Cisco无线控制器配置基础

无线控制器配置基础 2011 11 基本配置任务及过程 准备工作控制器启动配置和升级控制器软件版本熟悉控制器配置界面3 连接AP到控制器上配置任务思科CSSC无线客户端的安装和简单配置构建一个OPEN和一个WEP的无线网络构建一个简单WEB认证的无线网络构建一个支持本地EAP认证的无线网络构建一个用ACS做AAA认证的无线网络 PresentationTitleSize30PTOption2 Live 准备工作 基本设备 控制器5500或者2500系列AP 1140或者1260等支持802 11n的产品交换机 最好是3560X千兆POE交换机 2500系列无线控制器 支持802 11a b g n支持PCI认证WLC2500硬件4个GE口 2个上联口 2个下联口其中2个GE口有以太网供电最多支持到50个AP 500个客户端 多达300Mbps的吞吐量 NEW 5500系列无线控制器 1RU高度8口千兆上联支持12 25 50 100 250 500AP 支持多达7000个客户端 经过优化的802 11n性能 智能射频控制平面 可以自行配置 修复和优化 高效漫游功能可提升应用性能 2热插拔电源模块插槽 准备工作 网线和Console线 如果是5508 需要GLC光纤模块和光纤或者GLC T模块确认控制器版本是否需要升级 用命令showsysinfo查看系统版本 相应数量的瘦AP 实验拓扑示例 VLAN1 20 30 40 WLC 说明 1 VLAN1用于连接控制器 AP和ACS 2 VLAN20用于WPA WPA2认证 认证服务器用ACS 3 VLAN30用作OPEN WEP GUEST客户接入3 VLAN40用作WPA WPA2认证 认证用本地EAP SSID VLAN20 SSID VLAN30 PC AAA服务器 VLAN1 所有3层网关设置在3层交换机上 地址254 WLC的组成及接口 管理接口 使用静态IP地址的接口 用于传输带内管理数据流 这些接口用于建立到WLC的Web 安全外壳 SSH 或Telnet会话 AP管理接口 使用静态IP地址的接口 所有LAP都使用它来端接CAPWAP隧道 WLC也在该接口上侦听LAP试图发现控制器时发送的子网广播 虚拟接口 用于中继来自无线客户端的DHCP请求的逻辑接口 给该接口分配一个伪造 但唯一 的静态IP地址 这样客户端将把该虚拟地址视为其DHCP服务器 在同一个移动组中 所有WLC都必须使用相同的虚拟接口地址 服务端口 Cisco5500系列WLC使用的带外以太网接口 仅当控制器正在启动或网络问题导致无法进行其他方式的接入时才使用它 Catalyst6500无线服务模块 WirelessServiceModule WiSM 有一个连接到机架监控器的内部服务端口 集散系统端口 将WLC连接到园区网中交换机的接口 该接口通常是一个中继链路 用于传输覆盖了LAP和VLAN的数据流 WLC的组成及接口 续 动态接口 根据需要 为通过CAPWAP隧道扩展到LAP的VLAN自动创建的接口 动态接口有时也被称为用户接口 动态接口使用的IP地址属于无线客户端VLAN的子网 通常 预留一个管理VLAN和子网供WLC和CAPWAP使用 可以将管理子网中的IP地址分配给管理接口和AP管理器接口 所有来自外部的管理数据流 基于Web的 Telnet SSH或AAA 和CAPWAP隧道数据流都将到达这些地址 LAP将被放置到网络的各个地方 甚至是不同的交换模块中 因此应将LAP数据流视为外部的 分配给LAP的IP地址不必属于AP管理器子网 在小型网络中 LAP和WLC可能位于同一个子网中 因此它们在第2层是相邻的 在大型网络中 LAP将分散在不同的交换模块中 LAP和WLC的IP地址将各不相同 因为它们不是第2层邻居 这些地址将不属于AP管理子网 WLC接口布局示例 WLC接口布局示例 在这个例子中 WLC通过物理端口1 port1 连接到Cisco3750交换机的gig1 0 1千兆端口 WLC上所有的接口 interface 都映射到物理接口1 WLC上配置了2个WLAN 其中一个是开放认证 使用Webportal认证 SSID为open 另一个是采用EAP认证 SSID为secure 分别为开放的SSID和EAPSSID创建了一个动态接口并同相应的VLAN相关联 开放的SSID通VLAN3相关联 VLAN4同加密的SSID相关联 管理端口 managementinterface 和AP管理接口 APManagerinterface 都使用VLAN60 为了使配置简单 我们忽略了服务端口 service port 所有的网络服务 AAA DHCP DNS 都使用Vlan50 AP将连接到VLAN5 WLC初始配置 WLC初始化的配置只能通过连接到WLC控制台端口 Console 的Cisco标准的9600 8 N 1电缆才能配置 然后使用StartupWizard通过CLI输入参数 WLC启动并运行其代码映像后 CLI将以交互的方式提示输入下面的信息 1 系统名 这是一个标识WLC的字符串 最多可包含32个字符2 