Настройка wifi cisco 9800

Обновлено: 06.07.2024

В данной статье мы рассмотрим базовую настройку беспроводной точки доступа Cisco lightweight access point (AP), которая подключена к контроллеру Cisco Wireless LAN (WLC) через свитч Cisco Catalyst.

Требования

Убедитесь в том, что ваша конфигурация соответствует следующим требованиям:

  • Базовые знания в области настройки беспроводных точек доступа Cisco lightweight AP и контроллеров Cisco WLC
  • Базовые знания в области облегчённого протокола беспроводного доступа LWAPP
  • Базовые знания в области настройки внешнего DHCP сервера и/или сервера доменных имён (DNS)
  • Базовые знания в области настройки свитчей Cisco Catalyst

Используемые компоненты

Информация, представленная в данном документе, базируется на следующем оборудовании и ПО:

  • Беспроводные точки доступа Cisco Aironet серии 1232AG
  • Cisco WLC серии 4402 с firmware 5.2.178.0
  • Microsoft Windows Server 2003 Enterprise DHCP server

Данная конфигурация так же может быть использована с другими моделями Cisco WLC и Cisco lightweight AP.

Информация в данном документе была собрана посредством лабораторных работ в тестовой среде.

Все устройства были с заводскими установками.

Прежде чем использовать данные из этой статьи в рабочей сети убедитесь в том, что Вы осознаёте все действия.
Все устройства использовались с настройками по умолчанию. Не забудьте сделать резервную копию конфигураций.

Немного теории

Контроллеры Cisco WLC способны управлять «облегчёнными» беспроводными точками доступа (далее LAP), которые в свою очередь «ищут» контроллер и регистрируются на нём. Это сравнимо с клиентами DHCP, которые посылают широковещательные запросы в поисках сервера DHCP.

В данном документе рассмотрены шаги конфигурации, которые необходимы для регистрации Cisco LAP на контроллерах Cisco WLC и базовые операции по настройке беспроводной сети LWAPP на оборудовании Cisco.

Конфигурация

Для регистрации LAP на контроллере Cisco WLC и для базовых операций над беспроводной сетью LWAPP необходимо выполнить следующие шаги:

  • Иметь сервер DHCP, который будет выдавать в аренду ip адреса для беспроводных точек доступа Cisco (далее AP). Примечание: Опция 43 (DHCP сервера) используется для AP, которые находятся в другой подсети, чем контроллер Cisco WLC.
  • Настроить контроллер Cisco WLC для базовых операций.
  • Настроить свитч Cisco (в нашем случае это Cisco Catalyst) для контроллера Cisco WLC.
  • Настроить свитч Cisco для AP.
  • Зарегистрировать Cisco AP облегчённой версии на контроллере Cisco WLC.

Информация, представленная в данном документе, основана на следующей сетевой диаграмме:

Настройка Cisco Wireless LAN Controller и Cisco Lightweight Access Point

Настройка Cisco Wireless LAN Controller и Cisco Lightweight Access Point

Настраиваем контролер Cisco WLC для базовых операций

Когда контроллер Cisco загружается с заводскими установками, то запускается скрипт в виде мастера настроек, который выполняет действия по начальному конфигурированию. Далее мы рассмотрим процедуру начальной конфигурации контроллера Cisco WLC описывает, как использовать интерфейс командной строки (CLI) для начальной настройки котроллера Cisco.

Примечание: Убедитесь в том, что вы знаете (а самое главное понимаете) как настраивать внешний DHCP сервер и/или сервер DNS.Выполните следующие шаги для начальной настройки контроллера Cisco WLC:Подключите ваш компьютер к контроллеру Cisco WLC при помощи ноль модемного серийного кабеля (DB-9).

Откройте эмулятор терминала и произведите следующие настройки:

  • 9600 Скорость
  • 8 бит данных
  • 1 стоповые биты
  • Нет чётности
  • Отключенное аппаратное управление потоком

Зайдите на командный интерфейс управления (CLI).По умолчанию имя пользователя и пароль для доступа на контроллер Cisco WLC это admin. Если стандартные имя пользователя и пароль не подошли (мы говорим о «чистой» железке с заводскими установками), то выполните команду reset system до загрузки контроллера.

После первого запуска мастера установки введите имя для контроллера Cisco. Имя может содержать до 32 символов ASCII.

На следующем шаге введите имя и пароль для администратора.

Имя пользователя и пароль могут содержать до 24 символов ASCII.

Введите сервис-порт протокола конфигурации IP , либо одно из значений none или DHCP. Введите none если вы не хотите использовать сервис порт или если вы хотите использовать для сервис-порта статический IP адрес.

Если вы введёте none на седьмом шаге, значит, вам будет необходимо ввести статический IP адрес для сервис порта и соответственно маску подсети следующих шагах мастера начальной конфигурации контроллера Cisco WLC. Если у вас нет желания использовать сервис порт введите 0.0.0.0 для IP адреса и маски подсети.

Введите значения для следующих опций:

  • IP адрес интерфейса управленияo
  • Сетевая маска IP адреса для шлюза по умолчанию
  • Опционально – идентификатор VLAN

Вы можете использовать существующий идентификатор VLAN или идентификатор 0 (ноль) для настройки VLAN позднее.

Примечание: Когда интерфейс управления на контроллера настроен как часть «родного VLAN» на switchport (свитча Catalyst), к которому он подключен, контроллер НЕ помечает кадры. to which it connects, the controller should NOT tag the frames.
Поэтому вы должны установить нулевое значение VLAN на контроллере.

