Communication sans fil/mobilité : Réseau local sans fil (WLAN)

Pratiques recommandées concernant la configuration d'un contrôleur LAN sans fil

6 septembre 2014 - Traduction automatique
Autres versions: PDFpdf | Anglais (27 mars 2014) | Commentaires

Introduction

Ce document offre des petites astuces de configuration qui couvrent plusieurs problèmes d'infrastructure unifiée sans fil généralement vus au centre d'assistance technique (TAC). L'objectif est de fournir des informations importantes que vous pouvez appliquer sur la plupart des mises en œuvre de réseau afin de réduire au minimum les problèmes éventuels.

Remarque: Tous les réseaux ne sont pas identiques, donc certaines astuces pourraient ne pas s'appliquer à votre installation. Vérifiez-les toujours avant d'effectuer toute modification sur un réseau en activité.

Contribué par des ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Connaissance de la façon dont configurer le contrôleur LAN sans fil (WLC) et le point d'accès léger (LAP) pour le fonctionnement de base

  • Connaissance de base du contrôle et du ravitaillement des points d'accès sans fil (CAPWAP) protocole et méthodes de sécurité sans fil

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Cisco 5508/4400/7500/Wireless Services Module (WiSM)/gamme WiSM2 WLC qui exécute la version de microprogramme 7.4

  • Points d'accès basés sur CAPWAP, gamme 1140/1260/3500/1600/2600/3600

    Remarque: N'importe quelle référence à 4400 WLCs est basée sur la version de microprogramme 7.0.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Meilleures pratiques

Sans fil/RF

Voici les meilleures pratiques pour le sans fil/la radiofréquence (RF) :

  • Pour n'importe quel déploiement Sans fil, faites toujours une analyse de site appropriée afin d'assurer la qualité de service appropriée pour vos clients sans fil. Les conditions pour les déploiements de voix ou de localisation sont plus strictes que pour des services de données. La RF automatique peut apporter une aide dans la gestion des paramètres de canal et de puissance, mais ne peut pas corriger une mauvaise conception RF.

  • L'analyse du site doit être faite avec des périphériques qui correspondent au comportement de puissance et de propagation des périphériques à utiliser sur le réseau réel. Par exemple, n'employez pas une radio 1240 802.11B/G avec l'antenne d'omni pour étudier la couverture si le réseau final utilise 3600 doubles radios pour 802.11A et G avec des débits de données N.

    • Vous devez soigneusement prévoir le processus pour désactiver ou activer des débits de données. Si votre couverture est suffisante, c'est souvent une bonne idée de désactiver lentement les débits de données inférieurs un. Des trames de Gestion comme l'ACK ou les balises seront envoyées à plus bas débit obligatoire (typiquement 1Mbps) qui ralentit le débit entier.

    • Il est également bon d'essayer de ne pas avoir trop de débits de données pris en charge de sorte que les clients rétrograde leur vitesse plus rapide. Typiquement essai de clients à envoyer au débit de données le plus rapide ils peuvent et si la trame ne le faisait pas, les retransmettront au débit de 1données au-dessous de celui et ainsi de suite jusqu'à ce qu'il intervienne. La suppression de quelques débits pris en charge signifie que les clients qui retransmettent une trame directement rétrogradent plusieurs débits de données, qui augmente l'occasion pour que la trame s'attaque à la deuxième tentative.

    • Souvenez-vous que des trames de Gestion sont envoyées à plus bas débit obligatoire. La Multidiffusion est envoyée le plus élevé à débit obligatoire.

    • Vous pourriez prendre une décision consciente de ne pas désactiver tous les débits au-dessous de 11Mbps (inclus) afin d'arrêter le support des clients 802.11b-only.

    • Les commandes CLI sont : le config 802.11b rate désactivé/obligatoire/a pris en charge le list> de <rate et le config 802.11a rate désactivé/obligatoire/a pris en charge le list> de <rate.

  • Dans le même ordre d'idée, limitez le nombre de Service Set Identifier (SSID) configurés au niveau du contrôleur. Vous pouvez configurer 16 SSID simultané (par radio sur chaque Point d'accès (AP)), mais car chaque WLAN/SSID a besoin de réponses séparées de sonde et de baliser, la pollution rf augmente pendant que plus de SSID sont ajoutés. Les résultats sont que certaines plus petites stations Sans fil comme le PDA, les téléphones de WiFi, et les scanners de code barre ne peuvent pas faire face à un nombre élevé des informations de base SSID (BSSID). Ceci a comme conséquence les calages, les recharges, ou les pannes d'association. Ainsi, plus il y a de SSID, plus il y a besoin de balisage, donc moins il y a d'espace RF disponible pour de réels transferts de données.

  • Pour les environnements RF qui sont des espaces dégagés, comme des usines dans lesquelles il y a des points d'accès dans un grand espace sans murs, il pourrait être nécessaire d'ajuster le seuil de la puissance de transmission de la valeur par défaut de -65 dBm à une valeur inférieure comme -76 dBm. Ceci vous permet de réduire l'interférence due à l'utilisation d'un même canal (nombre de BSSID entendu depuis un client sans fil à un moment donné). La meilleure valeur dépend des caractéristiques environnementales de chaque site, elles doivent donc être évaluées soigneusement par une analyse du site.

