Sem fio/Mobilidade : LAN Wireless (WLAN)

Melhores prática da configuração do controlador do Wireless LAN (WLC)

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (17 Julho 2008) | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento oferece dicas breves de configuração que abrangem diversos problemas de Infraestrutura Unificada Sem Fio comumente vistos no Centro de Assistência Técnica (TAC). O objetivo é fornecer as observações importantes que você pode aplicar na maioria de implementações de rede a fim minimizar problemas possíveis.

Nota: Não todas as redes são iguais, consequentemente algumas pontas não puderam ser aplicáveis em sua instalação. Verifique-os sempre antes que você execute todas as mudanças em uma rede viva.

Contribuído por engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Conhecimento de como configurar o controlador do Wireless LAN (WLC) e o Access point de pouco peso (REGAÇO) para a operação básica

  • Conhecimento básico do controle e do abastecimento de métodos do protocolo e da segurança Wireless dos pontos de acesso Wireless (CAPWAP)

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Módulo de Cisco 5508/4400/7500/Serviços sem fio (WiSM)/WiSM2 Series WLC que executa a versão de firmware 7.4

  • Access point CAPWAP-baseados, série 1140/1260/3500/1600/2600/3600

    Nota: Qualquer referência a 4400 WLC é baseada na versão de firmware 7.0.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Melhores práticas

Wireless/RF

Estes são os melhores prática para o Sem fio/Radio Frequency (RF):

  • Para todo o desenvolvimento wireless, faça sempre uma análise de site apropriada a fim segurar a qualidade apropriada do serviço para seus clientes Wireless. As exigências para disposições da Voz ou do lugar são mais restritas do que para serviços dos dados. O auto RF pôde ajudar no Gerenciamento do canal e das configurações de energia, mas não pode corrigir um projeto ruim RF.

  • A análise de site deve ser feita com dispositivos que combinam a potência e o comportamento da propagação dos dispositivos ser usado na rede real. Por exemplo, não use um rádio 1240 802.11B/G com antena do omni para estudar a cobertura se os usos da rede finais 3600 rádios duplos para 802.11A e G com taxas de dados N.

    • Você deve com cuidado planear o processo desabilitar ou permitir taxas de dados. Se sua cobertura é suficiente, é frequentemente uma boa ideia desabilitar lentamente um por um taxas de dados mais baixa. Os quadros do Gerenciamento como o ACK ou as balizas serão enviados na mais baixa taxa imperativa (tipicamente 1Mbps) que retarda a taxa de transferência inteira.

    • É igualmente bom tentar não ter demasiados taxas de dados apoiadas de modo que os clientes downshifts sua taxa mais rapidamente. Tipicamente os clientes tentam enviar na taxa de dados que a mais rápida podem e se o quadro não a fez completamente, retransmitirão em 1 taxa de dados abaixo daquele e assim por diante até que vá completamente. A remoção de algumas taxas suportadas significa que os clientes que retransmitem um quadro diretamente downshift diversas taxas de dados, que aumenta a possibilidade para que o quadro vá completamente na segunda tentativa.

    • Recorde que os quadros do Gerenciamento estão enviados na mais baixa taxa imperativa. O Multicast é enviado na taxa imperativa a mais alta.

    • Você pôde fazer uma decisão consciente para não desabilitar todas as taxas abaixo de 11Mbps (incluído) a fim parar o apoio dos clientes 802.11b-only.

    • Os comandos CLI são: a taxa da configuração 802.11b desabilitada/imperativa/apoiou o list> do <rate e a taxa da configuração 802.11a desabilitada/imperativa/apoiou o list> do <rate.

  • Na mesma ideia relacionada, limite o número dos service set identifier (SSID) configurados no controlador. Você pode configurar 16 SSID simultâneos (pelo rádio em cada Access Point (AP)), mas como cada WLAN/SSID precisa respostas separadas da ponta de prova e iluminação, a poluição RF aumenta enquanto mais SSID são adicionados. Os resultados são que algumas estações wireless menores como o PDA, os telefones de WiFi, e os varredores do código de barras não podem lidar com um alto número de informação básica SSID (BSSID). Isto conduz aos aprisionamentos, aos reloads, ou às falhas da associação. Igualmente mais SSID, a iluminação necessária, assim que menos espaço RF estão disponíveis para dados reais transmitem.

  • Para os ambientes RF que são espaços claros, como as fábricas onde há uns Access point em um grande espaço sem paredes, pôde ser necessário ajustar o ponto inicial da potência de transmissão do padrão do dBm -65, a um valor mais baixo como o dBm -76. Isto permite que você abaixe a interferência do co-canal (número de BSSID ouvido de um cliente Wireless em um momento dado). O melhor valor é dependente das características ambientais de cada local, assim que deve ser avaliado com cuidado com uma análise de site.

