Pozn.: Popis v článku vychází z Cisco Catalyst 9800-L Wireless Controller s Cisco IOS XE Cupertino verze 17.9.3 (v tuto chvíli doporučená verze). Ke kterému jsou připojeny přístupové body (Access Point) Cisco Catalyst 9164I AP.

Nastavení WLC

Při přechodu z AireOS WLC na Catalyst 9800 je možno využít Configuration Migration tool.

Installation mode

Jsou dvě možnosti, jak může běžet obraz Cisco IOS XE. Pro většinu situací je lepší Install mode než Bundle mode. V jakém režimu WLC běží vidíme na konci výpisu pomocí CLI.

WLC#show version

...
Installation mode is INSTALL

Ethernet Interface (port)

• Configuration - Interface - Ethernet

Kontrolér C9800-L-C je vybaven řadou portů pro připojení do LAN.

• 4x RJ-45 2.5G/1G Multigigabit Ethernet
• 2x RJ-45 10G/Multigigabit Ethernet

A porty dalšími pro správu a provoz.

• Console Port
• Service Port pro Out-of-band management
• Redundancy Port (RP) pro cluster

Logical Interface

• Configuration - Interface - Logical

Fyzické porty můžeme spojit do logického rozhraní pomocí Port Channel (Link Aggregation Group - LAG), což je doporučeno. Rozhraní pak můžeme (v praxi spíš musíme) nastavit do režimu Trunk a tak připojíme kontrolér do všech potřebných sítí (povolíme pouze potřebné VLANy).

Pozn.: Celou konfiguraci můžeme provést tradičním Cisco IOS způsobem v CLI.

L2 VLAN

• Configuration - Layer2 - VLAN - VLAN

Pokud APčka běží ve standardním Local Mode (Central Switching), tak musíme nakonfigurovat VLANy, které později mapujeme na SSID. L3 rozhraní (SVI) není třeba (jak bylo nutné v AireOS), takže WLC nemusí mít IP adresu v sítích (VLAN), do kterých se připojují klienti přes WLAN. SVI potřebujeme pro správu (WMI).

Wireless Management Interface (WMI)

• Configuration - Interface - Wireless
• Configuration - Layer2 - VLAN - SVI

C9800 má pouze jedno L3 rozhraní pro správu. Slouží pro přístup na správu (GUI, CLI). WMI ukončuje veškerý CAPWAP provoz z přístupových bodů a je výchozím zdrojovým rozhraním pro řídící provoz z WLC. Jde tedy také o AP Manager interface. Doporučuje se využít Switched VLAN Interface (SVI).

Cisco doporučuje, aby WMI bylo v jiné VLAN než APčka. Komunikace mezi nimi pak musí být směrovaná (routing). AP mohou nalézt WLC třeba pomocí DHCP option 43 nebo DNS záznamu CISCO-CAPWAP-CONTROLLER.firma.local.

Network Time Protocol (NTP)

• Administration - Time

Pro řadu funkcí je potřeba NTP synchronizace. Nastavíme server, pod Change Date and Time se nastavuje Daylight Savings (last Sunday March 01:00 - last Sunday October 01:00).

DHCP bridging a DHCP relay

Standardně získávají klienti bezdrátové sítě (WLAN) IP adresu z DHCP. Na C9800 funguje defaultně (a doporučeně) DHCP bridging, kdy je klientský DHCP provoz beze změny posílán do VLANy mapované na SSID.

Běžně se v klientské VLAN nenachází DHCP server, tak se doporučuje použít DHCP Relay na switchi (routeru). Cisco používá příkaz ip helper-address na VLAN interface.

HTTP/HTTPS/VTY přístup

• Administration - Management - HTTP/HTTPS/Netconf/VTY

Od verze 17.3 je rozdělená konfigurace WebUI (Web user interface) a Web Authentication (webový portál pro autentizaci do WLAN), takže je doporučeno vypnout HTTP přístup k administraci. Můžeme nastavit certifikát a timeouty. A také konfigurovat VTY (virtuální porty pro přístup přes SSH). Pro webový přístup a VTY můžeme nastavit způsob autentizace (třeba pomocí RADIUSu).

