无线 : 思科 5500 系列无线控制器

H-Reap 设计和部署指南

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

混合的远程边缘接入点(H收割)是分支机构和远程办公室部署的一个无线解决方案。它使客户能够从企业办公室通过广域网 (WAN) 链路配置和控制分支或远程办公室的接入点,而无需在每个办公室部署控制器。当对控制器的连接丢失时, H收割接入点可本地交换客户端数据数据量和进行客户端验证本地。当连接对控制器, H REAPs也能隧道流量回到控制器。

先决条件

要求

仅支持混合的REAP在1040, 1130, 1140, 1240, 1250, 3500, 1260, AP801, AP802接入点和Cisco WiSM, Cisco 5500, 4400, 2100, 2500,并且屈曲7500系列控制器, Catalyst 3750G集成的无线局域网控制器交换机,集成服务路由器的控制器网络模块。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco Unified控制器版本7.0

  • 接入点(CAPWAP)协议控制和供应根据1040, 1130, 1140, 1240,1250, 1260, AP801, AP802和3500系列膝部

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

CAPWAP操作背景

CAPWAP,思科的统一无线网络体系结构,指定无线接入点操作两个不同的主要的模式:

  • MAC 分离式 — 在 MAC 分离式模式中,系统在接入点和控制器之间共享 802.11 规范的主要功能。在这样的配置中,控制器不仅负责多数事务的处理(如 802.11 身份验证和关联),它还充当所有用户数据流的单一输入输出点。Split-MAC对控制器的所有客户端的流量通过CAPWAP数据建立隧道的接入点通道(CAPWAP控制也跟随同一个路径。)。

  • 本地 MAC — 本地 MAC 在接入点充分实现 802.11 功能,它允许通过终止接入点有线端口的所有客户端数据流,从控制路径中分离数据层面。这允许不仅对资源的直接无线访问本地对接入点,但是通过允许CAPWAP控制路径(AP和控制器之间的链路)发生故障提供链路弹性,当无线服务仍然存在时。在通过广域网链路的小型远程分支办公室中,只需要屈指可数的几个接入点,使用本地控制器在成本效益方面不合算,因此使用此功能特别有用。

注意: 在控制器版本5.2前,思科的统一的无线体系结构根据LWAPP协议。

混合的远程边缘接入点

混合的远程边缘接入点或者收割,是支持H由1040, 1130, 1140, 1240, 1250, 3500, 1260, AP801, AP802接入点和Cisco WiSM功能, Cisco 5500, 4400, 2100, 2500,和屈曲7500系列控制器, Catalyst 3750G集成的无线局域网控制器交换机,集成服务路由器的控制器网络模块。收割功能Cisco Unified无线网络控制器发行版本4.0或以后仅支持H,此软件可选择的功能允许合并最大部署灵活性的已分解和本地MAC CAPWAP操作。在H REAPs的客户端的流量可能交换本地在接入点或被建立隧道回到控制器,取决于每WLAN配置。进一步,本地在H REAP的交换式客户端的流量可以是被标记的802.1Q为了提供有线的旁边分离。在广域网中断期间,所有本地交换、本地验证的 WLAN 上的服务仍然持续。

这是普通的H的图表收割实施:

/image/gif/paws/71250/One.gif

当此图表指示, H REAP为远程和分支机构部署特定设计和设计。

本文略述H收割操作理论、控制器和访问接入节点配置和网络设计注意事项。

H收割操作理论

H收割关键概念

有H收割功能运行为了提供本地和中央交换,以及广域网链路生存能力的一些个不同的模式。这两套模式的混合使用在提供一系列功能的同时,还能实施不同的限制,具体取决于配对情况。

下面是两套模式:

  • 集中与本地交换

    WLAN (安全、QoS和其他配置参数套件附加对Ssid)在H REAPs可能或者设置要求所有数据流被建立隧道回到控制器(呼叫中央交换)或WLAN可能配置下降所有客户端数据本地在H REAP的有线接口(叫作本地交换)。本地交换的 WLAN 可以选择携带 802.1Q 标记,以便在接入点的以太网端口通过有线网络对这些 WLAN 进行分段。

  • 连接与独立

    Hybrid-REAP在已连接模式被认为,当其回到控制器的CAPWAP控制飞机启用和可操作的时,含义广域网链路不发生故障。独立模式指定,当操作状态H收割回车,当不再有连接回到其控制器时。

注意: 所有H收割处理安全的验证(例如后端RADIUS验证和成对地主密钥[PMK]派生)发生在控制器,当接入点在CONNECTED状态时。所有802.11验证与关联处理发生在H收割,模式接入点的不论。当在已连接模式, H收割代理这些关联/认证到控制器。在独立模式下,接入点不能向控制器通知这些事件。

H收割根据其操作模式变化的功能(H REAP是否在已连接或独立模式),每WLAN如何为数据交换(中央或本地)和无线安全配置。

当客户端连接对H时请收割接入点,接入点寄所有认证消息给控制器,并且,在成功认证,其数据包然后交换本地或被建立隧道回到控制器,根据连接WLAN的配置。关于客户端验证机制和数据交换操作,在H REAP的WLAN可以在任何一个以下状态根据WLAN配置和接入点/控制器连接的状态中:

  • 集中身份验证、集中交换 — 在此状态下,对于特定的 WLAN,接入点会将所有客户端身份验证请求转发给控制器,并将所有客户端数据传回控制器。只有当接入点的CAPWAP控制路径是UP时,此状态有效。这意味着H REAP在已连接模式。不管使用何种身份验证方法,在广域网断开期间,通过隧道返回到控制器的任何 WLAN 都将中断。