管理用户名和密码 默认分别为admin和admin3 服务端口的IP地址 DHCP或静态地址 如果选择使用静态地址 将提示您输入IP地址 子网掩码 默认网关和管理接口的VLAN号 如果管理VLAN没有被标记中继链路上的本地VLAN nativevlan 请输入VLAN号04 DHCP服务器的地址 客户端服务器将从DHCP服务器那里获得其IP地址 WLC初始配置 续 5 AP管理器接口的IP地址 6 虚拟接口的IP地址 这是一个伪造的IP地址 通常为1 1 1 1 7 移动组名称 在属于同一个移动组的所有WLC上都必须相同 8 默认的SSID LAP加入控制器时将使用它 LAP加入后 WLC将把其他SSID提供给它 9 是否要求客户端从DHCP服务器那里获得IP地址 如果要求客户端使用DHCP服务器 则输入yes 否则输入no 允许客户端使用静态的配置的地址 10 是否需要配置RADIUS服务器 可以输入NO 通过Web前端配置RADIUS服务器 WLC初始配置 续 11 配置国别码 输入help可获悉国别码列表 中国的国别码为CN 12 在WLC管理的所有AP上启用 禁用802 11b和802 11g 系统提示您配置每种WLAN时 输入YES可启用它 输入NO将禁用它 13 启用 禁用射频源管理auto RF功能 输入yes将启用RF参数自动调整 输入NO将禁用它 输入上述信息后 WLC将存储配置并重新启动 然后 便可以通过WLC的Web界面管理它 启动选项 ThecontrollerbootsequencewillalwayshavetheseoptionavailablesincethisissetinPROMtoensurecontrollerrecoveryoptions 按5清空配置 系统启动界面和配置 OS7 0 Wouldyouliketoterminateautoinstall yes SystemName Cisco 51 2b 60 31charactersmax 2106 demoAUTO INSTALL processterminated noconfigurationloadedEnterAdministrativeUserName 24charactersmax ciscoEnterAdministrativePassword 24charactersmax ciscoRe enterAdministrativePassword ciscoManagementInterfaceIPAddress 192 168 10 1ManagementInterfaceNetmask 255 255 255 0ManagementInterfaceDefaultRouter 192 168 10 254ManagementInterfaceVLANIdentifier 0 untagged ManagementInterfacePortNum 1to8 1ManagementInterfaceDHCPServerIPAddress 192 168 10 254APManagerInterfaceIPAddress 192 168 10 2AP ManagerisonManagementsubnet usingsamevaluesAPManagerInterfaceDHCPServer 192 168 10 254 VirtualGatewayIPAddress 1 1 1 1Mobility RFGroupName demo 系统启动界面 续 EnableSymmetricMobilityTunneling yes NO yesNetworkName SSID openAllowStaticIPAddresses YES no ConfigureaRADIUSServernow YES no noWarning ThedefaultWLANsecuritypolicyrequiresaRADIUSserver Pleaseseedocumentationformoredetails EnterCountryCodelist enter help foralistofcountries US CNEnable802 11bNetwork YES no Enable802 11aNetwork YES no Enable802 11gNetwork YES no EnableAuto RF YES no ConfigureaNTPservernow YES no noConfigurethesystemtimenow YES no EnterthedateinMM DD YYformat 09 28 08EnterthetimeinHH MM SSformat 17 11 00Configurationcorrect Ifyes systemwillsaveitandreset yes NO yesConfigurationsaved Resettingsystemwithnewconfiguration 非常重要 Controller的wireless的domain要和AP一致 