Вы здесь

Настройка Cisco WLC 2504

nastroyka_wlc_2504_01_ciscomaster.ru.jpg
Настройку контроллера будем производить в соответствии со схемой:
nastroyka_wlc_2504_02_ciscomaster.ru.jpg

Начало работы – подключаемся по серийному порту и осуществляем основную конфигурацию, чтобы затем подключиться по Http для дальнейшего конфигурирования.

CISCO SYSTEMS Embedded BIOS Version 1.0(12)12 07/23/08 10:37:30.75 Low Memory: 632 KB High Memory: 251 MB PCI Device Table. Bus Dev Func VendID DevID Class Irq 00 01 00 1022 2080 Host Bridge 00 01 02 1022 2082 Chipset En/Decrypt 11 00 0C 00 1148 4320 Ethernet 11 00 0D 00 177D 0003 Network En/Decrypt 10 00 0F 00 1022 2090 ISA Bridge 00 0F 02 1022 2092 IDE Controller 00 0F 03 1022 2093 Audio 10 00 0F 04 1022 2094 Serial Bus 9 00 0F 05 1022 2095 Serial Bus 9 Evaluating BIOS Options ... Launch BIOS Extension to setup ROMMON Cisco Systems ROMMON Version (1.0(12)12) #0: Thu Jul 24 06:25:20 MDT 2008 Platform AIR-WLC2125-K9 Launching BootLoader... Cisco Bootloader (Version 4.0.191.0) .o88b. d888888b .d8888. .o88b. .d88b. d8P Y8 `88' 88' YP d8P Y8 .8P Y8. 8P 88 `8bo. 8P 88 88 8b 88 `Y8b. 8b 88 88 Y8b d8 .88. db 8D Y8b d8 `8b d8' `Y88P' Y888888P `8888Y' `Y88P' `Y88P' Booting Primary Image... Press now for additional boot options... Detecting hardware . . . . Ђ Cryptographic library self-test....passed! XML config selected Validating XML configuration Cisco is a trademark of Cisco Systems, Inc. Software Copyright Cisco Systems, Inc. All rights reserved. Cisco AireOS Version 5.2.193.0 Initializing OS Services: ok Initializing Serial Services: ok Initializing Network Services: ok Error mounting license storage (6) !! Initializing Licensing Services: ok Starting ARP Services: ok Starting Trap Manager: ok Starting Network Interface Management Services: ok Starting System Services: ok Starting FIPS Features: ok : Not enabled Starting Fast Path Hardware Acceleration: ok Starting Switching Services: ok Starting QoS Services: ok Starting Policy Manager: ok Starting Data Transport Link Layer: ok Starting Access Control List Services: ok Starting System Interfaces: ok Starting Client Troubleshooting Service: ok Starting Management Frame Protection: ok Starting LWAPP: ok Starting CAPWAP: ok Starting Certificate Database: ok Starting VPN Services: ok Starting Security Services: ok Starting Policy Manager: ok Starting Authentication Engine: ok Starting Mobility Management: ok Starting LOCP: ok Starting Virtual AP Services: ok Starting AireWave Director: ok Starting Network Time Services: ok Starting Cisco Discovery Protocol: ok Starting Broadcast Services: ok Starting Power Over Ethernet Services: ok Starting Logging Services: ok Starting DHCP Server: ok Starting IDS Signature Manager: ok Starting RFID Tag Tracking: ok Starting Mesh Services: ok Starting TSM: ok Starting CIDS Services: ok Starting Ethernet-over-IP: ok Starting DTLS server: enabled in CAPWAP Starting FMC HS: ok Starting WIPS: ok Starting SSHPM LSC PROV LIST: ok Starting Management Services: Web Server: ok CLI: ok Secure Web: Web Authentication Certificate not found (error). If you cannot access management interface via HTTPS please reconfigure Virtual Interface. (Cisco Controller) Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backup Would you like to terminate autoinstall? [yes]: AUTO-INSTALL: starting now... cisco2100 Invalid response Would you like to terminate autoinstall? [yes]: no *** autoinstall must be terminated in order to run the configuration wizard. Would you like to terminate autoinstall? [yes]: yes System Name [Cisco_3d:d3:00] (31 characters max): AUTO-INSTALL: no interfaces registered. AUTO-INSTALL: process terminated -- no configuration loaded cisco2100 Enter Administrative User Name (24 characters max): Cisco Enter Administrative Password (24 characters max): ******* Re-enter Administrative Password : ******* Management Interface IP Address: 10.10.41.2 Management Interface Netmask: 255.255.255.0 Management Interface Default Router: 10.10.41.1 Management Interface VLAN Identifier (0 = untagged): 109 Management Interface Port Num [1 to 8]: 1 Management Interface DHCP Server IP Address: Invalid response Management Interface DHCP Server IP Address: 10.10.47.11 Virtual Gateway IP Address: 1.1.1.1 Mobility/RF Group Name: Invalid response Mobility/RF Group Name: mobil Network Name (SSID): priemka Allow Static IP Addresses [YES][no]: no Configure a RADIUS Server now? [YES][no]: no Warning! The default WLAN security policy requires a RADIUS server. Please see documentation for more details. Enter Country Code list (enter 'help' for a list of countries) [US]: RU Global Public Safety State: Already configured, Configuring Local States... Enable 802.11b Network [YES][no]: yes Enable 802.11a Network [YES][no]: yes Enable 802.11g Network [YES][no]: yes Enable Auto-RF [YES][no]: yes Configure a NTP server now? [YES][no]: no Configure the system time now? [YES][no]: yes Enter the date in MM/DD/YY format: 02/24/2010 Invalid response Enter the date in MM/DD/YY format: 02/24/10 Enter the time in HH:MM:SS format: 13.44.30 Invalid response Enter the time in HH:MM:SS format: 13.44.30[D[D[D Invalid response Enter the time in HH:MM:SS format: 13:44:30 Configuration correct? If yes, system will save it and reset. [yes][NO]: yes