  • 中央验证,本地交换—在此状态下,给的WLAN的,控制器处理所有客户端验证,并且H收割接入点交换机数据包本地。在客户端成功后验证,控制器发送CAPWAP控制命令对H收割提示接入点交换给的客户端的数据包本地。在成功进行身份验证之后,会逐个客户端发送此消息。此状态仅在连接模式下适用。

  • 本地认证,本地交换—在此状态下, H收割接入点把柄客户端验证并且本地交换客户端数据数据包。此状态仅在独立模式下有效,并且仅适用于可在接入点本地处理的身份验证类型。当混合收割接入点输入独立模式,为开放,共享, WPA-PSK或者WPA2-PSK验证回车配置本地认证的WLAN时,本地交换状态和继续新的客户端验证。

    注意: 所有第 2 层无线数据加密始终在接入点处理。当 AP 处于连接状态时,所有客户端身份验证过程均在控制器上进行(或在控制器的上游进行,具体取决于 WLAN 和控制器的配置)。

  • 验证下来,本地交换—在此状态下,给的WLAN的, H收割拒绝中的任一设法验证的新建的客户端,但是继续发送信标和探测器答复保持现有客户端适当地连接。此状态仅在独立模式下有效。

    如果已经为需要在控制器之上(或在控制器以北)进行处理的任何身份验证类型(如 EAP 身份验证 [动态 WEP/WPA/WPA2/802.11i]、WebAuth 或 NAC)配置了本地交换的 WLAN,则一旦 WAN 出现故障,它会进入关闭身份验证的本地交换状态。以前它将处于集中身份验证的本地交换状态。现有的无线客户端连接将被保持,到本地有线资源的访问将持续,但不再允许新的关联。如果在使用 WebAuth 时用户的 Web 会话超时,或使用 802.1X 时用户的 EAP 密钥有效期到期并需要重新获取密钥,则现有的客户端将会断开连接并被拒绝连接(此期限特定于 RADIUS 服务器,因而是非标准的)。并且,漫游事件的802.11 (在H之间收割)触发全双工802.1X再验证和因而,将代表现有客户端不再允许连接的点。

    当这样WLAN客户端计数等于零时, H收割停止所有相关的802.11功能和为给的SSID不再指引,因而移动WLAN对下个H请收割状态:关闭身份验证、关闭交换。

    注意: 在控制器软件版本4.2或以上中, WLAN为802.1X、WPA 802.1X、的WPA2 802.1X或者CCKM配置,在独立模式能也运作。但这些身份验证类型要求配置外部 RADIUS 服务器。后面各节提供与此有关的更多详细信息。但是,从控制器软件版本5.1, H收割自己可以配置作为RADIUS服务器。

  • 验证下来,交换下来—在此状态下,在给的H的WLAN收割取消关联现有客户端并且停止发送信标和探测器答复。此状态仅在独立模式下有效。

    当H收割接入点回车独立模式时,取消关联是在中央交换的WLAN的所有客户端。对于Web验证WLAN,现有客户端没有取消关联,但是H收割接入点不再发送信标,当相关的客户端数量到达零时(0)。它还会将取消关联消息发送给与 Web 身份验证 WLAN 关联的新客户端。控制器从属的活动例如网络访问控制(美洲台)和Web验证(访客访问)禁用和接入点不发送任何入侵检测系统(IDS)报告到控制器。

    注意: 如果您的控制器已针对 NAC 进行配置,则只有当接入点处于连接模式时,客户端才能建立关联。当启用 NAC 时,您需要创建一个不健康的(或隔离的)VLAN,以便在将 WLAN 配置为进行本地交换的情况下,也使分配给此 VLAN 的任何客户端的数据流通过控制器。在将某个客户端分配给隔离的 VLAN 后,该客户端的所有数据包均将在中央交换。

    混合的 REAP 接入点即使进入独立模式,也会保持客户端的连通性。不过,一旦该接入点重新建立与控制器的连接,它就会禁用所有客户端,应用控制器的新配置信息,然后重新允许客户端连接。

H收割设计和功能限制

H收割广域网考虑事项

由于H REAP特别地设计在广域网链路间运行,为这样安装优化。虽然H REAP是灵活当谈到这些远程网络设计方案,仍有需要尊敬,当构建网络与H时收割功能的一些个指南。

  • H收割接入点可以配置有静态IP地址或DHCP地址。对于 DHCP,必须在本地提供 DHCP 服务器,并且该服务器必须能够在接入点启动时为接入点提供 IP 地址。

  • H收割支持至四分片数据包或最低500-byte最大传输单元(MTU)广域网链路。

  • 双程延迟不能超出300毫秒(毫秒)为数据和100毫秒为语音和数据在接入点和控制器之间,并且必须在其他流量优先安排CAPWAP控制数据包。

  • 控制器可以以单播或多播数据包的形式向接入点发送多播数据包。在H中请收割模式,接入点能接收组播仅数据包以单播形式。

  • 为了以H使用CCKM快速地漫游请收割接入点,您需要配置H收割组。

  • H收割接入点支持多个SSID。

  • H的配置仅支持美洲台带外集成收割中央交换。它不支持为在配置的使用H的收割本地交换。

注意: 在升级期间,每个 AP 都需要通过广域网链路取回 4 MB 的代码。计划升级并相应地更改 Windows。

为了保证此陈述的延迟限制的支持到位,严格推荐在接入点和控制器之间,优先级在中介基础设施配置举起CAPWAP (UDP端口5246)到高优先级队列联机。没有在CAPWAP控制安置的优先级,阻止在其他网络流量能很可能导致H收割接入点从已连接频繁地转移到独立模式,当广域网链路拥塞防止接入点/控制器消息(和保活)传送。它是高度推荐的对网络设计者,计划部署H收割在广域网链路的AP,测试所有他们的应用程序。