    L'alimentation transmettent le seuil - Cette valeur, exprimée en dBm, est le niveau de signal de coupure auquel l'algorithme de Transmit Power Control (TPC) ajuste les niveaux de puissance vers le bas, tels que cette valeur est le point fort auquel le troisième voisin le plus fort d'AP est entendu.

  • Certains logiciels clients de 802.11 pourraient rencontrer des difficultés s'ils entendent plus qu'un certain nombre fixe de BSSID (par exemple, 24 ou 32 BSSID.) Quand vous réduisez le seuil de la puissance de transmission, et par conséquent le niveau de transmission moyen de l'AP, vous pouvez réduire le nombre de BSSID que de tels clients entendent.

  • N'activez pas l'Équilibrage de charge agressif à moins que le réseau ait une haute densité de Points d'accès disponibles dans la zone, et jamais s'il y a Voix au-dessus de radio. Si vous activez cette caractéristique avec des Points d'accès espacés trop loin entre eux, elle pourrait confondre l'algorithme d'itinérance de quelques clients et induire des trous de couverture dans certains cas.

Connectivité réseau

Voici les meilleures pratiques pour la connectivité réseau :

  • N'utilisez pas le spanning-tree sur des contrôleurs.

    Pour la plupart des topologies, le protocole Spanning Tree (STP) exécuté dans le contrôleur n'est pas nécessaire. STP est désactivé par défaut.

    Pour non-Cisco commute, il est recommandé que que vous désactivez également STP sur a par base de port.

    Sélectionnez cette commande afin de vérifier :
    Cisco Controller) >show spanningtree switch

    STP Specification...................... IEEE 802.1D
    STP Base MAC Address................... 00:18:B9:EA:5E:60
    Spanning Tree Algorithm................ Disable
    STP Bridge Priority.................... 32768
    STP Bridge Max. Age (seconds).......... 20
    STP Bridge Hello Time (seconds)........ 2
    STP Bridge Forward Delay (seconds)..... 15
  • Bien que la majeure partie de la configuration de contrôleur soit « à la volée » appliqué, il est bonne idée de recharger des contrôleurs après que vous changiez ces paramètres de configuration :

    • Adresse de gestion

    • Configuration SNMP

  • Généralement, l'interface de gestion du WLC est laissée non-marquée. Dans ce cas, le paquet envoyé à l'interface de gestion et depuis celle-ci présuppose le port d'agrégation du VLAN natif auquel le WLC est connecté. Cependant, si vous voulez que l'interface de gestion soit sur un VLAN différent, étiquetez-le au VLAN approprié avec la commande de <vlan-id> de Gestion de config interface vlan de Controller> de <Cisco. Assurez-vous que le VLAN correspondant est permis sur le switchport et étiqueté par le joncteur réseau (VLAN non-indigène).

  • Pour tous les ports d'agrégation qui se connectent aux contrôleurs, filtrez les VLAN qui ne sont pas utilisés.

    Par exemple, dans des commutateurs Cisco IOS®, si l'interface de gestion est sur le VLAN 20, et que les VLAN 40 et 50 sont utilisés pour deux WLAN différents, utilisez cette commande de configuration du côté du commutateur :
    switchport trunk allowed vlans 20,40,50
  • Ne laissez pas une interface avec une adresse 0.0.0.0, par exemple avec un port de service non configuré. Cela pourrait affecter la gestion de DHCP dans le contrôleur.

    Voici comment vérifier :
    (Cisco Controller) >show interface summary
    Interface Name Port Vlan Id IP Address Type Ap Mgr
    -------------------- ---- -------- --------------- ------- ------
    ap-manager LAG 15 192.168.15.66 Static Yes
    example LAG 30 0.0.0.0 Dynamic No

    management LAG 15 192.168.15.65 Static No
    service-port N/A N/A 10.48.76.65 Static No
    test LAG 50 192.168.50.65 Dynamic No
    virtual N/A N/A 1.1.1.1 Static No
  • N'utilisez pas l'agrégation de liaisons (LAG) à moins que tous les ports du contrôleur aient la même configuration de la couche 2 du côté de commutateur. Par exemple, évitez de filtrer certains VLAN dans un port et pas les autres.

  • Quand vous utilisez le LAG, le contrôleur se fonde sur le commutateur pour les décisions d'Équilibrage de charge sur le trafic qui proviennent le réseau. Il s'attend à ce trafic qui appartient à AP entre toujours sur le même port. Utilisez uniquement les options d'équilibrage de charge ip-src ou ip-src ip-dst dans la configuration EtherChannel du commutateur. Certains modèles de commutateurs peuvent éventuellement utiliser des mécanismes d'équilibrage de charge non pris en charge par défaut, il est donc important de vérifier.

