Беспроводные сети : Контроллеры беспроводной локальной сети Cisco серии 4400

Дизайн Беспроводного контроллера LAN (WLC) и особенности FAQ

20 сентября 2014 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (7 апреля 2008) | Английский (15 сентября 2014) | Отзыв


Вопросы


Введение

Этот документ предоставляет информацию о большинстве часто задаваемых вопросов (FAQ) о дизайне и особенностях, доступных с Радио диспетчером LAN (WLC).

Направьте в Cisco Технические Соглашения Подсказок для получения дополнительной информации о соглашениях документа.

Дизайн FAQ

Q. Как я формирую выключатель для соединения с WLC?

A. Формируйте порт выключателя, с которым WLC связан как IEEE 802.1Q порт ствола. Удостоверьтесь, что только необходимые VLANs позволены на выключателе. Обычно, управление и интерфейс менеджера AP WLC оставляют нетеговыми. Это означает, что они принимают родной VLAN подключенного выключателя. Это не необходимо. Можно назначить отдельный VLAN на эти интерфейсы. Для получения дополнительной информации отошлите к Формированию Выключателя для раздела WLC Радио Диспетчера LAN и Легкий Пример Базовой конфигурации Точки доступа.

Q. Действительно ли вся сеть торгует от и до тоннеля клиента WLAN через Радио диспетчера LAN (WLC), как только точка доступа (AP) зарегистрирована в диспетчере?

A. Когда AP присоединяется к WLC, Контролю и Обеспечиванию протокола Точек доступа (CAPWAP), тоннель сформирован между этими двумя устройствами. Все движение, которое включает все движение клиента, посылают через тоннель CAPWAP.

Когда AP находится в способе ГИБРИДНОГО REAP, единственное исключение к этому. Когда их связь с диспетчером потеряна, точки доступа ГИБРИДНОГО REAP могут переключить поток данных клиента в местном масштабе и выполнить идентификацию клиента в местном масштабе. Когда они связаны с диспетчером, они могут также передать движение обратно диспетчеру.

Q. Я могу установить Легкие Точки доступа (LAPs) в отдаленном офисе и установить Радио диспетчера LAN (WLC) Cisco в моем главном офисе? LWAPP/CAPWAP работает по WAN?

A. Да, у вас может быть WLCs через WAN от APs. Когда LAPs формируется на Отдаленном Краю AP (REAP) или Гибридный Отдаленный Край AP (H-REAP) способ, LWAPP/CAPWAP работает по WAN. Любой из этих способов позволяет контроль AP отдаленным контроллером, который подключен через связь WAN. Движение соединено на связь LAN в местном масштабе, которая избегает потребности излишне послать местное движение по связи WAN. Это - точно одно из самых больших преимуществ наличия WLCs в вашей беспроводной сети.

Примечание: Не все Легкие APs поддерживают эти способы. Например, способ H-REAP поддержан только в 1131, 1140,1242, 1250, и AP801 LAPs. Способ REAP поддержан только в 1030 AP, но 1010 и 1020 APs не поддерживают REAP. Прежде чем вы запланируете осуществить эти способы, проверьте, чтобы определить, поддерживает ли LAPs его. Cisco IOS® Software APs (Автономный APs), которые были преобразованы в LWAPP, не поддерживает REAP.

Q. Как делают REAP и работу способов H-REAP?

A. В способе REAP, всем контроле и управленческом движении, которое включает движение идентификации, tunneled назад к WLC. Но весь поток данных переключен в местном масштабе в отдаленном офисе LAN. Когда связь с WLC потеряна, все WLANs закончены кроме первого WLAN (WLAN1). Все клиенты, которые в настоящее время связываются с этим WLAN, сохранены. Чтобы позволить новым клиентам успешно подтверждать подлинность и получать обслуживание на этот WLAN в течение времени простоя, формировать метод идентификации для этого WLAN или как WEP или как WPA-PSK так, чтобы идентификация была сделана в местном масштабе в REAP. Для получения дополнительной информации о развертывании REAP, обратитесь к Гиду Развертывания REAP в Филиале.

В способе H-REAP, точка доступа тоннели контроль и управленческое движение, которое включает движение идентификации, назад к WLC. Поток данных от WLAN соединен в местном масштабе в отдаленном офисе, если WLAN формируется с H-REAP местное переключение, или поток данных передают обратно в WLC. Когда связь с WLC потеряна, все WLANs закончены кроме первых восьми WLANs, формируемых с H-REAP местное переключение. Все клиенты, которые в настоящее время связываются с этими WLANs, сохранены. Чтобы позволить новым клиентам успешно подтверждать подлинность и получать обслуживание на эти WLANs в течение времени простоя, формировать метод идентификации для этого WLAN или как WEP, WPA PSK, или как WPA2 PSK так, чтобы идентификация была сделана в местном масштабе в H-REAP.

Для получения дополнительной информации о H-REAP, обратитесь к Гиду Дизайна и Развертывания H-REAP.

Q. Каково различие между Отдаленным Краем AP (REAP) и Гибридным REAP (H-REAP)?

A. REAP не поддерживает IEEE 802.1Q маркировка VLAN. Также, это не поддерживает многократный VLANs. Движение от всех сервисных идентификаторов набора (SSID) заканчивается на той же самой подсети, но H-REAP поддерживает IEEE 802.1Q маркировка VLAN. Движение от каждого SSID может быть сегментировано к уникальному VLAN.

Когда возможность соединения к WLC потеряна, то есть, в Автономном способе, REAP служит только одному WLAN, то есть, Первому WLAN. Все другие WLANs дезактивированы. В H-REAP до 8 WLANs поддержаны в течение времени простоя.

Другое существенное различие - то, что в способе REAP поток данных может только быть соединен в местном масштабе. Это не может быть переключено назад на центральный офис, но, в способе H-REAP, у вас есть выбор переключить движение назад на центральный офис. Движение от WLANs, формируемого с H-REAP местное переключение, переключено в местном масштабе. Поток данных от другого WLANs переключен назад на центральный офис.

Отошлите к Отдаленному Краю AP (REAP) с Легким APs и Радио Диспетчеры LAN (WLCs) Пример Конфигурации для получения дополнительной информации о REAP.

Отошлите к Формированию Гибрида REAP для получения дополнительной информации о H-REAP.

Q. Сколько WLANs поддержано на WLC?

A. Начиная с версии 5.2.157.0 программного обеспечения WLC может теперь управлять до 512 WLANs для легких точек доступа. Каждый WLAN имеет отдельный ID WLAN (1 - 512), отдельное имя профиля и WLAN SSID, и может быть назначен уникальная политика безопасности. Диспетчер издает до 16 WLANs к каждой связанной точке доступа, но можно создать до 512 WLANs на диспетчере и затем выборочно издать эти WLANs (использующий группы точки доступа) к различным точкам доступа для лучше управления беспроводной сетью.

Примечание: Cisco 2106, 2112, и 2125 диспетчеров поддерживает только до 16 WLANs.

Примечание: Для получения дальнейшей информации на рекомендациях для формирования WLANs на WLCs, прочитайте Создание раздел WLANs Радио Cisco диспетчер LAN КОНФИГУРЭЙШН Гид, Выпуск 7.0.116.0.

