Беспроводные сети / Мобильные решения : "Беспроводные сети, LAN (WLAN)"

Рекомендации по настройке контроллера беспроводной LAN (WLC)

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (7 апреля 2008) | Английский (22 августа 2015) | Отзыв

Введение

В этом документе приводятся краткие рекомендации по настройке для решения ряда проблем с унифицированной беспроводной инфраструктурой, часто отмечаемых в Центре технической поддержки (TAC). Цель состоит в том, чтобы предоставить важные замечания, которые можно применить на большинство реализаций сети для уменьшения возможных проблем.

Примечание: Не все сети обладают одинаковыми параметрами, поэтому некоторые советы могут быть неприменимы для данной конкретной установки. Всегда проверяйте их перед выполнением любых изменений на действующей сети.

Внесенный специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Знание того, как настроить Контроллер беспроводной локальной сети (WLC) и Облегченную точку доступа (LAP) для главной операции

  • Базовые знания о Контроле И Инициализация Точек беспроводного доступа (CAPWAP) протокол и методы безопасности беспроводной связи

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Cisco 5508 / 4400 / 7500 / Модуль беспроводных сервисов (WiSM) / WLC Серии WiSM2, который выполняет релиз микропрограммы 7.4

  • Основанные на CAPWAP точки доступа, Серия 1140 / 1260 / 3500 / 1600 / 2600 / 3600

    Примечание: Любая ссылка на 4400 WLC основывается на релизе микропрограммы 7.0.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Лучшие методы

Wireless/RF

При работе с беспроводными (радиочастотными) сетями рекомендуется использовать следующие проверенные приемы:

  • Для любых беспроводных развертываний всегда делайте надлежащий обзор сайта для обеспечения правильного качества сервиса для беспроводных клиентов. Требования к развертыванию служб голоса или местоположения более жесткие, чем для служб данных. Автоматический RF мог бы помочь на канале и управлении параметров настройки питания, но это не может исправить плохой дизайн RF.

  • Обзор сайта должен быть сделан с устройствами, которые совпадают с питанием и поведением распространения устройств, которые будут использоваться на реальной сети. Например, не используйте 1240 802.11B/G радио со всенаправленной антенной для изучения покрытия если заключительные использования сети 3600 двойных радио для 802.11 А и G со скоростями передачи данных N.

    • Необходимо тщательно запланировать процесс, чтобы отключить или включить скорости передачи данных. Если покрытие достаточно, это часто - хорошая идея медленно отключить меньшие скорости передачи данных один за другим. Кадры управления как ACK или маяки будут передаваться на самой низкой обязательной скорости (как правило, 1 Мбит/с), который замедляет целую пропускную способность.

    • Также хорошо попытаться не иметь слишком много поддерживаемых скоростей передачи данных так, чтобы клиенты включили понижающую передачу своя скорость быстрее., Как правило, клиенты пытаются передать в самой быстрой скорости передачи данных, они могут и если кадр не удавался, повторно передаст в 1 скорости передачи данных ниже того и т.д., пока это не проходит через. Удаление некоторых поддерживаемых скоростей означает, что клиенты, которые повторно передают кадр непосредственно, включают понижающую передачу несколько скоростей передачи данных, который увеличивает шанс для кадра для прохождения через при второй попытке.

    • Помните, что кадры управления передаются на самой низкой обязательной скорости. Групповая адресация передается в самой высокой обязательной скорости.

    • Вы могли бы принять сознательное решение не отключить все скорости ниже 11 Мбит/с (включенных) для остановки поддержки 802.11b-только клиентов.

    • Команды CLI: config 802.11b rate, отключенный/обязательный/поддерживаемый <список скорости> и config 802.11a rate, отключенный/обязательный/поддерживаемый <список скорости>.

  • В той же связанной идее ограничьте количество идентификаторов наборов сервисов (SSIDs), настроенный в контроллере. Можно настроить 16 одновременных SSIDs (на радио на каждой точке доступа (AP)), но как каждый WLAN/SSID потребности разделили тестовые ответы и испускание маяка, увеличения загрязнения RF, поскольку добавлено больше SSIDs. В результате определенные небольшие беспроводные станции, такие как PDA, WiFi-телефоны и устройства для считывания штрих-кода, не могут обработать большой объем базовых данных SSID (BSSID). Это приводит к тупикам, повторным загрузкам или сбоям ассоциации. Чем больше количество SSID, тем больше потребность в аварийной сигнализации, тем меньшее пространство RF остается доступным для передачи действительных данных.

