Сетевые решения — Настройка Cisco Lightweight Access Point и Cisco Wireless LAN Controller - TelecomBook

Сетевые решения — Настройка Cisco Lightweight Access Point и Cisco Wireless LAN Controller

wlcДело было в 2009 году. В данной статье изложен мой опыт настройки облегченной точки доступа (Cisco Lightweight Access Point) и ее регистрация на контроллере (Cisco Wireless LAN Controller). Материал на момент августа 2012 г. несколько устарел, но к счастью, как показывает практика, пока еще актуален.

Содержание:

Часть 1. Начальная конфигурация контроллера.

Не так давно контроллер и облегченная точка доступа взаимодействовали друг с другом на втором уровне модели OSI, что заставляло сетевых архитекторов размещать их в одной сети. Тогда можно было даже не говорить о какой-либо мобильности данного рода решения.

Спустя некоторое время, разработчики из Cisco предложили новую модель взаимодействия облегченных точек доступа с контроллером и предоставили функционал взаимодействия на третьем уровне модели OSI. С тех пор контроллер мог располагаться хоть на другом конце света, успешно управляя точками доступа через VPN сеть.

Первоначальная настройка контроллера осуществляется через консольный кабель. После подключения к контроллеру нужно ввести имя пользователя admin и пароль admin, после чего мастер первоначальной настройки задаст несколько основных вопросов, на которые необходимо ответить.

Прежде чем отвечать на них, необходимо разобрать некоторые понятия, присущие контроллерам:

  • 1. Management Interface IP Address — адрес, через который осуществляется непосредственная настройка контроллера.
  • 2. LAG – Link Aggregation, агрегация портов. Доступна только на контроллерах серии 4400 и выше. Позволяет объединить все порты на контроллере в один логический интерфейс. Для подключения к портам коммутатора, их необходимо объединить в одну channel-group (EtherChannel).
  • 3. Management Interface Port Num [1 to …] — если функция LAG отключена, тогда необходимо выбрать порт, через который будет осуществляться управление контроллером, порт к которому будет присвоен Management Interface IP Address.
  • 4. Management Interface DHCP Server IP Address — адрес DHCP сервера в сети, на который контроллер будет перенаправлять все DHCP запросы от точек доступа. Если сам контроллер выступает в качестве DHCP сервера, то Management Interface DHCP Server IP Address будет таким же как и Management Interface IP Address.
  • 5. Transport Mode [layer2][LAYER3] – собственно тот самый транспортный уровень, о котором я говорил. Рекомендуется выбрать Layer 3.
  • 6. AP Manager Interface IP Address – адрес, через который контроллер управляет точками доступа. Cisco рекомендует указывать адрес из той же подсети, в которой задан Management Interface IP Address.

NOTE

Адрес AP Manager Interface IP не будет пинговаться из сети, так что не пытайтесь проверить его доступность. По этому адресу могут обращаться только облегченные точки доступа.

  • 7. AP Manager Interface DHCP Server — адрес DHCP сервера в сети, который будет выдавать динамические адреса беспроводным пользователям сети. Если на контроллере поднят DHCP сервер, то этим адресом может выступать тот, что указан в пункте Management Interface IP Address.
  • 8. Virtual Gateway IP Address – виртуальный адрес, используется для реализации DHCP запросов от беспроводных пользователей, обычно ставят 1.1.1.1.
  • 9. Mobility/RF Group Name – мобильная группа контроллера. Если в сети несколько контроллеров, то поместив их в одну группу они объединяются в один логический кластер, что позволяет им синхронизировать данные между собой, в том числе, обеспечивать функцию роуминга беспроводных пользователей.

Пример:

Welcome to the Cisco Wizard Configuration Tool
Use the '?' character to backup
System Name [Cisco_43:eb:22]: WLC-DIS-TMN00
Enter Administrative User Name (24 characters max): cisco
Enter Administrative Password (24 characters max): *****
Service Interface IP Address Configuration [none][DHCP]: none
Enable Link Aggregation (LAG) [yes][NO]: No
Management Interface IP Address: 192.168.1.1
Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 192.168.1.254
Management Interface VLAN Identifier (0 = untagged): 500
Management Interface Port Num [1 to 2]: 1
Management Interface DHCP Server IP Address: 192.168.1.1 (
AP Transport Mode [layer2][LAYER3]: LAYER3
AP Manager Interface IP Address: 192.168.1.10
AP?Manager is on Management subnet, using same values
AP Manager Interface DHCP Server (192.168.50.3): 192.168.1.1
Virtual Gateway IP Address: 1.1.1.1
Mobility/RF Group Name: telecombook
Network Name (SSID): telecombookSSID
Allow Static IP Addresses [YES][no]: yes
Configure a RADIUS Server now? [YES][no]: no
Enter Country Code (enter 'help' for a list of countries) [US]: US
Enable 802.11b Network [YES][no]: yes
Enable 802.11a Network [YES][no]: yes
Enable 802.11g Network [YES][no]: yes
Enable Auto?RF [YES][no]: yes

Часть 2. Регистрация точек доступа на контроллере.

