CISCO無線AP配置手冊

1、無線控制器配置基礎,Xiaogang Wu 2008.10,基本配置任務及過程,準備工作 控制器啟動配置和升級控制器軟件版本 熟悉控制器配置界面 3. 連接AP到控制器上 配置任務 思科CSSC無線客戶端的安裝和簡單配置 構(gòu)建一個OPEN和一個WEP的無線網(wǎng)絡 構(gòu)建一個簡單WEB認證的無線網(wǎng)絡 構(gòu)建一個支持本地EAP認證的無線網(wǎng)絡 構(gòu)建一個用ACS做AAA認證的無線網(wǎng)絡,Presentation Title Size 30PT Option 2: Live,準備工作,基本設備,控制器 4400或者2100系列 AP：1130或者1240系列 交換機： 最好是3560 POE交換機,2100系列

2、無線控制器,支持802.11a/b/g/n 支持PCI認證 WLC2100 硬件 8個FE口， 2個上聯(lián)口，6個下聯(lián)口 其中2個FE口有以太網(wǎng)供電 未使用端口 2個USB端口和一個擴展槽留作將來擴展用,*2106和2006不能作為guest access的anchor controller *不支持Link Aggregation *不能通過軟件升級AP容量,NEW!,4400系列無線控制器,1 RU 高度 2口 或者 4口千兆上聯(lián) 支持 12, 25, 50 or 100 AP 支持 5000 MAC地址轉(zhuǎn)發(fā)表 10/100Base-TX 以太網(wǎng) Service Port 9 pin 串口C

3、onsole口 2 擴展槽和1個utility port目前未使用 2 熱插拔電源模塊插槽,44xx WLAN Controller,型號 4402 支持 12, 25, 和50 AP 型號 4404 支持100 APs,*不能通過軟件升級AP容量 *4400系列使用SFP光纖模塊 *4400系列每port支持50個AP,準備工作,網(wǎng)線和Console線。如果是4400，需要兩頭是DB9接口的線，如果是2106或者ISR，需要DB9+RJ45的線 如果是4400，需要GLC光纖模塊和光纖 確認控制器版本是否需要升級 (用命令show sysinfo查看系統(tǒng)版本) 是否需要將胖AP升級到瘦AP

4、1200/1100/1300需要upgrade tool做升級，1250不需要工具，直接在圖形化界面上升級,實驗拓撲示例,VLAN1/20/30/40,WLC,說明： 1、VLAN1用于連接控制器、AP和ACS； 2、VLAN20用于WPA/WPA2認證，認證服務器用ACS。 3、VLAN30用作OPEN/WEP/GUEST客戶接入 3、VLAN40用作WPA/WPA2認證，認證用本地EAP,SSID:VLAN20,SSID:VLAN30,PC/AAA服務器,VLAN1,所有3層網(wǎng)關設置在3層交換機上，地址254,啟動選項,The controller boot sequence will a

5、lways have these option available since this is set in PROM to ensure controller recovery options,按5清空配置,系統(tǒng)啟動界面和配置 (OS 5.1),Would you like to terminate autoinstall? yes: System Name Cisco_51:2b:60 (31 characters max): 2106-demo AUTO-INSTALL: process terminated - no configuration loaded Enter Adminis

6、trative User Name (24 characters max): cisco Enter Administrative Password (24 characters max): cisco Re-enter Administrative Password : cisco Management Interface IP Address: Management Interface Netmask: Management Interface Default Router: 54 Management Inte

7、rface VLAN Identifier (0 = untagged): Management Interface Port Num 1 to 8: 1 Management Interface DHCP Server IP Address: 54 AP Manager Interface IP Address: AP-Manager is on Management subnet, using same values AP Manager Interface DHCP Server (54): Virtual Gat

8、eway IP Address: Mobility/RF Group Name: demo,系統(tǒng)啟動界面（續(xù)）,Enable Symmetric Mobility Tunneling yesNO: yes Network Name (SSID): open Allow Static IP Addresses YESno: Configure a RADIUS Server now? YESno: no Warning! The default WLAN security policy requires a RADIUS server. Please see documentat

9、ion for more details. Enter Country Code list (enter help for a list of countries) US: CN Enable 802.11b Network YESno: Enable 802.11a Network YESno: Enable 802.11g Network YESno: Enable Auto-RF YESno: Configure a NTP server now? YESno: no Configure the system time now? YESno: Enter the date in MM/D

10、D/YY format: 09/28/08 Enter the time in HH:MM:SS format: 17:11:00 Configuration correct? If yes, system will save it and reset. yesNO: yes Configuration saved! Resetting system with new configuration.,非常重要，Controller的wireless的domain要和AP一致。,配置3層交換機,p dhcp excluded-address ip dhcp exclude

11、d-address 54 ip dhcp excluded-address ! ip dhcp pool AP network default-router 54 ! interface FastEthernet0/1 switchport trunk encapsulation dot1q switchport mode trunk interface Vlan1 ip address 54 ! interface

12、 Vlan20 ip address 54 ! interface Vlan30 ip address 54 ! interface Vlan40 ip address 54 line vty 0 4 privilege level 15 password cisco login,配置WEB訪問,1、使用直通網(wǎng)線，連接交換機的trunk接口到控制器端口1 2、配置PC機的IP地址 00/24或者DHCP，網(wǎng)關192.