  • Введите номер порта для физического сетевого интерфейса (Distribution System).
  • Для WLC можно использовать порты от 1 до 4 для гигабитных портов на передней панели.
  • Введите IP адрес DHCP сервера, который будет выдавать IP адреса клиентам, интерфейсу управления и интерфейса сервис порта, если используется только один интерфейс .
  • Введите тип транспорта LWAPP, один из LAYER2 или LAYER3.

Примечание: Если вы настраиваете контроллер Cisco WLC 4402 при помощи мастера конфигурации и выбираете в качестве транспорта LAYER2 для AP, то мастер конфигурации не будет задавать вопросы касающиеся менеджера AP. Введите IP адрес для виртуального шлюза (Virtual Gateway). Этот IP адрес может быть фиктивным (вымышленным), не использующимся IP адресом, как например IP адрес 1.1.1.1, который в последующем будет использоваться для Layer 3 Security и Mobility интерфейсами управления.

Примечание: Обычно в качестве IP адреса для виртуального шлюза выбирается приватный IP адрес.Введите имя для Cisco WLAN Solution Mobility Group/RF Group.Введите WLAN 1 service set identifier (SSID) или сетевое имя .Данный идентификатор SSID будет использоваться беспроводными точками доступа Cisco в качестве идентификатора по умолчанию при подсоединении их (точек) к контроллеру Cisco WLC.
Разрешите или запретите использование статических IP адресов клиентами.Выберете yes для разрешения клиентам получать их собственный IP адрес. Выберете no для того, чтобы клиенты запрашивали IP адреса у DHCP сервера.

Если вам необходимо настроить RADIUS сервер на контроллере Cisco WLC, выберете yes и введите следующую информацию:

  • IP адрес RADIUS сервера
  • Порт коммуникаций
  • Секретный ключ (shared secret) Если у вас нет необходимости в конфигурировании RADIUS сервера или вы хотите настроить его позже, то выберете no.
  • Введите код страны.
  • Введите команду help чтобы получить список доступных кодов для стран.
  • Включите или выключите поддержку для IEEE 802.11b, IEEE 802.11a и IEEE 802.11g.
  • Включите или выключите radio resource management (RRM) (auto RF).

Примечание: Интерфейс управления на контроллере Cisco WLC является единственным внешним интерфейсом, который можно «пинговать». Поэтому для вас не должно быть неожиданностью то, что вы не можете проверить доступность, используя команду ping, из внешней сети.

Примечание: Вы должны настроить интерфейс управления AP manager для того, чтобы беспроводные точки доступа Cisco могли регистрироваться на контроллере Cisco WLC.

Настройка Cisco Catalyst для контроллера Cisco WLC

В данном примере используется свитч Cisco Catalyst 3750, который использует только один порт. Интерфейс AP-manager и интерфейсы управления «подключены» на VLAN 60. Свитч порт сконфигурирован как IEEE 802.1Q транк (trunk) и только соответствующие VLAN ы, со второго VLAN по 4 VLAN и 60 VLAN, в данном примере, разрешены на транке. Управляющий и AP-manager VLAN (VLAN 60) «помечены» и не настроены как активный VLAN для транка. Поэтому, в данном примере настраивая интерфейсы на контролере Cisco WLC, мы «ассоциируем» данные интерфейсы с идентификатором VLAN.

Рассмотрим на примере конфигурацию свит порта 802.1Q:
interface GigabitEthernet1/0/1
description Trunk Port to Cisco WLC
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2-4,60
switchport mode trunkno shutdown

Настройка Cisco Catalyst для беспроводных точек Cisco AP

Ниже представлен пример настройки VLAN интерфейса на Cisco Catalyst 3750:

interface VLAN5
description AP VLAN
ip address 10.5.5.1 255.255.255.0

Несмотря на то, что контроллер Cisco WLCs использует 802.1Q trunk и, беспроводные точки доступа Cisco lightweight AP не понимают «помеченные» (tagging) VLAN и должны быть подключены только к access порту свитча Cisco Catalyst (который естественно должен быть «соседом» контроллера Cisco WLC)

Ниже представлена конфигурация switch port`а для Cisco Catalyst 3750:

interface GigabitEthernet1/0/22
description Access Port Connection to Cisco Lightweight AP
switchport access vlan 5
switchport mode access
no shutdown

Если вы всё сделали правильно, то ваша инфраструктура теперь готова к присоединению беспроводных точек AP. Беспроводные точки доступа используют различные методы обнаружения контроллеров WLC и выбирают контроллер для присоединения. После того, как контроллер Cisco WLC был обнаружен беспроводными точками они (точки доступа) регистрируются на контроллере.

Проверка
Используйте данный раздел для проверки своей конфигурации. После того, как беспроводные точки доступа Cisco зарегистрировались на контроллре , вы можете посмотреть их на закладке Wireless верхнего меню пользовательского интерфеса контроллера Cisco WLC:

Настройка Cisco Wireless LAN Controller и Cisco Lightweight Access Point

Настройка Cisco Wireless LAN Controller и Cisco Lightweight Access Point

Для того, чтобы убедится в том, зарегистрировались ли беспроводные точки Cisco на контроллере Cisco WLC при помощи командного интерфейса (CLI) вы можете воспользоваться командой show ap summary:

Так же вы можете воспользоваться командой show client summary:

1 MAC Address AP Name Status WLAN Auth Protocol Port

00:40:96:a1:45:42 ap:64:a3:a0 Associated 4 Yes 802.11a 1

Решение проблем

Используйте данный раздел для разрешения возникших проблем.