Настройка контроллера уже позади. Теперь нужно ассоциировать точки доступа с контроллером. Здесь возможны два варианта развития событий:

  1. Точки доступа расположены в одной сети с контроллером.
  2. Точки доступа расположены в отличной от контроллера сети.

В первом случае, никаких проблем по объединению облегченной точки доступа и контроллера не должно возникнуть. Точке доступа достаточно получить адрес по DHCP из той же подсети и она автоматически найдет контроллер используя широковещательный запрос и присоединиться к нему.

Во втором случае, успешное подключение к контроллеру используя широковещательный запрос исключается, так как известно, что в другие подсети такие пакеты не проходят. Чтобы обойти данное ограничение, точке доступа необходимо сообщить IP контроллера на который она отправит запрос. Для этого на DHCP сервере необходимо задать две опции – 43 и 60. Опция 60 добавляет к DHCP пакету поле Vendor Class Identifier (VCI), которое определяет тип устройства, которому предназначается пакет. Опция 43 добавляет еще одно поле, в котором содержится один или несколько IP адресов. В нашем случае этими адресами будут адреса контроллеров в сети.

NOTE

После добавления опции 43 и опции 60 к DHCP пакетам, обычные сетевые устройства, которые не умеют обрабатывать данного типа DHCP пакеты не смогут получить IP адрес.

Информацию о базовой конфигурации DHCP сервера на оборудовании Cisco можно найти в базе знаний.

Минимально необходимая конфигурация DHCP сервера, заточенная под облегченные точки доступа, выглядит следующим образом:

telecombook(config)#ip dhcp pool LWAP
telecombook(config-dhcp)#network 192.168.2.0 255.255.255.0
telecombook(config-dhcp)#default-router 192.168.2.254

Теперь добавим к представленной конфигурации две опции. Для добавления опции 60 необходимо использовать следующий синтаксис: option 60 ascii “VCI string”, вместо VCI string используйте соответствующее значение из таблицы обязательно в кавычках:

Access Point VCI String
Cisco Aironet 1130 Series Cisco AP c1130
Cisco Aironet 1140 Series Cisco AP c1140
Cisco Aironet 1200 Series Cisco AP c1200
Cisco Aironet 1240 Series Cisco AP c1240
Cisco Aironet 1250 Series Cisco AP c1250
Cisco Cisco AP801 Embedded Access Point Cisco AP801

Для примера конфигурации опции 43 предположим, что в сети два контроллера беспроводных точек доступа. Поле опции 43 заполняется в шестнадцатеричными значениями, поэтому нам понадобится встроенный инженерный калькулятор Windows. Напомню, что в этом поле прописываются все IP адреса контроллеров (Management Interface IP Address) в сети. Допустим это адреса 192.168.1.1 и 192.168.1.2.

Поле опции 43 представляет из себя:

Тип + Длина + Значение

Тип всегда будет f1. Длина = Количество контроллеров*4. Следовательно в нашем примере она будет равна 2*4=8 или 08. Значения адресов в шестнадцатеричном виде будут равны C0A80101 и C0A80102. Конечный синтаксис будет выглядеть так: option 43 hex f108C0A80101C0A80102.

Пример:

telecombook(config)#ip dhcp pool LWAP
telecombook(config-dhcp)#network 192.168.2.0 255.255.255.0
telecombook(config-dhcp)#default-router 192.168.2.254
telecombook(config-dhcp)#option 60 ascii “Cisco AP c1140”
telecombook(config-dhcp)#option 43 hex f108.C0A8.0101.C0A8.0102

Часть 3. Траблшутинг.

Ничего странного нет в том, что что-то не работает так, как надо. В данной главе речь пойдет о возникшей проблеме ассоциации облегченной точки доступа с контроллером. Когда точка доступа присоединяется к контроллеру, а потом через 5 секунд вновь отключается от него, начинаешь задумываться, что тут что-то не так. В очередной раз прочитав руководство к Wireless LAN Controller объемом 950 страниц, я так и не нашел ответ на вопрос “Почему?”. Единственная полезная команда, которая помогла мне сдвинуться с мертвой точки, это команда debug lwap events enable прописанная на контроллере.