  • В средах RF с обширными свободными пространствами, таких как заводы, где точки доступа разнесены и не экранированы стенами, возможно, потребуется изменить пороговое значение мощности излучения, заданное по умолчанию и равное -65 дБм, на более низкое значение, например -76 дБм. Это позволяет уменьшить помехи при передаче данных между каналами (количество BSSID, "услышанных" от беспроводных клиентов в определенный момент времени). Оптимальное значение зависит от характеристик среды каждого узла, поэтому значение необходимо оценить после анализа узлов.

     Пороговое значение мощности излучения — это выраженное в дБм предельное значение уровня сигнала, относительно которого алгоритм контроля выходной мощности (TPC) настраивает уровни мощности в нисходящем порядке так, чтобы это было значение мощности, при котором "слышен" третий по мощности модуль, расположенный рядом с AP.

  • В работе определенного клиентского ПО 802.11 могут возникнуть проблемы, если им будет "услышано" более определенного фиксированного количества BSSID (например, 24 или 32 BSSID). После уменьшения порогового значения выходной мощности и, следовательно, среднего уровня передачи AP, можно уменьшить количество BSSID, доступных для этого клиента.

  • Не включайте агрессивное распределение нагрузки, пока сеть не имеет высокую плотность в наличии точек доступа в области, и никогда если существует голос по радио. При активации этой опции с точками доступа, расположенными с интервалами слишком далеко друг от друга она могла бы перепутать бродящий алгоритм некоторых клиентов и вызвать дыры покрытия в некоторых случаях.

Сетевое подключение

Рекомендации для сетевых подключений:

  • Не используйте связующее дерево на контроллерах.

    Для большей части топологии не необходим Протокол STP (STP), который выполняется в контроллере. STP отключен по умолчанию.

    Для коммутаторов не-Cisco рекомендуется также отключить STP на на порт.

    Введите эту команду для подтверждения:
    Cisco Controller) >show spanningtree switch

    STP Specification...................... IEEE 802.1D
    STP Base MAC Address................... 00:18:B9:EA:5E:60
    Spanning Tree Algorithm................ Disable
    STP Bridge Priority.................... 32768
    STP Bridge Max. Age (seconds).......... 20
    STP Bridge Hello Time (seconds)........ 2
    STP Bridge Forward Delay (seconds)..... 15
  • Несмотря на то, что большая часть конфигурации контроллера применена "на лету", это - хорошая идея повторно загрузить контроллеры после изменения этих параметров конфигурации:

    • Адрес управления

    • Конфигурация SNMP

  • Обычно интерфейс управления WLC оставляют без меток. В этом случае пакет, переданный к и от интерфейса управления, принимает Собственный VLAN магистрального порта, с которым связан WLC. Однако, если вы хотите, чтобы интерфейс управления был на другой VLAN, пометьте его к соответствующей VLAN с <Cisco Controller> команда <vlan-id> управления config interface vlan. Гарантируйте, что соответствующая VLAN позволена на switchport и помечена транком (неисходная виртуальная локальная сеть (VLAN)).

  • Для всех магистральных портов, которые соединяются с контроллерами, отфильтруйте VLAN, которые не находятся в использовании.

    Например, для коммутаторов Cisco IOS®, если включен интерфейс управления сети VLAN 20 и для двух различных WLAN применяются сети VLAN 40 и 50, на стороне коммутатора используйте следующую команду конфигурации:
    switchport trunk allowed vlans 20,40,50
  • Не оставляйте интерфейс с 0.0.0.0 адресами, например сервисный порт ненастроенного. Это может повлиять на обработку DHCP в контроллере.

    Это - то, как вы проверяете:
    (Cisco Controller) >show interface summary
    Interface Name Port Vlan Id IP Address Type Ap Mgr
    -------------------- ---- -------- --------------- ------- ------
    ap-manager LAG 15 192.168.15.66 Static Yes
    example LAG 30 0.0.0.0 Dynamic No

    management LAG 15 192.168.15.65 Static No
    service-port N/A N/A 10.48.76.65 Static No
    test LAG 50 192.168.50.65 Dynamic No
    virtual N/A N/A 1.1.1.1 Static No
  • Не используйте агрегирование каналов (LAG), пока все порты контроллера не имеют ту же конфигурацию Уровня 2 на стороне коммутатора. Например, избегите фильтровать некоторые VLAN в одном порту, и не других.

  • При использовании LAG контроллер полагается на коммутатор для решений распределения нагрузки о трафике, которые прибывают из сети. Это ожидает, что трафик, который принадлежит AP всегда, вводит в тот же порт. Используйте только IP src или опции распределения нагрузки IP dst IP src в Конфигурации EtherChannel коммутатора. Некоторые модели коммутатора могли бы использовать неподдерживаемые механизмы распределения нагрузки по умолчанию, таким образом, важно проверить.

    Это - то, как проверить механизм балансирования Загрузки etherchannel:
    switch#show etherchannel load-balance
    EtherChannel Load-Balancing Configuration:
    src-dst-ip

    EtherChannel Load-Balancing Addresses Used Per-Protocol:
    Non-IP: Source XOR Destination MAC address
    IPv4: Source XOR Destination IP address
    IPv6: Source XOR Destination IP address

    Это - то, как изменить конфигурацию коммутатора (IOS):
    switch(config)#port-channel load-balance src-dst-ip 

    С программным обеспечением Cisco IOS версии 12.2 (33) SXH6, существует опция для шасси режима PFC3C для исключения VLAN в Распределении нагрузки. Использование Src-dst-ip port-channel load-balance исключает команду vlan для реализования этой опции. Эта функция гарантирует, что трафик, который принадлежит LAP, вводит в тот же порт.

  • LAG при использовании VSS или сложенного коммутатора (3750/2960) или VPC Nexus, должен работать, пока фрагменты пакета IP передаются тому же порту. Идея состоит в том, что, если вы переходите к несколькам блоков коммутаторов, порты должны принадлежать тому же L2? объект? с отношениями распределения нагрузки решений.

  • Если вы хотите подключить WLC, чтобы несколько переключиться, необходимо создать AP - диспетчера для каждого физического порта и отключить LAG. Это обеспечивает избыточность и масштабируемость.

    Примечание: На WLC модели Cisco 4400-100 вы требуете по крайней мере трех активных физических портов для использования максимальной пропускной способности 100 точек доступа для каждого WLC. Для WLC модели Cisco 4400-50 вы требуете двух физических портов для использования максимальной пропускной способности 50 точек доступа для каждого WLC.



  • Каждый раз, когда возможно, не создавайте резервный порт для интерфейса менеджера точки доступа, даже если это позволено в более старых версиях программного обеспечения. Избыточность обеспечена множественными интерфейсами менеджера точки доступа, как отмечалось ранее, в этом документе.

  • Для переадресации широковещания, лучшей производительности и меньшего количества использования пропускной способности достигнут через многоадресный режим.

    Это - то, как проверить многоадресный режим на контроллере:
    (WiSM-slot1-1) >show network summary
    RF-Network Name............................. 705
    Web Mode.................................... Enable
    Secure Web Mode............................. Enable
    Secure Web Mode Cipher-Option High.......... Disable
    Secure Shell (ssh).......................... Enable
    Telnet...................................... Enable
    Ethernet Multicast Mode..................... Enable Mode: Mcast 239.0.1.1
    Ethernet Broadcast Mode..................... Disable
    IGMP snooping............................... Disabled
    IGMP timeout................................ 60 seconds
    User Idle Timeout........................... 300 seconds
    ARP Idle Timeout............................ 300 seconds
    ARP Unicast Mode............................ Disabled
    Cisco AP Default Master..................... Disable
    Mgmt Via Wireless Interface................. Disable
    Mgmt Via Dynamic Interface.................. Disable
    Bridge MAC filter Config.................... Enable
    Bridge Security Mode........................ EAP
    Over The Air Provisioning of AP's........... Enable
    Apple Talk ................................. Disable
    AP Fallback ................................ Enable

    Это - то, как настроить переданные в многоадресном режиме групповой адресацией операции на командной строке WLC:
    config network multicast mode multicast 239.0.1.1
    config network multicast global enable
  • Адрес групповой адресации используется контроллером для передачи трафика к точкам доступа. Важно, чтобы это не совпадало с другим адресом в использовании в сети другими протоколами. Например, если вы используете 224.0.0.251, это ломает MDN, используемые некоторыми приложениями от стороннего разработчика. Рекомендуется, чтобы адрес был в частном диапазоне (239.0.0.0-239.255.255.255, который не включает 239.0.0.x и 239.128.0. x .). Также важно, чтобы IP-адрес групповой адресации был установлен в другое значение на каждом WLC. Вы не хотите WLC, который говорит с его точками доступа для достижения AP другого WLC.

  • Если точки доступа находятся на другой подсети, чем та, используемая на интерфейсе управления, инфраструктура сети должна предоставить многоадресную маршрутизацию между подсетью интерфейса управления и подсетью AP.

Инфраструктура сети

Для структуры сети рекомендуется использовать следующие проверенные приемы:

  • Для AP в автономном режиме настройте порт коммутатора с portfast. Чтобы сделать это, заставьте порт быть связанным как a? хост? порт (команда switchport host) или непосредственно с командой portfast. Это позволяет более быстрый процесс соединения для AP. Нет никакого риска петель, поскольку AP LWAPP никогда не соединяет между VLAN.

  • На дизайн большая часть инициируемого трафика ЦПУ передается от адреса управления в контроллере. Например, trap-сообщения SNMP, запросы Проверки подлинности RADIUS, переадресация широковещания, и т.д.

    Исключение к этому правилу является отнесенным трафиком DHCP. Можно также включить на каждом SSID "перезапись интерфейса радиуса", и затем радиус для этого WLAN будет передаваться от динамического интерфейса. Однако это создает проблемы проектирования с потоком BYOD и изменением авторизации (CoA).

    Когда вы настраиваете политику межсетевого экрана или разрабатываете топологию сети, это важно для принятия во внимание. Важно избежать настраивать динамический интерфейс в той же подсети как сервер, который должен быть достижимым ЦПУ контроллера, например сервер RADIUS, поскольку это могло бы вызвать проблемы асимметричной маршрутизации.

    Всегда настраивайте switchports в? режим доступа? для AP в автономном режиме. Для switchports в режиме магистрали, которые переходят к AP в режиме FlexConnect (которые делают локальный коммутатор) и к WLC, всегда сокращайте VLAN, чтобы позволить только тем настроенным на FlexConnect AP и WLC (как упомянуто ранее). Кроме того, введите команду switchport nonegotiate в те транки, чтобы отключить Протокол DTP на switchport и устранить необходимость для AP/WLC для обработки кадров, которые не необходимы, поскольку они не поддерживают DTP. Кроме того, ресурсы были бы потрачены впустую на коммутатор, который попытается выполнить согласование с устройством, которое не может поддержать его.

Mobility

Советы по обеспечению мобильности:

  • Все контроллеры в группе мобильности должны иметь тот же IP-адрес для виртуального интерфейса. Исторически, IP-адрес 1.1.1.1 использовался в конфигурациях по умолчанию и частными лицами. Однако это - теперь допустимый открытый IP - адрес и поэтому не должно использоваться больше. Необходимо использовать закрытый IP - адрес, который не направляет нигде в сети. Это важно для роуминга. Если не все контроллеры в группе мобильности используют один виртуальный интерфейс, может сложиться впечатление, что роуминг между контроллерами функционирует стабильно, но передача управления не завершается и клиент на некоторое время теряет соединение.

    Это - то, как проверить:
    (Cisco Controller) >show interface summary

    Interface Name Port Vlan Id IP Address Type Ap Mgr
    ----------------- ----- -------- --------------- ------- ------
    ap-manager LAG 15 192.168.15.66 Static Yes
    management LAG 15 192.168.15.65 Static No
    service-port N/A N/A 10.48.76.65 Static No
    test LAG 50 192.168.50.65 Dynamic No
    virtual N/A N/A 1.1.1.1 Static No
  • Действительный адрес шлюза должен быть не маршрутизуемой внутренней инфраструктурой сети. Это только предназначено, чтобы быть достижимым для беспроводного клиента, когда связано с контроллером, никогда от проводного соединения. На самом деле, 1.1.1.1 теперь допустимый общий адрес, так измените его на что-либо уникальное и немаршрутизуемое в сети. 1.1.1.1 использовался в данном примере, потому что это - все еще значение по умолчанию.

  • Возможность подключения с помощью IP-адреса должна существовать между интерфейсами управления всех контроллеров.

  • В большинстве ситуаций все контроллеры должны быть настроены с тем же названием группы мобильности. Исключения к этому правилу являются развертываниями на контроллерах для Гостевого Свойства доступа, как правило, в Демилитаризованной зоне (DMZ).

  • Это - безопасный прием для выполнения всех WLC на тех же версиях программного кода, чтобы гарантировать, что вы не обращенным к нестабильному поведению из-за подарка дефектов на некоторых WLC и не других. Для выпуска ПО 6.0 и позже, все версии межсовместимы в целях мобильности, таким образом, это не является обязательным.

  • Не создавайте излишне большие группы мобильности. В группу мобильности должны быть включены только те контроллеры, имеющие точки доступа в области, в которой для клиента доступно физическое перемещение, например, все контроллеры с точками доступа в здании. Если у вас есть сценарий, где несколько зданий разделены, они должны быть разделены на несколько групп мобильности. Это сохраняет память и ЦПУ, поскольку контроллеры не должны поддерживать большие списки допустимых клиентов, жуликов и точек доступа в группе, которая не взаимодействовала бы так или иначе.

    Кроме того, попытайтесь принять распределение AP по контроллерам в группе мобильности так, чтобы были AP. Например, на пол или на контроллер, и не соль и перечное распределение. Это уменьшает роуминг межконтроллера, который оказывает меньше влияния на действие группы мобильности.

  • В сценариях, где существует несколько контроллеров в группе мобильности, это обычно для наблюдения некоторых предупреждений неавторизованной точки доступа о наших собственных точках доступа в сети после повторной загрузки контроллера. Это происходит из-за времени, которое требуется для обновления точки доступа, клиентских и посторонних списков между членами группы мобильности.

  • Обязательный параметр DHCP в параметрах настройки WLAN позволяет вам вынуждать клиенты сделать, адрес DHCP запрашивает/возобновляет каждый раз, когда они связываются к WLAN, прежде чем им разрешат передать или получить другой трафик к сети. Из точки зрения безопасности это обеспечивает больше строгого контроля IP-адресов в использовании, но также и могло бы иметь влияние в общее время для роуминга, прежде чем трафику позволят пройти снова.

    Также это может повлиять на реализацию клиентов, которые не обновляют DHCP до истечения срока аренды., Например, телефоны Cisco 7921 или 7925 могли бы иметь речевые проблемы, в то время как они перемещаются, если эта опция включена, поскольку контроллер не позволяет голосу или трафику сигнализации проходить, пока не завершена фаза DHCP. На некоторые сторонние серверы принтера можно было бы также влиять. В целом, если WLAN имеет клиенты не-Windows, это - хорошая идея не использовать эту опцию. Это вызвано тем, что больше строгого контроля могло бы вызвать проблемы с подключением, на основе того, как внедрена сторона клиента DHCP. Это - то, как вы проверяете:
    (Cisco Controller) >show wlan 1

    WLAN Identifier.................................. 1
    Profile Name..................................... 4400
    Network Name (SSID).............................. 4400
    Status........................................... Enabled
    MAC Filtering.................................... Disabled
    Broadcast SSID................................... Enabled
    AAA Policy Override.............................. Disabled
    Number of Active Clients......................... 0
    Exclusionlist Timeout............................ 60 seconds
    Session Timeout.................................. 1800 seconds
    Interface........................................ management
    WLAN ACL......................................... unconfigured
    DHCP Server...................................... Default
    DHCP Address Assignment Required................. Disabled
    Quality of Service............................... Silver (best effort)
    WMM.............................................. Disabled
    CCX - AironetIe Support.......................... Enabled
    CCX - Gratuitous ProbeResponse (GPR)............. Disabled
    Dot11-Phone Mode (7920).......................... Disabled
    Wired Protocol................................... None
  • Желательно настроить многоадресный режим для мобильности. Это позволяет клиенту объявлять о сообщениях, которые будут передаваться на групповой адресации между узлами мобильности, вместо индивидуальной рассылки, передаваемой каждому контроллеру, с преимуществами вовремя, использованием ЦПУ и использованием сети.

    Это - то, как проверить:
    (WiSM-slot1-1) >show mobility summary 

    Symmetric Mobility Tunneling (current) .......... Disabled
    Symmetric Mobility Tunneling (after reboot) ..... Disabled
    Mobility Protocol Port........................... 16666
    Mobility Security Mode........................... Disabled
    Default Mobility Domain.......................... 705
    Multicast Mode .................................. Enabled
    Mobility Domain ID for 802.11r................... 0x8e5e
    Mobility Keepalive Interval...................... 10
    Mobility Keepalive Count......................... 3
    Mobility Group Members Configured................ 2
    Mobility Control Message DSCP Value.............. 0

    Controllers configured in the Mobility Group

    MAC Address IP Address Group Name Multicast IP Status
    00:14:a9:bd:da:a0 192.168.100.22 705 239.0.1.1 Up

    00:19:06:33:71:60 192.168.100.67 705 239.0.1.1 Up

Безопасность

Советы по обеспечению безопасности:

  • Это - хорошая идея изменить таймаут RADIUS на 5 секунд. По умолчанию 2 секунд приемлем для быстрого аварийного переключения RADIUS, но достаточно вероятно, для Transport Layer Security расширяемого протокола аутентификации (EAP-TLS) аутентификация, или если сервер RADIUS должен связаться с внешними базами данных (Active Directory, NAC, SQL, и т.д).

    Это - то, как проверить:
    (Cisco Controller) >show radius summary 
    Vendor Id Backward Compatibility............ Disabled
    Credentials Caching......................... Disabled
    Call Station Id Type........................ IP Address
    Administrative Authentication via RADIUS.... Enabled
    Aggressive Failover......................... Disabled
    Keywrap..................................... DisabledAuthentication Servers

    !--- This portion of code has been wrapped to several lines due to spatial!
    --- concerns.

    Idx Type Server Address Port State Tout RFC3576
    --- ---- ---------------- ------ -------- ---- -------
    1 N 10.48.76.50 1812 Enabled 2 Enabled

    IPSec -AuthMode/Phase1/Group/Lifetime/Auth/Encr
    ------------------------------------------------
    Disabled - none/unknown/group-0/0 none/none

    Это - то, как настроить:
    config radius auth retransmit-timeout 1 5
  • Проверьте пользователя по умолчанию SNMPv3. По умолчанию для контроллера задается имя пользователя, которое следует изменить или отключить.

    Это - то, как проверить:
    (Cisco Controller) >show snmpv3user 
    SNMP v3 User SNMP v3 User Name AccessMode Authentication Encryption
    -------------------- ----------- -------------- ----------
    default Read/Write HMAC-MD5 CBC-DES

    Это - то, как настроить:
    config snmp v3user delete default
    config snmp v3user create nondefault rw hmacsha des authkey encrkey

    Следует иметь в виду, что параметры настройки SNMP должны совпасть между контроллером и Wireless Control System (WCS) / с Системой управления сетью (NCS) / Главная Инфраструктура (PI). Кроме того, необходимо использовать шифрование и ключи хэша, которые совпадают с политикой безопасности.
  • Для контроллеров значение тайм-аута по умолчанию для запроса удостоверения EAP составляет 1 секунду, что неприемлемо для таких случаев, как реализация одноразовых паролей или Smart Card, где пользователь должен ввести PIN-код или пароль до того, как беспроводной клиент сможет ответить на запрос об удостоверении. В автономных точках доступа по умолчанию составляет 30 секунд, таким образом, это должно быть принято во внимание, в то время как вы мигрируете автономный на беспроводные сети инфраструктуры.

    Это - то, как измениться:
    config advanced eap identity-request-timeout 30
  • В агрессивных средах рекомендуется включить проверку подлинности точки доступа с пороговым значением равным 2. Это разрешает и обнаруживать возможное олицетворение и минимизировать обнаружения ошибочного допуска.

    Это - то, как настроить:
    config wps ap-authentication enable
    config wps ap-authentication threshold 2
  • Касательно предыдущего совета, защиту фреймов управления (MFP) можно также использовать для проверки подлинности всего трафика управления на 802.11, обнаруженного между ближайшими точками доступа в беспроводной инфраструктуре. Учтите, что некоторые общие беспроводные карты третьей стороны имеют проблемы в своей реализации драйвера, которые не обрабатывают правильно элементы дополнительных сведений, добавленные MFP. Удостоверьтесь, что вы используете последние драйверы от изготовителя карты, прежде чем вы будете тестировать и использовать MFP.
  • Протокол NTP очень важен для нескольких функций. Это является обязательным для использования синхронизации NTP на контроллерах при использовании какой-либо из этих функций: Местоположение, SNMPv3, проверка подлинности точки доступа или MFP.

    Это - то, как настроить:
    config time ntp server 1 10.1.1.1

    Для подтверждения проверьте для записей как это в traplog:
    30 Tue Feb 6 08:12:03 2007 Controller time base status - Controller is in sync with the central timebase.
  • Если беспроводные клиенты должны быть разделены в нескольких подсетях для соображений безопасности, каждого с другой политикой безопасности, это - хорошая идея использовать один или два WLAN (например, у каждого есть другая политика шифрования Уровня 2), вместе с функцией Замены AAA. Эта функция позволяет вам назначать на параметры пользователя. Например, переместите пользователя или в определенный динамический интерфейс в разделенной VLAN или применитесь на Список контроля доступа пользователей (ACL).
  • Несмотря на то, что контроллер и точки доступа действительно поддерживают WLAN с SSID с помощью Защищенного доступа по протоколу Wi-Fi (WAP) и WPA2 одновременно, очень распространено, что некоторые драйверы беспроводного клиента не могут обработать сложные параметры настройки SSID. В целом это - хорошая идея поддержать политику безопасности простой для любого SSID и только позволить AES WPA2. Если некоторые клиенты все еще не поддерживают это, AES WPA2 и WPA1-TKIP на том же SSID поддерживаются. SSID, который поддерживает только WPA1-TKIP, не быть позволенным стартовый код 8.0 контроллера

Общее администрирование

При общем администрировании рекомендуется использовать следующие проверенные приемы:

  • В целом перед любым обновлением это - хорошая идея сделать резервную копию FTP/TFTP конфигурации.
  • AP может использовать сервер системного журнала для передачи сведений об устранении проблем. Однако, по умолчанию это передается как локальная широковещательная рассылка. Если AP не находится в той же подсети как сервер системного журнала, желательно измениться на одиночный адрес. Это изменение в порядке, чтобы быть в состоянии собрать эту информацию и уменьшить возможность широковещательного шторма, вызванного сообщениями системного журнала, передаваемыми локальной широковещательной рассылке, в случае, если существует падение, которое влияет на все AP в той же подсети. Для проверки этой установки:
    (WiSM-slot1-1) >show ap config general AP1130-9064    

    Cisco AP Identifier.............................. 164
    Cisco AP Name.................................... AP1130-9064
    Country code..................................... BE - Belgium
    Regulatory Domain allowed by Country............. 802.11bg:-E 802.11a:-E
    AP Country code.................................. BE - Belgium
    AP Regulatory Domain............................. 802.11bg:-E 802.11a:-E
    Switch Port Number .............................. 29
    MAC Address...................................... 00:16:46:f2:90:64
    IP Address Configuration......................... DHCP
    IP Address....................................... 192.168.100.200
    IP NetMask....................................... 255.255.255.0
    Gateway IP Addr.................................. 192.168.100.1
    Telnet State..................................... Disabled
    Ssh State........................................ Disabled
    Cisco AP Location................................ default location
    Cisco AP Group Name.............................. default-group
    Primary Cisco Switch Name........................ Cisco_ea:5e:63
    Primary Cisco Switch IP Address.................. Not Configured
    Secondary Cisco Switch Name......................
    Secondary Cisco Switch IP Address................ Not Configured
    Tertiary Cisco Switch Name.......................
    Tertiary Cisco Switch IP Address................. Not Configured
    Administrative State ............................ ADMIN_ENABLED
    Operation State ................................. REGISTERED
    Mirroring Mode .................................. Disabled
    AP Mode ......................................... Local
    Public Safety ................................... Global: Disabled, Local: Disabled
    Remote AP Debug ................................. Disabled
    S/W Version .................................... 5.0.152.0
    Boot Version ................................... 12.3.7.1
    Mini IOS Version ................................ 3.0.51.0
    Stats Reporting Period .......................... 180
    LED State........................................ Enabled
    PoE Pre-Standard Switch.......................... Enabled
    PoE Power Injector MAC Addr...................... Disabled
    Power Type/Mode.................................. Power injector / Normal mode
    Number Of Slots.................................. 2
    AP Model......................................... AIR-LAP1131AG-E-K9
    IOS Version...................................... 12.4(20080324:062820)
    Reset Button..................................... Enabled
    AP Serial Number................................. FHK0952C0FC
    AP Certificate Type.............................. Manufacture Installed
    Management Frame Protection Validation........... Enabled (Global MFP Disabled)
    AP User Mode..................................... AUTOMATIC
    AP User Name..................................... cisco
    Cisco AP system logging host..................... 255.255.255.255

    Для изменения его на известный доступный сервер для всех AP в контроллере:
    config ap syslog host global 10.48.76.33
  • AP может иметь локальные учетные данные для консольного доступа (физический доступ к AP). Это - хорошая практика безопасности для установки имени пользователя/пароля во все AP. Для проверки этой установки:
    (WiSM-slot1-1) >show ap config general AP1130-9064

    Cisco AP Identifier.............................. 164
    Cisco AP Name.................................... AP1130-9064
    Country code..................................... BE - Belgium
    Regulatory Domain allowed by Country............. 802.11bg:-E 802.11a:-E
    AP Country code.................................. BE - Belgium
    AP Regulatory Domain............................. 802.11bg:-E 802.11a:-E
    Switch Port Number .............................. 29
    MAC Address...................................... 00:16:46:f2:90:64
    IP Address Configuration......................... DHCP
    IP Address....................................... 192.168.100.200
    IP NetMask....................................... 255.255.255.0
    Gateway IP Addr.................................. 192.168.100.1
    Telnet State..................................... Disabled
    Ssh State........................................ Disabled
    Cisco AP Location................................ default location
    Cisco AP Group Name.............................. default-group
    Primary Cisco Switch Name........................ Cisco_ea:5e:63
    Primary Cisco Switch IP Address.................. Not Configured
    Secondary Cisco Switch Name......................
    Secondary Cisco Switch IP Address................ Not Configured
    Tertiary Cisco Switch Name.......................
    Tertiary Cisco Switch IP Address................. Not Configured
    Administrative State ............................ ADMIN_ENABLED
    Operation State ................................. REGISTERED
    Mirroring Mode .................................. Disabled
    AP Mode ......................................... Local
    Public Safety ................................... Global: Disabled, Local: Disabled
    Remote AP Debug ................................. Disabled
    S/W Version .................................... 5.0.152.0
    Boot Version ................................... 12.3.7.1
    Mini IOS Version ................................ 3.0.51.0
    Stats Reporting Period .......................... 180
    LED State........................................ Enabled
    PoE Pre-Standard Switch.......................... Enabled
    PoE Power Injector MAC Addr...................... Disabled
    Power Type/Mode.................................. Power injector / Normal mode
    Number Of Slots.................................. 2
    AP Model......................................... AIR-LAP1131AG-E-K9
    IOS Version...................................... 12.4(20080324:062820)
    Reset Button..................................... Enabled
    AP Serial Number................................. FHK0952C0FC
    AP Certificate Type.............................. Manufacture Installed
    Management Frame Protection Validation........... Enabled (Global MFP Disabled)
    AP User Mode..................................... AUTOMATIC
    AP User Name..................................... cisco

