Беспроводные сети : Контроллеры беспроводной локальной сети Cisco серии 5500

Руководство по проектированию и развертыванию сред H-REAP

23 марта 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (29 июня 2011) | Отзыв

Содержание

Введение
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Принцип работы протокола LWAPP — основы
Внедрение протокола LWAPP в унифицированной архитектуре беспроводных сетей Cisco
Технология Hybrid Remote-Edge Access Point
Принцип работы H-REAP
      Основные концепции H-REAP
      Обнаружение контроллера H-REAP
      Поддержка беспроводных средств безопасности в H-REAP
      Следует ли использовать магистраль
      Функциональные и архитектурные ограничения H-REAP
      Соображения по использованию каналов WAN в H-REAP
Конфигурация H-REAP
      Подготовка проводной сети
      Обнаружение контроллера H-REAP с помощью команд CLI
      Конфигурация контроллера H-REAP
Устранение неполадок H-REAP
      Точка доступа H-REAP не подключается к контроллеру
      Команды консоли H-REAP не работают или возвращают ошибки
      Клиенты не могут подключиться к точке доступа H-REAP
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

Технология H-REAP — это беспроводное решение для развертывания в филиалах и удаленных офисах. Она позволяет заказчикам настраивать и контролировать до трех точек доступа в филиале или удаленном офисе из главного офиса корпорации через канал WAN, не развертывая контроллер в каждом офисе. Точки доступа H-REAP выполняют локальную коммутацию клиентских данных, а также локальную аутентификацию клиентов, когда подключение к контроллеру обрывается. При наличии подключения к контроллеру точки доступа H-REAP могут выполнять обратное туннелирование трафика к контроллеру.

Предварительные условия

Требования

Технология H-REAP поддерживается только для точек доступа 1130AG и 1240AG, унифицированных контроллеров серий Cisco 2000 и 4400, интегрированного контроллера-коммутатора WLAN Catalyst 3750G, модуля Cisco WiSM и сетевого контроллера для маршрутизаторов интегрированных услуг (ISR).

Используемые компоненты

Сведения, представленные в этом документе, относятся к следующим версиям программного и аппаратного обеспечения.

  • Объединенные контроллеры Cisco (серии 2000 и 4400) версии 4.0 или выше

  • и облегченные точки доступа (LAP) на базе протокола LWAPP серий 1130 и 1240

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Принцип работы протокола LWAPP — основы

Протокол LWAPP, на котором основана унифицированная архитектура беспроводных сетей Cisco, поддерживает два основных режима работы беспроводных точек доступа:

  • Split-MAC — В режиме Split-MAC система делит основные функции 802.11между точками доступа и контроллером. В таких конфигурациях контроллер выполняет не только обработку процессов, таких как аутентификация и сопоставление 802.11. Он также служит единой точкой входа и выхода для всего пользовательского трафика. Точки доступа Split-MAC туннелируют весь клиентский трафик в контроллер через туннель данных LWAPP (управляющие сигналы LWAPP передаются по тому же пути).

  • Local MAC — При внедрении всех функциональных возможностей 802.11 в точке доступа режим Local MAC обеспечивает разделение плоскости данных и пути управляющих сигналов, завершая весь клиентский трафик в проводном порте точки доступа. Этот режим позволяет не только предоставить прямой беспроводной доступ к ресурсам, локальным по отношению к точке доступа, но и обеспечивает устойчивость канала, так как сохраняет доступность беспроводной сети, даже когда канал управляющих сигналов LWAPP (канал между точкой доступа и контроллером) недоступен. Эта функция будет особенно полезна для малых удаленных офисов и филиалов, которые используют каналы WAN и нуждаются в небольшом количестве точек доступа, которое не позволяет обосновать приобретение локального контроллера.

Внедрение протокола LWAPP в унифицированной архитектуре беспроводных сетей Cisco

Все точки доступа на базе LWAPP поддерживают режим Split-MAC, который часто называют локальным режимом в интерфейсах настройки систем (не путайте с режимом Local MAC протокола LWAPP), но в режиме "Local MAC" работает только точка доступа REAP Aironet 1030, которая обозначается как "REAP" при настройке системы.

Точка доступа 1030 REAP обеспечивает устойчивость к простоям канала WAN и локальную коммутацию трафика, но может удовлетворять не всем требованиям к установке, предъявляемым удаленными офисами и филиалами. Точка доступа 1030 REAP поддерживает разделение по воздуху (благодаря поддержке нескольких идентификаторов BSSID), но она не выполняет разделение в проводном порте из-за отсутствия поддержки 802.1Q. Данные из всех сетей WLAN попадают в одну проводную подсеть. Кроме того, при отказе канала WAN точка доступа 1030 прекращает обслуживание всех сетей WLAN, кроме первой, указанной в контроллере.

Технология H-REAP была создана, чтобы устранить оба этих фундаментальных ограничения.

Технология Hybrid Remote-Edge Access Point

Технология Hybrid Remote-Edge Access Point или H-REAP — это новая функция, поддерживаемая точками доступа 1131 и 1242. Эта функция выбирается на уровне программного обеспечения и поддерживается только в контроллерах унифицированных беспроводных сетей Cisco версии 4.0 или выше. Она позволяет объединять режимы работы протокола LWAPP Split и Local MAC для максимальной гибкости развертывания. Клиентский трафик в точках доступа H-REAP может коммутироваться локально в точке доступа или туннелироваться обратно в контроллер, в зависимости от конфигурации отдельных WLAN. Более того, локально коммутируемый клиентский трафик может быть промаркирован в соответствии со стандартом 802.1Q на точке доступа H-REAP для разделения на проводном порте. Во время простоя канала WAN обслуживание сетей WLAN с локальной аутентификацией и коммутацией сохраняется.

Примечание: H-REAP поддерживается только в следующих точках доступа на базе LWAPP: 1131AG и 1242AG. Контроллеры серий 2000 и 4400, интегрированный контроллер-коммутатор Catalyst 3750G, модуль WiSM серии Catalyst 6500 и модуль WLCM для маршрутизаторов ISR поддерживают функцию H-REAP:

Стандартная схема внедрения H-REAP.

h-reap-design-deploy-1.gif

Как показано на схеме, технология H-REAP была разработана специально для развертывания в средах малых офисов и филиалов. Серьезные ограничения поддержки быстрого роуминга и контроля приема вызовов, а также другие функциональные ограничения, описанные в этом документе, делают точки доступа H-REAP малопригодными для использования на предприятиях. Они предназначены для удаленных офисов и филиалов.

В этом документе описывается принцип работы H-REAP, конфигурация контроллеров и точек доступа, а также приводятся соображения по проектированию сетей.

Принцип работы H-REAP

Основные концепции H-REAP

Функция H-REAP может работать в нескольких режимах, которые обеспечивают центральную и локальную коммутацию, а также повышают устойчивость канала WAN. Комбинирование этих двух групп режимов предоставляет богатый набор функциональных возможностей, но при этом становится причиной различных ограничений, которые зависят от комбинации режимов.

