Беспроводные сети : Контроллеры беспроводной локальной сети Cisco серии 4400

Вопросы и ответы по контроллеру Wireless LAN (WLC)

23 марта 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (8 октября 2009) | Отзыв

Вопросы

Введение
Общие вопросы
Вопросы по функциональным возможностям
Вопросы по поиску и устранению неисправностей
Вопросы проектирования
Вопросы по сообщениям об ошибках
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

Данный документ содержит вопросы и ответы по поиску и устранению неисправностей контроллеров Cisco Wireless LAN (WLAN) (WLC).

Дополнительную информацию об условных обозначениях в документе см. в Технические советы Cisco. Условные обозначения.

Общие вопросы

Вопрос. Какова процедура обновления операционной системы на Cisco WLC?

Ответ. Процедура обновления программного обеспечения WLC описывается в документе "Обновление программного обеспечения контроллера Wireless LAN (WLC)".

Вопрос. Я хочу установить Cisco 1030 Lightweight Access Point (AP) с Cisco WLC в режиме Remote Edge AP (REAP). Весь ли беспроводной трафик при этом режиме туннелируется обратно в WLC? Кроме того, если AP не может связаться с WLC, что происходит с беспроводными клиентами?

Ответ. 1030 AP туннелирует весь трафик WLC (контрольный и управленческий трафик) в WLC через Lightweight AP Protocol (LWAPP). Весь трафик данных остается локальным в AP. 1030 REAP может находиться только в одной подсети, поскольку он не может производить разметку VLAN IEEE 802.1Q. По существу, трафик в каждом идентификаторе набора служб (SSID) завершается в той же самой подсети в проводной сети. Таким образом, хотя беспроводной трафик может быть сегментирован в беспроводном режиме между SSID, пользовательский трафик на проводной стороне не разделяется. Доступ к локальным сетевым ресурсам производится в перерывах связи WAN.

Во время перерывов связи канала WAN все WLAN, кроме первой, выходят из состояния эксплуатации. Таким образом, следует использовать WLAN 1 как основную WLAN и соответственно планировать политики безопасности. Cisco рекомендует использовать в этой первой WLAN метод локальной аутентификации и шифрования, такой как Wi-Fi Protected Access (WPA) Pre-Shared Key (WPA-PSK).

Примечание: Wired Equivalent Privacy (WEP) будет достаточно, но этот метод не рекомендуется из-за известных уязвимостей в системе безопасности.

При использовании WPA-PSK (или WEP) правильно настроенные пользователи по-прежнему могут получать доступ к локальным ресурсам, даже когда канал WAN не работает.

Вопрос. Может ли AP на базе ПО Cisco IOS, которая была переведена в упрощенный режим, регистрироваться с WLC Cisco 4100?

Ответ. Нет, AP на базе ПО Cisco IOS, переведенные в упрощенный режим, не могут регистрироваться с WLC Cisco 40xx, 41xx и 3500. Эти упрощенные AP (LAP) могут регистрироваться только с WLC Cisco 4400 и 2000. Подробнее об ограничениях of AP, переведенных в упрощенный режим, см. раздел "Ограничения" документа "Перевод автономных точек доступа Cisco Aironet в упрощенный режим".

Вопрос. Сколько WLC можно вносить в одну мобильную группу?

Ответ. В одну мобильную группу можно поместить до 24 стандартных WLC (Cisco 2000, 4100 и 4400). В одной мобильной группе можно настроить до 12 выводов Wireless Services Module (WiSM). Таким образом, в одной мобильной группе может поддерживаться до 3600 точек доступа AP.

Вопрос. Как DHCP работает с WLC?

Ответ. WLC действует как устройство ретрансляции DHCP. WLC производит ретрансляцию DHCP через виртуальный интерфейс. Обычно виртуальному интерфейсу назначается адрес 1.1.1.1. Этот адрес может быть любым. Однако он не должен быть маршрутизируемым адресом.

Далее перечислены происходящие события:

  1. Клиент WLAN воспринимает административно определенный виртуальный адрес как адрес сервера DHCP. Обычно рекомендуется адрес 1.1.1.1, поскольку он, как правило, не является маршрутизируемым сетевым адресом.
  2. WLC показывает виртуальный адрес клиенту WLAN и верхнему адресу интерфейса управления.
  3. WLC действует как устройство ретрансляции DHCP (ретрансляции Bootstrap Protocol [BOOTP]).

Примечание: если используется внутренний сервер DHCP, упрощенная AP должна быть напрямую подключена к WLC. Кроме того, нельзя разделять область действия DHCP между двумя или более WLC.

Вопрос. Поддерживает ли Cisco 4400 Series WLC протокол Internetwork Packet Exchange (IPX)? Поддерживает ли Airespace протокол IPX?

Ответ. Нет, протокол IPX не поддерживается ни на одной платформе Cisco WLC.

Вопрос. Можно ли провести обновление напрямую из версии 3.1.105 до версии 3.2.78? Или же сначала необходимо обновление до версии 3.1.111?

Ответ. Да, можно производить обновление напрямую до версии 3.2.78.0 из версии 3.1.105.0. После установки сервера TFTP можно выбрать пункты Commands > Download File и затем Code из меню File Type, чтобы загрузить в WLC программное обеспечение. После передачи файла перезагрузите WLC, чтобы изменения вступили в силу.

Вопрос. Что происходит с беспроводной сетью при обновлении программного обеспечения? Отключаются ли все AP до их обновления? Или они обновляются по очереди, так что беспроводная сеть может оставаться в действии (исключая некоторые конкретные обновляемые AP)?

Ответ. В отношении WLC обновление производится также, как и в отношении всех упрощенных AP (LAP).

Примечание: версия LAP всегда совпадает с версией WLC.

Чтобы новое ПО заработало, необходимо перезагрузить WLC. Таким образом, образуется период отключения сети. Убедитесь в том, что окно обслуживания для обновления запланировано.

Вопрос. Где подробнее узнать об установке WLC в сети WLAN?

Ответ. См. эти документы:

Вопрос. Каково максимальное число AP, поддерживаемых на контроллерах WLC 4402 и 4404?

Ответ. Максимальное число поддерживаемых точек доступа зависит от используемого оборудования. 4402 WLC с двумя гигабитными портами Ethernet поставляется в конфигурации, которая поддерживает 12, 25 и 50 точек доступа. 4404 WLC с четырьмя гигабитными портами Ethernet поддерживает 100 точек доступа.

Вопрос. Что такое PKC и как это работает с WLC?

Ответ. PKC - это Proactive Key Caching (превентивное кэширование ключей). Эта функция была разработана как расширение стандарта 802.11i IEEE.

PKC - это функциональная возможность, доступная в контроллерах Cisco 2006/410x/440x и позволяющая правильно настроенным беспроводным клиентам переключаться без повторной аутентификации на сервере AAA. Чтобы понять PKC, сначала следует разобраться в кэшировании ключей (Key Caching).

Кэширование ключей - это функциональная возможность, которая была добавлена в WPA2. Она позволяет мобильной станции кэшировать главные ключи (Pairwise Master Key [PMK]), которые она собирает при успешной аутентификации в точке доступа, и использовать повторно их при будущей связи с той же самой точкой доступа. Это означает, что данному мобильному устройству требуется один раз пройти аутентификацию в конкретной точке доступа и кэшировать ключи для будущего использования. Кэширование ключей производится с помощью механизма, известного как PMKID (или идентификатор PMK), в который входит хэш PMK (Pair-Wise Master Key), строка, станция и MAC-адреса точки доступа. PMKID уникально идентифицирует PMK.

Даже при использовании кэширования ключей беспроводная станция должна проходить аутентификацию в каждой точке доступа, в которой она хочет обслуживаться. Это вызывает значительное ожидание и издержки, что замедляет процесс перехода от одной точки к другой и может снижать способность поддерживать приложения, действующие в режиме реального времени. Чтобы разрешить эту проблему, в WPA2 была внедрена технология PKC.

PKC позволяет станции повторно использовать PMK, ранее собранные в процессе успешной аутентификации, что избавляет станцию от необходимости проходить проверку в новых точках доступа при перемещении по ним.

Таким образом, при роуминге внутри контроллера, когда мобильное устройство перемещается от одной точки доступа к другой в одном контроллере, клиент пересчитывает PMKID, используя ранее собранные PMK, и предоставляет этот идентификатор во время процесса ассоциации. WLC ищет по своему кэшу PMK, чтобы определить, есть ли в нем подобное вхождение. Если вхождение есть, процесс аутентификации 802.1X пропускается, и немедленно инициируется обмен ключей WPA2. Если вхождения нет, то начинается стандартный процесс аутентификации 802.1X.

PKC включено в WPA2 по умолчанию. Так что при включении WPA2 как системы безопасности уровня 2 в конфигурации WLAN в WLC, в последнем включается PKC. Также следует настроить сервер AAA и беспроводной клиент для соответствующей аутентификации EAP.

Запрашивающая стороны на клиенте должна также поддерживать WPA-2, чтобы PKC работало. PKC также может быть внедрено в среде роуминга между контроллерами.

Вопрос. Как получить MIB контроллера Cisco Wireless LAN по Интернету?