Результатом было следующее:

Thu Jun 25 01:16:34 2009: 00:22:90:90:d4:77 Received LWAPP DISCOVERY REQUEST from AP 00:22:90:90:d4:77 to
 ff:ff:ff:ff:ff:ff on port '29'
Thu Jun 25 01:16:34 2009: 00:22:90:90:d4:77 Successful transmission of LWAPP Discovery Response to AP
 00:22:90:90:d4:77 on port 29
debug lwapp events enable Thu Jun 25 01:16:44 2009: 00:22:90:90:d4:77 Received LWAPP JOIN REQUEST from AP
 00:22:90:90:d4:77 to 06:0a:00:00:00:00 on port '29'
Thu Jun 25 01:16:44 2009: 00:22:90:90:d4:77 AP AP0022.9090.d477: txNonce  00:00:00:00:00:00 rxNonce
  00:00:00:00:00:00
Thu Jun 25 01:16:44 2009: 00:22:90:90:d4:77 LWAPP Join Request MTU path from AP 00:22:90:90:d4:77 is 1500,
 remote debug mode is 0
Thu Jun 25 01:16:44 2009: 00:22:90:90:d4:77 Successfully added NPU Entry for AP 00:22:90:90:d4:77 (index 0)
                           Switch IP: 172.16.148.3, Switch Port: 12223, intIfNum 29, vlanId 500
               AP IP: 172.16.148.6, AP Port: 3399, next hop MAC: 00:22:90:90:d4:77
Thu Jun 25 01:16:44 2009: 00:22:90:90:d4:77 Successful transmission of LWAPP Join Reply to AP 00:22:90:90:d4:77
Thu Jun 25 01:16:44 2009: 00:22:90:90:d4:77 spam_lrad.c:1792 - Operation State 0 ===> 4
Thu Jun 25 01:16:45 2009: 00:22:90:90:d4:77 Received LWAPP IMAGE_DATA from AP 00:22:90:90:d4:77
Thu Jun 25 01:16:45 2009: 00:22:90:90:d4:77 Refusing image download to AP 00:22:90:90:d4:77 - unable to open
 image file /bsn/ap//c1140
Thu Jun 25 01:16:45 2009: 00:22:90:90:d4:77 Decoding of Image Data failed from AP 00:22:90:90:d4:77
Thu Jun 25 01:16:46 2009: 00:22:90:90:d4:77 Received LWAPP IMAGE_DATA from AP 00:22:90:90:d4:77
Thu Jun 25 01:16:46 2009: 00:22:90:90:d4:77 Error decrypting packet from AP 00:22:90:90:d4:77
                sessionId 22bd7af7, recvNonce 22bd7af8, sendNonce 22bd7af7
                                                                               key 3b.83.54.7b.5a.72.af.68
                                    84.82.5f.37.ee.53.71.4c
Thu Jun 25 01:16:46 2009: 00:22:90:90:d4:77     rxN 00.22.bd.7a.f8.00.00.00
                                                                                   00.00.00.00.00
                        txN 00.00.00.00.00.00.00.00
                                                            00.00.00.00.00
Thu Jun 25 01:16:46 2009: 00:22:90:90:d4:77 Decryption of message from AP failed00:22:90:90:d4:77
Thu Jun 25 01:16:46 2009: 00:22:90:90:d4:77 Security processing of Image Data failed for AP 00:22:90:90:d4:77
Thu Jun 25 01:16:47 2009: 00:22:90:90:d4:77 Received LWAPP IMAGE_DATA from AP 00:22:90:90:d4:77
Thu Jun 25 01:16:47 2009: 00:22:90:90:d4:77 Error decrypting packet from AP 00:22:90:90:d4:77
                sessionId 22bd7af7, recvNonce 22bd7af8, sendNonce 22bd7af7
                                                                               key 3b.83.54.7b.5a.72.af.68
                                    84.82.5f.37.ee.53.71.4c
Thu Jun 25 01:16:47 2009: 00:22:90:90:d4:77     rxN 00.22.bd.7a.f8.00.00.00
                                                                                   00.00.00.00.00
                        txN 00.00.00.00.00.00.00.00
                                                            00.00.00.00.00
Thu Jun 25 01:16:47 2009: 00:22:90:90:d4:77 Decryption of message from AP failed00:22:90:90:d4:77
Thu Jun 25 01:16:47 2009: 00:22:90:90:d4:77 Security processing of Image Data failed for AP 00:22:90:90:d4:77
Thu Jun 25 01:16:48 2009: 00:22:90:90:d4:77 Received LWAPP IMAGE_DATA from AP 00:22:90:90:d4:77
Thu Jun 25 01:16:48 2009: 00:22:90:90:d4:77 Error decrypting packet from AP 00:22:90:90:d4:77
                sessionId 22bd7af7, recvNonce 22bd7af8, sendNonce 22bd7af7