Существует две группы режимов:

  • Центральная и локальная коммутация

    Сети WLAN (наборы параметров безопасности, QoS и других параметров конфигурации, привязанные к SSID) на точках доступа H-REAP могут быть настроены на обратное туннелирование данных в контроллер (это называется центральной коммутацией) или на локальный сброс всех клиентских данных в проводной интерфейс точки доступа H-REAP (локальная коммутация). Сети WLAN с локальной коммутацией могут поддерживать маркировку 802.1Q (необязательно), что обеспечивает их сегментацию с использованием проводной сети (порта Ethernet точки доступа).

  • Подключенный и автономный режимы

    Точка доступа Hybrid-REAP находится в подключенном режиме, когда часть управляющей плоскости LWAPP, подключенная к контроллеру, работает и доступна. Это означает, что канал WAN не отключен. Автономный режим определяется как операционное состояние, в которое переходит точка доступа H-REAP, когда теряет обратное подключение к контроллеру.

Примечание: Все процессы аутентификации для H-REAP (такие как внутренняя аутентификация RADIUS и сравнение парных главных ключей [PMK]) выполняются на контроллере, когда точка доступа находится в подключенном состоянии. Кроме того, в автономном режиме точки доступа используют аутентификацию Wi-Fi (WPA)/WPA2 PSK (открытые и общие методы аутентификации также поддерживаются точками доступа H-REAP в этом режиме). Вся обработка сопоставления и аутентификации 802.11 выполняется в точке доступа H-REAP, независимо от того, в каком режиме она работает. Находясь в подключенном режиме точка доступа H-REAP транслирует данные сопоставления и проверки подлинности в контроллер. В автономном режиме точка доступа не может сообщить контроллеру о подобных событиях.

Функциональность H-REAP меняется в зависимости от режима работы (от того, в каком режиме находится точка доступа H-REAP — подключенном или автономном), настройки коммутации WLAN (центральная или локальная) и также параметров безопасности беспроводной связи.

Когда клиент подключается к точке доступа H-REAP, она пересылает все сообщения аутентификации контроллеру и, если аутентификация успешна, пакеты данных коммутируются локально или туннелируются в контроллер, в зависимости от параметров сети WLAN, к которой подключена точка доступа. В зависимости от механизма аутентификации клиента и режима коммутации пакетов, сети WLAN в среде H-REAP могут находиться в одном из следующих состояний, которые определяются конфигурацией WLAN и состоянием соединения между точкой доступа и контроллером.

  • Центральная аутентификация, центральная коммутация — В этом состоянии сети WLAN точка доступа пересылает все запросы на аутентификацию клиента в контроллер, а также туннелирует в него все клиентские данные. Это состояние действует только если путь управляющих сигналов LWAPP точки доступа работает, т. е. точка доступа H-REAP находится в подключенном режиме. Все сети WLAN, которые туннелируются к контроллеру, отключаются при постое WAN, независимо от метода аутентификации.

  • Центральная аутентификация, локальная коммутация — В этом состоянии WLAN вся аутентификация клиентов выполняется на стороне контроллера и точка доступа H-REAP коммутирует пакеты данных локально. После успешной аутентификации клиента контроллер отправляет управляющую команду LWAPP в точку доступа H-REAP, которая запускает локальную коммутацию пакетов данных для этого клиента. Это сообщение отправляется всем клиентам после успешной аутентификации. Это состояние доступно только в подключенном режиме.

  • Локальная аутентификация, локальная коммутация — В этом состоянии точка доступа H-REAP обрабатывает аутентификацию клиентов и коммутирует клиентские пакеты данных локально. Это состояние действует только в автономнои режиме и только для типов аутентификации, которые могут быть локально обработаны в точке доступа. Когда точка доступа находится в подключенном режиме все процедуры аутентификации обрабатываются в контроллере. Когда точка доступа H-REAP находится в автономном режиме, открытая и общая аутентификация, а также аутентификация WPA/WPA2-PSK передается в точку доступа. После этого все процедуры аутентификации обрабатываются в точке доступа.

    Примечание: Все процедуры шифрования второго уровня обрабатываются точкой доступа. Все процессы аутентификации клиентов выполняются в контроллере (или передаются из контроллера, в зависимости от конфигурации WLAN и контроллера), когда точка доступа находится в подключенном состоянии. В автономном состоянии точка доступа H-REAP выполняет все процедуры аутентификации для сетей WLAN с открытой аутентификацией, общей аутентификацией или аутентификацией WPA/WPA2-PSK и локальной коммутацией пакетов.

    При отказе канала WAN, когда точка доступа H-REAP переходит в автономный режим, а сети WLAN, настроенные на открытую аутентификацию, общую аутентификацию или аутентификацию WPA/WPA2-PSK и локальную коммутацию трафика, переходят в состояние "локальная аутентификация, локальная коммутация". Все существующие клиенты сохраняют подключение и допускается аутентификация новых клиентов. Перед простоем WAN такая сеть WLAN могла находится в состоянии "центральная аутентификация, локальная коммутация".

  • Аутентификация отключена, локальная коммутация — В этом состоянии сети WLAN точка доступа H-REAP отклоняет новых клиентов, которые запрашивают аутентификацию, но продолжает отправлять сигналы-маяки и зондировать ответы для сохранения подключения существующих клиентов. Это состояние действует только в автономный режиме.

    Если в сети WLAN с локальной коммутацией используется любой тип коммутации, который должен обрабатываться в контроллере (или к северу от него, например аутентификация EAP [динамическая аутентификация WEP/WPA/WPA2/802.11i], WebAuth или NAC), при отказе канала WAN сеть переходит в состояние "аутентификация отключена, локальная коммутация". Предыдущее состояние такой сети — "центральная аутентификация, локальная коммутация". Существующие беспроводные подключения клиентов и доступ к локальным ресурсам сохраняются, но новые сопоставления не допускаются. Если время ожидания пользовательского веб-сеанса истекает при использовании WebAuth или истекает срок действия пользовательского ключа EAP и требуется его повторное создание при использовании 802.1X, существующие клиенты теряют подключение и не получают возможности его восстановить (это период определяется сервером RADIUS, стандартные значения отсутствуют). Кроме того, операции роуминга 802.11 (между точками доступа H-REAP) вызывают полную повторную аутентификацию 802.1X и, следовательно, вызывают обрыв подключения для существующих клиентов.

    Когда число клиентских подключений WLAN достигает нуля, точка доступа H-REAP закрывает соответствующие функции 802.11 и прекращает рассылку сигналов-маяков для заданных SSID. Сеть WLAN переходит в следующее состояние H-REAP. аутентификация отключена, коммутация отключена.