(Cisco Controller) >debug lwapp events enableTue Apr 11 13:38:47 2006:

Received LWAPP DISCOVERY REQUEST from AP

Tue Apr 11 13:38:47 2006: Successful transmission of LWAPP Discovery-Response

to AP 00:0b:85:64:a3:a0 on Port 1Tue Apr 11 13:38:58 2006:

Received LWAPP JOIN REQUEST from AP

Tue Apr 11 13:38:58 2006: LWAPP Join-Request MTU path

from AP 00:0b:85:64:a3:a0 is 1500, remote debug mode is

0Tue Apr 11 13:38:58 2006: Successfully added NPU Entry for AP 00:0b:85:64:a3:a0 (index 48) Switch IP: 192.168.60.2, Switch Port: 12223, intIfNum 1,

vlanId 60 AP IP: 10.5.5.10, AP Port: 19002, next hop MAC:

00:0b:85:64:a3:a0Tue Apr 11 13:38:58 2006: Successfully

transmission of LWAPP Join-Reply to AP 00:0b:85:64:a3:a0

Tue Apr 11 13:38:58 2006: Register LWAPP event for AP

00:0b:85:64:a3:a0 slot 0Tue Apr 11 13:38:58 2006: Register

LWAPP event for AP 00:0b:85:64:a3:a0 slot 1Tue Apr 11 13:39:00

2006: Received LWAPP CONFIGURE REQUEST from AP

00:0b:85:64:a3:a0 to 00:0b:85:33:a8:a0Tue Apr 11 13:39:00 2006:

10.5.5.10/255.255.255.0, gtw 192.168.60.1Tue Apr 11 13:39:00 2006:

Updating IP 10.5.5.10 ===> 10.5.5.10 for AP 00:0b:85:64:a3:a0

Tue Apr 11 13:39:00 2006: spamVerifyRegDomain RegDomain set for

slot 0 code 0 regstring -A regDfromCb -ATue Apr 11 13:39:00 2006:

spamVerifyRegDomain RegDomain set for slot 1 code 0 regstring -A

regDfromCb -ATue Apr 11 13:39:00 2006: spamEncodeDomainSecretPayload:

Send domain secret Mobility Group<6f,39,74,cd,7e,a4,81,86,ca,32,8c,06,d3,ff,ec,6d,95,10,99,dd> to AP 00:0b:85:64:a3:a0

Tue Apr 11 13:39:00 2006:

Successfully transmission of LWAPP Config-Message

to AP 00:0b:85:64:a3:a0Tue Apr 11 13:39:00 2006: Running

AP 00:0b:85:64:a3:a0 associated. Last AP failure was

due to Configuration changes, reason: operator changed 11g mode

Tue Apr 11 13:39:00 2006: Received LWAPP CHANGE_STATE_EVENT from AP

00:0b:85:64:a3:a0Tue Apr 11 13:39:00 2006: Successfully transmission of

LWAPP Change-State-Event Response to AP 00:0b:85:64:a3:a0

Tue Apr 11 13:39:00 2006: Received LWAPP Up event for

AP 00:0b:85:64:a3:a0 slot 0!Tue Apr 11 13:39:00 2006:

Received LWAPP CONFIGURE COMMAND RES from AP

00:0b:85:64:a3:a0Tue Apr 11 13:39:00 2006: Received

LWAPP CHANGE_STATE_EVENT from AP 00:0b:85:64:a3:a0

Tue Apr 11 13:39:00 2006: Successfully transmission of

LWAPP Change-State-Event Response to AP 00:0b:85:64:a3:a0

Tue Apr 11 13:39:00 2006: Received LWAPP Up event for AP

00:0b:85:64:a3:a0 slot 1!

Так же полезными могут оказаться следующие команды (выполняются на котроллере Cisco WLC):

Если беспроводные точки доступа не могут зарегистрироваться на контроллере, то вам необходимо прочитать документ по следующей ссылке Troubleshoot a Lightweight Access Point Not Joining a Wireless LAN Controller.

Начиная с версии 1.6.2524 WNAM поддерживает работу с контроллерами Cisco нового поколения, использующими операционную систему IOS XE, семейства Catalyst 9800 Wireless Controllers.

При этом взаимодействие реализовано по механизму Central Web Auth (CWA), который разработан Cisco для взаимодействия контроллера с программным обеспечением Cisco ISE. WNAM полностью эмулирует поведение ISE в данной задаче. Документация по настройке контроллеров серии 9800 вместе с ISE доступна на сайте производителя.

Авторизация по методу CWA основана на следующем:

  • при подключении устройства абонента к сети контроллером проводится RADIUS-запрос к серверу политики (WNAM) с целью получить ACL и URL перенаправления
  • проводится перехват трафика новой веб-сессии и перенаправление пользователя на полученную ссылку (без редиректа на контроллер)
  • осуществляется авторизация на внешней системе (WNAM) и/или показ рекламной/приветственной страницы
  • по завершении авторизации WNAM сообщает контроллеру по протоколу RADIUS CoA о необходимости ре-авторизации сессии пользователя
  • производится повторная авторизация пользователя контроллером на RADIUS-сервере и применение полученной политики "пропуска"
  • WNAM осуществляет перенаправление пользователя на заданную ссылку

При этом с точки зрения пользователя нет дополнительных редиректов, и ассоциированных с этим проблем.

При повторном подключении абонента, если включена МАС-авторизация на сервере доступа, и "прозрачные повторные сессии" в настройках ограничений, цепочка действий сокращается:

Этот механизм полезен в случае необходимости поддержки роуминга абонентов между точками доступа, либо после кратковременного отключения абонентского устройства от радио

Внимание! Перед настройкой авторизации через CWA необходимо вначале настроить SSID, точки доступа, маршрутизацию, DHCP и протестировать обычный доступ в интернет без авторизации.

