Архив

Настройка Cisco Lightweight Access Point и Cisco Wireless LAN Controller

26 Июнь 2009
privilege15

securityДело было в 2009 году. В данной статье изложен мой опыт настройки облегченной точки доступа (Cisco Lightweight Access Point) и ее регистрация на контроллере (Cisco Wireless LAN Controller). Материал на момент августа 2012 г. несколько устарел, но к счастью, как показывает практика, пока еще актуален.

Содержание:

Часть 1. Начальная конфигурация контроллера.

Не так давно контроллер и облегченная точка доступа взаимодействовали друг с другом на втором уровне модели OSI, что заставляло сетевых архитекторов размещать их в одной сети. Тогда можно было даже не говорить о какой-либо мобильности данного рода решения.

Спустя некоторое время, разработчики из Cisco предложили новую модель взаимодействия облегченных точек доступа с контроллером и предоставили функционал взаимодействия на третьем уровне модели OSI. С тех пор контроллер мог располагаться хоть на другом конце света, успешно управляя точками доступа через VPN сеть.

Первоначальная настройка контроллера осуществляется через консольный кабель. После подключения к контроллеру нужно ввести имя пользователя admin и пароль admin, после чего мастер первоначальной настройки задаст несколько основных вопросов, на которые необходимо ответить.

Прежде чем отвечать на них, необходимо разобрать некоторые понятия, присущие контроллерам:

NOTE

Адрес AP Manager Interface IP не будет пинговаться из сети, так что не пытайтесь проверить его доступность. По этому адресу могут обращаться только облегченные точки доступа.

Пример:

Welcome to the Cisco Wizard Configuration Tool
Use the '?' character to backup
System Name [Cisco_43:eb:22]: WLC-DIS-TMN00
Enter Administrative User Name (24 characters max): cisco
Enter Administrative Password (24 characters max): *****
Service Interface IP Address Configuration [none][DHCP]: none
Enable Link Aggregation (LAG) [yes][NO]: No
Management Interface IP Address: 192.168.1.1
Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 192.168.1.254
Management Interface VLAN Identifier (0 = untagged): 500
Management Interface Port Num [1 to 2]: 1
Management Interface DHCP Server IP Address: 192.168.1.1 (
AP Transport Mode [layer2][LAYER3]: LAYER3
AP Manager Interface IP Address: 192.168.1.10
AP?Manager is on Management subnet, using same values
AP Manager Interface DHCP Server (192.168.50.3): 192.168.1.1
Virtual Gateway IP Address: 1.1.1.1
Mobility/RF Group Name: telecombook
Network Name (SSID): telecombookSSID
Allow Static IP Addresses [YES][no]: yes
Configure a RADIUS Server now? [YES][no]: no
Enter Country Code (enter 'help' for a list of countries) [US]: US
Enable 802.11b Network [YES][no]: yes
Enable 802.11a Network [YES][no]: yes
Enable 802.11g Network [YES][no]: yes
Enable Auto?RF [YES][no]: yes

Часть 2. Регистрация точек доступа на контроллере.

Настройка контроллера уже позади. Теперь нужно ассоциировать точки доступа с контроллером. Здесь возможны два варианта развития событий:

  1. Точки доступа расположены в одной сети с контроллером.
  2. Точки доступа расположены в отличной от контроллера сети.

В первом случае, никаких проблем по объединению облегченной точки доступа и контроллера не должно возникнуть. Точке доступа достаточно получить адрес по DHCP из той же подсети и она автоматически найдет контроллер используя широковещательный запрос и присоединиться к нему.

Во втором случае, успешное подключение к контроллеру используя широковещательный запрос исключается, так как известно, что в другие подсети такие пакеты не проходят. Чтобы обойти данное ограничение, точке доступа необходимо сообщить IP контроллера на который она отправит запрос. Для этого на DHCP сервере необходимо задать две опции – 43 и 60. Опция 60 добавляет к DHCP пакету поле Vendor Class Identifier (VCI), которое определяет тип устройства, которому предназначается пакет. Опция 43 добавляет еще одно поле, в котором содержится один или несколько IP адресов. В нашем случае этими адресами будут адреса контроллеров в сети.