  • аутентификация отключена, коммутация отключена — В этом состоянии сеть WLAN на данной точке доступа H-REAP отменяет сопоставление для существующих клиентов и прекращает отправку сигналов-маяков и зондирование ответов. Это состояние действует только в автономном режиме.

    Все сети WLAN, на которых клиентский трафик туннелируется в контроллер, перейдут в состояние "аутентификация отключена, коммутация отключена". Также в это состояние будут переходить, все сети WLAN настроенные на использование центральной аутентификации на основе контроллера без подключенных клиентов.

    Когда точки доступа H-REAP переходят в автономный режим, они сохраняют следующие операционные конфигурации:

    • Интервал сигналов-маяков

    • Интервал DTIM

    • Длина преамбулы

    • Мощность передачи

    • Назначения каналов

    • Код страны

    • Исключения MAC/черный список

    Когда точка доступа H-REAP восстанавливает подключение к контроллеру, сопоставление всех клиентов отменяется на небольшой промежуток времени, чтобы повторно активировать полные функциональные возможности H-REAP. Клиенты просто переподключаются и получают беспроводной доступ также, как до простоя WAN.

Обнаружение контроллера H-REAP

H-REAP поддерживает все характеристики механизма обнаружения контроллеров, который используется на точках доступа в унифицированной архитектуре беспроводных сетей Cisco. Как только точка доступа получает IP-адрес (который может выделяться динамически с через DHCP или с помощью статической адресации), она пытается обнаружить контроллеры в системе с помощью широковещательной рассылки IP-пакетов, параметра DHCP 43, DNS и OTAP. На завершающей стадии точки доступа H-REAP вызывают из памяти IP-адреса контроллеров, к которым они были подключены ранее. См. дополнительные сведения о других методах регистрации точек доступа LAP на контроллере WLC в документе Регистрация точек доступа LAP на контроллерах WLC.

При использовании обнаружения контроллеров необходимо учитывать несколько важных моментов. Они относятся ко всем точкам доступа Aironet, не только к точкам доступа H-REAP.

  • Параметр DHCP 43 — единственный допустимый механизм обнаружения для точек доступа H-REAP, которые получают IP-адреса через DHCP.

  • OTAP работает только в точках доступа Aironet, которые уже подключались к контроллеру и загружали код. Они поставляются без микропрограммы радиомодуля, поэтому OTAP не будет работать на новом устройстве. Кроме того, OTAP требует, чтобы все ближайшие точки доступа обнаружили контроллер с включенной функцией OTAP и подключились к нему.

  • Точки доступа с поддержкой H-REAP не поддерживают режим LWAPP Layer 2. Контроллеры должны быть настроены на работу с режимом LWAPP Layer 3.

  • Дополнительные сведения об обнаружении точек доступа и контроллеров см. в документе Развертывание контроллеров WLC серии Cisco 440X.

Помимо традиционных механизмов обнаружения контроллеров, программное обеспечение версии 4.0 обеспечивает точкам доступа Aironet с портами консоли поддержку ручной инициализации с использованием интерфейса командной строки (CLI) консоли. Теперь в точках доступа можно вручную настраивать статическую IP-адресацию, а также назначать имена хостов и IP-адреса контроллеров, к которым должны подключаться точки доступа. Это значит, что на узлах, на которых другие механизмы обнаружения недоступны, все необходимые параметры подключений для точек доступа можно задать вручную через порт консоли.

Эта функция поддерживается на всех точках доступа Aironet с портом консоли (не только на точках доступа с поддержкой H-REAP), но она будет особенно полезна для точек доступа H-REAP, так как вероятность, что они будут установлены на узлах без DHCP-серверов и механизмов обнаружения контроллеров (например в филиале), достаточно высока. Таким образом, этот новый консольный доступ исключает необходимость в двукратной транспортировке точек доступа H-REAP: в первый раз на узел контроллера для инициализации и во второй раз на удаленный узел для установки.

Поддержка беспроводных средств безопасности в H-REAP

Набор средств безопасности, поддерживаемых в H-REAP, меняется в зависимости от режимов и состояний, описанных выше. Все типы безопасности, которые требуют, управления путями данных (например VPN), не работают с трафиком в сетях WLAN с локальной коммутацией, так как контроллер не может управлять данными, которые не туннелируются к нему. Все остальные типы безопасности работают в сетях WLAN с локальной или центральной коммутацией при условии, что путь между точкой доступа H-REAP и контроллером доступен. Когда этот путь отключен, подключение новых клиентов к сети WLAN с локальной коммутацией поддерживают только некоторые параметры безопасности.

Таблица ниже содержит сведения о том, какие конфигурации безопасности WLAN обеспечивают новые клиентские подключения для тех или иных состояний:

Тип безопасности

Подключенный режим (центральная коммутация)

Подключенный режим (локальная коммутация)

Автномный режимe (локальная коммутация)

Открытая

Да

Да

Да

Общая

Да

Да

Да

WPA-PSK

Да

Да

Да

WPA2-PSK

Да

Да

Да

Исключение клиентов/Черный список

Да

Да

Нет1

Аутентификация MAC-адресов (встроенная или или полученная от узла более высокого уровня)

Да

Да

Новая аутентификация не поддерживается

Динамическая аутентификация WEP (802.1X)

Да

Да

Новая аутентификация не поддерживается

WPA (802.1X)

Да

Да

Новая аутентификация не поддерживается

WPA2 (802.1X)

Да

Да

Новая аутентификация не поддерживается

Сетевые службы на основе удостоверений (IBNS)

Да

Не поддерживается

Не поддерживается

NAC

Да

Да

Новая аутентификация не поддерживается

Аутентификация WebAuth (встроенная или полученная от узла более высокого уровня)

Да

Да

Новая аутентификация не поддерживается

Функция VPN (встроенная или от узла более высокого уровня)

Да

Не поддерживается2

Не поддерживается2

Cranite

Да

Не поддерживается2

Не поддерживается2

AirFortress

Да

Не поддерживается2

Не поддерживается2

1когда точка доступа H-REAP находится в подключенном режиме, контроллер может использовать механизмы исключения и черного списка, чтобы запретить определенным клиентам выполнять сопоставление с точками доступа. Эта функция может реализовываться с использованием как ручных, так и автоматических методов. В соответствии с глобальной конфигурацией и конфигурациями отдельных WLAN, клиенты могут исключаться на хосте по различным причинам, от повторных неудачных попыток аутентификации до кражи IP-пакетов. Срок исключения может быть любым. Кроме того, клиенты можно добавить в список исключения вручную. Применение этой функции возможно только когда точка доступа находится в подключенном режиме. Но клиенты, добавленные в список исключения, не смогут подключаться к точке доступа, даже когда она находится в автономном режиме.