High Availability - WLC cluster

• Administration - Device - Redundancy

Dva kontroléry můžeme spojit do clusteru, kdy je jeden aktivní (active) a druhý záložní (standby). Vysoká dostupnost (HA) umožňuje snížit výpadky bezdrátové sítě v důsledku selhání WLC. Vlastnost HA Stateful Switch Over (SSO) umožňuje AP vytvořit CAPWAP tunel s aktivním WLC. Aktivní řadič sdílí kopii databáze AP a klientů se záložním. Pokud aktivní WLC selže, tak funkci přebírá záložní. AP zůstanou připojena stejně jako klienti.

Protože všechna rozhraní jsou konfigurována pouze na aktivním boxu, ale jsou synchronizována se záložním, je na obou WLC nakonfigurována stejná sada rozhraní. Po spojení přestane být dostupný záložní WLC pod svou WMI IP adresou.

Fyzicky se boxy propojí pomocí Redundancy Port (RP). Automaticky se nastaví IP adresy z rozsahu zeroconf addresses (APIPA). Můžeme využít konfiguraci RMI + RP, kdy se také komunikuje přes management síť (WMI) pomocí virtuálního RMI rozhraní. Redundancy Management Interface (RMI) se používá pro dual-active detection a monitoring záložního kontrolérů. Musíme nastavit IP adresu na každém boxu.

Přepnutí aktivního a záložního kontroléru (switchover) můžeme provést v CLI (provede restart aktivního WLC):

WLC1#redundancy force-switchover

Globální Wi-Fi nastavení

Wireless Global

• Configuration - Wireless - Wireless Global

Určitá globální nastavení pro bezdrátovou síť. Například

• Management Via Wireless - povoluje připojení k administraci (web, SSH) z WiFi sítě, doporučeno je nepovolovat
• Device Classification - zapne Local Client Profiling, který detekuje typ klienta pomocí analýzy DHCP a HTTP požadavků, užitečná vlastnost, která nám ukazuje určité informace o klientech

Application Visibility and Control (AVC)

• Configuration - Services - Application Visibility

AVC klasifikuje aplikace pomocí Cisco Deep Packet Inspection (DPI) techniky s Network-Based Application Recognition (NBAR) enginem. Po zapnutí (na jednotlivé Policy Profile) získáme informace o provozu v bezdrátové síti. Můžeme také vytvořit politiky a zahazovat nebo označovat provoz.

• Monitoring - Services - Application Visibility

V dohledu vidíme informace o provozu.

Client exclusion - vyloučení klienta

• Configuration - Security - Wireless Protection Policies - Client Exclusion Policies

Při opakované chybné autentizaci, asociaci nebo ukradení IP adresy může být klient na určitou dobu vyloučen (blokován). V globální politice můžeme nastavit, které události způsobí vyloučení klienta. Vlastní zapnutí, a nastavení doby vyloučení, se provádí na Policy Profile.

Rogue Policies

• Configuration - Security - Wireless Protection Policies - Rogue Policies

Rogue wireless devices (nepoctivá bezdrátová zařízení) mohou napadat naši bezdrátovou síť. Útočníci mohou provádět útoky DoS (denial-of-service) útoky, man-in-the-middle, unášet legitimní klienty apod. Jako obranu můžeme vytvářet Rogue Policies a Rogue AP Rules a nastavit kanály, které se skenují.

Cisco doporučuje jako minimum nastavit Rogue Detection Security Level na High. Můžeme také zapnout Infrastructure Management Protection Frame (MFP) a AP Impersonation Detection, kdy jednotlivá AP kontrolují řídící rámce ostatních AP.

• Configuration - Radio Configurations - RRM

Pro každé pásmo nastavujeme Channel List kanály, které se skenují. Doporučeno je použít All Channels nebo Country Channels.