配置3层交换机 pdhcpexcluded address192 168 10 1ipdhcpexcluded address192 168 10 254ipdhcpexcluded address192 168 10 2 ipdhcppoolAPnetwork192 168 10 0255 255 255 0default router192 168 10 254 interfaceFastEthernet0 1switchporttrunkencapsulationdot1qswitchportmodetrunk interfaceVlan1ipaddress192 168 10 254255 255 255 0 interfaceVlan20ipaddress192 168 20 254255 255 255 0 interfaceVlan30ipaddress192 168 30 254255 255 255 0 interfaceVlan40ipaddress192 168 40 254255 255 255 0 linevty04privilegelevel15passwordciscologin 配置WEB访问 1 使用直通网线 连接交换机的trunk接口到控制器端口12 配置PC机的IP地址192 168 10 100 24或者DHCP 网关192 168 10 2543 测试PC能否Ping通Controller的地址 192 168 10 13 用https 192 168 10 1访问控制器 如果要开启http访问 需要在系统里打开 使用IE浏览器进行WEB访问 如果要升级控制器系统软件 tftp服务器推荐支持64M以上文件传输 在CCO上下载新版本 支持室内室外mesh版本 支持802 11n和其他新功能的普通版本 控制器软件升级 命令行方式 Step1 pingserver ip address测试控制器与TFTPserver的连通性Step2 transferdownloadmodetftp设置传输使用的协议 tftpStep3 transferdownloaddatatypecode设置传输的数据类型Step4 transferdownloadserveripserver ip address指定tftpserver的IP地址Step5 transferdownloadfilenamefilename制定Image的文件名Step6 transferdownloadstart开始传输文件 确认时如果回答No 则显示TFTP的参数设置Step7 resetsystemWLC的系统重新启动 注 TFTP服务器软件推荐tftpd32 可以在网上免费下载 支持64M以上大文件传输 控制器软件升级 图形界面 电脑上设置好Tftp软件 填入Tftp地址和文件名后 选择右侧的download按钮开始 完成后按提示reboot PresentationTitleSize30PTOption2 Live 熟悉无线控制器Controller配置界面 命令行 CLI 基本命令 cisco 命令行 CLI clear Commands 命令行 CLI config Commands andmore 命令行 CLI debug Command 命令行 CLI help Commands 命令行 CLI show Commands 命令行 CLI transfer Commands 使用IE浏览器进行WEB访问 控制器上查看和设置无线网络SSID 控制器配置页面 配置接口 配置控制器做DHCP服务器 定义无线组 参看和配置端口 配置接口页面 设置控制器做DHCP服务器 定义移动组 设置端口页面 点击WIRELESS ALLAPs 安全页面 Radius服务器配置 本地用户数据库 MAC地址过滤 WEB认证相关配置 本地EAP 管理界面 定义能够进行Controller管理的管理用户 控制器维护管理界面 系统和配置文件的上传 下载配置 控制器软重启 AP射频模块配置界面 AP发射功率调节 AP1131 TxPowerNumOfSupportedPowerLevels 6TxPowerLevel1 14dBmTxPowerLevel2 11dBmTxPowerLevel3 8dBmTxPowerLevel4 5dBmTxPowerLevel5 2dBmTxPowerLevel6 1dBm AP1242的level1是17dBm HA相关配置 Failover等级 全局HA配置 PresentationTitleSize30PTOption2 Live 连接AP到控制器 Controller里的Port还有Vlan以及Interface的对应关系 Controller必需配置的接口带内管理接口 ManagementInterface LWAPPTunnel终结接口 APManagerInterface 桥接的无线客户端接口 DynamicInterfaces 二三层漫游而设的虚拟接口 VirtualInterface 可选接口 服务接口 