Q. Как я могу формировать VLANs на своем Радио диспетчере LAN (WLC)?

A. В WLC VLANs связаны с интерфейсом, формируемым в уникальной подсети IP. Этот интерфейс нанесен на карту на WLAN. Затем клиенты, которые связываются к этому WLAN, принадлежат VLAN интерфейса и назначены IP-адрес от подсети, до которой принадлежит интерфейс. Для формирования VLANs на WLC закончите процедуру в VLANs на Радио диспетчеры LAN CONFIGURATION EXAMPLE.

Q. Мы обеспечили два WLANs с двумя различными динамическими интерфейсами. Каждый интерфейс имеет свой собственный VLAN, который отличается, чем управленческий интерфейс VLAN. Это, кажется, работает, но мы не обеспечили порты ствола для разрешения VLANs, который используют наши WLANs. Точка доступа (AP) помечает пакеты с управленческим интерфейсом VLAN?

A. AP не помечает пакеты с управленческим интерфейсом VLAN. AP заключает в капсулу пакеты от клиентов в Легком весе Протокол AP (LWAPP)/CAPWAP, и затем передает пакеты на WLC. WLC тогда раздевает заголовок LWAPP/CAPWAP и вперед пакеты к воротам с соответствующим признаком VLAN. Признак VLAN зависит от WLAN, которому принадлежит клиент. WLC зависит от ворот к маршруту пакеты к их месту назначения. Чтобы быть в состоянии передать движение для многократного VLANs, необходимо формировать выключатель uplink как порт ствола. Эта диаграмма объясняет, как VLANs работают с диспетчерами:

http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/98673-wlc-design-ftrs-faq2.gif

Q. Какой IP-адрес WLC используется для идентификации с сервером AAA?

A. WLC использует IP-адрес управленческого интерфейса для любого механизма идентификации (Слой 2 или Слой 3), который включает сервер AAA. Для получения дополнительной информации о Портах и интерфейсах на WLC, отошлите к разделу Портов и Интерфейсов Формирования Радио Cisco диспетчера LAN КОНФИГУРЭЙШНА Гид, Выпуск 7.0.116.0.

Q. У меня есть десять серийных Cisco 1000 Точек доступа Легкого веса (LAPs) и два Радио Диспетчеры LAN (WLCs) в том же самом VLAN. Как я могу зарегистрировать шесть LAPs для соединения к WLC1 и другим четырем LAPs для соединения к WLC2?

A. LWAPP/CAPWAP допускает динамическую избыточность и балансировку нагрузки. Например, при определении больше чем одного IP-адреса для выбора 43 LAP отправляет запросы открытия LWAPP/CAPWAP к каждому из IP-адресов, которые получает AP. В WLC LWAPP/CAPWAP ответ открытия, WLC включает эту информацию:

  • Информация о текущем грузе LAP, который определен как число LAPs, который соединен с WLC в это время

  • Способность LAP

  • Число беспроводных клиентов, которые связаны с WLC

LAP тогда пытается присоединиться к наименее загруженному WLC, который является WLC с самой большой доступной способностью LAP. Кроме того, после LAP соединения WLC, LAP изучает IP-адреса другого WLCs в группе подвижности от ее WLC, к которому присоединяются.

Как только LAP присоединяется к WLC, можно заставить LAP присоединиться к определенному WLC в пределах его следующей перезагрузки. Чтобы сделать это, назначьте основной, вторичный, и третичный WLC для LAP. Когда перезагрузки LAP, это ищет основной WLC и соединения что независимый политик WLC груза на этом WLC. Если основной WLC не отвечает, он ищет вторичное, и, если никакой ответ, третичное. Для получения дополнительной информации о том, как формировать основной WLC для LAP, отошлите к Назначению Основных, Вторичных, и Третичных Диспетчеров для Легкого веса секцию AP диспетчера WLAN Фэйловера для Легкого Примера Конфигурации Точек доступа.

Q. Каковы функции, которые не поддерживаются на Серийном Радио 2100 года Диспетчеры LAN (WLCs)?

A. Эти функции аппаратных средств не поддерживаются на 2100 Серийных Диспетчерах:

  • Сервисный порт (отделяют управление из группы 10/100-Mb/s интерфейс Ethernet),

Эти характеристики программного обеспечения не поддержаны на 2100 Серийных Диспетчерах:

  • Завершение VPN (такое как IPsec и L2TP)

  • Завершение диспетчера гостя тоннели (происхождение диспетчера гостя тоннели поддержано),

  • Внешний веб-список веб-сервера идентификации

  • Слой 2 LWAPP

  • Охват дерева

  • Отражающий порт

  • Cranite

  • Крепость

  • AppleTalk

  • QoS контракты полосы пропускания в расчете на пользователя

  • Передача IPv6

  • Скопление связи (LAG)

  • Передача unicast способ

  • Зашитый доступ гостя

Q. Какие функции не поддерживаются на 5500 Серийных Диспетчерах?

A. Эти характеристики программного обеспечения не поддержаны на 5500 Серийных Диспетчерах:

  • Статический интерфейс менеджера AP

    Примечание: Для 5500 Серийных Диспетчеров вы не обязаны формировать интерфейс менеджера AP. Управленческие действия интерфейса как интерфейс менеджера AP по умолчанию и точки доступа могут присоединиться в этом интерфейсе.

  • Асимметричное туннелирование подвижности

  • Охват протокола дерева (STP)

  • Отражающий порт

  • Слой 2 поддержки списка контроля доступа (ACL)

  • Завершение VPN (такое как IPSec и L2TP)

  • Выбор передачи VPN

  • Конфигурация 802.3 соединений, AppleTalk и Двухточечного протокола по Ethernet (PPPoE)

Q. Какие функции не поддерживаются в сетях петли?

A. Эти функции диспетчера не поддерживаются в сетях петли:

  • Поддержка мультистраны

  • Основанный на грузе CAC (сети петли поддерживают только основанный на полосе пропускания, или статический, CAC.)

  • Высокая доступность (быстрое сердцебиение и основное открытие присоединяются к таймеру),

  • EAP-FASTv1 и 802.1X идентификация

  • Приоритет соединения точки доступа (точки доступа петли имеют фиксированный приоритет.)

  • В местном масштабе значительное свидетельство

  • Основанные на местоположении услуги

Q. Что срок действия изготовителя является установленными свидетельствами на беспроводном контроллере LAN?

A. Срок действия установленного свидетельства изготовителя на WLC составляет 10 лет.

Q. У меня есть два беспроводных контроллера LAN (WLCs) под названием WLC1 и WLC2, формируемый в пределах той же самой группы подвижности для отказоустойчивости. Моя Легкая точка доступа (LAP) в настоящее время регистрируется в WLC1. Если WLC1 терпит неудачу, делает AP, зарегистрированный к перезагрузке WLC1 во время ее перехода к выживанию WLC (WLC2)? Кроме того, во время этой отказоустойчивости клиент WLAN теряет возможность соединения WLAN с LAP?

A. Да, LAP действительно вычеркивает из списка от WLC1, перезагрузки, и затем повторно регистрируется в WLC2, если WLC1 терпит неудачу. Поскольку перезагрузки LAP, связанные клиенты WLAN теряют возможность соединения перезагружающему LAP. Для соответствующей информации обратитесь к Балансировке нагрузки AP и Отступлению AP в Объединенных Беспроводных сетях.

