Pozn.: Popis v článku vychází z Cisco Catalyst 9800-L Wireless Controller s Cisco IOS XE Cupertino verze 17.9.3 (v tuto chvíli doporučená verze). Ke kterému jsou připojeny přístupové body (Access Point) Cisco Catalyst 9164I AP.

Nový konfigurační model pro WLAN

Přímo na Access Point nastavujeme parametry, které ovlivňují hardware. Pro ovládání funkcí/vlastností (jako WLANy nebo Radio Frequency (RF) profily), které jsou dostupné pro každé AP, se využívají Tagy. V tagu se spojují určité parametry (konfigurace) a nastavují na AP. Každé AP má přiřazeny 3 tagy, ve výchozím stavu jsou připraveny default-tags.

Typy Tagů:

• Policy Tag - WLAN Policy, povinný
• Site Tag - Site Policy, volitelný
• RF Tag - Radio Policy, volitelný

Policy Tag - konfigurace WLAN (SSID)

• Configuration - Tags & Profiles - Tags - Policy

Pokud chceme vytvořit WLANu, tak musíme konfigurovat Policy Tag, který obsahuje mapování WLAN a Policy (může jich být až 16). Jde o seznam WLAN (SSID), které vysílá Access Point, na který Policy Tag přiřadíme. Různé WLAN Profile mohou mít přiřazen stejný Policy Profile.

Můžeme vytvořit pouze jeden Policy Tag, který přiřadíme všem AP. Pokud v některé části sítě nepotřebujeme vysíláte některé SSID, tak z důvodu bezpečnosti a minimalizace SSID vytvoříme více Policy Tag a přiřadíme podle potřeby.

• Policy Profile - specifikujeme síťové a přepínací politiky (Central nebo Local Switching), přiřazení sítě (VLAN), QoS, různé Session Timeout, Mobiliy Anchors
• WLAN Profile (SSID) - specifikujeme parametry bezdrátové sítě, SSID, použitá pásma, typ zabezpečení (autentizace), pokročilé protokoly jako IEEE 802.11k

Pozn.: V AireOS se nacházela všechna nastavení vlastností SSID pod WLAN. V novém konfiguračním modelu jsou rozdělena do Policy Profile a WLAN Profile.

Site Tag

• Configuration - Tags & Profiles - Tags - Site

Pomocí Site Tag určujeme, zda je AP (přepínač Enable Local Site) v lokálním (Enabled) nebo FlexConnect režimu (Disabled). Přiřazujeme AP Join Profile, případně Flex Profile. Doporučuje se do stejného Site Tag zařadit AP ve stejné roaming domain.

• AP Join Profile - nastavujeme parametry AP jako Country Code, Time Zone, CAPWAP Timers, vzdálený přístup na AP (aby se dalo přihlásit na SSH, tak musíme zde nastavit credentials), Security - Rogue Detection Minimum RSSI doporučeno -80
• Flex Profile - nastavení pro FlexConnect, jako VLAN/ACL mapování, ARP caching, Local Authentication

RF Tag

• Configuration - Tags & Profiles - Tags - RF

Uvnitř RF Tag můžeme vybrat RF Profile nebo zvolit použití globální RF konfigurace. Nastavujeme jednotlivá pásma 2,4 GHz, 5 GHz a 6 GHz. Případně můžeme nastavit Radio Profile pro jednotlivé sloty radia.

• RF Profile - umožňuje definovat konkrétní přenosové rychlosti, které se mají použít, nastavení Transmit Power Control (TPC), Dynamic Channel Assignment (DCA) a další Radio Resource Management (RRM) nastavení
• Radio Profile - obsahuje pár nastavení, jako Antenna Beam Selection

Obecný postup konfigurace bezdrátových sítí

Pozn.: C9800 nabízí na mnoho konfigurací průvodce, ale často je přehlednější (pro mne i jednodušší) provádět konfiguraci přímo.

Konfigurační kroky, když chceme od začátku vytvořit WLAN a vysílat na určitých AP. První dva body jsme popisovali v minulém díle, další jsou stručně popsány zde.

• přidáme VLAN, kterou bude používat WLAN a kam budou zařazeni WiFi klienti
• připravíme autentizaci uživatelů do WLAN, například nastavíme RADIUS (AAA)
• vytvoříme WLAN Profile, zadáme jméno SSID, druh zabezpečení (šifrování a autentizaci) a další parametry
• vytvoříme Policy Profile, vybereme připravenou VLAN a můžeme upravit další nastavení
• vytvoříme Policy Tag, kde spojíme WLAN Profile a Policy Profile
• volitelně můžeme vytvořit Site Tag, hlavně pokud chceme někde využívat FlexConnect nebo pouze pro identifikaci lokality, jinak využijeme default-site-tag
• volitelně můžeme vytvořit RF Tag, často vystačíme s default-rf-tag a konfigurací globálních nastavení, využít můžeme, pokud v některých prostorech máme vysokou hustotu klientů, jako třeba konferenční sál
• na jednotlivá AP nastavíme Policy Tag (případně i Site Tag a RF Tag), případně může využít Location nebo Filter

WLAN Profile

• Configuration - Tags & Profiles - WLANs

Obecně je doporučeno, aby AP vysílalo co nejméně SSID (WLAN). Cisco radí maximálně 4. Můžeme využít kombinaci bezpečnostní parametrů (Mixed Mode) na jedné WLAN. Ale v praxi pak mají někteří (většinou starší) klienti problém s připojením (jde o relativně malé procento zařízení). Spolehlivější je nedávat klientům na výběr z různých možností a spíše vytvořit dvě různé WLAN.

Níže jsou zmíněny pouze některé položky konfigurace. Možnosti se mění podle zvolených variant.

Pozn.: Nepohodlné je, že jména vytvořených objektů (na většině míst konfigurace) nelze později změnit. Jediná možnost je vytvořit nově a původní smazat.

General

• Profile Name - jméno profilu pro identifikaci
• SSID - název SSID
• WLAN ID - pro interní identifikaci
• Status - zda je profil aktivní
• Broadcast SSID - zda je SSID vysílané, nedoporučuje se skrýt SSID, nezvyšuje to bezpečnost a někteří klienti mohou mít problém
• Radio Policy - která pásma jsou zapnutá pro tuto WLAN, záleží pak na konfiguraci Security

Security

Nejvýše se přepínáme mezi

• Layer2 - základní parametry bezpečnosti
• Layer3 - zde nastavujeme Web Auth
• AAA - autentizace pro 802.1x

Security - Layer2

Nahoře pod Layer2 vybíráme bezpečnostní standard, podle kterého se nabídnou konfigurace, nejčastěji WPA2 + WPA3 nebo WPA3 (zastaralé WEP nebo WPA bychom neměli používat, None může být potřeba pro Web Auth).

• MAC Filtering - pokud zapneme, tak se při připojení nejprve ověřuje MAC adresa zařízení (seznam povolených adres nastavujeme v autentizaci pod Device Authentication)
• WPA Parameters - podle výběru se nám nastaví WPA2 Policy a/nebo WPA3 Policy, což zpřístupní další nastavení
• WPA2/WPA3 Encryption - ve většině případů pro WPA2 i WPA3 použijeme AES(CCMP128), které nabízí všechny standardní možnosti pod Auth Key Mgmt (když zvolíme WPA3 GCMP256, tak můžeme použít pouze SUITEB192-1X)
• Protected Management Frame (PMF) - ochrana management zpráv, musí být nastaveno na Required pro WPA3, pro WPA2 můžeme použít Optional, novější zařízení PMF podporují (dnes je to většina), před 8 lety jsem při testování žádné funkční zařízení nenalezl
• Fast Transition (FT) - rychlé přepínání mezi AP a snížení autentizační zátěže, Cisco doporučuje použít Adaptive FT, které má umožnit připojení i klientů, kteří FT nepodporují, ale v minulosti byly problémy, že se třeba nové iPhone nepřipojily, navíc nelze použít Adaptive FT spolu s WPA3, dnes většina zařízení FT podporuje, takže můžeme obecně zapnout, případně pro nejstarší zařízení vytvořit samostatnou WLAN s vypnutým FT, při nedoporučené volbě Over the DS probíhá autentizace klienta ne vzduchem, ale po LAN mezi AP
• Auth Key Mgmt - vybíráme autentizační metody pro připojení klientů do WLAN a nastavujeme jejich parametry, podle WPA Parameters se nabízí různé možnosti, základní možnosti jsou PSK/SAE a 802.1x, varianty PSK-SHA256, 802.1x-SHA256 a spolu s FT možnosti jako FT + SAE či FT + 802.1x (Cisco doporučuje, pokud chceme použít FT + SAE, tak zapnout také SAE), pro 802.1x musíme nastavit seznam autentizačních metod na záložce AAA
• MPSK Configuration - při určitých konfiguracích můžeme využít MPSK (Multi-PreShared Key) a definovat více PSK pro jedno SSID

Advanced

• Aironet IE, Advertise AP Name - proprietární Cisco atribut vhodný pro měření (site survey) nebo debug, ale v provozu se spíše doporučuje vypnout (může způsobovat problémy některým klientům, z praxe bych řekl, že problémy nejsou), při zapnutí se v beacon a probe responses vysílají další informace jako jméno AP, zatížení AP, počet klientů
• P2P Blocking Action - můžeme blokovat provoz mezi jednotlivými klienty v rámci WLAN, což je dobré pro bezpečnost, ale v síti se nesmí nacházet zařízení, s kterým by klienti potřebovali komunikovat (třeba Apple TV) nebo používat aplikace, které vyžadují přímé spojení (třeba volání), je vhodné pro Guest SSID
• Advertise Support, Advertise PC Analytics Support - Device Analytics umožňuje od určitých klientů (Apple, Samsung, Intel AX210 ...) získat další informace
• Assisted Roaming (11k) - doporučuje se využít standard IEEE 802.11k, Prediction Optimization zapne generování seznamu pro non 802.11k klienty, Neighbor List zapne generování seznamu pro 802.11k klienty v rámci stejného pásma, Dual Band Neighbor List generuje seznam pro obě pásma (2,4 a 5 GHz), nedoporučuje se pokud využíváme pouze jedno pásmo
• Band Select - snaží se preferovat pásmo 5 GHz tak, že zpožďuje probe response na 2,4 GHz, novější klienti by měli automaticky preferovat pásmo 5 GHz před 2,4 GHz, takže pro ně je tato volba je zbytečná

Policy Profile

• Configuration - Tags & Profiles - Policy

Jeden z hlavních důvodů, proč vytváříme více Policy Profiles je, když klienti musí končit v různých sítích (VLAN). Pokud vytvářím více SSID s různými bezpečnostními parametry (WLAN Profile) pro stejnou síť, tak můžeme použít společný Policy Profile.

General

• Name - jméno politiky pro identifikaci
• Status - zda je politika aktivní
• WLAN Switching Policy - většinou využijeme Central Switching, Central Authentication, Central DHCP - komunikace jde skrze WLC

Access Policies

• VLAN - přiřazujeme VLAN/VLAN Group

Advanced

V části WLAN Timeout se nastavují důležité hodnoty časových limitů. Defaultně jsou (v této verzi IOS XE) dost malé.

• Session Timeout (sec) - doba, po které má dojít k reautentizaci klienta, mělo by proběhnout bez problémů, ale na síti s mobilními telefony a využitím PSK/SAE se po dané době vždy klient na pár vteřin odpojí (což způsobí pád komunikace, třeba Teams schůzky), na jiné síti s notebooky a 802.1x se problém neprojevuje (dot1x možná bere session timeout z RADIUSu), default 30 minut (1800 vteřin) je vhodné zvýšit (není problém 12 i více hodin)
• Idle Timeout (sec) - pokud klient nekomunikuje po danou dobu, tak je považován za neaktivního a je odpojen (deautentizován), default 5 min (300 vteřin)
• Client Exclusion Timeout (sec) - zapíná vyloučení klienta při opakované chybné autentizaci a nastavuje čas, jak dlouho je blokován, default 60 vteřin

Další nastavení

• IPv4 DHCP Required - zapnutí nutí klienty, aby po připojení požádali nebo obnovili IP adresu z DHCP, do té doby nemohou komunikovat ve WLAN, tato metoda dovoluje striktně kontrolovat používané IP adresy, ale řada klientů s tím může mít problém

RF Profile

• Configuration - Tags & Profiles - RF/Radio - RF

Radio Frequency (RF) profil obsahuje konfiguraci radia pro AP a určuje jak Radio Resource Management (RRM) provozuje AP. Máme předdefinované profily pro jednotlivá pásma. Pro 2,4 a 5 GHz jsou připraveny tři varianty podle hustoty klientů.

Často vystačíme s default-rf-tag. Který využívá Global Config, což jsou nastavení v Configuration - Radio Configurations - RRM, Network, Parameters. Můžeme změnit tato globální nastavení.

Některé parametry můžeme upravit přímo na AP.

Přiřazení Tagů k AP

Aby určité AP vysílalo připravené WLANy (SSID), tak musí mít přiřazen vytvořený Policy Tag. Volitelně můžeme upravit další chování a přiřadit Site Tag a RF Tag. Je řada možností, jak to udělat.

Pozn.: Při změně Tagu ztrácí AP svou asociaci k WLC a znovu se připojí.

Ruční nastavení přímo na AP

• Configuration - Wireless - Access Points

Otevřeme konfiguraci určitého AP a na záložce General v sekci Tags přiřadíme.

Ruční nastavení pomocí Wireless Setup

• Configuration - Wireless Setup - Advanced

Pro hromadné nastavení můžeme využít průvodce. Klikneme na Start Now, pak na tlačítko vedle Tag APs. Následně vybereme požadovaná AP a po kliknutí na Tag APs vybereme tagy. Na konci uložíme.

Ruční nastavení centrálně - Static

• Configuration - Tags & Profiles - Tags - AP - Static

AP jsou identifikována svou MAC adresou. Na jednom místě můžeme nastavit nebo upravit přiřazení Tagů na AP.

Pomocí umístění - Location

• Configuration - Tags & Profiles - Tags - AP - Location

Můžeme definovat Location, která má přiřazené Tagy a určitá AP.

Pomocí filtru - Filter

• Configuration - Tags & Profiles - Tags - AP - Filter

Můžeme definovat pravidla, která vybírají AP podle jména definovaným regulárním výrazem.

Příklady WLAN konfigurací

Několik příkladů, jak je možno nakonfigurovat WLANy. Uvedeny jsou pouze vybrané parametry, ostatní mohou být nastaveny podle předchozího popisu či v defaultu. Nastavení související RADIUS autentizace je popsáno v Microsoft NPS jako RADIUS pro WiFi.

Moderní firemní notebooky s přístupem do interní sítě

Využívá autentizaci pomocí 802.1x EAP-TLS přes RADIUS, kdy se zařízení ověřují počítačovým certifikátem. Na RADIUS serveru můžeme omezit na vybranou skupinu počítačů. Povoleno je pouze pásmo 5 GHz s WPA3 Enterprise.

Policy Profile - wifi

• VLAN/VLAN Group: VLAN pro interní síť

WLAN Profile - wifi

• SSID: wifi
• Radio Policy: 5 GHz Enabled
• Security - Layer2: WPA3
• WPA Parameters: WPA3 Policy
• WPA2/WPA3 Encryption: AES(CCMP128)
• Protected Management Frame: Required
• Fast Transition: Enabled
• Auth Key Mgmt: 802.1x-SHA256, FT + 802.1x
• Security - AAA - Authentication List: AuthDomain (připravený seznam Authentication dot1x group pro náš RADIUS)

Ostatní zařízení s přístupem do interní sítě

Využívá MAC Filtering a autentizaci pomocí 802.1x PEAP-MSCHAP v2 přes RADIUS, kdy se uživatelé ověřují jménem a heslem. Povoleno je pásmo 2,4 a 5 GHz s WPA2 a WPA3 (WPA3-Enterprise Transition).

WLAN Profile - wifi2

• SSID: wifi2
• Radio Policy: 5 GHz Enabled, 2,4 GHz Enabled 802.11g only
• Security - Layer2: WPA2 + WPA3
• MAC Filtering: Enabled
• Authorization List: MACfilter-local (připravený seznam Authorization network local)
• WPA Parameters: WPA2 Policy, WPA3 Policy
• WPA2/WPA3 Encryption: AES(CCMP128)
• Protected Management Frame: Required
• Fast Transition: Enabled
• Auth Key Mgmt: 802.1x, 802.1x-SHA256, FT + 802.1x
• Security - AAA - Authentication List: AuthDomain (připravený seznam Authentication dot1x group pro náš RADIUS)

Připojení návštěv do internetu s Web Auth

Otevřená síť, kde se provádí autentizace na webové stránce (Captive Portal) pomocí účtu, který vytváří například na recepci. Povoleno je pásmo 2,4 a 5 GHz s Open (None).

Policy Profile - host

• VLAN/VLAN Group: VLAN pro přístup hostů

WLAN Profile - host

• SSID: host
• Radio Policy: 5 GHz Enabled, 2,4 GHz Enabled 802.11g only
• Security - Layer2: None
• Protected Management Frame: Disabled
• Fast Transition: Disabled
• Security - Layer3 - Web Policy: Enabled
• Web Auth Parameter Map: global
• Authentication List: AuthLocal (připravený seznam Authentication login local)
• Preauthentication ACL IPv4: PreACL (připravené ACL)
• P2P Blocking Action: Block

Připojení zaměstnanců do internetu

Využívá autentizaci pomocí PSK (Pre-Shared Key) klíče (hesla). Povoleno je pásmo 2,4 a 5 GHz s WPA2 a WPA3 (WPA3-Personal Transition).

WLAN Profile - host2

• SSID: host2
• Radio Policy: 5 GHz Enabled, 2,4 GHz Enabled 802.11g only
• Security - Layer2: WPA2 + WPA3
• WPA Parameters: WPA2 Policy, WPA3 Policy
• WPA2/WPA3 Encryption: AES(CCMP128)
• Protected Management Frame: Optional
• Fast Transition: Enabled
• Auth Key Mgmt: PSK, SAE, PSK-SHA256, FT + PSK, FT + SAE
• Pre-Shared Key: klíč pro přihlášení

Policy Tag - Firma-default

Vytvoření jednotlivých SSID, která budou vysílat AP po přiřazení tohoto tagu.

• Name: Firma-default
• WLAN-POLICY Maps:
  • WLAN Profile: wifi + Policy Profile: wifi
  • WLAN Profile: wifi2 + Policy Profile: wifi
  • WLAN Profile: host + Policy Profile: host
  • WLAN Profile: host2 + Policy Profile: host