, в котором созданы учетные записи пользователей Enterprise. wlc(config-wlc-radius-profile)# domain default wlc(config-wlc-radius-profile)# exit |
...
Настройка SSID
Профиль SSID содержит настройки SSID точки доступа. Для примера приведена настройка Enterprise SSID:
...
| Блок кода | ||
|---|---|---|
| ||
wlc(config-wlc)# ap-profile default-ap #Задаем пароль для подключения к точке доступа: wlc(config-wlc-ap-profile)# password ascii-text password #По умолчанию доступ до точкам доступа закрыт. При необходимости, можно активировать доступ по ssh/telnet и web-интерфейс: wlc(config-wlc-ap-profile)# services wlc(config-wlc-ap-profile-services)# ip ssh server wlc(config-wlc-ap-profile-services)# ip telnet server wlc(config-wlc-ap-profile-services)# ip http server wlc(config-wlc-ap-profile)# exit |
...
Создайте профили конфигурации точек доступа:
| Подсказка |
|---|
Для каждой точки доступа можно переопределить параметры отдельно через индивидуальный профиль. Подробную информацию о точках доступа можно найти в официальной документации по ссылке. |
Создайте профиль конфигурирования радиоинтерфейса, работающего в частотном диапазоне 2.4 ГГц:
...
| Блок кода | ||
|---|---|---|
| ||
wlc(config-wlc)# radio-5g-profile default_5g #Переводим режим динамического выбора частоты в принудительный режим: wlc(config-wlc-radio-5g-profile)# dfs forced #Задаем список каналов, из которых точка доступа будет автоматически выбирать наименее загруженный радиоканал: wlc(config-wlc-radio-5g-profile)# limit-channels 36,40,44,48,52,56,60,64 #Выбираем IEEE 802.11 режим работы радиоинтерфейса: wlc(config-wlc-radio-5g-profile)# work-mode anacax #Задаем ширину радиоканала: wlc(config-wlc-radio-5g-profile)# bandwidth 20 #Выставляем мощность сигнала передатчика: wlc(config-wlc-radio-5g-profile)# tx-power maximal wlc(config-wlc-radio-5g-profile)# exit |
| Scroll Pagebreak |
|---|
Настройка локации
Под локацией понимается группа точек доступа, предназначенная для предоставления сервиса внутри топографического и/или логического сегмента сети, которые в общем случае будут конфигурироваться по одним и тем же правилам (профилям). Локация для точки (ap-location) определяется при подключении точки к контроллеру в зависимости от адресного пространства. Исключение составляет переопределение (override) радиопараметров и/или ap-location в индивидуально созданном шаблоне для точки доступа по ее MAC-адресу. scroll-pagebreak
Создайте локацию и определите правила конфигурирования точек доступа, входящих в данную локацию:
...
По умолчанию параметр network имеет значение 0.0.0.0/0, то есть под правило попадает любой IP-адрес. Увидеть значение параметра по умолчанию можно с помощью команды show running-config full wlc ip-pool.
Если ip-pool ограничен конкретной подсетью и IP-адрес точки доступа не попадает в эту подсеть, а также для этой точки доступа не создан индивидуальный профиль по ее MAC-адресу, такая точка не будет обслуживаться контроллером.
| Scroll Pagebreak |
|---|
Авторегистрация точек доступа
...
- Синхронизация списков соседних точек доступа стандарта 802.11k, который позволяет клиенту при ослабевании сигнала с текущей точки доступа искать более подходящую точку доступа из рекомендуемого списка, а не анализируя весь эфир.
- Согласование ключей между точками доступа для роуминга стандарта 802.11r, который позволяет значительно ускорять процесс переключения клиента между точками доступа, т. к. клиенту не нужно будет проходить повторную полную авторизацию на встречной точке доступа, только ускоренную.
| Информация |
|---|
Для работы роуминга стандартов 802.11k/r необходима поддержка стандарта со стороны клиентов. |
| Scroll Pagebreak |
|---|
Простой пример работы оптимизации сети с помощью сервиса представлен на картинке (функционал DCA+TPC):
...
Если на AirTune домен настроен, то сервер отправляет "subscribe-response" c указанием какие функции (DCA, TPC, Load Balance) настроены для этого домена.
| Scroll Pagebreak |
|---|
Оптимизация (DCA, TPC) проходит внутри локации по следующему сценарию:
- На первом этапе происходит авторизация ТД на сервисе AirTune, для этого система управления посредством SNMP-set запроса конфигурирует на точках доступа URL сервиса AirTune.
- ТД поднимают сессию с сервисом, обменявшись пакетами Subscribe-Request/Subscribe-Response, в которых ТД информирует сервис о текущей конфигурации. В случае, если на сервисе не существует географический домен, переданный в сообщении от точки, сервис будет игнорировать запросы. Если домен найден, подключение происходит успешно.
- Сервер отправляет на ТД запрос «rrm-request-mode», чтобы актуализировать текущую информацию о них, т. к. оптимизация может начаться не только после подключения точки, а также планово либо по команде администратора спустя долгое время после первичного подключения.
- ТД отвечают «rrm-response-mode», в котором передают свои текущие радио параметры.
- Сервер отправляет запрос на сканирование окружения «rrm-update». В зависимости от опции eltex-rrm-scan сканирование может быть «обычным» (точка перебирает доступные каналы и детектирует все видимые точки) либо специальным, когда только точки из домена передают специальные action-пакеты в один заранее определенный момент времени.
- Точки отправляют результат сканирования на сервер сообщением «rrm-response».
- Получив результаты от всех ТД в локации, сервер в зависимости от настроек определяет для каждой точки оптимальную мощность, оптимальный канал, список соседей и отправляет сообщение «rrm-info».
- ТД применяют рекомендованные настройки, и оптимизация считается завершенной.
| Scroll Pagebreak |
|---|
| Информация |
|---|
Оптимизация происходит в следующих случаях:
Оптимизация не происходит в случае:
|
Сценарий балансировки клиентов на ТД:
| Scroll Pagebreak |
|---|
...