В приведенных ниже примерах используются следующие адреса:

  • 172.16.131.5 - RADIUS-сервер WNAM
  • 172.16.131.5 порт 80 - административный и абонентский интерфейс WNAM
  • 93.180.6.168 - контроллер Cisco 9800-CL с ПО версии IOS XE 17.3.1
  • 10.241.144.0/24 - сеть для устройств беспроводных абонентов
  • SSID - IOS_XE_Test
  • Название стенда (сайт, профили, политики и т.п.) - R20
  • Конфигурация сети - Central switching, т.е. абонентский трафик терминируется на сети на стороне контроллера

Об особенностях настройки системы в конфигурации FlexConnect Local switching (абонентский трафик терминируется на сети на стороне точки доступа) см. ниже.

1. Настройка контроллера

Первым делом вы должны настроить SSID в режиме "без авторизации" и проверить, что беспроводной абонент имеет доступ в Интернет, то есть работают радио-часть, DHCP, NAT, маршрутизация.

Вы также можете выполнить все настройки по этой инструкции, но перед проверкой схемы с авторизацией отключить все настройки, связанные с перенаправлением (MAC Filtering, сервера authentication и authorization).

Сначала создаем запись о RADIUS-сервере, указав секретный ключ и IP-адрес.


Создаем метод Authentication:


Создаем метод Authorization:


Создаем метод Accounting:


Указываем дополнительные настройки RADIUS, в первую очередь интервал обновлений аккаунтинга, и формат данных в RADIUS-пакетах:


Создаем политику обработки трафика, которую потом применим к нашей сети. Обратите внимание, что наша сеть имеет свойство Central switching.


Политика доступа включает профилирование трафика абонентов, а также локальный (для контроллера) VLAN, куда абоненты будут подключаться.

Включение глобальной классификации производится в разделе "Configuration - Wireless - Wireless Global", подробнее об этом на сайте Cisco.


Расширенные настройки, помимо прочего, привязывают политику к ААА-серверу.


Теперь настроим сам профиль беспроводной сети WLAN, задав SSID и другие настройки. В части авторизации выберем открытую сеть и свойство MAC Filtering, также укажем ссылку на метод авторизации.



Привяжем профиль к политике, и запомним, что профиль имеет номер 1 - это потом понадобится.


Создадим полиси тэг - ещё одну связку.


Привяжем его к локации (сайту), где в терминологии контроллера (не WNAM!) находятся точки доступа. Обратите внимание на чекбокс Local Site: он определяет, что точки доступа на этом сайте находятся в Local, а не FlexConnect режиме.


Наконец, привяжем все эти тэги, сайты и политики к точке доступа:


Для такой привязки есть удобный визард (даже два) в разделе Wireless Setup.




Обратите внимание, что мы нигде не задаём имя URL перенаправления на внешний сервер WNAM. Эта информация поступит на контроллер в RADIUS-ответе в специальных атрибутах. Там же поступит имя списка доступа, ACL, который необходимо предварительно создать на контроллере. Это делается в меню "Configuration-ACL". Список доступа в явном виде (в настройках контроллера) не применяется ни к профилю SSID, ни к политике.

Список доступа определяет правила пропуска неавторизованного трафика абонента. Внимание! В контроллерах на базе IOS XE формат списка доступа противоположен формату, применяемому в контроллерах предыдущего поколения. там где раньше было правило типа permit, требуется указывать deny, и наоборот.

Создайте список доступа с именем (в примере: wnam_acl_xe) и обязательно запомните это имя. Оно понадобится позже при настройке сервера доступа WNAM.

Задайте правила доступа к DNS-серверам, и к вашему серверу WNAM (можно по IP, можно и с указанием TCP-портов). Последнее правило типа permit any any.


На этом настройка контроллера закончена.

Вы также можете посмотреть на настройки контроллера в формате текстового файла для CLI здесь.

2. Настройка WNAM

Создайте запись о сервере доступа типа Cisco WLC (сервер доступа - контроллер). Укажите адрес, имя, местоположение. Логин и пароль не используются.


Во вкладке RADIUS укажите:

В параметрах "атрибуты предварительной авторизации"

При этом имя ACL должно соответствовать тому имени, что вы создали на контроллере. Параметр %URL% будет заменен системой WNAM при формировании ответа контроллеру. При копировании атрибутов отсюда убедитесь, что они не начинаются с пробелов.

Также укажите секретный RADIUS ключ (как вы указали на контроллере в настройках ААА-сервера), и включите МАС-авторизацию.


Внимание! Если сеть, в которой находится контроллер, ещё не была глобально разрешена для работы WNAM в настройках "Конфигурация - Дополнительные настройки, ключ radiusd_networks", обязательно добавьте её там.

Настройте запись о площадке оказания услуги. В качестве "дополнительного ID" необходимо обязательно указать индекс (порядковый номер) профиля WLAN/SSID на контроллере, который соответствует вашей гостевой сети. Этот номер соответствует RADIUS-атрибуту Airespace-Wlan-Id, который передает контроллер. Вы также можете указать название сети (SSID).


На этом и настройка WNAM закончена.

3. Тестирование

Проведите попытку авторизации в Wi-Fi сети.