带外管理接口 确认控制器国家版本与AP一致 目前版本支持同时支持多国家 确认时间配置无误 在路由器或者3层交换机设置DHCP 在AP和控制器不在同一网段的情况下 建立AP能够获取IPAddress的地址池 加上Option43WLC router config ipdhcppoolLWAPP APWLC router dhcp config network192 168 10 0255 255 255 0WLC router dhcp config default router192 168 0 254WLC router dhcp config option43ascii 192 168 10 1 很重要 通过Option43可以让AP在获取和控制器不同网段IPAddress的时候 能够知道Controller的所在 如果AP和控制器在一个网段和广播域 则可以不配置option43WLC router dhcp config exitWLC router config ipdhcpexcluded address192 168 0 254 在IOS设备配置Option43 对于1000 1500系列 直接写option43ascii 192 168 10 5 129 168 10 20 对于1100和1200 需要写option60和option43假设要连接1240 控制器地址为192 168 10 5和192 168 10 20ipdhcppoolAPnetwork192 168 10 0 24default router192 168 10 254dns server192 168 10 100option60ascii CiscoAPc1240 option43hexf108c0a80a05c0a80a14 option43的配置详见 VCIString1130的是CiscoAPc1130 类型 f1 长度 2x4 08 192 168 10 5 192 168 10 20 可以在console上打开debug观察AP加入情况 CiscoController debuglwappeventsenable CiscoController Oct0419 20 19 154 00 1a e3 d0 19 50ReceivedLWAPPDISCOVERYREQUESTfromAP00 1a e3 d0 19 50to00 1e 13 51 2b 60onport 8 Oct0419 20 19 154 Receivedapacketwhichisa type DISCOVERY REQUEST withsessionid0 Oct0419 20 19 154 JoinPriorityProcessingstatus 0 IncomingAp sPriority1 MaxLrads 6 joinedAps 0 Oct0419 20 19 155 00 1a e3 d0 19 50SuccessfultransmissionofLWAPPDiscoveryResponsetoAP00 1a e3 d0 19 50onport8 Oct0419 20 19 156 00 1a e3 d0 19 50ReceivedLWAPPDISCOVERYREQUESTfromAP00 1a e3 d0 19 50toff ff ff ff ff ffonport 8 Oct0419 20 19 156 Receivedapacketwhichisa type DISCOVERY REQUEST withsessionid0 Oct0419 20 19 156 JoinPriorityProcessingstatus 0 IncomingAp sPriority1 MaxLrads 6 joinedAps 0 Oct0419 20 19 156 00 1a e3 d0 19 50SuccessfultransmissionofLWAPPDiscoveryResponsetoAP00 1a e3 d0 19 50onport8 Oct0419 20 31 162 00 1a e3 d0 19 50ReceivedLWAPPJOINREQUESTfromAP00 1a e3 d0 19 50to00 1e 13 51 2b 67onport 8 Oct0419 20 31 162 Receivedapacketwhichisa type JOIN REQUEST withsessionid0 Oct0419 20 31 177 00 1a e3 d0 19 50APAP001b 5302 28f8 txNonce00 1E 13 51 2B 60rxNonce00 1A E3 D0 19 50 Oct0419 20 31 177 00 1a e3 d0 19 50LWAPPJoinRequestMTUpathfromAP00 1a e3 d0 19 50is1500 remotedebugmodeis0 Oct0419 20 31 177 DTLAddingAP1 192 168 10 10 