    Для изменения его на известный доступный сервер для всех AP в контроллере:
    config ap mgmtuser add username cisco password Cisco123 secret
    AnotherComplexPass all

Как передать файл катастрофического отказа WLC от CLI WLC до TFTP Server

Введите эти команды для передачи файла катастрофического отказа WLC от CLI WLC до TFTP server.

transfer upload datatype crashfile
transfer upload serverip <IP address of the TFTP Server>

transfer upload path <Enter directory path>


transfer upload filename <Name of the Crash File>


transfer upload start<yes>

Примечание: При вводе пути к каталогу "/" обычно означает корневой каталог, заданный по умолчанию на TFTP-сервере.

Например:

(Cisco Controller) >debug transfer tftp enable

(Cisco Controller) >debug transfer trace enable

(Cisco Controller) >transfer upload datatype crashfile

(Cisco Controller) >transfer upload filename aire2cra.txt

(Cisco Controller) >transfer upload path /

(Cisco Controller) >transfer upload serverip X.Y.Z.A

(Cisco Controller) >transfer upload start

Mode............................................. TFTP TFTP Server
IP................................... X.Y.Z.A TFTP
Path........................................ / TFTP
Filename.................................... aire2cra.txt Data
Type........................................ Crash File

Are you sure you want to start? (y/N) yes
Thu Dec 29 10:13:17 2005: RESULT_STRING: TFTP Crash File transfer starting.
Thu Dec 29 10:13:17 2005: RESULT_CODE:1

TFTP Crash File transfer starting.
Thu Dec 29 10:13:21 2005: Locking tftp semaphore, pHost=X.Y.Z.A
pFilename=/aire2cra.txt Thu Dec 29 10:13:22 2005:
Semaphore locked, now unlocking,
pHost=X.Y.Z.A pFilename=/aire2cra.txt Thu Dec 29 10:13:22 2005:
Semaphore successfully unlocked,
pHost=X.Y.Z.A pFilename=/aire2cra.txt Thu Dec 29 10:13:22 2005:
tftp rc=0, pHost=X.Y.Z.A pFilename=/aire2cra.txt
pLocalFilename=/mnt/application/bigcrash
Thu Dec 29 10:13:22 2005: RESULT_STRING: File transfer operation
completed successfully.
Thu Dec 29 10:13:22 2005: RESULT_CODE:11 File transfer operation
completed successfully.

Загрузите файл разгрузки памяти к серверу FTP

Чтобы помочь устранять неполадки сбоев контроллера, можно настроить контроллер для автоматической загрузки его файла разгрузки памяти к серверу FTP после того, как он испытывает катастрофический отказ с этими командами CLI:

config coredump {enable | disable}

config coredump ftp server_ip_address filename

config coredump username ftp_username password ftp_password

show coredump summary

Можно теперь загрузить консольный дамп, который следует из программного обеспечения инициируемая в сторожевой таймер перезагрузка контроллера, который придерживается катастрофического отказа с командой CLI контроллера сторожевого файла катастрофического отказа transfer upload datatype. Сторожевой модуль программного обеспечения периодически проверяет целостность внутреннего программного обеспечения и гарантирует, что система не остается в противоречивом или Неоперационное состоянии в течение длительного времени времени.

Если паника ядра происходит с командой CLI контроллера панического файла катастрофического отказа transfer upload datatype, можно также загрузить информацию паники ядра.

С Выпуском 5.2 Контроллера беспроводной локальной сети можно теперь загрузить радио-файл разгрузки памяти к TFTP или серверу FTP с графическим интерфейсом контроллера. Ранее, радио-загрузки дампа основной памяти могли быть настроены только от CLI контроллера.

Пользовательское дружелюбие

  • Рекомендуется включить "Быстрое изменение SSID" во избежание блокирования пользователей, кто подкачивает между SSIDs, пока вы не используете строгого соискателя как AnyConnect и только ожидаете, что клиенты всегда соединятся с правильным профилем сначала.
  • Значение превышения времени ожидания сеанса должно иметь другие параметры настройки, зависящие от требуемой безопасности. Тридцать минут являются слишком маленькими для гостевого SSID типа "веб-аутентификации", в то время как он прекрасно подходит защищенному SSID 802.1x. Голос SSIDs не должен иметь никаких таймаутов во избежание разрушений.
  • Пока вы действительно не требуете функций (например, из-за политики безопасности) и подтвердили, что беспроводные клиенты, которые соединяются с WLAN, поддерживают их без проблем, вы могли бы хотеть отключить эти Расширенные настройки WLAN. Это во избежание проблем совместимости с некоторыми типами беспроводных клиентов:
    • MFP
    • IE Aironet
    • Клиентское исключение

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 82463