На контроллере абонент должен находиться в состоянии WebAuth Pending, при этом к нему применится политика перенаправления, и ACL:



В логе WNAM, в файле /home/wnam/logs/wnam.log появятся строки, говорящие о срабатывании подключения:

21:11:49.743 DEBUG [c.n.wnam.services.WnamCmdService:1307] - Cisco CWA AUTH MAC=74:9E:AF:6C:3F:20, NAS_IP=93.180.6.168, CUST=existing, site_id=262
21:11:51.254 DEBUG [c.n.wnam.services.WnamCmdService:671] - ACCT Start new session MAC=74:9E:AF:6C:3F:20, IP=null, User=749eaf6c3f20, NAS_IP=93.180.6.168, site_id=262
21:11:51.283 DEBUG [c.n.wnam.services.WnamCmdService:671] - ACCT Interim-Update new session MAC=74:9E:AF:6C:3F:20, IP=10.241.144.103, User=749eaf6c3f20,
NAS_IP=93.180.6.168, site_id=262
21:11:53.524 DEBUG [c.n.wnam.services.WnamCmdService:671] - ACCT Interim-Update existing session duration=00:00:02, MAC=74:9E:AF:6C:3F:20, IP=10.241.144.103,
User=749eaf6c3f20, NAS_IP=93.180.6.168, site_id=262

Если в логе ничего нет, либо появляется три подряд события типа Cisco CWA AUTH, значит у вас неправильный RADIUS-ключ или не настроен доступ (не проходят пакеты) протокола RADIUS.

Обратите внимание, что IP адрес мобильное устройство получает не сразу, а только после срабатывание CWA Auth запроса. Два события подряд типа Accounting-Interim сообщают о присвоении IPv4 и IPv6 адресов.

После этого срабатывает хотспот-авторизация (CNA) на мобильном устройстве (появление всплывающего окна) с отображением страниц авторизации/приветствия:

которое завершается нажатием абонентом кнопки перехода в Интернет, и цепочкой RADIUS-событий:

С точки зрения контроллера, абонентское подключение переходит в состояние Run, а примененный временный ACL убирается:


При этом в веб-интерфейсе WNAM появляется запись о сессии вида:


Идущую в настоящий момент сессию абонента также возможно остановить вручную, нажав на соответствующую кнопку:


При повторной авторизации (если сработали условия прозрачного входа абонента) RADIUS-цепочка событий сокращается:

22:25:54.083 DEBUG [c.n.wnam.services.WnamCmdService:1227] - AUTH transparent next session MAC=74:9E:AF:6C:3F:20, NAS_IP=93.180.6.168, site_id=262, back=0 s., counter=1, PERMIT
22:25:55.166 DEBUG [c.n.wnam.services.WnamCmdService:671] - ACCT Start new session MAC=74:9E:AF:6C:3F:20, IP=10.241.144.103, User=749eaf6c3f20, NAS_IP=93.180.6.168, site_id=262
22:25:59.103 DEBUG [c.n.wnam.services.WnamCmdService:671] - ACCT Interim-Update existing session duration=00:00:03, MAC=74:9E:AF:6C:3F:20, IP=10.241.144.103, User=749eaf6c3f20, NAS_IP=93.180.6.168, site_id=262

Абонент сразу получает доступ в сеть.

3. Особенности настройки в режиме FlexConnect

Напомним, что в режиме FlexConnect точка доступа может работать по более медленным каналам связи с контроллером, и с большей задержкой взаимодействия, т.е. в более автономном виде, принимая часть функций контроллера на себя. При этом возможна реализация режима Local switching, при котором трафик беспроводного абонента терминируется в VLAN прямо на точке доступа, а не уходит на контроллер.

Настройка WNAM для работы сети в FlexConnect режиме ничем не отличается от традиционного, локального режима. RADIUS-трафик проксируется контроллером, т.е. WNAM по-прежнему не взаимодействует с точкой доступа напрямую. Поведение беспроводного абонента, и последовательность шагов при его подключении такие же. Настройка беспроводного контроллера при этом несет ряд отличий.

Информацию о настройке FlexConnect режима можно посмотреть здесь, здесь и здесь. По сравнению с обычной конфигурацией, вам необходимо сделать Flex профиль, связать его с профилем SSID, с точкой доступа. В нашем примере сайт, группа и т.п. имеют префикс AB8, SSID и RADIUS-настройки, а также ACL-прежние. Точка доступа, и беспроводные клиенты, находятся в сети 172.16.131.0/24.

Текстовая конфигурация контроллера (CLI) находится здесь, а настройка через GUI описана далее.


Для Flex политики обязательно нужно выбрать ранее созданный ACL, указать что он используется для CWA. Контроллер предварительно загрузит его в точку доступа, который там будет выглядеть так:

ip access-list extended wnam_acl_xe
permit udp any range 0 65535 any eq domain
permit udp any eq domain any range 0 65535
permit ip any host 172.16.131.5
permit ip host 172.16.131.5 any
deny ip any any

Обратите внимание, что в данном случае ACL классический, с традиционным порядком и значениями permit/deny.


Вам также необходимо задать VLAN, в который будет терминироваться локально трафик клиента на точке доступа.


Вам необходимо создать новую политику, она определяет тип свитчинга трафика: локальный, при этом авторизация-центральная.


Вы должны указать, в какой локальный (для точки доступа) VLAN попадает клиентский трафик.


Здесь вы также привязываете старые AAA политики, и убираете чекбокс с VLAN Central Switching, эффективно делаю эту политику Flex-политикой.


Тэг связывает политику и WLAN профиль, т.е. SSID.


Для сайта вы привязываете ранее определенные политики, чекбокса у Local Site теперь нет. Точка доступа на этом сайте переходит в режим Flex.


Здесь можно вручную привязать заданную точку доступа к тэгу.


После сделанных выше настроек в представлении Wireless setup вы увидите сайт с привязанными ACL и т.п. Добавлять AAA-сервер на точку доступа не нужно.