Oct0419 20 31 177 00 1a e3 d0 19 50SuccessfullyaddedNPUEntryforAP00 1a e3 d0 19 50 index1 SwitchIP 192 168 10 2 SwitchPort 12223 intIfNum8 vlanId0APIP 192 168 10 10 APPort 8847 nex Oct0419 20 31 911 00 1a e3 d0 19 50SuccessfultransmissionofLWAPPJoinReplytoAP00 1a e3 d0 19 50 Oct0419 20 31 912 00 1a e3 d0 19 50spam lrad c 1589 OperationState0 4 Oct0419 20 31 913 00 1a e3 d0 19 50RegisterLWAPPeventforAP00 1a e3 d0 19 50slot0 Oct0419 20 31 914 00 1a e3 d0 19 50RegisterLWAPPeventforAP00 1a e3 d0 19 50slot1 Oct0419 20 33 192 00 1a e3 d0 19 50ReceivedLWAPPCONFIGUREREQUESTfromAP00 1a e3 d0 19 50to00 1e 13 51 2b 67 Oct0419 20 33 194 00 1a e3 d0 19 50UpdatingIPinfoforAP00 1a e3 d0 19 50 static0 192 168 10 10 255 255 255 0 gtw192 168 10 254 Oct0419 20 33 194 00 1a e3 d0 19 50UpdatingIP192 168 10 10 192 168 10 10forAP00 1a e3 d0 19 50 Oct0419 20 33 194 00 1b 53 02 28 f8BuildingConfigResponseMsgfor00 1b 53 02 28 f8 确认AP连接到控制器 图形界面 命令行 PresentationTitleSize30PTOption2 Live 构建一个OPEN和一个WEP的无线网络 配置一个无线业务的基本步骤 配置无线客户端的DHCP服务器配置一个无线网络接口dynamicinterface配置一个无线业务WLAN AP的初始化 在WLC上可以通过使用ctrl Shift 6的组合键 切换到ISR路由器的界面 把AP连接在InterSwitch模块上WLC router config intvlan1WLC router config if noshutWLC router config if ipadd192 168 0 254255 255 255 0WLC router config if exitWLC router config intrangefastWLC router config intrangefastEthernet0 1 0 8WLC router config if range switchportWLC router config if range switchportaccessvlan1WLC router config if range noshut 1 为客户端建立DHCP服务器 2 为无线客户端建立一个无线接口 点击APPLY 2 建立Guest无线接口 VLAN20 查看建立的接口 点击可以进行VLAN20接口的参数修改 点击可以删除 3 建立一个open的访客WLAN 3 建立一个open的访客WLAN 很重要 很容易被忘记 3 建立一个open的访客WLAN 选择None 不对无线网络有任何加密和限制 WLAN增强特性配置 无线客户端连接测试 更改刚才的WLAN为WEP加密 40位WEP要求5位ASCII字符密码104位WEP要求13位ASCII字符密码CiscoAironet1100 1200 1300不支持128位WEP 无线连接验证 PresentationTitleSize30PTOption2 Live 构建一个简单WEB认证的无线接入网络 构建一个简单WEB认证的无线网络 增加一个新的地址池增加一个新的接口配置web页面认证的本地页面增加web认证的WLAN建立本地用户认证数据库 1 新建一个用于WEB认证用户的地址池 2 控制器添加一个VLAN30接口 3 配置web页面认证的本地页面 4 新建一个WLAN 4 新建一个WLAN 5 定义内部认证用户数据库 验证WEB认证 跟前面一样 在CSSC的ManageNetwork中 选择并激活web auth web界面认证的验证 在浏览器里输入类似http 10 10 10 10地址 因为没有DNS 所以不能输入网址 web界面认证的验证 PresentationTitleSize30PTOption2 Live 构建一个支持本地EAP认证的无线接入网络 构建一个支持WPA认证的网络 增加一个新