无线/移动 : "无线, LAN (WLAN)"

无线 LAN 控制器 (WLC) 配置最佳实践

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文档针对技术支持中心 (TAC) 常见的几个无线统一基础架构问题提供了简要的配置提示。 其目的是提供可适用于大多数网络实施的重要说明,以便最大限度地减少可能发生的问题。

注意: 并非所有的网络都是相同的,因此,某些提示可能不适用于您的安装。在真实网络中执行任何更改之前,务必先验证这些提示。

由思科 TAC 工程师撰稿。

先决条件

要求

Cisco 建议您了解以下主题:

  • 了解如何配置无线 LAN 控制器 (WLC) 和轻量接入点 (LAP) 以执行基本的操作

  • 无线接入点(CAPWAP)协议和无线安全方法控制和供应基础知识

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco 5508/4400/7500/无线服务模块(WiSM)/运行固件版本7.4的WiSM2系列WLC

  • 基于CAPWAP的接入点,系列1140/1260/3500/1600/2600/3600

    注意:对4400 WLCs的任何参考根据固件版本7.0。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

最佳实践

无线/RF

无线/射频 (RF) 的最佳实践如下:

  • 对于所有无线部署,总是请执行一适当的地点调查为了确保您的无线客户端的适当的服务质量。对语音或定位部署的要求比对数据服务的要求更严格。自动 RF 可有助于信道和功率设置管理,但无法更正错误的 RF 设计。

  • 进行现场勘测时,使用的设备必须与实际网络中要使用的设备的功率和传播状态匹配。例如,请勿以omni天线使用一1240个802.11B/G无线电学习覆盖,如果最终网络使用802.11A和G的3600双重无线电与N数据速率。

    • 您必须仔细计划进程禁用或启用数据速率。如果您的覆盖是满足的,它经常是一个好想法逐个迟缓地禁用较低的数据速率。管理帧类似ACK或信标将发送以减速全部的吞吐量的最低的必须速率(典型地1Mbps)。

    • 设法没有太多支持的数据速率也是好的,以便客户端减速传动更加快速他们的速度。典型地他们能和的客户端设法发送以最快速的数据速率,如果帧通过没有做它,重新传输以1数据速率在那之下等等,直到经历。一些支持的速率删除意味着直接地重新传输帧的客户端减速传动几数据速率,增加帧的机会能通过努力去做在第二尝试。

    • 切记管理帧发送以最低的必须速率。组播发送以最高的必须速率。

    • 您也许做出一个有意识的决定不在11Mbps之下禁用所有速率(包括)为了终止802.11b客户端支持。

    • CLI命令是:必须的config 802.11b rate禁用//支持<rate list>,并且必须设置802.11a的速率禁用//支持<rate list>

  • 建议限制在控制器中配置的服务集标识符 (SSID) 的数目。您能配置16同时Ssid (每在每接入点(AP)的无线电),而是作为每WLAN/SSID需要独立的探测器答复和指引, RF污染增加,当更多Ssid被添加。结果是一些更加小的无线站点类似PDA、WiFi电话和条形码扫描仪不能应付基本SSID (BSSID)信息大量。这导致锁住、重新加载或者关联失败。此外,SSID 越多,需要的信标也越多,从而导致可用于实际数据传输的 RF 空间变少。

  • 对于空间畅通的 RF 环境(例如,接入点位于没有墙的宽敞空间的工厂),可能需要将发射功率阈值从默认值 -65 dBm 调整到一个较小的值(如 -76 dBm)。这样,就可以降低同信道干扰(给定时刻无线客户端听到的 BSSID 数目)。最佳值取决于各个现场的环境特征,因此在进行现场勘测时应认真评估。

    电源平湖阈值-此值,表示用dbm,是传输功率电能控制的截止信号电平(TPC)算法向下调整功率电平,这样此值是AP第三个坚强的邻居听到的优点。

  • 对于某些 802.11 客户端软件,如果听到的 BSSID 数目超过某个固定的数目(例如,24 个或 32 个 BSSID),则可能会遇到困难。减小发射功率阈值并因此降低平均 AP 传输电平时,可以减少此类客户端听到的 BSSID 数目。

  • 请勿启用积极的负载均衡,除非网络有高密度接入点可用在区域,并且从未,如果有在无线的语音。如果启用此功能用太很远从彼此间隔的接入点,也许混淆一些客户端漫游算法和在某些情况下导致覆盖孔。

网络连接

网络连接的最佳实践如下:

  • 不要在控制器上使用生成树。

    对于大多数拓扑,不需要使用在控制器中运行的生成树协议 (STP)。默认情况下会禁用 STP。

    对于非Cisco的交换机,推荐您也禁用在a的STP每个逐个端口。

    输入此命令为了验证:
    Cisco Controller) >show spanningtree switch

    STP Specification...................... IEEE 802.1D
    STP Base MAC Address................... 00:18:B9:EA:5E:60
    Spanning Tree Algorithm................ Disable
    STP Bridge Priority.................... 32768
    STP Bridge Max. Age (seconds).......... 20
    STP Bridge Hello Time (seconds)........ 2
    STP Bridge Forward Delay (seconds)..... 15
  • 虽然大多数控制器配置应用“正在进行中”,是好想法重新加载控制器,在您更改这些配置设置后:

    • 管理地址

    • SNMP配置

  • 通常, WLC的管理接口被留下无标记。在这种情况下,发送到管理接口以及从管理接口发出的数据包将使用与 WLC 连接的中继端口的本地 VLAN。然而,如果希望管理接口在不同的VLAN,请标记它对适当的VLAN用<Cisco Controller>设置接口VLAN管理<vlan-id>命令。保证相应的VLAN在switchport允许并且由中继(非本土VLAN)标记。

  • 对于连接到控制器的所有中继端口,请过滤掉未在使用的 VLAN。

    例如,在 Cisco IOS® 交换机中,如果管理接口位于 VLAN 20 上,并且 VLAN 40 和 VLAN 50 用于两个不同的 WLAN,请在交换机端使用以下配置命令:
    switchport trunk allowed vlans 20,40,50
  • 不要保留地址为 0.0.0.0 的接口,例如,未配置的服务端口。它可能会影响控制器中的 DHCP 处理。

    验证方式如下:
    (Cisco Controller) >show interface summary
    Interface Name Port Vlan Id IP Address Type Ap Mgr
    -------------------- ---- -------- --------------- ------- ------
    ap-manager LAG 15 192.168.15.66 Static Yes
    example LAG 30 0.0.0.0 Dynamic No

    management LAG 15 192.168.15.65 Static No
    service-port N/A N/A 10.48.76.65 Static No
    test LAG 50 192.168.50.65 Dynamic No
    virtual N/A N/A 1.1.1.1 Static No
  • 请勿使用链路聚合(滞后),除非控制器的所有端口有在转换面的同一Layer2配置。例如,避免在一个端口上过滤一些 VLAN,但在其他端口上却不进行过滤。

  • 当您使用滞后时,控制器在来自网络的负载均衡决策的交换机取决于在流量。它预计总是属于AP在相同端口输入的该流量。在交换机 EtherChannel 配置中,请仅使用 ip-src 或 ip-src ip-dst 负载均衡选项。某些交换机型号在默认情况下可能会使用不支持的负载均衡机制,因此务必要进行验证。

    验证 EtherChannel 负载均衡机制的方式如下:
    switch#show etherchannel load-balance
    EtherChannel Load-Balancing Configuration:
    src-dst-ip

    EtherChannel Load-Balancing Addresses Used Per-Protocol:
    Non-IP: Source XOR Destination MAC address
    IPv4: Source XOR Destination IP address
    IPv6: Source XOR Destination IP address

    更改交换机配置 (IOS) 的方式如下:
    switch(config)#port-channel load-balance src-dst-ip 

    对于 Cisco IOS 软件版本 12.2(33)SXH6,PFC3C 模式机箱可使用一个选项在负载分布中排除 VLAN。使用 port-channel load-balance src-dst-ip exclude vlan 命令可以实现此功能。此功能保证属于在相同端口的LAP回车的该流量。

  • 滞后,当曾经VSS时,或者被层叠的交换机(3750/2960)或连结VPC,应该工作,只要IP数据包的片段发送到相同端口。想法是,如果去多个交换机,端口必须属于同样L2 ?实体?使用负载均衡决策方面。

  • 如果要连接WLC到超过一交换机,您必须创建每个物理端口和禁用滞后的一Ap-manager。这将提供冗余和可扩展性。

    注意: 在思科4400-100式样WLCs,您需要至少三个活动物理端口为了为每WLC使用100接入点最大容量。对于 Cisco 4400-50 型号 WLC,则需要两个物理端口才能利用每个 WLC 的 50 个接入点的最大容量。



  • 尽可能不要为 AP 管理器接口创建备份端口,即使早期的软件版本中允许使用备份端口也是如此。正如本文档前面所述,多个 AP 管理器接口可提供冗余。

  • 对于多播转发,通过多播模式可以在使用较少带宽的情况下获得最佳性能。

    在控制器上验证多播模式的方式如下:
    (WiSM-slot1-1) >show network summary
    RF-Network Name............................. 705
    Web Mode.................................... Enable
    Secure Web Mode............................. Enable
    Secure Web Mode Cipher-Option High.......... Disable
    Secure Shell (ssh).......................... Enable
    Telnet...................................... Enable
    Ethernet Multicast Mode..................... Enable Mode: Mcast 239.0.1.1
    Ethernet Broadcast Mode..................... Disable
    IGMP snooping............................... Disabled
    IGMP timeout................................ 60 seconds
    User Idle Timeout........................... 300 seconds
    ARP Idle Timeout............................ 300 seconds
    ARP Unicast Mode............................ Disabled
    Cisco AP Default Master..................... Disable
    Mgmt Via Wireless Interface................. Disable
    Mgmt Via Dynamic Interface.................. Disable
    Bridge MAC filter Config.................... Enable
    Bridge Security Mode........................ EAP
    Over The Air Provisioning of AP's........... Enable
    Apple Talk ................................. Disable
    AP Fallback ................................ Enable

    这是如何配置在WLC line命令的multicast-multicast操作:
    config network multicast mode multicast 239.0.1.1
    config network multicast global enable
  • 控制器使用多播地址将流量转发给接入点。多播地址不能与网络上其他协议使用的任何地址匹配,这一点很重要。例如,如果使用 224.0.0.251,则它会中断某些第三方应用程序使用的 mDNS。推荐地址在私有范围(239.0.0.0-239.255.255.255,不包括239.0.0.x和239.128.0.x。)。也重要的是组播IP地址设置为在每WLC的一个不同的值。发言到其接入点到达另一WLC AP的您不想要WLC。

  • 如果接入点比在管理接口使用的那个在一不同的子网,您的网络基础设施必须提供在管理接口子网和AP子网之间的组播路由。

网络设计

网络设计的最佳实践如下:

  • 对于本地模式下的 AP,请使用 portfast 配置交换机端口。为了执行此,设置作为a将连接的端口?主机?端口(switchport host命令)或直接地用portfast命令。这允许一更加快速的加入进程AP。从未没有环路风险,作为在VLAN之间的LWAPP AP网桥。

  • 按照设计,CPU 发起的大多数流量是从控制器中的管理地址发送的。例如, SNMP陷阱, RADIUS验证请求,组播转发,等等。

    对此规则的例外是DHCP涉及的流量。您在每SSID “radius接口能也启用覆盖”此WLAN的radius从动态接口然后将发送。然而,这创建设计问题与带来您自己的设备(BYOD)授权(CoA)的流和崔凡吉莱。

    配置防火墙策略或设计网络拓扑时,这是务必要考虑的。避免配置在子网络的一个动态接口和必须是可及的由控制器CPU的服务器一样是重要的,例如RADIUS服务器,它也许导致不对称路由问题。

    总是配置连接孔?接入模式?在本地传送方式的AP。对于去在FlexConnect模式(的AP执行本地交换)和对WLCs,总是请修剪VLAN为了允许在FlexConnect AP和WLC配置的仅那个在中继模式的连接孔(如以前被提及)。另外,请输入switchport nonegotiate命令在那些中继为了禁用在switchport的动态中继协议(DTP)和避免需要对于AP/WLC处理没有必要的帧,因为他们不支持DTP。并且,资源在交换机将浪费,将尝试用设备协商不可以支持它。

移动性

移动性的最佳实践如下:

  • 在移动组的所有控制器应该有虚拟接口的同样IP地址。历史上, IP地址1.1.1.1用于默认配置和由个人。然而,它当前是一有效公网IP地址并且不应该再使用。任何地方在您的网络不路由的您应该使用专用IP地址。这对于漫游来说很重要。如果在移动组内的所有控制器不使用同一个虚拟接口,控制器之间漫游能看上去工作,但是hand-off不完成,并且客户端一段时间丢失连接。

    验证方式如下:
    (Cisco Controller) >show interface summary

    Interface Name Port Vlan Id IP Address Type Ap Mgr
    ----------------- ----- -------- --------------- ------- ------
    ap-manager LAG 15 192.168.15.66 Static Yes
    management LAG 15 192.168.15.65 Static No
    service-port N/A N/A 10.48.76.65 Static No
    test LAG 50 192.168.50.65 Dynamic No
    virtual N/A N/A 1.1.1.1 Static No
  • 在网络基础架构中,虚拟网关地址必须是不可路由的。只有在连接到控制器时,才能从无线客户端访问虚拟网关地址,但绝对无法从有线连接访问该地址。实际上, 1.1.1.1当前是一有效公共地址,因此请更改它对任何东西唯一和不能路由的在您的网络。因为它仍然是默认值, 1.1.1.1用于此示例。

  • 所有控制器的管理接口之间必须存在 IP 连接。

  • 在大多数情况下,所有控制器必须配置有相同的移动性组名称。对此规则的例外是在控制器的部署访客访问功能的,典型地在非敏感区域(DMZ)。

  • 它是运行在同样软件代码版本的所有WLCs的安全窍门为了保证您不面对不一致的行为由于Bug在某WLCs而不是其他。对于软件版本6.0和以上,所有版本为移动性目的是间符合,因此不是必须。

  • 不要创建不必要的大型移动性组。移动性组只应包含在客户端可以物理漫游的区域中具有接入点的所有控制器,例如,在大厦中具有接入点的所有控制器。对于几栋大厦较分散的情况,应将这些大厦划分为几个移动性组。这样可以节省内存和 CPU,因为控制器不需要保存组内的有效客户端、非法接入点和接入点的大型列表,从而使它们无论如何都不会交互。

    并且,请设法适应在控制器间的AP分配在移动组,以便有AP。例如,每楼层或每个控制器,一而不是盐和胡椒分配。这减少漫游的控制器之间,对移动组活动有较小的影响。

  • 在移动性组中包含多个控制器的情况下,当重新加载控制器后,通查会发现一些有关网络中我们自己的接入点的非法接入点警报。出现这种情况是因为更新移动性组成员之间的接入点、客户端和非法接入点列表需要一些时间。

  • 通过 WLAN 设置中的 DHCP Required 选项,您可以在每次客户端与 WLAN 关联时强制客户端请求或续订 DHCP 地址,然后才允许客户端在网络中发送或接收其他流量。从安全角度看,这样能够更严格地控制正在使用的 IP 地址,但同时可能影响允许流量再次传递之前进行漫游所需的总时间。

    此外,还可能会影响直到租用时间到期才续订 DHCP 的一些客户端实施。例如,思科7921或7925电话也许有语音问题,当他们漫游时,如果此选项启用,因为控制器不允许语音或信令流量通过,直到DHCP相位完成。某些第三方打印机服务器也可能会受到影响。通常,如果 WLAN 中包含非 Windows 客户端,最好不要使用此选项。这是因为更严格的控制可能会导致连接问题,具体取决于 DHCP 客户端的实现方式。验证方式如下:
    (Cisco Controller) >show wlan 1

    WLAN Identifier.................................. 1
    Profile Name..................................... 4400
    Network Name (SSID).............................. 4400
    Status........................................... Enabled
    MAC Filtering.................................... Disabled
    Broadcast SSID................................... Enabled
    AAA Policy Override.............................. Disabled
    Number of Active Clients......................... 0
    Exclusionlist Timeout............................ 60 seconds
    Session Timeout.................................. 1800 seconds
    Interface........................................ management
    WLAN ACL......................................... unconfigured
    DHCP Server...................................... Default
    DHCP Address Assignment Required................. Disabled
    Quality of Service............................... Silver (best effort)
    WMM.............................................. Disabled
    CCX - AironetIe Support.......................... Enabled
    CCX - Gratuitous ProbeResponse (GPR)............. Disabled
    Dot11-Phone Mode (7920).......................... Disabled
    Wired Protocol................................... None
  • 配置移动性的组播模式是可行的。这允许客户端宣布在移动性对等体之间的组播将发送的消息,而不是单播准时被发送对每个控制器,有好处, CPU使用情况和网络利用率的。

    验证方式如下:
    (WiSM-slot1-1) >show mobility summary 

    Symmetric Mobility Tunneling (current) .......... Disabled
    Symmetric Mobility Tunneling (after reboot) ..... Disabled
    Mobility Protocol Port........................... 16666
    Mobility Security Mode........................... Disabled
    Default Mobility Domain.......................... 705
    Multicast Mode .................................. Enabled
    Mobility Domain ID for 802.11r................... 0x8e5e
    Mobility Keepalive Interval...................... 10
    Mobility Keepalive Count......................... 3
    Mobility Group Members Configured................ 2
    Mobility Control Message DSCP Value.............. 0

    Controllers configured in the Mobility Group

    MAC Address IP Address Group Name Multicast IP Status
    00:14:a9:bd:da:a0 192.168.100.22 705 239.0.1.1 Up

    00:19:06:33:71:60 192.168.100.67 705 239.0.1.1 Up

安全

安全性的最佳实践如下:

  • 它是一个好想法更改RADIUS超时到5秒。对于快速 RADIUS 故障切换,默认值 2 秒是可接受的,但对于可扩展身份验证协议 - 传输层安全 (EAP-TLS) 身份验证,或者 RADIUS 服务器必须访问外部数据库(Active Directory、NAC、SQL 等)的情况,则该默认值可能不够大。

    验证方式如下:
    (Cisco Controller) >show radius summary 
    Vendor Id Backward Compatibility............ Disabled
    Credentials Caching......................... Disabled
    Call Station Id Type........................ IP Address
    Administrative Authentication via RADIUS.... Enabled
    Aggressive Failover......................... Disabled
    Keywrap..................................... DisabledAuthentication Servers

    !--- This portion of code has been wrapped to several lines due to spatial!
    --- concerns.

    Idx Type Server Address Port State Tout RFC3576
    --- ---- ---------------- ------ -------- ---- -------
    1 N 10.48.76.50 1812 Enabled 2 Enabled

    IPSec -AuthMode/Phase1/Group/Lifetime/Auth/Encr
    ------------------------------------------------
    Disabled - none/unknown/group-0/0 none/none

    配置方式如下:
    config radius auth retransmit-timeout 1 5
  • 检查 SNMPv3 默认用户。默认情况下,控制器会附带一个应禁用或更改的用户名。

    验证方式如下:
    (Cisco Controller) >show snmpv3user 
    SNMP v3 User SNMP v3 User Name AccessMode Authentication Encryption
    -------------------- ----------- -------------- ----------
    default Read/Write HMAC-MD5 CBC-DES

    配置方式如下:
    config snmp v3user delete default
    config snmp v3user create nondefault rw hmacsha des authkey encrkey

    记住您的SNMP设置必须配比在控制器和无线控制系统(WCS) /network控制System(NCS)/最初基础设施(PI)之间。并且,您应该使用加密和切细匹配您的安全策略的密钥。
  • 在控制器中, EAP标识请求的默认超时是1秒,不是足够为一些情况类似一次密码或智能卡实施,提示用户写入PIN或密码,在无线客户端能答复标识请求前。在自治接入点中默认是30秒,因此应该考虑到这,当您移植自治到基础设施无线网络时。

    更改方式如下:
    config advanced eap identity-request-timeout 30
  • 在主动环境中,一个有用的功能是启用阈值为 2 的接入点身份验证。这样不仅能够检测可能的欺骗,还能最大限度地减少误报检测。

    配置方式如下:
    config wps ap-authentication enable
    config wps ap-authentication threshold 2
  • 关于上一个提示,还可以使用管理帧保护 (MFP) 对在无线基础架构中的临近接入点之间检测到的所有 802.11 管理流量进行身份验证。需要考虑到某些常见的第三方无线网卡的驱动程序实施存在问题,即,无法正确地处理 MFP 所增加的额外信息元素。在测试和使用 MFP 之前,请确保使用网卡制造商提供的最新驱动程序。
  • 网络时间协议(NTP)对几个功能是非常重要。如果使用以下任一功能,则必须在控制器上使用 NTP 同步:定位、SNMPv3、接入点身份验证或 MFP。

    配置方式如下:
    config time ntp server 1 10.1.1.1

    要进行验证,请检查陷阱日志中的以下类似条目:
    30 Tue Feb 6 08:12:03 2007 Controller time base status - Controller is in sync with the central timebase.
  • 由于安全原因如果无线客户端应该在几个子网络被分离,每一个用不同的安全策略,它是一个好想法与Aaa覆盖功能一起使用一两WLAN (例如,每一个有一个不同的Layer2加密策略)。通过此功能,可以为每个用户指定设置。例如,请移动用户向在被分离的VLAN的一个特定动态接口或应用a每用户访问控制表(ACL)。
  • 虽然控制器和接入点支持与SSID的WLAN使用同时WiFi受保护的访问(WPA)和WPA2,非常普通一些无线客户端驱动程序不能处理复杂SSID设置。一般来说,它是一个好想法保持安全策略简单化为所有SSID和只允许WPA2-AES。如果一些客户端仍然不支持那,在同样SSID支持WPA2-AES和WPA1-TKIP。支持仅WPA1-TKIP的SSID不将允许开始控制器代码8.0

常规管理

常规管理的最佳实践如下:

  • 一般来说,在所有升级它是一个好想法进行配置的FTP/TFTP备份前。
  • AP能使用系统日志服务器发送故障排除信息。但是,默认情况下,它发送作为本地广播。如果AP不在相同子网作为系统日志服务器,变成单播地址是可行的。此更改是为了能收集此信息和减少系统消息造成的广播风暴的可能性传送对本地广播,万一有影响在同一子网的所有AP的发生。要检查此设置,请使用以下命令:
    (WiSM-slot1-1) >show ap config general AP1130-9064    

    Cisco AP Identifier.............................. 164
    Cisco AP Name.................................... AP1130-9064
    Country code..................................... BE - Belgium
    Regulatory Domain allowed by Country............. 802.11bg:-E 802.11a:-E
    AP Country code.................................. BE - Belgium
    AP Regulatory Domain............................. 802.11bg:-E 802.11a:-E
    Switch Port Number .............................. 29
    MAC Address...................................... 00:16:46:f2:90:64
    IP Address Configuration......................... DHCP
    IP Address....................................... 192.168.100.200
    IP NetMask....................................... 255.255.255.0
    Gateway IP Addr.................................. 192.168.100.1
    Telnet State..................................... Disabled
    Ssh State........................................ Disabled
    Cisco AP Location................................ default location
    Cisco AP Group Name.............................. default-group
    Primary Cisco Switch Name........................ Cisco_ea:5e:63
    Primary Cisco Switch IP Address.................. Not Configured
    Secondary Cisco Switch Name......................
    Secondary Cisco Switch IP Address................ Not Configured
    Tertiary Cisco Switch Name.......................
    Tertiary Cisco Switch IP Address................. Not Configured
    Administrative State ............................ ADMIN_ENABLED
    Operation State ................................. REGISTERED
    Mirroring Mode .................................. Disabled
    AP Mode ......................................... Local
    Public Safety ................................... Global: Disabled, Local: Disabled
    Remote AP Debug ................................. Disabled
    S/W Version .................................... 5.0.152.0
    Boot Version ................................... 12.3.7.1
    Mini IOS Version ................................ 3.0.51.0
    Stats Reporting Period .......................... 180
    LED State........................................ Enabled
    PoE Pre-Standard Switch.......................... Enabled
    PoE Power Injector MAC Addr...................... Disabled
    Power Type/Mode.................................. Power injector / Normal mode
    Number Of Slots.................................. 2
    AP Model......................................... AIR-LAP1131AG-E-K9
    IOS Version...................................... 12.4(20080324:062820)
    Reset Button..................................... Enabled
    AP Serial Number................................. FHK0952C0FC
    AP Certificate Type.............................. Manufacture Installed
    Management Frame Protection Validation........... Enabled (Global MFP Disabled)
    AP User Mode..................................... AUTOMATIC
    AP User Name..................................... cisco
    Cisco AP system logging host..................... 255.255.255.255

    要将它更改为对控制器中的所有 AP 可用的已知服务器,请使用以下命令:
    config ap syslog host global 10.48.76.33
  • AP能有控制台访问的(对AP的物理访问一本地凭证)。对所有 AP 均设置用户名和口令是一个很好的安全做法。要检查此设置,请使用以下命令:
    (WiSM-slot1-1) >show ap config general AP1130-9064

    Cisco AP Identifier.............................. 164
    Cisco AP Name.................................... AP1130-9064
    Country code..................................... BE - Belgium
    Regulatory Domain allowed by Country............. 802.11bg:-E 802.11a:-E
    AP Country code.................................. BE - Belgium
    AP Regulatory Domain............................. 802.11bg:-E 802.11a:-E
    Switch Port Number .............................. 29
    MAC Address...................................... 00:16:46:f2:90:64
    IP Address Configuration......................... DHCP
    IP Address....................................... 192.168.100.200
    IP NetMask....................................... 255.255.255.0
    Gateway IP Addr.................................. 192.168.100.1
    Telnet State..................................... Disabled
    Ssh State........................................ Disabled
    Cisco AP Location................................ default location
    Cisco AP Group Name.............................. default-group
    Primary Cisco Switch Name........................ Cisco_ea:5e:63
    Primary Cisco Switch IP Address.................. Not Configured
    Secondary Cisco Switch Name......................
    Secondary Cisco Switch IP Address................ Not Configured
    Tertiary Cisco Switch Name.......................
    Tertiary Cisco Switch IP Address................. Not Configured
    Administrative State ............................ ADMIN_ENABLED
    Operation State ................................. REGISTERED
    Mirroring Mode .................................. Disabled
    AP Mode ......................................... Local
    Public Safety ................................... Global: Disabled, Local: Disabled
    Remote AP Debug ................................. Disabled
    S/W Version .................................... 5.0.152.0
    Boot Version ................................... 12.3.7.1
    Mini IOS Version ................................ 3.0.51.0
    Stats Reporting Period .......................... 180
    LED State........................................ Enabled
    PoE Pre-Standard Switch.......................... Enabled
    PoE Power Injector MAC Addr...................... Disabled
    Power Type/Mode.................................. Power injector / Normal mode
    Number Of Slots.................................. 2
    AP Model......................................... AIR-LAP1131AG-E-K9
    IOS Version...................................... 12.4(20080324:062820)
    Reset Button..................................... Enabled
    AP Serial Number................................. FHK0952C0FC
    AP Certificate Type.............................. Manufacture Installed
    Management Frame Protection Validation........... Enabled (Global MFP Disabled)
    AP User Mode..................................... AUTOMATIC
    AP User Name..................................... cisco

    要将它更改为对控制器中的所有 AP 可用的已知服务器,请使用以下命令:
    config ap mgmtuser add username cisco password Cisco123 secret
    AnotherComplexPass all

如何将 WLC 崩溃文件从 WLC CLI 传输到 TFTP 服务器

输入这些命令为了转接从WLC CLI的WLC失败文件到TFTP server。

transfer upload datatype crashfile
transfer upload serverip <IP address of the TFTP Server>

transfer upload path <Enter directory path>


transfer upload filename <Name of the Crash File>


transfer upload start<yes>

注意: 当您输入目录路径时, “/”通常含义在TFTP server的默认根目录。

示例如下:

(Cisco Controller) >debug transfer tftp enable

(Cisco Controller) >debug transfer trace enable

(Cisco Controller) >transfer upload datatype crashfile

(Cisco Controller) >transfer upload filename aire2cra.txt

(Cisco Controller) >transfer upload path /

(Cisco Controller) >transfer upload serverip X.Y.Z.A

(Cisco Controller) >transfer upload start

Mode............................................. TFTP TFTP Server
IP................................... X.Y.Z.A TFTP
Path........................................ / TFTP
Filename.................................... aire2cra.txt Data
Type........................................ Crash File

Are you sure you want to start? (y/N) yes
Thu Dec 29 10:13:17 2005: RESULT_STRING: TFTP Crash File transfer starting.
Thu Dec 29 10:13:17 2005: RESULT_CODE:1

TFTP Crash File transfer starting.
Thu Dec 29 10:13:21 2005: Locking tftp semaphore, pHost=X.Y.Z.A
pFilename=/aire2cra.txt Thu Dec 29 10:13:22 2005:
Semaphore locked, now unlocking,
pHost=X.Y.Z.A pFilename=/aire2cra.txt Thu Dec 29 10:13:22 2005:
Semaphore successfully unlocked,
pHost=X.Y.Z.A pFilename=/aire2cra.txt Thu Dec 29 10:13:22 2005:
tftp rc=0, pHost=X.Y.Z.A pFilename=/aire2cra.txt
pLocalFilename=/mnt/application/bigcrash
Thu Dec 29 10:13:22 2005: RESULT_STRING: File transfer operation
completed successfully.
Thu Dec 29 10:13:22 2005: RESULT_CODE:11 File transfer operation
completed successfully.

加载对FTP服务器的Core dump文件

在经历失败用这些CLI命令后,为了帮助排除故障控制器失败,您能配置控制器自动地上传其core dump文件到FTP服务器:

config coredump {enable | disable}

config coredump ftp server_ip_address filename

config coredump username ftp_username password ftp_password

show coredump summary

您能当前上传从控制器软件监视器启动的重新启动的结果用CLI命令transfer upload datatype监视器失败FILE的控制器跟随失败的控制台转储。软件监视器模块周期地检查内部软件的完整性并且保证系统不在不一致或非操作状态时间长期以来坚持。

如果内核紧急发生在CLI命令, transfer upload datatype紧急失败FILE的控制器您能也上传内核紧急信息。

使用无线局域网控制器版本5.2,您能当前上传无线电core dump与控制器GUI的文件到TFTP或FTP服务器。之前,只能通过控制器 CLI 配置无线电设core dump上载。

容易使用

  • 推荐使“快速SSID更改”为了避免交换在Ssid之间的阻塞用户,除非使用一严格请求方类似AnyConnect和只盼望您的客户端首先总是连接到正确的配置文件。
  • 会话超时超时值应该有不同的设置从属在需要的安全。当完全优良是为802.1x获取的SSID时,三十分钟访客“web-auth”类型SSID的是更太小。语音Ssid不应该有任何超时为了避免中断。
  • 除非确实需要功能(例如,由于安全策略)和确认连接对WLAN的无线客户端支持他们,不用问题,您也许要禁用这些WLAN提前的设置。这是为了避免与无线客户端一些类型的兼容性问题:
    • MFP
    • Aironet IE
    • 客户端排除


Document ID: 82463