    A potência transmite o ponto inicial - Este valor, expressado no dBm, é o nível de sinal da interrupção em que o algoritmo do controle de potência de transmissão (TPC) ajusta os níveis da potência para baixo, tais que este valor é a força em que o terceiro vizinho o mais forte de um AP é ouvido.

  • Algum software do cliente do 802.11 pôde encontrar dificuldades se ouve mais do que um determinado número fixo de BSSIDs (por exemplo, 24 ou 32 BSSIDs.) Quando você reduz o ponto inicial da potência de transmissão e daqui o AP médio transmite o nível, você pode reduzir o número de BSSIDs que tais clientes ouvem.

  • Não permita o Balanceamento de carga agressivo a menos que a rede tiver um alto densidade dos Access point disponíveis na área, e nunca se há uma Voz sobre o Sem fio. Se você permite esta característica com os Access point espaçados demasiado longe de se, pôde confundir o algoritmo vagueando de alguns clientes e induzir furos da cobertura em alguns casos.

Conectividade de rede

Estes são os melhores prática para a conectividade de rede:

  • Não use a medida - árvore em controladores.

    Para a maioria de topologias, o Spanning Tree Protocol (STP) essas corridas no controlador não é precisado. O STP é desabilitado à revelia.

    Para o Switches não-Cisco, recomenda-se que você igualmente desabilita o STP em uma base por porto.

    Incorpore este comando a fim verificar:
    Cisco Controller) >show spanningtree switch

    STP Specification...................... IEEE 802.1D
    STP Base MAC Address................... 00:18:B9:EA:5E:60
    Spanning Tree Algorithm................ Disable
    STP Bridge Priority.................... 32768
    STP Bridge Max. Age (seconds).......... 20
    STP Bridge Hello Time (seconds)........ 2
    STP Bridge Forward Delay (seconds)..... 15
  • Embora a maioria da configuração de controle esteja aplicada “ligada - - voe”, ele é boa ideia recarregar controladores depois que você muda estes ajustes de configuração:

    • Endereço de gerenciamento

    • Configuração de SNMP

  • Geralmente, a interface de gerenciamento do WLC é deixada o sem etiqueta. Neste caso, o pacote enviado a e da interface de gerenciamento supõe o VLAN nativo da porta de tronco a que o WLC é conectado. Contudo, se você quer a interface de gerenciamento estar em um VLAN diferente, etiquete-o ao VLAN apropriado com o comando vlan do <vlan-id> do Gerenciamento da relação da configuração de Controller> do <Cisco. Assegure-se de que o VLAN correspondente esteja permitido no switchport e etiquetado pelo tronco (vlan NON-nativo).

  • Para todas as portas de tronco que conectam aos controladores, filtre para fora os VLAN que não são dentro uso.

    Por exemplo no Switches do ® do Cisco IOS, se a interface de gerenciamento está no VLAN20, mais o VLAN 40 e nos 50 pés é usado para dois WLAN diferentes, usa este comando configuration no lado do interruptor:
    switchport trunk allowed vlans 20,40,50
  • Não deixe uma relação com um endereço de 0.0.0.0, por exemplo uma porta do serviço do desconfigurado. Pôde afetar o DHCP que segura no controlador.

    Isto é como você verifica:
    (Cisco Controller) >show interface summary
    Interface Name Port Vlan Id IP Address Type Ap Mgr
    -------------------- ---- -------- --------------- ------- ------
    ap-manager LAG 15 192.168.15.66 Static Yes
    example LAG 30 0.0.0.0 Dynamic No

    management LAG 15 192.168.15.65 Static No
    service-port N/A N/A 10.48.76.65 Static No
    test LAG 50 192.168.50.65 Dynamic No
    virtual N/A N/A 1.1.1.1 Static No
  • Não use a agregação do link (RETARDAÇÃO) a menos que todas as portas do controlador tiverem a mesma configuração da camada 2 no lado do interruptor. Por exemplo, evite filtrar alguns VLAN em uma porta, e não os outro.

  • Quando você usa a RETARDAÇÃO, o controlador confia no interruptor para as resoluções do Balanceamento de carga sobre o tráfego que vêm da rede. Espera que esse tráfego que pertence a um AP sempre entra na mesma porta. Use somente opções do Balanceamento de carga IP-SRC ou IP-SRC IP-DST na configuração de EtherChannel do interruptor. Alguns modelos de switch puderam usar mecanismos unsupported do Balanceamento de carga à revelia, assim que é importante verificar.