常见的H收割飘荡导致严重的连通性问题。如果不到位适当网络优先级,要谨慎地在远程站点放置控制器保证一致和稳定的无线访问。

注意: 是否H REAP配置建立隧道客户端的流量回到控制器, CAPWAP数据路径使用到转发所有802.11客户端探测器和验证/关联请求、RRM邻接消息和EAP和Web认证请求回到控制器。同样地,请保证CAPWAP数据(UDP端口5247)没有阻塞任何地方在接入点和控制器之间。

混合收割组

为了改善请组织并且管理您的H收割接入点,您能创建H收割组并且分配对他们的特定接入点。所有H在组中收割接入点共享同一CCKM、WLAN和RADIUS服务器配置信息。此功能是有用,如果安排多个H收割接入点在远程办公室或在建立的楼层,并且要同时配置他们。例如,您能配置H的一个备份RADIUS服务器收割组而不是必须配置在每接入点的同一个服务器。

/image/gif/paws/71250/HREAP-Table.gif

控制器软件版本5.0.148.0和以后包含新的H收割组功能的两:

  • 备份RADIUS服务器—您能配置控制器允许H收割在独立模式的接入点执行全双工802.1X验证到一个备份RADIUS服务器。您可以配置一个主 RADIUS 服务器,或者配置一个主 RADIUS 服务器和一个辅助 RADIUS 服务器。

  • 本地认证—您能配置控制器允许H收割在独立模式的接入点执行LEAP或EAP快速验证至20个静态配置的用户。使用向前控制器软件版本5.0,这增加给100个静态配置的用户。当加入控制器时,控制器发送用户名和密码静态列表对每个H收割接入点。组中的每个接入点仅对自己的关联客户端进行身份验证。此功能对从自治接入点网络移植到CAPWAP H收割接入点网络,并且不需要维护一个大用户数据库亦不添加另一硬件设备替换在自治接入点的RADIUS服务器功能联机的客户是理想的。

控制器软件版本7.0.116.0和以后包含这些新建的H收割组功能:

  • 本地认证—此功能,既使当H收割接入点在已连接模式,当前支持。

  • OKC快速地漫游— H收割组要求为了CCKM/OKC快速地漫游能与H一起使用收割接入点。快速地漫游通过缓存主密钥的衍生商品达到从全双工EAP验证的,以便一简单和安全密钥交换能发生,当无线客户端漫游到一不同的接入点时。当客户端从一接入点漫游到另一个,此功能防止需要进行全双工RADIUS EAP验证。H收割接入点需要得到也许联合的所有客户端的CCKM/OKC缓存信息,因此他们能迅速处理它而不是发送它回到控制器。如果,例如,有一个控制器用300接入点,并且也许关联的100个客户端,发送所有100个客户端的CCKM/OKC缓存不是实用的。如果创建H请收割包括有限数量的组接入点(例如,您在远程办公室创建四接入点的一组),客户端在那些四接入点中仅漫游,并且CCKM/OKC缓存在那些四接入点中被分配,只有当客户端联合到他们中的一个时。此功能,与备份Radius和本地认证(本地EAP)一起,不保证您的分支站点的可操作的停机时间。

注意: 在H中的CCKM快速地漫游收割,并且非H请收割接入点不支持。

参考Cisco无线LAN控制器配置指南的配置的Hybrid-REAP组部分,版本7.0关于如何配置H的更多信息收割组。

建立中继或不建立中继

H收割接入点可能连接到802.1Q中继链路或无标记接入链路。当连接对中继链路, H收割接入点送回他们的CAPWAP控制和数据流到控制器通过本地VLAN。之后,本地交换的 WLAN 可以丢弃其在任何可用 VLAN(本地或非本地)上的数据流。当起作用接入链路的集(没有802.1Q可见性), H收割转发所有CAPWAP消息和本地交换的用户数据对连接的单个,无标记子网。

交换端口模式的选择的一般使用指南H的REAPs如下:

  • 如果配置了多个 WLAN 进行本地交换,并且需要在不同子网上丢弃这些 SSID 上的数据流,则使用中继链路。接入点和上游交换机端口均需配置成执行 802.1Q 中继。H的配置为802.1q中继收割是多数常见配置并且提供多数灵活性。本地VLAN在switchport也需要配置H REAP连接对作为AP和WLC之间的所有CAPWAP通信在本地VLAN。

  • 请使用一个接入链路,当H比单个本地交换的WLAN收割没有不要求有线端分离的更多也有多个本地交换的WLAN时。注意中继链路可以仍然是理想在这些条件下,如果在CAPWAP消息传送和用户数据之间的分离希望。但是,这不是配置要求,和安全风险。

注意: H收割接入点默认起作用无标记,接入链路接口。

H收割控制器发现号

H在思科的统一无线网络体系结构方面收割支持接入点的每个控制器发现机制特性。接入点一旦获得 IP 地址后(通过 DHCP 动态提供或通过静态寻址提供),它会尝试通过 IP 广播、DHCP 选项 43、DNS 和空中配置 (OTAP) 来发现系统中的控制器。最后, H REAPs记住他们以前连接控制器的IP地址。对一个无线局域网控制器(WLC)的参考的轻量AP (LAP)注册关于LAP能使用向WLC登记的不同的说法的信息。

