© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 无线控制器配置基础 2011.11.

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 2 基本配置任务及过程  准备工作 1. 控制器启动配置和升级控制器软件版本 2. 熟悉控制器配置界面 3. 连接 AP 到控制器上  配置任务 1. 思科 CSSC 无线客户端的安装和简单配置 2. 构建一个 OPEN 和一个 WEP 的无线网络 3. 构建一个简单 WEB 认证的无线网络 4. 构建一个支持本地 EAP 认证的无线网络 5. 构建一个用 ACS 做 AAA 认证的无线网络

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 5 AIR-CT2504-5-K92504 Wireless Controller with 5 AP Licenses$3,743.00 AIR-CT2504-15-K92504 Wireless Controller with 15 AP Licenses$7,493.00 AIR-CT2504-25-K92504 Wireless Controller with 25 AP Licenses$13,493.00 AIR-CT2504-50-K92504 Wireless Controller with 50 AP Licenses$19,493.00 2500 系列无线控制器  支持 802.11a/b/g/n  支持 PCI 认证  WLC2500 硬件 4 个 GE 口， 2 个上联口， 2 个下联口其中 2 个 GE 口有以太网供电最多支持到 50 个 AP ， 500 个客户端；多达 300Mbps 的吞吐量

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 6 5500 系列无线控制器  1 RU 高度 8 口千兆上联  支持 12, 25, 50, 100, 250, 500 AP ；  支持多达 7000 个客户端；  经过优化的 802.11n 性能；  智能射频控制平面，可以自行配置、修复和优化。  高效漫游功能可提升应用性能；  2 热插拔电源模块插槽 AIR-CT5508-500-K9Cisco 5508 Series Wireless Controller for up to 500 APs$220,490.00 AIR-CT5508-250-K9Cisco 5508 Series Wireless Controller for up to 250 APs$136,490.00 AIR-CT5508-100-K9Cisco 5508 Series Wireless Controller for up to 100 APs$83,990.00 AIR-CT5508-50-K9Cisco 5508 Series Wireless Controller for up to 50 APs$47,240.00 AIR-CT5508-25-K9Cisco 5508 Series Wireless Controller for up to 25 APs$33,590.00 AIR-CT5508-12-K9Cisco 5508 Series Wireless Controller for up to 12 APs$23,090.00

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 8 实验拓扑示例 TRUNK VLAN1/20/30/40 fa0/1 port 1 WLC 说明： 1 、 VLAN1 用于连接控制器、 AP 和 ACS ； 2 、 VLAN20 用于 WPA/WPA2 认证，认证服务器用 ACS 。 3 、 VLAN30 用作 OPEN/WEP/GUEST 客户接入 3 、 VLAN40 用作 WPA/WPA2 认证，认证用本地 EAP SSID:VLAN20 SSID:VLAN30 PC//AAA 服务器 VLAN1 所有 3 层网关设置在 3 层交换机上，地址 254

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 9 WLC 的组成及接口  管理接口：使用静态 IP 地址的接口，用于传输带内管理数据流，这些接口用于建立到 WLC 的 Web 、安全外壳（ SSH ）或 Telnet 会话。  AP 管理接口：使用静态 IP 地址的接口，所高 LAP 都使用它来端接 CAPWAP 隧道， WLC 也在该接口上侦听 LAP 试图发现控制器时发送的子网广播。  虚拟接口：用于中继来自无线客户端的 DHCP 请求的逻辑接口，给该接口分配一个伪造（但唯一）的静态 IP 地址，这样客户端将把该虚拟地址视为其 DHCP 服务器，在同一个移动组中，所有 WLC 都必须使用相同的虚拟接口地址。  服务端口： Cisco 5500 系列 WLC 使用的带外以太网接口，仅当控制器正在启动或网络问题导致无法进行其他方式的接入时才使用它， Catalyst 6500 无线服务模块（ Wireless Service Module ， WiSM ）有一个连接到机架监控器的内部服务端口。  集散系统端口：将 WLC 连接到园区网中交换机的接口，该接口通常是一个中继链路，用于传输覆盖了 LAP 和 VLAN 的数据流。