    Voici comment vérifier le mécanisme d'équilibrage de charge d'EtherChannel :
    switch#show etherchannel load-balance
    EtherChannel Load-Balancing Configuration:
    src-dst-ip

    EtherChannel Load-Balancing Addresses Used Per-Protocol:
    Non-IP: Source XOR Destination MAC address
    IPv4: Source XOR Destination IP address
    IPv6: Source XOR Destination IP address

    Voici comment changer la configuration du commutateur (IOS) :
    switch(config)#port-channel load-balance src-dst-ip 

    Avec le logiciel Cisco IOS Version 12.2(33)SXH6, il y a une option pour le châssis du mode PFC3C afin d'exclure le VLAN dans la distribution de la charge. Utilisez la commande port-channel load-balance src-dst-ip exclude vlan afin d'appliquer cette fonctionnalité. Cette caractéristique s'assure que ce trafic qui appartient à un RECOUVREMENT entre sur le même port.

  • TRAÎNEZ tout en utilisant le VSS, ou le VPC du commutateur empilé (3750/2960) ou du Nexus, devrait fonctionner tant que les fragments d'un paquet IP sont envoyés au même port. L'idée est que si vous allez aux plusieurs commutateurs, les ports doivent appartenir au même L2 ? entité ? avec le respect des décisions d'Équilibrage de charge.

  • Si vous voulez connecter le WLC à plus d'un commutateur, vous devez créer un AP-gestionnaire pour chaque port physique et le LAG de débronchement. Cela fournit la redondance et l'évolutivité.

    Remarque: Sur Cisco 4400-100 WLCs modèle, vous avez besoin au moins de trois ports physiques actifs afin d'utiliser la capacité maximale de 100 Points d'accès pour chaque WLC. Pour les WLC Cisco modèle 4400-50, vous avez besoin de deux ports physiques afin d'utiliser la capacité maximale de 50 points d'accès pour chaque WLC.



  • À chaque fois que c'est possible, ne créez pas un port de secours pour une interface de gestionnaire AP, même si c'est permis dans d'anciennes versions du logiciel. La redondance est fournie par les multiples interfaces de gestionnaire AP comme mentionné plus tôt dans ce document.

  • Pour la transmission de multidiffusion, la meilleure performance et l'utilisation la plus faible de la bande passante est réalisée via le mode multidiffusion.

    Voici comment vérifier le mode multidiffusion sur le contrôleur :
    (WiSM-slot1-1) >show network summary
    RF-Network Name............................. 705
    Web Mode.................................... Enable
    Secure Web Mode............................. Enable
    Secure Web Mode Cipher-Option High.......... Disable
    Secure Shell (ssh).......................... Enable
    Telnet...................................... Enable
    Ethernet Multicast Mode..................... Enable Mode: Mcast 239.0.1.1
    Ethernet Broadcast Mode..................... Disable
    IGMP snooping............................... Disabled
    IGMP timeout................................ 60 seconds
    User Idle Timeout........................... 300 seconds
    ARP Idle Timeout............................ 300 seconds
    ARP Unicast Mode............................ Disabled
    Cisco AP Default Master..................... Disable
    Mgmt Via Wireless Interface................. Disable
    Mgmt Via Dynamic Interface.................. Disable
    Bridge MAC filter Config.................... Enable
    Bridge Security Mode........................ EAP
    Over The Air Provisioning of AP's........... Enable
    Apple Talk ................................. Disable
    AP Fallback ................................ Enable

    C'est comment configurer des exécutions de Multidiffusion-Multidiffusion sur la ligne de commande WLC :
    config network multicast mode multicast 239.0.1.1
    config network multicast global enable
  • L'adresse de multidiffusion est utilisée par le contrôleur afin de transmettre le trafic aux points d'accès. Il est important qu'elle ne corresponde pas à une autre adresse utilisée sur votre réseau par d'autres protocoles. Par exemple, si vous utilisez 224.0.0.251, cela brise le mDNS utilisé par certaines applications de tiers. L'il est recommandé que l'adresse soit dans la plage privée (239.0.0.0-239.255.255.255, qui n'inclut pas 239.0.0.x et 239.128.0.x.). Il est également important que l'adresse IP de Multidiffusion soit placée à une valeur différente sur chaque WLC. Vous ne voulez pas un WLC qui parle à ses Points d'accès pour atteindre les aps d'un autre WLC.

  • Si les Points d'accès sont sur un sous-réseau différent que celui utilisé sur l'interface de gestion, votre infrastructure réseau doit fournir le routage de Multidiffusion entre le sous-réseau d'interface de gestion et le sous-réseau AP.

Conception réseau

Voici les meilleures pratiques pour la conception réseau :

  • Pour les AP en mode local, configurez le port de commutateur avec portfast. Afin de faire ceci, placez le port à connecter comme a ? hôte ? mettez en communication (commande de switchport host) ou directement avec la commande de portfast. Ceci permet un processus de jonction plus rapide pour AP. Il n'y a aucun risque de boucles, car les passerelles LWAPP AP jamais entre les VLAN.

  • Par conception, la plus grande partie du trafic initié par le CPU est envoyé depuis l'adresse de gestion dans le contrôleur. Par exemple, déroutements SNMP, demandes d'authentification de RAYON, Fonction Multicast Forwarding, et ainsi de suite.