13、168.10.254 3、測試PC能否Ping 通Controller的地址： 3、用訪問控制器，如果要開啟http訪問，需要在系統(tǒng)里打開。,使用IE瀏覽器進行WEB訪問,如果要升級控制器系統(tǒng)軟件,tftp 服務器推薦tftpd32 支持64M以上文件傳輸,在CCO上下載新版本,支持室內(nèi)室外 mesh 版本,支持802.11n和其他新功能的普通版本,Upgrade Path to Controller Software Release or above,注意：由于配置存儲格式不同，從3.x-4.x 升級到5.x后

14、，原來的部分配置可能丟失,Upgrade Path to Controller Software Release ,控制器軟件升級 命令行方式,Step1. ping server-ip-address 測試控制器與TFTP server的連通性 Step2. transfer download mode tftp 設置傳輸使用的協(xié)議：tftp Step3. transfer download datatype code 設置傳輸?shù)臄?shù)據(jù)類型 Step4. transfer download serverip server-ip-address 指定tftp server的IP

15、地址 Step5. transfer download filename filename 制定Image的文件名 Step6. transfer download start 開始傳輸文件，確認時如果回答No,則顯示TFTP的參數(shù)設置 Step7. reset system WLC的系統(tǒng)重新啟動,注：TFTP服務器軟件推薦tftpd32，可以在網(wǎng)上免費下載，支持64M以上大文件傳輸,控制器軟件升級 圖形界面,電腦上設置好Tftp軟件； 填入Tftp地址和文件名后，選擇右側(cè)的 download 按鈕開始。 完成后按提示reboot。,Presentation Title Size 30PT O

16、ption 2: Live,熟悉無線控制器 Controller配置界面,命令行 (CLI) 基本命令,cisco,命令行 (CLI) “clear” Commands,命令行 (CLI) “config” Commands, and more,命令行 (CLI) “debug” Command,命令行 (CLI) “help” Commands,命令行 (CLI) “show” Commands,命令行 (CLI) “transfer” Commands,使用IE瀏覽器進行WEB訪問,控制器上查看和設置無線網(wǎng)絡SSID,控制器配置頁面,配置接口,配置控制器做DHCP服務器,定義無線組,參看和

17、配置端口,配置接口頁面,設置控制器做DHCP服務器,定義移動組,設置端口頁面,多個控制器時，設定主控制器,點擊WIRELESS/ALL APs,安全頁面,Radius服務器配置,本地用戶數(shù)據(jù)庫,MAC地址過濾,WEB認證相關配置,本地EAP,管理界面,定義能夠進行Controller管理的管理用戶,控制器維護管理界面,系統(tǒng)和配置文件的上傳、下載配置,控制器軟重啟,AP射頻模塊配置界面,AP發(fā)射功率調(diào)節(jié)(AP1131),Tx Power Num Of Supported Power Levels . 6 Tx Power Level 1 . 14 dBm Tx Power Level 2 . 1

18、1 dBm Tx Power Level 3 . 8 dBm Tx Power Level 4 . 5 dBm Tx Power Level 5 . 2 dBm Tx Power Level 6 . -1 dBm,AP1242的level 1 是 17dBm,5.1版本對HA的增強,Failover等級,全局HA配置,Presentation Title Size 30PT Option 2: Live,連接AP到控制器,Controller里的Port還有Vlan以及Interface的對應關系,Controller必需配置的接口 帶內(nèi)管理接口“Management Interface” L

19、WAPP Tunnel 終結(jié)接口“AP Manager Interface” 橋接的無線客戶端接口“Dynamic Interfaces”. 二三層漫游而設的虛擬接口“Virtual Interface” 可選接口: 服務接口帶外管理接口,*2100系列和WLCM沒有service port,確認控制器國家版本與AP一致,目前版本支持同時支持多國家,確認時間配置無誤,在路由器或者3層交換機設置DHCP,在AP和控制器不在同一網(wǎng)段的情況下，建立AP能夠獲取IP Address 的地址池，加上Option 43 WLC-router(config)#ip dhcp pool LWAPP-AP WL