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 10 WLC 的组成及接口（续）  动态接口：根据需要，为通过 CAPWAP 隧道扩展到 LAP 的 VLAN 自动创建的接口，动态接口有时也被称为用户接口，动态接口使用的 IP 地址属于无线客户端 VLAN 的子网。  通常，预留一个管理 VLAN 和子网供 WLC 和 CAPWAP 使用，可以将管理子网中的 IP 地址分配给管理接口和 AP 管理器接口。所有来自外部的管理数据流（基于 Web 的、 Telnet 、 SSH 或 AAA ）和 CAPWAP 隧道数据流都将到达这些地址， LAP 将被放置到网络的各个地方，甚至是不同的交换模块中，因此应将 LAP 数据流视为外部的。  分配给 LAP 的 IP 地址不必属于 AP 管理器子网，在小型网络中， LAP 和 WLC 可能位于同一个子网中，因此它们在第 2 层是相邻的，在大型网络中， LAP 将分散在不同的交换模块中， LAP 和 WLC 的 IP 地址将各不相同，因为它们不是第 2 层邻居，这些地址将不属于 AP 管理子网。

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 12 WLC 接口布局示例  在这个例子中， WLC 通过物理端口 1 （ port 1 ）连接到 Cisco 3750 交换机的 gig 1/0/1 千兆端口， WLC 上所有的接口（ interface ）都映射到物理接口 1 。 WLC 上配置了 2 个 WLAN ，其中一个是开放认证（使用 Web portal 认证， SSID 为 open ），另一个是采用 EAP 认证（ SSID 为 secure ）。分别为开放的 SSID 和 EAP SSID 创建了一个动态接口并同相应的 VLAN 相关联，开放的 SSID 通 VLAN 3 相关联， VLAN 4 同加密的 SSID 相关联，管理端口（ management interface ）和 AP 管理接口（ AP Manager interface ）都使用 VLAN 60 ，为了使配置简单，我们忽略了服务端口（ service-port ），所有的网络服务（ AAA ， DHCP ， DNS ）都使用 Vlan 50 ， AP 将连接到 VLAN 5 。

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 13 WLC 初始配置  WLC 初始化的配置只能通过连接到 WLC 控制台端口（ Console ）的 Cisco 标准的 9600-8-N-1 电缆才能配置，然后使用 Startup Wizard 通过 CLI 输入参数， WLC 启动并运行其代码映像后， CLI 将以交互的方式提示输入下面的信息：  1) 系统名，这是一个标识 WLC 的字符串，最多可包含 32 个字符  2) 管理用户名和密码，默认分别为 admin 和 admin  3) 服务端口的 IP 地址（ DHCP 或静态地址）：如果选择使用静态地址，将提示您输入 IP 地址、子网掩码、默认网关和管理接口的 VLAN 号。如果管理 VLAN 没有被标记中继链路上的本地 VLAN ， native vlan ），请输入 VLAN 号 0  4) DHCP 服务器的地址，客户端服务器将从 DHCP 服务器那里获得其 IP 地址。

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 14 WLC 初始配置（续）  5) AP 管理器接口的 IP 地址。  6) 虚拟接口的 IP 地址（这是一个伪造的 IP 地址，通常为 1. 1.1.1 ）。  7) 移动组名称（在属于同一个移动组的所有 WLC 上都必须相同）。  8) 默认的 SSID ， LAP 加入控制器时将使用它， LAP 加入后， WLC 将把其他 SSID 提供给它。  9) 是否要求客户端从 DHCP 服务器那里获得 IP 地址 ? 如果要求客户端使用 DHCP 服务器，则输入 yes ，否则输入 no ，允许客户端使用静态的配置的地址。  10) 是否需要配置 RADIUS 服务器 ? （可以输入 NO ，通过 Web 前端配置 RADIUS 服务器）。

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 15 WLC 初始配置（续）  11) 配置国别码（输入 help 可获悉国别码列表，中国的国别码为 CN ）  12) 在 WLC 管理的所有 AP 上启用 / 禁用 802.11b 和 802.11g （系统提示您配置每种 WLAN 时，输入 YES 可启用它，输入 NO 将禁用它）。  13) 启用 / 禁用射频源管理 auto-RF 功能（输入 yes 将启用 RF 参数自动调整，输入 NO 将禁用它）。  输入上述信息后， WLC 将存储配置并重新启动。然后，便可以通过 WLC 的 Web 界面管理它。

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 16 启动选项 The controller boot sequence will always have these option available since this is set in PROM to ensure controller recovery options 按 5 清空配置

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 17 系统启动界面和配置 (OS 7.0)  Would you like to terminate autoinstall? [yes]:  System Name [Cisco_51:2b:60] (31 characters max): 2106-demo  AUTO-INSTALL: process terminated -- no configuration loaded  Enter Administrative User Name (24 characters max): cisco  Enter Administrative Password (24 characters max): cisco  Re-enter Administrative Password : cisco  Management Interface IP Address: 192.168.10.1  Management Interface Netmask: 255.255.255.0  Management Interface Default Router: 192.168.10.254  Management Interface VLAN Identifier (0 = untagged):  Management Interface Port Num [1 to 8]: 1  Management Interface DHCP Server IP Address: 192.168.10.254  AP Manager Interface IP Address: 192.168.10.2  AP-Manager is on Management subnet, using same values  AP Manager Interface DHCP Server (192.168.10.254):  Virtual Gateway IP Address: 1.1.1.1  Mobility/RF Group Name: demo

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 18 系统启动界面（续）  Enable Symmetric Mobility Tunneling [yes][NO]: yes  Network Name (SSID): open  Allow Static IP Addresses [YES][no]:  Configure a RADIUS Server now? [YES][no]: no  Warning! The default WLAN security policy requires a RADIUS server.  Please see documentation for more details.  Enter Country Code list (enter 'help' for a list of countries) [US]: CN  Enable 802.11b Network [YES][no]:  Enable 802.11a Network [YES][no]:  Enable 802.11g Network [YES][no]:  Enable Auto-RF [YES][no]:  Configure a NTP server now? [YES][no]: no  Configure the system time now? [YES][no]:  Enter the date in MM/DD/YY format: 09/28/08  Enter the time in HH:MM:SS format: 17:11:00  Configuration correct? If yes, system will save it and reset. [yes][NO]: yes  Configuration saved!  Resetting system with new configuration... 非常重要， Controller 的 wireless 的 domain 要和 AP 一致。

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 19 配置 3 层交换机  p dhcp excluded-address 192.168.10.1  ip dhcp excluded-address 192.168.10.254  ip dhcp excluded-address 192.168.10.2  !  ip dhcp pool AP  network 192.168.10.0 255.255.255.0  default-router 192.168.10.254  !  interface FastEthernet0/1  switchport trunk encapsulation dot1q  switchport mode trunk  ……  interface Vlan1  ip address 192.168.10.254 255.255.255.0  !  interface Vlan20  ip address 192.168.20.254 255.255.255.0  !  interface Vlan30  ip address 192.168.30.254 255.255.255.0  !  interface Vlan40  ip address 192.168.40.254 255.255.255.0  ……  line vty 0 4  privilege level 15  password cisco  login

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 20 配置 WEB 访问 1 、使用直通网线，连接交换机的 trunk 接口到控制器端口 1 2 、配置 PC 机的 IP 地址 192.168.10.100/24 或者 DHCP ，网关 192.168.10.254 3 、测试 PC 能否 Ping 通 Controller 的地址： 192.168.10.1 3 、用 https://192.168.10.1 访问控制器，如果要开启 http 访问，需要在系统里打开。 https://192.168.10.1

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 24 控制器软件升级 —— 命令行方式  Step1. ping server-ip-address 测试控制器与 TFTP server 的连通性  Step2. transfer download mode tftp 设置传输使用的协议： tftp  Step3. transfer download datatype code 设置传输的数据类型  Step4. transfer download serverip server-ip-address 指定 tftp server 的 IP 地址  Step5. transfer download filename filename 制定 Image 的文件名  Step6. transfer download start 开始传输文件，确认时如果回答 No, 则显示 TFTP 的参数设置  Step7. reset system WLC 的系统重新启动注： TFTP 服务器软件推荐 tftpd32 ，可以在网上免费下载，支持 64M 以上大文件传输

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 46 AP 发射功率调节 (AP1131)  Tx Power  Num Of Supported Power Levels............. 6  Tx Power Level 1.......................... 14 dBm  Tx Power Level 2.......................... 11 dBm  Tx Power Level 3.......................... 8 dBm  Tx Power Level 4.......................... 5 dBm  Tx Power Level 5.......................... 2 dBm  Tx Power Level 6.......................... -1 dBm AP1242 的 level 1 是 17dBm

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 49 Controller 里的 Port 还有 Vlan 以及 Interface 的对应关系  Controller 必需配置的接口带内管理接口 —“Management Interface” LWAPP Tunnel 终结接口 —“AP Manager Interface” 桥接的无线客户端接口 — “Dynamic Interfaces”. 二三层漫游而设的虚拟接口 — “Virtual Interface”  可选接口 : 服务接口 — 带外管理接口

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 52 在路由器或者 3 层交换机设置 DHCP 在 AP 和控制器不在同一网段的情况下，建立 AP 能够获取 IP Address 的地址池，加上 Option 43 WLC-router(config)#ip dhcp pool LWAPP-AP WLC-router(dhcp-config)#network 192.168.10.0 255.255.255.0 WLC-router(dhcp-config)#default-router 192.168.0.254 WLC-router(dhcp-config)#option 43 ascii "192.168.10.1“ // 很重要！通过 Option 43 可以让 AP 在获取和控制器不同网段 IP Address 的时候，能够知道 Controller 的所在。如果 AP 和控制器在一个网段和广播域，则可以不配置 option 43 WLC-router(dhcp-config)#exit WLC-router(config)#ip dhcp excluded-address 192.168.0.254

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 53 在 IOS 设备配置 Option 43  对于 1000/1500 系列，直接写 option 43 ascii “192.168.10.5,129.168.10.20“  对于 1100 和 1200 ，需要写 option 60 和 option 43  假设要连接 1240 ，控制器地址为 192.168.10.5 和 192.168.10.20 ip dhcp pool AP network 192.168.10.0 /24 default-router 192.168.10.254 dns-server 192.168.10.100 option 60 ascii “Cisco AP c1240 “ option 43 hex f108c0a80a05c0a80a14 option 43 的配置详见 http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_e xample09186a00808714fe.shtml VCI String 1130 的是 Cisco AP c1130 类型 = f1 长度 = 2 x 4 = 08 192.168.10.5 192.168.10.20

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 54 可以在 console 上打开 debug 观察 AP 加入情况  (Cisco Controller) >debug lwapp events enable  (Cisco Controller) >*Oct 04 19:20:19.154: 00:1a:e3:d0:19:50 Received LWAPP DISCOVERY REQUEST from AP 00:1a:e3:d0:19:50 to 00:1e:13:51:2b:60 on port '8'  *Oct 04 19:20:19.154: Received a packet which is a (type = DISCOVERY_REQUEST) with session id 0  *Oct 04 19:20:19.154: Join Priority Processing status = 0, Incoming Ap's Priority 1, MaxLrads = 6,joined Aps =0  *Oct 04 19:20:19.155: 00:1a:e3:d0:19:50 Successful transmission of LWAPP Discovery Response to AP 00:1a:e3:d0:19:50 on port 8  *Oct 04 19:20:19.156: 00:1a:e3:d0:19:50 Received LWAPP DISCOVERY REQUEST from AP 00:1a:e3:d0:19:50 to ff:ff:ff:ff:ff:ff on port '8'  *Oct 04 19:20:19.156: Received a packet which is a (type = DISCOVERY_REQUEST) with session id 0  *Oct 04 19:20:19.156: Join Priority Processing status = 0, Incoming Ap's Priority 1, MaxLrads = 6,joined Aps =0  *Oct 04 19:20:19.156: 00:1a:e3:d0:19:50 Successful transmission of LWAPP Discovery Response to AP 00:1a:e3:d0:19:50 on port 8  *Oct 04 19:20:31.162: 00:1a:e3:d0:19:50 Received LWAPP JOIN REQUEST from AP 00:1a:e3:d0:19:50 to 00:1e:13:51:2b:67 on port '8'  *Oct 04 19:20:31.162: Received a packet which is a (type = JOIN_REQUEST) with session id 0  *Oct 04 19:20:31.177: 00:1a:e3:d0:19:50 AP AP001b.5302.28f8: txNonce 00:1E:13:51:2B:60 rxNonce 00:1A:E3:D0:19:50  *Oct 04 19:20:31.177: 00:1a:e3:d0:19:50 LWAPP Join Request MTU path from AP 00:1a:e3:d0:19:50 is 1500, remote debug mode is 0  *Oct 04 19:20:31.177: DTL Adding AP 1 - 192.168.10.10  *Oct 04 19:20:31.177: 00:1a:e3:d0:19:50 Successfully added NPU Entry for AP 00:1a:e3:d0:19:50 (index 1)  Switch IP: 192.168.10.2, Switch Port: 12223, intIfNum 8, vlanId 0  AP IP: 192.168.10.10, AP Port: 8847, nex  *Oct 04 19:20:31.911: 00:1a:e3:d0:19:50 Successful transmission of LWAPP Join Reply to AP 00:1a:e3:d0:19:50  *Oct 04 19:20:31.912: 00:1a:e3:d0:19:50 spam_lrad.c:1589 - Operation State 0 ===> 4  *Oct 04 19:20:31.913: 00:1a:e3:d0:19:50 Register LWAPP event for AP 00:1a:e3:d0:19:50 slot 0  *Oct 04 19:20:31.914: 00:1a:e3:d0:19:50 Register LWAPP event for AP 00:1a:e3:d0:19:50 slot 1  *Oct 04 19:20:33.192: 00:1a:e3:d0:19:50 Received LWAPP CONFIGURE REQUEST from AP 00:1a:e3:d0:19:50 to 00:1e:13:51:2b:67  *Oct 04 19:20:33.194: 00:1a:e3:d0:19:50 Updating IP info for AP 00:1a:e3:d0:19:50 -- static 0, 192.168.10.10/255.255.255.0, gtw 192.168.10.254  *Oct 04 19:20:33.194: 00:1a:e3:d0:19:50 Updating IP 192.168.10.10 ===> 192.168.10.10 for AP 00:1a:e3:d0:19:50  *Oct 04 19:20:33.194: 00:1b:53:02:28:f8 Building Config Response Msg for 00:1b:53:02:28:f8

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 58 AP 的初始化在 WLC 上可以通过使用 ctrl + Shift + 6 的组合键，切换到 ISR 路由器的界面把 AP 连接在 InterSwitch 模块上 WLC-router(config)#int vlan 1 WLC-router(config-if)#no shut WLC-router(config-if)#ip add 192.168.0.254 255.255.255.0 WLC-router(config-if)#exit WLC-router(config)#int range fast WLC-router(config)#int range fastEthernet 0/1/0 – 8 WLC-router(config-if-range)#switchport WLC-router(config-if-range)#switchport access vlan 1 WLC-router(config-if-range)#no shut

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 68 更改刚才的 WLAN 为 WEP 加密 40 位 WEP 要求 5 位 ASCII 字符密码 104 位 WEP 要求 13 位 ASCII 字符密码 Cisco Aironet 1100/1200/1300 不支持 128 位 WEP

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 82 构建一个支持 WPA 认证的网络 1. 增加一个新的地址池 2. 增加一个新的动态接口 3. 添加本地 EAP 支持或者 AAA 服务器（ Radius 服务器） 4. 建立一个新的 WLAN SSID 5. 配置 WPA/WPA2 认证 6. 设置客户端

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 93 ACS 相关配置名词解释  ACS – Access Control Server  NAP – Network Access Profile  NAF – Network Access Filter  NAD – Network Access Device  NDG – Network Device Group  PA – Posture Agent  PV – Posture Validation  RAC – Radius Authorization Component  DACL – Dynamic Access Control List  ADF – Attribute Definition File

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 94 ACS 各部件逻辑关系 NAP Authentication Authorization Posture Validation Authentication DB Global Auth Setup Internal DB External DB Rule 1 Rule N Policy 1 Internal Posture Validation External Posture Validation External Posture Validation Audit RAC DACL NAF NAD + AAA NDG Switches Routers VPN GW FW Policy N or 通过认证后检查状态检查状态后指示设备配置关联组成下载至设备组成引用

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 无线控制器配置基础 2011.11.

Similar presentations

Presentation on theme: "© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 无线控制器配置基础 2011.11."— Presentation transcript:

Similar presentations

About project

Feedback

Log in

Auth with social network:

© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 无线控制器配置基础 2011.11.

Similar presentations

Presentation on theme: "© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 无线控制器配置基础 2011.11."— Presentation transcript:

Similar presentations

About project

Feedback