После подключения Wi-Fi абонента сведения о его статусе работы показывают, что применились Flex политики с локальным свичингом и центральной авторизацией, при этом клиент находится в локальном VLAN, где и точка доступа.


Для 3504 Wireless Controller LIC-CT3504-1A Для Catalyst 9800-L, Catalyst 9800-40, Catalyst 9800-CL


AIR-DNA-A-3Y AIR-DNA-A-5Y AIR-DNA-A-7Y


AIR-DNA-E-3Y AIR-DNA-E-5Y AIR-DNA-E-7Y Cisco DNA Advantage (включает DNA Essentials) 3,5,7 Year Terms

Advanced Automation
SD-Access
Location Plug and Play
Automated ISE integration for guest
Third Party integration

Enhanced Security and IoT
Encrypted Traffic Analitics
Advanced WIPS (Detailed Signatures)

Policy Based Workflows
EasyQoS configuration
EasyQoS monitoring
Policy-based Automation

Element Management
Patch Lifecycle Management

Assurance and Analytics
Guided Remediation
Apple IOS Insights
Proactive Issue Detection
Aplication performance (Packet loss, latency, Jitter)
App360, AP360, Client 360, WLC 360
Custom Reports
Docker Container Support

Advanced Security
Adaptive WIPS

Network Advantage (включает Network Essentials) Perpetual

High Availability and Resilliency
ISSU
Rolling AP Upgrades
Patching (CLI)
AP service pack/AP device pack

Flexible Network Segmentation
VXLAN

Basic Automation
PhP Application
Network Site Design and Device Provisioning

Element Management
Software Image Management
Discovery, Network Topology
AVC

Telemetry
Flexible Netflow

Basic Assurance
Health Dashboard (Network, Client, Application)
AP Floormap and Coverage map
Pre-defined Reports

Base Security
Cisco DNA Center Management and Visibility for Rogue Detection

Network Advantage (включает Network Essentials) Perpetual

Essential Wireless Capabilities
802.1x authentications, Guest Access,
device onboarding, Infra and client
IPv6, ACLs, QoS, VideoStream, Smart
defaults, RRM, Spectrum Intelligence,
TrusSEC SXP, AP and client SSO,
Dynamic QoS, ADP, OpenDNS, mDNS,
IPSEC, Rogue Management and
Detection on Controller, Mobility

Optimized RF
FRA, ClientLink, CleanAir Advanced
Predictive/Proactive RRM

DevOps Integration
PnP Agent
NETCONF, RESTCONF
gNMI
Yang Data Models
GuestShell
On-Box Python

IoT Optimized
Identity PSK, Enhanced
Device profiles
Telemetry and Visibility
Model-driven Telemetry
NETCONF dial-in,
gRPC dial out

В данной статье рассматривается пример настройки базового беспроводного соединения LAN (WLAN) посредством точки беспроводного доступа Cisco Aironet (Cisco Aironet Access Point) и компьютеров, оснащенных клиентскими адаптерами, совместимыми с оборудованием Cisco. В приводимом примере используется графический интерфейс пользователя.

Перед выполнением настройки убедитесь, что выполняются следующие условия:

  • Знание основ технологии беспроводного (радио-) доступа
  • Знакомство с базовыми принципами доступа к точке доступа Cisco

В настоящем документе предполагается, что на ПК уже установлены все необходимые драйверы и клиентские беспроводные карты.

Сведения, содержащиеся в данном документе, получены в результате использования следующих версий программного и аппаратного обеспечения:

  • Одна точка доступа Aironet 1200 Series, использующая ПО Cisco IOS® Software версии 12.3(7)JA
  • Три клиентских адаптера точки Aironet 802.11a/b/g, использующие микропрограмму версии 2.5
  • Утилита Aironet Desktop Utility (ADU) версии 2.5

Примечание: В настоящем докменте описывается точка доступа, оснащенная внутренней (встроенной) антенной. Если вы используете точку доступа, имеющую внешнюю антенну, тогда убедитесь, что эта антенна подключена к точке доступа. В противном случае точка доступа не сможет подключиться к беспроводной сети. Некоторые модели точек доступа оснащены встроенными антеннами, в то время как другие модели требуют наличия внешней антенны. Для получения сведений об точках доступа, оснащенных внешними или внутренними антеннами, обратитесь к справочному руководству, которое прилагается к соответствующему устройству.

Информация, представленная в этом документе, была получена при использовании устройств в специальных лабораторных условиях. При написании данного документа использовались только устройства с "чистой" (стандартной) конфигурацией. При работе в условиях реальной сети оператор должен понимать последствия использования любой команды или изменений, внесенных в графическом интерфейсе пользователя.

Схема сети

В данном документе используется следующая схема сети:

На схеме сети изображены три клиентских адаптера Aironet 802.11a/b/g, подключенных к точке доступа 1200 AP. В документе описывается настройка клиентских адаптеров, которая позволяет адаптерам взаимодействовать друг с другом посредством беспроводного интерфейса.

Точка доступа использует следующие настройки:

  • Идентификатор набора служб (Service Set Identifier – SSID): CISCO123
  • Базовая аутентификация: Открытая аутентификация с шифрованием WEP (Wired Equivalent Privacy )

В настоящем документе описывается процедура настройки точки доступа и клиентских адаптеров.