Ответ. Cisco WLC MIB можно загрузить на странице Wireless Downloads (только для зарегистрированных заказчиков).

Чтобы загрузить MIB WLC, выполните следующие действия:

  1. На странице Wireless Downloads нажмите Wireless LAN Controller и выберите платформу котроллера, MIB для которой вам требуются.
  2. Появится страница Software Download для контроллеров. На странице представлены все файлы для WLC, включая MIB.
  3. Загрузите стандартные MIB и MIB, характерные для Cisco. Должны быть загружены и содержать MIB следующие два файла. Имена файлов похожи на данные в примере:
    Standard-MIBS-Cisco-WLC4400-2000-XXXXXX.zip
    
    Cisco-WLC-MIBS-XXXX.zip
    

Вопрос. Может ли контроллер передавать конфигурации на другие контроллеры и управлять ими без системы беспроводного контроля (WCS)?

Ответ. Нет, у контроллеров нет возможности отправлять конфигурации на другие контроллеры или управлять ими.

Вопрос. Поддерживается ли WLC GUI обозревателем Mozilla Firefox?

Ответ. Нет, WLC GUI в данный момент не поддерживается обозревателями Mozilla.

Вопрос. Каково в WLC версии 4.0 максимальное число поддерживаемых контроллеров на одну мобильную группу и на один радиочастотный (RF) домен? Сколько туннелей Ethernet over IP (EoIP) может быть сформировано между одним якорным контроллером и несколькими внутренними контроллерами при гостевом туннелировании?

Ответ. WLC последней версии поддерживают до 20 WLC на RF-домен и до 24 WLC на мобильную группу. А один якорный контроллер поддерживает до 40 EoIP-туннелей с одним туннелем на внутренний WLC. Эти WLC могут относиться к различным мобильным группам.

Вопрос. В чем функциональные различия между контроллерами серий 2000 и 4400?

Ответ. Основные различия между контроллерами серий 2000 и 4400 состоят в функциональных возможностях, которые они поддерживают.

Контроллер серии 2000 не поддерживает следующие аппаратные возможности:

Следующие программные возможности не поддерживаются в контроллерах серии 2000:

Контроллер серии 4400 поддерживает все вышеупомянутые аппаратные и программные возможности.

Вопрос. Какие упрощенные точки доступа (LAP) поддерживают контроллеры серии 4100?

Ответ. С контроллерами серии 4100 работают только LAP Airespace 1200, 1250, Cisco 1000 и Cisco 1500.

Вопрос. При наличии устройства Cisco Adaptive Security Appliance (ASA), можно ли использовать его в качестве сервера DHCP вместо DHCP-сервера Windows, чтобы назначить LAP IP-адреса?

Ответ. Нет, использовать ASA в качестве DHCP-сервера для LAP нельзя. Дело в том, что запросы DHCP от LAP пересылаются на внешний DHCP-сервер через WLC. Таким образом, WLC действует как агент ретрансляции DHCP по пересылке запросов от LAP. Однако ASA не поддерживает запросы DHCP от агента ретрансляции DHCP.

Если устройство ASA настроено как DHCP-сервер, настроить службы ретрансляции DHCP на интерфейсе, где включен сервер, нельзя. Кроме того, клиенты DHCP должны быть напрямую подключены к интерфейсу, на котором включен сервер. Подробнее см. "Пример настройки PIX/ASA в качестве сервера и клиента DHCP".

В Cisco ASA объединены функции брандмауэра, Virtual Private Network (VPN) и системы предотвращения вторжений (IPS). ASA управляется удобным в использовании Adaptive Security Device Manager (ASDM).

Вопрос. Возможно ли вернуться назад и произвести изменения в мастере настройки WLC во время первоначальной настройки?

Ответ. Да. Это можно делать с помощью клавиши - (дефис). Используйте ее, чтобы повторно ввести значение предыдущего параметра.

Например, вы используете мастер настройки WLC для настройки WLC с нуля.

Вместо ввода имени пользователя admin вы ввели adminn. Чтобы исправить ошибку, введите - (дефис) на следующем этапе и нажмите Enter. Система вернется к предыдущему параметру.

(Cisco Controller)

Welcome to the Cisco Wizard Configuration Tool
Use the '-' character to backup
System Name [Cisco_e8:38:c0]: adminn
Enter Administrative User Name (24 characters max): -

System Name [Cisco_e8:38:c0] (31 characters max):

Вопрос. Согласно RFC 1907 для Simple Network Management Protocol (SNMP), поле расположения SNMP должно поддерживать размер 1-255. Однако я не могу ввести в него больше 31 символа. Почему?

Ответ. Обратитесь к сообщению об ошибке Cisco с идентификатором CSCsh58468 (только для зарегистрированных заказчиков) . В самой свежей версии контроллера, 4.0.206.0, пользователь может ввести только 31 символ. Обходных путей для этой проблемы в данный момент нет.

Вопрос. При наличии в мобильной группе включенных на контроллерах WLC функциональных возможностей беспроводного управления (Management via Wireless) я могу получить из этой мобильной группы доступ только к одному WLC, а не ко всем. Почему?

Ответ. Это ожидаемое поведение. Включенная функциональная возможность беспроводного управления позволяет беспроводному клиенту связываться или управлять только теми WLC, в которых зарегистрирована его ассоциированная точка доступа. Клиент не может управлять другими WLC, даже если это WLC из одной и той же группы мобильности. Это сделано в целях безопасности, и предел в один WLC установлен для ограничения угроз.

Функциональная возможность беспроводного управления Cisco WLAN позволяет операторам Cisco WLAN Solution отслеживать и настраивать локальные контроллеры с использованием беспроводного клиента. Эта возможность поддерживается для всех задач управления, кроме загрузки (передачи) на контроллер и с него.

Эта возможность позволяет беспроводным клиентам управлять только Cisco WLC, ассоциированными с клиентом, и ассоциированной точкой доступа. Это означает, что клиенты не могут управлять другими Cisco WLC, с которыми они не ассоциированы.

Эту возможность можно включить через CLI контроллера командой config network mgmt-via-wireless enable.

Вопрос. Можно ли назначить интегрированный контроллер в коммутаторе 3750 и контроллер WLC 4400 в пределах одной мобильной группы?

Ответ. Да. Можно создать мобильную группу для коммутатора Catalyst 3750 с интегрированным контроллером и контроллера 4400.

Вопрос. Существуют ли какие-либо базовые требования, которым надо следовать при использовании функции мобильного якоря в целях настройки WLC для гостевого доступа?

Ответ. Есть два базовых требования, которым надо следовать при использовании мобильного якоря для настройки WLC для гостевого доступа.

Вопросы по функциональным возможностям

Вопрос. Как установить на WLC тип Extensible Authentication Protocol (EAP)? Мне надо аутентифицироваться по устройству Access Control Server (ACS), и в журналах появляется сообщение "неподдерживаемый тип EAP".

Ответ. В WLC нет настроек отдельных типов EAP. Для Light EAP (LEAP), гибкой аутентификации EAP по технологии Secure Tunneling (EAP-FAST) или Microsoft Protected EAP (MS-PEAP) просто настройте IEEE 802.1x или Wi-Fi Protected Access (WPA) (если используется 802.1x с WPA). Любой тип EAP, который поддерживается на сервере RADIUS и на клиенте, поддерживается через тэг 802.1x. Настройки EAP на клиенте и на сервере RADIUS должны совпадать.

Выполните следующие шаги для включения EAP через GUI на WLC:

  1. В окне Summary нажмите WLANs.
  2. Нажмите New на правой стороне окна, чтобы определить новый SSID для WLAN.
  3. В окне WLAN > New введите SSID для сети WLAN, выберите идентификатор WLAN из выпадающего меню и нажмите Apply. Появится окно WLAN > Edit.
  4. Выберите Security Policies > Layer 2 Security, затем аутентификацию 802.1x из выпадающего меню и нажмите Apply. Можно также настроить параметры 802.1x, которые доступны в том же окне. Затем WLC переправит пакеты аутентификации EAP между беспроводным клиентом и сервером аутентификации. Подробнее о том, как включить параметр EAP на WLC через CLI см. раздел
  5. Настройка безопасности 2 уровня документа Настройка защищенных локальных сетей.

Вопрос. Поддерживается ли назначение VLAN, основанное на пользовательском идентификаторе (через RADIUS), на WLC в режиме Lightweight Access Point Protocol (LWAPP) с точками доступа Cisco Aironet 1242? Если да, сколько VLAN можно сопоставить с одним SSID?

Ответ. Да, назначение динамических VLAN, основанное на пользовательском идентификаторе клиента (через RADIUS), поддерживается на WLC. Когда в RADIUS Access Accept есть VLAN Interface-Name или VLAN-Tag, система помещает клиент в конкретный интерфейс. Подробнее см. раздел Настройка сетей с идентификацией документа Настройка решений по безопасности. Идентификатор SSID (WLAN в терминологии контроллера) может быть сопоставлен только с одной VLAN (одним интерфейсом в терминологии контроллера). Таким образом, можно сопоставить 16 различных VLAN 16 различным SSID. При использовании AP, преобразованных ПО Cisco IOS (таких как Aironet 1241), радиоинтерфейс поддерживает только 8 различных SSID. Это ограничение аппаратного обеспечения.

