思科SEClub系列培训课件

无线控制器配置基础2011.11无线控制器配置基础基本配置任务及过程准备工作控制器启动配置和升级控制器软件版本熟悉控制器配置界面3.连接AP到控制器上配置任务思科CSSC无线客户端的安装和简单配置构建一个OPEN和一个WEP的无线网络构建一个简单WEB认证的无线网络构建一个支持本地EAP认证的无线网络构建一个用ACS做AAA认证的无线网络基本配置任务及过程准备工作PresentationTitleSize30PT

Option2:Live准备工作PresentationTitleSize30PT

O基本设备控制器5500或者2500系列AP：1140或者1260等支持802.11n的产品交换机：最好是3560X千兆POE交换机基本设备控制器5500或者2500系列AIR-CT2504-5-K92504WirelessControllerwith5APLicenses$3,743.00AIR-CT2504-15-K92504WirelessControllerwith15APLicenses$7,493.00AIR-CT2504-25-K92504WirelessControllerwith25APLicenses$13,493.00AIR-CT2504-50-K92504WirelessControllerwith50APLicenses$19,493.002500系列无线控制器支持802.11a/b/g/n支持PCI认证WLC2500硬件4个GE口，2个上联口，2个下联口其中2个GE口有以太网供电最多支持到50个AP，500个客户端；多达300Mbps的吞吐量NEW!AIR-CT2504-5-K92504WirelessC5500系列无线控制器1RU高度8口千兆上联支持12,25,50,100,250,500AP；支持多达7000个客户端；经过优化的802.11n性能；智能射频控制平面，可以自行配置、修复和优化。高效漫游功能可提升应用性能；2热插拔电源模块插槽AIR-CT5508-500-K9Cisco5508SeriesWirelessControllerforupto500APs$220,490.00AIR-CT5508-250-K9Cisco5508SeriesWirelessControllerforupto250APs$136,490.00AIR-CT5508-100-K9Cisco5508SeriesWirelessControllerforupto100APs$83,990.00AIR-CT5508-50-K9Cisco5508SeriesWirelessControllerforupto50APs$47,240.00AIR-CT5508-25-K9Cisco5508SeriesWirelessControllerforupto25APs$33,590.00AIR-CT5508-12-K9Cisco5508SeriesWirelessControllerforupto12APs$23,090.005500系列无线控制器1RU高度AIR-CT5508-5准备工作网线和Console线。如果是5508，需要GLC光纤模块和光纤或者GLC-T模块确认控制器版本是否需要升级(用命令showsysinfo查看系统版本)相应数量的瘦AP准备工作网线和Console线。实验拓扑示例TRUNKVLAN1/20/30/40fa0/1port1WLC说明：1、VLAN1用于连接控制器、AP和ACS；2、VLAN20用于WPA/WPA2认证，认证服务器用ACS。3、VLAN30用作OPEN/WEP/GUEST客户接入3、VLAN40用作WPA/WPA2认证，认证用本地EAPSSID:VLAN20SSID:VLAN30PC//AAA服务器VLAN1所有3层网关设置在3层交换机上，地址254实验拓扑示例TRUNKVLAN1/20/30/40fa0/1WLC的组成及接口管理接口：使用静态IP地址的接口，用于传输带内管理数据流，这些接口用于建立到WLC的Web、安全外壳（SSH）或Telnet会话。AP管理接口：使用静态IP地址的接口，所高LAP都使用它来端接CAPWAP隧道，WLC也在该接口上侦听LAP试图发现控制器时发送的子网广播。虚拟接口：用于中继来自无线客户端的DHCP请求的逻辑接口，给该接口分配一个伪造（但唯一）的静态IP地址，这样客户端将把该虚拟地址视为其DHCP服务器，在同一个移动组中，所有WLC都必须使用相同的虚拟接口地址。服务端口：Cisco5500系列WLC使用的带外以太网接口，仅当控制器正在启动或网络问题导致无法进行其他方式的接入时才使用它，Catalyst6500无线服务模块（WirelessServiceModule，WiSM）有一个连接到机架监控器的内部服务端口。集散系统端口：将WLC连接到园区网中交换机的接口，该接口通常是一个中继链路，用于传输覆盖了LAP和VLAN的数据流。WLC的组成及接口管理接口：使用静态IP地址的接口，用于传WLC的组成及接口（续）动态接口：根据需要，为通过CAPWAP隧道扩展到LAP的VLAN自动创建的接口，动态接口有时也被称为用户接口，动态接口使用的IP地址属于无线客户端VLAN的子网。通常，预留一个管理VLAN和子网供WLC和CAPWAP使用，可以将管理子网中的IP地址分配给管理接口和AP管理器接口。所有来自外部的管理数据流（基于Web的、Telnet、SSH或AAA）和CAPWAP隧道数据流都将到达这些地址，LAP将被放置到网络的各个地方，甚至是不同的交换模块中，因此应将LAP数据流视为外部的。分配给LAP的IP地址不必属于AP管理器子网，在小型网络中，LAP和WLC可能位于同一个子网中，因此它们在第2层是相邻的，在大型网络中，LAP将分散在不同的交换模块中，LAP和WLC的IP地址将各不相同，因为它们不是第2层邻居，这些地址将不属于AP管理子网。WLC的组成及接口（续）动态接口：根据需要，为通过CAPWAWLC接口布局示例WLC接口布局示例WLC接口布局示例在这个例子中，WLC通过物理端口1（port1）连接到Cisco3750交换机的gig1/0/1千兆端口，WLC上所有的接口（interface）都映射到物理接口1。WLC上配置了2个WLAN，其中一个是开放认证（使用Webportal认证，SSID为open），另一个是采用EAP认证（SSID为secure）。分别为开放的SSID和EAPSSID创建了一个动态接口并同相应的VLAN相关联，开放的SSID通VLAN3相关联，VLAN4同加密的SSID相关联，管理端口（managementinterface）和AP管理接口（APManagerinterface）都使用VLAN60，为了使配置简单，我们忽略了服务端口（service-port），所有的网络服务（AAA，DHCP，DNS）都使用Vlan50，AP将连接到VLAN5。WLC接口布局示例在这个例子中，WLC通过物理端口1（poWLC初始配置