2Для таких типов безопасности, как VPN, Cranite и AirFortress необходимо, чтобы контроллер требовал прохождения всего трафика через определенную точку, например, через концентратор VPN или устройство Cranite/AirFortress. В этом случае сети WLAN, настроенные на использование таких политик безопасности, не смогут использовать локальную коммутацию. Если необходимо использовать эти методы в средах H-REAP WLAN с локальной коммутацией, ресурсы VPN, Cranite или AirFortress должны быть локальными по отношению к точки доступа H-REAP, что позволит клиентам обращаться к этим ресурсам напрямую. Даже если эти ресурсы доступны локально для точки доступа H-REAP с локальной коммутацией, ни контроллер ни точка доступа не смогут внедрять такую политику безопасности.

Примечание: Сети WLAN, использующие аутентификацию MAC (локальную или полученную от узла более высокого уровня) не смогут принимать дополнительные клиентские подключения, когда точка доступа находится в автономном режиме, также, как сеть WLAN с аналогичной конфигурацией, использующая 802.1X или WebAuth в данном режиме.

Следует ли использовать магистраль

Точки доступа H-REAP могут подключаться к магистральным каналам 802.1Q и к немаркированным каналам доступа. При подключении к магистральному каналу точки доступа H-REAP отправляют трафик управляющих сигналов LWAPP и данных назад в контроллер через стандартную сеть VLAN. Сети WLAN с локальной коммутацией могут сбросить свой трафик в любую доступную сеть VLAN (стандартную или любую другую). При подключении к каналу доступа (без визуализации 802.1Q), точки доступа H-REAP пересылают все сообщения LWAPP и локально коммутируемые пользовательские данные в одиночную, немаркированную подсеть, к которой они подключены.

Общие указания по выбору режима работы порта коммутатора для точек доступа H-REAP:

  • Используйте магистральный канал, если на локальную коммутацию трафика настроено более одной сети WLAN и если трафик для этих SSID должен сбрасываться в разные подсети. Точку доступа и входной порт коммутатора необходимо настроить на транкинг 802.1Q. Настройка точек доступа H-REAP для транкинга 802.1Q представляет собой самый распространенный вариант конфигурации и предлагает максимальную гибкость.

  • Используйте канал доступа, если точки доступа H-REAP используют только одну сеть WLAN с локальной коммутацией или несколько сетей WLAN с локальной коммутацией, которые не требуют разделения в проводном порте. Учтите, что использование магистрального канала может быть целесообразно и в этих условиях, если необходимо разделение между сообщениями LWAPP и пользовательским трафиком. Однако, это не является требованием безопасности и не может стать причиной рисков для безопасности.

Примечание: По умолчанию точки доступа H-REAP работают с немаркированными интерфейсами канала доступа.

Функциональные и архитектурные ограничения H-REAP

Поскольку точки доступа H-REAP разработаны для соединения с контроллером через канал WAN, при разработке архитектуры беспроводной сети на основе H-REAP необходимо принять во внимание несколько проектных соображений. Кроме того, необходимо учесть, что многие функции не поддерживаются технологией H-REAP или поддерживаются частично.

Для обеспечения достаточной пропускной способности канала между точками доступа и контроллерами для всех управляющих и информационных сообщений LWAPP, введено ограничение на количество точек доступа H-REAP на удаленный узел. Оно составляет 3 точки доступа. Это ограничение действует независимо от того, разделены ли точки доступа и контроллер каналом WAN или работают на одном узле. Это ограничение не задается контроллером или другим механизмом, поэтому физически возможно использовать более трех точек доступа на одном узле. Все мероприятия по контролю качества и тестирование Cisco выполнялись для одной, двух или трех точек доступа H-REAP на узел, поэтому результаты развертывания среды с большим числом точек доступа на узел неизвестны. Поэтому такая установка настоятельно не рекомендуется и не подлежит поддержке от центра технической поддержки Cisco.

Примечание: Хотя количество точек доступа H-REAP на узел ограничено, аналогичные ограничения на количество точек доступа H-REAP, поддерживаемое контроллерами, отсутствует. Точки доступа H-REAP учитываются также, как и любые другие точки доступа при определении числа точек доступа, поддерживаемого контроллером. Планируйте емкость контроллера соответствующим образом.

Из-за ограничения на три точки доступа H-REAP, полные функциональные возможности Radio Resource Management (RRM) не поддерживаются. Полный код RRM включен в H-REAP, но алгоритмы управления мощностью передачи (TPC) в RRM активируются только если 4 или более точек доступа находятся в зоне действия друг друга. Таким образом, точки доступа H-REAP никогда не будут снижать мощность своих радиомодулей. Следовательно, не имея возможности уменьшить мощность радиомодулей, точки доступа H-REAP не могут повышать мощность передачи для компенсации пропусков в зоне охвата.

В автономном режиме функции RRM, которые требуют обработки на контроллере, не поддерживаются для точек доступа H-REAP. Динамический выбор частоты (DFS) поддерживается как в подключенном, так и в автономном режимах.

Примечание: См. подробные сведения об работе RRM в документе Использование Radio Resource Manager в унифицированных беспроводных сетях.

Возможность точного определения местоположения устройства также будет ограниченна из-за того, что на узле можно использовать не более трех точек доступа H-REAP. Точность определения местоположения устройства сильно зависит от полноты сбора сигнальной информации устройства, а это напрямую связано с количеством точек доступа, которые могут "слышать" данное устройство. Поскольку среды H-REAP ограничены тремя точками на узел, объем данных о расположении значительно сокращается и соответственно снижается точность определения местоположения. Среды H-REAP пытаются определить положение устройства с максимальной возможной точностью, но заявленная Cisco точность определения местоположения не относится к таким средам.

Примечание: Технология H-REAP не предназначена для предоставления услуг определения местоположения. Поэтому Cisco не может распространять заявленную точность на среды H-REAP.

Другое соображение, которое необходимо учесть при проектировании и развертывании сетей с точками доступа H-REAP, заключается в следующем. Возможность использования беспроводных гарнитур (таких как 7920) в сетях WLAN может показаться привлекательной, однако в таких конфигурациях не будет обеспечиваться быстрый и безопасный роуминг. Это связано с тем, что технологии CCKM и PKC не поддерживаются в сетях WLAN на основе H-REAP с локальной и центральной коммутацией. Это ограничение относится не только к простым голосовым гарнитурам, потребность в быстром и безопасном роуминге, как правило, обусловлена нуждами беспроводной телефонии.

Хотя быстрый и безопасный роуминг не поддерживается точками доступа H-REAP, обычный роуминг второго уровня может использоваться в сетях WLAN с локальной коммутацией. Чтобы обеспечить работу такого роуминга, убедитесь, что сети VLAN назначенные сетям WLAN, согласованы для всех точек доступа H-REAP, для которых требуется роуминг. Это значит, что клиенты не должны повторно получать IP-адрес от сервера DHCP во время событий роуминга. Это позволяет снизить время задержки для этих событий.

Примечание: Точки доступа H-REAP в настоящее время не сообщают коммутаторам более высокого уровня о необходимости обновления таблиц CAM во время событий роуминга второго уровня.

События роуминга между точками доступа H-REAP в сетях WLAN с локальной коммутацией могут занять от 50 до 1500 мс, в зависимости от задержки WAN, архитектуры ВЧ и характеристик среды, а также от типов безопасности и методов внедрения роуминга для конкретных клиентов.

Примечание:  Поскольку все процедуры аутентификации клиента (не относящиеся к 802.11) выполняются на контроллере, каждый запрос клиента к точке доступа должен пройти через канал WAN для обработки на контроллере (также как и весь внутренний обмен данными, например обмен данными между сервером AAA и контроллером), сообщение о подтверждении аутентификации также отправляется в точку доступа через канал WAN. Этот обмен должен происходить для каждого клиента при каждом запросе на аутентификацию (при начальном или повторном сопоставлении 802.11). Таким образом, время роуминга значительно увеличивается из-за задержек, связанных с циклом прохождения данных через канал WAN. Технология H-REAP разработана для филиалов, не имеющих потребности в роуминге, поэтому устройства и приложения, которые требуют роуминга с низкой задержкой, скорее всего будут неэффективны в сетях H-REAP.

Как и многие точки доступа на базе LWAPP, точки доступа H-REAP можно поместить внутри границ NAT или PAT, в отличие от контроллеров. В такой архитектуре поддерживаются все функции и возможности, кроме истинной многоадресной рассылки. Одноадресная рассылка в рамках многоадресной работает нормально, не поддерживается только параметр "multicast" в контроллере.

В таблице приводится список функций, которые не поддерживаются точками доступа H-REAP или поддерживаются частично:

Функция

Подключенный режим (центральная коммутация)

Подключенный режим (локальная коммутация)

Автономный режим (локальная коммутация)

Быстрый и безопасный роуминг CCKM/PKC

Не поддерживается

Не поддерживается

Не поддерживается

Контроль приема вызовов (CAC) и детализация трафика (TSpec)

Да1

Да1

Не поддерживается 1

Технология RFID / Услуги по определению местоположения

Да

Да

Не поддерживается

Выравнивание нагрузки на клиенты

Не поддерживается

Не поддерживается

Не поддерживается

Одноранговая блокировка

Да

Не поддерживается

Не поддерживается

WIDS

Да

Да

Не поддерживается

Протокол RLDP

Да

Да

Не поддерживается

Аутентификация RADIUS/TACACS+

Да

Да

Не поддерживается

Учет RADIUS/TACACS+

Да

Да

Не поддерживается

1 Поскольку точки доступа H-REAP выполняются все функции аутентификации и сопоставления 802.11 локально, а затем пересылают соответствующие данные контроллеру (в подключенном режиме), использование функций CAC и TSpec не рекомендуется, так как клиентам, скорее всего, будет разрешено начальное сопоставление. Но затем, при условии, что соответствие ограничениям CAC или TSpec уже было обеспечено, клиентские подключения могут быть оборваны в соответствии с политикой контроллера. Это может значительно уменьшить производительность начального сопоставления или повторного сопоставления (роуминга) для определенных телефонов. Поэтому, включение этих функций не рекомендуется. В автономном режиме точки доступа H-REAP просто разрешают все клиентские подключения, без учета правил CAC и TSpec.

Соображения по использованию каналов WAN в H-REAP

Поскольку технология H-REAP разработана специально для работы через каналы WAN, он была оптимизирована для установки в соответствующих средах. Несмотря на то что H-REAP предлагает достаточную гибкость в работе с подобными сценариями проектирования удаленных сетей, при разработке архитектуры сети с функциональными возможностями H-REAP необходимо следовать нескольким указаниям.

  • Точки доступа H-REAP не могут работать на каналах WAN, медленнее 128 кбит/с.

  • Задержки, связанные с циклом прохождения сигнала между H-REAP и контроллером, не должны превышать 100 мс.

  • Минимальное значение для соединения между контроллером и точкой доступа составляет 500 байт.

Чтобы гарантировать соответствие заявленным ограничениям задержки, настоятельно рекомендуется настроить между контроллером и точкой доступа промежуточную инфраструктуру, присваивающую управляющему каналу LWAPP (UDP-порту 12223) наибольший приоритет очередности. Без повышения приоритета управляющего канала LWAPP, выбросы в потоке прочего трафика могут привести к частому переходу точек доступа H-REAP в автономный режим, в ситуации, когда перегрузка канала WAN мешает доставке сообщений и сигналов Keepalive между контроллером и точкой доступа.

Частая смена режима в точках доступа H-REAP становится причиной серьезных проблем подключения. Без необходимой приоритизации сетевого трафика может быть целесообразно установить контроллеры на удаленный узел для обеспечения постоянного и стабильного беспроводного доступа.

Примечание: Независимо от того, настроена точка доступа H-REAP на туннелирование клиентских данных в контроллер или нет, путь данных LWAPP используется для пересылки всех клиентских зондов, запросов на аутентификацию и сопоставление 802.11, сообщений соседей RRM и запросов на аутентификацию EAP и веб-аутентификацию в контроллер. Поэтому убедитесь, что данные LWAPP (UDP-порт 12222) не блокируются между точкой доступа и контроллером.

Конфигурация H-REAP

Подготовка проводной сети

Первый этап развертывания сетей H-REAP — настройка коммутатора, к которому будет подключаться точка доступа. Этот пример конфигурации включает конфигурацию стандартной сети VLAN (подсети, в которой точки доступа H-REAP будут взаимодействовать с контроллером при помощи протокола LWAPP) и две подсети, в которых будут завершаться клиентские данные двух сетей WLAN с локальной коммутацией. Если IP-адресация не предоставляется точкам доступа и клиентам сети WLAN с локальной коммутацией при помощи коммутатора более высокого уровня (как показано ниже), необходимо обеспечить службы DHCP другими способами или настроить статическую адресацию. Cisco рекомендует адресацию DHCP, но некоторые заказчики выбирают статическую адресацию для точек доступа и используют DHC для предоставления адресов беспроводным пользователям. Избыточные конфигурации коммутаторов были удалены из этого примера для простоты.

ip dhcp excluded-address 10.10.10.2 10.10.10.99

ip dhcp pool NATIVE
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
!
ip dhcp pool VLAN11
network 10.10.11.0 255.255.255.0
default-router 10.10.11.1
!
ip dhcp pool VLAN12
network 10.10.12.0 255.255.255.0
default-router 10.10.12.1
!
interface FastEthernet1/0/1
description H-REAP Example Config
switchport trunk encapsulation dot1q
switchport trunk native vlan 10
switchport trunk allowed vlan 10,11,12
switchport mode trunk
!
interface Vlan10
ip address 10.10.10.1 255.255.255.0
!
interface Vlan11
ip address 10.10.11.1 255.255.255.0
!
interface Vlan12
ip address 10.10.12.1 255.255.255.0
end

Примечание: Фактическая IP-адресация в этом примере и всех последующих приводится исключительно в качестве иллюстрации. Поэтому IP-адресацию НЕОБХОДИМО планировать для каждой отдельной сети с учетом ее потребностей.

