Беспроводные сети : Контроллеры беспроводной локальной сети Cisco серии 4400

Вопросы и ответы по устройству и функциям контроллера беспроводной ЛВС (Wireless LAN Controller, WLC)

7 апреля 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (20 декабря 2010) | Отзыв

Вопросы

Введение
Вопросы и ответы по устройству
Вопросы и ответы по функциям
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В этом документе представлены ответы на наиболее часто задаваемые вопросы по устройству и функциям контроллера беспроводной ЛВС (Wireless LAN Controller, WLC).

Более подробные сведения о применяемых в документе обозначениях см. в документе Cisco Technical Tips Conventions (Условные обозначения, используемые в технической документации Cisco).

Вопросы и ответы по устройству

Q. Действительно ли весь сетевой трафик от клиента WLAN и обратно начинает проходить через контроллер беспроводной ЛВС, как только точка доступа регистрируется на контроллере?

A. Когда точка доступа регистрируется на контроллере, между двумя устройствами начинает работать протокол облегченных точек доступа (Lightweight Access Point Protocol, LWAPP). Весь трафик, включая весь клиентский трафик, проходит через канал LWAPP.

Исключением является лишь ситуация, когда точка доступа находится в режиме Remote Edge AP (REAP). Когда точка доступа находится в режиме REAP, управляющий трафик по прежнему проходит через контроллер, но сами данные пересылаются в рамках локальной сети.

Q. Возможно ли установить точку доступа в удаленном офисе, а контроллер Cisco для беспроводной ЛВС в своем офисе? Работает ли протокол облегченных точек доступа (LWAPP) по WAN?

A. Да, можно организовать работу контроллеров WLC по территориальной сети WAN через точки доступа. LWAPP работает по WAN. Используйте режим Remote Edge AP (REAP). REAP позволяет управлять точкой доступа с помощью удаленного контроллера, подсоединенного к территориальной сети. Трафик сначала проходит по локальной сети для того, чтобы избежать ненужного прохождения местных данных по территориальной сети. Это одно из самых замечательных преимуществ работы контроллеров WLC в беспроводной сети.

Note: Не все облегченные точки доступа поддерживают REAP. Например, модель 1030 поддерживает REAP, но модели 1010 и 1020 не имеют такой поддержки. Перед тем как внедрять REAP, убедитесь, что ваши точки доступа поддерживают этот режим. Программные точки доступа Cisco IOS®, которые были преобразованы в LWAPP, не поддерживают режим REAP.

Q. Настройка облегченной точки доступа Cisco 1030 на работу с контроллером Cisco для беспроводной ЛВС в режиме REAP. Будет ли в этом режиме весь беспроводной трафик возвращаться обратно через контроллер WLC? В случае если точка доступа не может связаться с контроллером WLC, что произойдет с беспроводными клиентами?

A. Точка доступа 1030 направляет весь предназначенный контроллеру WLC управляющий трафик по протоколу облегченной точки доступа (Lightweight AP Protocol, LWAPP). Весь трафик данных остается локальным по отношению к точке доступа. Режим REAP для модели 1030 может работать только в рамках одной подсети из-за того, что он не поддерживает тегирование IEEE 802.1Q сети VLAN. Таким образом, трафик на каждом идентификаторе SSID остается в рамках той же подсети, что и проводная сеть. Следовательно, в то время как беспроводной трафик может быть разделен по воздуху между разными SSID, пользовательский трафик в рамках проводной сети не разделяется. Доступ к ресурсам локальной сети поддерживается в течение всего времени простоя территориальной сети.

В периоды простоя территориальной сети все беспроводные локальные сети, кроме первой, выводятся из эксплуатации. Поэтому используйте WLAN 1 в качестве первичной беспроводной сети и планируйте политику безопасности в соответствии с этим. Cisco рекомендует использовать для этой первичной сети локальный метод проверки подлинности и шифрования, например, защищенный ключ Wi-Fi Protected Access Pre-Shared Key (WPA-PSK).

Note: Метод Wired Equivalent Privacy (WEP) обеспечивает приемлемую безопасность, но его не рекомендуется использовать из-за наличия известных уязвимостей.

При использовании WPA-PSK (или WEP) пользователи, настроенные правильно, по прежнему смогут иметь доступ к ресурсам локальной сети, даже когда территориальная сеть неактивна.

Q. Чем отличается Remote-Edge AP (REAP) от Hybrid-REAP (H-REAP)?

A. В следующей таблице представлены различия между REAP и H-REAP.

wlc-design-ftrs-faq1.gif

Дополнительную информацию по REAP см. в разделе Пример конфигурации Remote-Edge AP (REAP) с облегченными точками доступа и контроллерами беспроводных ЛВС.

Дополнительную информацию по H-REAP см. в разделе Конфигурация Hybrid REAP.

Q. Настроены две беспроводные локальные сети с двумя разными динамическими интерфейсами. Каждый интерфейс имеет свою собственную сеть VLAN, которая отличается от сети VLAN интерфейса управления. Такая сеть работает, но не настроены магистральные порты для включения сетей VLAN, которые используют беспроводные сети. Проходят ли через точку доступа пакеты, принадлежащие интерфейсу управления сети VLAN?