Q. Действительно ли роуминг зависит от Легкого Протокола Точки доступа (LWAPP) способ, который Радио диспетчер LAN (WLC) формируется для использования? Может WLC, который работает в Слое, 2 способа LWAPP выполняют Слой 3 роуминга?

A. Пока подвижность, группирующаяся в диспетчерах, формируется правильно, клиент, бродящий, должен хорошо работать. Роуминг незатронут способом LWAPP (или Слой 2 или Слой 3). Однако рекомендуется использовать Слой 3 LWAPP по мере возможности.

Примечание: Слой 2 способа поддержан только Cisco 410x и 440x Серия WLCs и Серийных точек доступа Cisco 1000. Слой 2 LWAPP не поддержан другим Радио диспетчер LAN и Легкие платформы Точки доступа.

Q. Каков процесс роуминга, который происходит, когда клиент решает бродить к новой точке доступа (AP) или диспетчеру?

A. Это - последовательность событий, которая происходит, когда клиент бродит к новому AP:

  1. Клиент отправляет запрос переассоциации к WLC через LAP.

  2. WLC посылает сообщение подвижности в другой WLCs в группе подвижности для обнаружения, с которым WLC был ранее связан клиент.

  3. Оригинальный WLC отвечает информацией, такой как Мак адрес, IP-адрес, QoS, контекст безопасности, и т.д. о клиенте через сообщение подвижности.

  4. WLC обновляет свою базу данных с предоставленной подробной информацией клиента; клиент тогда проходит процесс переидентификации, при необходимости. Новый LAP, с которым в настоящее время связывается клиент, также обновлен наряду с другими деталями в базе данных WLC. Таким образом, IP-адрес клиента сохранен через, бродит между WLCs, который помогает обеспечить бесшовный роуминг.

Для получения дополнительной информации о роуминге в объединенной окружающей среде отошлите к части Configuring Mobility Groups Радио Cisco диспетчера LAN КОНФИГУРЭЙШНА Гид, Выпуск 7.0.116.0.

Примечание: беспроводной клиент не отсылает (802.11) запрос идентификации во время переассоциации. Беспроводной клиент просто отсылает переассоциацию сразу же. Затем это пройдет 802.1x идентификация.

Q. Когда существует брандмауэр в сети, какие порты я должен разрешить для коммуникации LWAPP/CAPWAP?

A. Необходимо позволить эти порты:

  • Позвольте эти порты UDP для движения LWAPP:

    • Данные - 12222

    • Контроль - 12223

  • Позвольте эти порты UDP для движения CAPWAP:

    • Данные - 5247

    • Контроль - 5246

  • Позвольте эти порты UDP для движения Подвижности:

    • 16666 - Обеспеченный способ

    • 16667 - Необеспеченный способ

Подвижность и сообщения данных обычно обмениваются через пакеты EtherIP. Протокол 97 IP должен быть позволен на брандмауэре позволить пакеты EtherIP. При использовании ESP, чтобы заключить в капсулу пакеты подвижности, необходимо разрешить ISAKMP через брандмауэр при открытии порта UDP 500. Также необходимо открыть протокол 50 IP, чтобы позволить зашифрованным данным проходить через брандмауэр.

Эти порты являются дополнительными (в зависимости от ваших требований):

  • TCP 161 и 162 для SNMP (для Беспроводной системы управления [WCS])

  • UDP 69 для TFTP

  • TCP 80 и/или 443 для HTTP или HTTPS для доступа GUI

  • TCP 23 и/или 22 для TELNET или безопасной раковины (SSH) для доступа CLI

Q. Радио Диспетчеры LAN поддерживает и SSHv1 и SSHv2?

A. Беспроводные Контроллеры LAN поддерживают только SSHv2.

Q. Обратный ARP (RARP) поддержан через Радио Диспетчеры LAN (WLCs)?

A. Обратный протокол резолюции адреса (RARP) является протоколом слоя связи, используемым для получения IP-адреса для данного адреса слоя связи, такого как адрес Ethernet. RARP поддержан с WLCs с микропрограммной версией 4.0.217.0 или позже. RARP не поддержан ни на одной из более ранних версий.

Q. Я могу использовать внутренний сервер DHCP на Радио диспетчере LAN (WLC) для назначения IP-адресов на Легкие Точки доступа (LAPs)?

A. Контроллеры содержат внутренний сервер DHCP. Этот сервер, как правило, используется в филиалах, которые уже не имеют сервера DHCP. Для доступа к обслуживанию DHCP щелкните меню Controller от WLC GUI; тогда щелкните выбором Внутренний Сервер DHCP слева страницы. Для получения дополнительной информации о том, как формировать объем DHCP на WLC, отошлите к Формированию раздел DHCP Радио Cisco диспетчер LAN КОНФИГУРЭЙШН Гид, Выпуск 7.0.116.0.

Внутренний сервер обеспечивает обращения DHCP к беспроводным клиентам, LAPs, способу прибора APs в управленческом интерфейсе и запросы DHCP, которые переданы от LAPs. WLCs никогда не предлагают обращения к устройствам вверх по течению в зашитой сети. Выбор DHCP 43 не поддержан на внутреннем сервере, таким образом, AP должен использовать альтернативный метод для расположения управленческого IP-адреса интерфейса диспетчера, такого как местная передача подсети, DNS, Воспламенение или Сверхвоздушное открытие.

Примечание: версии программируемого оборудования WLC прежде 4.0 не поддерживают обслуживание DHCP для LAPs, если LAPs непосредственно не связан с WLC. Внутренняя функция сервера DHCP была использована только для обеспечения IP-адресов клиентам, которые соединяются с беспроводной сетью LAN.

Q. Что делает Обязательное поле DHCP под WLAN, имеют значение?

A. Необходимый DHCP является выбором, который может быть позволен для WLAN. Это требует этого всего клиенты, которые связываются к тому особому WLAN, получают IP-адреса через DHCP. Клиентам со статическими IP-адресами не разрешают связаться к WLAN. Этот выбор найден под Вкладкой "Дополнительно" WLAN. WLC позволяет движение клиенту, только если его IP-адрес присутствует в столе MSCB WLC. WLC делает запись IP-адреса клиента во время его Запроса DHCP, или DHCP Возобновляют. Это требует, чтобы клиент возобновил его IP-адрес каждый раз, когда это повторно связывается к WLC, потому что каждый раз клиент разъединяет как часть бродить по процессу или перерыву сессии, его вход стерт из стола MSCB. Клиент должен снова повторно подтвердить подлинность и повторно связаться к WLC, который снова делает вход клиента в столе.

Q. Как Cisco централизованный ключевой менеджмент (CCKM) работает в окружающей среде LWAPP/CAPWAP?

A. Во время начальной ассоциации клиента, AP или WLC договаривается о попарном главном ключе (PMK) после того, как беспроводной клиент пройдет 802.1x идентификация. WLC или AP WDS прячут PMK про запас для каждого клиента. Когда беспроводной клиент повторно связывается или бродит, это пропускает 802.1x идентификация и утверждает PMK сразу же.

Единственное специальное внедрение WLC в CCKM состоит в том, что WLCs обменивают клиента PMK через пакеты подвижности, такие как UDP 16666.

Q. Как я устанавливаю двойные параметры настройки на Радио диспетчере LAN (WLC) и Легких Точках доступа (LAPs)?

A. Продукты Радио Cisco работают лучше всего, когда об и скорости и дуплексе автодоговариваются, но у вас действительно есть выбор установить двойные параметры настройки на WLC и LAPs. Для урегулирования параметров настройки скорости/дуплекса AP можно формировать двойные параметры настройки для LAPs на диспетчере и затем, в свою очередь, выдвиньте их к LAPs.