有要记住的一些个警告关于控制器发现。这些考虑事项适用于所有Aironet访问接入点,并且不仅H收割。

  • 如果接入点通过DHCP,接收其IP寻址DHCP选项43是H的仅可行的发现机制收割。

  • OTAP 仅对已连接到控制器并已下载代码的 Aironet 接入点有效。它们交付时不提供无线固件,因此,OTAP 不能直接使用。OTAP 还要求附近的其他接入点已经发现并连接到启用 OTAP 的控制器。此功能从WLC 6.0版本向前是过时。

  • H收割功能支持的接入点不支持LWAPP CAPWAP Layer2模式。必须设置控制器运行与第3层LWAPP CAPWAP。

  • 参考部署思科440X系列无线局域网控制器关于接入点/控制器发现的更多信息。操作

在这些传统控制器发现机制之外,软件版本4.0和以上准许Aironet访问接入点用控制台端口通过控制台CLI现在支持手工的供应。现在可以针对接入点应该连接的控制器的静态 IP 寻址、主机名分配和 IP 地址手动配置接入点。这意味着在其他发现机制不是可用的站点,接入点可以手工配置与所有必要的连通性配置通过控制台端口。

虽然每Aironet访问接入点支持此功能用控制台端口,不仅为H配置的那些收割,此功能为H是特别有用的收割,因为他们是可能查找自己安装在没有配备有DHCP服务器和控制器发现机制的站点,例如分支机构。同样地,这新建的控制台访问消除需要发运H两次收割:一次交付给中央站点进行配置,另一次交付给远程站点进行安装。

H收割支持的功能

由于H收割接入点设计在从控制器的广域网链路间被放置,不仅在那里需要记住的设计注意事项,当构建与H的一个无线网络收割时,但是也有是完全或不支持的部分的一些功能。

没有在H编号的部署限制收割每个位置的接入点。

H收割功能一览表

参考的H收割功能一览表关于功能的更多信息支持与H收割。

支持的安全功能

在H REAP的安全支持变化,取决于模式和状态以前被提及。任何需要通过数据路径实施控制的安全类型(如 VPN)均不适用于本地交换的 WLAN 上的数据流,因为控制器无法通过未经隧道传回控制器的数据实施控制。在中央的所有其他安全类型工作或本地交换的WLAN,假设H之间的路径收割和控制器是UP。当这一回路断开时,这些安全选项中只有一部分允许新客户端连接到本地交换的 WLAN。

如前所提及,为了支持802.1X EAP验证, H收割在独立模式需要的接入点有验证他们自己的RADIUS服务器客户端。这个备份 RADIUS 服务器可以是控制器使用的服务器。您能配置H通过控制器CLI收割接入点或为H通过GUI或CLI收割组的个人的一个备份RADIUS服务器。为单个访问点配置的备份服务器改写H的RADIUS服务器配置收割组。

WLC版本4.2.61.0和以上支持快速安全漫游与Cisco Centralized Key Management (CCKM)。H收割模式支持Layer2快速安全漫游与CCKM。由于客户端从一个接入点漫游到另一个接入点,因此这一功能可消除完全 RADIUS EAP 身份验证的需要。为了以H使用CCKM快速地漫游请收割接入点,您需要配置H收割组。CCKM在独立模式已经运作连接的客户端的,但是不新的客户端的。

参考Cisco无线LAN控制器配置指南的配置的Hybrid-REAP组部分,版本7.0关于如何配置H的更多信息收割组。

使用H请收割在已连接模式,控制器是自由强加客户端排除/列入黑名单为了防止一些客户端关联到其接入点。这一功能可以自动或手动执行。根据全局和每个WLAN配置,客户端可以被排除为许多原因,范围自被重复的失败的认证尝试到IP盗窃和为任何给定的时间。也可以通过手动方式使客户端进入排除列表。只有当接入点处于连接模式时,才能执行此功能。但是,在此排除列表被放置了的客户端保持无法连接到接入点,均等,当在独立模式时。

注意: WLAN (使用MAC验证的本地或上行)是不再允许另外的客户端验证,当接入点在独立模式时,相同与方式与802.1X的一类似已配置的WLAN或Webauth在同一个模式将运行。

Web身份验证支持

内部Web验证,主机在无线局域网控制器,为在中央或本地交换的WLAN支持。然而,一在中央交换的WLAN只支持外部Web验证。

注意: 两Web认证方法,当H REAP在独立模式时,不支持。

支持的基础设施功能

RRM

由于事实许多远程部署有仅小极少数H收割,全双工高级无线电资源管理(RRM)功能也许不支持在每个H收割站点。全双工RRM代码是存在H收割,但是在RRM的传输功率电能控制(TPC)算法没有被触发,直到四个或多个接入点在范围彼此内。因此,某个H收割安装也许从未他们的无线电关掉。同样地,在覆盖孔检测情形下,没有能关掉他们的无线电首先, H REAPs不调节传输功率向上补偿。

在独立模式,要求控制器不支持处理在H的RRM功能收割。

在Unified无线网络下的参考的无线电资源管理欲知RRM更多信息和可操作的详细信息。

DFS

连接的和独立模式支持动态频率选择(DFS)。

位置跟踪

能力提供从位置非常地变化的准确设备位置确定到位置,非常地基于编号, H的密度和放置收割。位置大量地准确性铰链在设备信号信息收集的丰厚,用接入点数量直接地关联能听到一个给的设备。由于H在范围收割部署变化,可能非常地减少此位置信息,并且位置准确性也许相应地因而遭受。当H收割时尝试指示设备的位置有可能最高的信心,思科的陈述的位置准确性要求这样环境不支持部署。