NOTE

После добавления опции 43 и опции 60 к DHCP пакетам, обычные сетевые устройства, которые не умеют обрабатывать данного типа DHCP пакеты не смогут получить IP адрес.

Информацию о базовой конфигурации DHCP сервера на оборудовании Cisco можно найти в базе знаний.

Минимально необходимая конфигурация DHCP сервера, заточенная под облегченные точки доступа, выглядит следующим образом:

telecombook(config)#ip dhcp pool LWAP
telecombook(config-dhcp)#network 192.168.2.0 255.255.255.0
telecombook(config-dhcp)#default-router 192.168.2.254

Теперь добавим к представленной конфигурации две опции. Для добавления опции 60 необходимо использовать следующий синтаксис: option 60 ascii “VCI string”, вместо VCI string используйте соответствующее значение из таблицы обязательно в кавычках:

Access Point VCI String
Cisco Aironet 1130 Series Cisco AP c1130
Cisco Aironet 1140 Series Cisco AP c1140
Cisco Aironet 1200 Series Cisco AP c1200
Cisco Aironet 1240 Series Cisco AP c1240
Cisco Aironet 1250 Series Cisco AP c1250
Cisco Cisco AP801 Embedded Access Point Cisco AP801

Для примера конфигурации опции 43 предположим, что в сети два контроллера беспроводных точек доступа. Поле опции 43 заполняется в шестнадцатеричными значениями, поэтому нам понадобится встроенный инженерный калькулятор Windows. Напомню, что в этом поле прописываются все IP адреса контроллеров (Management Interface IP Address) в сети. Допустим это адреса 192.168.1.1 и 192.168.1.2.

Поле опции 43 представляет из себя:

Тип + Длина + Значение

Тип всегда будет f1. Длина = Количество контроллеров*4. Следовательно в нашем примере она будет равна 2*4=8 или 08. Значения адресов в шестнадцатеричном виде будут равны C0A80101 и C0A80102. Конечный синтаксис будет выглядеть так: option 43 hex f108C0A80101C0A80102.

Пример:

telecombook(config)#ip dhcp pool LWAP
telecombook(config-dhcp)#network 192.168.2.0 255.255.255.0
telecombook(config-dhcp)#default-router 192.168.2.254
telecombook(config-dhcp)#option 60 ascii “Cisco AP c1140”
telecombook(config-dhcp)#option 43 hex f108.C0A8.0101.C0A8.0102

Часть 3. Траблшутинг.

Ничего странного нет в том, что что-то не работает так, как надо. В данной главе речь пойдет о возникшей проблеме ассоциации облегченной точки доступа с контроллером. Когда точка доступа присоединяется к контроллеру, а потом через 5 секунд вновь отключается от него, начинаешь задумываться, что тут что-то не так. В очередной раз прочитав руководство к Wireless LAN Controller объемом 950 страниц, я так и не нашел ответ на вопрос “Почему?”. Единственная полезная команда, которая помогла мне сдвинуться с мертвой точки, это команда debug lwap events enable прописанная на контроллере.

Результатом было следующее:

Thu Jun 25 01:16:34 2009: 00:22:90:90:d4:77 Received LWAPP DISCOVERY REQUEST from AP 00:22:90:90:d4:77 to
 ff:ff:ff:ff:ff:ff on port '29'
Thu Jun 25 01:16:34 2009: 00:22:90:90:d4:77 Successful transmission of LWAPP Discovery Response to AP
 00:22:90:90:d4:77 on port 29
debug lwapp events enable Thu Jun 25 01:16:44 2009: 00:22:90:90:d4:77 Received LWAPP JOIN REQUEST from AP
 00:22:90:90:d4:77 to 06:0a:00:00:00:00 on port '29'
Thu Jun 25 01:16:44 2009: 00:22:90:90:d4:77 AP AP0022.9090.d477: txNonce  00:00:00:00:00:00 rxNonce
  00:00:00:00:00:00
Thu Jun 25 01:16:44 2009: 00:22:90:90:d4:77 LWAPP Join Request MTU path from AP 00:22:90:90:d4:77 is 1500,
 remote debug mode is 0
Thu Jun 25 01:16:44 2009: 00:22:90:90:d4:77 Successfully added NPU Entry for AP 00:22:90:90:d4:77 (index 0)
                           Switch IP: 172.16.148.3, Switch Port: 12223, intIfNum 29, vlanId 500
               AP IP: 172.16.148.6, AP Port: 3399, next hop MAC: 00:22:90:90:d4:77
Thu Jun 25 01:16:44 2009: 00:22:90:90:d4:77 Successful transmission of LWAPP Join Reply to AP 00:22:90:90:d4:77
Thu Jun 25 01:16:44 2009: 00:22:90:90:d4:77 spam_lrad.c:1792 - Operation State 0 ===> 4
Thu Jun 25 01:16:45 2009: 00:22:90:90:d4:77 Received LWAPP IMAGE_DATA from AP 00:22:90:90:d4:77
Thu Jun 25 01:16:45 2009: 00:22:90:90:d4:77 Refusing image download to AP 00:22:90:90:d4:77 - unable to open
 image file /bsn/ap//c1140
Thu Jun 25 01:16:45 2009: 00:22:90:90:d4:77 Decoding of Image Data failed from AP 00:22:90:90:d4:77
Thu Jun 25 01:16:46 2009: 00:22:90:90:d4:77 Received LWAPP IMAGE_DATA from AP 00:22:90:90:d4:77
Thu Jun 25 01:16:46 2009: 00:22:90:90:d4:77 Error decrypting packet from AP 00:22:90:90:d4:77
                sessionId 22bd7af7, recvNonce 22bd7af8, sendNonce 22bd7af7
                                                                               key 3b.83.54.7b.5a.72.af.68
                                    84.82.5f.37.ee.53.71.4c
Thu Jun 25 01:16:46 2009: 00:22:90:90:d4:77     rxN 00.22.bd.7a.f8.00.00.00
                                                                                   00.00.00.00.00
                        txN 00.00.00.00.00.00.00.00
                                                            00.00.00.00.00
Thu Jun 25 01:16:46 2009: 00:22:90:90:d4:77 Decryption of message from AP failed00:22:90:90:d4:77
Thu Jun 25 01:16:46 2009: 00:22:90:90:d4:77 Security processing of Image Data failed for AP 00:22:90:90:d4:77
Thu Jun 25 01:16:47 2009: 00:22:90:90:d4:77 Received LWAPP IMAGE_DATA from AP 00:22:90:90:d4:77
Thu Jun 25 01:16:47 2009: 00:22:90:90:d4:77 Error decrypting packet from AP 00:22:90:90:d4:77
                sessionId 22bd7af7, recvNonce 22bd7af8, sendNonce 22bd7af7
                                                                               key 3b.83.54.7b.5a.72.af.68
                                    84.82.5f.37.ee.53.71.4c
Thu Jun 25 01:16:47 2009: 00:22:90:90:d4:77     rxN 00.22.bd.7a.f8.00.00.00
                                                                                   00.00.00.00.00
                        txN 00.00.00.00.00.00.00.00
                                                            00.00.00.00.00
Thu Jun 25 01:16:47 2009: 00:22:90:90:d4:77 Decryption of message from AP failed00:22:90:90:d4:77
Thu Jun 25 01:16:47 2009: 00:22:90:90:d4:77 Security processing of Image Data failed for AP 00:22:90:90:d4:77
Thu Jun 25 01:16:48 2009: 00:22:90:90:d4:77 Received LWAPP IMAGE_DATA from AP 00:22:90:90:d4:77
Thu Jun 25 01:16:48 2009: 00:22:90:90:d4:77 Error decrypting packet from AP 00:22:90:90:d4:77
                sessionId 22bd7af7, recvNonce 22bd7af8, sendNonce 22bd7af7