    Isto é como verificar o mecanismo de equilíbrio da carga EtherChannel:
    switch#show etherchannel load-balance
    EtherChannel Load-Balancing Configuration:
    src-dst-ip

    EtherChannel Load-Balancing Addresses Used Per-Protocol:
    Non-IP: Source XOR Destination MAC address
    IPv4: Source XOR Destination IP address
    IPv6: Source XOR Destination IP address

    Isto é como mudar a configuração de switch (IO):
    switch(config)#port-channel load-balance src-dst-ip 

    Com o Cisco IOS Software Release 12.2(33)SXH6, há uma opção para que o chassi do modo PFC3C exclua o VLAN na distribuição de carga. Use o Src-dst-ip do balanceamento de carga de canal de porta excluem o comando vlan a fim executar esta característica. Esta característica assegura-se de que esse tráfego que pertence a um REGAÇO entra na mesma porta.

  • RETARDE-SE ao usar o VSS, ou o interruptor elevador da pilha (3750/2960) ou o nexo VPC, devem trabalhar enquanto os fragmentos de um pacote IP são enviados à mesma porta. A ideia é que se você vai aos switch múltiplos, as portas devem pertencer ao mesmo L2? entidade? com considerações de decisões do Balanceamento de carga.

  • Se você quer conectar o WLC a mais de um interruptor, você deve criar um gerenciador AP para cada porta física e RETARDAÇÃO do desabilitação. Isto fornece a Redundância e a escalabilidade.

    Nota: Em Cisco 4400-100 WLC modelo, você precisa pelo menos três portas física ativas a fim utilizar a capacidade máxima de 100 Access point para cada WLC. Para Cisco 4400-50 WLC modelo, você precisa duas portas física a fim utilizar a capacidade máxima de Access point dos 50 pés para cada WLC.



  • Sempre que possível, não crie um porto de backup para uma relação do gerenciador AP, mesmo se é permitida em umas versões de software mais velhas. A Redundância é fornecida pelas relações múltiplas do gerenciador AP como mencionado mais cedo neste documento.

  • Para o Multicast Forwarding, o melhor desempenho e menos utilização da largura de banda são conseguidos com o modo do Multicast.

    Isto é como verificar o modo do Multicast no controlador:
    (WiSM-slot1-1) >show network summary
    RF-Network Name............................. 705
    Web Mode.................................... Enable
    Secure Web Mode............................. Enable
    Secure Web Mode Cipher-Option High.......... Disable
    Secure Shell (ssh).......................... Enable
    Telnet...................................... Enable
    Ethernet Multicast Mode..................... Enable Mode: Mcast 239.0.1.1
    Ethernet Broadcast Mode..................... Disable
    IGMP snooping............................... Disabled
    IGMP timeout................................ 60 seconds
    User Idle Timeout........................... 300 seconds
    ARP Idle Timeout............................ 300 seconds
    ARP Unicast Mode............................ Disabled
    Cisco AP Default Master..................... Disable
    Mgmt Via Wireless Interface................. Disable
    Mgmt Via Dynamic Interface.................. Disable
    Bridge MAC filter Config.................... Enable
    Bridge Security Mode........................ EAP
    Over The Air Provisioning of AP's........... Enable
    Apple Talk ................................. Disable
    AP Fallback ................................ Enable

    Isto é como configurar operações do Multicast-Multicast na linha de comando WLC:
    config network multicast mode multicast 239.0.1.1
    config network multicast global enable
  • O endereço de multicast é usado pelo controlador a fim enviar o tráfego aos Access point. É importante que não combina um outro endereço no uso em sua rede por outros protocolos. Por exemplo, se você usa 224.0.0.251, quebra o mDNS usado por alguns aplicativos de terceiros. Recomenda-se que o endereço esteja na escala privada (239.0.0.0-239.255.255.255, que não inclui 239.0.0.x e 239.128.0.x.). É igualmente importante que o endereço IP multicast esteja ajustado a um valor diferente em cada WLC. Você não quer um WLC que fale a seus Access point para alcançar os AP de um outro WLC.

  • Se os Access point estão em uma sub-rede diferente do que essa usada na interface de gerenciamento, sua infraestrutura de rede deve fornecer o roteamento de transmissão múltipla entre a sub-rede da interface de gerenciamento e a sub-rede AP.

Projeto de rede

Estes são os melhores prática para o projeto de rede:

  • Para AP no modo local, configurar a porta de switch com portfast. A fim fazer isto, ajuste a porta a ser conectada como a? host? mova (comando switchport host) ou diretamente com o comando portfast. Isto permite um mais rápido junta-se ao processo para um AP. Não há nenhum risco de laços, porque as pontes LWAPP AP nunca entre VLAN.

  • Pelo projeto, a maioria do tráfego iniciado CPU é enviado do endereço de gerenciamento no controlador. Por exemplo, SNMP traps, pedidos da autenticação RADIUS, Multicast Forwarding, e assim por diante.