注意: H REAP未设计提供位置服务。所以,思科不可以支持陈述位置在H的准确性要求收割部署。

L2和L3移动性

对于本地交换的 WLAN,支持普通第 2 层漫游。为了提供这样漫游,请保证VLAN分配到本地交换的WLAN在所有H间是一致收割之间,漫游要求。这意味着客户端不需要在发生漫游事件时重新 DHCP。这有助于缩短与此类漫游相关的延迟。

漫游事件在H之间在本地交换的WLAN收割可以采取在50毫秒和1500毫秒之间,取决于广域网延迟、RF设计和环境特性,以及安全键入和特定的客户端的漫游实施。

第3层漫游不为本地交换的WLAN支持,然而为在中央交换的WLAN支持。

NAT/PAT

NAT和PAT不为H支持收割接入点。

其他H收割限制

  • H REAPs不支持WGB。

  • 如果配置一本地交换的WLAN,则访问控制列表(ACL)不工作和不支持。在一在中央交换的WLAN,支持ACL。

  • 对一本地交换的WLAN配置的所有更改在控制器原因临时损失在连接作为新的配置应用对H收割。同样地,这些的所有客户端本地交换的WLAN被断开临时地。WLAN立即启用,并且客户端重新关联上一步。

  • 控制器可以以单播或多播数据包的形式向接入点发送多播数据包。在混合 REAP 模式下,接入点只能以单播形式接收多播数据包。

注意: 如果H REAP连接对802.1Q中继链路,并且本地VLAN的交换的配置,则WLAN配置的顺序变为重要由于在设计的一个限制。如果例如更改WLAN的命令WLAN 1为ssid WLAN配置,并且WLAN 2为ssid WLANb配置,并且他们的顺序通过配置WLAN 1更改变为ssid WLANb,并且WLAN 2变为ssid WLAN,则两个WLAN丢失从WLC配置的他们的VLAN映射。

注意: 同一个问题加入一个不同的控制器有同样WLAN的不同命令的应用H收割。混合的主要和备用控制器收割接入点必须有相同的配置。否则,接入点能丢失其配置,并且某些功能,例如WLAN覆盖, AP组VLAN,静态信道数,等等,不能正确地潜在运行。另外,请确保复制H的SSID收割接入点和其索引编号在两个控制器。

容错

H收割容错允许无线访问和服务分支客户端,当:

  • H收割分组AP丢失连接用主要控制器。

  • H收割分组AP交换到附属控制器。

  • H收割分组AP重新建立对主要控制器的连接。

H与本地EAP一起收割容错,在网络中断期间,如上所述,请提供零的分组停机时间。默认情况下此功能启用并且不可能禁用。它不要求在控制器或AP的配置。然而,顺利保证容错工作和是可适用的,此标准应该维护:

  • WLAN预定和配置必须是相同的在主要的和备用控制器间。

  • VLAN映射必须是相同的在主要的和备用控制器间。

  • 移动性域名必须是相同的在主要的和备用控制器间。

  • 推荐使用控制器平台如主要的和备用控制器。

摘要

  • 当AP连接回到同一个控制器提供那里是在配置上的没有变化在控制器, H REAP不会断开客户端。

  • H REAP不会断开客户端,当连接对备用控制器提供那里是在配置上的没有变化,并且备用控制器与主要控制器是相同的。

  • H REAP不会重新设置其在连接的无线电到主要控制器提供那里是在配置上的没有变化在控制器。

限制

  • 仅支持为H请收割与中央印制厂/与本地交换的本地认证。

  • 在中央验证的客户端需要全双工再验证,如果客户端会话计时器超时,在H收割从独立的AP交换机到已连接模式前。

  • 主要的和备用控制器必须在同一个移动性域。

H收割配置

有线网络准备

对部署H的第一步收割网络将配置H REAP将连接的交换机。此示例交换机配置包括的H REAPs与有CAPWAP的控制器将联络)的本地VLAN配置(子网和从两本地交换的WLAN客户端的数据将终止的两子网。如果未通过上游交换机为接入点和本地交换的 WLAN 的客户端提供 IP 地址(如下所示),则需要通过其他方式提供 DHCP 服务,或需要以静态方式提供地址。虽然建议使用 DHCP,但有些人可能更愿意选择使用静态接入点寻址并通过 DHCP 提供无线用户地址。为简化起见,本示例中删除了多余的交换机配置。

ip dhcp excluded-address 10.10.10.2 10.10.10.99

ip dhcp pool NATIVE
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
!
ip dhcp pool VLAN11
network 10.10.11.0 255.255.255.0
default-router 10.10.11.1
!
ip dhcp pool VLAN12
network 10.10.12.0 255.255.255.0
default-router 10.10.12.1
!
interface FastEthernet1/0/1
description H REAP Example Config
switchport trunk encapsulation dot1q
switchport trunk native vlan 10
switchport trunk allowed vlan 10,11,12
switchport mode trunk
!
interface Vlan10
ip address 10.10.10.1 255.255.255.0
!
interface Vlan11
ip address 10.10.11.1 255.255.255.0
!
interface Vlan12
ip address 10.10.12.1 255.255.255.0
end

注意: 本示例中的实际 IP 地址和所有后续配置仅用于演示目的。因此,必须在充分考虑各个网络和各自需要的情况下计划 IP 地址。

在本例中配置示例, H REAP连接对第一个快速以太网接口并且通过从交换机的DHCP接收IP寻址在本地VLAN (VLAN 10)。不必要的VLAN从中继链路被修剪连接对H收割为了限制处理额外的数据包。准备 VLAN 11 和 12 是为了向两个 WLAN 的客户端(与这两个 VLAN 绑定)提供 IP 地址。