Вопрос. Мы готовимся внедрить в WLC списки контроля доступа (ACLs). Имеются SSID, которые все ассоциированы с различными тэгами VLAN и, таким образом, с различными IP-сегментами. Во WLAN главного пользователя нам требуется неограниченный IP-доступ в сеть. Во вторичной WLAN нам требуется ограничить доступ до нескольких конкретных серверов (четырех) во внутренний сети и доступа в Интернет. Есть три вопроса. Первое. При настройке ACL, выполняется ли обработка списка в нисходящем порядке и останавливается ли, когда выполняется обращение к записи?

Ответ. ACL читаются сверху вниз, с остановкой при совпадении записи.

Вопрос. Второе. Если определили ACL и в нем нет совпадений, разрешается или запрещается трафик? Другими словами, если все наши правила ссылаются на IP-сеть ограниченного сегмента, что происходит с трафиком из неограниченной подсети?

Ответ. В конце каждого ACL есть неявное условие отрицания. Если ничего не совпадает, трафик отвергается. Следует добавить разрешающие инструкции для вашей неограниченной подсети, если она находится в том же самом интерфейсе.

Вопрос. И наконец, существует ли способ применения ACL для каждой WLAN или для каждого логического интерфейса по отдельности?

Ответ. Да, можно применить ACL к конкретной WLAN. Синтаксис команды:

 config wlan acl [<Wlan id>] [<ACL name> | none]

Вопрос. Поддерживает ли Cisco 2000 Series WLC web-аутентификацию для гостевых пользователей? Может ли решение WLC воздержаться от широковещания SSID?

Ответ. Web-аутентификация поддерживается на всех Cisco WLC. Чтобы включить эту возможность, выполните следующие действия:

  1. Из GUI нажмите Edit, чтобы изменить конкретные параметры WLAN, затем установите флажок Web Authentication и нажмите Apply.
  2. Сохранитесь и перезагрузитесь, чтобы Web-аутентификация начала действовать.
  3. В разделе Security выберите Local Net User и выполните следующие шаги:
    1. Определите гостевое имя пользователя и пароль для регистрации гостя. Данные значения вводятся с учетом регистра символов.
    2. Выберите WLAN ID, который вы используете.

Ответ. Чтобы отключить широковещание SSID, снимите флажок Broadcast SSID в окне Edit WLAN.

Вопрос. У меня в сети есть MAC-фильтруемая WLAN и полностью открытая WLAN. Выбирает ли клиент открытую WLAN по умолчанию? Или клиент автоматически ассоциируется с WLAN ID, который установлен в фильтре MAC? И еще, зачем нужен параметр "interface" в фильтре MAC?

Ответ. Клиент может ассоциироваться с любой WLAN, на подключение к которой он настроен. Параметр "interface" в фильтре MAC дает возможность применить фильтр к WLAN или к интерфейсу. Если к одному интерфейсу привязаны несколько WLAN, можно применить MAC-фильтр к интерфейсу без необходимости создания фильтра для каждой отдельной WLAN.

Вопрос. У меня на контроллере настроены 512 пользователей. Есть ли способ увеличить число пользователей по умолчанию в WLC?

Ответ. Локальная пользовательская база данных ограничена 2048 записями и по умолчанию установлена на 512 записей, что указывается на странице Security > General. Эта база данных совместно используется пользователями локального управления (включая lobby ambassadors), пользователями сети (включая гостей), записями MAC-фильтра и отключенными клиентами. Пользователи всех этих типов вместе не могут превышать настроенный размер базы данных.

Если вы попытаетесь настроить более 512 пользователей, не увеличив размер базы данных по умолчанию, WLC выдаст ошибку. Например, при попытке добавить MAC-фильтр, когда в базе данных уже настроено 512 пользователей, и ее размер не увеличен по сравнению со значением по умолчанию, появится сообщение об ошибке.

Error in creating MAC filter

Чтобы увеличить локальную базу данных до 2048 записей, введите в CLI следующую команду.

<Cisco Controller>config database size ?
<count>        Enter the maximum number of entries (512-2048)

Вопрос. Что такое агрегирование каналов (LAG)? Как включить применить LAG на WLC?

Ответ. LAG связывает все порты системы распространения контроллера в единый EtherCannel. Это уменьшает число IP-адресов, необходимых для настройки портов на контроллере. Когда LAG включено, система динамически управляет избыточностью порта и балансирует загрузку точек доступа прозрачно для пользователя.

Контроллеры Cisco серии 4400 поддерживают LAG в релизе ПО 3.2 и более поздних, и LAG автоматически подключено на контроллерах Cisco WiSM и коммутаторе интегрированного контроллера WLC Catalyst 3750G. Без LAG каждый порт системы распространения на контроллерах поддерживает до 48 точек доступа. Со включенным LAG логический порт контроллера 4402 поддерживает до 50 точек доступа, логический порт контроллера 4404 поддерживает до 100 точек доступа, а логический порт на каждом контроллере Cisco WiSM поддерживает до 150 точек доступа.

Подробнее о LAG и его включении в WLC см. "Подключение агрегирования каналов".

Вопрос. В нашей беспроводной сети более 500 точек доступа и несколько VLAN, которые по соображениям безопасности работают только в отдельных зданиях. Как ограничить SSID по AP, так чтобы не все SSID отправлялись по всем AP в системе?

Ответ. Для этого можно использовать функциональную возможность WLAN Override. Для настройки WLAN Override выполните следующие действия:

  1. В WLC GUI перейдите к разделу Wireless и выберите, хотите ли вы работать с радиомодулями IEEE 802.11b/g или IEEE 802.11a.
  2. Чтобы выбрать AP, которые надо изменить, нажмите ссылку Configure, которая следует за именем AP.
  3. В выпадающем меню WLAN выберите Enable.

    Примечание: меню WLAN Override находится с левого края окна.

    Появится список всех WLAN, настроенных на WLC.
  4. Отметьте в этом списке WLAN, которые должны появляться в AP, и нажмите Apply.
  5. После внесения изменений сохраните конфигурацию. После сохранения изменения останутся в силе при перезапуске WLC.

Вопрос. Как настроить контроллер/LAP на повторную аутентификацию на сервере RADIUS каждые три минуты или с каким-либо другим временным периодом?

Ответ. Для этого можно использовать параметр времени ожидания сеанса на странице WLAN > Edit. По умолчанию он установлен на ожидание 1800 секунд перед повторной аутентификацией.

Измените это значение на 180 секунд, чтобы заставить клиент производить повторную аутентификацию каждые три минуты. Подробнее см. раздел "WLAN > изменение" документа "Интерактивная помощь по контроллеру Cisco Wireless LAN версии 3.2".

Вопрос. Что такое функциональная возможность "Auto-anchor Mobility" в универсальных беспроводных сетях?

Ответ. Auto-anchor Mobility (автозакрепление мобильности или гостевая мобильность WLAN) используется для улучшения балансировки нагрузки и безопасности для роуминговых клиентов в ваших WLAN. При обычных условиях роуминга клиентские устройства присоединяются ко WLAN и закрепляются за первым контроллером, с которым они вошли в контакт. Если клиент перемещается в другую подсеть, контроллер, в который перемещается клиент, устанавливает внешний сеанс для такого клиента с якорным контроллером. Однако при использовании автозакрепления мобильности можно указать контроллер или их набор, которые будут для клиентов якорными точками в WLAN.

В режиме Auto-anchor Mobility подсеть мобильной группы указывается в качестве якорных контроллеров для WLAN. Эту функциональную возможность можно использовать для ограничения WLAN до одной подсети, независимо от точки входа клиента в сеть. Клиенты могут затем получить доступ к гостевой WLAN, не выходя из корпоративной, но по-прежнему будут ограничены определенной подсетью. Auto-anchor Mobility может также обеспечивать географическую балансировку нагрузки, поскольку WLAN могут представлять собой отдельную часть здания (фойе, ресторан и так далее), и эффективно создавать набор домашних контроллеров для WLAN. Вместо первого же контроллера, с которым они вошли в контакт, мобильные клиенты могут закрепляться за контроллерами, которые управляют токами доступа на определенной территории.

Примечание: мобильные якоря не следует настраивать для мобильности уровня 3. Они используются только для гостевого туннелирования .

Когда клиент первым ассоциируется с контроллером мобильной группы, который ранее был настроен как мобильный якорь для WLAN, клиент ассоциируется с контроллером локально, и для него создается локальный сеанс. Клиенты могут быть закреплены только за ранее настроенными якорными контроллерами WLAN. Для данной WLAN следует настроить один и тот же набор якорных контроллеров на всех контроллерах в мобильной группе. Подробнее см. "Настройка "Auto-Anchor Mobility".

Вопрос. В сети имеется гостевое туннелирование, туннель Ethernet over IP (EoIP), настроенный между контроллером WLC серии, который действует как якорный, и несколькими удаленными контроллерами. Может ли этот якорный контроллер пересылать широковещание подсети через туннель EoIP из проводной сети к беспроводным клиентам, ассоциированным с удаленными контроллерами?