В этом примере конфигурации точка доступа H-REAP подключена к первому интерфейсу FastEthernet и получает IP-адрес с помощью DHCP на коммутаторе стандартной сети VLAN (VLAN 10). Ненужные сети VLAN удаляются из магистрального канала, подключенного к H-REAP, чтобы уменьшить объем обработки внешних пакетов. Сети VLAN 11 и 12 подготовлены для предоставления IP-адресации клиентам двух сетей WLAN, которые с ними связаны.

Примечание: Коммутатор, к которому подключаются точки доступа H-REAP, должен иметь входящее подключение к инфраструктуре маршрутизации. Оптимальные методы H-REAP требуют наличия промежуточной инфраструктуры между удаленным узлом и каналом WAN для приоритизации управляющего канала LWAPP (UDP-порт 12223).

Обнаружение контроллера H-REAP с помощью команд CLI

В большинстве случаев точки доступа H-REAP будут обнаруживать контроллеры более высокого уровня с помощью параметра DHCP 43 или разрешения DNS. Если ни один из этих методов недоступен, желательно предоставить администраторам удаленных узлов подробные инструкции по настройке всех точек доступа H-REAP на использование IP-адреса контроллера, к которому они будут подключаться. Кроме того, можно настроить IP-адресацию H-REAP вручную (необязательно), если использование DHCP недоступно или нежелательно.

В этом примере приводятся сведения о том, как настроить IP-адрес H-REAP, имя хоста и IP-адрес контроллера с помощью порта консоли точки доступа.

AP_CLI#lwapp ap hostname ap1130
ap1130#lwapp ap ip address 10.10.10.51 255.255.255.0
ap1130#lwapp ap ip default-gateway 10.10.10.1
ap1130#lwapp ap controller ip address 172.17.2.172

Примечание: Точки доступа должны работать под управлением программного обеспечения IOS® Recovery Image Cisco IOS версии 12.3(11)JX1 или выше с поддержкой LWAPP для использования этих команд CLI на новом устройстве. Точки доступа с префиксом SKU перед LAP (например, AIR-LAP-1131AG-A-K9), поставленные начиная с 13 июня 2006 г., работают под управлением ПО Cisco IOS версии 12.3(11)JX1 или выше. Эти команды доступны на всех точках доступа, поставленных с кодом этого уровня, а также на точках доступа, обновленных до кода этого уровня вручную или автоматически в результате подключения к контроллеру версии 4.0 или выше.

Эти команды конфигурации принимаются только когда точка доступа находится в автономном режиме.

Точки доступа, которые раньше не подключались к контроллеру, будут иметь стандартный пароль CLI компании Cisco. После того, как точки доступа подключаются к контроллеру, изменение конфигурации CLI будет недоступно, пока пароль консоли не будет изменен. Эта команда поддерживается только интерфейсом CLI и имеет следующий синтаксис:

(WLC_CLI)>config ap username <user-id> password <passwd> {all | <AP name>}

Для точки доступа, описанной выше, можно использовать следующую команду:

(WLC_CLI)>config ap username admin password pass ap1130

Примечание: Эта команда требует создания имени пользователя, но это поле еще не внедрено и зарезервировано для будущего использования.

Примечание: Все команды show и debug будут работать без изменения стандартного пароля точки доступа.

Конфигурация контроллера H-REAP

После того, как точка доступа обнаружит контроллер и подключится к нему, все действия по настройке точки доступа H-REAP выполняются через веб-интерфейс или интерфейс командной строки контроллера (кроме того, доступна централизованная конфигурация с помощью системы WCS (Wireless Control System)). Действия по настройке H-REAP, описанные в этом разделе, выполняются с помощью графического интерфейса контроллера.

Начните с создания и настройки необходимых сетей WLAN. В этом примере сети WLAN имеют следующую конфигурацию (при необходимости конфигурация может быть изменена в соответствии с потребностями среды):

WLAN SSID

Безопасность

Коммутация

Corporate

WPA2 (802.1X)

Локальная

RemoteSite

WPA2 - PSK

Локальная

Guest

WebAuth

Центральная (туннелирование в контроллер DMZ)

Чтобы точка доступа работала в качестве H-REAP, контроллер, к которому она подключена, должен иметь хотя бы одну сеть WLAN с локальной коммутацией (без этого, функции обеспечения доступности H-REAP не будут работать).

Для настройки сети WLAN с локальной коммутацией выполните следующие действия:

  1. Откройте главную страницу контроллера выберите WLANs и щелкните New.

  2. Назначьте сети WLAN имя (которое будет также использоваться в качестве SSID) и нажмите Apply.

    h-reap-design-deploy-2.gif

  3. Выберите тип безопасности.

    В этом примере предпочтительным вариантом будет WPA2-PSK. Выберите WPA1+WPA2 в раскрывающемся списке "Layer 2 Security".

    h-reap-design-deploy-3.gif

  4. Перейдите к нижней части страницы и установите флажок WPA2 Policy, чтобы выбрать режим работы WPA в сети WLAN.

  5. Установите флажок AES, чтобы задать метод шифрования.

  6. В окне "Auth Key Mgmt", выберите PSK в раскрывающемся меню.

    В зависимости от предпочтительного формата ключа (выбор должен основываться на удобстве использования и поддержке клиентов), выберите ascii или hex. Ascii, как правило, проще, так как поддерживает буквенно-цифровые символы. Выберите ascii и введите предварительный общий ключ.

    h-reap-design-deploy-4.gif

  7. Установите флажок H-REAP Local Switching и убедитесь, что сеть WLAN работает.

    Без этого действия WLAN не позволит выполнять локальное завершение данных в точках доступа H-REAP или даже не предложит этой возможности (если точка доступа находится в автономном режиме).

    h-reap-design-deploy-5.gif

    Примечание: Только сети WLAN с номерами 1-8 могут быть настроены на локальную коммутацию H-REAP, поскольку только эти сети могут назначаться точкам доступа серий 1130 и 1240 с поддержкой функциональных возможностей H-REAP.

    Примечание: Точки доступа, не настроенные на работу в режиме H-REAP, игнорируют параметры локальной коммутации H-REAP и весь клиентский трафик туннелируется в контроллер.

    По окончании установки сети H-REAP WLAN, можно настроить точки доступа на работу в режиме H-REAP.