注意: H REAPs连接需要上行连接对路由结构的交换机。H收割最佳实践命令远程站点/WAN路由结构优先安排CAPWAP控制(UDP端口5246)。

这是H收割AP连接为了指定优先级CAPWAP流量上游路由器的配置示例。

ip cef
!
frame-relay switching
!
class-map match-all 1
  match access-group 199
!
policy-map mypolicy
  class 1
   bandwidth 256
!
interface Serial0/0
ip address 10.1.0.2 255.255.255.0
encapsulation frame-relay
frame-relay interface-dlci 101
frame-relay intf-type dce
service-policy output mypolicy
!
access  list  199  permit  udp  any  any  eq  5246

使用 CLI 命令发现 H-REAP 控制器

H REAPs通过DHCP选项43或DNS解析通常将发现上行控制器。没有这些方法联机之一,提供更多的指导信息给管理员在远程站点可能是理想的,以便每个H REAP能配置用他们应该连接控制器的IP地址。随意地, (如果DHCP不可用或不希望的), H收割IP寻址可能手工设置。

此示例详细信息H REAP的IP地址、主机名和控制器IP地址如何可能通过接入点的控制台端口设置。

AP_CLI#capwap ap hostname ap1130
ap1130#capwap ap ip address 10.10.10.51 255.255.255.0
ap1130#capwap ap ip default-gateway 10.10.10.1
ap1130#capwap ap controller ip address 172.17.2.172

注意: 接入点必须运行已启用LWAPP IOS�恢复镜像Cisco IOS软件版本12.3(11)JX1或以上为了支持这些CLI命令箱外。在 2006 年 6 月 13 日或之后售出的带有 LAP 的 SKU 前缀的接入点(例如 AIR-LAP-1131AG-A-K9)运行 Cisco IOS 软件版本 12.3(11)JX1 或更高版本。这些命令对从运行此代码级的制造商运送,有代码手工升级对此级别或者通过连接自动地升级对控制器运行版本6.0或以上的任何接入点是可用的。

仅当接入点处于独立模式时,才允许使用这些配置命令。

如果接入点以前从未与控制器连接,则这些接入点的默认 CLI 口令为 Cisco。一旦接入点与某个控制器连接,则除非更改口令,否则无法通过接入点的控制台进行 CLI 配置。在控制器上使用下面的语法输入这个仅适用于 CLI 的命令:

(WLC_CLI)>config ap username <user-id> password <passwd> {all | <AP name>}

对于上述接入点,可以使用下面的命令:

(WLC_CLI)>config ap username admin password pass ap1130

注意: 尽管此命令需要创建用户名,但此字段目前并未实现,保留供以后使用。

注意: 在未更改接入点的默认口令的情况下,所有 show 和 debug 命令都能顺利执行。

H-REAP 控制器配置

一旦H REAP发现并且加入控制器,所有H收割配置通过控制器的Web或命令行界面执行(二者择一,配置可能通过无线控制系统[WCS]在中央被执行)。H收割在此部分的配置通过控制器图形界面执行。

首先创建并配置所需的 WLAN。对于本示例配置,WLAN 如下所示(必要时可根据需要修改这些配置):

WLAN SSID 安全 交换
公司 WPA2 (802.1X) 本地
RemoteSite WPA2-PSK 本地
访客 Webauth 中央印制厂

为了H请收割接入点操作,当H收割,连接必须有至少一本地交换的WLAN的控制器(没有此, H REAP的高可用性功能不会认识到)。

要配置本地交换的 WLAN,请执行以下步骤:

  1. 转到控制器主页,选择 WLANs,然后单击 New。

  2. 分配WLAN名称,也使用作为SSID,并且单击应用

    1.jpg

  3. 在WLAN > Edit页,请点击安全选项卡。在 Layer 2 Security 下面,选择安全类型。

    对于本示例,需要选择 WPA2-PSK。选择 WPA+WPA2

    2.jpg

  4. 选中 WPA2 Policy 以便指定 WLAN 的 WPA 操作。

  5. 选中 AES 以便设置加密方法。

  6. 在 Auth Key Mgmt 下面,从下拉菜单中选择 PSK

    根据所需的密钥格式,此处的选项随便于使用性和客户端支持而定,可以选择 ascii 或 hex。Ascii 通常更方便,因为这种格式接受字母数字字符。选择ascii并且输入希望的预先共享密钥。

  7. 单击 Advanced 选项卡。检查H收割本地交换并且保证WLAN为操作启用。

    /image/gif/paws/71250/3.jpg

    没有此步骤,当接入点在独立模式时, WLAN不允许将终止的数据本地在H收割接入点或根本没有提供。

    注意: 没配置的运行在H收割H收割本地交换设置的模式忽略接入点,并且所有客户端的流量被建立隧道回到控制器。

    使用H请收割完整WLAN的设置,接入点能然后配置操作在H收割模式。

  8. 当接入点发现并加入控制器后,转到 Wireless 标题下的控制器 Web GUI,然后单击所选接入点旁边的 Detail

  9. 由朝向的AP模式,请选择H从下拉菜单收割为了更换从其默认本地传送方式操作的接入点作用在H收割模式。

    4.jpg

  10. 单击 Apply。接入点需要重新启动才能使模式配置生效。

    5.jpg

    接入点将重新启动、重新发现控制器,并重新加入控制器。

  11. 返回到控制器 GUI 的 Wireless 标题,然后和以前一样,选择相同的接入点 Detail 链接。

    默认情况下, H REAP没有配置起作用中继链路。虽然可以将接入点所连接的交换机端口设置为中继链路,但接入点仍可通过本地 VLAN 与控制器通信。如果switchport是中继链路,并且在此模式希望安排H REAP运行,必须启用VLAN支持。