Ответ. Нет, WLC 4400 не пересылает широковещательные рассылки IP-сети из проводного сегмента к беспроводным клиентам по туннелю EoIP. Эта возможность не поддерживается. Cisco не поддерживает в топологии с гостевым доступом туннелирование широковещания подсети или многоадресного вещания. Гостевая WLAN помещает клиентскую точку присутствия в совершенно конкретное место в сети, в основном за пределами брандмауэра. Туннелирование широковещания сети может вызвать проблемы с безопасностью.

Вопрос. Поддерживают ли Cisco WLC возможность обхода отказа (или избыточности)?

Ответ. Да, если в сети WLAN есть два или более WLC, их можно настроить для достижения избыточности. См. "Пример настройки обхода отказа WLAN для упрощенных точек доступа".

Вопрос. Как настроить VLAN на WLC?

Ответ. Чтобы настроить VLAN на WLC, выполните процедуру, описанную в "Пример настройки VLAN на контроллерах Wireless LAN".

Вопрос. Как настроить аутентификацию TACACS для пользователей управления на WLC?

Ответ. В данный момент TACACS не поддерживается на WLC. Однако можно настроить RADIUS на аутентификацию пользователей управления в WLC.

Вопрос. Можно ли использовать внутренний DHCP-сервер на WLC, чтобы назначить IP-адреса LAP?

Ответ. Этого можно добиться на WLC с версией 4.0. Во всех других версиях IP-адрес можно назначить только клиентам.

Вопрос. Как ACL предварительной аутентификации используются в WLC?

Ответ. ACL предварительной аутентификации обычно используется для внешней web-аутентификации с WLC серии 2000. Для WLC Cisco серии 2000 необходимо настроить ACL предварительной аутентификации для внешнего web-сервера. Этот ACL затем должен быть указан как ACL предварительной аутентификации WLAN согласно web-политике. ACL предварительной аутентификации затем перенаправляет клиент на URL внешней аутентификации (на внешнем web-сервере).

Это пример ACL предварительной аутентификации:

wlc_faq-3.gif

В данном примере 192.168.2.70 является IP-адресом внешнего web-сервера.

Однако нет необходимости настраивать никакие ACL предварительной аутентификации для WLC Cisco серий 4100 и 4400.

Вопрос. Какие значения Differentiated Services Code Point (DSCP) передаются для голосового трафика при установке WLC и LWAPP? Какое QoS внедрено на контроллере?

Ответ. WLAN решения Cisco Unified Wireless Network (UWN) поддерживают четыре уровня QoS:

Можно настроить голосовой трафик для использования Platinum QoS, назначить узколопосной WLAN уровень Bronze QoS, а весь остальной трафик распределить между оставшимися уровнями QoS.

Подробнее см. "Настройка качества обслуживания".

Вопрос. При наличии беспроводного пользователя, который пытается пройти аутентификацию по web на SSID, и WLC, который отправляет запрос аутентификации на Access Control Server (ACS) (RADIUS), какой IP-адрес на WLC используется в этом сценарии в качестве адреса источника для сервера доступа к сети (NAS) с точки зрения сервера RADIUS?

Ответ. Для IP-адреса NAS используется интерфейс IP-адреса управления WLC.

Вопрос. Можно ли настроить Cisco 2006 WLC в качестве якоря для WLAN?

Ответ. WLC Cisco 2000 нельзя назначить якорем для WLAN. Однако WLAN, созданная на WLC Cisco 2000, может иметь в качестве своего якоря WLC Cisco серий 4100 и 4400.

Вопрос. Как настройки сильного сбоя web-аутентификации используются в WLC?

Ответ. Эта настройка является одной из политик исключения клиентов. Исключение клиентов - это функция системы безопасности контроллера. Политика используется для помещения клиентов в "черный список", нужный для предотвращения нелегального доступа к сети или атак на беспроводную сеть.

При включенной политике сильного сбоя web-аутентификации, когда число неудачных попыток web-аутентификации клиента превышает 5, контроллер считает, что клиент превысил максимальное число попыток web-аутентификации и заносит его в черный список.

Ответ. Чтобы включить или отключить эту возможность, выполните следующие действия:

  1. Из WLC GUI выберите разделы Security > Wireless Protection Policies > Client Exclusion Policies.
  2. Установите или снимите флажок Excessive Web Authentication Failures.

Вопросы по поиску и устранению неисправностей

Вопрос. Первоначальная установка упрощенных точек доступа (LAP) завершена. Когда клиенты сети перемещаются из одного конца здания в другой, они остаются связанными с той AP, к которой они изначально были ближе всего. Клиенты не передаются в следующую ближайшую AP, пока сигнал для исходной AP не пропадет полностью. Почему?

Ответ. Перемещение клиента из зоны действия одной AP в зону действия другой AP полностью контролируется WLC. WLC общается со своими AP и управляет уровнем их сигналов в зависимости от того, как каждая AP "видит" остальные. Клиентское перемещение от одной AP к AP полностью контролируется самим клиентом. Радио в клиенте определяет, хочет ли клиент перейти от одной AP к другой. Никакие другие настройки WLC, AP и всей сети не заставят клиента перейти к другой AP, пока он этого не захочет.

Вопрос. WLC был переведен в режим Master Controller и конфигурация сохранена. Позже, после перезагрузки WLC, он не остался в режиме Master Controller. Почему? Это проблема или нормальное поведение?

Ответ. Это ожидаемое поведение. Режим Master Controller обычно используется, только когда новые точки доступа добавляются в решение Cisco WLAN. Когда точки доступа уже не добавляются, решение Cisco WLAN рекомендует отключить этот режим. Поскольку Master Controller обычно не используется в уже развернутой сети, эта настройка автоматически отключается при перезагрузке или обновлении кода ОС.

Вопрос. Есть ли способ восстановить пароль к WLC 2006?

Ответ. Нет, восстановить пароль на этом WLC нельзя. При использовании Cisco Wireless Control System (WCS) для управления WLC, WLCM или WiSM следует иметь возможность получения доступа к контроллеру из WCS и создания нового пользователя-администратора без регистрации в самом контроллере. Или же, если вы не сохранили конфигурацию на контроллере после удаления пользователя, то перезагрузка (включение-выключение питания) должно восстановить его с удаленным пользователем в системе. Если у вас нет учетной записи администратора по умолчанию или учетной записи другого пользователя, с котором вы можете войти, то единственным вариантом остается восстановление заводских настроек на контроллере и настройка его с нуля.

Вопрос. Режим LAP точки доступа 1030 изменен с Local на Bridge, и WLC 2006 больше не опознает ее. Как вернуть 1030 AP в режиме Local AP?

Ответ. Существуют некоторые предосторожности и предварительные шаги, которые необходимо сделать перед переводом LAP в режим Bridge, иначе LAP может не присоединиться к контроллеру. AP, которая напрямую ассоциирована с контроллером, является "roof-top access point" (RAP) режима Bridge, а LAP в режиме Remote - "pole-top access point" (PAP). Выполните следующие шаги, чтобы включить на контроллере мостовое соединение и приготовить LAP к использованию в качестве RAP/PAP.

Начните с LAP, присоединенных к контроллеру режима LWAPP уровня 2 и находящихся в режиме Local.

  1. В GUI перейдите на страницу Wireless и запишите предполагаемые MAC-адреса Bridge AP.
  2. Нажмите Bridging.
  3. Включите Enable Zero Touch Configuration.
  4. Введите в формате ASCII или HEX общий секретный ключ мостового соединения, который используется для проверки подлинностей LAP.
  5. Перейдите на страницу Security и нажмите ссылку MAC Filtering, расположенную слева под AAA. Добавьте MAC-адреса нужных Bridge AP и укажите WLAN и ассоциированный Interface.
  6. Возврат на страницу Wireless. LAP c Bridge показывают сведения в разделе Bridging Information, кроме Detail, что может помочь опознать их. Нажмите Detail на одной из предполагаемых Bridge AP. Справа, в разделе Inventory Information, проверьте модель LAP и поддерживается ли режим REAP.
  7. Проверьте AP Static IP и введите IP-адрес, маску подсети и шлюз в подсети используемого интерфейса. Убедитесь, что эти IP находятся вне области DHCP, предоставленной клиентам.

Теперь вы готовы к настройке режима AP. Измените роль AP с Local на Bridge и нажмите Apply.

Если настройка не работает так, как ожидается, следуйте приведенному далее процессу восстановления.

  1. Находясь в графическом интерфейсе контроллера, выберите Wireless > Bridging и отметьте Enable Zero Touch Configuration.
  2. Находясь в графическом интерфейсе контроллера, выберите Security > MAC Filtering и добавьте новый MAC-фильтр с MAC-адресом AP.
  3. Перейдите в командную строку контроллера и введите команду config network allow-old-bridge-aps enable.

Это позволит добавить точки доступа. После их присоединения выполните следующие действия.

  1. Перейдите в графический интерфейс контроллера и выберите Wireless > Cisco APs > Detail.
  2. Проверьте, поддерживает ли AP режим REAP. Должно быть указано YES для AP мостовых соединений внутри помещений.
  3. Проверьте режим AP. Если это Bridge, измените его обратно на Local. Это поменяет Bridge AP на Normal AP.

