CISCO无线AP配置手册.ppt

1、无线控制器配置基础,Xiaogang Wu 2008.10,基本配置任务及过程,准备工作 控制器启动配置和升级控制器软件版本 熟悉控制器配置界面 3. 连接AP到控制器上 配置任务 思科CSSC无线客户端的安装和简单配置 构建一个OPEN和一个WEP的无线网络 构建一个简单WEB认证的无线网络 构建一个支持本地EAP认证的无线网络 构建一个用ACS做AAA认证的无线网络,Presentation Title Size 30PTOption 2: Live,准备工作,基本设备,控制器 4400或者2100系列 AP：1130或者1240系列 交换机： 最好是3560 POE交换机,2100系列无

2、线控制器,支持802.11a/b/g/n 支持PCI认证 WLC2100 硬件 8个FE口， 2个上联口，6个下联口 其中2个FE口有以太网供电 未使用端口 2个USB端口和一个扩展槽留作将来扩展用,*2106和2006不能作为guest access的anchor controller *不支持Link Aggregation *不能通过软件升级AP容量,NEW!,4400系列无线控制器,1 RU 高度 2口 或者 4口千兆上联 支持 12, 25, 50 or 100 AP 支持 5000 MAC地址转发表 10/100Base-TX 以太网 Service Port 9 pin 串口Co

3、nsole口 2 扩展槽和1个utility port目前未使用 2 热插拔电源模块插槽,44xx WLAN Controller,型号 4402 支持 12, 25, 和50 AP 型号 4404 支持100 APs,*不能通过软件升级AP容量 *4400系列使用SFP光纤模块 *4400系列每port支持50个AP,准备工作,网线和Console线。如果是4400，需要两头是DB9接口的线，如果是2106或者ISR，需要DB9+RJ45的线 如果是4400，需要GLC光纤模块和光纤 确认控制器版本是否需要升级 (用命令show sysinfo查看系统版本) 是否需要将胖AP升级到瘦AP 1

4、200/1100/1300需要upgrade tool做升级，1250不需要工具，直接在图形化界面上升级,实验拓扑示例,VLAN1/20/30/40,WLC,说明： 1、VLAN1用于连接控制器、AP和ACS； 2、VLAN20用于WPA/WPA2认证，认证服务器用ACS。 3、VLAN30用作OPEN/WEP/GUEST客户接入 3、VLAN40用作WPA/WPA2认证，认证用本地EAP,SSID:VLAN20,SSID:VLAN30,PC/AAA服务器,VLAN1,所有3层网关设置在3层交换机上，地址254,启动选项,The controller boot sequence will al

5、ways have these option available since this is set in PROM to ensure controller recovery options,按5清空配置,系统启动界面和配置 (OS 5.1),Would you like to terminate autoinstall? yes: System Name Cisco_51:2b:60 (31 characters max): 2106-demo AUTO-INSTALL: process terminated - no configuration loaded Enter Administ

6、rative User Name (24 characters max): cisco Enter Administrative Password (24 characters max): cisco Re-enter Administrative Password : cisco Management Interface IP Address: Management Interface Netmask: Management Interface Default Router: 54 Management Inter

7、face VLAN Identifier (0 = untagged): Management Interface Port Num 1 to 8: 1 Management Interface DHCP Server IP Address: 54 AP Manager Interface IP Address: AP-Manager is on Management subnet, using same values AP Manager Interface DHCP Server (54): Virtual Gate

8、way IP Address: Mobility/RF Group Name: demo,系统启动界面（续）,Enable Symmetric Mobility Tunneling yesNO: yes Network Name (SSID): open Allow Static IP Addresses YESno: Configure a RADIUS Server now? YESno: no Warning! The default WLAN security policy requires a RADIUS server. Please see documentati

9、on for more details. Enter Country Code list (enter help for a list of countries) US: CN Enable 802.11b Network YESno: Enable 802.11a Network YESno: Enable 802.11g Network YESno: Enable Auto-RF YESno: Configure a NTP server now? YESno: no Configure the system time now? YESno: Enter the date in MM/DD

10、/YY format: 09/28/08 Enter the time in HH:MM:SS format: 17:11:00 Configuration correct? If yes, system will save it and reset. yesNO: yes Configuration saved! Resetting system with new configuration.,非常重要，Controller的wireless的domain要和AP一致。,配置3层交换机,p dhcp excluded-address ip dhcp excluded

11、-address 54 ip dhcp excluded-address ! ip dhcp pool AP network default-router 54 ! interface FastEthernet0/1 switchport trunk encapsulation dot1q switchport mode trunk interface Vlan1 ip address 54 ! interface

12、Vlan20 ip address 54 ! interface Vlan30 ip address 54 ! interface Vlan40 ip address 54 line vty 0 4 privilege level 15 password cisco login,配置WEB访问,1、使用直通网线，连接交换机的trunk接口到控制器端口1 2、配置PC机的IP地址 00/24或者DHCP，网关192.1

13、68.10.254 3、测试PC能否Ping 通Controller的地址： 3、用访问控制器，如果要开启http访问，需要在系统里打开。,使用IE浏览器进行WEB访问,如果要升级控制器系统软件,tftp 服务器推荐tftpd32 支持64M以上文件传输,在CCO上下载新版本,支持室内室外 mesh 版本,支持802.11n和其他新功能的普通版本,Upgrade Path to Controller Software Release or above,注意：由于配置存储格式不同，从3.x-4.x 升级到5.x后，

14、原来的部分配置可能丢失,Upgrade Path to Controller Software Release ,控制器软件升级 命令行方式,Step1. ping server-ip-address 测试控制器与TFTP server的连通性 Step2. transfer download mode tftp 设置传输使用的协议：tftp Step3. transfer download datatype code 设置传输的数据类型 Step4. transfer download serverip server-ip-address 指定tftp server的IP地

15、址 Step5. transfer download filename filename 制定Image的文件名 Step6. transfer download start 开始传输文件，确认时如果回答No,则显示TFTP的参数设置 Step7. reset system WLC的系统重新启动,注：TFTP服务器软件推荐tftpd32，可以在网上免费下载，支持64M以上大文件传输,控制器软件升级 图形界面,电脑上设置好Tftp软件； 填入Tftp地址和文件名后，选择右侧的 download 按钮开始。 完成后按提示reboot。,Presentation Title Size 30PTOpt

16、ion 2: Live,熟悉无线控制器Controller配置界面,命令行 (CLI)基本命令,cisco,命令行 (CLI) “clear” Commands,命令行 (CLI) “config” Commands, and more,命令行 (CLI) “debug” Command,命令行 (CLI) “help” Commands,命令行 (CLI) “show” Commands,命令行 (CLI) “transfer” Commands,使用IE浏览器进行WEB访问,控制器上查看和设置无线网络SSID,控制器配置页面,配置接口,配置控制器做DHCP服务器,定义无线组,参看和配置端口

17、,配置接口页面,设置控制器做DHCP服务器,定义移动组,设置端口页面,多个控制器时，设定主控制器,点击WIRELESS/ALL APs,安全页面,Radius服务器配置,本地用户数据库,MAC地址过滤,WEB认证相关配置,本地EAP,管理界面,定义能够进行Controller管理的管理用户,控制器维护管理界面,系统和配置文件的上传、下载配置,控制器软重启,AP射频模块配置界面,AP发射功率调节(AP1131),Tx Power Num Of Supported Power Levels . 6 Tx Power Level 1 . 14 dBm Tx Power Level 2 . 11 dB

18、m Tx Power Level 3 . 8 dBm Tx Power Level 4 . 5 dBm Tx Power Level 5 . 2 dBm Tx Power Level 6 . -1 dBm,AP1242的level 1 是 17dBm,5.1版本对HA的增强,Failover等级,全局HA配置,Presentation Title Size 30PTOption 2: Live,连接AP到控制器,Controller里的Port还有Vlan以及Interface的对应关系,Controller必需配置的接口 带内管理接口“Management Interface” LWAPP

19、Tunnel 终结接口“AP Manager Interface” 桥接的无线客户端接口“Dynamic Interfaces”. 二三层漫游而设的虚拟接口“Virtual Interface” 可选接口: 服务接口带外管理接口,*2100系列和WLCM没有service port,确认控制器国家版本与AP一致,目前版本支持同时支持多国家,确认时间配置无误,在路由器或者3层交换机设置DHCP,在AP和控制器不在同一网段的情况下，建立AP能够获取IP Address 的地址池，加上Option 43 WLC-router(config)#ip dhcp pool LWAPP-AP WLC-rou

20、ter(dhcp-config)#network WLC-router(dhcp-config)#default-router 54 WLC-router(dhcp-config)#option 43 ascii “ /很重要！通过Option 43 可以让AP在获取和控制器不同网段IP Address的时候，能够知道Controller的所在。 如果AP和控制器在一个网段和广播域，则可以不配置option 43 WLC-router(dhcp-config)#exit WLC-router(c

21、onfig)#ip dhcp excluded-address 54,在IOS设备配置Option 43,对于1000/1500系列，直接写 option 43 ascii “,0“ 对于1100和1200，需要写option 60和option 43 假设要连接1240，控制器地址为和0 ip dhcp pool AP network /24 default-router 54 dns-server 0

22、0 option 60 ascii “Cisco AP c1240 “ option 43 hex f108c0a80a05c0a80a14,option 43的配置详见,VCI String 1130的是Cisco AP c1130,类型= f1,长度 = 2 x 4 = 08,,0,可以在console上打开debug观察AP加入情况,(Cisco Controller) debug lwapp events enable (Cisco Controller) *Oct 04 19:20:19.154: 00:1a:e3:d0:19:50 R

23、eceived LWAPP DISCOVERY REQUEST from AP 00:1a:e3:d0:19:50 to 00:1e:13:51:2b:60 on port 8 *Oct 04 19:20:19.154: Received a packet which is a (type = DISCOVERY_REQUEST) with session id 0 *Oct 04 19:20:19.154: Join Priority Processing status = 0, Incoming Aps Priority 1, MaxLrads = 6,joined Aps =0 *Oct

24、 04 19:20:19.155: 00:1a:e3:d0:19:50 Successful transmission of LWAPP Discovery Response to AP 00:1a:e3:d0:19:50 on port 8 *Oct 04 19:20:19.156: 00:1a:e3:d0:19:50 Received LWAPP DISCOVERY REQUEST from AP 00:1a:e3:d0:19:50 to ff:ff:ff:ff:ff:ff on port 8 *Oct 04 19:20:19.156: Received a packet which is

25、 a (type = DISCOVERY_REQUEST) with session id 0 *Oct 04 19:20:19.156: Join Priority Processing status = 0, Incoming Aps Priority 1, MaxLrads = 6,joined Aps =0 *Oct 04 19:20:19.156: 00:1a:e3:d0:19:50 Successful transmission of LWAPP Discovery Response to AP 00:1a:e3:d0:19:50 on port 8 *Oct 04 19:20:3

26、1.162: 00:1a:e3:d0:19:50 Received LWAPP JOIN REQUEST from AP 00:1a:e3:d0:19:50 to 00:1e:13:51:2b:67 on port 8 *Oct 04 19:20:31.162: Received a packet which is a (type = JOIN_REQUEST) with session id 0 *Oct 04 19:20:31.177: 00:1a:e3:d0:19:50 AP AP001b.5302.28f8: txNonce 00:1E:13:51:2B:60 rxNonce 00:1

27、A:E3:D0:19:50 *Oct 04 19:20:31.177: 00:1a:e3:d0:19:50 LWAPP Join Request MTU path from AP 00:1a:e3:d0:19:50 is 1500, remote debug mode is 0 *Oct 04 19:20:31.177: DTL Adding AP 1 - 0 *Oct 04 19:20:31.177: 00:1a:e3:d0:19:50 Successfully added NPU Entry for AP 00:1a:e3:d0:19:50 (index 1) Sw

28、itch IP: , Switch Port: 12223, intIfNum 8, vlanId 0 AP IP: 0, AP Port: 8847, nex *Oct 04 19:20:31.911: 00:1a:e3:d0:19:50 Successful transmission of LWAPP Join Reply to AP 00:1a:e3:d0:19:50 *Oct 04 19:20:31.912: 00:1a:e3:d0:19:50 spam_lrad.c:1589 - Operation State 0 = 4 *Oct 0

29、4 19:20:31.913: 00:1a:e3:d0:19:50 Register LWAPP event for AP 00:1a:e3:d0:19:50 slot 0 *Oct 04 19:20:31.914: 00:1a:e3:d0:19:50 Register LWAPP event for AP 00:1a:e3:d0:19:50 slot 1 *Oct 04 19:20:33.192: 00:1a:e3:d0:19:50 Received LWAPP CONFIGURE REQUEST from AP 00:1a:e3:d0:19:50 to 00:1e:13:51:2b:67

30、*Oct 04 19:20:33.194: 00:1a:e3:d0:19:50 Updating IP info for AP 00:1a:e3:d0:19:50 - static 0, 0/, gtw 54 *Oct 04 19:20:33.194: 00:1a:e3:d0:19:50 Updating IP 0 = 0 for AP 00:1a:e3:d0:19:50 *Oct 04 19:20:33.194: 00:1b:53:02:28:f8 Building Co

31、nfig Response Msg for 00:1b:53:02:28:f8,确认AP连接到控制器,图形界面,命令行,Presentation Title Size 30PTOption 2: Live,CSSC无线客户端,802.11 无线客户端概述,无线客户端建议,由于企业内笔记本电脑牌子比较多，建议客户端使用Cisco CSSC软件，使用CSSC软件的好处如下： 1.整个公司笔记本电脑统一的平台，方便管理和下发策略。CSSC带有部署工具，制订好策略后容易部署（如果是Windows平台的话，还要配置相关的参数） 3. CSSC软件支持Cisco NAC网络准入控制技术. 4. 建议新购买

32、的笔记本电脑采用统一的品牌（方便管理），旧的笔记本电脑如果没有无线网卡的话，建议统一使用Cisco的CB21AG（支持AES强加密）,Cisco还提供专门为台式机使用的无线网卡：AIR-PI21AG。 5.Cisco倡导了CCX（各厂家笔记本电脑和Cisco AP兼容性测试）计划，可以从下面的链接知道哪些笔记本电脑的型号是CCX计划里面的成员。 ,Cisco SSC客户端软件的安装,CSSC连接的简单设置,Presentation Title Size 30PTOption 2: Live,构建一个OPEN和一个WEP的无线网络,配置一个无线业务的基本步骤,配置无线客户端的DHCP服务器 配置

33、一个无线网络接口 dynamic interface 配置一个无线业务 WLAN,AP的初始化,在WLC上可以通过使用ctrl + Shift + 6的组合键，切换到ISR路由器的界面,把AP连接在InterSwitch 模块上 WLC-router(config)#int vlan 1 WLC-router(config-if)#no shut WLC-router(config-if)#ip add 54 WLC-router(config-if)#exit WLC-router(config)#int range fast WLC-rou

34、ter(config)#int range fastEthernet 0/1/0 8 WLC-router(config-if-range)#switchport WLC-router(config-if-range)#switchport access vlan 1 WLC-router(config-if-range)#no shut,1、为客户端建立DHCP服务器,2、为无线客户端建立一个无线接口,点击APPLY,2、建立Guest无线接口:VLAN20,查看建立的接口,点击可以进行VLAN20接口的参数修改,点击可以删除,3、建立一个open的访客 WLAN,3、建立一个open的访客

35、 WLAN,很重要！很容易被忘记,3、建立一个open的访客 WLAN,选择None，不对无线网络有任何加密和限制,WLAN增强特性配置,无线客户端连接测试,更改刚才的WLAN为WEP加密,40位WEP要求5位ASCII字符密码 104位WEP要求13位ASCII字符密码 Cisco Aironet 1100/1200/1300不支持128位WEP,无线连接验证,Presentation Title Size 30PTOption 2: Live,构建一个简单WEB认证的无线接入网络,构建一个简单WEB认证的无线网络,增加一个新的地址池 增加一个新的接口 配置web页面认证的本地页面 增加we

36、b认证的WLAN 建立本地用户认证数据库,1、新建一个用于WEB 认证用户的地址池,2、控制器添加一个VLAN30接口,3、配置web页面认证的本地页面,4、新建一个WLAN,4、新建一个WLAN,5、定义内部认证用户数据库,验证WEB认证,跟前面一样，在CSSC的Manage Network中，选择并激活web-auth,web界面认证的验证,在浏览器里输入类似0地址（因为没有DNS，所以不能输入网址）,web界面认证的验证,Presentation Title Size 30PTOption 2: Live,构建一个支持本地EAP认证的无线接入网络,构建一个支持WPA认证的网络,增加一个新的地址池 增加一个新的动态接口 添加本地EAP支持或者AAA服务器（Radius服务器） 建立一个新的WLAN SSID 配置WPA/WPA2认证 设置CSSC客户端软件,1、新建