    L'exception à la règle est le trafic associé par DHCP. Vous pouvez également activer sur chaque SSID « écraser d'interface de rayon » et alors le rayon pour ce WLAN sera envoyé de l'interface dynamique. Cependant, ceci crée des questions de conception avec l'écoulement de Bring Your Own Device (BYOD) et la modification de l'autorisation (CoA).

    Il est important de prendre cela en considération quand vous configurez des stratégies de pare-feu ou concevez la topologie du réseau. Il est important d'éviter de configurer une interface dynamique dans le même sous-réseau qu'un serveur qui doit être accessible par la CPU de contrôleur, par exemple un serveur de RAYON, comme il pourrait entraîner les questions de acheminement asymétriques.

    Configurez toujours les switchports dedans ? mode d'accès ? pour les aps en mode local. Pour les switchports en mode de joncteur réseau qui vont aux aps en mode de FlexConnect (qui font la commutation locale) et au WLCs, taillez toujours les VLAN afin de permettre seulement ceux configurés sur le FlexConnect AP et WLC (comme mentionné précédemment). En outre, sélectionnez la commande de switchport nonegotiate sur ces joncteurs réseau afin de désactiver le Protocole DTP (Dynamic Trunking Protocol) sur le switchport et éviter le besoin de l'AP/WLC de traiter les trames qui ne sont pas nécessaires car elles ne prennent en charge pas le DTP. En outre, des ressources seraient gaspillées sur le commutateur, qui tenterait d'être en pourparlers avec un périphérique qui ne peut pas le prendre en charge.

Mobilité

Voici les meilleures pratiques pour la mobilité :

  • Tous les contrôleurs à un groupe de mobilité devraient avoir la même adresse IP pour une interface virtuelle. Historiquement, l'adresse IP 1.1.1.1 a été utilisée en configurations par défaut et par des personnes. Cependant, c'est maintenant une adresse IP publique valide et ne devrait donc être utilisé plus. Vous devriez utiliser une adresse IP privée qui ne conduit pas n'importe où dans votre réseau. C'est important pour l'itinérance. Si tous les contrôleurs au sein d'un groupe de mobilité n'utilisent pas la même interface virtuelle, l'itinérance d'inter-contrôleur peut sembler fonctionner, mais le hand-off ne se termine pas et le client perd la Connectivité pendant une période.

    Voici comment vérifier :
    (Cisco Controller) >show interface summary

    Interface Name Port Vlan Id IP Address Type Ap Mgr
    ----------------- ----- -------- --------------- ------- ------
    ap-manager LAG 15 192.168.15.66 Static Yes
    management LAG 15 192.168.15.65 Static No
    service-port N/A N/A 10.48.76.65 Static No
    test LAG 50 192.168.50.65 Dynamic No
    virtual N/A N/A 1.1.1.1 Static No
  • L'adresse de passerelle virtuelle doit être non routable à l'intérieur de votre infrastructure réseau. Elle est seulement destinée à être accessible pour un client sans fil une fois connecté à un contrôleur, jamais depuis une connexion câblée. En fait, 1.1.1.1 est maintenant une annonce publique valide ainsi changez-la à n'importe quoi seul et unroutable dans votre réseau. 1.1.1.1 a été utilisé dans cet exemple parce que c'est toujours la valeur par défaut.

  • La connectivité IP doit exister entre les interfaces de gestion de tous les contrôleurs.

  • Dans la plupart des situations, tous les contrôleurs doivent être configurés avec le même nom de groupe de mobilité. Les exceptions à la règle sont des déploiements sur des contrôleurs pour la caractéristique d'accès invité, typiquement dans une zone démilitarisée (DMZ).

  • C'est une astuce sûre pour exécuter tout le WLCs sur les mêmes versions de code logiciel afin de s'assurer que vous ne faites pas face à des comportements contradictoires dus aux bogues actuelles sur un certain WLCs et pas d'autres. Pour la version de logiciel 6.0 et ultérieures, toutes les versions sont intercompatibles pour la mobilité ainsi il n'est pas obligatoire.

  • Ne créez pas des groupes de mobilité inutilement grands. Un groupe de mobilité devrait seulement comporter tous les contrôleurs qui ont des points d'accès dans la zone dans laquelle un client peut physiquement être en itinérance, par exemple tous les contrôleurs avec des points d'accès dans un bâtiment. Si vous avez un scénario dans lequel plusieurs bâtiments sont séparés, ils devraient être divisés en plusieurs groupes de mobilité. Ceci économise de la mémoire et le CPU car les contrôleurs n'ont pas besoin de garder de grandes listes de clients valides, d'éléments non autorisés et de points d'accès à l'intérieur du groupe, qui n'agiraient pas entre eux de toute façon.

    En outre, essai pour faciliter la distribution AP à travers des contrôleurs au groupe de mobilité de sorte qu'il y ait des aps. Par exemple, par plancher ou par contrôleur, et distribution pas de sel et de poivre. Ceci réduit l'itinérance d'intercontroller, qui a moins d'incidence sur l'activité de groupe de mobilité.