формируйте AP дуплекс Ethernet <автомобиль/половина/полный> скорость <auto/10/100/1000> <вся/Cisco Имя AP> является командой для урегулирования двойных параметров настройки через CLI.This, команда поддержана с версиями 4.1 и позже только.

Для урегулирования двойных параметров настройки для физических интерфейсов WLC используйте config порт physicalmode {все | порт} {100-й | 100f | 10-й | 10f} команда.

Это наборы команд указанное или вся передняя панель 10/100BASE-T порты Ethernet для специальных 10 Мбит/с или 100 Мбит/с, полудвойная или полная дуплексная работа. Обратите внимание на то, что необходимо отключить автопереговоры с config портом autoneg, отключают команду перед ручным формированием любого физического способа на порту. Кроме того, обратите внимание на то, что config порт autoneg команда отвергает параметры настройки, сделанные с config портом physicalmode команда. По умолчанию все порты установлены в автомобиль, ведут переговоры.

Примечание: нет никакого способа изменить настройки скорости на портах волокна.

Q. Существует ли способ отследить название Легкой точки доступа (LAP), когда это не зарегистрировано диспетчеру?

A. Если ваш AP полностью снижается и не зарегистрированный диспетчеру, нет никакого способа, которым можно отследить LAP через диспетчера. Единственный путь, который остается, состоит в том, что можно получить доступ к выключателю, на котором связаны эти APs, и можно найти switchport, на котором они связаны с помощью этой команды:

show mac-address-table address <mac address>

Это дает вам число порта на выключателе, с которым связан этот AP. Затем выпустите эту команду:

show cdp nei <type/num> detail

Продукция этой команды также дает имя LAP. Когда ваш AP приведен в действие и связан с выключателем, Однако этот метод только возможен.

Q. Я формировал 512 пользователей на своем диспетчере. Там какой-либо путь состоит в том, чтобы увеличить число пользователей на Радио диспетчере LAN (WLC)?

A. Местная пользовательская база данных ограничена максимумом записей 2048 года в безопасности> Общая страница. Эта база данных разделена местными управленческими пользователями (который включает послов лобби), чистые пользователи (который включает пользователей-гостей), записи фильтра MAC, записи списка разрешения Точки доступа и записи списка Исключения. Вместе, все эти типы пользователей не могут превысить формируемый размер базы данных.

Для увеличения местной базы данных используйте эту команду от CLI:

<Cisco Controller>config database size ?
<count>  Enter the maximum number of entries (512-2048)

Примечание: необходимо спасти конфигурацию и перезагрузить систему (использующий систему сброса commmand) для изменения для вступления в силу.

http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/98673-wlc-design-ftrs-faq5.gif

Q. Как я провожу в жизнь сильную политику пароля по WLCs?

A. WLCs позволяют вам определять сильную политику пароля. Это может быть сделано с помощью или CLI или GUI.

В GUI пойдите в безопасность> AAA> политика Пароля. Эта страница имеет серию вариантов, которые могут быть отобраны для предписания сильного пароля. Вот пример:

http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/98673-wlc-design-ftrs-faq6.gif

Чтобы сделать это от WLC CLI, используйте config switchconfig сильный-pwd {проверка случая | последовательная проверка | проверка по умолчанию | проверка имени пользователя |, все-проверка} {позволяет |, отключают} команда:

  • проверка случая - Проверяет возникновение того же самого характера три раза последовательно.

  • последовательная проверка - Проверяет, используются ли значения по умолчанию или ее варианты.

  • проверка по умолчанию - Проверяет, используются ли или имя пользователя или его перемена.

  • все-проверки - Позволяют/отключают все сильные проверки пароля.

Q. Как пассивная функция клиента использована на Радио Диспетчеры LAN?

A. Пассивные клиенты являются беспроводными устройствами, такими как весы и принтеры, которые формируются со статическим IP-адресом. Эти клиенты не передают информации о IP, такой как IP-адрес, маска подсети и информация о воротах, когда они связываются с точкой доступа. В результате, когда пассивные клиенты используются, диспетчер никогда не знает IP-адрес, если они не используют DHCP.

WLCs в настоящее время действуют как полномочие для запросов ARP. После получения запроса ARP диспетчер отвечает ответом ARP вместо того, чтобы передать запрос непосредственно клиенту. Этот сценарий имеет два преимущества:

  • Восходящее устройство, которое отсылает запрос ARP клиенту, не будет знать, где расположен клиент.

  • Власть для устройств, работающих от батареи, таких как мобильные телефоны и принтеры сохранена, потому что они не должны отвечать на каждый ARP запросы.

Так как беспроводной контроллер не имеет никакой соответствующей информации IP о пассивных клиентах, это не может ответить ни на какие запросы ARP. Текущее поведение не позволяет передачу запросов ARP пассивным клиентам. Любое применение, которое пытается получить доступ к пассивному клиенту, потерпит неудачу.

Пассивная особенность клиента позволяет запросам ARP и ответам быть обмененными между зашитыми и беспроводными клиентами. Эта особенность, когда позволено, позволяет диспетчеру передавать запросы ARP от зашитого до беспроводных клиентов, пока желаемый беспроводной клиент не добирается до государства RUN.

Для получения информации о том, как формировать пассивную особенность клиента, прочитайте секцию на Использовании GUI для Формирования Пассивного Клиента в Радио Cisco диспетчер LAN КОНФИГУРЭЙШН Гид, Выпуск 7.0.116.0.

Q. Как я могу настроить клиента, чтобы повторно подтверждать подлинность с сервером RADIUS каждые три минуты или на каком-либо указанном периоде времени?

A. Параметр перерыва сессии на WLC может использоваться для выполнения этого. По умолчанию параметр перерыва сессии формируется на 1800 за секунды до того, как переидентификация происходит.

Измените эту стоимость на 180 секунд, чтобы заставить клиента повторно подтвердить подлинность после трех минут.

Для доступа к параметру перерыва сессии щелкните меню WLANs в GUI. Это показывает список WLANs, формируемого в WLC. Нажмите WLAN, которому принадлежит клиент. Пойдите во Вкладку "Дополнительно", и вы находите, Позволяют параметр Перерыва Сессии. Измените значение по умолчанию на 180 и нажмите Apply для изменений для вступления в силу.

Когда послано в Доступе - Принимают, наряду с ценностью Действия завершения ЗАПРОСА RADIUS, признак Перерыва сессии определяет максимальное количество секунд услуги, предоставленной перед переидентификацией. В этом случае признак Перерыва сессии используется для погрузки ReAuthPeriod, постоянного в государственной машине Таймера Переидентификации 802.1X.

Q. У меня есть туннелирование гостя, Ethernet по IP (EoIP) тоннель, формируемый между моими 4400 Радио диспетчерами LAN (WLC), которые действуют как якорный WLC и несколько отдаленных WLCs. Действительно ли это может закрепить WLC передовые передачи подсети через тоннель EoIP от зашитой сети до беспроводных клиентов, связанных с отдаленными диспетчерами?