    A exceção a esta regra é tráfego relativo DHCP. Você pode igualmente permitir em cada SSID do “relação raio overwrite” e o raio para este WLAN será enviado então da interface dinâmica. Contudo, isto cria problemas de desenho com o fluxo de Bring Your Own Device (BYOD) e a mudança da autorização (CoA).

    Isto é importante de levar em consideração quando você configura políticas de firewall ou projeta a topologia de rede. É importante evitar configurar uma interface dinâmica na mesma sub-rede que um server que tenha que ser alcançável pelo controlador CPU, por exemplo um servidor Radius, como pôde causar edições do roteamento assimétrico.

    Configurar sempre os switchports dentro? modo de acesso? para os AP no modo local. Para os switchports no modo de tronco que vão aos AP no modo de FlexConnect (de que faz o switching local) e aos WLC, pode sempre os VLAN a fim permitir somente esses configurados no FlexConnect AP e WLC (como mencionado previamente). Além, inscreva o comando switchport nonegotiate naqueles troncos a fim desabilitar o Dynamic Trunking Protocol (DTP) no switchport e evitar a necessidade para que o AP/WLC processe os quadros que não são precisados porque não apoiam o DTP. Também, os recursos seriam desperdiçados no interruptor, que tentaria negociar com um dispositivo que não pudesse o apoiar.

Mobilidade

Estes são os melhores prática para a mobilidade:

  • Todos os controladores em um grupo da mobilidade devem ter o mesmo endereço IP de Um ou Mais Servidores Cisco ICM NT para uma interface virtual. Historicamente, o endereço IP 1.1.1.1 foi usado nas configurações padrão e por indivíduos. Contudo, é agora um endereço IP público válido e não deve consequentemente ser usado anymore. Você deve usar um endereço IP privado que não distribua em qualquer lugar em sua rede. Isto é importante para vaguear. Se todos os controladores dentro de um grupo da mobilidade não usam a mesma interface virtual, o inter-controlador que vagueia pode parecer trabalhar, mas a mão-fora não termina e o cliente perde a Conectividade por um período de tempo.

    Isto é como verificar:
    (Cisco Controller) >show interface summary

    Interface Name Port Vlan Id IP Address Type Ap Mgr
    ----------------- ----- -------- --------------- ------- ------
    ap-manager LAG 15 192.168.15.66 Static Yes
    management LAG 15 192.168.15.65 Static No
    service-port N/A N/A 10.48.76.65 Static No
    test LAG 50 192.168.50.65 Dynamic No
    virtual N/A N/A 1.1.1.1 Static No
  • O endereço de gateway virtual deve ser não roteável dentro de sua infraestrutura de rede. Pretende-se somente ser alcançável para um cliente Wireless quando conectado a um controlador, nunca de uma conexão ligada com fio. Com efeito, 1.1.1.1 é agora um endereço público válido assim que mude-o a qualquer coisa original e não-roteável em sua rede. 1.1.1.1 foi usado neste exemplo porque é ainda o valor padrão.

  • A conectividade IP deve existir entre as interfaces de gerenciamento de todos os controladores.

  • Na maioria das situações, todos os controladores devem ser configurados com o mesmo nome do grupo da mobilidade. As exceções a esta regra são disposições em controladores para os recursos de acesso do convidado, tipicamente em uma zona desmilitarizada (DMZ).

  • É um truque seguro para executar todos os WLC nas mesmas versões do código de software a fim assegurar-se de que você não enfrente os comportamentos inconsistentes devido aos erros atuais em alguns WLC e não em outro. Para o Software Release 6.0 e Mais Recente, todas as versões são intercompatible para finalidades da mobilidade assim que não é imperativo.

  • Não crie Grupos de mobilidade desnecessariamente grandes. Um grupo da mobilidade deve somente ter todos os controladores que têm Access point na área onde um cliente pode fisicamente vaguear, por exemplo todos os controladores com Access point em uma construção. Se você tem uma encenação onde diversas construções estejam separadas, devem quebrar-se em diversos Grupos de mobilidade. Isto salvar a memória e o CPU, porque os controladores não precisam de manter grandes lista de clientes, de rogues e de Access point válidos dentro do grupo, que não interagiria de qualquer maneira.

    Também, tente acomodar a distribuição AP através dos controladores no grupo da mobilidade de modo que haja AP. Por exemplo, pelo assoalho ou pelo controlador, e uma distribuição não de sal e de pimenta. Isto reduz o intercontroller que vagueia, que tem menos impacto na atividade de grupo da mobilidade.

  • Nas encenações onde há mais de um controlador em um grupo da mobilidade, é normal ver alguns alertas desonestos do Access point sobre nossos próprios Access point na rede depois que um reload do controlador. Isto acontece devido às lista do tempo onde toma para atualizar o Access point, do cliente e do rogue entre membros de grupo de mobilidade.