  • Dans les scénarios où il y a plus d'un contrôleur dans un groupe de mobilité, il est normal pour voir quelques alertes pour des points d'accès non autorisés concernant nos propres points d'accès dans le réseau après un rechargement du contrôleur. Ceci se produit en raison du temps que prend la mise à jour des listes de points d'accès, de clients et d'éléments non autorisés entre les membres du groupe de mobilité.

  • L'option DHCP Required dans les paramètres du WLAN vous permet de forcer les clients à faire une requête/un renouvellement d'adresse DHCP à chaque fois qu'ils s'associent au WLAN, avant qu'ils aient l'autorisation d'envoyer ou de recevoir un autre trafic dans le réseau. D'un point de vue sécurité, ceci permet un contrôle plus strict des adresses IP en service, mais peut également avoir des effets sur le temps total d'itinérance avant que le trafic soit de nouveau autorisé à passer.

    En outre, ceci pourrait affecter certaines mises en œuvre de clients qui ne font pas un renouvellement de DHCP avant que la durée du bail n'expire. Par exemple, les téléphones de Cisco 7921 ou 7925 pourraient avoir des problèmes de Voix tandis qu'ils errent si cette option est activée, car le contrôleur ne permet pas à la Voix ou au trafic de signalisation pour passer jusqu'à ce que la phase DHCP soit terminée. Certains serveurs d'imprimante tiers pourraient également être affectés. Généralement, il est bon de ne pas utiliser cette option si le WLAN a des clients non Windows. Ceci est dû au fait que des contrôles plus stricts peuvent induire des problèmes de connectivité, selon la façon dont le côté client DHCP est mis en œuvre. Voici comment vérifier :
    (Cisco Controller) >show wlan 1

    WLAN Identifier.................................. 1
    Profile Name..................................... 4400
    Network Name (SSID).............................. 4400
    Status........................................... Enabled
    MAC Filtering.................................... Disabled
    Broadcast SSID................................... Enabled
    AAA Policy Override.............................. Disabled
    Number of Active Clients......................... 0
    Exclusionlist Timeout............................ 60 seconds
    Session Timeout.................................. 1800 seconds
    Interface........................................ management
    WLAN ACL......................................... unconfigured
    DHCP Server...................................... Default
    DHCP Address Assignment Required................. Disabled
    Quality of Service............................... Silver (best effort)
    WMM.............................................. Disabled
    CCX - AironetIe Support.......................... Enabled
    CCX - Gratuitous ProbeResponse (GPR)............. Disabled
    Dot11-Phone Mode (7920).......................... Disabled
    Wired Protocol................................... None
  • Il est recommandé de configurer le mode de Multidiffusion pour la mobilité. Ceci permet au client pour annoncer des messages à envoyer sur la Multidiffusion entre les pairs de mobilité, au lieu de l'unicast envoyé à chaque contrôleur, avec des avantages à l'heure, l'utilisation du CPU, et l'usage du réseau.

    Voici comment vérifier :
    (WiSM-slot1-1) >show mobility summary 

    Symmetric Mobility Tunneling (current) .......... Disabled
    Symmetric Mobility Tunneling (after reboot) ..... Disabled
    Mobility Protocol Port........................... 16666
    Mobility Security Mode........................... Disabled
    Default Mobility Domain.......................... 705
    Multicast Mode .................................. Enabled
    Mobility Domain ID for 802.11r................... 0x8e5e
    Mobility Keepalive Interval...................... 10
    Mobility Keepalive Count......................... 3
    Mobility Group Members Configured................ 2
    Mobility Control Message DSCP Value.............. 0

    Controllers configured in the Mobility Group

    MAC Address IP Address Group Name Multicast IP Status
    00:14:a9:bd:da:a0 192.168.100.22 705 239.0.1.1 Up

    00:19:06:33:71:60 192.168.100.67 705 239.0.1.1 Up

Sécurité

Voici les meilleures pratiques pour la sécurité :

  • C'est une bonne idée de changer le délai d'attente de RAYON à 5 secondes. Les 2 secondes par défaut sont acceptables pour un basculement rapide de RADIUS, mais probablement insuffisantes pour une authentification Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) ou si le serveur RADIUS doit contacter des bases de données externes (Active Directory, NAC, SQL, etc.).

    Voici comment vérifier :
    (Cisco Controller) >show radius summary 
    Vendor Id Backward Compatibility............ Disabled
    Credentials Caching......................... Disabled
    Call Station Id Type........................ IP Address
    Administrative Authentication via RADIUS.... Enabled
    Aggressive Failover......................... Disabled
    Keywrap..................................... DisabledAuthentication Servers

    !--- This portion of code has been wrapped to several lines due to spatial!
    --- concerns.

    Idx Type Server Address Port State Tout RFC3576
    --- ---- ---------------- ------ -------- ---- -------
    1 N 10.48.76.50 1812 Enabled 2 Enabled

    IPSec -AuthMode/Phase1/Group/Lifetime/Auth/Encr
    ------------------------------------------------
    Disabled - none/unknown/group-0/0 none/none

    Voici comment configurer :
    config radius auth retransmit-timeout 1 5
  • Vérifiez l'utilisateur par défaut de SNMPv3. Par défaut, le contrôleur vient avec un nom d'utilisateur qui doit être désactivé ou modifié.