A. Нет, WLC 4400 не отправляет передачи подсети IP от зашитой стороны до беспроводных клиентов через тоннель EoIP. Это не поддерживавшая функция. Cisco не поддерживает туннелирование передачи подсети или передача в топологии доступа гостя. Так как гость, WLAN вызывает точку присутствия клиента к очень определенному местоположению в сети, главным образом вне брандмауэра, туннелирования передачи подсети, может быть проблемой безопасности.

Q. В Радио диспетчере LAN (WLC) и Легком Протоколе Точки доступа установка (LWAPP), какие ценности Кодовой точки Differentiated Services (DSCP) переданы для Голосового движения? Как QoS осуществлен на WLC?

A. Решение для Объединенной беспроводной сети (UWN) Cisco WLANs поддерживает четыре уровня QoS:

  • Платина/Голос

  • Золото/Видео

  • Серебро/Максимальное усилие (неплатеж)

  • Бронза/Фон

Можно формировать голосовое движение WLAN, чтобы использовать Платину QoS, назначить низкой полосе пропускания WLAN, чтобы использовать Бронзу QoS и назначить все другое движение между другими уровнями QoS. Обратитесь к Назначению Профиля QoS к WLAN для получения дополнительной информации.

Q. Linksys Мосты Ethernet поддержаны в Радио Cisco Объединенное Решение?

A. Нет, WLC поддерживает только Cisco продукты WGB. Linksys WGBs не поддержаны. Хотя Радио Cisco, Объединенное Решение не поддерживает мост Linksys WET54G и мост WET11B Ethernet, можно использовать эти устройства в Беспроводной Объединенной конфигурации Решения при использовании этих рекомендаций:

  • Соедините только одно устройство с WET54G или WET11B.

  • Активируйте опцию клонирования MAC на WET54G или WET11B для клонирования подключенного устройства.

  • Установите самых новых водителей и программируемое оборудование на устройствах, связанных с WET54G или WET11B. Эта директива особенно важна для Принтеров JetDirect, потому что более ранние микропрограммные версии вызывают проблемы с DHCP.

Примечание: Другие сторонние мосты не поддержаны. Упомянутые шаги можно также попробовать за другие сторонние мосты.

Q. Как я храню конфигурационные файлы на Радио диспетчере LAN (WLC)?

A. WLC содержит два вида памяти:

  • Изменчивый RAM — Поддерживает текущую, активную конфигурацию диспетчера

  • Энергонезависимый RAM (NVRAM) — Поддерживает конфигурацию перезагрузки

При формировании операционной системы в WLC вы изменяете изменчивый RAM. Необходимо спасти конфигурацию от изменчивого RAM до NVRAM, чтобы удостовериться что перезагрузки WLC в текущей конфигурации.

Важно знать, какую память вы изменяете при выполнении этих задач:

  • Используйте волшебника конфигурации.

  • Очистите конфигурацию диспетчера.

  • Спасите конфигурации.

  • Перезагрузите диспетчера.

  • Регистрация из CLI.

Особенности FAQ

Q. Как я устанавливаю тип Расширяемого протокола аутентификации (EAP) на Радио диспетчере LAN (WLC)? Я хочу подтвердить подлинность против прибора Сервера управления доступом (ACS), и я получаю "неподдержанный EAP" тип в регистрациях.

A. На WLC существует не отдельное урегулирование типа EAP. Для Легкого EAP (LEAP) EAP Гибкая Идентификация через Безопасное Туннелирование (EAP-FAST) или Microsoft Protected EAP (MS-PEAP), просто формирует IEEE 802.1x или Wi-Fi Защищенный Доступ (WPA) (если вы используете 802.1x с WPA). Любой тип EAP, который поддержан на бэкенде RADIUS и на клиенте, поддержан через 802.1x признак. EAP, устанавливающий на клиенте и сервере RADIUS, должен соответствовать.

Закончите эти шаги для предоставления возможности EAP через GUI на WLC:

  1. От WLC GUI, нажмите WLANs.
  2. Появляется список WLANs, формируемого в WLC. Нажмите WLAN.
  3. В WLANs> Редактируют, щелкают счетом безопасности.
  4. Нажмите Layer 2 и выберите Слой 2 безопасности в качестве 802.1x или WPA+WPA2. Можно также формировать 802.1x параметры, которые доступны в том же самом окне. Затем WLC вперед пакеты идентификации EAP между беспроводным клиентом и сервером идентификации.
  5. Щелкните серверами AAA и выберите сервер идентификации из выпадающего меню для этого WLAN. Мы предполагаем, что сервер идентификации уже формируется глобально. Для получения информации о том, как позволить выбор EAP на WLCs через интерфейс командной строки (CLI), пошлите к Использованию CLI Формировать раздел RADIUS Радио Cisco диспетчер LAN КОНФИГУРЭЙШН Гид, Выпуск 7.0.116.0.

Q. Что такое Быстрое Изменение SSID?

A. Быстрое Изменение SSID позволяет клиентам перемещаться между SSIDs. Когда клиент посылает новую ассоциацию для различного SSID, вход клиента в столе связи диспетчера очищен, прежде чем клиент добавлен к новому SSID. Когда Быстрое Изменение SSID отключено, диспетчер проводит в жизнь задержку, прежде чем клиентам разрешат двинуться в новый SSID. Для получения информации о том, как позволить Быстрое Изменение SSID, отошлите к Формированию Быстрый SSID Изменяющийся раздел Радио Cisco диспетчер LAN КОНФИГУРЭЙШН Гид, Выпуск 7.0.116.0.

Q. Я могу установить предел для числа клиентов, которые могут соединить с Радио LAN?

A. Можно установить предел к числу клиентов, которые могут соединиться с WLAN, который полезен в сценариях, где у вас есть ограниченное число клиентов, которые могут соединиться с диспетчером. Число клиентов, которых можно формировать за WLAN, зависит от платформы, которую вы используете.

Прочитайте секцию, Формирующую Максимальное количество Клиентов за WLAN Радио Cisco диспетчер LAN КОНФИГУРЭЙШН Гид, Выпуск 7.0.116.0 для получения информации о пределах клиента за WLAN для различных платформ Радио Диспетчеры LAN.

Q. Что такое PKC и как он работает с Радио диспетчером LAN (WLC)?

A. PKC обозначает Превентивное Ключевое Кэширование. Это было разработано как расширение к 802.11i стандарт IEEE.

PKC является опцией, активированной в Cisco 2006/410x/440x Серийные Диспетчеры, который разрешает должным образом снабженным беспроводным клиентам бродить без полной переидентификации с сервером AAA. Для понимания PKC сначала необходимо понять Ключевое Кэширование.

Ключевое Кэширование является опцией, которая была добавлена к WPA2. Это позволяет мобильной станции прятать главные ключи про запас (Попарный главный ключ [PMK]), он извлекает пользу посредством успешной идентификации с точкой доступа (AP), и снова используйте его в будущей связи с тем же самым AP. Это означает, что данное мобильное устройство должно подтвердить подлинность однажды с определенным AP и припрятать ключ про запас для будущего использования. Ключевое Кэширование обработано через механизм, известный как Идентификатор PMK (PMKID), который является мешаниной PMK, последовательности, станции и Мак адресов AP. PMKID однозначно определяет PMK.

Даже с Ключевым Кэшированием, беспроводная станция должна подтвердить подлинность с каждым AP, от которого это хочет получить обслуживание. Это вводит значительное время ожидания и накладные расходы, которые задерживают руку - от процесса и могут запретить способность поддержать заявления в реальном времени. Для решения этого вопроса PKC был начат с WPA2.