  8. После того, как точки доступа обнаружат контроллер и подключатся к нему, откройте раздел "Wireless" веб-интерфейса контроллера и нажмите Detail рядом с выбранной точкой доступа.

    h-reap-design-deploy-6.gif

  9. В раскрывающемся меню "AP Mode" выберите H-REAP, чтобы перевести точку доступа из режима по умолчанию (local) в режим H-REAP.

    h-reap-design-deploy-7.gif

  10. Нажмите Apply. Для применения изменений конфигурации необходимо перезагрузить точку доступа.

    h-reap-design-deploy-8.gif

    Точка доступа перезагрузится, а затем повторно обнаружит контроллер и подключится к нему.

  11. Вернитесь в раздел Wireless интерфейса контроллера и щелкните ссылку Detail рядом с той же точкой доступа.

    По умолчанию точка доступа H-REAP не настроена на использование магистрального канала. Порт коммутатора, к которому она подключена, может находится в режиме магистрального канала, но точка доступа будет взаимодействовать с контроллером через стандартную сеть VLAN. Если порт коммутатора работает в режиме магистрального канала и необходимо, чтобы точка доступа H-REAP работала в том же режиме, необходимо включить поддержку VLAN.

  12. Установите флажок VLAN Support.

  13. В зависимости от конфигурации порта коммутатора, к которому подключена точка доступа H-REAP, введите идентификатор стандартной сети VLAN в поле "Native VLAN ID" (в этом примере, VLAN 10).

    h-reap-design-deploy-9.gif

  14. Нажмите кнопку Apply, чтобы применить изменения.

    Поскольку H-REAP сбрасывает конфигурацию порта Ethernet в соответствии с параметрами данной конфигурации, точка доступа может на короткое время потерять подключение к контроллеру. Всплывающее окно предупредит о такой возможности. Нажмите OK.

    h-reap-design-deploy-10.gif

    Примечание: Как указано во всплывающем окне предупреждения, существует слабая вероятность, что точка доступа повторно соединится с контроллером, имея состояние Disabled. Щелкните ссылку Details в разделе "Wireless" интерфейса контроллера. Затем выберите значение Enable для параметра "Admin Status". Примените параметры и продолжите настройку.

  15. Откройте станицу "Detail" нужной точки доступа и нажмите VLAN Mapping, чтобы настроить маркировку 802.1Q для сети WLAN с локальной коммутацией.

    h-reap-design-deploy-11.gif

  16. Настройте сеть VLAN для сети WLAN с локальной коммутацией, в которой будет завершаться клиентский трафик.

    h-reap-design-deploy-12.gif

    Примечание: Сети WLAN, не настроенные на поддержку локальной коммутации H-REAP, не позволяют настраивать маркировку 802.1Q в этом окне. Конфигурация VLAN для этих WLAN настраивается в глобальных параметрах контроллера, так как клиентские данные туннелируются в контроллер для завершения.

    Примечание: Сети WLAN с локальной коммутацией могут использовать общий идентификатор VLAN или иметь дискретные назначения.. Для этой возможности нет ограничений, при условии, что сеть VLAN присутствует на порте коммутатора H-REAP.

  17. Нажмите кнопку Apply, чтобы сохранить изменения.

    Обслуживание WLAN может быть ненадолго прервано при изменении сопоставления VLAN/WLAN. Нажмите OK, чтобы подтвердить это.

    h-reap-design-deploy-13.gif

Необходимые сети WLAN созданы и настроены, точки доступа настроены на работу в режиме H-REAP, поддержка VLAN включена и сети VLAN настроены для всех WLAN с локальной коммутацией. Если службы DHCP доступны во всех сетях VLAN, клиенты смогут подключаться ко всем сетям WLAN, получать адреса VLAN и передавать трафик. Настройка H-REAP завершена.

Устранение неполадок H-REAP

Существует несколько общих сценариев и ситуаций, в которых процессы настройки H-REAP и подключения клиентов могут быть нарушены. Ниже перечислены некоторые из этих ситуаций, а также рекомендуемые действия по устранению неисправностей.

Точка доступа H-REAP не подключается к контроллеру

Это может быть вызвано несколькими причинами. Первым делом проверьте следующее:

  • Для каждой точки доступа H-REAP необходимо обеспечить корректную IP-адресацию.

    Если службы DHCP используются через консоль точки доступа, убедитесь, что точке доступа предоставляется адрес.

    AP_CLI#show dhcp lease
    

    Если используется статическая адресация через консоль точки доступа, убедитесь, что применяется корректная IP-адресация.

    AP_CLI#show lwapp ip config
    

    Исправьте ошибки конфигурации.

  • Убедитесь, что точка доступа имеет соединение с IP-сетью и получает ответ на эхо-запрос, отправленный в управляющий интерфейс контроллера.

    Проверив IP-адресацию, убедитесь, что точка доступа может взаимодействовать с контроллером, отправив эхо-запрос по IP-адресу управляющего интерфейса контроллера. На точке доступа введите команду ping со следующим синтаксисом:

    AP_CLI#ping <WLC management IP address>
    

    Если команда вернет сообщение об ошибке, убедитесь, что сеть более высокого уровня настроена должным образом и что обратный доступ к корпоративной сети работает. Убедитесь, что контроллер работает и не находится внутри границ NAT/PAT. Убедитесь, что UDP-порты 12222 и 12223 открыты на всех промежуточных брандмауэрах. Отправьте эхо-запрос с контроллера в точку доступа, используя тот же синтаксис.

  • Убедитесь, что LWAPP-соединение между точкой доступа и контроллером существует.

    Подтвердив наличие IP-подключения между точкой доступа H-REAP и контроллером, выполните отладку LWAPP на контроллере, чтобы убедиться в том, что сообщения LWAPP передаются через канал WAN и выявить соответствующие проблемы. На контроллере создайте MAC-фильтр, чтобы уменьшить объем выходных данных отладки. Используйте эту команду, чтобы ограничить выходные данные последующей команды отдельной точкой доступа.

    AP_CLI#debug mac addr <AP’s wired MAC address>
    

    Ограничив выходные данные отладки, включите отладку LWAPP.

    AP_CLI#debug lwapp events enable
    

    Если сообщения отладки LWAPP не отображаются, убедитесь, что точка доступа H-REAP поддерживает хотя бы один метод обнаружения контроллера. Если такие методы доступны (например, параметр DHCP 43 или DNS), убедитесь, что они настроены должным образом. Если другие методы обнаружения отсутствуют, убедитесь, что IP-адрес контроллера введен в точке доступа с помощью консоли CLI.

    AP_CLI#lwapp ap controller ip address <WLC management IP address>
    
  • Проверьте работу LWAPP на контроллере и в точке доступа H-REAP.

    Если в точке доступа H-REAP доступен как минимум один метод обнаружения, убедитесь, что сообщения LWAPP отправляются из точки доступа в контроллер (эта команда включена по умолчанию).