WLC初始化的配置只能通过连接到WLC控制台端口（Console）的Cisco标准的9600-8-N-1电缆才能配置，然后使用StartupWizard通过CLI输入参数，WLC启动并运行其代码映像后，CLI将以交互的方式提示输入下面的信息：1)系统名，这是一个标识WLC的字符串，最多可包含32个字符2)管理用户名和密码，默认分别为admin和admin3)服务端口的IP地址（DHCP或静态地址）：如果选择使用静态地址，将提示您输入IP地址、子网掩码、默认网关和管理接口的VLAN号。如果管理VLAN没有被标记中继链路上的本地VLAN，nativevlan），请输入VLAN号04)DHCP服务器的地址，客户端服务器将从DHCP服务器那里获得其IP地址。WLC初始配置WLC初始化的配置只能通过连接到WLCWLC初始配置（续）5)AP管理器接口的IP地址。6)虚拟接口的IP地址（这是一个伪造的IP地址，通常为）。7)移动组名称（在属于同一个移动组的所有WLC上都必须相同）。8)默认的SSID，LAP加入控制器时将使用它，LAP加入后，WLC将把其他SSID提供给它。9)是否要求客户端从DHCP服务器那里获得IP地址?如果要求客户端使用DHCP服务器，则输入yes，否则输入no，允许客户端使用静态的配置的地址。10)是否需要配置RADIUS服务器?（可以输入NO，通过Web前端配置RADIUS服务器）。WLC初始配置（续）5)AP管理器接口的IP地址。WLC初始配置（续）11)配置国别码（输入help可获悉国别码列表，中国的国别码为CN）12)在WLC管理的所有AP上启用/禁用802.11b和802.11g（系统提示您配置每种WLAN时，输入YES可启用它，输入NO将禁用它）。13)启用/禁用射频源管理auto-RF功能（输入yes将启用RF参数自动调整，输入NO将禁用它）。输入上述信息后，WLC将存储配置并重新启动。然后，便可以通过WLC的Web界面管理它。WLC初始配置（续）11)配置国别码（输入help可获启动选项ThecontrollerbootsequencewillalwayshavetheseoptionavailablesincethisissetinPROMtoensurecontrollerrecoveryoptions按5清空配置启动选项Thecontrollerbootsequen系统启动界面和配置(OS7.0)Wouldyouliketoterminateautoinstall?[yes]:SystemName[Cisco_51:2b:60](31charactersmax):2106-demoAUTO-INSTALL:processterminated--noconfigurationloadedEnterAdministrativeUserName(24charactersmax):ciscoEnterAdministrativePassword(24charactersmax):ciscoRe-enterAdministrativePassword:ciscoManagementInterfaceIPAddress:ManagementInterfaceNetmask:ManagementInterfaceDefaultRouter:54ManagementInterfaceVLANIdentifier(0=untagged):ManagementInterfacePortNum[1to8]:1ManagementInterfaceDHCPServerIPAddress:54APManagerInterfaceIPAddress:AP-ManagerisonManagementsubnet,usingsamevaluesAPManagerInterfaceDHCPServer(54):VirtualGatewayIPAddress:Mobility/RFGroupName:demo系统启动界面和配置(OS7.0)Wouldyouli系统启动界面（续）EnableSymmetricMobilityTunneling[yes][NO]:yesNetworkName(SSID):openAllowStaticIPAddresses[YES][no]:ConfigureaRADIUSServernow?[YES][no]:noWarning!ThedefaultWLANsecuritypolicyrequiresaRADIUSserver.Pleaseseedocumentationformoredetails.EnterCountryCodelist(enter'help'foralistofcountries)[US]:CNEnable802.11bNetwork[YES][no]:Enable802.11aNetwork[YES][no]:Enable802.11gNetwork[YES][no]:EnableAuto-RF[YES][no]:ConfigureaNTPservernow?[YES][no]:noConfigurethesystemtimenow?[YES][no]:EnterthedateinMM/DD/YYformat:09/28/08EnterthetimeinHH:MM:SSformat:17:11:00Configurationcorrect?Ifyes,systemwillsaveitandreset.[yes][NO]:yesConfigurationsaved!Resettingsystemwithnewconfiguration...非常重要，Controller的wireless的domain要和AP一致。系统启动界面（续）非常重要，Controller的wirel配置3层交换机pdhcpexcluded-addressipdhcpexcluded-address54ipdhcpexcluded-address!ipdhcppoolAPnetworkdefault-router54!interfaceFastEthernet0/1switchporttrunkencapsulationdot1qswitchportmodetrunk……interfaceVlan1ipaddress54!interfaceVlan20ipaddress54!interfaceVlan30ipaddress54!interfaceVlan40ipaddress54……linevty04privilegelevel15passwordciscologin配置3层交换机pdhcpexcluded-address配置WEB访问1、使用直通网线，连接交换机的trunk接口到控制器端口12、配置PC机的IP地址00/24或者DHCP，网关543、测试PC能否Ping通Controller的地址：3、用访问控制器，如果要开启http访问，需要在系统里打开。配置WEB访问1、使用直通网线，连接交换机的trunk接口到使用IE浏览器进行WEB访问使用IE浏览器进行WEB访问如果要升级控制器系统软件tftp服务器推荐tftpd32tftpd32.支持64M以上文件传输如果要升级控制器系统软件tftp服务器推荐tftpd32在CCO上下载新版本支持室内室外mesh版本支持802.11n和其他新功能的普通版本/kobayashi/sw-center/sw-wireless.shtml在CCO上下载新版本支持室内室外mesh版本支持802.控制器软件升级——命令行方式Step1.ping