    Voici comment vérifier :
    (Cisco Controller) >show snmpv3user 
    SNMP v3 User SNMP v3 User Name AccessMode Authentication Encryption
    -------------------- ----------- -------------- ----------
    default Read/Write HMAC-MD5 CBC-DES

    Voici comment configurer :
    config snmp v3user delete default
    config snmp v3user create nondefault rw hmacsha des authkey encrkey

    Maintenez dans l'esprit que vos configurations SNMP doivent apparier entre le contrôleur et le contrôle System(NCS) du système de contrôle sans fil (WCS) /Network/infrastructure de perfection (pi). En outre, vous devriez utiliser les clés de cryptage et d'informations parasites qui apparient vos stratégies de sécurité.
  • Dans les contrôleurs, le délai d'attente par défaut pour la demande d'identité d'EAP est 1 seconde, qui n'est pas assez pour certaines situations comme des réalisations de mots de passe ou de Smart Card d'une fois, où l'utilisateur est incité à saisir un PIN ou mot de passe avant que le client sans fil puisse répondre à la demande d'identité. Aux points d'accès autonome le par défaut est de 30 secondes, ainsi ceci devrait être pris en considération tandis que vous migrez autonome vers les réseaux Sans fil d'infrastructure.

    Voici comment changer :
    config advanced eap identity-request-timeout 30
  • Dans des environnements agressifs, une fonctionnalité utile consiste à activer l'authentification de point d'accès avec un seuil de 2. Cela permet à la fois de détecter un possible emprunt d'identité et de minimiser les détections de faux-positifs.

    Voici comment configurer :
    config wps ap-authentication enable
    config wps ap-authentication threshold 2
  • En relation avec l'astuce précédente, la protection des trames de gestion (MFP) peut également être utilisée pour authentifier tout le trafic de gestion 802.11 détecté entre des points d'accès proches dans l'infrastructure sans fil. Prenez en compte le fait que certaines cartes sans fil courantes de tiers ont des problèmes dans la mise en œuvre de leur pilote qui ne gèrent pas correctement les éléments d'information supplémentaires ajoutés par MFP. Assurez-vous d'utiliser les derniers pilotes de votre fabricant de carte avant de tester et utiliser MFP.
  • Le Protocole NTP (Network Time Protocol) est très important pour plusieurs caractéristiques. Il est obligatoire d'utiliser la synchronisation NTP sur des contrôleurs si vous utilisez l'un de ces fonctionnalités : emplacement, SNMPv3, authentification de point d'accès ou MFP.

    Voici comment configurer :
    config time ntp server 1 10.1.1.1

    Afin de vérifier, contrôlez les entrées comme ceci dans votre traplog :
    30 Tue Feb 6 08:12:03 2007 Controller time base status - Controller is in sync with the central timebase.
  • Si les clients sans fil sont séparés dans plusieurs sous-réseaux pour des raisons de sécurité, chacun avec différentes stratégies de sécurité, c'est une bonne idée d'utiliser un ou deux WLAN (par exemple, chacun a une stratégie de chiffrement différente de la couche 2) ainsi que la caractéristique d'AAA-dépassement. Cette fonctionnalité vous permet d'assigner des paramètres par utilisateur. Par exemple, déplacez l'utilisateur à une interface dynamique spécifique dans un VLAN séparé ou appliquez a par liste de contrôle d'accès d'utilisateur (ACL).
  • Bien que le contrôleur et les Points d'accès prennent en charge le WLAN avec le SSID utilisant le WiFi Protected Access (WPA) et le WPA2 simultanément, il est très commun que quelques gestionnaires de client sans fil ne puissent pas manipuler les configurations complexes SSID. Généralement c'est une bonne idée de maintenir les stratégies de sécurité simples pour n'importe quel SSID et de permettre seulement WPA2-AES. Si quelques clients ne prennent en charge toujours pas cela, WPA2-AES et WPA1-TKIP sur le même SSID est pris en charge. Un SSID qui prend en charge seulement WPA1-TKIP ne doit pas être laissé commençant le code 8.0 de contrôleur

Gestion générale

Voici les meilleures pratiques pour la gestion générale :

  • Généralement avant que n'importe quelle mise à jour il soit une bonne idée de faire une sauvegarde FTP/TFTP de la configuration.
  • AP peut utiliser un serveur de Syslog pour envoyer l'information de dépannage. Toujours, par défaut, il est envoyé comme diffusion locale. Si AP n'est pas sur le même sous-réseau que le serveur de Syslog, il est recommandé de changer en une adresse de monodiffusion. Cette modification est afin de pouvoir collecter ces informations et réduire la possibilité d'une saturation de diffusion provoquée par des messages de Syslog envoyés à la diffusion locale, au cas où il y aurait une incidence qui affecte tous les aps dans le même sous-réseau. Afin de vérifier ce paramètre :
    (WiSM-slot1-1) >show ap config general AP1130-9064    