  12. 点击H收割选项卡。选中 VLAN Support

  13. 基于H REAP连接switchport的配置,请在与同一名称的标题旁边输入接入点的本征VLAN ID编号(在本例中, VLAN 10)。

    6.jpg

  14. 单击 Apply 以使更改生效。

    由于H收割重置根据给的配置参数的其以太网端口的配置,接入点能简要地丢失连接用控制器。对于这种可能性,会在弹出窗口中显示警告。单击 Ok

    9.jpg

    注意: 根据弹出警告的说明,接入点有一定的可能性会以禁用状态重新加入控制器。从控制器的 Wireless 标题中重新选择该接入点的 Details 链接。然后选择 Admin Status 旁边的 Enable。应用设置并继续配置。

  15. 输入希望的接入点的详细信息页,选择H再收割标记,并且点击VLAN映射为了配置标记每本地交换的WLAN的802.1Q。

    7.jpg

  16. 设置客户端数据流必须在其上终止的每个本地交换 WLAN 的 VLAN。

    注意: 没配置的支持H收割本地交换WLAN不允许802.1Q标记将配置此处。因为客户端数据通过隧道传回控制器实现终止,因此这些 WLAN 的 VLAN 配置是在控制器的全局设置中进行设置的。

    注意: 所有本地交换的 WLAN 都共享相同的 VLAN ID,也可以具有离散的分配。假设分配的VLAN是存在H的switchport收割,没有限制在这里。

  17. 单击 Apply 以保存更改。

    在更改 VLAN/WLAN 映射时,WLAN 服务会瞬时中断。单击 OK 以确认这一情况。

    /image/gif/paws/71250/8.jpg

必要的WLAN创建,并且配置,接入点设置运行在H收割模式、每本地交换的WLAN配置的VLAN支持启用和VLAN。如果每个 VLAN 上都提供 DHCP 服务,则客户端必须能够连接到每个 WLAN、在其各自的 VLAN 上接收地址并传递数据流。H收割配置当前完成。

排除 H-REAP 故障

有一些常见情况,并且出现并且防止平稳的H的情况收割配置和客户端连接。本节介绍一些这样的情形并提出建议的解决方法。

H-REAP 不加入控制器

发生这种情况有多种原因。首先检查以下各项:

  • 每个H收割需要适当地是IP寻址的。

    如果通过接入点的控制台使用了 DHCP,请验证该接入点是否包含地址。

    AP_CLI#show dhcp lease
    

    如果通过接入点的控制台使用了静态寻址,请检查以确保应用了正确的 IP 地址。

    AP_CLI#show capwap ip config
    
  • 确保接入点具有 IP 连接,并可以对控制器的管理接口执行 ping 操作。

    验证了 IP 地址后,通过对控制器的管理 IP 地址执行 ping 操作,检查以确保接入点可以与控制器通信。通过接入点的控制台按照以下语法使用 ping 命令:

    AP_CLI#ping <WLC management IP address>
    

    如果命令未成功执行,请确保正确配置上游网络并且广域网可以接回公司网络。验证控制器是否运行正常,并且是否位于任何 NAT/PAT 边界的后面。保证UDP端口5246和5247是开放的在所有中介防火墙。使用相同的语法从控制器到接入点执行 Ping 命令。

  • 验证那里是接入点和控制器之间的CAPWAP连接。

    一旦在H之间的IP连通性收割,并且控制器验证,请执行在控制器的CAPWAP调试确认CAPWAP消息在广域网间通信和识别相关问题。在控制器上,首先创建一个 MAC 过滤器以限制调试输出的范围。使用此命令以便将后续命令限定为向单个接入点输出。

    AP_CLI#debug mac addr <AP’s wired MAC address>
    

    一旦限制debug输出的集,打开CAPWAP调试。

    AP_CLI#debug capwap events enable
    

    如果CAPWAP调试消息没有被看到,请保证H REAP有控制器可以是已发现至少的一个方法。如果有这样的方法(如 DHCP 选项 43 或 DNS),请验证是否正确配置了这些方法。如果没有其他可用的发现方法,请确保通过控制台 CLI 输入控制器的 IP 地址。

    AP_CLI#capwap ap controller ip address <WLC management IP address>
    
  • 检查在控制器的CAPWAP操作,并且H收割。

    如果至少单个控制器发现方法对H是可用的请收割,验证CAPWAP消息从接入点发送到控制器。默认情况下,已经启用了此命令。

    AP_CLI#debug capwap client errors
    

    有关接入点与哪些控制器进行通信的更多信息,可以查看接入点发送的 UDP 消息的 IP 地址。查看经过接入点 IP 堆栈的每个数据包的源和目标地址。

    AP_CLI#debug ip udp
    

    如果接入点的控制台显示该接入点与某个控制器通信,则可能是该接入点已经加入了群集中的另一个控制器。为了验证,如果H REAP连接到控制器,请使用此命令。

    AP_CLI#show capwap reap status
    
  • 验证接入点是否加入了正确的控制器。

    在发现相位期间,如果控制器的其他IP地址被递交到接入点, H REAP能加入另一个控制器。验证由发现机制提供的控制器 IP 地址是否正确。标识接入点已经加入的控制器。

    AP_CLI#show capwap reap status
    

    登录到该控制器的 Web GUI。确保在控制器的移动列表中输入了控制器的所有 IP 和 MAC 地址,并且这些地址共享相同的移动组名称。然后,设置接入点的主控制器、辅助控制器和第三控制器,以规定接入点加入哪个控制器。此操作通过接入点的 Details 链接完成。如果与H的问题其余收割加入另一个控制器,通过使用WCS全系统的接入点管理功能,这可以大大缓和。