Вопрос. WLC 4402 недавно был настроен на управление новыми Cisco LAP. Он работает под управлением PIX 501 версии 6.3(5) и, кроме того, использует PIX в качестве DHCP-сервера для клиентов. Однако всегда, когда PIX получает от контроллера запрос для беспроводных клиентов, он сбрасывает его, и клиенты не получают IP-адрес. Почему это происходит?

Ответ. PIX может действовать как агент ретрансляции. Однако в этом случае агентом ретрансляции для клиента является WLC. PIX не поддерживает запросы DHCP от агента ретрансляции. Он игнорирует эти запросы. Клиенты должны быть напрямую подключены к брандмауэру PIX и не могут отправлять запросы через другой агент ретрансляции или маршрутизатор. В контексте DHCP PIX имеет ограниченную функциональность. Он может работать как простой DHCP-сервер для внутренних хостов, которые напрямую подключены к нему, так что он может обслуживать свою таблицу, основанную на MAC-адресах, которые напрямую подключены к нему и которые он может видеть. Поэтому попытки назначить адреса из ретрансляции DHCP оказываются невозможны, и пакеты отбрасываются.

Подробнее об использовании PIX для предоставления сервисов DHCP см. "Использование ретрансляции DHCP".

Вопрос. Настроена гостевая Wireless LAN, а контроллер физически отделен от внутренней LAN. Принято решение использовать функциональную возможность внутреннего DHCP этого контроллера, но беспроводные клиенты не получают IP-адреса от контроллера. Как беспроводные гостевые пользователи получают IP-адреса от контроллера, когда они подключены к физически отдельной сети?

Ответ. Одним из возможных решений является переопределить DHCP-сервер для сомнительного SSID на странице настроек WLAN (в данном случае это гостевой SSID). А затем направить этот переопределенный DHCP-сервер на IP-адрес порта на контроллере, с которым ассоциирована эта гостевая WLAN.

Вопрос. Имеется WLC 4400 с зарегистрированными в нем LAP. На WLC настроены WLAN, к которым будут подключаться клиенты. Проблема в том, WLC не проводит широковещания идентификаторов SSID, которые настроены для сетей WLAN. Почему?

Ответ. Чтобы WLC могли проводить широковещание SSID, для WLAN должны быть включены параметры Admin Status и Broadcast SSID. Чтобы включить Admin Status и Broadcast SSID, выполните следующие действия:

  1. Перейдите в графический интерфейс контроллера и выберите Controller > WLANs. Появится страница WLAN. На ней будут показаны настроенные WLAN.
  2. Выберите WLAN, для которой нужно включить широковещание SSID, и нажмите Edit.
  3. На странице WLAN > Edit установите флажок Admin Staus, чтобы включить WLAN. Кроме того, установите флажок Broadcast SSID, чтобы указать, что SSID должны широковещательно передаваться в сигнальных сообщениях, рассылаемых AP.

Вопрос. Поддерживает ли решение Cisco Unified Wireless избыточные WLC в DMZ для гостевого туннелирования?

Ответ. В данный момент избыточные WLC в DMZ для гостевого туннелирования не поддерживаются. Поэтому клиент автоматически не подключается к другому контроллеру в DMZ.

Вопрос. Клиенты WLAN, ассоциированные с LAP, не могут получить IP-адреса из DHCP-сервера. Какие действия следует предпринять?

Ответ. Часто эта проблема возникает тогда, когда WLC и DHCP-сервер находятся в разных подсетях. WLC не проводит маршрутизацию и в том, что касается маршрутизации между различными подсетями, зависит от устройства третьего уровня.

Возможный обходной путь - настроить DHCP-сервер в той же подсети, что и WLC. Если DHCP-сервер находится в другой подсети, то или должен присутствовать маршрутизатор для маршрутизации между WLAN и DHCP-сервером, или вы можете настроить внутренний DHCP-сервер на WLC с областью действия для WLAN.

Вопрос. LAP 1131 не регистрируется с WLC 4402. Что может быть причиной этого?

Ответ. Одна распространенная причина заключается в том, что на WLC настроен транспортный режим LWAPP. WLC 4402 может работать в режимах LWAPP и второго, и третьего уровней. Но LAP 1131 может работать только в режиме третьего уровня. Уровень 2 не поддерживается на LAP 1131. Таким образом, если WLC настроен с транспортным режимом LWAPP второго уровня, то LAP не присоединится к WLC. Чтобы решить проблему, измените транспортный режим LWAPP WLC со второго на третий уровень.

Чтобы изменить транспортный режим LWAPP из GUI, перейдите на страницу WLC и найдите в главном поле второй вариант, LWAPP Transport Mode. Измените его на Layer 3 и перезапустите контроллер. Теперь LAP может регистрироваться в контроллере.

Вопрос. WLC не генерирует ловушки для намеренных нарушителей, а отладки SNMP на WLC не показывают никаких ловушек WLC для них, даже если WLC GUI сообщил о намеренных нарушителях. WLC работает под управлением микропрограммы версии 3.2.116.21. Почему это происходит?

Ответ. Обратитесь к идентификатору ошибки Cisco CSCse14889 (только для зарегистрированных заказчиков) . WLC последовательно отсылает ловушки для выявленных посторонних AP, но не для намеренных нарушителей. Эта ошибка выявлена в микропрограмме WLC версии 3.2.171.5 и более поздних.

Вопрос. Имеется инфраструктура корпоративной Cisco Airespace WLAN. Клиенты WLAN не могут перемещаться по домену Microsoft Active Directory (AD). Данная проблема возникает только в одном здании, в других ее нет. Внутренне мы не используем ACL. Кроме того, когда сбойный клиент подключается проводным образом, он сразу может перемещаться по домену Microsoft AD. В чем может быть проблема?

Ответ. Одна из причин может быть в отключении на контроллере многоадресного режима. Включите многоадресный режим на контроллере и проверьте, есть ли у вас доступ в домен Microsoft AD.

Вопрос. Работает ли мобильность третьего уровня с конфигурацией Group VLAN точки доступа?

Ответ. Да, мобильность третьего уровня работает с конфигурацией Group VLAN точки доступа. В данный момент трафик, исходящий от перемещаемого беспроводного клиента уровня 3, направляется в динамический интерфейс, назначенный на WLAN, или в интерфейс AP Group VLAN.

Вот как WLC обрабатывают роуминг на третьем уровне:

  1. Когда беспроводной клиент перемещается к новому WLC (например, WLC1), WLC1 отправляет мобильные пакеты на все WLC в той же мобильной группе.
  2. Старый WLC (например, WLC2) отправляет мобильный пакет на WLC1 и разрешает WLC1 узнать IP-адрес беспроводного клиента.
  3. С этого момент WLC1 направляет трафик из беспроводного клиента на локальный интерфейс на WLC1. Это не тот же самый интерфейс, что на WLC2.
  4. Весь трафик в беспроводной клиент отправляется в WLC2. WLC2 с помощью Ethernet over IP (EoIP) пересылает пакет на WLC1, который в свою очередь отправляет трафик на беспроводной клиент через туннель Lightweight Access Point Protocol (LWAPP).

Вопрос. Почему точки доступа на других контроллерах в одной и той же мобильной зоне показываются как посторонние?

Ответ. Возможно, из-за проблемы, описанной в идентификаторе ошибки Cisco CSCse87066 (только для зарегистрированных заказчиков) . LWAPP AP в одной и той же мобильной группе видны другому WLC как посторонние AP. Это может происходить в рамках двух сценариев:

  • AP видит более 24 соседей. Размер списка соседей - 24, поэтому все остальные воспринимаются как нарушители.
  • AP1 может слышать клиента, который связывается с AP2, но AP2 услышать нельзя. Таким образом, ее нельзя расценить как соседа.

Обходной путь - вручную установить точки доступа как известные внутренние на WLC и/или WCS. Чтобы вручную установить точки доступа как известные внутренние, выполните следующие действия:

  1. Перейдите в графический интерфейс контроллера и выберите Wireless.
  2. Нажмите Rogue Aps в левой части меню.
  3. Из списка Rogue-AP выберите Edit.
  4. В меню Update Status выберите Known internal.
  5. Нажмите Apply. Эта ошибка выявлена в версии 4.0.179.11.

Вопрос. Имеется LAP 1200, которую надо зарегистрировать с WLC. DHCP-сервер настроен с параметром 43. Как проверить, правильно ли работает DHCP параметр 43?

Ответ. Это можно проверить из LAP, если AP - это LWAPP AP на базе Cisco IOS, такая как 1242 или 1131AG LAP. В этих случаях нужно ввести команду debug dhcp detail на стороне AP, чтобы посмотреть, успешно ли AP получает данные параметра 43 и что она получает.

Вопрос. Контроллер 2006 показывает, что зарегистрированным точкам доступа были назначены разные каналы. Однако при сканировании с помощью Aironet Desktop Utility (ADU) или Netstumbler все AP показываются в одном канале (1). Почему?