    Cisco AP Identifier.............................. 164
    Cisco AP Name.................................... AP1130-9064
    Country code..................................... BE - Belgium
    Regulatory Domain allowed by Country............. 802.11bg:-E 802.11a:-E
    AP Country code.................................. BE - Belgium
    AP Regulatory Domain............................. 802.11bg:-E 802.11a:-E
    Switch Port Number .............................. 29
    MAC Address...................................... 00:16:46:f2:90:64
    IP Address Configuration......................... DHCP
    IP Address....................................... 192.168.100.200
    IP NetMask....................................... 255.255.255.0
    Gateway IP Addr.................................. 192.168.100.1
    Telnet State..................................... Disabled
    Ssh State........................................ Disabled
    Cisco AP Location................................ default location
    Cisco AP Group Name.............................. default-group
    Primary Cisco Switch Name........................ Cisco_ea:5e:63
    Primary Cisco Switch IP Address.................. Not Configured
    Secondary Cisco Switch Name......................
    Secondary Cisco Switch IP Address................ Not Configured
    Tertiary Cisco Switch Name.......................
    Tertiary Cisco Switch IP Address................. Not Configured
    Administrative State ............................ ADMIN_ENABLED
    Operation State ................................. REGISTERED
    Mirroring Mode .................................. Disabled
    AP Mode ......................................... Local
    Public Safety ................................... Global: Disabled, Local: Disabled
    Remote AP Debug ................................. Disabled
    S/W Version .................................... 5.0.152.0
    Boot Version ................................... 12.3.7.1
    Mini IOS Version ................................ 3.0.51.0
    Stats Reporting Period .......................... 180
    LED State........................................ Enabled
    PoE Pre-Standard Switch.......................... Enabled
    PoE Power Injector MAC Addr...................... Disabled
    Power Type/Mode.................................. Power injector / Normal mode
    Number Of Slots.................................. 2
    AP Model......................................... AIR-LAP1131AG-E-K9
    IOS Version...................................... 12.4(20080324:062820)
    Reset Button..................................... Enabled
    AP Serial Number................................. FHK0952C0FC
    AP Certificate Type.............................. Manufacture Installed
    Management Frame Protection Validation........... Enabled (Global MFP Disabled)
    AP User Mode..................................... AUTOMATIC
    AP User Name..................................... cisco
    Cisco AP system logging host..................... 255.255.255.255

    Afin de passer à un serveur disponible connu pour tous les AP dans le contrôleur :
    config ap syslog host global 10.48.76.33
  • AP peut avoir un laisser-passer local pour l'accès de console (accès physique à AP). C'est bonne pratique en matière de sécurité que de définir un nom d'utilisateur/mot de passe pour tous les AP. Afin de vérifier ce paramètre :
    (WiSM-slot1-1) >show ap config general AP1130-9064

    Cisco AP Identifier.............................. 164
    Cisco AP Name.................................... AP1130-9064
    Country code..................................... BE - Belgium
    Regulatory Domain allowed by Country............. 802.11bg:-E 802.11a:-E
    AP Country code.................................. BE - Belgium
    AP Regulatory Domain............................. 802.11bg:-E 802.11a:-E
    Switch Port Number .............................. 29
    MAC Address...................................... 00:16:46:f2:90:64
    IP Address Configuration......................... DHCP
    IP Address....................................... 192.168.100.200
    IP NetMask....................................... 255.255.255.0
    Gateway IP Addr.................................. 192.168.100.1
    Telnet State..................................... Disabled
    Ssh State........................................ Disabled
    Cisco AP Location................................ default location
    Cisco AP Group Name.............................. default-group
    Primary Cisco Switch Name........................ Cisco_ea:5e:63
    Primary Cisco Switch IP Address.................. Not Configured
    Secondary Cisco Switch Name......................
    Secondary Cisco Switch IP Address................ Not Configured
    Tertiary Cisco Switch Name.......................
    Tertiary Cisco Switch IP Address................. Not Configured
    Administrative State ............................ ADMIN_ENABLED
    Operation State ................................. REGISTERED
    Mirroring Mode .................................. Disabled
    AP Mode ......................................... Local
    Public Safety ................................... Global: Disabled, Local: Disabled
    Remote AP Debug ................................. Disabled
    S/W Version .................................... 5.0.152.0
    Boot Version ................................... 12.3.7.1
    Mini IOS Version ................................ 3.0.51.0
    Stats Reporting Period .......................... 180
    LED State........................................ Enabled
    PoE Pre-Standard Switch.......................... Enabled
    PoE Power Injector MAC Addr...................... Disabled
    Power Type/Mode.................................. Power injector / Normal mode
    Number Of Slots.................................. 2
    AP Model......................................... AIR-LAP1131AG-E-K9
    IOS Version...................................... 12.4(20080324:062820)
    Reset Button..................................... Enabled
    AP Serial Number................................. FHK0952C0FC
    AP Certificate Type.............................. Manufacture Installed
    Management Frame Protection Validation........... Enabled (Global MFP Disabled)
    AP User Mode..................................... AUTOMATIC
    AP User Name..................................... cisco