server-ip-address测试控制器与TFTPserver的连通性Step2.transferdownloadmodetftp

设置传输使用的协议：tftpStep3.transferdownloaddatatypecode

设置传输的数据类型Step4.transferdownloadserverip

server-ip-address

指定tftpserver的IP地址Step5.transferdownloadfilename

filename

制定Image的文件名Step6.transferdownloadstart

开始传输文件，确认时如果回答No,则显示TFTP的参数设置Step7.resetsystem

WLC的系统重新启动注：TFTP服务器软件推荐tftpd32，可以在网上免费下载，支持64M以上大文件传输控制器软件升级——命令行方式Step1.pingse控制器软件升级——图形界面电脑上设置好Tftp软件；填入Tftp地址和文件名后，选择右侧的download按钮开始。完成后按提示reboot。控制器软件升级——图形界面电脑上设置好Tftp软件；PresentationTitleSize30PT

Option2:Live熟悉无线控制器

Controller配置界面PresentationTitleSize30PT

O命令行(CLI)

基本命令cisco命令行(CLI)

基本命令cisco命令行(CLI)

“clear”Commands命令行(CLI)

“clear”Commands命令行(CLI)

“config”Commands……andmore命令行(CLI)

“config”Commands……命令行(CLI)

“debug”Command命令行(CLI)

“debug”Command命令行(CLI)

“help”Commands命令行(CLI)

“help”Commands命令行(CLI)

“show”Commands命令行(CLI)

“show”Commands命令行(CLI)

“transfer”Commands命令行(CLI)

“transfer”Commands使用IE浏览器进行WEB访问使用IE浏览器进行WEB访问控制器上查看和设置无线网络SSID控制器上查看和设置无线网络SSID控制器配置页面配置接口配置控制器做DHCP服务器定义无线组参看和配置端口控制器配置页面配置接口配置控制器做DHCP服务器定义无线组参配置接口页面配置接口页面设置控制器做DHCP服务器设置控制器做DHCP服务器定义移动组定义移动组设置端口页面设置端口页面点击WIRELESS-ALLAPs点击WIRELESS-ALLAPs安全页面Radius服务器配置本地用户数据库MAC地址过滤WEB认证相关配置本地EAP安全页面Radius服务器配置本地用户数据库MAC地址过滤W管理界面定义能够进行Controller管理的管理用户管理界面定义能够进行Controller管理的管理用户控制器维护管理界面系统和配置文件的上传、下载配置控制器软重启控制器维护管理界面系统和配置文件的上传、下载配置控制器软重启AP射频模块配置界面AP射频模块配置界面AP发射功率调节(AP1131)

TxPowerNumOfSupportedPowerLevels.............6TxPowerLevel1..........................14dBmTxPowerLevel2..........................11dBmTxPowerLevel3..........................8dBmTxPowerLevel4..........................5dBmTxPowerLevel5..........................2dBmTxPowerLevel6..........................-1dBmAP1242的level1是17dBmAP发射功率调节(AP1131)TxPowerAP12HA相关配置Failover等级全局HA配置HA相关配置Failover等级全局HA配置PresentationTitleSize30PT