  • A opção requerida DHCP em ajustes WLAN permite que você force clientes a fazer um pedido do endereço de DHCP/renova-o cada vez que associam ao WLAN antes que estejam permitidos enviar ou receber o outro tráfego à rede. De um ponto de vista de segurança, isto permite mais controle estrito dos endereços IP de Um ou Mais Servidores Cisco ICM NT no uso, mas igualmente pôde ter influências no tempo total para vaguear antes que o tráfego esteja permitido passar outra vez.

    Adicionalmente, isto pôde afetar algumas implementações de cliente que não fazem um DHCP renovam até que o Lease Time expire. Por exemplo, os telefones de Cisco 7921 ou 7925 puderam ter problemas da Voz quando vaguearem se esta opção está permitida, porque o controlador não permite que a Voz ou o tráfego de sinalização passem até que a fase DHCP esteja terminada. Alguns server da terceira da impressora puderam igualmente ser afetados. Geralmente, é uma boa ideia não usar esta opção se o WLAN tem clientes não-Windows. Isto é porque mais controles estritos puderam induzir problemas de conectividade, com base em como o lado DHCP Client é executado. Isto é como você verifica:
    (Cisco Controller) >show wlan 1

    WLAN Identifier.................................. 1
    Profile Name..................................... 4400
    Network Name (SSID).............................. 4400
    Status........................................... Enabled
    MAC Filtering.................................... Disabled
    Broadcast SSID................................... Enabled
    AAA Policy Override.............................. Disabled
    Number of Active Clients......................... 0
    Exclusionlist Timeout............................ 60 seconds
    Session Timeout.................................. 1800 seconds
    Interface........................................ management
    WLAN ACL......................................... unconfigured
    DHCP Server...................................... Default
    DHCP Address Assignment Required................. Disabled
    Quality of Service............................... Silver (best effort)
    WMM.............................................. Disabled
    CCX - AironetIe Support.......................... Enabled
    CCX - Gratuitous ProbeResponse (GPR)............. Disabled
    Dot11-Phone Mode (7920).......................... Disabled
    Wired Protocol................................... None
  • É aconselhável configurar o modo do Multicast para a mobilidade. Isto permite que o cliente anuncie as mensagens a ser enviadas no Multicast entre pares da mobilidade, em vez do unicast enviado a cada controlador, com benefícios no tempo, no USO de CPU, e na utilização de rede.

    Isto é como verificar:
    (WiSM-slot1-1) >show mobility summary 

    Symmetric Mobility Tunneling (current) .......... Disabled
    Symmetric Mobility Tunneling (after reboot) ..... Disabled
    Mobility Protocol Port........................... 16666
    Mobility Security Mode........................... Disabled
    Default Mobility Domain.......................... 705
    Multicast Mode .................................. Enabled
    Mobility Domain ID for 802.11r................... 0x8e5e
    Mobility Keepalive Interval...................... 10
    Mobility Keepalive Count......................... 3
    Mobility Group Members Configured................ 2
    Mobility Control Message DSCP Value.............. 0

    Controllers configured in the Mobility Group

    MAC Address IP Address Group Name Multicast IP Status
    00:14:a9:bd:da:a0 192.168.100.22 705 239.0.1.1 Up

    00:19:06:33:71:60 192.168.100.67 705 239.0.1.1 Up

Segurança

Estes são os melhores prática para a Segurança:

  • É uma boa ideia mudar o intervalo do RAIO aos segundos 5. O padrão de 2 segundos é aceitável para um Failover rápido do RAIO, mas provavelmente não bastante para a autenticação da Segurança da camada do Protocolo-transporte da autenticação extensível (EAP-TLS), ou se o servidor Radius tem que contactar bancos de dados externos (diretório ativo, NAC, SQL, e assim por diante).

    Isto é como verificar:
    (Cisco Controller) >show radius summary 
    Vendor Id Backward Compatibility............ Disabled
    Credentials Caching......................... Disabled
    Call Station Id Type........................ IP Address
    Administrative Authentication via RADIUS.... Enabled
    Aggressive Failover......................... Disabled
    Keywrap..................................... DisabledAuthentication Servers

    !--- This portion of code has been wrapped to several lines due to spatial!
    --- concerns.

    Idx Type Server Address Port State Tout RFC3576
    --- ---- ---------------- ------ -------- ---- -------
    1 N 10.48.76.50 1812 Enabled 2 Enabled

    IPSec -AuthMode/Phase1/Group/Lifetime/Auth/Encr
    ------------------------------------------------
    Disabled - none/unknown/group-0/0 none/none

    Isto é como configurar:
    config radius auth retransmit-timeout 1 5
  • Verifique no usuário padrão SNMPv3. À revelia, o controlador vem com um username que deva ser desabilitado ou mudado.

