Cisco无线控制器配置基础

1、Cisco无线控制器配置基础根本配置任务及过程准备工作控制器启动配置和升级控制器软件版本熟悉控制器配置界面3. 连接AP到控制器上配置任务思科CSSC无线客户端的安装和简单配置构建一个OPEN和一个WEP的无线网络构建一个简单WEB认证的无线网络构建一个支持本地EAP认证的无线网络构建一个用ACS做AAA认证的无线网络Presentation Title Size 30PTOption 2: Live准备工作根本设备控制器 5500或者2500系列AP：1140或者1260等支持的产品交换机： 最好是3560X千兆POE交换机AIR-CT2504-5-K92504 Wireless Contr

2、oller with 5 AP Licenses$3,743.00AIR-CT2504-15-K92504 Wireless Controller with 15 AP Licenses$7,493.00AIR-CT2504-25-K92504 Wireless Controller with 25 AP Licenses$13,493.00AIR-CT2504-50-K92504 Wireless Controller with 50 AP Licenses$19,493.002500系列无线控制器支持支持PCI认证WLC2500 硬件4个GE口，2个上联口，2个下联口其中2个GE口有以太网

3、供电最多支持到50个AP，500个客户端；多达300Mbps的吞吐量NEW!5500系列无线控制器1 RU 高度8口千兆上联支持 12, 25, 50, 100, 250, 500 AP；支持多达7000个客户端；经过优化的性能；智能射频控制平面，可以自行配置、修复和优化。高效漫游功能可提升应用性能；2 热插拔电源模块插槽AIR-CT5508-500-K9Cisco 5508 Series Wireless Controller for up to 500 APs$220,490.00AIR-CT5508-250-K9Cisco 5508 Series Wireless Controller

4、for up to 250 APs$136,490.00AIR-CT5508-100-K9Cisco 5508 Series Wireless Controller for up to 100 APs$83,990.00AIR-CT5508-50-K9Cisco 5508 Series Wireless Controller for up to 50 APs$47,240.00AIR-CT5508-25-K9Cisco 5508 Series Wireless Controller for up to 25 APs$33,590.00AIR-CT5508-12-K9Cisco 5508 Ser

5、ies Wireless Controller for up to 12 APs$23,090.00准备工作网线和Console线。如果是5508，需要GLC光纤模块和光纤或者GLC-T模块确认控制器版本是否需要升级 (用命令show sysinfo查看系统版本)相应数量的瘦AP实验拓扑例如TRUNKVLAN1/20/30/40fa0/1port 1WLC说明：1、VLAN1用于连接控制器、AP和ACS；2、VLAN20用于WPA/WPA2认证，认证效劳器用ACS。3、VLAN30用作OPEN/WEP/GUEST客户接入3、VLAN40用作WPA/WPA2认证，认证用本地EAPSSID:VLA

6、N20SSID:VLAN30PC/AAA效劳器VLAN1所有3层网关设置在3层交换机上，地址254WLC的组成及接口管理接口：使用静态IP 地址的接口，用于传输带内管理数据流，这些接口用于建立到 WLC 的Web、平安外壳SSH或Telnet 会话。 AP 管理接口：使用静态IP 地址的接口，所有LAP 都使用它来端接CAPWAP 隧道，WLC 也在该接口上侦听LAP 试图发现控制器时发送的子网播送。虚拟接口：用于中继来自无线客户端的DHCP 请求的逻辑接口，给该接口分配一个伪造 但唯一的静态IP 地址，这样客户端将把该虚拟地址视为其DHCP 效劳器，在同一个移 动组中，所有WLC 都必须使用

7、一样的虚拟接口地址。效劳端口：Cisco 5500 系列WLC 使用的带外以太网接口，仅当控制器正在启动或网络问 题导致无法进展其他方式的接入时才使用它，Catalyst 6500 无线效劳模块 Wireless Service Module，WiSM 有一个连接到机架监控器的内部效劳端口。 集散系统端口：将WLC 连接到园区网中交换机的接口，该接口通常是一个中继链路， 用于传输覆盖了LAP 和VLAN 的数据流。 WLC的组成及接口续动态接口：根据需要，为通过CAPWAP 隧道扩展到LAP 的VLAN自动创立的接口，动态 接口有时也被称为用户接口，动态接口使用的IP 地址属于无线客户端VLA

8、N 的子网。 通常，预留一个管理VLAN 和子网供WLC 和CAPWAP 使用，可以将管理子网中的IP 地 址分配给管理接口和AP 管理器接口。所有来自外部的管理数据流 基于Web 的、Telnet、 SSH 或AAA 和CAPWAP 隧道数据流都将到达这些地址，LAP 将被放置到网络的各个地方， 甚至是不同的交换模块中，因此应将LAP 数据流视为外部的。 分配给 LAP 的IP 地址不必属于AP 管理器子网，在小型网络中，LAP 和WLC 可能位于 同一个子网中，因此它们在第2 层是相邻的，在大型网络中，LAP 将分散在不同的交换模块 中，LAP 和WLC 的IP 地址将各不一样，因为它们不

9、是第2 层邻居，这些地址将不属于AP 管理子网。 WLC接口布局例如WLC接口布局例如在这个例子中，WLC 通过物理端口1port 1连接到Cisco 3750 交换机的gig 1/0/1 千兆端口， WLC 上所有的接口interface都映射到物理接口1。WLC 上配置了2 个WLAN，其中一个是开 放认证使用Web portal 认证，SSID 为open，另一个是采用EAP 认证SSID 为secure。分别 为开放的SSID 和EAP SSID 创立了一个动态接口并同相应的VLAN 相关联，开放的SSID 通VLAN 3 相关联，VLAN 4 同加密的SSID 相关联，管理端口 ma

10、nagement interface和AP 管理接口 AP Manager interface都使用VLAN 60，为了使配置简单，我们忽略了效劳端口service-port，所 有的网络效劳AAA，DHCP，DNS都使用Vlan 50，AP 将连接到VLAN 5。 WLC初始配置 WLC 初始化的配置只能通过连接到 WLC控制台端口Console 的Cisco 标准的 9600-8-N-1 电缆才能配置，然后使用Startup Wizard 通过CLI 输入参数，WLC 启动并运行其代码映像后，CLI 将以交互的方式提示输入下面的信息： 1) 系统名，这是一个标识WLC 的字符串，最多可包含

11、32 个字符 2) 管理用户名和密码，默认分别为admin 和admin 3) 效劳端口的IP 地址 DHCP 或静态地址：如果选择使用静态地址，将提示您输入IP 地址、子网掩码、默认网关和管理接口的VLAN 号。如果管理VLAN 没有被标记中继链路上的本地VLAN，native vlan，请输入VLAN 号0 4) DHCP 效劳器的地址，客户端效劳器将从DHCP 效劳器那里获得其IP 地址。 WLC初始配置续5) AP 管理器接口的IP 地址。 6) 虚拟接口的IP 地址 这是一个伪造的 IP 地址，通常为。 7) 移动组名称 在属于同一个移动组的所有WLC 上都必须一样。 8) 默认的S

12、SID，LAP 参加控制器时将使用它，LAP 参加后，WLC 将把其他 SSID 提供给它。 9) 是否要求客户端从DHCP 效劳器那里获得 IP 地址?如果要求客户端使用DHCP 效劳器，那么输入yes，否那么输入no，允许客户端使用静态的配置的地址。 10) 是否需要配置RADIUS 效劳器?可以输入NO，通过Web 前端配置RADIUS 效劳器。 WLC初始配置续11) 配置国别码 输入help 可得悉国别码列表，中国的国别码为CN 12) 在WLC 管理的所有AP 上启用/禁用802.11b 和系统提示您配置每种WLAN 时，输入YES 可启用它，输入NO 将禁用它。 13) 启用/禁

13、用射频源管理auto-RF 功能 输入yes 将启用RF 参数自动调整，输入NO 将禁用它。 输入上述信息后，WLC 将存储配置并重新启动。然后，便可以通过WLC 的Web 界面管 理它。 启动选项The controller boot sequence will always have these option available since this is set in PROM to ensure controller recovery options按5清空配置系统启动界面和配置 (OS 7.0)Would you like to terminate autoinstall? yes:

14、 System Name Cisco_51:2b:60 (31 characters max): 2106-demoAUTO-INSTALL: process terminated - no configuration loadedEnter Administrative User Name (24 characters max): ciscoEnter Administrative Password (24 characters max): ciscoRe-enter Administrative Password : ciscoManagement Interface VLAN Ident

15、ifier (0 = untagged): Management Interface Port Num 1 to 8: 1AP-Manager is on Management subnet, using same valuesAP Manager Interface DHCP Server (54): Mobility/RF Group Name: demo系统启动界面续Enable Symmetric Mobility Tunneling yesNO: yesNetwork Name (SSID): open Allow Static IP Addresses YESno: Configu

16、re a RADIUS Server now? YESno: noWarning! The default WLAN security policy requires a RADIUS server.Please see documentation for more details.Enter Country Code list (enter help for a list of countries) US: CNEnable 802.11b Network YESno: Enable 802.11a Network YESno: Enable 802.11g Network YESno: E

17、nable Auto-RF YESno: Configure a NTP server now? YESno: noConfigure the system time now? YESno: Enter the date in MM/DD/YY format: 09/28/08Enter the time in HH:MM:SS format: 17:11:00Configuration correct? If yes, system will save it and reset. yesNO: yesConfiguration saved!Resetting system with new

18、configuration.非常重要，Controller的wireless的domain要和AP一致。配置3层交换机!ip dhcp pool AP default-router 54 !interface FastEthernet0/1 switchport trunk encapsulation dot1q switchport mode trunkinterface Vlan1!interface Vlan20! interface Vlan30!interface Vlan40line vty 0 4 privilege level 15 password cisco login配置

19、WEB访问1、使用直通网线，连接交换机的trunk接口到控制器端口12、配置PC机的IP地址 或者DHCP，网关3、测试PC能否Ping 通Controller的地址：3、用访问控制器，如果要开启 访问，需要在系统里翻开。使用IE浏览器进展WEB访问如果要升级控制器系统软件tftp 效劳器推荐tt支持64M以上文件传输在CCO上下载新版本支持室内室外 mesh 版本支持和其他新功能的普通版本控制器软件升级 命令行方式Step1. ping server-ip-address 测试控制器与T的连通性Step2. transfer download mode tftp 设置传输使用的协议：tftp

20、Step3. transfer download datatype code 设置传输的数据类型Step4. transfer download serverip server-ip-address 指定t的IP地址Step5. transfer download 制定Image的文件名Step6. transfer download start 开场传输文件，确认时如果答复No,那么显示TFTP的参数设置Step7. reset system WLC的系统重新启动注：TFTP效劳器软件推荐t，可以在网上免费下载，支持64M以上大文件传输控制器软件升级 图形界面电脑上设置好Tftp软件；填入T

21、ftp地址和文件名后，选择右侧的 download 按钮开场。完成后按提示reboot。Presentation Title Size 30PTOption 2: Live熟悉无线控制器Controller配置界面命令行 (CLI)根本命令cisco命令行 (CLI) “clear Commands命令行 (CLI) “config Commands and more命令行 (CLI) “debug Command命令行 (CLI) “help Commands命令行 (CLI) “show Commands命令行 (CLI) “transfer Commands使用IE浏览器进展WEB访问控

22、制器上查看和设置无线网络SSID控制器配置页面配置接口配置控制器做DHCP效劳器定义无线组参看和配置端口配置接口页面设置控制器做DHCP效劳器定义移动组设置端口页面点击WIRELESS-ALL APs平安页面Radius效劳器配置本地用户数据库MAC地址过滤WEB认证相关配置本地EAP管理界面定义能够进展Controller管理的管理用户控制器维护管理界面系统和配置文件的上传、下载配置控制器软重启AP射频模块配置界面AP发射功率调节(AP1131) Tx Power Num Of Supported Power Levels . 6 Tx Power Level 1 . 14 dBm Tx P

23、ower Level 2 . 11 dBm Tx Power Level 3 . 8 dBm Tx Power Level 4 . 5 dBm Tx Power Level 5 . 2 dBm Tx Power Level 6 . -1 dBmAP1242的level 1 是 17dBmHA相关配置Failover等级全局HA配置Presentation Title Size 30PTOption 2: Live连接AP到控制器Controller里的Port还有Vlan以及Interface的对应关系Controller必需配置的接口带内管理接口“Management InterfaceLW

24、APP Tunnel 终结接口“AP Manager Interface桥接的无线客户端接口“Dynamic Interfaces. 二三层漫游而设的虚拟接口“Virtual Interface可选接口:效劳接口带外管理接口确认控制器国家版本与AP一致目前版本支持同时支持多国家确认时间配置无误在路由器或者3层交换机设置DHCP在AP和控制器不在同一网段的情况下，建立AP能够获取IP Address 的地址池，加上Option 43WLC-router(config)#ip dhcp pool LWLC-router(dhcp-config)#option 43 ascii “/很重要！通过Op

25、tion 43 可以让AP在获取和控制器不同网段IP Address的时候，能够知道Controller的所在。如果AP和控制器在一个网段和播送域，那么可以不配置option 43WLC-router(dhcp-config)#exit在IOS设备配置Option 43对于1000/1500系列，直接写“对于1100和1200，需要写option 60和option 43假设要连接1240，控制器地址为和ip dhcp pool APnetwork /24option 60 ascii “Cisco AP c1240 “option 43 hex f108c0a80a05c0a80a14 op

26、tion 43的配置详见VCI String1130的是Cisco AP c1130 类型= f1长度 = 2 x 4 = 08可以在console上翻开debug观察AP参加情况(Cisco Controller) debug lwapp events enable (Cisco Controller) *Oct 04 19:20:19.154: 00:1a:e3:d0:19:50 Received LWAPP DISCOVERY REQUEST from AP 00:1a:e3:d0:19:50 to 00:1e:13:51:2b:60 on port 8*Oct 04 19:20:19.

27、154: Received a packet which is a (type = DISCOVERY_REQUEST) with session id 0*Oct 04 19:20:19.154: Join Priority Processing status = 0, Incoming Aps Priority 1, MaxLrads = 6,joined Aps =0*Oct 04 19:20:19.155: 00:1a:e3:d0:19:50 Successful transmission of LWAPP Discovery Response to AP 00:1a:e3:d0:19

28、:50 on port 8*Oct 04 19:20:19.156: 00:1a:e3:d0:19:50 Received LWAPP DISCOVERY REQUEST from AP 00:1a:e3:d0:19:50 to ff:ff:ff:ff:ff:ff on port 8*Oct 04 19:20:19.156: Received a packet which is a (type = DISCOVERY_REQUEST) with session id 0*Oct 04 19:20:19.156: Join Priority Processing status = 0, Inco

29、ming Aps Priority 1, MaxLrads = 6,joined Aps =0*Oct 04 19:20:19.156: 00:1a:e3:d0:19:50 Successful transmission of LWAPP Discovery Response to AP 00:1a:e3:d0:19:50 on port 8*Oct 04 19:20:31.162: 00:1a:e3:d0:19:50 Received LWAPP JOIN REQUEST from AP 00:1a:e3:d0:19:50 to 00:1e:13:51:2b:67 on port 8*Oct

30、 04 19:20:31.162: Received a packet which is a (type = JOIN_REQUEST) with session id 0*Oct 04 19:20:31.177: 00:1a:e3:d0:19:50 AP AP001b.5302.28f8: txNonce 00:1E:13:51:2B:60 rxNonce 00:1A:E3:D0:19:50 *Oct 04 19:20:31.177: 00:1a:e3:d0:19:50 LWAPP Join Request MTU path from AP 00:1a:e3:d0:19:50 is 1500

31、, remote debug mode is 0*Oct 04 19:20:31.177: 00:1a:e3:d0:19:50 Successfully added NPU Entry for AP 00:1a:e3:d0:19:50 (index 1)Switch IP: , Switch Port: 12223, intIfNum 8, vlanId 0AP IP: 0, AP Port: 8847, nex*Oct 04 19:20:31.911: 00:1a:e3:d0:19:50 Successful transmission of LWAPP Join Reply to AP 00

32、:1a:e3:d0:19:50*Oct 04 19:20:31.912: 00:1a:e3:d0:19:50 spam_lrad.c:1589 - Operation State 0 = 4*Oct 04 19:20:31.913: 00:1a:e3:d0:19:50 Register LWAPP event for AP 00:1a:e3:d0:19:50 slot 0*Oct 04 19:20:31.914: 00:1a:e3:d0:19:50 Register LWAPP event for AP 00:1a:e3:d0:19:50 slot 1*Oct 04 19:20:33.192:

33、 00:1a:e3:d0:19:50 Received LWAPP CONFIGURE REQUEST from AP 00:1a:e3:d0:19:50 to 00:1e:13:51:2b:67*Oct 04 19:20:33.194: 00:1a:e3:d0:19:50 Updating IP 0 = 0 for AP 00:1a:e3:d0:19:50*Oct 04 19:20:33.194: 00:1b:53:02:28:f8 Building Config Response Msg for 00:1b:53:02:28:f8确认AP连接到控制器图形界面命令行Presentation

34、Title Size 30PTOption 2: Live构建一个OPEN和一个WEP的无线网络配置一个无线业务的根本步骤配置无线客户端的DHCP效劳器配置一个无线网络接口 dynamic interface配置一个无线业务 WLANAP的初始化在WLC上可以通过使用ctrl + Shift + 6的组合键，切换到ISR路由器的界面把AP连接在InterSwitch 模块上WLC-router(config)#int vlan 1WLC-router(config-if)#no shutWLC-router(config-if)#exitWLC-router(config)#int range

35、 fastWLC-router(config)#int range fastEthernet 0/1/0 8WLC-router(config-if-range)#switchport WLC-router(config-if-range)#switchport access vlan 1WLC-router(config-if-range)#no shut1、为客户端建立DHCP效劳器2、为无线客户端建立一个无线接口点击APPLY2、建立Guest无线接口:VLAN20查看建立的接口点击可以进展VLAN20接口的参数修改如果想建立更多的接口，可以继续点击NEW设置新接口点击可以删除3、建立一

36、个open的访客 WLAN3、建立一个open的访客 WLAN很重要！很容易被忘记3、建立一个open的访客 WLAN选择None，不对无线网络有任何加密和限制WLAN增强特性配置无线客户端连接测试更改刚刚的WLAN为WEP加密40位WEP要求5位ASCII字符密码104位WEP要求13位ASCII字符密码Cisco Aironet 1100/1200/1300不支持128位WEP无线连接验证Presentation Title Size 30PTOption 2: Live构建一个简单WEB认证的无线接入网络构建一个简单WEB认证的无线网络增加一个新的地址池增加一个新的接口配置web页面认证的本地页面增加web认证的WLAN建立本地用户认证数据库1、新建一个用于WEB 认证用户的地址池2、控制器添加一个VLAN30接口3、配置web页面认证的本地页面4、新建一个WLAN4、新建一个WLAN5、定义内部认证用户数据库验证WEB认证跟前面一样，在CSSC的Manage Network中，选择并激活web-authweb界面认证的验证在浏览器里输入类似地址因为没有DNS，所以不能输入网址web界面认证的验证Presentation Title Size 30PTOption 2: Live构建一