Настройка точки доступа

Точку доступа можно настроить при помощи одного из следующих средств:

  • Графический интерфейс пользователя
  • Интерфейс командной строки (после установления сеанса Telnet)
  • Консольный порт

Примечание: чтобы подключиться к точке доступа через консольный порт, последовательный порт RS-232 точки доступа необходимо соединить с COM-портом ПК посредством 9-штырькового прямого последовательного кабеля DB-9. Для установления соединения с точкой доступа необходимо настроить эмулятор терминала. Для настройки соединения через эмулятор терминала необходимо использовать следующие настройки:

  • 9600 baud (9600 бод)
  • 8 data bits (8 бит данных)
  • No parity (Четность не проверяется)
  • 1 stop bit (1 стоповый бит)
  • No flow control (Управление потоком отключено)

В данном документе описывается процедура настройки при помощи графического интерфейса пользователя.

Существует два способа подключения к точке доступа при помощи GUI:

  • Перед подключением посредством GUI назначить устройству IP-адрес.
  • Получить IP-адрес воспользовавшись протоколом динамического конфигурирования хоста (DHCP).

Различные модели точек доступа Aironet по-разному работают с IP-адресами. При подключении к LAN таких точек доступа, как Aironet 350, 1130AG, 1200 и 1240AG, имеющих настройки по умолчанию, точка доступа запрашивает IP-адрес на DHCP-сервере. Если точка доступа не получит IP-адрес, то она будет постоянно отправлять запросы на сервер.

При подключении к LAN точки доступа Aironet 1100, имеющей настройки по умолчанию, эта точка доступа предпринимает несколько попыток получить IP-адрес от DHCP-сервера. Если точка доступа не получит IP-адрес, тогда будет назначен IP-адрес 10.0.0.1, который будет действовать в течение 5 минут. В течение 5-минутного периода можно найти IP-адрес, используемый по умолчанию, и настроить статический адрес. Если точка доступа не будет настроена в течение 5 минут, тогда точка доступа отвергает адрес 10.0.0.1 и запрашивает адрес на DHCP-сервере. Если точка доступа не получит IP-адрес, то она будет постоянно отправлять запросы на сервер. Если вы не успеете за 5 минут определить адрес по умолчанию, тогда точку доступа можно выключить и снова повторить всю процедуру.

В этом документе для сети используется точка доступа Aironet 1200. При выполнении входа на точку доступа через консоль на точке доступа будет настроен адрес 10.0.0.1.

Пошаговые инструкции

После настройки IP-адреса к точке доступа можно подключиться через браузер, чтобы настроить ее на прием клиентских запросов на ассоциирование, поступающих от клиентского адаптера.

Выполните следующие действия:

1. Чтобы посредством GUI получить доступ к точке доступа и чтобы вывести окно Summary Status, необходимо выполнить следующие действия:

  1. Откройте веб-браузер и в адресной строке введите 10.0.0.1.
  2. Чтобы пропустить поле Username и перейти к полю Password нажмите клавишу Tab.
    Появится окно "Enter Network Password".
  3. Введите пароль Cisco с учетом регистра и затем нажмите Enter.
    В окне "Summary Status" будет отображена следующая информация:

2. В меню слева щелкните опцию Express Setup.

Появится окно "Express Setup". Воспользуйтесь данным окном, чтобы настроить часть базовых параметров, которые необходимы для установления беспроводного подключения. Используйте окно "Express Setup" при работе с точкой доступа AP 1200 для того, чтобы настроить получение ассоциаций от беспроводных клиентов. Ниже представлен пример настройки:

3. В окне "Express Setup" в соответствующих полях укажите необходимые значения.

К настраиваемым параметрам относятся следующие:

  • Имя точки доступа
  • Настройка IP-адреса точки доступа (при использовании статического IP-адреса)
  • Шлюз по умолчанию
  • Строка сообщества протокола Simple Network Management Protocol (SNMP)
  • Роль, выполняемая в беспроводной сети
  • SSID

В нашем примере настраиваются следующие параметры:

  • IP address: 10.0.0.1
  • Host name: AP1200
  • SSID: CISCO123
    Примечание: индентификаторы SSID являются уникальными идентификаторами сети WLAN. Беспроводные устройства используют идентификаторы SSID для установления и поддержания беспроводных соединений. Идентификаторы SSID различают регистр ввода и могут содержать до 32 буквенно-цифровых символов. Не используйте пробелы или специальные символы в SSID.

Примечание: все другие параметры сохраняют значения, заданные по умолчанию.

4. Чтобы сохранить изменения, нажмите Apply.
5. Для настройки параметров радиосвязи, необходимо выполнить следующие действия:

  1. Выберите необходимый радио-интерфейс.
    В данном примере используется интерфейс Radio0-802.11B. После выбора интерфейса Radio0-802.11B станет доступной страница "Radio Status".
  2. Чтобы перейти к странице "Settings" для настройки радио-интерфейса, щелкните вкладку Settings.
  3. Чтобы включить радио-интерфейс, выберите Enable.
  4. Все остальные настройки, имеющиеся на данной странице, сохраняют значения, заданные по умолчанию.
  5. Чтобы сохранить внесенные изменения, в нижней части страницы нажмите Apply.

6. Для настройки идентификатора SSID и открытой аутентификации с шифрованием WEP выполните следующие действия:

В меню слева последовательно выберите Security > SSID Manager.

Появится страница "SSID Manager".

  1. В списке Current SSID выберите идентификатор SSID, который был создан при выполнении шага 3.
    В этом примере в качестве идентификатора SSID используется идентификатор "CISCO123".
  2. В разделе "Authentication Settings" ("Параметры аутентификации") выберите Open Authentication (Открытая аутентификация).
  3. Для всех остальных параметров сохраняются значения, заданные по умолчанию.
  4. Внизу страницы нажмите Apply.