                                                                               key 3b.83.54.7b.5a.72.af.68
                                    84.82.5f.37.ee.53.71.4c
Thu Jun 25 01:16:48 2009: 00:22:90:90:d4:77     rxN 00.22.bd.7a.f8.00.00.00
                              00.00.00.00.00                        txN 00.00.00.00.00.00.00.00
            00.00.00.00.00Thu Jun 25 01:16:48 2009: 00:22:90:90:d4:77 Decryption of message from AP failed00:22:90:90:d4:77
Thu Jun 25 01:16:48 2009: 00:22:90:90:d4:77 Security processing of Image Data failed for AP 00:22:90:90:d4:77
Thu Jun 25 01:16:49 2009: 00:22:90:90:d4:77 Received LWAPP IMAGE_DATA from AP 00:22:90:90:d4:77
Thu Jun 25 01:16:49 2009: 00:22:90:90:d4:77 Error decrypting packet from AP 00:22:90:90:d4:77
                sessionId 22bd7af7, recvNonce 22bd7af8, sendNonce 22bd7af7
                                                                               key 3b.83.54.7b.5a.72.af.68
                                    84.82.5f.37.ee.53.71.4c
Thu Jun 25 01:16:49 2009: 00:22:90:90:d4:77     rxN 00.22.bd.7a.f8.00.00.00
                                                                                   00.00.00.00.00
                        txN 00.00.00.00.00.00.00.00
                                                            00.00.00.00.00
Thu Jun 25 01:16:49 2009: 00:22:90:90:d4:77 Decryption of message from AP failed00:22:90:90:d4:77
Thu Jun 25 01:16:49 2009: 00:22:90:90:d4:77 Security processing of Image Data failed for AP 00:22:90:90:d4:77
Thu Jun 25 01:16:50 2009: 00:22:90:90:d4:77 Received LWAPP IMAGE_DATA from AP 00:22:90:90:d4:77
Thu Jun 25 01:16:50 2009: 00:22:90:90:d4:77 Error decrypting packet from AP 00:22:90:90:d4:77
                sessionId 22bd7af7, recvNonce 22bd7af8, sendNonce 22bd7af7
                                                                               key 3b.83.54.7b.5a.72.af.68
                                    84.82.5f.37.ee.53.71.4c
Thu Jun 25 01:16:50 2009: 00:22:90:90:d4:77     rxN 00.22.bd.7a.f8.00.00.00
                                                                                   00.00.00.00.00
                        txN 00.00.00.00.00.00.00.00
                                                            00.00.00.00.00
Thu Jun 25 01:16:50 2009: 00:22:90:90:d4:77 Decryption of message from AP failed00:22:90:90:d4:77
Thu Jun 25 01:16:50 2009: 00:22:90:90:d4:77 Security processing of Image Data failed for AP 00:22:90:90:d4:77

Поиск в Интернете привел меня на один зарубежный форум, где человек пояснял, что “Security processing of Image Data failed from AP” означает, что в контроллере отсутствует образ точки доступа, которая пытается с ним ассоциироваться. “Error decrypting packet from AP” и “Decryption of message from AP failed” означает, что контроллер и точка доступа попросту разговаривают на разных языках.

Зайдя на официальный сайт Cisco я открыл data sheet на интересующую меня модель точки доступа. Прочитав информацию, я заметил, что для нормальной работы контроллера с этой точкой доступа нужен софт на контроллере не ниже версии 5.2. К слову, на контроллере стояла версия 4.2. Осталось скачать нужный софт и установить его.

NOTE

Софт с официального сайта Cisco можно скачивать только при условии, что на личном аккаунте зарегистрирован как минимум один сервисный контракт SmartNet.

После обновления, все точки доступа успешно зарегистрировались на контроллере.

Часть 4. Создание SSID и настройка динамического интерфейса.

Часть 5. Разделение точек доступа на группы.

Часть 6. Создание списков доступа.

Всего комментариев: 0. Оставить комментарий ниже »

Оставить комментарий. *Обязательное поле