    Afin de passer à un serveur disponible connu pour tous les AP dans le contrôleur :
    config ap mgmtuser add username cisco password Cisco123 secret
    AnotherComplexPass all

Comment transférer le fichier de crash WLC de la CLI de WLC au serveur TFTP

Sélectionnez ces commandes afin de virer le fichier de crash WLC du WLC CLI sur le serveur TFTP.

transfer upload datatype crashfile
transfer upload serverip <IP address of the TFTP Server>

transfer upload path <Enter directory path>


transfer upload filename <Name of the Crash File>


transfer upload start<yes>

Remarque: Quand vous entrez dans le chemin du répertoire, « / » signifie habituellement le répertoire racine par défaut sur le serveur TFTP.

Voici un exemple :

(Cisco Controller) >debug transfer tftp enable

(Cisco Controller) >debug transfer trace enable

(Cisco Controller) >transfer upload datatype crashfile

(Cisco Controller) >transfer upload filename aire2cra.txt

(Cisco Controller) >transfer upload path /

(Cisco Controller) >transfer upload serverip X.Y.Z.A

(Cisco Controller) >transfer upload start

Mode............................................. TFTP TFTP Server
IP................................... X.Y.Z.A TFTP
Path........................................ / TFTP
Filename.................................... aire2cra.txt Data
Type........................................ Crash File

Are you sure you want to start? (y/N) yes
Thu Dec 29 10:13:17 2005: RESULT_STRING: TFTP Crash File transfer starting.
Thu Dec 29 10:13:17 2005: RESULT_CODE:1

TFTP Crash File transfer starting.
Thu Dec 29 10:13:21 2005: Locking tftp semaphore, pHost=X.Y.Z.A
pFilename=/aire2cra.txt Thu Dec 29 10:13:22 2005:
Semaphore locked, now unlocking,
pHost=X.Y.Z.A pFilename=/aire2cra.txt Thu Dec 29 10:13:22 2005:
Semaphore successfully unlocked,
pHost=X.Y.Z.A pFilename=/aire2cra.txt Thu Dec 29 10:13:22 2005:
tftp rc=0, pHost=X.Y.Z.A pFilename=/aire2cra.txt
pLocalFilename=/mnt/application/bigcrash
Thu Dec 29 10:13:22 2005: RESULT_STRING: File transfer operation
completed successfully.
Thu Dec 29 10:13:22 2005: RESULT_CODE:11 File transfer operation
completed successfully.

Fichier de vidage de mémoire de téléchargement à un ftp server

Afin d'aider à dépanner des crash de contrôleur, vous pouvez configurer le contrôleur pour télécharger automatiquement son fichier de vidage de mémoire à un ftp server après qu'il éprouve un crash avec ces commandes CLI :

config coredump {enable | disable}

config coredump ftp server_ip_address filename

config coredump username ftp_username password ftp_password

show coredump summary

Vous pouvez maintenant télécharger le vidage mémoire de console qui résulte d'une réinitialisation surveillance-initiée par logiciel du contrôleur qui suit un crash avec la commande CLI de contrôleur de surveillance-crash-FILE de transfer upload datatype. Le module de surveillance de logiciel périodiquement vérifie l'intégrité du logiciel interne et s'assure que le système ne reste pas dans un état contradictoire ou non-opérationnel pendant une longue période de temps.

Vous pouvez également télécharger les informations de kernel panic si un kernel panic se produit avec la commande CLI de contrôleur de panique-crash-FILE de transfer upload datatype.

Avec la version 5.2 Sans fil de contrôleur LAN, vous pouvez maintenant télécharger le fichier par radio de vidage de mémoire à un TFTP ou le ftp server avec le GUI de contrôleur. Précédemment, les chargements core dump radio pouvaient être configurés seulement depuis la CLI du contrôleur.

Facilité d'emploi

  • Il est recommandé pour permettre « à la modification rapide SSID » afin d'éviter le blocage des utilisateurs qui permutent entre le SSID à moins que vous utilisiez un suppliant strict comme AnyConnect et vous attendiez à ce que seulement vos clients se connectent toujours au bon profil d'abord.
  • La valeur du dépassement de durée de session devrait avoir différentes configurations dépendantes sur la Sécurité exigée. Trente minutes est trop petite lointain pour un type SSID de « Web-auth » d'invité tandis qu'il est parfaitement bien pour un SSID sécurisé par 802.1x. La Voix SSID ne devrait avoir aucun délais d'attente afin d'éviter des interruptions.
  • À moins que vous vraiment ayez besoin des caractéristiques (par exemple, en raison des stratégies de sécurité) et les ayez confirmé que les clients sans fil qui se connectent au WLAN les prennent en charge sans questions, vous pourriez vouloir désactiver ces paramètres avancés WLAN. C'est afin d'éviter des problèmes de compatibilité avec quelques types de clients sans fil :
    • MFP
    • IE d'Aironet
    • Exclusion de client

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 82463