    Isto é como verificar:
    (Cisco Controller) >show snmpv3user 
    SNMP v3 User SNMP v3 User Name AccessMode Authentication Encryption
    -------------------- ----------- -------------- ----------
    default Read/Write HMAC-MD5 CBC-DES

    Isto é como configurar:
    config snmp v3user delete default
    config snmp v3user create nondefault rw hmacsha des authkey encrkey

    Mantenha na mente que seus ajustes SNMP devem combinar entre o controlador e o controle wireless System(NCS) do /Network do sistema de controle (WCS)/infraestrutura da prima (PI). Também, você deve usar as chaves da criptografia e da mistura que combinam suas políticas de segurança.
  • Nos controladores, o timeout padrão para o pedido da identidade EAP é 1 segundo, que não é bastante para algumas situações como as aplicações das senhas ou da placa inteligente de uma vez, onde o usuário está alertado escrever um PIN ou uma senha antes que o cliente Wireless possa responder ao pedido da identidade. Em Access point autônomos o padrão é 30 segundos, assim que este deve ser levado em consideração quando você migrar autônomo às redes Wireless da infraestrutura.

    Isto é como mudar:
    config advanced eap identity-request-timeout 30
  • Em ambientes agressivos, uma característica útil é permitir a autenticação do Access point com um ponto inicial de 2. Isto permite ambos detectar a personificação possível e minimizar detecções do falso positivo.

    Isto é como configurar:
    config wps ap-authentication enable
    config wps ap-authentication threshold 2
  • Com relação à ponta precedente, a proteção do quadro do Gerenciamento (MFP) pode igualmente ser usada para autenticar todo o tráfego de gerenciamento do 802.11 detectado entre Access point próximos no infraestrutura Wireless. Tome na consideração que algumas placas Wireless comuns da terceira parte têm os problemas em sua aplicação do direcionador que não seguram corretamente os elementos de informação extra adicionados por MFP. Certifique-se que você usa os direcionadores os mais atrasados de seu fabricante do cartão antes que você teste e use MFP.
  • O Network Time Protocol (NTP) é muito importante para diversas características. É imperativo usar a sincronização de NTP em controladores se você usa qualqueras um características: Lugar, SNMPv3, autenticação do Access point, ou MFP.

    Isto é como configurar:
    config time ntp server 1 10.1.1.1

    A fim verificar, para verificar para ver se há entradas como isto em seu traplog:
    30 Tue Feb 6 08:12:03 2007 Controller time base status - Controller is in sync with the central timebase.
  • Se os clientes Wireless forem separados em diversas sub-redes por razões de segurança, cada um com políticas de segurança diferentes, é uma boa ideia usar um ou dois WLAN (por exemplo, cada um tem uma política de criptografia diferente da camada 2) junto com a característica da AAA-ultrapassagem. Esta característica permite que você atribua por configurações de usuário. Por exemplo, mova o usuário para uma interface dinâmica específica em um VLAN separado ou aplique a pelo Access Control List do usuário (ACL).
  • Embora o controlador e os Access point apoiem o WLAN com SSID usando o acesso protegido WiFi (WPA) e o WPA2 simultaneamente, é muito comum que alguns direcionadores do cliente Wireless não podem segurar ajustes complexos SSID. Geralmente, é uma boa ideia manter as políticas de segurança simples para todo o SSID e permitir somente WPA2-AES. Se alguns clientes ainda não apoiam aquele, WPA2-AES e WPA1-TKIP no mesmo SSID estão apoiados. Um SSID que apoie somente WPA1-TKIP não deve ser reservada começando o código 8.0 do controlador

A administração geral

Estes são os melhores prática para a administração geral:

  • Geralmente, antes que toda a elevação ele estiver uma boa ideia fazer um backup FTP/TFTP da configuração.
  • O AP pode usar um servidor de SYSLOG para enviar a informação de Troubleshooting. Ainda, à revelia, é enviado como o broadcast local. Se o AP não está na mesma sub-rede como o servidor de SYSLOG, é aconselhável mudar a um endereço de unicast. Esta mudança é a fim poder recolher esta informação e reduzir a possibilidade de uma tempestade de transmissão causada pelos mensagens do syslog enviados ao broadcast local, caso que há uma incidência que afete todos os AP na mesma sub-rede. A fim verificar este ajuste:
    (WiSM-slot1-1) >show ap config general AP1130-9064    