20、C-router(dhcp-config)#network WLC-router(dhcp-config)#default-router 54 WLC-router(dhcp-config)#option 43 ascii “ /很重要！通過Option 43 可以讓AP在獲取和控制器不同網(wǎng)段IP Address的時候，能夠知道Controller的所在。 如果AP和控制器在一個網(wǎng)段和廣播域，則可以不配置option 43 WLC-router(dhcp-config)#exit WLC-rou

21、ter(config)#ip dhcp excluded-address 54,在IOS設備配置Option 43,對于1000/1500系列，直接寫 option 43 ascii “,0“ 對于1100和1200，需要寫option 60和option 43 假設要連接1240，控制器地址為和0 ip dhcp pool AP network /24 default-router 54 dns-server 192.168.

22、10.100 option 60 ascii “Cisco AP c1240 “ option 43 hex f108c0a80a05c0a80a14,option 43的配置詳見,VCI String 1130的是Cisco AP c1130,類型= f1,長度 = 2 x 4 = 08,,0,可以在console上打開debug觀察AP加入情況,(Cisco Controller) debug lwapp events enable (Cisco Controller) *Oct 04 19:20:19.154: 00:1a:e3:d0:19

23、:50 Received LWAPP DISCOVERY REQUEST from AP 00:1a:e3:d0:19:50 to 00:1e:13:51:2b:60 on port 8 *Oct 04 19:20:19.154: Received a packet which is a (type = DISCOVERY_REQUEST) with session id 0 *Oct 04 19:20:19.154: Join Priority Processing status = 0, Incoming Aps Priority 1, MaxLrads = 6,joined Aps =0

24、 *Oct 04 19:20:19.155: 00:1a:e3:d0:19:50 Successful transmission of LWAPP Discovery Response to AP 00:1a:e3:d0:19:50 on port 8 *Oct 04 19:20:19.156: 00:1a:e3:d0:19:50 Received LWAPP DISCOVERY REQUEST from AP 00:1a:e3:d0:19:50 to ff:ff:ff:ff:ff:ff on port 8 *Oct 04 19:20:19.156: Received a packet whi

25、ch is a (type = DISCOVERY_REQUEST) with session id 0 *Oct 04 19:20:19.156: Join Priority Processing status = 0, Incoming Aps Priority 1, MaxLrads = 6,joined Aps =0 *Oct 04 19:20:19.156: 00:1a:e3:d0:19:50 Successful transmission of LWAPP Discovery Response to AP 00:1a:e3:d0:19:50 on port 8 *Oct 04 19

26、:20:31.162: 00:1a:e3:d0:19:50 Received LWAPP JOIN REQUEST from AP 00:1a:e3:d0:19:50 to 00:1e:13:51:2b:67 on port 8 *Oct 04 19:20:31.162: Received a packet which is a (type = JOIN_REQUEST) with session id 0 *Oct 04 19:20:31.177: 00:1a:e3:d0:19:50 AP AP001b.5302.28f8: txNonce 00:1E:13:51:2B:60 rxNonce

27、 00:1A:E3:D0:19:50 *Oct 04 19:20:31.177: 00:1a:e3:d0:19:50 LWAPP Join Request MTU path from AP 00:1a:e3:d0:19:50 is 1500, remote debug mode is 0 *Oct 04 19:20:31.177: DTL Adding AP 1 - 0 *Oct 04 19:20:31.177: 00:1a:e3:d0:19:50 Successfully added NPU Entry for AP 00:1a:e3:d0:19:50 (index

28、1) Switch IP: , Switch Port: 12223, intIfNum 8, vlanId 0 AP IP: 0, AP Port: 8847, nex *Oct 04 19:20:31.911: 00:1a:e3:d0:19:50 Successful transmission of LWAPP Join Reply to AP 00:1a:e3:d0:19:50 *Oct 04 19:20:31.912: 00:1a:e3:d0:19:50 spam_lrad.c:1589 - Operation State 0 = 4 *

29、Oct 04 19:20:31.913: 00:1a:e3:d0:19:50 Register LWAPP event for AP 00:1a:e3:d0:19:50 slot 0 *Oct 04 19:20:31.914: 00:1a:e3:d0:19:50 Register LWAPP event for AP 00:1a:e3:d0:19:50 slot 1 *Oct 04 19:20:33.192: 00:1a:e3:d0:19:50 Received LWAPP CONFIGURE REQUEST from AP 00:1a:e3:d0:19:50 to 00:1e:13:51:2

30、b:67 *Oct 04 19:20:33.194: 00:1a:e3:d0:19:50 Updating IP info for AP 00:1a:e3:d0:19:50 - static 0, 0/, gtw 54 *Oct 04 19:20:33.194: 00:1a:e3:d0:19:50 Updating IP 0 = 0 for AP 00:1a:e3:d0:19:50 *Oct 04 19:20:33.194: 00:1b:53:02:28:f8 Buildi

31、ng Config Response Msg for 00:1b:53:02:28:f8,確認AP連接到控制器,圖形界面,命令行,Presentation Title Size 30PT Option 2: Live,CSSC無線客戶端,802.11 無線客戶端概述,無線客戶端建議,由于企業(yè)內(nèi)筆記本電腦牌子比較多，建議客戶端使用Cisco CSSC軟件，使用CSSC軟件的好處如下： 1.整個公司筆記本電腦統(tǒng)一的平臺，方便管理和下發(fā)策略。CSSC帶有部署工具，制訂好策略后容易部署（如果是Windows平臺的話，還要配置相關的參數(shù)） 3. CSSC軟件支持Cisco NAC網(wǎng)絡準入控制技術. 4.

32、 建議新購買的筆記本電腦采用統(tǒng)一的品牌（方便管理），舊的筆記本電腦如果沒有無線網(wǎng)卡的話，建議統(tǒng)一使用Cisco的CB21AG（支持AES強加密）,Cisco還提供專門為臺式機使用的無線網(wǎng)卡：AIR-PI21AG。 5.Cisco倡導了CCX（各廠家筆記本電腦和Cisco AP兼容性測試）計劃，可以從下面的鏈接知道哪些筆記本電腦的型號是CCX計劃里面的成員。 ,Cisco SSC客戶端軟件的安裝,CSSC連接的簡單設置,Presentation Title Size 30PT Option 2: Live,構(gòu)建一個OPEN和一個WEP的無線網(wǎng)絡,配置一個無線業(yè)務的基本步驟,配置無線客戶端的DHC

33、P服務器 配置一個無線網(wǎng)絡接口 dynamic interface 配置一個無線業(yè)務 WLAN,AP的初始化,在WLC上可以通過使用ctrl + Shift + 6的組合鍵，切換到ISR路由器的界面,把AP連接在InterSwitch 模塊上 WLC-router(config)#int vlan 1 WLC-router(config-if)#no shut WLC-router(config-if)#ip add 54 WLC-router(config-if)#exit WLC-router(config)#int range fast

34、WLC-router(config)#int range fastEthernet 0/1/0 8 WLC-router(config-if-range)#switchport WLC-router(config-if-range)#switchport access vlan 1 WLC-router(config-if-range)#no shut,1、為客戶端建立DHCP服務器,2、為無線客戶端建立一個無線接口,點擊APPLY,2、建立Guest無線接口:VLAN20,查看建立的接口,點擊可以進行VLAN20接口的參數(shù)修改,點擊可以刪除,3、建立一個open的訪客 WLAN,3、建立一個

35、open的訪客 WLAN,很重要！很容易被忘記,3、建立一個open的訪客 WLAN,選擇None，不對無線網(wǎng)絡有任何加密和限制,WLAN增強特性配置,無線客戶端連接測試,更改剛才的WLAN為WEP加密,40位WEP要求5位ASCII字符密碼 104位WEP要求13位ASCII字符密碼 Cisco Aironet 1100/1200/1300不支持128位WEP,無線連接驗證,Presentation Title Size 30PT Option 2: Live,構(gòu)建一個簡單WEB 認證的無線接入網(wǎng)絡,構(gòu)建一個簡單WEB認證的無線網(wǎng)絡,增加一個新的地址池 增加一個新的接口 配置web頁面認證的

36、本地頁面 增加web認證的WLAN 建立本地用戶認證數(shù)據(jù)庫,1、新建一個用于WEB 認證用戶的地址池,2、控制器添加一個VLAN30接口,3、配置web頁面認證的本地頁面,4、新建一個WLAN,4、新建一個WLAN,5、定義內(nèi)部認證用戶數(shù)據(jù)庫,驗證WEB認證,跟前面一樣，在CSSC的Manage Network中，選擇并激活web-auth,web界面認證的驗證,在瀏覽器里輸入類似0地址（因為沒有DNS，所以不能輸入網(wǎng)址）,web界面認證的驗證,Presentation Title Size 30PT Option 2: Live,構(gòu)建一個支持本地EAP 認證的無線接入網(wǎng)絡,構(gòu)建一個支持WPA認證的網(wǎng)絡,增加一個新的地址池 增加一個新的動態(tài)接口 添加本地EAP支持或者AAA服務器（Radius服務器） 建立一個新的WLAN SSID 配置WPA/WPA2認證 設置CSSC客戶端軟件,1