7. Чтобы настроить ключи WEP, выполните следующие действия:

  1. В разделе "Encryption Modes" ("Режимы шифрования") щелкните WEP Encryption (шифрование WEP) и в раскрывающемся списке выберите Mandatory ("Обазательное").
  2. В области "Encryption Keys" ("Ключи шифрования") введите ключ для WEP-шифрования.

c. Чтобы сохранить изменения, нажмите Apply.

Настройка адаптера беспроводного клиента

Прежде чем приступить к настройке адаптера беспроводного клинета, на ПК или портативном компьютере необходимо установить собственно адаптер и его программные компоненты.

Пошаговые инструкции

По завершении установки клиентского адаптера можно приступить к его настройке. В этом разделе описывается процедура настройки клиентского адаптера.

Выполните следующие действия:

1. В Aironet Desktop Utility (ADU) создайте профиль клиентского адаптера.

В профиле задаются параметры, которые будут использоваться клиентским адаптером для подключения к беспроводной сети. АDU позволяет настроить до 16 различных профилей. В зависимости от имеющихся требований можно включать тот или иной профиль. Профили позволяют использовать клиентский адаптер в различных местах, для чего требуются различные настройки. Например, можно настроить профили для использования клиентского адаптера в офисе, дома и в общественных местах (аэропорты и зоны WI-FI).

Чтобы создать новый профиль, выполните следующие действия:

  1. В ADU щелкните вкладку Profile Management ("Управление профилями").
  2. Щелкните New.

Ниже приведен пример:

2. Когда появится окно "Profile Management (General)", то для того, чтобы задать имя профиля (Profile Name), имя клиента (Client Name) и идентификатор SSID, выполните следующие действия:

  1. В поле "Profile Name" введите имя профиля.
    В данном примере в качестве имени профиля используется используется имя OFFICE.
  2. В поле "Client Name" введите имя клиента.
    Имя клиента используется для идентификации беспроводного клиента в сети WLAN. В данном случае для первого клиента используется имя Client 1.
  3. В области "Network Names" укажите идентификатор SSID, который будет использоваться в этом профиле.

Здесь указывается тот же идентификатор SSID, что был настроен для точки доступа. В данном примере используется идентификатор SSID CISCO123.

3. Для настройки параметров безопасности необходимо выполнить следующие действия:

  1. В верхней части окна щелкните вкладку Security ("Безопасность").
  2. В области "Set Security Options" щелкните Pre-Shared Key (Static WEP).

Ниже приведен пример:

c. Нажмите Configure.

Появится окно "Define Pre-Shared Keys" ("Предварительные совместно используемые ключи").

d. В области "Key Entry" ("Числовое представление ключа") выберите тип числового представления.

В данном примере используется шестнадцатиричное представление ключа (0-9, A-F).

e. В области "Encryption Keys" введите ключ WEP, который будет использоваться для шифрования пакетов с данными.

В данном примере используется ключ WEP – 1234567890abcdef1234567890. См. пример в пункте d.

Примечание: используйте тот же самый ключ WEP, который был настроен для точки доступа.

  1. В верхней части окна "Profile Management" щелкните вкладку Advanced.
  2. Убедитесь, что в области "802.11 Authentication Mode" выбрана опция Open.

Примечание: обычно открытая аутентификация выбрана по умолчанию.

6. Чтобы сделать активным данный профиль, нажмите Activate.

Примечание: для создания нового профиля можно воспользоваться теми же самыми Пошаговыми инструкциями. Для создания профиля можно использовать и другой метод, в котором клиентский адаптер выполняет сканирование радио-окружения и определяет имеющиеся сети, а затем по результатам сканирования создается профиль. Для настройки двух других клиентских адаптеров можно использовать ту же самую процедуру настройки. Для других адаптеров можно использовать тот же самый индентификатор SSID. В этом случае различаться будут только имена клиентов и IP-адреса, которые статически назначаются каждому из адаптеров.

Примечание: в нашем примере предполагается, что IP-адрес клиентского адаптера настраивается вручную и что этот адрес находится в той же подсети, что и точка доступа.

Проверка

Воспользуйтесь данным разделом, чтобы проверить правильность функционирования вашей конфигурации.

После того как были произведены настройки и активирован профиль, клиентский адаптер подключается к точке доступа. Чтобы проверить статус клиентского соединения, в верхней части окна ADU щелкните вкладку Current Status ("Текущий статус").

В данном примере показано, что клиент успешно подключился к точке доступа. Так же можно видеть, что для связи с точкой доступа клиент использует канал 1 и шифрование WEP. При этом в поле "Server Based Authentication" ("Серверная аутентификация") указано "None", поскольку используется открытая аутентификация:

Для проверки подключения к точке доступа можно использовать другой метод. На домашней странице точки доступа в меню, расположенном слева, нажмите Association. Ниже приведен пример:

Устранение неполадок

Jul 21 14:14:52.782 EDT: %RADIUS-3-ALLDEADSERVER: Group rad_eap: No active radius servers found. Id 254

Такая ошибка возникает на коммутаторах Catalyst 2950 и 3750 в том случае, если значения, указанные в поле RADIUS State(24), меняются между "Access Challenge" и "Access Request". Это связано с ошибкой Cisco с идентификатором CSCef50742. Данная неполадка устранена в Cisco IOS версии 12.3(4)JA При использовании версии 12.3(4)JA клиенты успешно выполняют аутентификацию 802.1X через коммутаторы Cisco Catalyst 2950 и 3750 (т.е. сбой, возникающий из-за изменения значений в поле "State (24)", был устранен).

Есть вопросы?
Обращайтесь в "Аквилон-А", чтобы узнать подробности и получить именно то, что вам требуется.

Читайте также: