www.SAMURAJ-cz.com 

15.12.2017 Radana a Radan Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

Obecně o konfiguraci WLC a zvláště Cisco 2500 Wireless Controller

Pátek, 22.05.2015 14:43 | Samuraj - Petr Bouška |
Pro bezdrátové sítě jsem využíval řízení pomocí kontrolérů WLC 4402, které již Cisco nepodporuje, není pro ně nová verze softwaru a tudíž ani nové vlastnosti. Tyto kontroléry byly dost drahé a velká část ceny byla za licence pro APčka, takže jsem hledal nějakou možnost upgradu nebo převodu (třeba na virtuální kontrolér). Ale nic takového Cisco nenabízí. V současnosti je však akce, kdy se dá zakoupit bundle dvou AP a k nim je téměř zdarma WLC 2504 s licencí na 25 AP. V tomto článku se tedy podíváme na WLC 2504 a obecně na design a konfiguraci WLC, kterou jsem dříve moc nepopisoval.

Cisco 2504 Wireless Controller

Wireless Controller (WLC) série 2500 obsahuje v současnosti jediný model Cisco 2504 Wireless Controller. Nejde o žádnou novinku, na trh přišel již v roce 2011, ale zatím nebyl oznámen termín End-of-Sale (nebo Support). Oficiálně je tato řada určena pro malé a střední společnosti nebo pro pobočky enterprise organizací. Parametry ale odpovídají spíše WLC řady 4400, který byl dříve určen i do velkých organizací, než malým řadám WLC 2000 a 2100, které nahrazuje. Dnes ale máme řadu vyšších modelů 5500, 5700 a 8500, které podporují až 6000 APček. S verzí softwaru 7.4 přišlo vylepšení funkcí a navýšení výkonu (například podpora 75 AP místo 50).

WLC 2504 podporuje nový standard IEEE 802.1ac a poskytuje dostatečný výkon pro až 75 AP a 1000 klientů. Je součástí Cisco Unified Wireless Network (CUWN) architektury. Slouží k řízení Cisco Lightweight Aironet Access Points a může být centrálně ovládán pomocí Cisco Prime Infrastructure (PI), nového management nástroje (nástupce Wireless Control System - WCS a Network Control System - NCS). Podporuje nové technologie jako Cisco Application Visibility and Control (AVC), Bonjour Services Directory, Wireless Policy engine. Mezi další vlastnosti patří RF management pomocí Cisco CleanAir technologie, Wireless Intrusion Prevention System (wIPS), šifrování CAPWAP datového tunelu (DTLS), Guest Anchor and Wired Guest Access, podpora pro data, hlas a video, Link Aggregation Group (LAG).

Cisco 2504 Wireless Controller

Oficiální dokumentace ke kontroléru:

Další dokumenty popisující instalaci:

Cisco ověřené designy obsahují komplexní popis implementace:

Malý úvod do teorie Wireless LAN Controller (WLC)

Stručné shrnutí pár základních termínů a technologií:

  • AP - Wireless Access Point - přístupový bod slouží k připojení bezdrátových zařízení do IP sítě, funguje na principu vysílání a přijímání rádiového signálu, Cisco má různé série AP označované jako Cisco Aironet. AP může pracovat ve dvou módech
    • Autonomous Mode - každé AP funguje samostatně a individuálně se spravuje
    • Lightweight Mode - AP v odlehčeném módu (LAP) je (a musí být) spravováno/řízeno pomocí WLC
  • WLC - Wireless LAN Controller nebo Wireless Controller - zařízení, které spravuje konfiguraci, bezpečnostní politiky a provoz více AP. Můžeme použít více WLC a v případě výpadku se AP přeregistrují k novému kontroléru nebo WLC klastrovat, aby uživatel nezaznamenal žádný výpadek. Standardně jde o speciální HW appliance, ale Cisco má již i virtuální vWLC, které zatím nepodporuje všechny funkce.
  • Cisco CleanAir - technologie, která se snaží zmírnit rušení ve vysílacím pásmu, využívá Radio Resource Management
  • Radio Resource Management - monitoruje a nastavuje bezdrátové parametry, jako je vysílací výkon, alokace kanálu, přenosové rychlosti, apod.
  • CAPWAP - Control and Provisioning of Wireless Access Points Protocol - standardizovaný protokol (RFC 5415) pro komunikaci mezi AP a WLC, dříve (do verze WLC SW 5.2) Cisco používalo Lightweight Access Point Protocol (LWAPP)
  • IEEE 802.11 protokoly - hlavní protokoly pro bezdrátové sítě pracují (primárně) buď v pásmu 2,4GHz (802.11b, 802.11g) nebo 5GHz (802.11a, 802.11ac) nebo obou (802.11n), poskytují různé teoretické a reálné přenosové rychlosti, zatím poslední je verze 802.11ac, kdy je nyní nasazena vlna 1 (Wave 1) a brzy má přijít vylepšená vlna 2 (Wave 2)
  • Přepínání uživatelských dat - Lightweight AP může pracovat ve dvou různých módech, které řeší, v jakém místě vstupují uživatelská data do sítě
    • Local Mode - AP si vytvoří dva CAPWAP tunely k WLC, jeden pro management, druhý pro data, veškerá data uživatelů připojených k AP (do libovolné WLAN) jsou přenášena na WLC a zde se teprve dostanou do sítě (označuje se jako centrally switched), to může být problém u poboček, které jsou připojeny pomalou linkou a kde není lokální WLC
    • FlexConnect (dříve H-REAP) - umožňuje, aby AP byla řízena centrálním WLC, ale data se dostala do sítě lokálně z AP (locally switched), AP může fungovat i když ztratí konektivitu na WLC

Síťový design nasazení WLC

Porty a interfacy

WLC 2504 obsahuje 4 datové porty o rychlosti 1 Gbps, z nichž dva podporují Power over Ethernet (PoE) dle IEEE 802.3af. A jeden konsolový port RJ45 pro připojení na Command-Line Interface (CLI).

Porty na WLC 2504

Port je fyzická entita, která slouží k připojení na platformu kontroléru. Interface (rozhraní) je logická entita na kontroléru, která má řadu parametrů (jako je IP adresa, VLAN, primární fyzický port, záložní fyzický port, apod.). Každý interface se mapuje na jeden nebo dva fyzické porty. Pokud využijeme i druhý port (backup), tak se komunikace na něj přesměruje v případě výpadku prvního portu. Případně můžeme využít Link Aggregation (LAG) a spojit více portů do jednoho virtuálního.

Základní interface na WLC:

  • Management - povinný, statický, konfigurovaný v průběhu úvodního nastavení. Hlavní rozhraní pro in-band management (přístup na web administraci a CLI telnet/SSH) a připojení k enterprise službám jako je AAA. Defaultně funguje také jako AP manager interface, takže se používá pro komunikaci mezi WLC a AP.
  • AP-manager - pro WLC řady 2500 není třeba samostatný AP-manager, původní statický interface zde neexistuje, můžeme vytvořit dynamický interface s volbou Dynamic AP Management, ten musí mít unikátní IP adresu a může být ve stejné VLAN jako Management. Pro WLC 2500 se může využít společný Management interface i pro AP-manager a takto je podporován libovolný počet AP. Přesto se pro zvýšení výkonu doporučuje vytvořit celkem 4 dynamické interface (respektive 3 při využití Management) pro AP manager a přiřadit je 4 gigovým portům na WLC. Nebo využít LAG. Pouze jeden AP-manager interface je povoleno přiřadit k jednomu fyzickému portu, tento interface není možno použít pro WLAN.
  • Virtual - povinný, statický, konfigurovaný v průběhu úvodního nastavení. Speciální virtuální rozhraní, které nekomunikuje v síti, přiřazuje se mu nepoužitá (a nedostupná) adresa, jako je 1.1.1.1. Používá se pro podporu správy mobility, DHCP relay a L3 bezpečnosti (Guest Web Authentication a VPN termination).
  • Dynamic - dynamicky definované uživatelem. Vytváří je správce a jsou analogií k VLANám. WLC 2500 podporuje až 16 dynamických interfaců, každý musí mít unikátní IP subnet a VLAN. Když vytvoříme WLAN, tak ji přiřadíme jeden dynamický interface (nebo Interface Group). WLAN přiřazuje Service Set Identifier (SSID) k interface a definuje parametry bezpečnosti, QoS, radio policy, apod. Systémové servery (jako Radius a NTP) by se neměli nacházet v subnetu, který je přiřazen dynamickému interface, ale měly by být dostupné přes Management interface.
Zapojení WLC s více AP-manager interface

Připojení WLC do sítě

K připojení WLC do sítě spojíme jeden nebo více portů WLC s odpovídajícím počtem portů na switchi (či několika switchích). Defaultně jsou WLC porty v módu 802.1q trunk. V nastavení switche se doporučuje použít pouze VLANy, které chceme na WLC využívat.

Zapojení WLC pomocí jednoho společného interface

Máme řadu možností, jak propojení a nastavení provést

  • Využít jeden port v trunku, kde nastavíme všechny potřebné VLANy pro různé interface (teoreticky ani VLANy používat nemusíme, ale to není doporučeno), hlavně tedy Management (zároveň s AP-manager) a dynamické interface pro přístupové sítě WLAN.
  • Komunikaci rozdělit na více portů, třeba Management na port 1 (takže zde je veškerá komunikace s AP) a dynamické interface na portu 2 (tedy klientská komunikace do sítě, zde je v podstatě objemově ten samý provoz jako na AP-manager, takže tím rozložíme zátěž).
  • Více portů využít pro stejnou komunikaci, hlavní příklad je několik AP-manager interface, kdy každý je nastaven na jiný port. Případně nastavení backup portů (nejsou používány aktivně, ale použijí se v případě výpadku primární cesty) pro management a dynamické interface mimo AP-manager.
  • Spojit porty do jednoho virtuálního pomocí LAG, všechny interface jsou pak mapovány na LAG a všechna komunikace se rozkládá.

Pozn.: Cisco uvádí, že na interface, kde je zapnutý Dynamic AP Management, se nemá backup port definovat, protože se zde nevyužívá port redundancy. Místo toho se má nakonfigurovat více AP-manager interface a v případě výpadku jednoho dojde k automatickému přepojení AP přes jiný interface. Přitom u oficiálního scénáře (číslo 3), kde se využívá Management interface i jako AP-manager, nastavují backup port.

Osobně se mi zdá nejlepší využít LAG, tedy Link Aggregation alias Etherchannel, který využívám na řadě míst, funguje automaticky a spolehlivě. Optimálně spojit všechny 4 porty WLC do různých switchů jednoho stacku.

Komunikace v rámci sítě

Příklad, jak celkové zapojení a komunikace probíhá. Základem je využívání různých VLAN a trunk portů spolu s LAG. WLC připojíme pomocí trunku do všech VLAN, kde má komunikovat (on i všechny WLAN), na switchi trunk mode a omezit pouze na použité VLAN. LAP připojíme pouze do VLANy, kde komunikuje s WLC, tedy AP-manager, jde tedy o access mode a doporučuje se použít PortFast. V příkladu máme VLAN 200, kde je Management a AP-manager, tedy komunikace s APčky, VLAN 10 je Hostovská síť, která vede přímo do internetu, VLAN 20 je provozní síť. Vytvoříme bezdrátovou síť WLAN 1, nastavíme SSID host, namapujeme na dynamický interface host-int, který je přiřazen k VLAN 10 a jako fyzický port má nastaven LAG.

WLC schéma zapojení, VLAN, komunikací

Klient se pomocí SSID host připojí k WLAN 1, komunikace jde CAPWAP tunelem z APčka na WLC (v rámci AP-manager interface). Dle přiřazeného dynamického interface host-int se určí port LAG a VLAN 10 na tomto portu, tím se klientská komunikace dostane na switch do správné VLANy. Klient se chová, jakoby byl připojen přímo v této VLAN, takže se standardně projeví routování do dalších sítí, apod.

Následující obrázek znázorňuje probíhající mapování, pro zjednodušení není použit LAG, ale Management interface je nastaven na Port 1 a dva dynamické interface jsou mapovány na Port 2.

WLC mapování VLAN, port, interface, WLAN

Základní nastavení

Pokud máme nový nenakonfigurovaný kontrolér (nebo třeba po factory resetu), tak musíme provést základní konfiguraci. Máme dvě možnosti, kdy se pokaždé využije určitý průvodce (wizard), kterému musíme zadat potřebné údaje. První možnost je novinka, využije se webové rozhraní. Druhá možnost je klasická pomocí CLI console přes VT-100 terminal emulator.

Cisco WLAN Express Setup (součástí sw od verze 7.6.120.0) - Easy-to-use Setup Wizard

  • zapneme WLC
  • připojíme stanici do portu 2 a počkáme až dioda SYS bude zeleně svítit (trvá to nějakou dobu)
  • naše stanice dostane adresu z DHCP z WLC
  • připojíme se na web http://192.168.1.1
  • projdeme krátkého průvodce, kde nastavíme jméno, IP adresu, první WLAN
  • na konci se nastavení uloží a WLC restartuje (také se provede nastavení určitých defaultních vlastností a hodnot, které u CLI průvodce zadáváme ručně)
  • pro připojení do sítě (ke switchi - interface Management) se nastavil port 1, takže ten připojíme do switche
  • připojíme se na rozhraní WLC na námi nastavené IP adrese
WLC ukázka Easy-to-use Setup Wizard

Console Startup Wizard

  • připojíme se z počítače pomocí sériového kabelu do konzolového portu a PC terminal emulation programu (třeba putty)
  • zapneme WLC a můžeme sledovat proces bootování
  • projdeme průvodce, kde zadáme celou řadu parametrů, jako jméno, účet admina, nastavení IP, RF, WLAN (celkem asi 23 údajů)
  • na konci odsouhlasíme zadaná data, nastavení se uloží a WLC restartuje
  • připojíme kontroler do sítě pomocí portu, kde jsme nastavili management IP
  • připojíme se na rozhraní WLC na námi nastavené IP adrese

Factory reset - zpět do továrního nastavení

Při testování a pokusech se může hodit zresetovat WLC zpět do čistého stavu, níže je postup.

  • pomocí CLI zadáme příkaz reset system
  • nebo stiskneme tlačítko RESET na přední straně kontroleru
  • dojde k restartu WLC a na konci bootování se zobrazí dialog, kde zadáme jako uživatele Recover-Config
Enter User Name (or 'Recover-Config' this one-time only to reset configuration to factory defaults)
User: Recover-Config

Některá zajímavá nastavení

Určitě zde není prostor procházet veškerá nastavení, to je potřeba se podívat do oficiální dokumentace příkazů a vlastností Cisco Wireless LAN Controller Configuration Guide, Release 8.0 nebo je dobrý článek Cisco Wireless LAN Controller Configuration Best Practices a řada dalších. Také doporučuji si projít celé GUI WLC pro získání přehledu. Ale na pár určitých věcí se zde podíváme, na začátku nastavení včetně popisu, poté pouze zmínky vlastností.

Pokud provádíme nové nasazení bezdrátové sítě, tak je dopředu dobré si sepsat sítě, které budeme nastavovat/vytvářet, tedy WLANy s jejich parametry (SSID, zabezpečení, autentizace), k nim interfacy (nezapomenout na virtual a management) a síťové VLANy (s IP parametry, použitým DHCP).

Možnosti DHCP

Asi téměř vždy potřebujeme klientům v bezdrátové síti poskytovat IP adresu a další síťové nastavení. Proto jsou možnosti využití různých DHCP serverů hodně důležité.

  • Internal DHCP server - omezené interní DHCP na WLC, je navržen pouze pro malé nasazení a spíše pro lab. Aby bylo možno použít interní DHCP, tak musí být zapnut DHCP Proxy (interně pomocí něj dochází k přeposílání) a na Interface nebo WLAN se nastaví management IP adresa kontroléru jako DHCP. Obecně Cisco doporučuje nepoužívat interní DHCP.
  • External DHCP server - DCHP server v naší síti lze využít různým způsobem
    • DHCP Bridging mode - DHCP musí být ve stejném subnetu jako klient, požadavky od klienta WLC bridguje beze změny do VLANy přiřazené k dané WLAN a obráceně
    • DHCP Proxy mode - DHCP může být v jiném subnetu, kontrolér předává požadavky klienta na nastavený DHCP server (buď u dynamického interface nebo WLAN), odstíní tak jeho adresu a určitým způsobem zabezpečí, sestavuje nové požadavky na server. Z popisu jsem to chápal, že DHCP server se může nacházet za management interface a nemusí být dostupný z WLAN (a tedy také VLAN), kde se připojuje klient, bohužel to tak není a vždy se to posílá přes interface dané WLAN. Takže mi to připadá téměř shodné jako Relay (zmíněný v dalším bodě), pouze nepotřebujeme router s podporou Relay.
    • DHCP Relay mode - trochu bokem je i možnost použít na WLC DHCP Bridging a na L3 switchi / routeru nastavit DHCP Realy Agent (u Cisco příkaz ip helper-address), který předává broadcast požadavky na DHCP server v jiném subnetu pomocí unicastu (samozřejmě musí být mezi sebou ty subnety routované). Důležité je, aby v této situaci byl opravdu vypnutý Proxy mode na WLC. V praxi mi toto nejlpépe funguje.

Konfigurace

Pokud používáme více WLC, tak nastavení musí být na všech stejné. Zapnutí DHCP Proxy je v Controller - Advanced - DHCP. Primárně v nastavení Interace Controller - Interface zadáváme adresu DHCP serveru (ať interního nebo externího) a volíme DHCP Proxy Mode. Možnosti jsou

  • Global, kdy se použije globální nastavení na kontroleru
  • Enabled zapíná DHCP Proxy pro daný interface
  • Disabled jej vypíná.

Pro vyšší bezpečnost můžeme zapnout DHCP Option 82 (DHCP Relay Agent Information Option), pokud to náš DHCP server podporuje.

Link Aggregation (LAG) a Etherchannel

Link Aggregation (LAG - Link Aggregation Group) je částečná implementace standardu IEEE 802.3ad (Port Aggregation, potažmo novější IEEE 802.1ax), která z více fyzických portů vytvoří jeden (virtuální) port channel. Zvýší se tím celková propustnost (Load Balancing) a spolehlivost (port redundancy). U WLC Interface pak nemusíme řešit primární a sekundární port (backup). Podpora pro LAG je od WLC verze SW 7.4. WLC nepodporuje protokoly LACP nebo PAgP, takže na switchi zapínáme Etherchannel v mode on. O této technologii jsem psal v článku Cisco IOS 21 - EtherChannel, Link Agregation, PAgP, LACP, NIC Teaming.

Všechny čtyři porty WLC můžeme spojit do jedné linky, porty musí být připojeny k jednomu switchi nebo stacku (abychom na Cisco switchi mohli zapnout Etherchannel). Po zapnutí LAG se všechny zapojené porty WLC spojí do jedné skupiny, není možno jich vytvořit více, ani použít některé porty jinak. Když se přepíná mód kontroléru, tak je potřeba restart. V LAG módu nemůžeme interfacům přiřazovat číslo portu, ale jsou napevno nastaveny na LAG (ukazuje se jako číslo 13). Při zapnutém LAG můžeme vytvořit pouze jeden AP-manager interface (více jich ani nepotřebujeme, protože funguje přes všechny porty v groupě). Při zapnutí LAG se smažou dynamické AP-manager a netagovené (bez VLAN) interface, všechny WLAN se vypnou a namapují na management interface.

Použití LAGu je doporučeno pro zajištění vyšší propustnosti a spolehlivosti. Druhou možností je použít více AP-manager interface, kde je výhoda, že mohou být porty připojeny do různých switchů, ale nerozkládáme provoz do přístupových VLAN (ostatní dynamické interface).

Zapnutí/vypnutí LAG se provádí v Controller - General - LAG Mode on Next Reboot. U interfaců se pak změní možnost přiřazení portů napevno na LAG.

WLC interface přiřazení portu WLC interface přiřazení portu s LAG

Příklad nastavení dvou portů na Cisco switchi.

interface GigabitEthernet1/0/1
  description WLC port 1
  switchport trunk encapsulation dot1q
  switchport trunk allowed vlan 10, 20, 200
  switchport mode trunk
  switchport nonegotiate
  mls qos trust dscp
  channel-group 1 mode on
end
interface GigabitEthernet1/0/2
  description WLC port 2
  switchport trunk encapsulation dot1q
  switchport trunk allowed vlan 10, 20, 200
  switchport mode trunk
  switchport nonegotiate
  mls qos trust dscp
  channel-group 1 mode on
end
interface Port-channel2
  switchport trunk encapsulation dot1q
  switchport trunk allowed vlan 10, 20, 200
  switchport mode trunk
  switchport nonegotiate
end

VLAN Select

Umožní k jedné WLAN přiřadit více VLAN (a tedy subnetů). Například pokud potřebujeme, aby se velké množství uživatelů připojilo ke stejně WLAN, ale byli rozděleni do různých podsítí.

Vytvoříme Interface pro každou VLAN Controller - Interface, ty spojíme do Interface Group Controller - Interface Groups, kterou přiřadíme k WLAN WLANs - WLANs.

Mobility Group

Mobility Group slouží k propojení více WLC, které pak sdílí stavové informace bezdrátových klientů, zatížení kontroléru, klientská data a data pro redundanci kontrolérů. Slouží to k plynulému přechodu klientů mezi kontroléry (APčky registrovanými k různým WLC) a k zajištění redundance N+1 (při poruše WLC se AP přeregistruje k jinému).

Všechny kontroléry musí použít stejné jméno Mobility Group Controller - General - Default Mobility Domain Name. A musíme je navzájem propojit (ručně zadat) v Controller - Mobility Management - Mobility Groups.

Protected Management Frame (PMF) - IEEE 802.11w

Management zprávy mezi AP a klientem, jako je autentizace, asociace, beacon, probes, jsou standardně nešifrované a nechráněné (na rozdíl od datového provozu, který běžně šifrujeme). Mohou na ně existovat různé útoky, proto vznikly mechanismy na jejich ochranu.

Cisco vytvořilo Management Frame Protection (MFP), který můžeme nastavovat globálně v Security - Wireless Protection Policies - AP Authentication - Protection Type nebo na WLAN v WLANs - určitá WLAN - Advanced - MFP Client Protection.

V roce 2009 vznikl doplněk standardu IEEE 802.11w nazvaný Protected Management Frame (PMF), který Cisco podporuje na určitých AP, WLC a verzích. Nastavuje se na WLAN, je možno jej použít pouze pro WPA2 PSK nebo WPA2 802.1x, v WLANs - určitá WLAN - Security - Layer 2 - Protected Management Frame na Required a pak v sekci Authentication Key Management zvolit PMF 802.1X nebo PMF PSK.

Cisco ve svých doporučeních uvádí, že se má zapnout na WLAN podpora 802.11w. Problém ovšem je, že je pouze pár klientů, kteří jej podporují. Provedl jsem pouze pár testů, ale z žádného klienta se mi nepodařilo připojit do WLAN se zapnutým PMF

Fast SSID Changing

Controller - General - Fast SSID change nastavit na Enable

Multicast

Controller - Multicast - Enable Global Multicast Mode a Enable IGMP Snooping zatrhnout

Quality of Service

Wireless - QoS - Profiles - můžeme upravit 4 zabudované profily pro provoz

Wireless - QoS - Roles - můžeme vytvořit role pro guest uživatele a omezit jim provoz, roli pak přiřazujeme k uživatelskému účtu (třeba v Local Net Users)

NTP

Controller - NTP - Server

SNMP

Určitě zrušit defaultní hodnoty (přístupy včetně SNMPv3 uživatele) a případně nastavit vlastní.

Management - SNMP - General a Communities

Zapnutí pouze HTTPS

Management - HTTP-HTTPS

Zablokování přístupu na administraci z WiFi

Management - Mgmt Via Wireless

Doporučená nastavení - Best Practice

Bodově pár věcí, které je doporučeno nastavit nebo naopak nepoužívat. Řada věcí je zahrnuta již v předchozím popisu, takže zde pár dalších. Jde o informace vybrané z materiálů Cisco, ale při testování některých, jsem narazil na problémy (popsané u daného bodu), takže nemohu doporučit vše používat.