PKC позволяет станции снова использовать PMK, который он ранее получил посредством успешного процесса идентификации. Это избавляет от необходимости станцию подтверждать подлинность против нового APs при роуминге.

Поэтому, во внутридиспетчере, бродящем, когда мобильное устройство перемещается от одного AP до другого на том же самом диспетчере, клиент повторно вычисляет PMKID использование ранее используемого PMK и представляет его во время процесса ассоциации. WLC ищет свой тайник PMK, чтобы определить, имеет ли он такой вход. Если это делает, это обходит 802.1x процесс идентификации и немедленно начинает ключевой обмен WPA2. Если это не делает, это проходит стандарт 802.1X процесс идентификации.

PKC позволен по умолчанию с WPA2. Поэтому при предоставлении возможности WPA2 как Слоя 2 безопасности под конфигурацией WLAN WLC PKC позволен на WLC. Кроме того, формируйте сервер AAA и беспроводного клиента для соответствующей идентификации EAP.

supplicant, используемый в стороне клиента, должен также поддержать WPA2 для PKC для работы. PKC может также быть осуществлен в междиспетчере, бродящем по окружающей среде.

Примечание: PKC не работает с Полезностью рабочего стола Aironet (ADU) как клиент supplicant.

Q. Что является объяснениями этих параметров настройки перерыва на диспетчере: Перерыв Протокола резолюции адреса (ARP), Пользователь Неработающий Перерыв и Перерыв Сессии?

A. Перерыв ARP используется для удаления записей ARP на WLC для устройств, усвоенных из сети.

Пользователь Неработающий Перерыв: Когда пользователь является неработающим без любой связи с LAP для набора количества времени как Пользователь Неработающий Перерыв, клиент является deauthenticated WLC. Клиент должен повторно подтвердить подлинность и повторно связаться к WLC. Это используется в ситуациях, где клиент может понизиться из его связанного LAP, не регистрируя LAP. Это может произойти, если батарея идет неисправная на клиенте, или партнеры клиента переезжают.

Примечание: для доступа к ARP и Пользователю Неработающий Перерыв на WLC GUI, пойдите в меню Controller. Выберите Общий из левой стороны для нахождения ARP и Пользователя Неработающими областями Перерыва.

Перерыв Сессии является максимальным временем для встречи клиента с WLC. После этого времени, WLC de-authenticates клиент и клиент проходит целую идентификацию (переидентификация) процесс снова. Это - часть предосторожности безопасности для вращения ключей шифрования. При использовании метода Расширяемого протокола аутентификации (EAP) с ключевым менеджментом повторный ввод данных происходит в каждом регулярном интервале для получения нового ключа шифрования. Без ключевого менеджмента эта стоимость перерыва является временем, когда беспроводные клиенты должны сделать полную переидентификацию. Перерыв сессии является определенным для WLAN. К этому параметру можно получить доступ из меню WLANs> Edit.

Q. Что такое система RFID? Какие признаки RFID в настоящее время поддерживаются Cisco?

A. Идентификация Радиочастоты (RFID) является технологией, которая использует коммуникацию радиочастоты для коммуникации довольно малой дальности. Основная система RFID составлена из признаков RFID, RFID-считывателей и программного обеспечения обработки.

В настоящее время Cisco поддерживает признаки RFID от AeroScout и Pango. Для получения дополнительной информации о том, как формировать признаки AeroScout, обратитесь к Конфигурации WLC для Признаков AeroScout RFID.

Q. Я могу выполнить идентификацию EAP в местном масштабе на WLC? Есть ли какой-либо документ, который объясняет эту Местную особенность EAP?

A. Да, идентификация EAP может быть выполнена в местном масштабе на WLC. Местный EAP является методом идентификации, который позволяет пользователям и беспроводным клиентам быть заверенными в местном масштабе на WLC. Это разработано для использования в отдаленных офисах, которые хотят поддержать возможность соединения беспроводным клиентам, когда система бэкенда становится разрушенной, или внешний сервер идентификации понижается. При предоставлении возможности местного EAP WLC служит сервером идентификации. Для получения дополнительной информации о том, как формируют WLC для местной EAP-быстрой идентификации, отошлите к Местной Идентификации EAP на Радио Диспетчера LAN с EAP-FAST и Примером Конфигурации Сервера LDAP.

Q. Каков WLAN, отвергают особенность? Как я формирую эту особенность? LAPs будет утверждать, что WLAN отвергают ценности, когда они терпят неудачу к резервному WLC?

A. WLAN отвергают особенность, позволяет нам выбрать WLANs из числа WLANs, формируемого на WLC, который может активно использоваться на отдельной основе LAP. Закончите эти шаги для формирования WLAN, отвергните:

  1. В WLC GUI, щелкните меню Wireless.
  2. Щелкните Радио выбора слева и выберите 802.11 a/n или 802.11 b/g/n.
  3. Нажмите на ссылку Configure из выпадающего меню, найденного на правой стороне, которая соответствует названию AP, на котором вы хотите формировать WLAN, отвергают.
  4. Выберите Позволяют от WLAN, Отвергают выпадающее меню. Меню WLAN Override является последним пунктом на левой стороне окна.
  5. Список всех WLANs, которые формируются на WLC, появляется.
  6. Из этого списка проверьте WLANs, что вы хотите появиться на LAP и нажать Apply для изменений для вступления в силу.
  7. Спасите свою конфигурацию после внесения этих изменений.

APs сохраняют WLAN, отвергают ценности, когда они зарегистрированы к другому WLCs, при условии, что профили WLAN и SSIDs, который вы хотите отвергнуть, формируются через весь WLCs.

Примечание: В выпуске 5.2.157.0 программного обеспечения диспетчера WLAN отвергают особенность, был удален и от диспетчера GUI и от CLI. Если ваш диспетчер формируется для WLAN, отвергают, и вы модернизируете до выпуска 5.2.157.0 программного обеспечения диспетчера, диспетчер удаляет конфигурацию WLAN и передает весь WLANs. Можно определить, что только определенный WLANs передан при формировании групп точки доступа. Каждая точка доступа рекламирует только позволенные WLANs, которые принадлежат его группе точки доступа.

Примечание: группы Точки доступа не позволяют WLANs быть переданным на за радио-интерфейс AP.

Q. IPv6 поддержан на Радио Cisco Диспетчеры LAN (WLCs) и Легкие Точки доступа (LAPs)?

A. В настоящее время 4400 и 4100 серийных диспетчеров только поддерживают передачу клиента IPv6. Родная поддержка IPv6 не поддержана.

Для предоставления возможности IPv6 на WLC проверьте, что флажок IPv6 Enable на WLAN SSID конфигурация под WLAN> Редактирует страницу.

Кроме того, Способ передачи Ethernet (EMM) требуется, чтобы поддерживать IPv6. При выведении из строя EMM устройства клиента, которые используют IPv6, теряют возможность соединения. Для предоставления возможности EMM пойдите к Диспетчеру> Общая страница и из выпадающего меню Способа Передачи Ethernet, выберите Unicast или Multicast. Это позволяет передачу или в способе Unicast или в способе Передачи. Когда передача позволена как передача unicast, пакеты копируются для каждого AP. Это может быть интенсивным процессором, так используйте его с осторожностью. Передача позволила, поскольку передача передачи использует пользователя назначенный адрес передачи для убирания более традиционной передачи к точкам доступа (APs).

Примечание: IPv6 не поддержан на диспетчерах 2006 года.

Кроме того, существует ошибка ID CSCsg78176 Cisco, которая предотвращает использование передача IPv6, когда используется AAA Overrride особенность.

Q. Серийное Радио диспетчер LAN (WLC) Cisco 2000 поддерживает Веб-Идентификацию для пользователей-гостей?

A. Веб-Идентификация поддержана на всей Cisco WLCs. Веб-идентификацией является Слой, 3 метода идентификации раньше подтверждали подлинность пользователей с простыми верительными грамотами идентификации. Никакое шифрование не включено. Закончите эти шаги для активации этой опции:

  1. От GUI щелкните меню WLAN.
  2. Нажмите WLAN.
  3. Пойдите в счет безопасности и выберите Слой 3.
  4. Поставьте Веб-стратегический флажок и выберите Идентификацию.
  5. Нажмите Apply для экономии изменений.
  6. Для создания базы данных по WLC, против которого можно подтвердить подлинность пользователей, пойдите в меню безопасности на GUI, выберите Местного Чистого Пользователя и закончите эти действия:
    1. Определите имя пользователя гостя и пароль для гостя для использования для вхождения в систему. Эти ценности с учетом регистра.
    2. Выберите ID WLAN, который вы используете.

    Примечание: Для более подробной конфигурации отошлите к Радио диспетчера LAN ВЕБА ОТЭНТИКЭЙШНА КОНФИГУРЭЙШНА ЭКСЭМПЛА.

Q. WLC можно управлять в Беспроводном Способе?

A. WLC можно управлять через беспроводной способ, как только это позволено. Для получения дополнительной информации о том, как позволить беспроводной способ, отсылают к Беспроводным соединениям Предоставления возможности с GUI и разделом CLI Радио Cisco диспетчера LAN КОНФИГУРЭЙШНА Гид, Выпуск 7.0.116.0.

Q. Что такое Скопление Связи (LAG)? Как я позволяю LAG на Радио Диспетчеры LAN (WLCs)?

A. LAG связывает все порты на WLC в единственный интерфейс EtherChannel. Система динамично управляет транспортной балансировкой нагрузки и избыточностью порта с LAG.

Обычно интерфейсу на WLC связали многократные параметры с ним, который включает IP-адрес, ворота по умолчанию (для подсети IP), основной физический порт, вторичный физический порт, признак VLAN и сервер DHCP. Когда LAG не используется, каждый интерфейс обычно наносится на карту к физическому порту, но Многократные интерфейсы могут также быть нанесены на карту к единственному порту WLC. Когда LAG используется, система динамично наносит на карту интерфейсы к соединенному каналу порта. Это помогает в избыточности порта и балансировке нагрузки. Когда порт терпит неудачу, интерфейс динамично нанесен на карту к следующему доступному физическому порту, и LAPs уравновешен через порты.

Когда LAG позволен на WLC, WLC вперед структуры данных на том же самом порту, на котором они были получены. WLC полагается на соседний выключатель к движению баланса груза через EtherChannel. WLC не выполняет балансировки нагрузки EtherChannel самостоятельно.

Q. Какие модели Радио Диспетчеры LAN (WLCs) поддерживают Скопление Связи (LAG)?

Серийные диспетчеры A. Cisco 5500 поддерживают LAG в выпуске 6.0 программного обеспечения или позже, Серийные диспетчеры Cisco 4400 поддерживают LAG в выпуске 3.2 программного обеспечения или позже, и LAG позволен автоматически на диспетчерах в Cisco WiSM и Катализаторе 3750G Интегрированное Радио диспетчер LAN СВИЧ. Без LAG каждый порт системы распределения на Серийном диспетчере Cisco 4400 поддерживает до 48 точек доступа. С позволенным LAG логический порт диспетчера Cisco 4402 поддерживает до 50 точек доступа, логический порт диспетчера Cisco 4404 поддерживает до 100 точек доступа и логический порт на Катализаторе 3750G Интегрированное Радио, диспетчер LAN СВИЧ и на каждом диспетчере Cisco WiSM поддерживает до 150 точек доступа.

Cisco 2106 и 2006 WLCs не поддерживают LAG. Более ранние модели, такие как ряд Cisco 4000 WLC, не поддерживают LAG.

Q. Какова автоякорная особенность подвижности в Объединенных Беспроводных сетях?

A. Автоякорная подвижность (или гость подвижность WLAN) используется для улучшения балансировки нагрузки и безопасности для роуминга по клиентам на беспроводном LANs (WLANs). При нормальных условиях роуминга устройства клиента присоединяются к WLAN и закреплены на первом диспетчере, с которым они связываются. Если клиент бродит к различной подсети, диспетчер, к которому бродит клиент, настраивает иностранную сессию для клиента с якорным диспетчером. С использованием автоякорной особенности подвижности можно определить диспетчера или компанию диспетчеров, поскольку якорь указывает для клиентов на WLAN.

Примечание: якорь Подвижности не должен формироваться для Слоя 3 подвижности. Якорь подвижности используется только для туннелирования гостя.

Q. Радио диспетчер LAN (WLC) Cisco 2006 года может формироваться как якорь для WLAN?

A. Ряд Cisco 2000 WLC не может определяться как якорь для WLAN. Однако WLAN, созданный на ряду Cisco 2000 WLC, может иметь ряд Cisco 4100 WLC и ряд Cisco 4400 WLC как его якорь.

Q. Какое туннелирование подвижности Радио Диспетчер LAN использует?

A. Программное обеспечение Controller выпускает 4.1 через 5.1 поддержек и асимметричное и симметричное туннелирование подвижности. Выпуск 5.2 программного обеспечения Controller или более поздняя поддержка только симметричное туннелирование подвижности, которое теперь всегда позволяется по умолчанию.

В асимметричном туннелировании движение клиента к зашитой сети разбито непосредственно через иностранного диспетчера. Когда восходящему маршрутизатору позволили обратную фильтрацию пути (RPF), асимметричное туннелирование ломается. В этом случае движение клиента пропущено в маршрутизаторе, потому что проверка RPF гарантирует, что путь назад к адресу источника соответствует пути, из которого прибывает пакет.

Когда симметричное туннелирование подвижности позволено, все движение клиента посылают якорному диспетчеру и может тогда успешно передать проверку RPF. Симметричное туннелирование подвижности также полезно в этих ситуациях:

  • Если установка брандмауэра в пути пакета клиента уронила пакеты, потому что исходный IP-адрес не соответствует подсети, на которой получены пакеты, это полезно.

  • Если группа точки доступа VLAN на якорном диспетчере отличается, чем интерфейс WLAN VLAN на иностранном диспетчере: в этом случае движение клиента можно послать на неправильном VLAN во время событий подвижности.

Q. Когда сеть снижается, как мы получаем доступ к WLC?

A. Когда сеть снижается, к WLC может получить доступ сервисный порт. Этому порту назначают IP-адрес в полностью различной подсети от других портов WLC и названное управление из группы - также. Для получения дополнительной информации отошлите раздел Портов и Интерфейсов Формирования Радио Cisco диспетчер LAN КОНФИГУРЭЙШН Гид, Выпуск 7.0.116.0.