  • 排除接入点尝试加入控制器失败时的证书问题。

    如果CAPWAP消息在控制器被看到,但是接入点不能加入,此可能是证书问题。

H-REAP 的控制台命令无法运行并且返回错误

通过H (配置的设置或清洁)执行的所有配置命令收割CLI返回错误!!!Command is disabled 消息。发生此问题可能是由于下面的两个原因之一:

  • H收割在已连接模式不会通过控制台允许所有配置设置或清洁的接入点。当接入点处于此状态时,必须通过控制器接口进行配置。如果需要在接入点使用配置命令,请在尝试输入任何配置命令之前确保该接入点处于独立模式。

  • 一旦接入点在任意时候连接到控制器(即使H REAP移动回到独立模式),接入点的控制台不会允许配置命令,直到新密码设置。每个H REAP的密码需要更改。这只能通过接入点所连接的控制器的 CLI 进行设置。可以在控制器使用下面的命令语法来设置单个接入点的控制台口令或所有控制器的接入点的口令:

    (WLC_CLI)>config ap username <user-id> password <passwd> {all | <AP name>}
    

    注意: 对于尚未设置其控制台口令的接入点,请注意,此配置仅当在控制器上输入该命令时发送给该接入点。后续加入此控制器的任何接入点都将需要重新输入该命令。

    即使已经为接入点指定了非默认口令并且该接入点处于独立模式,该接入点仍将禁止访问这些命令。为了做对H REAP的配置的变动,删除已存在静态IP寻址和控制器IP地址配置要求。在可能输入前,此配置呼叫CAPWAP私有配置,并且需要删除中的任一新建的接入点CLI命令。为此,请输入下面的命令:

    AP_CLI#clear capwap private-config
    

    注意: 或者,当 AP 加入控制器时,可以使该 AP 恢复为出厂默认设置。在 WLC GUI 的 Wireless 标题下面的 AP 详细信息页中,单击 Clear Config 按钮。即会擦除该 AP 的配置,并重新启动该 AP。

    注意: 即使在未设置非默认口令并且 AP 处于连接模式的情况下,所有 show 和 debug 命令仍将继续运行。

    愿所有CAPWAP配置这时只被做。

客户端无法连接到 H-REAP

完成这些步骤:

  1. 验证接入点适当地加入控制器,控制器有至少一适当地配置的(和启用) WLAN,并且保证H REAP在允许状态。

  2. 在客户端,验证 WLAN 的 SSID 是否可用(在控制器上,配置 WLAN 以广播其 SSID 可能有助于此故障排除过程)。在客户端上镜像 WLAN 的安全配置。客户端安全配置是发生各种连接问题的根源。

  3. 确保对本地交换的 WLAN 上的客户端进行正确地 IP 寻址。如果使用了 DHCP,请确保正确配置一个上游 DHCP 服务器并向客户端提供地址。如果使用静态寻址,请确保为正确的子网正确配置客户端。

  4. 为了在H REAP的控制台端口进一步排除故障客户端连通性问题,请输入此命令。

    AP_CLI#show capwap reap association
    
  5. 要在控制器上进一步排除客户端连接问题并限制后续调试的输出,请输入此命令。

    AP_CLI#debug mac addr <client’s MAC address>
    
  6. 要调试客户端的 802.11 连接问题,请使用此命令。

    AP_CLI#debug dot11 state enable
    
  7. 使用此命令调试客户端的 802.1X 身份验证进程和故障。

    AP_CLI#debug dot1x events enable
    
  8. 使用此命令,后端controller/RADIUS消息可以调试。

    AP_CLI#debug aaa events enable
    
  9. 或者,要启用整套客户端调试命令,请使用此命令。

    AP_CLI#debug client <client’s MAC address>
    

H-REAP问与答

Q. 如果我在远程位置配置拉普,当H收割,能给那些拉普主要和备用控制器?

示例:在站点 A 有一个主控制器,在站点 B 有一个辅助控制器。

如果站点 A 的控制器出现故障,LAP 就会故障切换到站点 B 的控制器。如果两个控制器不可用执行LAP落入H收割本地传送方式?

A. 可以。首先,LAP 可以故障切换到其辅助控制器。所有本地交换的 WLAN 没有变化,所有中央交换的 WLAN 的数据流将转到新控制器。如果辅助控制器发生故障,标记进行本地交换的所有 WLAN(和开放/预共享密钥身份验证/您正在执行 AP 身份验证程序)将保持运行。

Q. 在与配置的本地传送方式交易配置的接入点与H如何收割本地交换?

A. 本地模式的接入点将这些 WLAN 视为正常 WLAN。身份验证和数据流通过隧道传回 WLC。在 WAN 链路故障期间,此 WLAN 将完全关闭,并且此 WLAN 上的所有客户端均处于非活动状态,直到与 WLC 的连接恢复。

Q. 我能否在本地交换模式下执行 Web 身份验证?

能,您可以使用一个启用 Web 身份验证的 SSID,并在 Web 身份验证结束后在本地丢弃数据流。本地交换模式下可以顺利进行 Web 身份验证。

Q. 能否使用在控制器的访客PORTAL SSID,由H本地处理收割?如果可以,则与控制器的连接丢失时会发生什么情况?当前的客户端是否立即断开连接?

可以。由于此 WLAN 是在本地交换的,WLAN 可用,但由于网页不可用,新客户端无法进行身份验证。然而,现有客户端没有丢弃。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 71250