  • zakázat připojení WiFi Direct klientů WLANs - určitá WLAN - Advanced - Wi-Fi Direct Clients Policy nastavit na Not-Allow - při tomto nastavení se mi nepřipojovali někteří mobilní klienti
  • v nastavení WLAN lze dohromady nastavit WPA i WPA2, někteří klienti s tím ale mají problémy, takže se doporučuje využít pouze WPA2 s AES, také se doporučuje vyhnout zastaralému TKIP (místo něj pouze AES)
  • nepoužívat pro autentizaci Local EAP
  • na každé WLAN zapínat DHCP Addr. Assignment jako Required, pokaždé když se klient připojí, tak nejprve musí od DHCP získat adresu než může odesílat či přijímat libovolný provoz
  • Cisco detekuje Rogue AP a je dobré jim věnovat pozornost, protože mohou být použité k různým útokům, omezit provoz naší WiFi sítě nebo falšovat naši síť, aby se k ní připojili naši uživatelé. Pokud ale tuto funkci nevyužíváme, tak ji můžeme na AP vypnout Wireless - Access Points - určité AP - Advanced - Rogue Detection
  • Rogue Detection můžeme také různě ladit (a vytvářet profily/pravidla), zvolit stupeň detekce (který přednastaví další parametry) Security - Wireless Protection Policies - Rogue Policies - General - Rogue Detection Security Level nebo například nastavit minimální sílu signálu detekovaného AP (RSSI) Rogue Detection Minimum RSSI
  • vypnout nízké přenosové rychlosti v pásmu 5GHz a 2.4GHz, snižuje to rychlost celé sítě, ale je potřeba opatrně vypínat a důkladně testovat Wireless - 802.11a/n - Network například vypnout 6, 9, 12 a 18 Mbps, Wireless - 802.11b/g/n - Network například vypnout 1, 2, 5.5, 6, 9 a 11 Mbps
  • zapnout Band Select (nedoporučuje se pro Voice WLAN), klienti, kteří podporují 2.4GHz i 5GHz, ale defaultně se připojují na 2.4GHz, se snaží donutit připojit na 5GHz, nastavuje se na WLAN WLANs - určitá WLAN - Advanced - Client Band Select
  • minimalizovat počet SSID (tedy WLAN), samozřejmě dle praktických možností
  • využívat Application Visibility and Control (AVC), které klasifikuje aplikace pomocí technik Cisco Deep Packet Inspection (DPI) s Network-Based Application Recognition (NBAR), rozpoznáme tak aplikace a můžeme některý provoz zahodit nebo označit, zapíná se na WLAN WLANs - určitá WLAN - QoS - Application Visibility
  • zapnout standard 802.11k pro optimální roaming mezi AP, který umožňuje zasílat informace o sousedních AP
    (Cisco Controller) >config wlan assisted-roaming neighbor-list enable <WLAN id>
    (Cisco Controller) >config wlan assisted-roaming dual-list enable <WLAN id>
    (Cisco Controller) >config wlan assisted-roaming prediction enable <WLAN id>
  • používat CleanAir Wireless - 802.11a/n/ac - CleanAir a Wireless - 802.11b/g/n - CleanAir
  • pokud používáme stará AP generace 1 (Cisco Aironet 1140, 3500, 1250, 1260 Series), tak můžeme zapnout ClientLink 1.0 (novější verze ClientLink 2.0 a 3.0 jsou zapnuty defaultně, ale podporovány pouze na nových AP)
    (Cisco Controller) >config 802.11a disable network
    (Cisco Controller) >config 802.11a beamforming global enable
    (Cisco Controller) >config 802.11a enable network
    (Cisco Controller) >config 802.11b disable network
    (Cisco Controller) >config 802.11b beamforming global enable
    (Cisco Controller) >config 802.11b enable network
  • zapnutí Dynamic Channel Assignment (DCA) pro 802.11ac
    Wireless - 802.11a/n/ac - Network - 802.11a Network Status - musíme vypnout síť
    Wireless - 802.11a/n/ac - RRM - DCA - Channel Width a zapnutí Extended UNII-2 channels
    Wireless - 802.11a/n/ac - Network - 802.11a Network Status - zapnout síť
zobrazeno: 9282krát | Komentáře [5]

Autor:

Související články:

Cisco WLC

Wireless LAN Controller je Cisco zařízení pro centrální správu WiFi sítě (přístupových bodů). Články se věnují popisu funkce a konfigurace Cisco bezdrátových sítí. Od Access Points (tedy přístupových bodů), přes WLC, Wireless Control System (WCS) po Cisco Prime Infrastructure.

Pokud se Vám článek líbil, tak mne potěšíte, když uložíte odkaz na některý server:

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže. Pokud chcete poradit s nějakým problémem či diskutovat na nějaké téma, tak použijte fórum.