Ответ. Эта проблема возникает, когда зарегистрированные AP находятся в тесной близости друг с другом. Обратитесь к сообщению об ошибке Cisco с идентификатором CSCsg03420 (только для зарегистрированных заказчиков) .

Вопрос. При задании из командной строки ПК команды ipconfig/all показывается другой адрес DHCP-сервера. В качестве IP-адреса DHCP-сервера выдается 1.1.1.1. Это IP-адрес виртуального интерфейса контроллера, а не адрес DHCP-сервера. Почему он показывается как DHCP-сервер?

Ответ. Дело в том, что адрес виртуального интерфейса 1.1.1.1 действует как DHCP-прокси для исходного DHCP-сервера. Если нужно увидеть адрес исходного DHCP-сервера в выходных данных команды ipconfig/all, следует отключить функцию DHCP-прокси в контроллере, с которым ассоциирован клиент. Ее можно отключить командой config dhcp proxy disable.

Эта команда заменит адрес виртуального интерфейса 1.1.1.1, который показывается как DHCP-сервер, на действительный IP-адрес DHCP-сервера, который вы определили на интерфейсе или в параметре переопределения WLAN.

Вопрос. Имеются два ACS, которые проводят аутентификацию клиентов, ассоциированных с контроллерами WLC. Один ACS действует как основной сервер аутентификации, а другой - как сервер обхода отказа. Если основной сервер сбоит, контроллер переходит для аутентификации беспроводных клиентов на второй сервер. Как только основной сервер восстанавливается, контроллер не возвращается на него. Почему?

Ответ. Это ожидаемое поведение. Когда клиент проходит аутентификацию через WLC с несколькими ACS, возникают следующие события:

  1. После перезагрузки WLC определяет активный ACS.
  2. Когда этот активный ACS не отвечает на запрос RADIUS из WLC, WLC ищет второй ACS и совершает обход отказа.
  3. Когда основной ACS восстановится, WLC не вернется на него, пока не будет сбоить ACS, на котором контроллер проводит аутентификацию.

В таких случаях следует перезагрузить WLC, чтобы он снова опознал основной ACS и переключился на него. Это переключение не произойдет сразу после перезагрузки. Оно может потребовать некоторого времени.

Вопрос. Я не могу войти по Secure Shell (SSH) в WLC при использовании клиентского ПО SecureCRT SSH v2 SH. Контроллер работает под управлением версии 4.0.179.8.

Ответ. Обратитесь к сообщению об ошибке Cisco с идентификатором CSCsc98897 (только для зарегистрированных заказчиков) . SecureCRT работает только с контроллерами под управлением версии 4.0.206.0. Обновите свой контроллер до этой версии. Затем вы сможете использовать клиент SecureCRT SH, чтобы войти по SSH в контроллер.

Вопросы проектирования

Вопрос. Можно ли установить AP в удаленном доступе, а Cisco WLC - в центральном? Работает ли Lightweight AP Protocol (LWAPP) по WAN?

Ответ. Да, можно настроить WLC по WAN из AP. LWAPP работает по WAN. Используйте режим Remote Edge AP (REAP). REAP позволяет управлять AP с удаленного контроллера, подключенного через канал WAN. Трафик перебрасывается на канал LAN локально, что позволяет избежать необязательной отправки локального трафика по каналу WAN. Это, очевидно, одно из важнейших преимуществ, которые дает размещение WLC в беспроводной сети.

Примечание: не все упрощенные AP поддерживают REAP. Например, AP 1030 поддерживает REAP, а AP 1010 и 1020 - нет. Перед тем как планировать внедрение REAP, убедитесь в том, что AP поддерживают его. Cisco IOS® Software AP, переведенные в LWAPP, не поддерживают REAP.

Вопрос. В чем заключается отличие между Remote-Edge AP (REAP) и Hybrid-REAP (H-REAP)?

Ответ. В следующей таблице собраны различия между REAP и H-REAP.

wlc_faq-2.gif

Подробнее о REAP см. "Пример конфигурации Remote-Edge AP (REAP) с упрощенными AP и контроллерами Wireless LAN (WLC)".

Подробнее об H-REAP м. "Настройка гибридных REAP".

Вопрос. Мы инициализировали две WLAN с двумя динамическими интерфейсами. У каждого интерфейса есть собственная VLAN, которая отличается от VLAN интерфейса управления. Все как будто работает, но мы не инициализировали транковые порты, чтобы разрешить VLAN, которые используются WLAN. Помечает ли AP пакеты метками VLAN интерфейса управления?

Ответ. AP не помечает пакеты метками VLAN интерфейса управления. AP инкапсулирует пакеты от клиентов в LWAPP и затем передает их в WLC. WLC затем отбрасывает заголовок LWAPP и пересылает пакеты на шлюз с соответствующей меткой VLAN. Метка VLAN зависит от WLAN, к которой относится клиент. WLC зависит от шлюза для маршрутизации пакетов к их назначению. Чтобы передавать трафик для нескольких VLAN, необходимо настроить восходящий коммутатор в качестве транкового порта. На этой диаграмме объясняется, как VLAN работают с контроллерами:

wlc_faq.gif

Вопрос. В одной и той же Cisco имеются десять LAP Cisco 1000 и два WLC. Как зарегистрировать шесть LAP для их ассоциации с WLC 1, а оставшиеся четыре - для ассоциации с WLC 2?

Ответ. Протокол LWAPP позволяет осуществлять динамическую избыточность и балансировку нагрузки. Например, если вы указываете более одного IP-адреса для параметра 43, LAP отправляет запросы обнаружения LWAPP в каждый из IP-адресов, которые получает AP. WLC включает в запрос обнаружения LWAPP следующую информацию:

Затем LAP пытается присоединиться к наименее загруженному WLC, которым является WLC с самой большой доступной емкостью LAP. Более того, после того как LAP присоединится к WLC, LAP получает от своего WLC IP-адреса других WLC в мобильной группе. Затем AP отправляет основные запросы обнаружения LWAPP на каждый из WLC в мобильной группе. WLC откликается основным откликом обнаружения в адрес AP. Основной отклик обнаружения включает информацию о типе WLC, общей емкости и текущей загрузке AP. Пока на WLC включен параметр "AP Fallback", AP может перейти на менее загруженный WLC.

Кроме того, если нужно, чтобы LAP была подключена к конкретному WLC, можно настроить имена основного, вторичного и третичного контроллеров, когда LAP настраивается в первый раз. В этом случае при внедрении LAP она найдет и зарегистрируется в WLC, который помечен как основной. Если основной WLC недоступен, она попытается зарегистрироваться во вторичном WLC, и так далее.

Вопрос. Туннелируется ли через WLC весь сетевой трафик из клиента WLAN и в него после того, как AP зарегистрируется контроллером?

Ответ. Когда AP присоединяется к контроллеру, между двумя устройствами формируется туннель LWAPP. Весь трафик, включая весь клиентский, посылается через туннель LWAPP.

Единственное исключение возникает, когда AP находится в режиме Remote-Edge AP (REAP). В этом случае контрольный трафик по-прежнему туннелируется в контроллер, но трафик данных локально перебрасывается в локальную LAN.

Вопрос. Имеются два WLC, названные WLC1 и WLC2 и настроенные в одной и той же мобильной группе для обхода отказа. LAP в данный момент зарегистрирована в WLC1. Если WLC1 сбоит, будет ли зарегистрированная им AP перезагружаться во время ее передачи на запасной WLC (WLC2)? Кроме того, потеряет ли клиент WLAN соединение с LAP во время обхода отказа?

Ответ. Да, если WLC1 сбоит, LAP снимается с регистрации в WLC1, перезагружается и затем регистрируется в WLC2. Поскольку LAP перезагружается, соответствующие клиенты WLAN теряют соединение с этой LAP.

Вопрос. Зависит ли роуминг от режима LWAPP, на использование которого настроен WLC? Может ли WLC, который работает в режиме LWAPP второго уровня, производить роуминг третьего уровня?

Ответ. Пока мобильные группы на контроллерах настроены правильно, клиентский роуминг должен работать. На роуминг не влияет режим LWAPP, ни второго, ни третьего уровня. Однако рекомендуется использовать LWAPP уровня 3 там, где это возможно.

Вопрос. Какие порты надо разрешить для связи LWAPP, если в сети имеется брандмауэр?

Ответ. Необходимо включить следующие порты:

Эти порты включаются по усмотрению (в зависимости от требований):

Вопросы по сообщениям об ошибках

Вопрос. Мы начали конверсию более чем 200 AP из ПО Cisco IOS на Lightweight AP Protocol (LWAPP) с Cisco 4404 WLC. После завершения конверсии 48 AP на WLC появилось следующее сообщение: "[ERROR] spam_lrad.c 4212: AP cannot join because the maximum number of APs on interface 1 is reached". Почему возникает эта ошибка?

Ответ. Вам следует создать дополнительные интерфейсы управления AP, чтобы поддерживать более 48 AP. Иначе вы будете получать ошибку такого содержания:

Wed Sep 28 12:26:41 2005 [ERROR] spam_lrad.c 4212: AP cannot join because 
the maximum number of APs on interface 1 is reached.