A. Нет, эти пакеты не обрабатываются точкой доступа. Точка доступа изолирует клиентские пакеты в протоколе Lightweight AP Protocol (LWAPP), а затем направляет их на контроллер WLC. После этого котроллер WLC отделяет от пакетов заголовки LWAPP и перенаправляет пакеты на шлюз, снабдив их соответствующими метками сети VLAN. Метка сети VLAN зависит от сети WLAN, в которой находится клиент. Выбор контроллера WLC зависит от шлюза, используемого для направления пакетов к месту назначения. Чтобы передавать трафик нескольким сетям VLAN, необходимо сделать вышестоящий коммутатор магистральным портом. Данная диаграмма поясняет то, как сети VLAN работают с контроллерами.

wlc-design-ftrs-faq2.gif

Q. В наличии имеются десять облегченных точек доступа Cisco серии 1000 (Lightweight Access Points, LAP) и два контроллера беспроводной ЛВС (Wireless LAN Controllers, WLC) в одной и той же сети VLAN. Как зарегистрировать шесть точек LAP на контроллере WLC1, а другие четыре точки LAP на контроллере WLC2?

A. Протокол облегченных точек доступа (Lightweight AP Protocol, LWAPP) позволяет динамически управлять резервными устройствами и распределять нагрузку. Например, если задать более одного IP-адреса для параметра 43, точка доступа LAP посылает запросы LWAPP каждому IP-адресу, который она находит. При ответе на запрос контроллера он сохраняет следующую информацию.

  • Данные о подключенных LAP, то есть число точек LAP, которые имеют в данный момент доступ к контроллеру WLC.
  • Емкость LAP
  • Количество беспроводных клиентов, подключенных к WLC

После этого LAP пытается подключиться к наименее загруженному контроллеру WLC, который определяется по наибольшей доступной емкости для подключения LAP. Более того, после подключения к WLC через свой присоединенный контроллер точка LAP узнает IP-адреса других контроллеров WLC в мобильной группе. После этого точка доступа посылает первичные LWAPP-запросы каждому контроллеру WLC в мобильной группе. Контроллеры WLC посылают ответ на первичный запрос обратно точке доступа. Ответ на первичный запрос включает информацию о типе контроллера WLC, общей емкости и текущей загруженности точками доступа. До тех пор пока на контроллере WLC включен параметр AP Fallback (Резервирование точек доступа), точка доступа может переключаться между контроллерами WLC, выбирая среди них наименее загруженный.

Если же нужно подключить LAP к определенному постоянному контроллеру WLC, то следует настроить первичные, вторичные и третичные имена контроллеров при первом подключении LAP. После этого при развертывании LAP будет искать и регистрироваться на контроллере WLC, который помечен как первичный. Если первичный WLC не найден, точка доступа попытается зарегистрироваться на вторичном WLC и так далее.

Q. Имеются два контроллера беспроводной ЛВС, названные WLC1 и WLC2 и настроенные в одной мобильной группе на дублирование друг друга в случае неполадки. На данный момент облегченная точка доступа (LAP) зарегистрирована на контроллере WLC1. При сбое на WLC1, будет ли перезагружена зарегистрированная на нем точка доступа при ее переходе на резервный контроллер (WLC2)? Также, в случае резервной замены, будет ли нарушено соединение между клиентом WLAN и LAP?

A. Да, при выходе из строя WLC1, LAP действительно разорвет регистрацию на WLC1, перезагрузится и затем заново зарегистрируется на WLC2. Из-за перезагрузки LAP, связанные с ней клиенты WLAN на время теряют связь с перезагружающейся точкой LAP.

Q. Имеется резервная схема типа N+1 (2 работающих контроллера, 1 резервный), настроена функцию приоритетной работы WLAN на некоторых или всех точках доступа. Сохранят ли точки доступа приоритетные значения WLAN при переходе на резервный контроллер?

A. Да, при переходе на резервные контроллеры точки доступа сохраняют приоритетные значения WLAN.

Q. Зависит ли роуминг от режима протокола облегченных точек доступа (Lightweight Access Point Protocol, LWAPP), на использование которого настроен контроллер WLC? Может ли контроллер WLC, работающий в режиме Layer 2 LWAPP, осуществлять роуминг для режима Layer 3?

A. Если мобильная группировка контроллеров настроена правильно, то роуминг между клиентами должен работать. Роуминг не зависит от режима LWAPP (будь то Layer 2 или Layer 3). Тем не менее, рекомендуется по возможности использовать режим Layer 3.

Q. Что представляет собой роуминг, который возникает при переходе клиента к другой точке доступа или контроллеру?

A. Ниже представлена последовательность событий, происходящих при роуминге к другой точке доступа.

  1. Клиент посылает запрос на повторную регистрацию на контроллере WLC через точку доступа.
  2. Из-за отсутствия быстрого защищенного роуминга, контроллер WLC попросит клиента ввести идентификационные данные. После этого контроллер WLC проверит подлинность клиента при помощи сервера RADIUS.
  3. После успешной проверки подлинности клиента по протоколу 802.1x, контроллер WLC рассылает мобильный пакет другим членам мобильной группы и запрашивает информацию о клиенте. Контроллер WLC рассылает эту информацию для того, чтобы выяснить, на каком контроллере изначально зарегистрирован клиент, а также получить другие сведения о клиенте.
  4. Контроллер WLC, на котором зарегистрирован клиент, отзывается на это мобильное сообщение.
  5. На основе этого ответа контроллер WLC обновляет данные о клиенте в своей базе данных.

Note:  В процессе повторной регистрации беспроводной клиент не отсылает запрос на проверку своей подлинности (802.11) самостоятельно. Беспроводной клиент просто повторно регистрируется. После этого он проходит проверку подлинности по протоколу 802.1x.

Q. Какие порты следует открыть для протокола облегченных точек доступа (LWAPP), чтобы обеспечить связь при наличии в сети брандмауэра?

A. Нужно открыть следующие порты:

  • Включите эти UDP-порты для прохождения LWAPP-трафика:
    • Данные - 12222
    • Управляющий трафик - 12223
  • Включите эти UDP-порты для прохождения мобильного трафика:
    • 16666 - 16666
    • 16667 - 16667
  • TCP 161 и 162 для SNMP (для беспроводной системы контроля - Wireless Control System [WCS])

Следующие порты открывать необязательно (зависит от ваших требований):

  • UDP 69 для TFTP
  • TCP 80 и/или 443 для HTTP, либо HTTPS с доступом через графический интерфейс
  • TCP 23 и/или 22 для Telnet или защищенной оболочки (secure shell, SSH) с доступом из командной строки

Q. Поддерживают ли контроллеры беспроводной ЛВС протокол Reverse ARP (RARP)?

A. RARP поддерживается контроллерами WLC с версией микропрограммы 4.0.217.0 или более новой. RARP не поддерживается на более ранних версиях.

Q. Можно ли использовать внутренний сервер DHCP на контроллере беспроводной ЛВС для того, чтобы назначить IP-адреса облегченным точкам доступа?

A. Контроллеры имеют внутренний сервер DHCP. Этот сервер обычно используется в офисах подразделений, у которых еще нет отдельного сервера DHCP. Беспроводная сеть обычно содержит 10 или менее точек доступа, при этом точки доступа находятся в той же IP-подсети, что и контроллер. Внутренний сервер обеспечивает адреса DHCP для беспроводных клиентов, точек доступа с прямым подключением, служебных точек доступа на интерфейсе управления и запросов DHCP, которые транслируются точками доступа. Поддерживаются только LAP. Контроллеры WLC никогда не предоставляют адреса вышестоящим устройствам. Параметр 43 DHCP не поддерживается внутренним сервером. В связи с этим, точка доступа должна использовать альтернативный метод поиска IP-адреса интерфейса управления на контроллере, например вещание по локальной подсети, DNS, прайминг, либо беспроводной поиск.

Note: Микропрограммы WLC версий до 4.0 не поддерживают работу DHCP для LAP, если только LAP не подключены к контроллеру WLC напрямую. Внутренний сервер DHCP используется только для предоставления IP-адресов клиентам, которые подсоединяются к беспроводной локальной сети.

Q. Каким образом централизованное управление ключами Cisco (Cisco Centralized Key Management, CCKM) работает в среде протокола облегченных точек доступа (LWAPP)?

A. Во время первоначальной регистрации клиентов точка доступа или контроллер WLC создает управляющий парный ключ (pair-wise master key, PMK) после того как беспроводной клиент проходит проверку подлинности по протоколу 802.1x. Точка доступа WLC или WDS запоминает ключ PMK для каждого клиента. Когда беспроводной клиент перерегистрируется или перемещается в рамках роуминга, он пропускает проверку подлинности по протоколу 802.1x и проверяет ключ PMK напрямую.

Единственным специфическим моментом в реализации контроллера WLC в CCKM является то,что контроллеры WLC общаются с клиентами CCKM при помощи мобильных пакетов, таких как UDP 16666.

Q. Можно ли узнать имя облегченной точки доступа (LAP) когда она не зарегистрирована на контроллере?

A. Если точка доступа полностью отключена и не зарегистрирована на контроллере, то отследить LAP с помощью контроллера невозможно. Единственным способом остается изучить сам коммутатор, к которому подключены эти точки доступа, и найти соответствующие порты, для чего пригодится следующая команда:

show mac-address-table address <mac address>

С ее помощью вы узнаете номер порта на коммуникаторе, куда подключена точка доступа. После этого используйте команду:

show cdp nei <type/num>detail

Вывод этой команды также позволяет узнать имя LAP. Тем не менее, этот метод работает только в том случае, если точка доступа включена в электросеть и подсоединена к коммутатору.

Q. Поддерживает ли унифицированное беспроводное решение Cisco Ethernet-мосты Linksys?

A. Нет. Несмотря на то, что унифицированное беспроводное решение Cisco не поддерживает Ethernet-мосты Linksys WET54G и WET11B, эти устройства можно использовать в среде унифицированного беспроводного решения при условии соблюдения следующих инструкций.

  • Подсоединяйте только одно устройство к WET54G или WET11B.
  • Включите функцию клонирования MAC-адресов на WET54G или WET11B для клонирования адресов подсоединенных устройств.
  • Установите новейшие драйвера и версии микропрограмм на устройства, подсоединенные к WET54G или WET11B. Эти инструкции особенно важны для принтеров JetDirect из-за того, что старые версии микропрограмм создают проблемы с DHCP.

Note:  Так как эти устройства не поддерживаются унифицированным беспроводным решением Cisco, служба технической поддержки Cisco не может помочь в решении связанных с этими устройствами проблем.

Вопросы и ответы по функциям

Q. Как задать тип расширяемого протокола проверки подлинности (Extensible Authentication Protocol,EAP) на контроллере беспроводной ЛВС? При попытке зарегистрироваться на сервере контроля доступа (Access Control Server, ACS), в файле журнала появляется сообщение "unsupported EAP" (неподдерживаемая точка доступа EAP).

A. На контроллере WLC не предусмотрено отдельной настройки для типа EAP. Для облегченной EAP (LEAP), гибкой проверки подлинности EAP через безопасное туннелирование (Flexible Authentication via Secure Tunneling, EAP-FAST), или Microsoft Protected EAP (MS-PEAP), достаточно настроить IEEE 802.1x или защищенный доступ к Wi-Fi (WPA) (если вы используете 802.1x с WPA). Любой тип EAP, который поддерживается системой RADIUS, а также на стороне клиента, будет работать с меткой 802.1x. Настройки EAP на стороне клиента и на сервере RADIUS должны совпадать.

Выполните эти шаги для того, чтобы включить EAP через графический интерфейс на контроллере WLC.

  1. В окне Summary (Сводка) щелкните WLANs.
  2. Щелкните New (Создать) в правой части окна для того, чтобы задать новый идентификатор SSID для WLAN.
  3. В окне WLAN > New введите значение SSID для сети WLAN, выберите идентификатор WLAN из выпадающего списка и нажмите Apply (Применить). Появится окно WLAN > Edit (Правка).
  4. Выберите Security Policies > Layer 2 Security (Политики безопасности > Безопасность Layer 2), выберите 802.1x в качестве метода проверки подлинности из выпадающего списка и нажмите Apply (Применить). Вы также можете настроить параметры 802.1x, которые доступны из того же окна. После этого контроллер WLC направляет пакеты проверки подлинности EAP между беспроводным клиентом и сервером проверки подлинности. Сведения о том, как включить EAP на контроллерах WLC из командной строки, см. в разделе Настройка безопасности Layer 2 руководства Настройка беспроводных локальных сетей.

Q. Что такое PKC и как оно работает с контроллером беспроводной ЛВС?

A. PKC означает Proactive Key Caching (проактивное кэширование ключей). Оно было разработано в качестве расширения к стандарту IEEE 802.11i.

Функциональность PKC реализована в контроллерах Cisco серий 2006/410x/440x; она позволяет правильно оборудованным беспроводным клиентам осуществлять роуминг без повторных проверок подлинности в пределах сервера AAA. Для понимания PKC нужно сначала понять принцип работы кэширования ключей.

Функция кэширования ключей была добавлена в протокол WPA2. Она позволяет мобильной станции запоминать управляющие ключи (Pairwise Master Key [PMK]), полученные в результате успешной проверки подлинности на точке доступа), и повторно использовать их для будущих регистраций той же самой точки доступа. Это означает, что мобильное устройство должно пройти проверку подлинности на одной точке доступа только один раз, после чего ключ запоминается и используется в будущем. Кэширование ключей осуществляется через механизм, известный как идентификатор PMK Identifier (PMKID), являющийся хэшем PMK, строкой, станцией и MAC-адресом точки доступа. PMKID является уникальным идентификатором PMK.

Даже при использовании кэширования ключей, беспроводная станция должна проверить подлинность каждой точки доступа, которая хочет зарегистрироваться на станции. Это создает значительные задержки и простои, которые притормаживают развертывание и мешают поддержке приложений реального времени. Для исправления этой ошибки в протокол WPA2 был добавлен PKC.

PKC позволяет станции повторно использовать ключ PMK, полученный ранее в результате успешной проверки подлинности. Это устраняет необходимость станции проверять подлинность новых точек доступа при роуминге.

Таким образом, при роуминге внутри одного контроллера, при переходе мобильного устройства от одной точки доступа к другой, клиент еще раз вычисляет идентификатор PMKID на основе ранее использованного PMK и представляет его для регистрации. Контроллер WLC просматривает свой кэш ключей PMK и ищет совпадение. Если он находит его, то проверка подлинности 802.1X пропускается, и сразу же начинается обмен ключами WPA2. Если совпадение не найдено, происходит стандартная проверка подлинности 802.1X.

PKC по умолчанию включен в WPA2. Поэтому при включении WPA2 как уровня безопасности Layer 2 в настройках WLAN контроллера WLC, PKC начинает работать на контроллере WLC. Следует также настроить сервер AAA и беспроводной клиент для соответствующей проверки подлинности EAP.

Для работы PKC нужно также настроить поддержку WPA-2 на стороне клиента. PKC можно использовать для роуминга в пределах одного контроллера.

Note: PKC не работает с настольной утилитой Aironet (Aironet Desktop Utility, ADU) в качестве клиента.

Q. Поддерживается ли динамическое назначение сети VLAN на основе идентификатора пользователя (через RADIUS) на контроллерах беспроводных ЛВС в режиме LWAPP с точками доступа Cisco Aironet 1242? Если да, то как много сетей VLAN можно сопоставить одному идентификатору SSID?

A. Да, динамическое назначение сети VLAN, основанное на клиентском идентификаторе пользователя, (через RADIUS) поддерживается на контроллерах WLC. Когда VLAN Interface-Name или VLAN-Tag доступны в RADIUS Access Accept, система переводит клиент на особый интерфейс. Дополнительную информацию см. в разделе Настройка сетевой идентификации в руководстве Настройка решений безопасности. Идентификатор SSID (в терминологии контроллера это WLAN) может быть привязан только к одной сети VLAN (в терминологии контроллера — один интерфейс). Таким образом, можно иметь 16 различных сетей VLAN с 16 различными идентификаторами SSID. При использовании точки доступа, конвертированной при помощи ПО Cisco IOS, такой как Aironet 1241, беспроводной интерфейс поддерживает только 8 разных идентификаторов SSID. Это ограничение оборудования.

Q. Поддерживают ли контроллеры Cisco для беспроводных ЛВС и облегченные точки доступа протокол IPv6?

A. На данный момент контроллеры серий 4400 и 4100 поддерживают только транзитную передачу по IPv6. Полноценная поддержка IPv6 не реализована.

Для включения IPv6 на контроллере WLC отметьте пункт IPv6 Enable в настройках WLAN SSID на странице WLAN > Edit (Правка).

Также для поддержки IPv6 требуется включить режим Ethernet Multicast Mode (EMM). Если отключить EMM, связь по IPv6 с клиентскими устройствами будет разорвана. Для включения EMM, зайдите на страницу Controller > General (Общие) и из выпадающего меню Ethernet Multicast Mode выберите Unicast (одноадресный режим) или Multicast (широковещательный режим). Это включает широковещание как в одноадресном режиме, так и в режиме Multicast. Когда включено широковещание в одноадресном режиме, каждая точка доступа получает по отдельной копии пакета. Это значительно нагружает процессор, так что будьте осторожны. Полноценный режим Multicast использует заданные пользователем адреса для более традиционного широковещания на точки доступа.

Note: IPv6 не поддерживается контроллерами 2006.

Также имеется ошибка Cisco bug ID CSCsg78176, которая не позволяет работать сквозной передаче по IPv6, если используется функция AAA Override.

Q. Как задать настройки дуплекса на контроллере беспроводной ЛВС и на облегченных точках доступа?

A. Беспроводные продукты Cisco лучше всего работают, когда скорость и дуплекс автоматически согласовываются друг с другом, однако можно самостоятельно задать настройки дуплекса на контроллере WLC и облегченных точках доступа.

Чтобы задать настройки скорости/дуплекса на точке доступа, нужно сначала настроить дуплекс для точек доступа на контроллере и затем, в свою очередь, передать настройки собственно точкам доступа. Для настройки дуплекса из командной строки дайте следующую команду:

configure ap ethernet duplex <auto/half/full>speed <auto/10/100/1000><all/Cisco AP Name>

Эта команда будет работать только с версией 4.1 или более новой.

Для настройки дуплекса на физических интерфейсах WLC дайте следующую команду:

config port physicalmode {all | port} {100h | 100f | 10h | 10f}

Эта команда настраивает некоторые или все Ethernet-порты 10/100BASE-T передней панели на работу с выделенными каналами 10 Мбит/с или 100 Мбит/с в полудуплексном или полностью дуплексном режиме. Обратите внимание, что сначала нужно отключить автосогласование с помощью команды config port autoneg и только потом вручную настраивать какой-либо физический режим порта. Также помните, что команда config port autoneg является более приоритетной, чем настройки команды config port physicalmode . По умолчанию все порты настроены на автоматическое согласование.

Note: Настройки скорости оптоволоконного соединения изменить нельзя.

Q. Подготовка внедрения списков контроля доступа (access control lists, ACL) в контроллеры беспроводных ЛВС. Имеются идентификаторы SSID, которые связаны с различными метками сети VLAN и, соответственно, с различными сегментами IP. На первичной пользовательской WLAN требуется открыть неограниченный никакими IP доступ к сети. На вторичной WLAN требуется запретить доступ к некоторым серверам (четыре сервера) во внутренней сети, плюс доступ к Интернету. Возникают три вопроса. Во-первых, при настроенной ACL будет ли обработка списка идти по порядку и остановится как только будет найдено совпадение?

A. Списки ACL обрабатываются от начала до конца, останавливаясь на совпадающих строках.

Q. Во-вторых, если список контроля доступа определен, но ни одного совпадения не найдено, трафик будет разрешен или запрещен? Другими словами, если все правила действуют для защищенной части IP-сети, что происходит с трафиком в сети свободного доступа?

A. В конце каждого списка контроля доступа находится запрет. Таким образом, при отсутствии совпадений трафик блокируется. Необходимо добавить разрешения для сети свободного доступа, в случае если она находится на том же интерфейсе.

Q. Наконец, можно ли применить списки контроля доступа отдельно к каждой WLAN или к отдельным логическим интерфейсам?

A. Да, можно применить список контроля доступа к WLAN. Синтаксис команды выглядит так:

 config wlan acl [<Wlan id>] [<ACL name> | none]

Q. Поддерживает ли контроллер Cisco 2000 для беспроводных ЛВС проверку подлинности по сети для гостевых пользователей? Возможно ли исключить идентификатор SSID из широковещательной рассылки контроллера WLC?

A. Проверка подлинности по сети поддерживается на всех контроллерах WLC Cisco. Для включения этой функции выполните следующие шаги:

  1. В окне графического инструмента настройки щелкните Edit (Правка) для того, чтобы изменить отдельные параметры WLAN, отметьте флажком пункт Web Authentication (Проверка подлинности по сети) и нажмите Apply (Применить).
  2. Сохраните изменения и перезагрузитесь для того, чтобы функция проверки подлинности по сети заработала.
  3. В разделе безопасности, выберите Local Net User (Пользователи локальной сети) и выполните следующие действия:
    1. Для входя гостя в систему задайте гостевые имя и пароль. Следует учитывать регистр символов.
    2. Выберите используемый идентификатор WLAN ID.

A. Для отключения широковещательной рассылки идентификатора SSID, снимите флажок у пункта Broadcast SSID в окне WLAN > Edit (Правка).

Q. В моей сети есть WLAN с фильтрацией MAC-адресов и полностью открытая WLAN. Будет ли клиент по умолчанию выбирать открытую WLAN? Либо он будет автоматически зарегистрирован на идентификаторе WLAN ID, который настроен на MAC-фильтре? Почему на MAC-фильтре имеется параметр "interface" (интерфейс)?

A. Клиент может быть зарегистрирован на любой WLAN, к которой позволяют подключаться настройки. Параметр интерфейса на MAC-фильтре позволяет применить фильтр как к WLAN, так и к интерфейсу. Если к одному интерфейсу привязаны несколько WLAN, MAC-фильтр можно применить к интерфейсу без необходимости создания фильтров для каждой отдельной WLAN.

Q. Что означает параметр Over the Air QoS на контроллере?

A. Over the Air QoS (QoS по воздуху) является параметром, задаваемым на контроллере. Его значение различается в зависимости от класса пользователя.

В среде Cisco Unified Wireless Networking пользователи беспроводной локальной сети могут быть разбиты на классы и назначены любому из следующих профилей QoS:

  • Платиновый
  • Золотой
  • Серебряный
  • Бронзовый

Эти профили находятся на странице Controller > QoS profiles (Контроллер > Профили QoS).

Для каждого из этих профилей Cisco предусмотрела настраиваемый параметр Over the Air QoS (QoS по воздуху), который можно найти на странице правки каждого профиля. Этот параметр задает две разных настройки для определенного класса пользователей (то есть для профиля QoS).

  • Maximum radio frequency (RF) usage (per access point [AP]) (Предел использования радиочастот в расчете на точку доступа). Позволяет задать максимальный процент пропускной способности канала, которая будет доступна данному классу пользователей. Например, если в сети гостевому профилю QoS выделен "бронзовый" канал с ограничением в 10% общей пропускной способности, то даже если на этой точке доступа будет работать один пользователь, ему в любом случае будет предоставлено не более 10% ширины общего канала.
  • Queue Depth (Глубина очереди). Задает глубину очереди для данного класса. Пакеты, которые превышают это значение, сбрасываются обратно на точку доступа.

    Note: Предел использования радиочастот поддерживается только на устройствах серии 1000.

Q. На контроллере настроены 512 пользователей. Существует ли способ увеличить число пользователей по умолчанию на контроллере беспроводной ЛВС?

A. База данных локальных пользователей ограничена 2048 записями (максимально), в то время как по умолчанию выставлено значение 512 на странице Security > General (Безопасность > Общие). Эта база данных является общей для локальных пользователей (включая администраторов), сетевых пользователей (включая гостей), записей MAC-фильтра и отключенных клиентов. Эти типы пользователей в совокупности не могут превышать заданный размер базы данных.

При попытке настройки более 512 пользователей, причем без увеличения стандартного объема базы данных, контроллер WLC отобразит ошибку. Например, если вы попытаетесь добавить MAC-фильтр в ситуации, когда в базе данных настроены 512 пользователей, а объем базы данных не увеличен (оставлен по умолчанию), то появится следующее сообщение об ошибке.

Error in creating MAC filter

Чтобы увеличить размер локальной базы данных до 2048, используйте следующую команду в консоли:

<Cisco Controller>config database size?
<count>        Enter the maximum number of entries (512-2048)

Q. Что такое Link Aggregation (LAG, Объединение соединений)? Как включить LAG на контроллере беспроводной ЛВС?

A. LAG объединяет все используемые системные порты в один канал EtherCannel. Это уменьшает число IP-адресов, необходимых для настройки портов контроллера. При использовании LAG система динамически управляет резервированием портов и распределением нагрузки между точками доступа, причем все это происходит прозрачно для пользователя.

Контроллеры Cisco серии 4400 поддерживают LAG в ПО версии 3.2 и более новой, и LAG автоматически включается на контроллерах, подключенных к Cisco WiSM и коммутатору интегрированного контроллера беспроводной ЛВС Catalyst 3750G. Без использования LAG каждый порт системы распределения контроллера поддерживает до 48 точек доступа. При использовании LAG логический порт контроллера 4402 поддерживает до 50 точек доступа, логический порт контроллера 4404 поддерживает до 100 точек доступа, а логический порт на каждом контроллере Cisco WiSM поддерживает до 150 точек доступа.

LAG не будет работать если два или более портов контроллера подключены к различным коммутаторам.

Дополнительную информацию о LAG и его включении на контроллере WLC см. Включение функции объединения соединений.

Q. Беспроводная сеть содержит более 500 точек доступа, а некоторые сети VLAN по соображениям безопасности могут работать только в конкретных зданиях. Как запретить идентификатор SSID на точке доступа таким образом, чтобы SSID рассылались на определенные точки доступа, а не на все?

A. Используйте функцию WLAN Override (Приоритет WLAN). Выполните следующие шаги для настройки функции приоритета WLAN.

  1. В окне графического инструмента настройки WLC перейдите в раздел Wireless (Беспроводная сеть) и выберите рабочий стандарт беспроводной связи — IEEE 802.11b/g или IEEE 802.11a.
  2. Чтобы выбрать точку доступа, которую необходимо изменить, щелкните ссылку Configure (Настроить) напротив соответствующей точки доступа.
  3. Из выпадающего меню WLAN Override (Приоритет WLAN) выберите Enable (Включить).

    Note: Это меню расположено в самой левой части окна.

    Появится список всех сетей WLAN, которые настроены на контроллере WLC.
  4. В этом списке отметьте сети WLAN, которые необходимо включить на точке доступа, затем нажмите Apply (Применить).
  5. После внесения изменений сохраните конфигурацию. При сохранении конфигурации изменения вступят в силу после перезагрузки контроллера WLC.

Q. Как мне настроить контроллер/облегченную точку доступа (LAP) для повторной регистрации на сервере RADIUS каждые три минуты или с другим интервалом?

A. Для этого можно использовать параметр таймаута сессии, который находится на странице WLAN > Edit (Правка). По умолчанию, параметр таймаута сессии равен 1800 секундам, по истечении которых происходит повторная регистрация.

Измените значение, установив 180 секунд для того, чтобы клиент перерегистрировался с интервалом в три минуты.

При использовании вместе с параметрами Access-Accept и Termination-Action в рамках запроса RADIUS-Request, атрибут Session-Timeout указывает максимальное число секунд, по истечении которых требуется повторная регистрация. В этом случае атрибут Session-Timeout используется для загрузки константы reAuthPeriod в рамках таймера повторной регистрации для 802.1X.

Q. За что отвечает мобильная функция Auto-anchor в унифицированных беспроводных сетях?

A. Мобильная функция Auto-anchor (средство автоматической мобильной привязки, также средство гостевой WLAN-мобильности) используется для улучшения распределения нагрузки при роуминге клиентов в рамках беспроводной сети. В условиях нормального роуминга клиентские устройства подключаются к WLAN и привязываются к первому контроллеру, с которым удается наладить связь. При переходе клиента к другой подсети, контроллер, к которому переходит клиент, запускает гостевую сессию, связывающую его с изначальным клиентским контроллером. Тем не менее, используя мобильную функцию Auto-anchor, в качестве точек привязки для клиентов внутри сети WLAN можно указать один или несколько контроллеров.

При использовании мобильной функции Auto-anchor часть мобильной группы указывается в качестве контроллеров привязки для WLAN. Эту функцию можно использовать для ограничения WLAN отдельной подсетью, вне зависимости от того, каким образом клиент вошел в сеть. После этого клиенты будут иметь доступ к гостевой WLAN в рамках компании, но все равно не смогут заходить в закрытые части сети. Мобильная функция Auto-anchor также может обеспечивать распределение нагрузки на основе физического расположения сетей WLAN, например, для отдельных помещений в здании (фойе, ресторан, и т.д.) или эффективного развертывания контроллеров для домашней WLAN. Вместо того, чтобы привязываться к первому контроллеру, с которым удалось связаться, мобильные клиенты могут привязываться к тем контроллерам, которые управляют точками доступа отдельных помещений или зон.

Note: Мобильную привязку не следует настраивать для режима мобильности Layer 3. Мобильная привязка используется только для гостевого туннелирования.

Когда клиент впервые регистрируется на контроллере мобильной группы, которая заранее настроена в качестве мобильной привязки для WLAN, создается локальная сессия связи для клиента. Клиенты могут быть закреплены только на контроллерах, которые были заранее настроены для установления привязок в сети WLAN. На отдельно взятой WLAN на всех контроллерах в мобильной группе следует настроить одинаковый набор привязок контроллеров. Дополнительную информацию см. в разделе Настройка мобильной функции Auto-Anchor.

Q. Настроено гостевое туннелирование — Ethernet поверх туннеля IP (EoIP) — между контроллером беспроводной ЛВС серии 4400, который выступает в роли контроллера привязки, и некоторыми удаленными контроллерами. Может ли этот контроллер привязки направлять вещание подсети по туннелю EoIP от проводной сети к беспроводным клиентам, зарегистрированным на удаленных контроллерах?

A. Нет, контроллер WLC 4400 не может направлять вещание IP-подсети от проводной сети к беспроводным клиентам по туннелю EoIP. Эта функция не поддерживается. Cisco не поддерживает туннелирование вещания подсети или мультивещания в рамках гостевой сети. Гостевая WLAN принудительно перемещает клиента в строго определенный сегмент сети, как правило, с внешней стороны брандмауэра. Туннелирование вещания подсети может создать уязвимость в безопасности.

Q. Поддерживают ли контроллеры Cisco для беспроводных ЛВС резервирование на случай неполадки?

A. Да, если у вас есть два или более контроллеров WLC в сети WLAN, вы можете настроить для них резервирование. Дополнительную информацию см. в документе Пример конфигурации резервирования контроллера WLAN для облегченных точек доступа.

Q. Как настроить сети VLAN на контроллере беспроводной ЛВС?

A. Чтобы настроить сети VLAN на контроллере беспроводной ЛВС, выполните процедуру в разделе Пример конфигурации сетей VLAN на контроллере беспроводной ЛВС.

Q. Как настроить проверку подлинности TACACS для администраторов на контроллере беспроводной ЛВС?

A. Начиная с версии 4.1, контроллер WLC поддерживает TACACS. Описание настройки TACACS+ для проверки подлинности администраторов на контроллере WLC см. в разделе Конфигурация TACACS+.

Q. Можно ли использовать внутренний сервер DHCP на контроллере беспроводной ЛВС для того, чтобы назначить IP-адреса облегченным точкам доступа?

A. Это можно сделать в версии 4.0 на контроллере WLC. Все другие версии могут назначать IP-адреса только клиентам.

Q. Почему перед проверкой подлинности нужны списки контроля доступа (ACL) на контроллере беспроводной ЛВС?

A. Обычно эти списки используются для проверки подлинности во внешней сети на контроллерах WLC серии 2000. При использовании WLC-контроллера Cisco 2000 необходимо настроить предварительный список контроля доступа на WLAN для внешнего веб-сервера. Затем этот список следует установить в качествe предварительного списка контроля доступа WLAN в разделе Web Policy (Сетевая политика). Предварительный список контроля доступа после этого перенаправляет клиента на внешний URL-адрес для проверки подлинности (на внешнем веб-сервере).

Ниже представлен пример такого списка.

wlc-design-ftrs-faq3.gif

В этом примере 192.168.2.70 является IP-адресом внешнего веб-сервера.

Тем не менее, не нужно настраивать какие либо списки контроля доступа для беспроводных контроллеров Cisco серий 4100 и 4400.

Q. Какие значения дифференцированных сервисных кодов (Differentiated Services Code Point, DSCP) используются для голосового трафика в настройках контроллера беспроводной ЛВС и облегченной точки доступа (LWAPP)? Каким образом в контроллере реализован QoS?

A. Сети WLAN в рамках унифицированного решения Cisco для беспроводной сети поддерживают четыре уровня QoS:

  • Платиновый/голос
  • Золотой/видео
  • Серебряный/оптимальный выбор (по умолчанию)
  • Бронзовый/фон

Вы можете настроить сеть WLAN с голосовым трафиком на использование платинового уровня QoS, назначить WLAN с низкой скоростью канала бронзовому уровню QoS, а весь остальной трафик распределить между оставшимися уровнями QoS.

Дополнительную информацию см. в разделе Настройка уровня обслуживания.

Q. Когда беспроводной пользователь пытается зарегистрироваться через проверку подлинности по сети с использованием идентификатора SSID, и контроллер беспроводной ЛВС посылает запрос подтверждения подлинности на сервер контроля доступа (ACS) (RADIUS), то какой IP-адрес на контроллере беспроводной ЛВС используется в качестве исходного адреса для сервера доступа к сети (NAS) со стороны сервера RADIUS в данном случае?

A. Используйте интерфейс управления IP-адресами на контроллере WLC для указания IP-адреса серверу NAS.

Q. Можно ли настроить контроллер Cisco 2006 для беспроводной ЛВС в качестве привязки для WLAN?

A. Беспроводной WLC-контроллер Cisco 2006 не может служить привязкой для WLAN. Тем не менее, созданная на этом контроллере WLAN может использовать контроллеры Cisco серий 4100 и 4400 в качестве привязок.

Q. Что означают эти значения таймаута на контроллере: Address Resolution Protocol (ARP) timeout, User timeout, и Session timeout?

A. ARP timeout используется для удаления записей ARP через интерфейс управления и диспетчер точек доступа.

Контроллер WLC использует только параметры user timeout и session timeout для закрытия клиентских сессий в случае, если агрессивное распределение нагрузки отключено.

Параметр user timeout используется в ситуациях, когда клиент теряет связь с облегченной точкой доступа, на которой он зарегистрирован, но не сообщает об этом на саму точку доступа. Это может произойти когда, например, на клиентском устройстве садится батарея. В таких случаях значение таймаута сообщает контроллеру, сколько времени нужно ждать соединения с конкретным беспроводным клиентом перед тем, как разорвать регистрацию, очистить память и т.д. Если контроллер получает пакет от клиента, он сбрасывает этот таймер и продолжает работу с клиентом. Значение пользовательского таймаута является глобальным для контроллера.

Параметр session timeout представляет собой общий таймаут для всех клиентов в беспроводной сети (WLAN). Его значение фиксировано и не может быть сброшено каким-либо пакетом. Если вы пользуетесь управлением ключами при помощи расширяемого протокола проверки подлинности (Extensible Authentication Protocol, EAP), то создание новых ключей происходит с регулярным интервалом для того, чтобы генерировать новые ключи шифрования. Если управление ключами не используется, это значение таймаута обозначает время, которое требуется беспроводному клиенту для полной повторной проверки подлинности. Таймаут сессии задается отдельно для каждой WLAN.

Для контроллера версии 4.0 было сделано исправление, потому что до этого при настройке безопасности Layer 2 с использованием Wired Equivalent Privacy (WEP), Cisco Key Integrity Protocol (CKIP) или Wi-Fi Protected Access (WPA1+WPA2), контроллер автоматически сбрасывал значение таймаута сессии на ноль.

Q. Для чего нужна настройка неоднократных ошибок проверки подлинности по сети в контроллере беспроводной ЛВС?

A. Эта настройка входит в состав средств фильтрации клиентов. Фильтрация клиентов является мерой безопасности, предусмотренной на контроллере. Эта политика используется для занесения клиентов в "черный список", чтобы предотвратить незаконный доступ к сети, а также атаки на беспроводную сеть.

При включенном слежении за неоднократными ошибками проверки подлинности по сети, если клиент более пяти раз подряд допускает ошибки при регистрации, контроллер считает, что клиент превысил максимальное число попыток и заносит клиента в "черный список".

A. Выполните следующие шаги для включения или выключения этого параметра.

  1. В окне графического инструмента настройки контроллера WLC перейдите в раздел Security > Wireless Protection Policies > Client Exclusion Policies (Безопасность > Защита беспроводной сети > Политики запрета доступа).
  2. Поставьте или снимите флажок у параметра Excessive Web Authentication Failures (Неоднократные ошибки проверки подлинности).

Q. Автономная точка доступа переведена в режим облегченной работы. Обычно в режиме поддержки протокола LWAPP с использованием сервера AAA RADIUS для регистрации клиентов отслеживание клиента сервером RADIUS производится на базе IP-адреса контроллера. Возможно ли сделать так, чтобы регистрация на сервере RADIUS происходила на базе MAC-адреса связанной с контроллером точки доступа, а не на базе IP-адреса контроллера?

A. Да, это можно сделать, изменив настройки контроллера. Выполните следующие шаги:

  1. В окне графического инструмента настройки, в разделе security > radius accounting (безопасность > регистрация radius) имеется выпадающий список параметра Call Station ID Type (Тип идентификатора запрашивающей стороны). Выберите AP MAC Address.
  2. Проверьте настройки, сверив их с журналом точки доступа LWAPP. Здесь вы можете видеть поле идентификатора запрашивающей стороны, где отображается MAC-адрес точки доступа, на которой зарегистрирован тот или иной клиент.

Q. Поддерживает ли контроллер беспроводной ЛВС проверку подлинности по сети с использованием базы данных облегченного протокола доступа к директориям (Lightweight Directory Access Protocol, LDAP)?

A. На данный момент контроллер WLC не поддерживает проверку подлинности по сети с использованием базы данных LDAP.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 98673