    Cisco AP Identifier.............................. 164
    Cisco AP Name.................................... AP1130-9064
    Country code..................................... BE - Belgium
    Regulatory Domain allowed by Country............. 802.11bg:-E 802.11a:-E
    AP Country code.................................. BE - Belgium
    AP Regulatory Domain............................. 802.11bg:-E 802.11a:-E
    Switch Port Number .............................. 29
    MAC Address...................................... 00:16:46:f2:90:64
    IP Address Configuration......................... DHCP
    IP Address....................................... 192.168.100.200
    IP NetMask....................................... 255.255.255.0
    Gateway IP Addr.................................. 192.168.100.1
    Telnet State..................................... Disabled
    Ssh State........................................ Disabled
    Cisco AP Location................................ default location
    Cisco AP Group Name.............................. default-group
    Primary Cisco Switch Name........................ Cisco_ea:5e:63
    Primary Cisco Switch IP Address.................. Not Configured
    Secondary Cisco Switch Name......................
    Secondary Cisco Switch IP Address................ Not Configured
    Tertiary Cisco Switch Name.......................
    Tertiary Cisco Switch IP Address................. Not Configured
    Administrative State ............................ ADMIN_ENABLED
    Operation State ................................. REGISTERED
    Mirroring Mode .................................. Disabled
    AP Mode ......................................... Local
    Public Safety ................................... Global: Disabled, Local: Disabled
    Remote AP Debug ................................. Disabled
    S/W Version .................................... 5.0.152.0
    Boot Version ................................... 12.3.7.1
    Mini IOS Version ................................ 3.0.51.0
    Stats Reporting Period .......................... 180
    LED State........................................ Enabled
    PoE Pre-Standard Switch.......................... Enabled
    PoE Power Injector MAC Addr...................... Disabled
    Power Type/Mode.................................. Power injector / Normal mode
    Number Of Slots.................................. 2
    AP Model......................................... AIR-LAP1131AG-E-K9
    IOS Version...................................... 12.4(20080324:062820)
    Reset Button..................................... Enabled
    AP Serial Number................................. FHK0952C0FC
    AP Certificate Type.............................. Manufacture Installed
    Management Frame Protection Validation........... Enabled (Global MFP Disabled)
    AP User Mode..................................... AUTOMATIC
    AP User Name..................................... cisco
    Cisco AP system logging host..................... 255.255.255.255

    A fim mudá-lo a um server disponível conhecido para todos os AP no controlador:
    config ap syslog host global 10.48.76.33
  • O AP pode ter umas credenciais locais para o acesso de console (acesso físico ao AP). É boa prática da Segurança ajustar um username/senha a todos os AP. A fim verificar este ajuste:
    (WiSM-slot1-1) >show ap config general AP1130-9064

    Cisco AP Identifier.............................. 164
    Cisco AP Name.................................... AP1130-9064
    Country code..................................... BE - Belgium
    Regulatory Domain allowed by Country............. 802.11bg:-E 802.11a:-E
    AP Country code.................................. BE - Belgium
    AP Regulatory Domain............................. 802.11bg:-E 802.11a:-E
    Switch Port Number .............................. 29
    MAC Address...................................... 00:16:46:f2:90:64
    IP Address Configuration......................... DHCP
    IP Address....................................... 192.168.100.200
    IP NetMask....................................... 255.255.255.0
    Gateway IP Addr.................................. 192.168.100.1
    Telnet State..................................... Disabled
    Ssh State........................................ Disabled
    Cisco AP Location................................ default location
    Cisco AP Group Name.............................. default-group
    Primary Cisco Switch Name........................ Cisco_ea:5e:63
    Primary Cisco Switch IP Address.................. Not Configured
    Secondary Cisco Switch Name......................
    Secondary Cisco Switch IP Address................ Not Configured
    Tertiary Cisco Switch Name.......................
    Tertiary Cisco Switch IP Address................. Not Configured
    Administrative State ............................ ADMIN_ENABLED
    Operation State ................................. REGISTERED
    Mirroring Mode .................................. Disabled
    AP Mode ......................................... Local
    Public Safety ................................... Global: Disabled, Local: Disabled
    Remote AP Debug ................................. Disabled
    S/W Version .................................... 5.0.152.0
    Boot Version ................................... 12.3.7.1
    Mini IOS Version ................................ 3.0.51.0
    Stats Reporting Period .......................... 180
    LED State........................................ Enabled
    PoE Pre-Standard Switch.......................... Enabled
    PoE Power Injector MAC Addr...................... Disabled
    Power Type/Mode.................................. Power injector / Normal mode
    Number Of Slots.................................. 2
    AP Model......................................... AIR-LAP1131AG-E-K9
    IOS Version...................................... 12.4(20080324:062820)
    Reset Button..................................... Enabled
    AP Serial Number................................. FHK0952C0FC
    AP Certificate Type.............................. Manufacture Installed
    Management Frame Protection Validation........... Enabled (Global MFP Disabled)
    AP User Mode..................................... AUTOMATIC
    AP User Name..................................... cisco

    A fim mudá-lo a um server disponível conhecido para todos os AP no controlador:
    config ap mgmtuser add username cisco password Cisco123 secret
    AnotherComplexPass all

Como transferir o arquivo do impacto WLC do WLC CLI ao servidor TFTP

Incorpore estes comandos a fim transferir o arquivo do impacto WLC do WLC CLI ao servidor TFTP.

transfer upload datatype crashfile
transfer upload serverip <IP address of the TFTP Server>

transfer upload path <Enter directory path>


transfer upload filename <Name of the Crash File>


transfer upload start<yes>

Nota: Quando você entra no caminho de diretório, “/” significa geralmente o diretório raiz do padrão no servidor TFTP.

Aqui está um exemplo:

(Cisco Controller) >debug transfer tftp enable

(Cisco Controller) >debug transfer trace enable

(Cisco Controller) >transfer upload datatype crashfile

(Cisco Controller) >transfer upload filename aire2cra.txt

(Cisco Controller) >transfer upload path /

(Cisco Controller) >transfer upload serverip X.Y.Z.A

(Cisco Controller) >transfer upload start

Mode............................................. TFTP TFTP Server
IP................................... X.Y.Z.A TFTP
Path........................................ / TFTP
Filename.................................... aire2cra.txt Data
Type........................................ Crash File

Are you sure you want to start? (y/N) yes
Thu Dec 29 10:13:17 2005: RESULT_STRING: TFTP Crash File transfer starting.
Thu Dec 29 10:13:17 2005: RESULT_CODE:1

TFTP Crash File transfer starting.
Thu Dec 29 10:13:21 2005: Locking tftp semaphore, pHost=X.Y.Z.A
pFilename=/aire2cra.txt Thu Dec 29 10:13:22 2005:
Semaphore locked, now unlocking,
pHost=X.Y.Z.A pFilename=/aire2cra.txt Thu Dec 29 10:13:22 2005:
Semaphore successfully unlocked,
pHost=X.Y.Z.A pFilename=/aire2cra.txt Thu Dec 29 10:13:22 2005:
tftp rc=0, pHost=X.Y.Z.A pFilename=/aire2cra.txt
pLocalFilename=/mnt/application/bigcrash
Thu Dec 29 10:13:22 2005: RESULT_STRING: File transfer operation
completed successfully.
Thu Dec 29 10:13:22 2005: RESULT_CODE:11 File transfer operation
completed successfully.

Arquivo do dump principal da transferência de arquivo pela rede a um servidor FTP

A fim ajudar a pesquisar defeitos impactos do controlador, você pode configurar o controlador para transferir arquivos pela rede automaticamente seu arquivo do dump principal a um servidor FTP depois que experimenta um impacto com estes comandos CLI:

config coredump {enable | disable}

config coredump ftp server_ip_address filename

config coredump username ftp_username password ftp_password

show coredump summary

Você pode agora transferir arquivos pela rede a descarga do console que resulta de uma repartição cão de guarda-iniciada software do controlador que segue um impacto com o comando CLI do controlador do cão de guarda-impacto-arquivo do datatype da transferência de arquivo pela rede de transferência. O módulo do cão de guarda do software periodicamente verifica a integridade do software interno e assegura-se de que o sistema não fique em um incompatível ou em um estado não operacional durante um longo período do tempo.

Você pode igualmente transferir arquivos pela rede a informação do pânico do núcleo se um pânico do núcleo ocorre com o comando CLI do controlador do pânico-impacto-arquivo do datatype da transferência de arquivo pela rede de transferência.

Com liberação 5.2 do controlador do Wireless LAN, você pode agora transferir arquivos pela rede o arquivo de rádio do dump principal a um TFTP ou o servidor FTP com o controlador GUI. Previamente, as transferências de arquivo pela rede de rádio do dump principal podiam ser configuradas somente do controlador CLI.

Facilidade de utilização

  • Recomenda-se permitir “a mudança rápida SSID” a fim evitar obstruir os usuários que trocam entre SSID a menos que você usar um suplicante restrito como AnyConnect e esperar somente seus clientes conectar sempre primeiramente ao perfil direito.
  • O valor de timeout de sessão deve ter os ajustes diferentes dependentes da Segurança exigida. Trinta minutos são demasiado pequenos distante para um tipo SSID do “Web-AUTH” do convidado quando for perfeitamente muito bem para um SSID fixado 802.1x. A Voz SSID não deve ter nenhuns intervalos a fim evitar rompimentos.
  • A menos que você realmente precisasse as características (por exemplo, devido às políticas de segurança) e confirmasse que os clientes Wireless que conectam ao WLAN as apoiam sem edições, você pôde querer desabilitar estes ajustes avançados WLAN. Esta é a fim evitar problemas de compatibilidade com alguns tipos de clientes Wireless:
    • MFP
    • Aironet IE
    • Exclusão do cliente

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 82463