                                                                               key 3b.83.54.7b.5a.72.af.68
                                    84.82.5f.37.ee.53.71.4c
Thu Jun 25 01:16:48 2009: 00:22:90:90:d4:77     rxN 00.22.bd.7a.f8.00.00.00
                              00.00.00.00.00                        txN 00.00.00.00.00.00.00.00
            00.00.00.00.00Thu Jun 25 01:16:48 2009: 00:22:90:90:d4:77 Decryption of message from AP failed00:22:90:90:d4:77
Thu Jun 25 01:16:48 2009: 00:22:90:90:d4:77 Security processing of Image Data failed for AP 00:22:90:90:d4:77
Thu Jun 25 01:16:49 2009: 00:22:90:90:d4:77 Received LWAPP IMAGE_DATA from AP 00:22:90:90:d4:77
Thu Jun 25 01:16:49 2009: 00:22:90:90:d4:77 Error decrypting packet from AP 00:22:90:90:d4:77
                sessionId 22bd7af7, recvNonce 22bd7af8, sendNonce 22bd7af7
                                                                               key 3b.83.54.7b.5a.72.af.68
                                    84.82.5f.37.ee.53.71.4c
Thu Jun 25 01:16:49 2009: 00:22:90:90:d4:77     rxN 00.22.bd.7a.f8.00.00.00
                                                                                   00.00.00.00.00
                        txN 00.00.00.00.00.00.00.00
                                                            00.00.00.00.00
Thu Jun 25 01:16:49 2009: 00:22:90:90:d4:77 Decryption of message from AP failed00:22:90:90:d4:77
Thu Jun 25 01:16:49 2009: 00:22:90:90:d4:77 Security processing of Image Data failed for AP 00:22:90:90:d4:77
Thu Jun 25 01:16:50 2009: 00:22:90:90:d4:77 Received LWAPP IMAGE_DATA from AP 00:22:90:90:d4:77
Thu Jun 25 01:16:50 2009: 00:22:90:90:d4:77 Error decrypting packet from AP 00:22:90:90:d4:77
                sessionId 22bd7af7, recvNonce 22bd7af8, sendNonce 22bd7af7
                                                                               key 3b.83.54.7b.5a.72.af.68
                                    84.82.5f.37.ee.53.71.4c
Thu Jun 25 01:16:50 2009: 00:22:90:90:d4:77     rxN 00.22.bd.7a.f8.00.00.00
                                                                                   00.00.00.00.00
                        txN 00.00.00.00.00.00.00.00
                                                            00.00.00.00.00
Thu Jun 25 01:16:50 2009: 00:22:90:90:d4:77 Decryption of message from AP failed00:22:90:90:d4:77
Thu Jun 25 01:16:50 2009: 00:22:90:90:d4:77 Security processing of Image Data failed for AP 00:22:90:90:d4:77

Поиск в Интернете привел меня на один зарубежный форум, где человек пояснял, что “Security processing of Image Data failed from AP” означает, что в контроллере отсутствует образ точки доступа, которая пытается с ним ассоциироваться. “Error decrypting packet from AP” и “Decryption of message from AP failed” означает, что контроллер и точка доступа попросту разговаривают на разных языках.

Зайдя на официальный сайт Cisco я открыл data sheet на интересующую меня модель точки доступа. Прочитав информацию, я заметил, что для нормальной работы контроллера с этой точкой доступа нужен софт на контроллере не ниже версии 5.2. К слову, на контроллере стояла версия 4.2. Осталось скачать нужный софт и установить его.

NOTE

Софт с официального сайта Cisco можно скачивать только при условии, что на личном аккаунте зарегистрирован как минимум один сервисный контракт SmartNet.

После обновления, все точки доступа успешно зарегистрировались на контроллере.

Часть 4. Создание SSID и настройка динамического интерфейса.

Часть 5. Разделение точек доступа на группы.

Часть 6. Создание списков доступа.

Всего комментариев: 0. Оставить комментарий ниже »

Понравилась статья? Поделиться с друзьями:
TelecomBook
Яндекс.Метрика