Vypnutí nízkých přenosových rychlostí

• Configuration - Radio Configurations - Network - 5 GHz Band a 2.4 GHz Band
• Configuration - Tags & Profiles - RF/Radio - RF - default-rf-profile-6ghz

Doporučuje se vypnout nízké přenosové rychlosti v jednotlivých pásmech. Snižuje to rychlost celé sítě (beacons se posílají na nejnižším mandatory pásmu), ale je potřeba opatrně vypínat a testovat. Pro 2,4 GHz můžeme vypnout 1, 2 a 5,5 Mbps (možná i 6, 9 a 11 Mbps, protože IEEE 802.11b již asi nepoužíváme) a 11 Mbps nastavit na Supported (místo Mandatory). Pro 5 GHz a 6 GHz můžeme vypnout 6 a 9 Mbps (možná i 12 a 18 Mbps).

Místo konfigurace závisí na tom, jak máme nastavený RF Tag, zda využíváme globální nastavení.

Drobná nastavení

• Administration - DNS
• Configuration - Security - PKI Management - Trustpoints / Add Certificate (PKCS12 - Desktop)
• Administration - Management - SNMP
• Troubleshooting - Syslog - Manage Syslog Servers
• Administration - Smart Call Home
• Licensing

Autentizace a autorizace

Pro přístup ke správě WLC pomocí SSH či webového rozhraní, stejně jako pro přihlášení uživatelů do jednotlivých WLAN, potřebujeme řešit autentizaci a autorizaci. Můžeme vytvářet lokální uživatele nebo využít autentizační server (AAA), typicky RADIUS, TACACS+ nebo LDAP.

Pokud používáme Mícrosoft Network Policy Server, tak se může hodit související článek jak nastavit Microsoft NPS jako RADIUS pro WiFi.

Lokální účty

• Administration - User Administration

Vytváříme uživatele (administrátory) pro přístup do administrace WLC (Privilege: Admin), můžeme vytvořit uživatele, který vytváří účty pro Web Auth (Privilege: Lobby Admin) nebo přímo účty, které se mohou přihlásit do WLAN pomocí Web Auth (Privilege: Read Only). Účty pro hosty se mohou vytvářet v Configuration - Security - Guest User.

Pozn.: Je rozdíl, zda účet vytvoří Lobby Admin nebo jej vytvoříme v administraci (primárně v platnosti účtu). Dobře je vidět ve výpisu v CLI.

Adresy pro MAC Filtering

• Configuration - Security - AAA - AAA Advanced - Device Authentication

Pokud používáme na některé WLAN lokální MAC Filtering (seznam povolených MAC adres pro připojení), tak zde můžeme definovat jednotlivé adresy.

Pozn.: Důležitý poznatek z praxe. Pokud u MAC adresy nastavíme také WLAN Profile Name, tak se toto zařízení připojí pouze do dané WLAN. Nepovede se mu autentizace do WLAN, kde MAC Filtering použit není.

Autentizační servery - AAA

• Configuration - Security - AAA

Často se využívá RADIUS server, který budeme řešit zde. Postup konfigurace může být následující (můžeme využít také AAA Wizard):

• Servers / Groups - Servers - zadáme jednotlivé servery
• Servers / Groups - Server Groups - servery spojíme do skupiny
• AAA Method List - vytvoříme AAA metody podle potřeby, Group Type může být local (lokální účty) nebo group (externí RADIUS), volíme různý typ podle použití
  • Authentication - login pro Web Auth nebo přístup do administrace, dot1x pro 802.1x autentizaci uživatelů do WLAN
  • Authorization -  exec pro autorizaci do administrace, network pro MAC Filtering
• AAA metody používáme na různých místech konfigurace, primárně v nastavení WLAN a SSH a webového přístupu

Kdo má zkušenosti s Cisco IOS, tak může být jednodušší použít CLI (stejně jako pro nastavení VTY, webu, apod). Nástin možností:

aaa authentication login AdminLogin local group FIRMAradius
aaa authentication dot1x AuthDomain group FIRMAradius
aaa authorization exec AdminLogin local group FIRMAradius
aaa authorization network AuthDomain group FIRMAradius

aaa group server radius FIRMAradius
server name FIRMAradius1
radius server FIRMAradius1

Pozn.: V AAA Method List můžeme zadat dvě autentizační metody, jak je vidět v prvním příkazu. Pak se nejprve zkusí lokální autentizace a pokud není úspěšná, tak se použije definovaný RADIUS server. Pokud zadáme obráceně, tak se použije RADIUS a pokud neodpovídá, tak lokální databáze.

Web Authentication (Web Auth)

• Web-Based Authentication
• Web-Based Authentication on Cisco Catalyst 9800 Series Controllers

Webová autentizace se často využívá pro přístup hostů. Jde o bezpečnostní řešení na Layer 3. Vlastní síť je nastavena na Open Security, tedy nepoužívá žádné šifrování ani autentizaci. Uživatelé jsou po připojení do WLAN automaticky přesměrování na webovou stránku (označuje se jako Captive Portal), kde musí provést autentizaci. Dokud nejsme přihlášeni, tak nás prohlížeče informují, že je potřeba přihlášení k síti.

Vytváření účtů pro hosty

Účty pro přihlášení může vytvářet administrátor v Configuration - Security - Guest User, ale spíše vytvoříme speciální účet s právy (Privilege) Lobby Admin. Tento uživatel (například na recepci) se přihlásí do webového rozhraní WLC, kde má k dispozici omezené GUI pro správu Guest Users. Účty se vytváří s omezenou platností, po které jsou smazány. Mimo lokálních účtů se může využít také RADIUS nebo LDAP.

Pozn.: Zde se zaměřujeme na Local Web Authentication, kde se pro autentizaci využívá interní webová stránka WLC. Další možností je External Web Authentication, kde dojde k přesměrování na externí webový server (autentizace probíhá stále na WLC). Nebo Central Web Authentication, která využívá typicky ISE, které provádí autentizaci.

Konfigurace parametrů Web Auth

• Configuration - Security - Web Auth

Pomocí úpravy globální Parameter Map, nebo vytvořením vlastní (zde nastavujeme pouze část parametrů), můžeme změnit chování webové autentizace.

Některé parametry jsou:

• Virtual IPv4 Address - virtuální IP adresa, na které běží interní webová stránka pro přihlášení, default 192.0.2.1
• Virtual IPv4 Hostname - DNS jméno pro Virtual IPv4 Address, překlad musíme nastavit na našem DNS serveru
• Trustpoint - certifikát pro HTTPS, aby uživatelům nevyskakovalo varování, tak musí být důvěryhodný a odpovídat hostname
• Web Auth intercept HTTPs, Enable HTTP server for Web Auth - zapneme pro lokální Web Auth
• Banner Title - text, který se zobrazuje jako nadpis na přihlašovací stránce, default Welcome to the Cisco Web-Authentication network
• Banner Type, Banner Text - když zvolíme text banneru, tak se zobrazí pod nadpisem na přihlašovací stránce, můžeme použít i soubor uložený ve Flash, je zde problém s českými znaky (buď se zobrazí špatně nebo nastavení vůbec nefunguje), default Cisco is pleased to provide web-authentication infrastructure for your network. Please login.
• Disable Cisco Logo - zrušíme zobrazení Cisco loga na přihlašovací stránce
• Type - standardní je Webauth, provádí autentizaci jménem a heslem, další možnost Consent nabízí pouze tlačítka Accept a Deny, Webconsent kombinuje oboje

Obrázek výše ukazuje defaultní interní přihlašovací stránku. Pro ni můžeme upravit Banner Title, Banner Text a Disable Cisco Logo.

Na záložce Advanced můžeme nastavit přesměrování na externí web server (External Web Authentication) nebo přizpůsobené webové stránky (Customized Local Web Authentication), které nahrajeme do Flash paměti WLC. Pro vytvoření vlastních stránek můžeme využít prastarý vzor Wireless Lan Controller Web Authentication Bundle.

Zapnutí Web Auth na WLAN

Web Auth nastavujeme na WLAN Profile pod Security - Layer3, položka Web Policy. V části Show Advanced Settings můžeme také nastavit Preauthentication ACL, které řídí, jaké komunikace jsou povoleny, dokud není uživatel ověřen. Vytváříme v Configuration - Security - ACL.

V praxi je také potřeba zvýšit Session Timeout v nastavení Policy Profile - Advanced. Defaultně je 30 minut a po vypršení se musí uživatelé znovu přihlásit na portále.