Q. Радио Cisco Диспетчеры LAN (WLCs) поддерживают отказоустойчивость (или избыточность) особенность?

A. Да, если у вас есть два или больше WLCs в вашей сети WLAN, можно формировать их для избыточности. Обычно LAP соединяет с формируемым основным WLC. Как только основной WLC подводит, перезагрузки LAP и присоединяется к другому WLC в группе подвижности. Фэйловер является особенностью в чем опросы LAP для основного WLC и присоединяется к основному WLC, как только это функционально. Обратитесь к диспетчеру WLAN Фэйловеру для Легкого Примера Конфигурации Точек доступа для получения дополнительной информации.

Q. Каково использование списков контроля доступа перед идентификацией (ACLs) в Радио Диспетчеры LAN (WLCs)?

A. С предварительной идентификацией ACL, поскольку имя подразумевает, можно позволить движение клиента и от определенного IP-адреса даже, прежде чем клиент подтвердит подлинность. При использовании внешнего веб-сервера для веб-идентификации некоторые платформы WLC нуждаются в предварительной идентификации ACL для внешнего веб-сервера (Серийный диспетчер Cisco 5500, Серийный диспетчер Cisco 2100, ряд Cisco 2000 и модуль сети диспетчера). Для других платформ WLC предварительная идентификация ACL не обязателен. Однако это - хорошая практика для формирования предварительной идентификации ACL для внешнего веб-сервера при использовании внешней веб-идентификации.

Q. У меня есть ФИЛЬТРОВАННЫЙ MAC WLAN и абсолютно открытый WLAN в моей сети. Клиент выбирает открытый WLAN по умолчанию? Или клиент автоматически связывается с ID WLAN, который установлен на фильтре MAC? Кроме того, почему там "интерфейсный" выбор на фильтре MAC?

A. Клиент может связаться к любому WLAN, с которым клиент формируется для соединения. Интерфейсный выбор в фильтре MAC дает способность применить фильтр или к WLAN или к интерфейсу. Если многократный WLANs связаны с тем же самым интерфейсом, можно применить фильтр MAC к интерфейсу без потребности создать фильтр для каждого отдельного WLAN.

Q. Как я могу формировать идентификацию TACACS для управленческих пользователей на Радио диспетчере LAN (WLC)?

A. Начинаясь с версии 4.1 WLC, TACACS поддержан на WLCs. Обратитесь к Формированию TACACS +, чтобы понять, как формировать TACACS + для подтверждения управленческих пользователей WLC.

Q. Каково использование чрезмерного урегулирования неудачи идентификации в Радио диспетчере LAN (WLC)?

A. Это урегулирование является одной из политики исключения клиента. Исключение клиента является механизмом безопасности на диспетчере. Политика используется для помещения в черный список клиентов для предотвращения незаконного доступа к сети или нападений к беспроводной сети.

С этой чрезмерной веб-позволенной политикой неудачи идентификации, когда число клиента неудавшихся веб-попыток идентификации превышает 5, диспетчер полагает, что клиент превысил максимальные попытки веб-идентификации и помещает в черный список клиента.

Закончите эти шаги, чтобы позволить или отключить это урегулирование:

  1. От WLC GUI, пойдите в безопасность> Беспроводная Политика обеспечения защиты> политика Исключения Клиента.
  2. Проверьте или снимите флажок с Чрезмерными Веб-Неудачами Идентификации.

Q. Я преобразовал свою автономную точку доступа (AP) в легкий способ. В Легком весе Протокол AP (LWAPP) способ с сервером RADIUS AAA для бухгалтерского учета клиента обычно за клиентом следят с RADIUS, считающим основанный на IP-адресе WLC. Действительно ли возможно установить RADIUS, считающий основанный на Мак адресе AP, связанного с этим WLC а не IP-адрес WLC?

A. Да, это может быть сделано с конфигурацией стороны WLC. Закончите эти шаги:

  1. От диспетчера GUI, под безопасностью> Бухгалтерский учет Радиуса, существует коробка снижения вниз для Станции Требования Тип ID. Выберите Мак адрес AP.
  2. Проверьте это через регистрацию AP LWAPP. Там, вы видите позванную станцию область ID, которая показывает Мак адрес AP, с которым связан особый клиент.

Q. Как вы изменяете Wi-Fi Защищенный Доступ (WPA) стоимость перерыва рукопожатия на Радио диспетчере LAN (WLC) через CLI? Я знаю, что могу сделать это на Cisco IOS® Access Points (APs) с командой стоимости перерыва dot11 wpa рукопожатия, но как вы выполняете это на WLC?

A. Способность формировать перерыв WPA-рукопожатия через WLCs была объединена в выпуске 4.2 программного обеспечения и позже. Вы не нуждаетесь в этом выборе в более ранних версиях программного обеспечения WLC.

Эти команды могут использоваться для изменения перерыва Рукопожатия WPA:

    config advanced eap eapol-key-timeout <value>
    config advanced eap eapol-key-retries <value>

Значения по умолчанию продолжают отражать текущее поведение WLCs.

   - the default value for eapol-key-timeout is 1 second.
   - the default value for eapol-key-retries is 2 retries

Примечание: На IOS APs это урегулирование конфигурируемо с командой рукопожатия dot11 wpa.

Можно также формировать другие параметры EAP с вариантами под передовой командой eap config.

(Cisco Controller) >config advanced eap ?

eapol-key-timeout
   Configures EAPOL-Key Timeout in seconds.
eapol-key-retries
   Configures EAPOL-Key Max Retries.
identity-request-timeout
   Configures EAP-Identity-Request Timeout in seconds.
identity-request-retries
   Configures EAP-Identity-Request Max Retries.
key-index
   Configure the key index used for 
   dynamic WEP(802.1x) unicast key (PTK).
max-login-ignore-identity-response 	
   Configure to ignore the same username count 
   reaching max in the EAP identity response
request-timeout
   Configures EAP-Request Timeout in seconds.
request-retries
   Configures EAP-Request Max Retries.

Q. Какова цель диагностической особенности канала в WLAN>, Редактируют> Продвинутая страница?

A. Диагностическая особенность канала позволяет вам расследовать проблемы в отношении связи клиента с WLAN. Клиент и Точки доступа могут быть проведены через определенный набор тестов для идентификации причины коммуникационных трудностей, которые испытывает клиент, и затем позвольте корректирующим мерам быть взятыми для создания клиента готовым к эксплуатации в сети. Можно использовать диспетчера GUI или CLI для предоставления возможности диагностического канала, и можно использовать диспетчера CLI или WCS для запущения диагностических тестов.

Диагностический канал может использоваться только для тестирования. При попытке формировать идентификацию или шифрование для WLAN с диагностическим позволенным каналом, вы видите эту ошибку:

http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/98673-wlc-design-ftrs-faq4.gif

Q. Каково максимальное количество AP Groups, которая может формироваться на WLC?

A. Этот список показывает максимальное количество групп AP, что можно формировать на WLC:

  • Максимум 50 групп точки доступа для Серийных модулей сети диспетчера Cisco 2100 и диспетчера

  • Максимум 300 групп точки доступа для Серийных диспетчеров Cisco 4400, Cisco WiSM и Cisco 3750G Радио диспетчер LAN СВИЧ

  • Максимум 500 групп точки доступа для Серийных диспетчеров Cisco 5500

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Соответствующая информация


Document ID: 98673