Option2:Live连接AP到控制器PresentationTitleSize30PT

OController里的Port还有Vlan以及Interface的对应关系Controller必需配置的接口带内管理接口—“ManagementInterface”LWAPPTunnel终结接口—“APManagerInterface”桥接的无线客户端接口—“DynamicInterfaces”.二三层漫游而设的虚拟接口—“VirtualInterface”可选接口:服务接口—带外管理接口Controller里的Port还有Vlan以及Interf确认控制器国家版本与AP一致目前版本支持同时支持多国家确认控制器国家版本与AP一致目前版本支持同时支持多国家确认时间配置无误确认时间配置无误在路由器或者3层交换机设置DHCP在AP和控制器不在同一网段的情况下，建立AP能够获取IPAddress的地址池，加上Option43WLC-router(config)#ipdhcppoolLWAPP-APWLC-router(dhcp-config)#networkWLC-router(dhcp-config)#default-router54WLC-router(dhcp-config)#option43ascii"“//很重要！通过Option43可以让AP在获取和控制器不同网段IPAddress的时候，能够知道Controller的所在。如果AP和控制器在一个网段和广播域，则可以不配置option43WLC-router(dhcp-config)#exitWLC-router(config)#ipdhcpexcluded-address54在路由器或者3层交换机设置DHCP在AP和控制器不在同一网段在IOS设备配置Option43对于1000/1500系列，直接写option43ascii“,0“对于1100和1200，需要写option60和option43假设要连接1240，控制器地址为和0ipdhcppoolAPnetwork/24default-router54dns-server00option60ascii“CiscoAPc1240“option43hexf108c0a80a05c0a80a14option43的配置详见/en/US/tech/tk722/tk809/technologies_configuration_example09186a00808714fe.shtmlVCIString1130的是CiscoAPc1130类型=f1长度=2x4=080在IOS设备配置Option43对于1000/1500系列可以在console上打开debug观察AP加入情况(CiscoController)>debuglwappeventsenable(CiscoController)>*Oct0419:20:19.154:00:1a:e3:d0:19:50ReceivedLWAPPDISCOVERYREQUESTfromAP00:1a:e3:d0:19:50to00:1e:13:51:2b:60onport'8'*Oct0419:20:19.154:Receivedapacketwhichisa(type=DISCOVERY_REQUEST)withsessionid0*Oct0419:20:19.154:JoinPriorityProcessingstatus=0,IncomingAp'sPriority1,MaxLrads=6,joinedAps=0*Oct0419:20:19.155:00:1a:e3:d0:19:50SuccessfultransmissionofLWAPPDiscoveryResponsetoAP00:1a:e3:d0:19:50onport8*Oct0419:20:19.156:00:1a:e3:d0:19:50ReceivedLWAPPDISCOVERYREQUESTfromAP00:1a:e3:d0:19:50toff:ff:ff:ff:ff:ffonport'8'*Oct0419:20:19.156:Receivedapacketwhichisa(type=DISCOVERY_REQUEST)withsessionid0*Oct0419:20:19.156:JoinPriorityProcessingstatus=0,IncomingAp'sPriority1,MaxLrads=6,joinedAps=0*Oct0419:20:19.156:00:1a:e3:d0:19:50SuccessfultransmissionofLWAPPDiscoveryResponsetoAP00:1a:e3:d0:19:50onport8*Oct0419:20:31.162:00:1a:e3:d0:19:50ReceivedLWAPPJOINREQUESTfromAP00:1a:e3:d0:19:50to00:1e:13:51:2b:67onport'8'*Oct0419:20:31.162:Receivedapacketwhichisa(type=JOIN_REQUEST)withsessionid0*Oct0419:20:31.177:00:1a:e3:d0:19:50APAP001b.5302.28f8:txNonce00:1E:13:51:2B:60rxNonce00:1A:E3:D0:19:50*Oct0419:20:31.177:00:1a:e3:d0:19:50LWAPPJoinRequestMTUpathfromAP00:1a:e3:d0:19:50is1500,remotedebugmodeis0*Oct0419:20:31.177:DTLAddingAP1-0*Oct0419:20:31.177:00:1a:e3:d0:19:50SuccessfullyaddedNPUEntryforAP00:1a:e3:d0:19:50(index1)SwitchIP:,SwitchPort:12223,intIfNum8,vlanId0APIP:0,APPort:8847,nex*Oct0419:20:31.911:00:1a:e3:d0:19:50SuccessfultransmissionofLWAPPJoinReplytoAP00:1a:e3:d0:19:50*Oct0419:20:31.912:00:1a:e3:d0:19:50spam_lrad.c:1589-OperationState0===>4*Oct0419:20:31.913:00:1a:e3:d0:19:50RegisterLWAPPeventforAP00:1a:e3:d0:19:50slot0*Oct0419:20:31.914:00:1a:e3:d0:19:50RegisterLWAPPeventforAP00:1a:e3:d0:19:50slot1*Oct0419:20:33.192:00:1a:e3:d0:19:50ReceivedLWAPPCONFIGUREREQUESTfromAP00:1a:e3:d0:19:50to00:1e:13:51:2b:67*Oct0419:20:33.194:00:1a:e3:d0:19:50UpdatingIPinfoforAP00:1a:e3:d0:19:50--static0,0/,gtw54*Oct0419:20:33.194:00:1a:e3:d0:19:50UpdatingIP0===>0forAP00:1a:e3:d0:19:50*Oct0419:20:33.194:00:1b:53:02:28:f8BuildingConfigResponseMsgfor00:1b:53:02:28:f8可以在console上打开debug观察AP加入情况(Cis确认AP连接到控制器图形界面命令行确认AP连接到控制器图形界面命令行PresentationTitleSize30PT

Option2:Live构建一个OPEN和一个WEP的无线网络PresentationTitleSize30PT

O配置一个无线业务的基本步骤配置无线客户端的DHCP服务器配置一个无线网络接口dynamicinterface配置一个无线业务WLAN配置一个无线业务的基本步骤配置无线客户端的DHCP服务器AP的初始化在WLC上可以通过使用ctrl+Shift+6的组合键，切换到ISR路由器的界面把AP连接在InterSwitch模块上WLC-router(config)#intvlan1WLC-router(config-if)#noshutWLC-router(config-if)#ipadd54WLC-router(config-if)#exitWLC-router(config)#intrangefastWLC-router(config)#intrangefastEthernet0/1/0–8WLC-router(config-if-range)#switchportWLC-router(config-if-range)#switchportaccessvlan1WLC-router(config-if-range)#noshutAP的初始化在WLC上可以通过使用ctrl+Shift1、为客户端建立DHCP服务器1、为客户端建立DHCP服务器2、为无线客户端建立一个无线接口点击APPLY2、为无线客户端建立一个无线接口点击APPLY2、建立Guest无线接口:VLAN202、建立Guest无线接口:VLAN20查看建立的接口点击可以进行VLAN20接口的参数修改如果想建立更多的接口，可以继续点击NEW设置新接口点击可以删除查看建立的接口点击可以进行VLAN20接口的参数修改如果想建3、建立一个open的访客WLAN3、建立一个open的访客WLAN3、建立一个open的访客WLAN很重要！很容易被忘记3、建立一个open的访客WLAN很重要！很容易被忘记3、建立一个open的访客WLAN选择None，不对无线网络有任何加密和限制3、建立一个open的访客WLAN选择None，不对无线网WLAN增强特性配置WLAN增强特性配置无线客户端连接测试无线客户端连接测试更改刚才的WLAN为WEP加密40位WEP要求5位ASCII字符密码104位WEP要求13位ASCII字符密码CiscoAironet1100/1200/1300不支持128位WEP更改刚才的WLAN为WEP加密40位WEP要求5位ASCII无线连接验证无线连接验证PresentationTitleSize30PT

Option2:Live构建一个简单WEB

认证的无线接入网络PresentationTitleSize30PT

O构建一个简单WEB认证的无线网络增加一个新的地址池增加一个新的接口配置web页面认证的本地页面增加web认证的WLAN建立本地用户认证数据库构建一个简单WEB认证的无线网络增加一个新的地址池1、新建一个用于WEB认证用户的地址池1、新建一个用于WEB认证用户的地址池2、控制器添加一个VLAN30接口2、控制器添加一个VLAN30接口3、配置web页面认证的本地页面3、配置web页面认证的本地页面4、新建一个WLAN4、新建一个WLAN4、新建一个WLAN4、新建一个WLAN5、定义内部认证用户数据库5、定义内部认证用户数据库验证WEB认证跟前面一样，在CSSC的ManageNetwork中，选择并激活web-auth验证WEB认证跟前面一样，在CSSC的ManageNetwweb界面认证的验证在浏览器里输入类似0地址（因为没有DNS，所以不能输入网址）web界面认证的验证在浏览器里输入类似http://10.1web界面认证的验证web界面认证的验证PresentationTitleSize30PT

Option2:Live构建一个支持本地EAP

认证的无线接入网络PresentationTitleSize30PT

O构建一个支持WPA认证的网络增加一个新的地址池增加一个新的动态接口添加本地EAP支持或者AAA服务器（Radius服务器）建立一个新的WLANSSID配置WPA/WPA2认证设置客户端构建一个支持WPA认证的网络增加一个新的地址池1、新建一个地址池1、新建一个地址池2、控制器添加一个VLAN40接口2、控制器添加一个VLAN40接口3、增加本地EAP支持3、增加本地EAP支持3、本地EAP的profile配置3、本地EAP的profile配置4、新建一个WLAN4、新建一个WLAN4、新建一个WLAN4、新建一个WLAN5、配置WPA/WPA25、配置WPA/WPA25、配置本地EAP认证支持5、配置本地EAP认证支持6、设置CSSC软件，添加SSID6、设置CSSC软件，添加SSIDPresentationTitleSize30PT

Option2:Live构建一个用ACS做AAA

认证的无线接入网络PresentationTitleSize30PT

OACS相关配置名词解释ACS–AccessControlServerNAP–NetworkAccessProfileNAF–NetworkAccessFilterNAD–NetworkAccessDeviceNDG–NetworkDeviceGroupPA–PostureAgentPV–PostureValidationRAC–RadiusAuthorizationComponentDACL–DynamicAccessControlListADF–AttributeDefinitionFileACS相关配置名词解释ACS–AccessControACS各部件逻辑关系NAPAuthenticationAuthorizationPostureValidationAuthenticationDBGlobalAuthSetupInternalDBExternalDBRule1RuleNPolicy1InternalPostureValidationExternalPostureValidationExternalPostureValidationAuditRACDACLNAFNAD+AAANDGSwitchesRoutersVPNGWFWPolicyNororor通过认证后检查状态检查状态后指示设备配置关联组成下载至设备组成引用引用ACS各部件逻辑关系NAPAuthenticationAut添加Radius服务器Security－aaa－radiusauthentication添加Radius服务器Security－aaa－radiusEAPAuthenticationCisco的自适应WPA或者WPA2EAPAuthenticationCisco的自适应WPAEAPAuthentication配置radiusEAPAuthentication配置radiusACS配置-----增加AAAclient增加AAAclientACS配置-----增加AAAclient增加AAAc增加AAAserverACS配置-----增加AAAserver增加AAAserverACS配置-----增加AAAsACS配置-----显示的AAAclient和ServerACS配置-----显示的AAAclient和ServerACS配置-----产生证书ACS配置-----产生证书配置AAA需要返回的参数ACS配置-----AAA能够返回的参数配置AAA需要返回的参数ACS配置-----AAA能够返回的ACS配置-----选择各种EAPACS配置-----选择各种EAPACS配置-----EAPFast配置不要选择这个ACS配置-----EAPFast配置不要选择这个ACS配置-----增加一个groupACS配置-----增加一个groupACS配置-----增加一个user加入groupACS配置-----增加一个user加入groupEAPAuthentication---funksoftwareonPC

PEAPPC端配置不要选EAPAuthentication---funksoft配置CSSC配置CSSC思科SEClub系列培训课件无线控制器配置基础2011.11无线控制器配置基础基本配置任务及过程准备工作控制器启动配置和升级控制器软件版本熟悉控制器配置界面3.连接AP到控制器上配置任务思科CSSC无线客户端的安装和简单配置构建一个OPEN和一个WEP的无线网络构建一个简单WEB认证的无线网络构建一个支持本地EAP认证的无线网络构建一个用ACS做AAA认证的无线网络基本配置任务及过程准备工作PresentationTitleSize30PT

Option2:Live准备工作PresentationTitleSize30PT

O基本设备控制器5500或者2500系列AP：1140或者1260等支持802.11n的产品交换机：最好是3560X千兆POE交换机基本设备控制器5500或者2500系列AIR-CT2504-5-K92504WirelessControllerwith5APLicenses$3,743.00AIR-CT2504-15-K92504WirelessControllerwith15APLicenses$7,493.00AIR-CT2504-25-K92504WirelessControllerwith25APLicenses$13,493.00AIR-CT2504-50-K92504WirelessControllerwith50APLicenses$19,493.002500系列无线控制器支持802.11a/b/g/n支持PCI认证WLC2500硬件4个GE口，2个上联口，2个下联口其中2个GE口有以太网供电最多支持到50个AP，500个客户端；多达300Mbps的吞吐量NEW!AIR-CT2504-5-K92504WirelessC5500系列无线控制器1RU高度8口千兆上联支持12,25,50,100,250,500AP；支持多达7000个客户端；经过优化的802.11n性能；智能射频控制平面，可以自行配置、修复和优化。高效漫游功能可提升应用性能；2热插拔电源模块插槽AIR-CT5508-500-K9Cisco5508SeriesWirelessControllerforupto500APs$220,490.00AIR-CT5508-250-K9Cisco5508SeriesWirelessControllerforupto250APs$136,490.00AIR-CT5508-100-K9Cisco5508SeriesWirelessControllerforupto100APs$83,990.00AIR-CT5508-50-K9Cisco5508SeriesWirelessControllerforupto50APs$47,240.00AIR-CT5508-25-K9Cisco5508SeriesWirelessControllerforupto25APs$33,590.00AIR-CT5508-12-K9Cisco5508SeriesWirelessControllerforupto12APs$23,090.005500系列无线控制器1RU高度AIR-CT5508-5准备工作网线和Console线。如果是5508，需要GLC光纤模块和光纤或者GLC-T模块确认控制器版本是否需要升级(用命令showsysinfo查看系统版本)相应数量的瘦AP准备工作网线和Console线。实验拓扑示例TRUNKVLAN1/20/30/40fa0/1port1WLC说明：1、VLAN1用于连接控制器、AP和ACS；2、VLAN20用于WPA/WPA2认证，认证服务器用ACS。3、VLAN30用作OPEN/WEP/GUEST客户接入3、VLAN40用作WPA/WPA2认证，认证用本地EAPSSID:VLAN20SSID:VLAN30PC//AAA服务器VLAN1所有3层网关设置在3层交换机上，地址254实验拓扑示例TRUNKVLAN1/20/30/40fa0/1WLC的组成及接口管理接口：使用静态IP地址的接口，用于传输带内管理数据流，这些接口用于建立到WLC的Web、安全外壳（SSH）或Telnet会话。AP管理接口：使用静态IP地址的接口，所高LAP都使用它来端接CAPWAP隧道，WLC也在该接口上侦听LAP试图发现控制器时发送的子网广播。虚拟接口：用于中继来自无线客户端的DHCP请求的逻辑接口，给该接口分配一个伪造（但唯一）的静态IP地址，这样客户端将把该虚拟地址视为其DHCP服务器，在同一个移动组中，所有WLC都必须使用相同的虚拟接口地址。服务端口：Cisco5500系列WLC使用的带外以太网接口，仅当控制器正在启动或网络问题导致无法进行其他方式的接入时才使用它，Catalyst6500无线服务模块（WirelessServiceModule，WiSM）有一个连接到机架监控器的内部服务端口。集散系统端口：将WLC连接到园区网中交换机的接口，该接口通常是一个中继链路，用于传输覆盖了LAP和VLAN的数据流。WLC的组成及接口管理接口：使用静态IP地址的接口，用于传WLC的组成及接口（续）动态接口：根据需要，为通过CAPWAP隧道扩展到LAP的VLAN自动创建的接口，动态接口有时也被称为用户接口，动态接口使用的IP地址属于无线客户端VLAN的子网。通常，预留一个管理VLAN和子网供WLC和CAPWAP使用，可以将管理子网中的IP地址分配给管理接口和AP管理器接口。所有来自外部的管理数据流（基于Web的、Telnet、SSH或AAA）和CAPWAP隧道数据流都将到达这些地址，LAP将被放置到网络的各个地方，甚至是不同的交换模块中，因此应将LAP数据流视为外部的。分配给LAP的IP地址不必属于AP管理器子网，在小型网络中，LAP和WLC可能位于同一个子网中，因此它们在第2层是相邻的，在大型网络中，LAP将分散在不同的交换模块中，LAP和WLC的IP地址将各不相同，因为它们不是第2层邻居，这些地址将不属于AP管理子网。WLC的组成及接口（续）动态接口：根据需要，为通过CAPWAWLC接口布局示例WLC接口布局示例WLC接口布局示例在这个例子中，WLC通过物理端口1（port1）连接到Cisco3750交换机的gig1/0/1千兆端口，WLC上所有的接口（interface）都映射到物理接口1。WLC上配置了2个WLAN，其中一个是开放认证（使用Webportal认证，SSID为open），另一个是采用EAP认证（SSID为secure）。分别为开放的SSID和EAPSSID创建了一个动态接口并同相应的VLAN相关联，开放的SSID通VLAN3相关联，VLAN4同加密的SSID相关联，管理端口（managementinterface）和AP管理接口（APManagerinterface）都使用VLAN60，为了使配置简单，我们忽略了服务端口（service-port），所有的网络服务（AAA，DHCP，DNS）都使用Vlan50，AP将连接到VLAN5。WLC接口布局示例在这个例子中，WLC通过物理端口1（poWLC初始配置

WLC初始化的配置只能通过连接到WLC控制台端口（Console）的Cisco标准的9600-8-N-1电缆才能配置，然后使用StartupWizard通过CLI输入参数，WLC启动并运行其代码映像后，CLI将以交互的方式提示输入下面的信息：1)系统名，这是一个标识WLC的字符串，最多可包含32个字符2)管理用户名和密码，默认分别为admin和admin3)服务端口的IP地址（DHCP或静态地址）：如果选择使用静态地址，将提示您输入IP地址、子网掩码、默认网关和管理接口的VLAN号。如果管理VLAN没有被标记中继链路上的本地VLAN，nativevlan），请输入VLAN号04)DHCP服务器的地址，客户端服务器将从DHCP服务器那里获得其IP地址。WLC初始配置WLC初始化的配置只能通过连接到WLCWLC初始配置（续）5)AP管理器接口的IP地址。6)虚拟接口的IP地址（这是一个伪造的IP地址，通常为）。7)移动组名称（在属于同一个移动组的所有WLC上都必须相同）。8)默认的SSID，LAP加入控制器时将使用它，LAP加入后，WLC将把其他SSID提供给它。9)是否要求客户端从DHCP服务器那里获得IP地址?如果要求客户端使用DHCP服务器，则输入yes，否则输入no，允许客户端使用静态的配置的地址。10)是否需要配置RADIUS服务器?（可以输入NO，通过Web前端配置RADIUS服务器）。WLC初始配置（续）5)AP管理器接口的IP地址。WLC初始配置（续）11)配置国别码（输入help可获悉国别码列表，中国的国别码为CN）12)在WLC管理的所有AP上启用/禁用802.11b和802.11g（系统提示您配置每种WLAN时，输入YES可启用它，输入NO将禁用它）。13)启用/禁用射频源管理auto-RF功能（输入yes将启用RF参数自动调整，输入NO将禁用它）。输入上述信息后，WLC将存储配置并重新启动。然后，便可以通过WLC的Web界面管理它。WLC初始配置（续）11)配置国别码（输入help可获启动选项ThecontrollerbootsequencewillalwayshavetheseoptionavailablesincethisissetinPROMtoensurecontrollerrecoveryoptions按5清空配置启动选项Thecontrollerbootsequen系统启动界面和配置(OS7.0)Wouldyouliketoterminateautoinstall?[yes]:SystemName[Cisco_51:2b:60](31charactersmax):2106-demoAUTO-INSTALL:processterminated--noconfigurationloadedEnterAdministrativeUserName(24charactersmax):ciscoEnterAdministrativePassword(24charactersmax):ciscoRe-enterAdministrativePassword:ciscoManagementInterfaceIPAddress:ManagementInterfaceNetmask:ManagementInterfaceDefaultRouter:54ManagementInterfaceVLANIdentifier(0=untagged):ManagementInterfacePortNum[1to8]:1ManagementInterfaceDHCPServerIPAddress:54APManagerInterfaceIPAddress:AP-ManagerisonManagementsubnet,usingsamevaluesAPManagerInterfaceDHCPServer(54):VirtualGatewayIPAddress:Mobility/RFGroupName:demo系统启动界面和配置(OS7.0)Wouldyouli系统启动界面（续）EnableSymmetricMobilityTunneling[yes][NO]:yesNetworkName(SSID):openAllowStaticIPAddresses[YES][no]:ConfigureaRADIUSServernow?[YES][no]:noWarning!ThedefaultWLANsecuritypolicyrequiresaRADIUSserver.Pleaseseedocumentationformoredetails.EnterCountryCodelist(enter'help'foralistofcountries)[US]:CNEnable802.11bNetwork[YES][no]:Enable802.11aNetwork[YES][no]:Enable802.11gNetwork[YES][no]:EnableAuto-RF[YES][no]:ConfigureaNTPservernow?[YES][no]:noConfigurethesystemtimenow?[YES][no]:EnterthedateinMM/DD/YYformat:09/28/08EnterthetimeinHH:MM:SSformat:17:11:00Configurationcorrect?Ifyes,systemwillsaveitandreset.[yes][NO]:yesConfigurationsaved!Resettingsystemwithnewconfiguration...非常重要，Controller的wireless的domain要和AP一致。系统启动界面（续）非常重要，Controller的wirel配置3层交换机pdhcpexcluded-addressipdhcpexcluded-address54ipdhcpexcluded-address!ipdhcppoolAPnetworkdefault-router54!interfaceFastEthernet0/1switchporttrunkencapsulationdot1qswitchportmodetrunk……interfaceVlan1ipaddress54!interfaceVlan20ipaddress54!interfaceVlan30ipaddress54!interfaceVlan40ipaddress54……linevty04privilegelevel15passwordciscologin配置3层交换机pdhcpexcluded-address配置WEB访问1、使用直通网线，连接交换机的trunk接口到控制器端口12、配置PC机的IP地址00/24或者DHCP，网关543、测试PC能否Ping通Controller的地址：3、用访问控制器，如果要开启http访问，需要在系统里打开。配置WEB访问1、使用直通网线，连接交换机的trunk接口到使用IE浏览器进行WEB访问使用IE浏览器进行WEB访问如果要升级控制器系统软件tftp服务器推荐tftpd32tftpd32.支持64M以上文件传输如果要升级控制器系统软件tftp服务器推荐tftpd32在CCO上下载新版本支持室内室外mesh版本支持802.11n和其他新功能的普通版本/kobayashi/sw-center/sw-wireless.shtml在CCO上下载新版本支持室内室外mesh版本支持802.控制器软件升级——命令行方式Step1.ping

server-ip-address测试控制器与TFTPserver的连通性Step2.transferdownloadmodetftp

设置传输使用的协议：tftpStep3.transferdownloaddatatypecode

设置传输的数据类型Step4.transferdownloadserverip

server-ip-address

指定tftpserver的IP地址Step5.transferdownloadfilename

filename

制定Image的文件名Step6.transferdownloadstart

开始传输文件，确认时如果回答No,则显示TFTP的参数设置Step7.resetsystem

WLC的系统重新启动注：TFTP服务器软件推荐tftpd32，可以在网上免费下载，支持64M以上大文件传输控制器软件升级——命令行方式Step1.pingse控制器软件升级——图形界面电脑上设置好Tftp软件；填入Tftp地址和文件名后，选择右侧的download按钮开始。完成后按提示reboot。控制器软件升级——图形界面电脑上设置好Tftp软件；PresentationTitleSize30PT

Option2:Live熟悉无线控制器

Controller配置界面PresentationTitleSize30PT

O命令行(CLI)

基本命令cisco命令行(CLI)

基本命令cisco命令行(CLI)

“clear”Commands命令行(CLI)

“clear”Commands命令行(CLI)

“config”Commands……andmore命令行(CLI)

“config”Commands……命令行(CLI)

“debug”Command命令行(CLI)

“debug”Command命令行(CLI)

“help”Commands命令行(CLI)

“help”Commands命令行(CLI)

“show”Commands命令行(CLI)

“show”Commands命令行(CLI)

“transfer”Commands命令行(CLI)

“transfer”Commands使用IE浏览器进行WEB访问使用IE浏览器进行WEB访问控制器上查看和设置无线网络SSID控制器上查看和设置无线网络SSID控制器配置页面配置接口配置控制器做DHCP服务器定义无线组参看和配置端口控制器配置页面配置接口配置控制器做DHCP服务器定义无线组参配置接口页面配置接口页面设置控制器做DHCP服务器设置控制器做DHCP服务器定义移动组定义移动组设置端口页面设置端口页面点击WIRELESS-ALLAPs点击WIRELESS-ALLAPs安全页面Radius服务器配置本地用户数据库MAC地址过滤WEB认证相关配置本地EAP安全页面Radius服务器配置本地用户数据库MAC地址过滤W管理界面定义能够进行Controller管理的管理用户管理界面定义能够进行Controller管理的管理用户控制器维护管理界面系统和配置文件的上传、下载配置控制器软重启控制器维护管理界面系统和配置文件的上传、下载配置控制器软重启AP射频模块配置界面AP射频模块配置界面AP发射功率调节(AP1131)

TxPowerNumOfSupportedPowerLevels.............6TxPowerLevel1..........................14dBmTxPowerLevel