Смысл данной операции – задать management interface, т.е. интерфейс котрый используется для управления.
После выполнения данных операций мы уже сможем подключаться и осуществлять дальнейшее управление с использованием Web интерфейса.
Посмотрим настройки интерфейса management:

nastroyka_wlc_2504_03_ciscomaster.ru.jpg
nastroyka_wlc_2504_04_ciscomaster.ru.jpg

Немного теории Management interface

Management interface – Интерфейс для управления.
смотрит в сторону switched network, т.е. там где расположены AP, юзера.
Предназначен для подключения к контроллеру для администрирования а также AAA серверов.
Management traffic состоит из протоколов типа HTTPS, SSH, SNMP, NTP, TFTP. Также туннель между WLC и AP - CAPWAP строится также на management interface.
IP подсеть для администрирования как правило отдельная и совпадает с подсетью в которой находятся сами точки доступа.
Порт от контроллера на свитч является транковым.

Немного теории virtual interface

Virtual interface используется для некоторых операций с клиентом.
Например с помощью него производится DHCP relay, и с точки зрения клиента DHCP сервер будет выглядеть с IP адресом от virtual interface.
Поскольку virtual interface используется только для специфичных целей, рекомендуется дать ему nonroutable адрес типа 10.1.1.1 или 192.168.1.1. Часто ему дают адрес 1.1.1.1 в принципе это также верно.

Немного теории dynamic interface

Каждый динамический интерфейс привязан к своему VLAN. Только один интерфейс может быть привязан к определенному VLAN.
Динамические интерфейсы сделаны для того чтобы была возможность привязывать отдельные WLAN и их клиентов к различным IP подсетям.
Поскольку dynamic interface привязывается к определённому VLAN, то и адресация этого интфейса должна соответствовать адресации этого VLAN.
nastroyka_wlc_2504_05_ciscomaster.ru.jpg

Немного теории ports and interfaces

С точки зрения контроллера ports – это физическая дыра, куда подключаются провода.
Динамические интерфейсы же виртуальны, и сделаны для того, чтобы была возможность привязывать отдельные WLAN и их клиентов к различным IP подсетям.