Komentáře

  1. [1] Tyfon

    Dík za super stránky. Cisco nabízí i virtuální kontrolér. Koupili jsme jej před rokem a půl a funguje dodnes. Je možno stáhnout 60-ti denní zkušební verzi (aktuálně AIR-CTVM-K9-8-0-120-0.ova).

    Úterý, 22.09.2015 21:55 | odpovědět
  2. [2] Samuraj

    odpověď na [1]Tyfon: Jo jo, ten virtuální kontroler zmiňuji již v úvodu. Ale není na něj možno převádět licence z fyzických kontrolerů a má také řadu omezení oproti fyzickému (pořád čekám, kdy to konečně sjednotí).

    Středa, 23.09.2015 08:26 | odpovědět
  3. [3] Jiří Žiška

    Pane Bouška, Cisco má tzv. Trade-in program, kdy vrácením staršího HW dostanete slevu na nový HW. Ano, není to sleva, ze které byste se "posadil na zadek", ale je to program výměny HW. Je to podobné, jako by jste došel do škodovky a chtěl vyměnit škodu 120 za fabii. Taky dostanete maximálně šrotovné.

    Nemůžete očekávat, že na starém HW budete mít stále nové funkce. Jednak to často není technicky možné (např. k Office Extend je potřeba šifrovací koprocesor), jednak je to dost náročné udržovat kompatibilitu (zejména při dodržení spolehlivosti). Ostatně nejlepším měřítkem bývá zpětná kompatibilita, která je velmi dobrá. Na SW verze 8.0 ("nové" kontrolery) lze provozovat AP řady 1130, která jsou více než 10 let stará (dokonce jim procházejí i certifikáty, což muselo Cisco řešit). Tedy životnost fyzická je delší, než je ta morální, což se občas v oblasti IT stává. Znám jednu firmu, kde na "novém" kontroleru 2504 dokonce používají i stará AP řady 1230, která vyšla tuším roku 2001. Jediným problémem, který nastal je ukončení prodeje AP řady 1140 a 1040, které ovšem bylo z důvodu změn podmínek prodeje AP v EMEA regionu a dotklo se mnoha enterprise výrobců WiFi. Z toho důvodu se na staré kontrolery dnes nedají koupit žádná "levná" AP.

    Funkce také nemůžete mít napříč HW stejné. Jednak by se dražší kontroléry téměř vůbec neprodávaly, jednak né všechny funkce lze z důvodu výkonu na všech kontrolerech používat. Např. zmíněný Office Extend není možné na vWLC používat z důvodu chybějícího šifrovacího koprocesoru.

    Středa, 23.09.2015 10:59 | odpovědět
  4. [4] Samuraj

    Trade-in je skoro na nic, větší slevu dostanu jiným způsobem. Váš příměr k vozidlu je dost mimo. U WLC jsem zaplatil pár desítek tisíc za HW a pak několik set tisíc za licence. Takže je logické, že ty licence chci zachovat a pouze pořídit nový HW. Dělá to tak většina výrobců. Nemusíme ani chodit daleko, Cisco telefonie (třeba CUCM), licence mi stále zůstává a dle libosti měním HW.

    Nikdo nemluví o tom, že bych od starého HW chtěl zázraky. I když WLC 4402 by byl pořád naprosto dostatečný, chtěl jsem HW vyměnit. Navíc u síťového HW se očekává dlouhodobé využití, Cisco se tím i chlubí, že jejich routery a switche fungují desítky let. Bezdrátovou síť jsme budovali v roce 2008 a ještě jsme nějakou dobu čekali na dodávku nejnovějších AP 1250. Nedávno jsem zjistil, že AP 1250 je dle Cisca zastaralé a ve WLC 8.1 již není podporované. Zmínka top managementu, že bych chtěl vyměnit několik desítek AP, která nás stála značné prostředky, nepřichází v úvahu.

    Středa, 23.09.2015 12:03 | odpovědět
  5. [5] Coudu

    Pěknej a kvalitní článek Petře!

    Díky ti zaněj.

    Pondělí, 14.12.2015 22:57 | odpovědět
Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O


Ochrana proti SPAMu, zdejte následující čtyři znaky image code

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách