1、 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID1无线控制器配置基础无线控制器配置基础2011.11 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID2基本配置任务及过程基本配置任务及过程准备工作1.控制器启动配置和升级控制器软件版本控制器启动配置和升级控制器软件版本2.熟悉控制器配置界面熟悉控制器配置界面3.连接连接AP到控制器上到控制器上配置任务1.思科思科CSSC无线客户端的安装和
2、简单配置无线客户端的安装和简单配置2.构建一个构建一个OPEN和一个和一个WEP的无线网络的无线网络3.构建一个简单构建一个简单WEB认证的无线网络认证的无线网络4.构建一个支持本地构建一个支持本地EAP认证的无线网络认证的无线网络5.构建一个用构建一个用ACS做做AAA认证的无线网络认证的无线网络 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID3Presentation Title Size 30PTOption 2:Live准备工作 2006 Cisco Systems,Inc.All
3、 rights reserved.Cisco ConfidentialPresentation_ID4基本设备基本设备 控制器 5500或者2500系列 AP:1140或者1260等支持802.11n的产品 交换机:最好是3560X千兆POE交换机 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID5AIR-CT2504-5-K92504 Wireless Controller with 5 AP Licenses$3,743.00AIR-CT2504-15-K92504 Wireless C
4、ontroller with 15 AP Licenses$7,493.00AIR-CT2504-25-K92504 Wireless Controller with 25 AP Licenses$13,493.00AIR-CT2504-50-K92504 Wireless Controller with 50 AP Licenses$19,493.002500系列无线控制器系列无线控制器 支持支持802.11a/b/g/n 支持支持PCI认证认证 WLC2500 硬件硬件4个GE口,2个上联口,2个下联口其中2个GE口有以太网供电最多支持到50个AP,500个客户端;多达300Mbps的吞吐
5、量 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID65500系列无线控制器系列无线控制器 1 RU 高度8口千兆上联 支持 12,25,50,100,250,500 AP;支持多达7000个客户端;经过优化的802.11n性能;智能射频控制平面,可以自行配置、修复和优化。高效漫游功能可提升应用性能;2 热插拔电源模块插槽AIR-CT5508-500-K9Cisco 5508 Series Wireless Controller for up to 500 APs$220,490.00AIR
6、-CT5508-250-K9Cisco 5508 Series Wireless Controller for up to 250 APs$136,490.00AIR-CT5508-100-K9Cisco 5508 Series Wireless Controller for up to 100 APs$83,990.00AIR-CT5508-50-K9Cisco 5508 Series Wireless Controller for up to 50 APs$47,240.00AIR-CT5508-25-K9Cisco 5508 Series Wireless Controller for
7、up to 25 APs$33,590.00AIR-CT5508-12-K9Cisco 5508 Series Wireless Controller for up to 12 APs$23,090.00 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID7准备工作准备工作 网线和Console线。如果是5508,需要GLC光纤模块和光纤或者GLC-T模块 确认控制器版本是否需要升级(用命令show sysinfo查看系统版本)相应数量的瘦AP 2006 Cisco Systems,Inc.A
8、ll rights reserved.Cisco ConfidentialPresentation_ID8实验拓扑示例实验拓扑示例TRUNKVLAN1/20/30/40fa0/1port 1SSCWLC说明:说明:1、VLAN1用于连接控制器、AP和ACS;2、VLAN20用于WPA/WPA2认证,认证服务器用ACS。3、VLAN30用作OPEN/WEP/GUEST客户接入3、VLAN40用作WPA/WPA2认证,认证用本地EAPSSCSSID:VLAN20SSID:VLAN30PC/AAA服务器服务器VLAN1所有3层网关设置在3层交换机上,地址254 2006 Cisco Systems,
9、Inc.All rights reserved.Cisco ConfidentialPresentation_ID9WLC的组成及接口的组成及接口 管理接口:管理接口:使用静态IP 地址的接口,用于传输带内管理数据流,这些接口用于建立到 WLC 的Web、安全外壳(SSH)或Telnet 会话。AP 管理接口:管理接口:使用静态IP 地址的接口,所高LAP 都使用它来端接CAPWAP 隧道,WLC 也在该接口上侦听LAP 试图发现控制器时发送的子网广播。虚拟接口:虚拟接口:用于中继来自无线客户端的DHCP 请求的逻辑接口,给该接口分配一个伪造(但唯一)的静态IP 地址,这样客户端将把该虚拟地址
10、视为其DHCP 服务器,在同一个移 动组中,所有WLC 都必须使用相同的虚拟接口地址。服务端口:服务端口:Cisco 5500 系列WLC 使用的带外以太网接口,仅当控制器正在启动或网络问 题导致无法进行其他方式的接入时才使用它,Catalyst 6500 无线服务模块(Wireless Service Module,WiSM)有一个连接到机架监控器的内部服务端口。集散系统端口:集散系统端口:将WLC 连接到园区网中交换机的接口,该接口通常是一个中继链路,用于传输覆盖了LAP 和VLAN 的数据流。2006 Cisco Systems,Inc.All rights reserved.Cisco
11、 ConfidentialPresentation_ID10WLC的组成及接口(续)的组成及接口(续)动态接口:根据需要,为通过CAPWAP 隧道扩展到LAP 的VLAN自动创建的接口,动态 接口有时也被称为用户接口,动态接口使用的IP 地址属于无线客户端VLAN 的子网。通常,预留一个管理VLAN 和子网供WLC 和CAPWAP 使用,可以将管理子网中的IP 地 址分配给管理接口和AP 管理器接口。所有来自外部的管理数据流(基于Web 的、Telnet、SSH 或AAA)和CAPWAP 隧道数据流都将到达这些地址,LAP 将被放置到网络的各个地方,甚至是不同的交换模块中,因此应将LAP 数据
12、流视为外部的。分配给 LAP 的IP 地址不必属于AP 管理器子网,在小型网络中,LAP 和WLC 可能位于 同一个子网中,因此它们在第2 层是相邻的,在大型网络中,LAP 将分散在不同的交换模块 中,LAP 和WLC 的IP 地址将各不相同,因为它们不是第2 层邻居,这些地址将不属于AP 管理子网。2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID11WLC接口布局示例接口布局示例 2006 Cisco Systems,Inc.All rights reserved.Cisco Confid
13、entialPresentation_ID12WLC接口布局示例接口布局示例 在这个例子中,WLC 通过物理端口1(port 1)连接到Cisco 3750 交换机的gig 1/0/1 千兆端口,WLC 上所有的接口(interface)都映射到物理接口1。WLC 上配置了2 个WLAN,其中一个是开 放认证(使用Web portal 认证,SSID 为open),另一个是采用EAP 认证(SSID 为secure)。分别 为开放的SSID 和EAP SSID 创建了一个动态接口并同相应的VLAN 相关联,开放的SSID 通VLAN 3 相关联,VLAN 4 同加密的SSID 相关联,管理端口
14、(management interface)和AP 管理接口(AP Manager interface)都使用VLAN 60,为了使配置简单,我们忽略了服务端口(service-port),所 有的网络服务(AAA,DHCP,DNS)都使用Vlan 50,AP 将连接到VLAN 5。2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID13WLC初始配置初始配置 WLC 初始化的配置只能通过连接到 WLC控制台端口(Console)的Cisco 标准的 9600-8-N-1 电缆才能配置,然后使用
15、Startup Wizard 通过CLI 输入参数,WLC 启动并运行其代码映像后,CLI 将以交互的方式提示输入下面的信息:1)系统名,这是一个标识WLC 的字符串,最多可包含32 个字符 2)管理用户名和密码,默认分别为admin 和admin 3)服务端口的IP 地址(DHCP 或静态地址):如果选择使用静态地址,将提示您输入IP 地址、子网掩码、默认网关和管理接口的VLAN 号。如果管理VLAN 没有被标记中继链路上的本地VLAN,native vlan),请输入VLAN 号0 4)DHCP 服务器的地址,客户端服务器将从DHCP 服务器那里获得其IP 地址。2006 Cisco Sy
16、stems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID14WLC初始配置(续)初始配置(续)5)AP 管理器接口的IP 地址。6)虚拟接口的IP 地址(这是一个伪造的 IP 地址,通常为1.1.1.1)。7)移动组名称(在属于同一个移动组的所有WLC 上都必须相同)。8)默认的SSID,LAP 加入控制器时将使用它,LAP 加入后,WLC 将把其他 SSID 提供给它。9)是否要求客户端从DHCP 服务器那里获得 IP 地址?如果要求客户端使用DHCP 服务器,则输入yes,否则输入no,允许客户端使用静态的配置的地址。1
17、0)是否需要配置RADIUS 服务器?(可以输入NO,通过Web 前端配置RADIUS 服务器)。2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID15WLC初始配置(续)初始配置(续)11)配置国别码(输入help 可获悉国别码列表,中国的国别码为CN)12)在WLC 管理的所有AP 上启用/禁用802.11b 和802.11g(系统提示您配置每种WLAN 时,输入YES 可启用它,输入NO 将禁用它)。13)启用/禁用射频源管理auto-RF 功能(输入yes 将启用RF 参数自动调整,输
18、入NO 将禁用它)。输入上述信息后,WLC 将存储配置并重新启动。然后,便可以通过WLC 的Web 界面管 理它。2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID16启动选项启动选项The controller boot sequence will always have these option available since this is set in PROM to ensure controller recovery options按5清空配置 2006 Cisco Systems
19、,Inc.All rights reserved.Cisco ConfidentialPresentation_ID17系统启动界面和配置系统启动界面和配置(OS 7.0)Would you like to terminate autoinstall?yes:System Name Cisco_51:2b:60(31 characters max):2106-demoAUTO-INSTALL:process terminated-no configuration loadedEnter Administrative User Name(24 characters max):ciscoEnter
20、 Administrative Password(24 characters max):ciscoRe-enter Administrative Password :ciscoManagement Interface IP Address:192.168.10.1Management Interface Netmask:255.255.255.0Management Interface Default Router:192.168.10.254Management Interface VLAN Identifier(0=untagged):Management Interface Port N
21、um 1 to 8:1Management Interface DHCP Server IP Address:192.168.10.254AP Manager Interface IP Address:192.168.10.2AP-Manager is on Management subnet,using same valuesAP Manager Interface DHCP Server(192.168.10.254):Virtual Gateway IP Address:1.1.1.1Mobility/RF Group Name:demo 2006 Cisco Systems,Inc.A
22、ll rights reserved.Cisco ConfidentialPresentation_ID18系统启动界面(续)系统启动界面(续)Enable Symmetric Mobility Tunneling yesNO:yesNetwork Name(SSID):open Allow Static IP Addresses YESno:Configure a RADIUS Server now?YESno:noWarning!The default WLAN security policy requires a RADIUS server.Please see documentatio
23、n for more details.Enter Country Code list(enter help for a list of countries)US:CNEnable 802.11b Network YESno:Enable 802.11a Network YESno:Enable 802.11g Network YESno:Enable Auto-RF YESno:Configure a NTP server now?YESno:noConfigure the system time now?YESno:Enter the date in MM/DD/YY format:09/2
24、8/08Enter the time in HH:MM:SS format:17:11:00Configuration correct?If yes,system will save it and reset.yesNO:yesConfiguration saved!Resetting system with new configuration.非常重要,非常重要,Controller的的wireless的的domain要和要和AP一致。一致。2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID
25、19配置配置3层交换机层交换机p dhcp excluded-address 192.168.10.1ip dhcp excluded-address 192.168.10.254ip dhcp excluded-address 192.168.10.2!ip dhcp pool AP network 192.168.10.0 255.255.255.0 default-router 192.168.10.254!interface FastEthernet0/1 switchport trunk encapsulation dot1q switchport mode trunkinterfa
26、ce Vlan1 ip address 192.168.10.254 255.255.255.0!interface Vlan20 ip address 192.168.20.254 255.255.255.0!interface Vlan30 ip address 192.168.30.254 255.255.255.0!interface Vlan40 ip address 192.168.40.254 255.255.255.0line vty 0 4 privilege level 15 password cisco login 2006 Cisco Systems,Inc.All r
27、ights reserved.Cisco ConfidentialPresentation_ID20配置配置WEB访问访问1、使用直通网线,连接交换机的trunk接口到控制器端口12、配置PC机的IP地址 192.168.10.100/24或者DHCP,网关192.168.10.2543、测试PC能否Ping 通Controller的地址:192.168.10.13、用https:/192.168.10.1访问控制器,如果要开启http访问,需要在系统里打开。2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresent
28、ation_ID21使用使用IE浏览器进行浏览器进行WEB访问访问 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID22如果要升级控制器系统软件如果要升级控制器系统软件 tftp 服务器推荐tftpd32 支持64M以上文件传输 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID23在在CCO上下载新版本上下载新版本支持室内室外 mesh 版本支持802.11n和其他新功能的普通版本http
29、:/ 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID24控制器软件升级控制器软件升级 命令行方式命令行方式 Step1.ping server-ip-address 测试控制器与TFTP server的连通性 Step2.transfer download mode tftp 设置传输使用的协议:tftp Step3.transfer download datatype code 设置传输的数据类型 Step4.transfer download serverip server-ip-ad
30、dress 指定tftp server的IP地址 Step5.transfer download filename filename 制定Image的文件名 Step6.transfer download start 开始传输文件,确认时如果回答No,则显示TFTP的参数设置 Step7.reset system WLC的系统重新启动注:TFTP服务器软件推荐tftpd32,可以在网上免费下载,支持64M以上大文件传输 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID25控制器软件升级控制器
31、软件升级 图形界面图形界面电脑上设置好Tftp软件;填入Tftp地址和文件名后,选择右侧的 download 按钮开始。完成后按提示reboot。2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID26Presentation Title Size 30PTOption 2:Live熟悉无线控制器Controller配置界面 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID27命令行命令行(C
32、LI)基本命令基本命令cisco 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID28命令行命令行(CLI)“clear”Commands 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID29命令行命令行(CLI)“config”Commands and more 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPr
33、esentation_ID30命令行命令行(CLI)“debug”Command 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID31命令行命令行(CLI)“help”Commands 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID32命令行命令行(CLI)“show”Commands 2006 Cisco Systems,Inc.All rights reserved.Cisco Co
34、nfidentialPresentation_ID33命令行命令行(CLI)“transfer”Commands 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID34使用使用IE浏览器进行浏览器进行WEB访问访问 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID35控制器上查看和设置无线网络控制器上查看和设置无线网络SSID 2006 Cisco Systems,Inc.All right
35、s reserved.Cisco ConfidentialPresentation_ID36控制器配置页面控制器配置页面配置接口配置接口配置控制器配置控制器做做DHCP服务服务器器定义无线组定义无线组参看和配置参看和配置端口端口 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID37配置接口页面配置接口页面 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID38设置控制器做设置控制器做DHCP
36、服务器服务器 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID39定义移动组定义移动组 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID40设置端口页面设置端口页面 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID41点击点击WIRELESS-ALL APs 2006 Cisco Sys
37、tems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID42安全页面安全页面Radius服务器配置服务器配置本地用户数据库本地用户数据库MAC地址过滤地址过滤WEB认证相关认证相关配置配置本地本地EAP 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID43管理界面管理界面定义能够进行定义能够进行Controller管管理的管理用户理的管理用户 2006 Cisco Systems,Inc.All rights reserve
38、d.Cisco ConfidentialPresentation_ID44控制器维护管理界面控制器维护管理界面系统和配置文系统和配置文件的上传、下件的上传、下载配置载配置控制器软重启控制器软重启 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID45AP射频模块配置界面射频模块配置界面 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID46AP发射功率调节发射功率调节(AP1131)Tx Po
39、wer Num Of Supported Power Levels.6 Tx Power Level 1.14 dBm Tx Power Level 2.11 dBm Tx Power Level 3.8 dBm Tx Power Level 4.5 dBm Tx Power Level 5.2 dBm Tx Power Level 6.-1 dBmAP1242的level 1 是 17dBm 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID47HA相关配置相关配置Failover等级全局H
40、A配置 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID48Presentation Title Size 30PTOption 2:Live连接AP到控制器 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID49Controller里的里的Port还有还有Vlan以及以及Interface的对应关系的对应关系 Controller必需配置的接口带内管理接口“Management Inter
41、face”LWAPP Tunnel 终结接口“AP Manager Interface”桥接的无线客户端接口“Dynamic Interfaces”.二三层漫游而设的虚拟接口“Virtual Interface”可选接口:服务接口带外管理接口带外管理接口 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID50确认控制器国家版本与确认控制器国家版本与AP一致一致目前版本支持同时支持多国家 2006 Cisco Systems,Inc.All rights reserved.Cisco Confi
42、dentialPresentation_ID51确认时间配置无误确认时间配置无误 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID52在路由器或者在路由器或者3层交换机设置层交换机设置DHCP在在AP和控制器不在同一网段的情况下,建立和控制器不在同一网段的情况下,建立AP能够获取能够获取IP Address 的地址池,加上的地址池,加上Option 43WLC-router(config)#ip dhcp pool LWAPP-APWLC-router(dhcp-config)#networ
43、k 192.168.10.0 255.255.255.0WLC-router(dhcp-config)#default-router 192.168.0.254WLC-router(dhcp-config)#option 43 ascii 192.168.10.1“/很重要!通过很重要!通过Option 43 可以让可以让AP在获取和控制器不同网段在获取和控制器不同网段IP Address的时候,能够知道的时候,能够知道Controller的所在。的所在。如果如果AP和控制器在一个网段和广播域,则可以不配置和控制器在一个网段和广播域,则可以不配置option 43WLC-router(dhcp
44、-config)#exitWLC-router(config)#ip dhcp excluded-address 192.168.0.254 2006 Cisco Systems,Inc.All rights reserved.Cisco ConfidentialPresentation_ID53在在IOS设备配置设备配置Option 43 对于1000/1500系列,直接写option 43 ascii“192.168.10.5,129.168.10.20“对于1100和1200,需要写option 60和option 43 假设要连接1240,控制器地址为192.168.10.5和192.
45、168.10.20ip dhcp pool APnetwork 192.168.10.0/24default-router 192.168.10.254dns-server 192.168.10.100option 60 ascii“Cisco AP c1240“option 43 hex f108c0a80a05c0a80a14 option 43的配置详见http:/ String1130的是Cisco AP c1130 类型=f1长度=2 x 4=08192.168.10.5192.168.10.20 2006 Cisco Systems,Inc.All rights reserved.
46、Cisco ConfidentialPresentation_ID54可以在可以在console上打开上打开debug观察观察AP加入情况加入情况(Cisco Controller)debug lwapp events enable(Cisco Controller)*Oct 04 19:20:19.154:00:1a:e3:d0:19:50 Received LWAPP DISCOVERY REQUEST from AP 00:1a:e3:d0:19:50 to 00:1e:13:51:2b:60 on port 8*Oct 04 19:20:19.154:Received a packet
47、 which is a(type=DISCOVERY_REQUEST)with session id 0*Oct 04 19:20:19.154:Join Priority Processing status=0,Incoming Aps Priority 1,MaxLrads=6,joined Aps=0*Oct 04 19:20:19.155:00:1a:e3:d0:19:50 Successful transmission of LWAPP Discovery Response to AP 00:1a:e3:d0:19:50 on port 8*Oct 04 19:20:19.156:0
48、0:1a:e3:d0:19:50 Received LWAPP DISCOVERY REQUEST from AP 00:1a:e3:d0:19:50 to ff:ff:ff:ff:ff:ff on port 8*Oct 04 19:20:19.156:Received a packet which is a(type=DISCOVERY_REQUEST)with session id 0*Oct 04 19:20:19.156:Join Priority Processing status=0,Incoming Aps Priority 1,MaxLrads=6,joined Aps=0*O
49、ct 04 19:20:19.156:00:1a:e3:d0:19:50 Successful transmission of LWAPP Discovery Response to AP 00:1a:e3:d0:19:50 on port 8*Oct 04 19:20:31.162:00:1a:e3:d0:19:50 Received LWAPP JOIN REQUEST from AP 00:1a:e3:d0:19:50 to 00:1e:13:51:2b:67 on port 8*Oct 04 19:20:31.162:Received a packet which is a(type=
50、JOIN_REQUEST)with session id 0*Oct 04 19:20:31.177:00:1a:e3:d0:19:50 AP AP001b.5302.28f8:txNonce 00:1E:13:51:2B:60 rxNonce 00:1A:E3:D0:19:50*Oct 04 19:20:31.177:00:1a:e3:d0:19:50 LWAPP Join Request MTU path from AP 00:1a:e3:d0:19:50 is 1500,remote debug mode is 0*Oct 04 19:20:31.177:DTL Adding AP 1-