Настройте несколько интерфейсов управления AP и основной/резервный порты, которые другие интерфейсы управления AP не должны использовать. Следует обязательно создать второй интерфейс управления AP, чтобы использовать дополнительные AP. Однако убедитесь в том, что конфигурации основного и резервного портов для каждого менеджера не перекрываются. Другими словами, если AP-менеджер 1 использует порт 1 как основной и порт 2 как резервный, AP-менеджер 2 должен использовать порт 3 как первичный и порт 4 как резервный.

Вопрос. Имеется WLC 4402 и 1240 используемых LAP. Во время включения 128-битного шифрования на WLC при выборе 128-битного WEP-шифрования возникает сообщение об ошибке, в котором говорится, что 128-битное шифрование не поддерживается на 1240 точках. Почему появляется это сообщение?

Ответ. Длины ключей, показываемые на WLC, - это номера битов из общего секретного ключа, они не включают 24 бита Initialization Vector (IV). Во многих продуктах, включая Aironet, это называется 128-битным WEP-ключом. В реальности это 104-битный ключ с 24-битным IV. Размер ключа 104 бита как раз и надо включить на WLC для 128-битного WEP-шифрования. При выборе WLC 128-битного размера ключа на самом деле выбирается 152-битное WEP-шифрование.

Вопрос. Клиент AIR-P121AG-E-K9 успешно ассоциируется с AP при помощи EAP-FAST, но когда ассоциированная AP отключается, клиент не переходит к следующей AP. Это сообщение постоянно появляется в журнале сообщений контроллера: "Fri Jun 2 14:48:49 2006 [SECURITY] 1x_auth_pae.c 1922: Unable to allow user into the system - perhaps the user is already logged onto the system? Fri Jun 2 14:48:49 2006 [SECURITY] apf_ms.c 2557: Unable to delete username for mobile 00:40:96:ad:75:f4"

Ответ. Когда плате требуется провести роуминг, она отправляет запрос на аутентификацию, но ключи обрабатывает неправильно (не информирует AP/контроллер, не отвечает на повторную аутентификацию).

Эта проблема описана в идентификаторе ошибки Cisco CSCsd02837 (только для зарегистрированных пользователей) . Обходным путем является переключение с WPA2 на WPA1/TK1P.

Вопрос. При установке нового модуля WiSM в коммутаторе 6509 и внедрении PEAP с сервером Microsoft IAS возникает следующее сообщение об ошибке: *Mar 1 00:00:23.526: %LWAPP-5-CHANGED: LWAPP changed state to DISCOVERY *Mar 1 00:00:23.700: %SYS-5-RELOAD: Reload requested by LWAPP CLIENT.Reload Reason: FAILED CRYPTO INIT. *Mar 1 00:00:23.700: %LWAPP-5-CHANGED: LWAPP changed state to DOWN *Mar 1 00:00:23.528: %LWAPP-5-CHANGED: LWAPP changed state to DISCOVERY *Mar 1 00:00:23.557: LWAPP_CLIENT_ERROR_DEBUG:lwapp_crypto_init_ssc_keys_and_certs no certs in the SSC Private File *Mar 1 00:00:23.557: LWAPP_CLIENT_ERROR_DEBUG: *Mar 1 00:00:23.557: lwapp_crypto_init: PKI_StartSession failed *Mar 1 00:00:23.706: %SYS-5-RELOAD: Reload requested by LWAPP CLIENT.

Ответ. Отладки RADIUS и dot1x показывают, что WLC отправляет запрос на доступ, но отклик от сервера IAS не поступает. Чтобы устранить данную проблему, проделайте следующие действия:

  1. Проверьте конфигурацию сервера IAS.
  2. Проверьте файл журнала.
  3. Установите ПО, такое как Ethereal, которое сообщит подробные данные об аутентификации.
  4. Остановите и запустите сервис IAS.

Вопрос. LAP не регистрируются контроллером. В чем может быть проблема? На контроллере появляются следующие сообщения: Thu Feb 3 03:20:47 2028: LWAPP Join-Request does not include valid certificate in CERTIFICATE_PAYLOAD from AP 00:0b:85:68:f4:f0. Thu Feb 3 03:20:47 2028: Unable to free public key for AP 00:0B:85:68:F4:F0

Ответ. Когда AP отправляет запрос присоединения LWAPP в WLC, в сообщение LWAPP она вкладывает сертификат X.509. Кроме того, она генерирует случайный идентификатор сеанса, которые также включается в запрос присоединения LWAPP. Когда WLC получает запрос присоединения LWAPP, он проверяет подпись сертификата X.509 с помощью открытого ключа AP и удостоверяется в том, что сертификат был выдан доверенным центром сертификации. Он также смотрит на дату и время начала периода действительности сертификата AP и сравнивает их с собственными показателями даты и времени.

Эта проблемы возникает из-за неправильных настроек времени на WLC. Чтобы настроить часы в модулях WiSM, можно использовать команды show time и config time.

Вопрос. Точка доступа LWAPP не может присоединиться к своему контроллеру. Журнал WLC показывает сообщение, похожее на это: LWAPP Join-Request does not include valid certificate in CERTIFICATE_PAYLOAD from AP 00:0b:85:68:ab:01

Ответ. Туннель LWAPP между AP и WLC проходит сетевой путь с MTU ниже 1500 байтов. Это вызывает фрагментацию пакетов LWAPP. Это известная ошибка в контроллере (идентификатор ошибки Cisco CSCsd39911 (только для зарегистрированных заказчиков) ).

Решением будет обновить микропрограмму контроллера до 4.0(155).

Вопрос. Я пытаюсь установить гостевой туннель между своим внутренним контроллером и виртуальным якорным контроллером в De-Militarized-Zone (DMZ). Однако когда пользователь пытается ассоциироваться с гостевым SSID, он не может получить IP-адрес из DMZ, что ожидалось. Таким образом, пользовательский трафик не туннелируется на контроллер на DMZ. Выходные данные команды "debug mobile handoff" показывают сообщение, похожее на это: "Security Policy Mismatch for WLAN <Wlan ID>. Anchor Export Request from Switch IP: <controller Ip address> Ignored". В чем дело?

Ответ. Гостевое туннелирование обеспечивает дополнительную охрану для доступа гостевых пользователей в корпоративную беспроводную сеть. Это помогает убедиться в том, что гостевые пользователи не могут входить в корпоративную сеть без предварительного прохождения через корпоративный брандмауэр. Когда пользователь ассоциируется с WLAN, которая назначена как гостевая WLAN, пользовательский трафик туннелируется на контроллер WLAN, который находится на DMZ за пределами корпоративного брандмауэра.

С учетом этого сценария можно указать несколько причин неправильной работы гостевого туннелирования. Как следует из выходных данных команды debug, проблема может быть в несовпадении в какой-либо из политик безопасности, настроенных для этой конкретной WLAN как во внутренних, так и в DMZ-контроллерах. Проверьте, совпадают ли политики безопасности и другие настройки, такие как установки ожидания сеанса.

Другая распространенная причина этой проблемы - то, что контроллер DMZ не указан для себя якорным для этой конкретной WLAN. Для того чтобы гостевое туннелирование работало правильно, а DMZ администрировала IP-адрес пользователя (который относится к гостевой WLAN), важно, чтобы для конкретной WLAN был правильно указан якорь.

Вопрос. На WLC 2006 появляется много сообщений "CPU Receive Multicast Queue is full on Controller", а на WLC 4400 их нет. Почему? Многоадресное вещание на контроллерах отключено. В чем разница между многоадресными пределами очереди на платформах WLC 2006 и 4400?

Ответ. Поскольку многоадресная рассылка на контроллерах отключена, сообщения, которые вызывают это уведомление, могут быть сообщениями ARP. Разницы в глубине очереди (512 пакетов) между WLC 2000 и 4400 нет. Разница в том, что 4400 NPU фильтрует пакеты ARP, в то время как на 2006 все делается в программном обеспечении. Это объясняет, почему WLC 2006 видит сообщения, а 4400 - нет. WLC 44xx обрабатывает многоадресные пакеты аппаратно (через ЦП). WLC 2000 обрабатывает многоадресные пакеты программное. Обработка ЦП более эффективна, чем программная, так что очередь 4400 очищается быстрее, в то время как WLC 2006 немного напрягается, когда видит множество этих сообщений.

Вопрос. На одном из контроллеров появляется сообщение об ошибке "[SECURITY] apf_foreignap.c 763: STA [00:0A:E4:36:1F:9B] Received a packet on port 1 but no Foreign AP configured for this port.". Что это означает и как разрешить проблему?

Ответ. Это сообщение показывается, когда контроллер получает DHCP-запрос для MAC-адреса, для которого у него нет конечного автомата. Его часто видно с моста или из системы, которая работает под управлением виртуальной машины типа VMWare. Контроллер слушает DHCP-запросы, поскольку он обрабатывает отслеживание DHCP и знает, какие адреса ассоциированы с клиентами, которые привязаны к его AP. Весь трафик для беспроводных клиентов проходит через контроллер. Когда назначением пакета является беспроводной клиент, он идет на контроллер и затем проходит через туннель LWAPP на AP и с нее к клиенту. Единственное, что можно сделать при появлении этого сообщения - с помощью ввода на коммутаторе команды switchport vlan allow разрешить VLAN, которые используются на контроллере, на транке, который идет на контроллер.