Интерфейс также привязан к своему физическому порту. Как только мы привяжем какой либо интерфейс к физ порту, - этот порт станет транковым.
Мы можем несколько интерфейсов привязать к одному порту, тогда все эти VLAN-ы пойдут через единственный порт.
Можно также определенные интерфейсы пустить по своему порту. Тогда на свитче этот порт также нужно будет сделать транковым.
Также мы можем объединить несколько портов в LAG:
nastroyka_wlc_2504_06_ciscomaster.ru.jpg

В этом случае и со стороны коммутатора необходимо настроить агрегирование, как это показано на схеме.
Интерфейсы же в этом случае уже нельзя будет привязать к какому то порту:
nastroyka_wlc_2504_07_ciscomaster.ru.jpg

Немного теории DHCP

Если мы хотим использовать DHCP сервер «за контроллером» - нам необходимо указать адрес этого сервера в свойствах интерфейса как Primary DHCP Server. В этом случае будет осуществляться DHCP Proxy.
При этом можно выставить DHCP Proxy Mode:
Global – будет включено в соответствии с глобальными настройками: Controller > Advanced > DHCP
Enabled
Disabled
Если функцию DHCP сервера играет сам контроллер, можно оставить нули.

Немного best practices

Прятать SSID для повышения безопасности нет никакого смысла, напротив, некоторые устройства не могут нормально работать при отсутствиии SSID Beacons.
Несмотря на то, что 2504 поддерживает до 16 WLANs, плодить их большое количество не рекомендуется. Beacons по умолчанию высылаются раз в 100мс, и при большом количестве WLANs, служебная информация будет реально переполнять эфир.
Лучшая практика – 3-5 активных WLANs.

Обновление ПО

  1. Делаем резервную копию конфигурации WLC.
    Commands > Upload File
    nastroyka_wlc_2504_08_ciscomaster.ru.jpg
  2. Загружаем с сайта cisco.com файлы на наш комп:
    Base Install image - AIR-CT2500-K9-8-2-166-0.aes
    Supplementary AP Bundle image - нам не нужен, поскольку у нас нет AP типов AP802,AP803,AP1530, AP1550 , AP1570 and AP1600.
  3. Также нам необходимо загрузить Field Upgrade Software (FUS), которая необходима для обновления компонент типа bootloader, field recovery image, FPGA/MCU.
    В нашем случае это файл AIR-CT2500-K9-2-0-0-0-FUS.aes
    Текущую версию FUS можно понять из команды:
    nastroyka_wlc_2504_10_ciscomaster.ru.jpg
    В нашем случае Bootloader version 1.0.16, а должен быть 1.0.20.
  4. Устанавливаем FUS:
    Commands > Download File
    Циска рекомендует подгружать через TFTP. Подсовываем файл AIR-CT2500-K9-2-0-0-0-FUS.aes
    Система будет довольно долго обновляться, весь процесс займет примерно 30мин.
    Источник: https://www.cisco.com/c/en/us/td/docs/wireless/controller/release/notes/...
  5. После успешной установки FUS устанавливаем Base Install image - AIR-CT2500-K9-8-2-166-0.aes:
    Commands > Download File
    nastroyka_wlc_2504_09_ciscomaster.ru.jpg
  6. После загрузки ребутаем

Просмотр статистики клиента в реальном времени

Это можно сделать через SSH, нам необходимо знать MAC клиента:

(Cisco Controller) >show client stats d0:e1:40:c2:2a:9c

nastroyka_wlc_2504_11_ciscomaster.ru.jpg

Здесь из полезного можно выделить следующее:

Client Statistics: ....................................................... Number of Bytes Sent (last 90s)............ 153457 Number of Bytes Recv (last 90s)............ 73944

Определяет активность клиента.

Nearby AP Statistics: ap504(slot 0) antenna0: 690 secs ago................... -48 dBm antenna1: 690 secs ago................... -48 dBm

Определяем AP и уровень сигнала.
-40 _-60dBm - хорошо
-60 _ -80 - приемлемо
-80 _ .... - плохо

Просмотр дебага клиента в реальном времени

Чтобы посмотреть подробную информацию client association log:

debug client e4:46:da:e9:2f:fa

На Cisco.com можно воспользоваться анализатором дебага:
Wireless Debug analyzer
https://cway.cisco.com/tools/WirelessDebugAnalyzer/

Полезные команды

show interface summary
show sysinfo
show time
save config

Комментарии

Добрый день. Как раз на днях приобрели данный контроллер. Первые настройки прошел по вашей инструкции. Если у вас будет время, было бы интересно статьи для данного контроллера.

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image