    AP_CLI#debug lwapp client errors
    

    Дополнительные сведения о том, с какими контроллерами взаимодействует точка доступа, можно получить, проанализировав IP-адреса в UDP-сообщениях, которые она отправляет. Просмотрите адреса источника и назначения всех пакетов, проходящих через IP-стек точки доступа.

    AP_CLI#debug ip udp
    

    Если консоль точки доступа показывает, что она взаимодействует с контроллером, возможно точка доступа подключилась к другому контроллеру в кластере. Чтобы убедиться, что точка доступа H-REAP подключена к контроллеру, используйте следующую команду:

    AP_CLI#show lwapp reap status
    
  • Убедитесь, что точка доступа подключилась к верному контроллеру.

    Если во время обнаружения точка доступа получила IP-адрес другого контроллера, она могла подключиться к другому контроллеру. Убедитесь, что IP-адрес, предоставленный механизмами обнаружения, верен. Определите, к какому контроллеру подключена точка доступа.

    AP_CLI#show lwapp reap status
    

    Войдите в веб-интерфейс контроллера. Убедитесь, что IP- и MAC-адреса контроллера введены в список "Mobility List" контроллера и используют одно имя мобильной группы (Mobility Group Name). Затем настройте первичный, вторичный и третичный контроллеры, чтобы определить, к какому контроллеру подключается точка доступа (это можно сделать в окне "Details" точки доступа). Если проблема не исчезает при подключении точки доступа H-REAP к другому контроллеру, ее можно решить с помощью управления точками доступа в масштабах системы, которые предлагает WCS.

  • Устраните проблемы сертификата, если точка доступа пытается подключится к контроллеру, но ей это не удается.

    Если сообщения LWAPP отображаются на контроллере, но точке доступа не удается подключиться, скорее всего это вызвано проблемой сертификата. Дополнительные советы по устранению неполадок LWAPP, в том числе решению проблем сертификатов, см. в документе Советы по устранению неполадок LWAPP Upgrade Tool.

Команды консоли H-REAP не работают или возвращают ошибки

Все команды конфигурации (по настройке или очистке конфигурации), выполненные через интерфейс CLI точки доступа H-REAP возвращают сообщение ERROR!!! Command is disabled. Это может произойти по одной из двух причин:

  • Точки доступа H-REAP, которые находятся в подключенном режиме, не позволяют изменять или сбрасывать конфигурации с консоли. Когда точка доступа находится в этом состоянии, конфигурирование необходимо выполнять из интерфейса контроллера. Если необходим доступ к командам конфигурации из точки доступа, убедитесь, что точка доступа находится в автономном режиме перед тем, как вводить команды конфигурации.

  • Как только точка доступа подключается к контроллеру (даже если H-REAP переходит обратно в автономный режим), консоль точки доступа не позволяет вводить команды конфигурации, пока не будет задан новый пароль. Необходимо изменить все пароли H-REAP. Это можно сделать только с помощью интерфейса командной строки контроллера, к которому подключена точка доступа. Синтаксис этой команды можно использовать на контроллере для установки паролей консоли на отдельных точках доступа или для задания одного пароля для всех точек доступа:

    (WLC_CLI)>config ap username <user-id> password <passwd> {all | <AP name>}
    

    Примечание: Работая с точками доступа, на которых не задан пароль к консоли, помните, что конфигурация отправляется в точку доступа только когда команда вводится на контроллере. Все точки доступа, которые будут подключаться к контроллеру в дальнейшем, потребуют повторного ввода команды.

    Даже после того, как на точке доступа будет задан пользовательский пароль и она будет переведена в автономный режим, она не будет разрешать доступ к этим командам. Чтобы внести изменения в конфигурацию точки доступа H-REAP, необходимо удалить существующие конфигурации статических IP-адресов и IP-адрес контроллера. Эта конфигурация называется закрытой конфигурацией LWAPP (LWAPP Private Configuration) и должна быть удалена перед вводом каких-либо команд CLI. Для этого введите следующую команду:

    AP_CLI#clear lwapp private-config
    

    Примечание: Чтобы вернуть параметры точки доступа к заводским параметрам по умолчанию, во время загрузки точки доступа, нажмите и удерживайте кнопку Mode, пока индикатор Ethernet не станет янтарным. На модели 1131 этот индикатор находится рядом с кнопкой "Mode" и обозначен надписью "Ethernet". На модели 1242 этот индикатор находится под белой пластиковой пластиной и обозначается буквой "E". Отпустите кнопку Mode и дождитесь загрузки точки доступа. Точка доступа возвращается к интерфейсу, доступному из IOS Recovery Image. Учтите, что если необходимы новые команды конфигурации, точка доступа должна работать под управлением ПО Cisco IOS версии 12.3(11)JX1 или выше. Это можно проверить с помощью команды консоли ТД show version).

    Примечание: Все команды show и debug будут работать, даже если в точке доступа используется пароль по умолчанию и она находится в подключенном режиме.

    В этот момент можно вносить в конфигурацию LWAPP любые изменения.

Клиенты не могут подключиться к точке доступа H-REAP

Выполните следующие действия:

  1. Убедитесь, что точка доступа правильно подключена к контроллеру, у контроллера есть хотя бы одна настроенная и включенная сеть WLAN, и что точка доступа H-REAP находится в состоянии "Enabled".

  2. На стороне клиента, убедитесь, что идентификатор SSID сети WLAN доступен (настройка сети WLAN на контроллере на широковещательную рассылку SSID может помочь в процессе устранения неполадок). Выполните зеркальное копирование конфигурации безопасности WLAN на клиент. Конфигурация безопасности на стороне клиента — основная причина большинства проблем с подключением.

  3. Убедитесь, что для клиентов в сетях WLAN с локальной коммутацией обеспечена корректная IP-адресация. Если используются службы DHCP, убедитесь, что DHCP-сервер более высокого уровня корректно настроен для предоставления адресов клиентам. Если используется статическая IP-адресация, убедитесь что клиенты правильно настроены и находятся в нужной подсети.

  4. Чтобы продолжить устранение неполадок клиентских подключений, введите следующую команду через порт консоли H-REAP.

    AP_CLI#show lwapp reap association
    
  5. Чтобы продолжить устранение неполадок клиентских подключений и ограничить выходные данные отладки, используйте следующую команду:

    AP_CLI#debug mac addr <client’s MAC address>
    
  6. Для отладки подключений клиента, основанных на протоколе 802.11, используйте следующую команду:

    AP_CLI#debug dot11 state enable
    
  7. Отладка процесса аутентификации 802.1X и его ошибок выполняется с помощью следующей команды.

    AP_CLI#debug dot1x events enable
    
  8. Для отладки сообщений внутреннего контроллера и RADIUS используется следующая команда.

    AP_CLI#debug aaa events enable
    
  9. Или, чтобы запустить полный набор команд отладки клиентов, введите следующую команду:

    AP_CLI#debug client <client’s MAC address>
    

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 71250