Вопрос. Почему на консоли появляется это сообщение об ошибке: Msg 'Set Default Gateway' of System Table failed, Id = 0x0050b986 error value = 0xfffffffc?

Ответ. Возможно, из-за высокой загрузки ЦП. Когда контроллер ЦП сильно загружен (например, когда он копирует файлы или выполняет другие задачи), у него нет времени на обработку всех ACK, которые NPU отправляет в ответ на сообщения конфигурации. Когда это происходит, ЦП генерирует сообщения об ошибке. Однако они не влияют на обслуживание или функциональность.

Это описано в разделе "Сильно загруженный ЦП контроллера" документа "Примечания к версии для контроллеров Cisco Wireless LAN и упрощенных точек доступа для версии 3.2.116.21".

Вопрос. Я получаю на WCS эти сообщения об ошибке ключа WEP: "The WEP Key configured at the station may be wrong. Station MAC Address is 'xx:xx:xx:xx:xx:xx', AP base radio MAC is 'xx:xx:xx:xx:xx:xx' and Slot ID is '1'". Однако я не использую в своей сети WEP в качестве параметра безопасности, я использую только Wi-Fi Protected Access (WPA). Почему возникают эти сообщения об ошибке WEP?

Ответ. Если все ваши настройки безопасности верны, такие сообщения возникают из-за ошибок системы. Существует несколько известных ошибок в контроллере. См. идентификаторы ошибки Cisco CSCse17260 (только для зарегистрированных заказчиков) и CSCse11202 (только для зарегистрированных заказчиков), в которых описывается неправильная работа WEP-ключа, настроенного на станции, соответственно с клиентами WPA и TKIP. В принципе, CSCse17260 дублирует CSCse11202. Исправление для CSCse11202 уже доступно в релизе WLC 3.2.171.5.

Примечание: в самом свежем релизе WLC 4.0.206.0 эти ошибки устранены.

Вопрос. Мы используем внешний сервер RADIUS для аутентификации беспроводных клиентов через контроллер. Контроллер регулярно присылает следующее сообщение об ошибке: "no radius servers are responding". Почему оно возникает?

Ответ. Когда запрос выходит из WLC на сервер RADIUS, каждый пакет имеет номер последовательности, для которой WLC ожидает ответа. Если отклика нет, появляется сообщение "radius-server not responding".

Время по умолчанию ожидания WLC ответа от сервера RADIUS - 2 секунды. Оно устанавливается из WLC GUI в разделе Security > authentication-server. Максимальное значение - 30 секунд. Таким образом, для разрешения проблемы может быть полезно установить это ожидание на максимум.

Иногда серверы RADIUS производят 'silent discards' пакета запроса, который приходит от WLC. Сервер RADIUS может отклонять эти пакеты из-за несовпадения сертификатов и по некоторым другим причинам. Это правомочное действие со стороны сервера. Кроме того, в таких случаях контроллер будет помечать сервер RADIUS как "not responding".

Чтобы разрешить проблему silent discards, отключите функцию aggressive failover в WLC.

Если функция aggressive failover включена на WLC, он будет помечать сервер AAA как "not responding" слишком агрессивно. Однако этого не стоит делать, поскольку сервер AAA может не отвечать только этому конкретному клиенту (методом silent discard). Он может отвечать другим действительным клиентам с действительными сертификатами. Однако WLC может все же пометить сервер AAA как "not responding" и недействующий.

Чтобы преодолеть это, отключите функцию aggressive failover. Для этого введите команду config radius aggressive-failover disable из GUI контроллера. Если функция отключена, то контроллер будет просто переходить на следующий сервер AAA, если три клиента последовательно не смогут получить отклик от сервера RADIUS.

Вопрос. На WLC появляется следующее сообщение об ошибке: Reached Max EAP-Identity Request retries (21) for STA 00:05:4e:42:ad:c5. Почему?

Ответ. Это сообщение об ошибке появляется, когда пользователь пытается подключиться к защищенной EAP сети WLAN и ему не удались попытки EAP настроенным ранее числом. Когда пользователь не может пройти аутентификацию, контроллер исключает клиента и клиент не может подключиться к сети, пока не истечет срок исключения или он не будет вручную изменен администратором.

Исключение опознает попытки аутентификации, сделанные отдельным устройством. Когда устройство превышает максимальное число отказов, этому MAC-адресу больше не разрешается ассоциироваться.

Исключение происходит:

Можно настроить таймер срока исключения клиента, и исключение можно включать и отключать на контроллере или на уровне WLAN.

Вопрос. На WLC появляется следующее сообщение об ошибке: "An Alert of Category Switch is generated with severity 1 by Switch WLCSCH01/10.0.16.5 The message of the alert is Controller '10.0.16.5'. RADIUS server(s) are not responding to authentication requests. В чем проблема?

Ответ. Это может происходить из-за ошибки Cisco CSCsc05495. Из-за нее контроллер периодически вставляет неправильные AV-Pair (атрибут 24, "state") в сообщения запроса аутентификации, что нарушает работу RADIUS RFP и вызывает проблемы для некоторых серверов аутентификации. Эта ошибка исправлена в версии 3.2.179.6.

Вопрос. В Monitor > 802.11b/g Radios появляется сообщение об отказе Noise Profile. Почему возникает сообщение FAILED?

Ответ. Статус FAILED показывает, что пороговое значение для этого конкретного параметра или AP было превышено. Вы можете скорректировать параметры в профиле, но рекомендуется изменять настройки после полного прояснения схемы сети и того, как эти изменения повлияют на ее производительность.

Noise Profile и другие параметры RF можно настроить вручную в разделе 802.11 AP Interfaces > Performance Profile.

Вопрос. Нельзя установить порт 2 в качестве резервного для интерфейса AP-менеджера. Возвращается сообщение об ошибке "Could not set port configuration". Можно установить порт 2 в качестве резервного для интерфейса управления. Текущий активный порт для обоих интерфейсов - 1. Почему?

Ответ. У AP-менеджера нет резервного порта. Он поддерживался в более ранних версиях. Начиная с версии 4.0 и в более поздних резервный порт для интерфейса AP-менеджера не поддерживается. Как правило, на каждом порте должен быть настроен один AP-менеджер (без резервов). При использовании LAG есть только один AP-менеджер.

Статический (или постоянный) интерфейс AP-менеджера должен быть назначен порту 1 системы распространения и иметь уникальный IP-адрес. Его нельзя сопоставить резервному порту. Он обычно настраивается в той же VLAN или IP-подсети, что и интерфейс управления, но это не обязательное требование.

Вопрос. Появляется следующее сообщение об ошибке: "The AP '00:0b:85:67:6b:b0' received a WPA MIC error on protocol '1' from Station '00:13:02:8d:f6:41'. Counter measures have been activated and traffic has been suspended for 60 seconds". Почему?

Ответ. Функция проверки целостности сообщений (MIC), встроенная в WPA, включает счетчик кадров, который предотвращает атаки man-in-the-middle. Эта ошибка означает, что кто-то в сети пытается повторить сообщение, которое было послано исходным клиентом, или это может означать, что клиент неисправен. Если клиент повторно не проходит проверку MIC, контроллер отключает WLAN на 60 секунд, согласно требованиям протокола WPA. Это предотвращает возможную атаку на схему шифрования. Эти ошибки MIC нельзя отключить на контроллерах.

Вопрос. В журналах контроллера появляется следующее сообщение об ошибке: [ERROR] dhcp_support.c 357: dhcp_bind(): servPort dhcpstate failed. Почему?

Ответ. Эти сообщения об ошибках в основном появляются, когда в порте служб контроллера включен DHCP, но порт не получает IP-адрес из DHCP-сервера.

По умолчанию физический интерфейс порта служб имеет установленного клиента DHCP и ищет адрес через DHCP. WLC пытается запросить адрес DHCP для порта служб. Если DHCP-сервер недоступен, то запрос DHCP для порта служб получает отказ. Таким образом, генерируется сообщение об ошибке.

Обходной путь - настроить статический IP-адрес для порта служб (даже если этот порт отсоединен) или иметь сервер DHCP, который может назначить IP-адрес порту служб. Затем при необходимости перезагрузите контроллер.

Порт служб, в принципе, зарезервирован для внеполосного управления и восстановления системы, а также обслуживания в случае отказа сети. Это также единственный порт, который остается активным, когда контроллер находится в режиме перезагрузки. Порт служб не поддерживает метки 802.1Q. Таким образом, он должен быть подключен к порту доступа на соседском коммутаторе. Использование порта служб необязательно.

Интерфейс порта служб управляет коммуникациями и статически сопоставляется системой порту служб. Он должен иметь IP-адрес в подсети, отличной от подсетей управления, AP-менеджера и любого динамического интерфейса. Кроме того, его нельзя сопоставить резервному порту. Порт служб может использовать DHCP, чтобы получить IP-адрес, или ему может быть назначен статический IP-адрес, но интерфейсу порта служб не может быть назначен шлюз по умолчанию. Статические маршруты для удаленного доступа сети к порту служб могут быть определены через контроллер.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 69561