본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
이 문서에서는 설계에 대한 가장 자주 묻는 질문(FAQ) 및 WLC(Wireless LAN Controller)에서 사용 가능한 기능에 대한 정보를 제공합니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.
A. WLC가 연결되는 스위치 포트를 IEEE 802.1Q 트렁크 포트로 구성합니다.스위치에서 필요한 VLAN만 허용되는지 확인합니다.일반적으로 WLC의 관리 및 AP-Manager 인터페이스는 태그가 지정되지 않은 상태로 유지됩니다.즉, 연결된 스위치의 네이티브 VLAN을 가정합니다.이것은 필요하지 않습니다.이러한 인터페이스에 별도의 VLAN을 할당할 수 있습니다.자세한 내용은 Wireless LAN Controller 및 Lightweight Access Point Basic Configuration Example의 WLC에 대한 스위치 구성 섹션을 참조하십시오.
A. AP가 WLC에 조인할 때 두 디바이스 간에 CAPWAP(Control and Provisioning of Wireless Access Points) 터널이 형성됩니다.모든 클라이언트 트래픽을 포함하는 모든 트래픽은 CAPWAP 터널을 통해 전송됩니다.
유일한 예외는 AP가 하이브리드 REAP 모드에 있을 때입니다.하이브리드 REAP 액세스 포인트는 클라이언트 데이터 트래픽을 로컬로 전환하고 컨트롤러에 대한 연결이 끊어질 때 클라이언트 인증을 로컬로 수행할 수 있습니다.컨트롤러가 컨트롤러에 연결되면 컨트롤러로 트래픽을 다시 전송할 수도 있습니다.
A. 예, AP에서 WAN을 통해 WLC를 가질 수 있습니다.LDAP가 REAP(Remote Edge AP) 또는 H-REAP(Hybrid Remote Edge AP) 모드에서 구성된 경우 LWAPP/CAPWAP는 WAN을 통해 작동합니다.이러한 모드 중 하나를 사용하면 WAN 링크를 통해 연결된 원격 컨트롤러에 의한 AP를 제어할 수 있습니다.트래픽은 LAN 링크에 로컬로 브리지되므로 WAN 링크를 통해 불필요하게 로컬 트래픽을 전송할 필요가 없습니다.이는 무선 네트워크에서 WLC를 사용할 때의 가장 큰 장점 중 하나입니다.
참고: 일부 Lightweight AP는 이러한 모드를 지원하지 않습니다.예를 들어 H-REAP 모드는 1131, 1140,1242, 1250 및 AP801 LAP에서만 지원됩니다.REAP 모드는 1030 AP에서만 지원되지만 1010 및 1020 AP는 REAP를 지원하지 않습니다.이러한 모드를 구현하기 전에 LAP에서 지원하는지 확인하십시오.LWAPP로 변환된 Cisco IOS® 소프트웨어 AP(자동 AP)는 REAP을 지원하지 않습니다.
A. REAP 모드에서 인증 트래픽을 포함한 모든 제어 및 관리 트래픽이 WLC로 다시 터널링됩니다.그러나 모든 데이터 트래픽은 원격 사무실 LAN 내에서 로컬로 스위칭됩니다.WLC에 대한 연결이 끊기면 첫 번째 WLAN(WLAN1)을 제외한 모든 WLAN이 종료됩니다. 현재 이 WLAN에 연결된 모든 클라이언트가 보존됩니다.새 클라이언트가 다운타임에 이 WLAN에서 성공적으로 인증하고 서비스를 받을 수 있도록 하려면 이 WLAN에 대한 인증 방법을 WEP 또는 WPA-PSK로 구성하여 인증이 REAP에서 로컬로 수행되도록 합니다.REAP 구축에 대한 자세한 내용은 지사의 REAP 구축 가이드를 참조하십시오.
H-REAP 모드에서 액세스 포인트는 인증 트래픽을 포함하는 제어 및 관리 트래픽을 다시 WLC로 터널링합니다.WLAN이 H-REAP 로컬 스위칭으로 구성되거나 데이터 트래픽이 WLC로 다시 전송될 경우 WLAN의 데이터 트래픽이 원격 사무실에서 로컬로 브리지됩니다.WLC 연결이 끊기면 H-REAP 로컬 스위칭으로 구성된 처음 8개의 WLAN을 제외하고 모든 WLAN이 종료됩니다.이 WLAN에 현재 연결된 모든 클라이언트가 보존됩니다.새 클라이언트가 다운타임 내에서 이러한 WLAN에 대해 성공적으로 인증하고 서비스를 받을 수 있도록 하려면 이 WLAN에 대한 인증 방법을 WEP, WPA PSK 또는 WPA2 PSK로 구성하여 인증이 H-REAP에서 로컬로 이루어지도록 합니다.
H-REAP에 대한 자세한 내용은 H-REAP Design and Deployment Guide를 참조하십시오.
A. REAP는 IEEE 802.1Q VLAN 태깅을 지원하지 않습니다.따라서 여러 VLAN을 지원하지 않습니다.모든 SSID(Service Set Identifier)의 트래픽이 동일한 서브넷에서 종료되지만 H-REAP는 IEEE 802.1Q VLAN 태깅을 지원합니다.각 SSID의 트래픽을 고유한 VLAN으로 분할할 수 있습니다.
WLC에 대한 연결이 끊어진 경우, 즉 독립형 모드에서는 REAP가 WLAN(즉, 첫 번째 WLAN)을 하나만 제공합니다.다른 모든 WLAN은 비활성화됩니다.H-REAP에서는 다운타임 내에서 최대 8개의 WLAN이 지원됩니다.
또 다른 큰 차이점은 REAP 모드에서는 데이터 트래픽만 로컬로만 브리지될 수 있다는 것입니다.중앙 사무실로 다시 전환할 수는 없지만, H-REAP 모드에서는 트래픽을 중앙 사무실로 다시 전환할 수 있습니다.H-REAP 로컬 스위칭으로 구성된 WLAN의 트래픽은 로컬로 스위칭됩니다.다른 WLAN의 데이터 트래픽이 다시 중앙 사무실로 전환됩니다.
REAP에 대한 자세한 내용은 Remote-Edge AP (REAP) with Lightweight APs and Wireless LAN Controller (WLCs) Configuration Example을 참조하십시오.
H-REAP에 대한 자세한 내용은 하이브리드 REAP 구성을 참조하십시오.
A. 소프트웨어 버전 5.2.157.0부터 WLC는 경량형 액세스 포인트에 대해 최대 512개의 WLAN을 제어할 수 있습니다.각 WLAN에는 별도의 WLAN ID(1~512), 별도의 프로파일 이름 및 WLAN SSID가 있으며 고유한 보안 정책을 할당할 수 있습니다.컨트롤러는 연결된 각 액세스 포인트에 최대 16개의 WLAN을 게시하지만, 컨트롤러에 최대 512개의 WLAN을 생성한 다음 이러한 WLAN을 여러 액세스 포인트에 선택적으로 게시하여 무선 네트워크를 보다 효율적으로 관리할 수 있습니다.
참고: Cisco 2106, 2112 및 2125 컨트롤러는 최대 16개의 WLAN만 지원합니다.
참고: WLC에서 WLAN을 구성하는 지침에 대한 자세한 내용은 Cisco Wireless LAN Controller 컨피그레이션 가이드, 릴리스 7.0.116.0의 Creating WLANs 섹션을 참조하십시오.
A. WLC에서 VLAN은 고유한 IP 서브넷에 구성된 인터페이스에 연결됩니다.이 인터페이스는 WLAN에 매핑됩니다.그런 다음 이 WLAN에 연결된 클라이언트는 인터페이스의 VLAN에 속하며 인터페이스가 속한 서브넷에서 IP 주소를 할당합니다.WLC에서 VLAN을 구성하려면 무선 LAN 컨트롤러 컨피그레이션 예의 VLAN에서 절차를 완료합니다.
A. AP는 관리 인터페이스 VLAN으로 패킷을 태그하지 않습니다.AP는 LWAPP(Lightweight AP Protocol)/CAPWAP에서 클라이언트의 패킷을 캡슐화한 다음 패킷을 WLC에 전달합니다.그런 다음 WLC는 LWAPP/CAPWAP 헤더를 제거하고 적절한 VLAN 태그로 패킷을 게이트웨이에 전달합니다.VLAN 태그는 클라이언트가 속한 WLAN에 따라 달라집니다.WLC는 게이트웨이에 따라 패킷을 대상에 라우팅합니다.여러 VLAN에 대한 트래픽을 전달하려면 업링크 스위치를 트렁크 포트로 구성해야 합니다.이 다이어그램은 VLAN이 컨트롤러에서 작동하는 방식을 설명합니다.
![]()
A. WLC는 AAA 서버를 포함하는 모든 인증 메커니즘(레이어 2 또는 레이어 3)에 관리 인터페이스의 IP 주소를 사용합니다.WLC의 포트 및 인터페이스에 대한 자세한 내용은 Cisco Wireless LAN Controller 컨피그레이션 가이드, 릴리스 7.0.116.0의 포트 및 인터페이스 구성 섹션을 참조하십시오.
A. LWAPP/CAPWAP는 동적 이중화 및 로드 밸런싱을 지원합니다.예를 들어 옵션 43에 대해 둘 이상의 IP 주소를 지정하면 LAP는 AP가 수신하는 각 IP 주소로 LWAPP/CAPWAP 검색 요청을 보냅니다.WLC LWAPP/CAPWAP 검색 응답에서 WLC는 다음 정보를 포함합니다.
현재 LAP 로드에 대한 정보. LAP의 수로 정의되며, 이 값은 해당 시점에 WLC에 조인됩니다.
LAP 용량
WLC에 연결된 무선 클라이언트 수
그런 다음 LAP는 가장 적게 로드된 WLC에 가입하려고 시도합니다. WLC는 사용 가능한 LAP 용량이 가장 큰 WLC입니다.또한 LAP가 WLC에 가입하면 LAP는 모빌리티 그룹에 있는 다른 WLC의 IP 주소를 조인된 WLC에서 학습합니다.
LAP가 WLC에 가입하면 다음에 재부팅할 때 LAP를 특정 WLC에 조인하도록 할 수 있습니다.이렇게 하려면 LAP에 대해 기본, 보조 및 3차 WLC를 할당합니다.LAP가 재부팅되면 기본 WLC를 찾아 해당 WLC의 로드와 상관없이 해당 WLC에 조인합니다.기본 WLC가 응답하지 않으면 보조 WLC를 찾고 응답이 없으면 3차 WLC를 찾습니다.LAP에 대한 기본 WLC를 구성하는 방법에 대한 자세한 내용은 Lightweight Access Points Configuration Example(WLAN 액세스 포인트에 대한 WLAN Controller Failover)의 Lightweight AP에 대해 Assign Primary, Secondary, Tertiary Controllers(기본, 보조 및 3차 컨트롤러 할당) 섹션을 참조하십시오.
A. 이러한 하드웨어 기능은 2100 Series 컨트롤러에서 지원되지 않습니다.
서비스 포트(별도의 대역 외 관리 10/100Mb/s 이더넷 인터페이스)
다음 소프트웨어 기능은 2100 Series 컨트롤러에서 지원되지 않습니다.
VPN 종료(예: IPsec 및 L2TP)
게스트 컨트롤러 터널의 종료(게스트 컨트롤러 터널의 초기화가 지원됨)
외부 웹 인증 웹 서버 목록
레이어 2 LWAPP
스패닝 트리
포트 미러링
크렌사이트
포트리스
AppleTalk
사용자별 QoS 대역폭 계약
IPv6 통과
링크 집계(LAG)
멀티캐스트 유니캐스트 모드
유선 게스트 액세스
A. 다음 소프트웨어 기능은 5500 Series 컨트롤러에서 지원되지 않습니다.
고정 AP 관리자 인터페이스
참고: 5500 Series 컨트롤러의 경우 AP-Manager 인터페이스를 구성할 필요가 없습니다.관리 인터페이스는 기본적으로 AP 관리자 인터페이스 역할을 하며, 액세스 포인트는 이 인터페이스에서 조인할 수 있습니다.
비대칭 모빌리티 터널링
STP(Spanning Tree Protocol)
포트 미러링
레이어 2 ACL(Access Control List) 지원
VPN 종료(예: IPSec 및 L2TP)
VPN 통과 옵션
802.3 브리징, AppleTalk 및 PPPoE(Point-to-Point Protocol over Ethernet) 구성
A. 이러한 컨트롤러 기능은 메시 네트워크에서 지원되지 않습니다.
복수 국가 지원
로드 기반 CAC(메시 네트워크는 대역폭 기반 또는 고정 CAC만 지원)
고가용성(빠른 하트비트 및 기본 검색 조인 타이머)
EAP-FASTv1 및 802.1X 인증
액세스 포인트 조인 우선 순위(메시 액세스 포인트의 우선 순위는 고정되어 있습니다.)
로컬에서 중요한 인증서
위치 기반 서비스
A. WLC에서 마이크의 유효기간은 10년입니다.경량 AP의 생성 후 인증서에 동일한 유효 기간(MIC인지 SSC(Self-Signed Certificate)인지 여부)이 10년 동안 적용됩니다.
A. 예, WLC1에 장애가 발생한 경우 LAP가 WLC1에서 등록을 취소하고 재부팅한 다음 WLC2에 다시 등록합니다.LAP가 리부팅되므로 연결된 WLAN 클라이언트는 리부팅하는 LAP에 대한 연결이 끊어집니다.관련 정보는 Unified Wireless Networks의 AP 로드 밸런싱 및 AP 폴백을 참조하십시오.
A. 컨트롤러의 모빌리티 그룹화가 올바르게 구성된 경우 클라이언트 로밍이 제대로 작동해야 합니다.로밍은 LWAPP 모드(레이어 2 또는 레이어 3)의 영향을 받지 않습니다. 그러나 가능하면 레이어 3 LWAPP를 사용하는 것이 좋습니다.
참고: 레이어 2 모드는 Cisco 410x 및 440x Series WLC 및 Cisco 1000 Series 액세스 포인트에서만 지원됩니다.레이어 2 LWAPP는 다른 무선 LAN 컨트롤러 및 경량 액세스 포인트 플랫폼에서 지원되지 않습니다.
A. 클라이언트가 새 AP로 로밍할 때 발생하는 이벤트의 시퀀스입니다.
클라이언트는 LAP를 통해 WLC에 재연결 요청을 보냅니다.
WLC는 모빌리티 그룹의 다른 WLC에 모빌리티 메시지를 보내 클라이언트가 이전에 연결된 WLC를 확인합니다.
원본 WLC는 모빌리티 메시지를 통해 클라이언트에 대한 MAC 주소, IP 주소, QoS, 보안 컨텍스트 등의 정보로 응답합니다.
WLC는 제공된 클라이언트 세부 정보로 데이터베이스를 업데이트합니다.필요한 경우 클라이언트가 재인증 프로세스를 거칩니다.클라이언트가 현재 연결되어 있는 새 LAP도 WLC 데이터베이스의 다른 세부 정보와 함께 업데이트됩니다.이렇게 하면 클라이언트 IP 주소가 WLC 간 로밍에 유지되므로 원활한 로밍이 가능합니다.
통합 환경의 로밍에 대한 자세한 내용은 Cisco Wireless LAN Controller 컨피그레이션 가이드, 릴리스 7.0.116.0의 Configuring Mobility Groups(모빌리티 그룹 구성) 섹션을 참조하십시오.
참고: 무선 클라이언트는 재연결 중에 (802.11) 인증 요청을 보내지 않습니다.무선 클라이언트가 바로 재연결을 보냅니다.그런 다음 802.1x 인증을 거칩니다.
A. 다음 포트를 활성화해야 합니다.
LWAPP 트래픽에 대해 다음 UDP 포트를 활성화합니다.
데이터 - 1222
제어 - 12223
CAPWAP 트래픽에 대해 다음 UDP 포트를 활성화합니다.
데이터 - 5247
제어 - 5246
모빌리티 트래픽을 위해 다음 UDP 포트를 활성화합니다.
16666 - 보안 모드
16667 - 비보안 모드
모빌리티와 데이터 메시지는 일반적으로 EtherIP 패킷을 통해 교환됩니다.EtherIP 패킷을 허용하려면 방화벽에서 IP 프로토콜 97을 허용해야 합니다.ESP를 사용하여 모빌리티 패킷을 캡슐화하는 경우 UDP 포트 500을 열 때 ISAKMP를 방화벽을 통과하도록 허용해야 합니다. 또한 IP 프로토콜 50을 열어 암호화된 데이터가 방화벽을 통과하도록 허용해야 합니다.
이러한 포트는 선택 사항입니다(요구 사항에 따라 다름).
SNMP용 TCP 161 및 162(WCS[Wireless Control System])
TFTP용 UDP 69
HTTP 또는 HTTPS용 TCP 80 및/또는 443(GUI 액세스용)
CLI 액세스를 위한 텔넷 또는 SSH(Secure Shell)용 TCP 23 및/또는 22
A. 무선 LAN 컨트롤러는 SSHv2만 지원합니다.
A. RARP(Reverse Address Resolution Protocol)는 이더넷 주소와 같은 지정된 링크 레이어 주소의 IP 주소를 얻는 데 사용되는 링크 레이어 프로토콜입니다.RARP는 펌웨어 버전 4.0.217.0 이상의 WLC에서 지원됩니다.RARP는 이전 버전에서 지원되지 않습니다.
A. 컨트롤러에 내부 DHCP 서버가 포함되어 있습니다.이 서버는 일반적으로 DHCP 서버가 없는 지사에서 사용됩니다.DHCP 서비스에 액세스하려면 WLC GUI에서 Controller 메뉴를 클릭합니다.그런 다음 페이지 왼쪽에서 Internal DHCP Server 옵션을 클릭합니다.WLC에서 DHCP 범위를 구성하는 방법에 대한 자세한 내용은 Cisco Wireless LAN Controller 컨피그레이션 가이드, 릴리스 7.0.116.0의 DHCP 구성 섹션을 참조하십시오.
내부 서버는 무선 클라이언트, LAP, 관리 인터페이스의 어플라이언스 모드 AP 및 LAP에서 릴레이되는 DHCP 요청에 DHCP 주소를 제공합니다.WLC는 유선 네트워크의 업스트림에 주소를 제공하지 않습니다.DHCP 옵션 43은 내부 서버에서 지원되지 않으므로 AP는 컨트롤러의 관리 인터페이스 IP 주소(예: 로컬 서브넷 브로드캐스트, DNS, Priming 또는 Over-the-air 검색)를 찾는 대체 방법을 사용해야 합니다.
참고: 4.0 이전 WLC 펌웨어 버전은 LDAP가 WLC에 직접 연결되어 있지 않으면 LAP에 대한 DHCP 서비스를 지원하지 않습니다.내부 DHCP 서버 기능은 무선 LAN 네트워크에 연결하는 클라이언트에 IP 주소를 제공하는 데만 사용되었습니다.
A. DHCP Required는 WLAN에 대해 활성화할 수 있는 옵션입니다.특정 WLAN에 연결된 모든 클라이언트가 DHCP를 통해 IP 주소를 얻어야 합니다.고정 IP 주소가 있는 클라이언트는 WLAN에 연결할 수 없습니다.이 옵션은 WLAN의 Advanced(고급) 탭에 있습니다.WLC는 WLC의 MSCB 테이블에 해당 IP 주소가 있는 경우에만 클라이언트에서 주고받는 트래픽을 허용합니다.WLC는 DHCP 요청 또는 DHCP 갱신 중에 클라이언트의 IP 주소를 기록합니다.이렇게 하려면 클라이언트가 WLC에 다시 연결할 때마다 IP 주소를 다시 업데이트해야 합니다. 클라이언트가 로밍 프로세스 또는 세션 시간 제한의 일부로 연결을 해제할 때마다 MSCB 테이블에서 해당 항목이 지워지기 때문입니다.클라이언트는 다시 WLC를 재인증하고 다시 연결해야 하며, 이 경우 테이블에 클라이언트 항목이 다시 생성됩니다.
A. 초기 클라이언트 연결 중에 AP 또는 WLC는 무선 클라이언트가 802.1x 인증을 통과한 후 쌍-와이즈 마스터 키(PMK)를 협상합니다.WLC 또는 WDS AP는 각 클라이언트에 대해 PMK를 캐시합니다.무선 클라이언트가 다시 연결하거나 로밍하면 802.1x 인증을 건너뛰고 PMK를 즉시 검증합니다.
CCKM에서 WLC의 유일한 특수 구현은 WLC가 UDP 16666과 같은 모빌리티 패킷을 통해 클라이언트 PMK를 교환한다는 것입니다.
A. Cisco Wireless 제품은 속도와 양방향을 모두 자동으로 협상할 때 가장 잘 작동하지만, WLC 및 LAP에서 듀플렉스 설정을 설정할 수 있습니다.AP 속도/듀플렉스 설정을 설정하려면 컨트롤러의 LAP에 대한 듀플렉스 설정을 구성한 다음 LAP에 푸시합니다.
configure ap ethernet duplex <auto/half/full> speed <auto/10/100/1000> <all/Cisco AP Name>은 CLI를 통해 듀플렉스 설정을 설정하는 명령입니다.이 명령은 버전 4.1 이상에서만 지원됩니다.
WLC 물리적 인터페이스에 대한 듀플렉스 설정을 설정하려면 config port physicalmode {all | 포트} {100h | 100f | 10시간 | 10f} 명령
이 명령은 전용 10Mbps 또는 100Mbps, 반이중 또는 전이중 작업에 대해 지정된 전면 패널 10/100BASE-T 이더넷 포트 또는 모든 포트를 설정합니다.포트에서 물리적 모드를 수동으로 구성하기 전에 config port autoneg disable 명령을 사용하여 autonegotiation을 비활성화해야 합니다.또한 config port autoneg 명령은 config port physicalmode 명령으로 설정된 설정을 재정의합니다.기본적으로 모든 포트는 자동 협상으로 설정됩니다.
참고: 파이버 포트의 속도 설정을 변경할 방법이 없습니다.
A. AP가 완전히 다운되어 컨트롤러에 등록되지 않은 경우 컨트롤러를 통해 LAP를 추적할 수 없습니다.남아 있는 유일한 방법은 이러한 AP가 연결된 스위치에 액세스할 수 있으며, 이 명령을 사용하여 연결된 스위치 포트를 찾을 수 있다는 것입니다.
show mac-address-table address
그러면 이 AP가 연결된 스위치의 포트 번호가 표시됩니다.그런 다음 다음 다음 명령을 실행합니다.
show cdp nei
detail 이 명령의 출력은 LAP 이름도 제공합니다.그러나 이 방법은 AP의 전원이 켜지고 스위치에 연결된 경우에만 가능합니다.
A. 로컬 사용자 데이터베이스는 Security > General 페이지에서 최대 2,048개의 항목으로 제한됩니다.이 데이터베이스는 로컬 관리 사용자(로비 앰버서더 포함), net 사용자(게스트 사용자 포함), MAC 필터 항목, 액세스 포인트 권한 부여 목록 항목 및 제외 목록 항목에 의해 공유됩니다.이러한 사용자 유형은 모두 구성된 데이터베이스 크기를 초과할 수 없습니다.
로컬 데이터베이스를 늘리려면 CLI에서 다음 명령을 사용합니다.
<Cisco Controller>config database size ? <count> Enter the maximum number of entries (512-2048)참고: 컨피그레이션을 저장하고 시스템을 재설정해야 합니다(reset system 명령 사용).
![]()
A. WLC를 사용하면 강력한 비밀번호 정책을 정의할 수 있습니다.이 작업은 CLI 또는 GUI를 사용하여 수행할 수 있습니다.
GUI에서 Security(보안) > AAA > Password Policies(비밀번호 정책)로 이동합니다.이 페이지에는 강력한 비밀번호를 적용하기 위해 선택할 수 있는 일련의 옵션이 있습니다.예를 들면 다음과 같습니다.
![]()
WLC CLI에서 이를 수행하려면 config switchconfig strong-pwd {case-check를 사용합니다. | 연속 검사 | default-check | username-check | all-check}{사용 | disable} 명령:
case-check - 동일한 문자가 3번 연속으로 발생하는지 확인합니다.
consecutive-check - 기본값 또는 해당 변형이 사용되고 있는지 확인합니다.
default-check - 사용자 이름 또는 그 역가 사용되고 있는지 확인합니다.
all-checks - 모든 강력한 비밀번호 검사를 활성화/비활성화합니다.
A. 패시브 클라이언트는 고정 IP 주소로 구성된 스케일 및 프린터와 같은 무선 디바이스입니다.이러한 클라이언트는 액세스 포인트에 연결할 때 IP 주소, 서브넷 마스크, 게이트웨이 정보 등의 IP 정보를 전송하지 않습니다.따라서 패시브 클라이언트가 사용될 때 컨트롤러는 DHCP를 사용하지 않는 한 IP 주소를 알지 못합니다.
WLC는 현재 ARP 요청에 대한 프록시 역할을 합니다.ARP 요청을 받으면 컨트롤러는 요청을 클라이언트에 직접 전달하는 대신 ARP 응답으로 응답합니다.이 시나리오의 두 가지 이점은 다음과 같습니다.
ARP 요청을 클라이언트로 보내는 업스트림 디바이스는 클라이언트의 위치를 알지 못합니다.
모든 ARP 요청에 응답하지 않아도 되므로 휴대폰과 프린터 같은 배터리 작동 디바이스의 전원은 유지됩니다.
무선 컨트롤러에는 패시브 클라이언트에 대한 IP 관련 정보가 없으므로 ARP 요청에 응답할 수 없습니다.현재 동작은 수동 클라이언트로 ARP 요청을 전송하는 것을 허용하지 않습니다.패시브 클라이언트에 액세스하려는 모든 애플리케이션은 실패합니다.
패시브 클라이언트 기능을 사용하면 유무선 클라이언트 간에 ARP 요청 및 응답을 교환할 수 있습니다.이 기능을 활성화하면 컨트롤러가 유선 클라이언트에서 무선 클라이언트로 ARP 요청을 전달하여 원하는 무선 클라이언트가 RUN 상태가 될 때까지 이를 허용합니다.
패시브 클라이언트 기능을 구성하는 방법에 대한 자세한 내용은 Cisco Wireless LAN Controller 컨피그레이션 가이드, 릴리스 7.0.116.0에서 GUI를 사용하여 패시브 클라이언트 구성의 섹션을 참조하십시오.
A. WLC의 세션 시간 초과 매개변수를 사용하여 이를 수행할 수 있습니다.기본적으로 세션 시간 초과 매개변수는 재인증이 발생하기 1800초 동안 구성됩니다.
3분 후에 클라이언트를 재인증하려면 이 값을 180초로 변경합니다.
세션 시간 초과 매개변수에 액세스하려면 GUI에서 WLANs 메뉴를 클릭합니다.WLC에 구성된 WLAN 목록이 표시됩니다.클라이언트가 속한 WLAN을 클릭합니다.Advanced 탭으로 이동하여 Enable Session Timeout 매개변수를 찾습니다.기본값을 180으로 변경하고 적용을 클릭하여 변경 사항을 적용합니다.
Access-Accept에서 RADIUS-Request의 Termination-Action 값과 함께 전송될 경우 Session-Timeout 특성은 재인증 전에 제공된 최대 서비스 시간(초)을 지정합니다.이 경우 Session-Timeout 특성은 802.1X의 Reauthentication Timer 상태 시스템 내에서 ReAuthPeriod 상수를 로드하는 데 사용됩니다.
A. 아니요, WLC 4400은 EoIP 터널을 통해 유선 측에서 무선 클라이언트로 IP 서브넷 브로드캐스트를 전달하지 않습니다.이 기능은 지원되지 않습니다.Cisco는 게스트 액세스 토폴로지에서 서브넷 브로드캐스트 또는 멀티캐스트의 터널링을 지원하지 않습니다.게스트 WLAN은 클라이언트 POS를 네트워크의 매우 특정 위치(주로 방화벽 외부)로 강제하므로 서브넷 브로드캐스트 터널링은 보안 문제가 될 수 있습니다.
A. Cisco UWN(Unified Wireless Network) 솔루션 WLAN은 4가지 수준의 QoS를 지원합니다.
플래티넘/음성
골드/비디오
실버/최선형(기본값)
브론즈/배경
Platinum QoS를 사용하도록 음성 트래픽 WLAN을 구성하고, Bronze QoS를 사용하도록 저대역폭 WLAN을 할당하고, 다른 QoS 레벨 간에 다른 모든 트래픽을 할당할 수 있습니다.자세한 내용은 WLAN에 QoS 프로필 할당을 참조하십시오.
A. 아니요. WLC는 Cisco WGB 제품만 지원합니다.Linksys WGB는 지원되지 않습니다.Cisco Wireless Unified Solution은 Linksys WET54G 및 WET11B 이더넷 브리지를 지원하지 않지만 다음 지침을 사용하는 경우 무선 통합 솔루션 컨피그레이션에서 이러한 디바이스를 사용할 수 있습니다.
WET54G 또는 WET11B에 디바이스를 하나만 연결합니다.
WET54G 또는 WET11B에서 MAC 복제 기능을 활성화하여 연결된 디바이스를 복제합니다.
WET54G 또는 WET11B에 연결된 장치에 최신 드라이버 및 펌웨어를 설치합니다.이전 펌웨어 버전에서는 DHCP에 문제가 발생하므로 이 지침은 JetDirect 프린터에 특히 중요합니다.
참고: 다른 서드파티 브리지는 지원되지 않습니다.언급된 단계는 다른 서드파티 브리지에 대해서도 시도될 수 있습니다.
A. WLC에는 두 가지 종류의 메모리가 포함되어 있습니다.
Volatile RAM - 현재 활성 컨트롤러 컨피그레이션을 유지합니다.
비휘발성 RAM(NVRAM) - 재부팅 컨피그레이션을 유지합니다.
WLC에서 운영 체제를 구성할 때 휘발성 RAM을 수정합니다.현재 컨피그레이션에서 WLC가 재부팅되도록 하려면 휘발성 RAM의 컨피그레이션을 NVRAM에 저장해야 합니다.
다음 작업을 수행할 때 수정할 메모리를 알고 있어야 합니다.
구성 마법사를 사용합니다.
컨트롤러 컨피그레이션을 지웁니다.
구성을 저장합니다.
컨트롤러를 재설정합니다.
CLI에서 로그아웃합니다.
A. WLC에는 별도의 EAP 유형 설정이 없습니다.LEAP(Light EAP), EAP-FAST(Secure Tunneling)를 통한 EAP Flexible Authentication via Secure Tunneling) 또는 Microsoft Protected EAP(MS-PEAP)의 경우 IEEE 802.1x 또는 WPA(Wi-Fi Protected Access)를 구성합니다(WPA와 함께 802.1x를 사용하는 경우). RADIUS 백엔드에서 및 클라이언트에서 지원되는 모든 EAP 유형은 802.1x 태그를 통해 지원됩니다.클라이언트 및 RADIUS 서버의 EAP 설정이 일치해야 합니다.
WLC의 GUI를 통해 EAP를 활성화하려면 다음 단계를 완료합니다.
- WLC GUI에서 WLANs를 클릭합니다.
- WLC에 구성된 WLAN 목록이 나타납니다.WLAN을 클릭합니다.
- WLANs(WLANs) > Edit(편집)에서 Security(보안) 탭을 클릭합니다.
- 레이어 2를 클릭하고 레이어 2 보안을 802.1x 또는 WPA+WPA2로 선택합니다. 동일한 창에서 사용할 수 있는 802.1x 매개 변수를 구성할 수도 있습니다.그런 다음 WLC는 무선 클라이언트와 인증 서버 간에 EAP 인증 패킷을 전달합니다.
- AAA 서버를 클릭하고 이 WLAN의 드롭다운 메뉴에서 인증 서버를 선택합니다.인증 서버가 이미 전역으로 구성되어 있다고 가정합니다.CLI(Command Line Interface)를 통해 WLC에서 EAP 옵션을 활성화하는 방법에 대한 자세한 내용은 Cisco Wireless LAN Controller 컨피그레이션 가이드, 릴리스 7.0.116.0의 CLI를 사용하여 RADIUS 구성 섹션을 참조하십시오.
A. 빠른 SSID 변경: 클라이언트가 SSID 간에 이동할 수 있습니다.클라이언트가 다른 SSID에 대한 새 연결을 전송하면 클라이언트가 새 SSID에 추가되기 전에 컨트롤러 연결 테이블의 클라이언트 항목이 지워집니다.Fast SSID Changing(고속 SSID 변경)이 비활성화되면 컨트롤러가 새 SSID로 클라이언트가 이동하도록 허용되기 전에 지연을 적용합니다.빠른 SSID 변경을 활성화하는 방법에 대한 자세한 내용은 Cisco Wireless LAN Controller 컨피그레이션 가이드, 릴리스 7.0.116.0의 Configuring Fast SSID Changing(빠른 SSID 변경 구성) 섹션을 참조하십시오.
A. WLAN에 연결할 수 있는 클라이언트 수 제한을 설정할 수 있습니다. 이는 컨트롤러에 연결할 수 있는 클라이언트 수가 제한된 경우에 유용합니다.WLAN당 구성할 수 있는 클라이언트 수는 사용 중인 플랫폼에 따라 달라집니다.
Cisco Wireless LAN Controller 컨피그레이션 가이드, 릴리스 7.0.116.0의 WLAN당 클라이언트 제한에 대한 자세한 내용은 Wireless LAN Controller의 Configuring the Maximum Number of Clients per WLAN(WLAN당 최대 클라이언트 수 구성) 섹션을 참조하십시오.
A. PKC는 Proactive Key Caching을 의미합니다.802.11i IEEE 표준에 대한 확장으로 설계되었습니다.
PKC는 Cisco 2006/410x/440x Series Controller에서 활성화되는 기능으로, AAA 서버를 사용하여 전체 재인증 없이 제대로 설치된 무선 클라이언트가 로밍할 수 있습니다.PKC를 이해하려면 먼저 키 캐싱을 이해해야 합니다.
키 캐싱은 WPA2에 추가된 기능입니다. 이를 통해 모바일 스테이션은 액세스 포인트(AP)를 사용한 성공적인 인증을 통해 마스터 키(PMK[Pairwise Master Key])를 캐시하고 나중에 동일한 AP와 다시 연결할 수 있습니다.즉, 특정 모바일 디바이스를 특정 AP로 한 번 인증하고 나중에 사용할 수 있도록 키를 캐시해야 합니다.키 캐싱은 PMK의 해시, 문자열, 스테이션 및 AP의 MAC 주소인 PMKID(PMKID)라고 하는 메커니즘을 통해 처리됩니다.PMKID는 PMK를 고유하게 식별합니다.
키 캐싱에서도 무선 스테이션은 서비스를 받으려는 각 AP를 인증해야 합니다.이로 인해 상당한 레이턴시 및 오버헤드가 발생하여 수작업 프로세스가 지연되며 실시간 애플리케이션 지원 기능이 저하될 수 있습니다.이 문제를 해결하기 위해 PKC가 WPA2와 함께 도입되었습니다.
PKC를 사용하면 스테이션에서 성공적인 인증 프로세스를 통해 이전에 얻은 PMK를 다시 사용할 수 있습니다.따라서 로밍할 때 스테이션에서 새 AP를 인증할 필요가 없습니다.
따라서 컨트롤러 내 로밍에서 모바일 디바이스가 동일한 컨트롤러의 한 AP에서 다른 AP로 이동할 때 클라이언트는 이전에 사용한 PMK를 사용하여 PMKID를 다시 계산하고 연결 프로세스 중에 표시합니다.WLC는 PMK 캐시를 검색하여 해당 엔트리가 있는지 확인합니다.이 경우 802.1x 인증 프로세스를 건너뛰고 WPA2 키 교환을 즉시 시작합니다.그렇지 않으면 표준 802.1X 인증 프로세스를 거칩니다.
PKC는 WPA2에서 기본적으로 활성화되어 있습니다. 따라서 WLC의 WLAN 구성에서 WPA2를 레이어 2 보안으로 활성화하면 WLC에서 PKC가 활성화됩니다.또한 적절한 EAP 인증을 위해 AAA 서버 및 무선 클라이언트를 구성합니다.
PKC가 작동하려면 클라이언트 측에서 사용하는 신청자가 WPA2도 지원해야 합니다.PKC는 컨트롤러 간 로밍 환경에서도 구현할 수 있습니다.
참고: PKC는 ADU(Aironet Desktop Utility)에서 클라이언트 신청자로 작동하지 않습니다.
A. ARP 시간 제한은 네트워크에서 학습한 디바이스에 대한 WLC의 ARP 항목을 삭제하는 데 사용됩니다.
사용자 유휴 시간 제한:사용자가 User Idle Timeout(사용자 유휴 시간 제한)으로 설정된 시간 동안 LAP와 통신하지 않고 유휴 상태인 경우 WLC에서 클라이언트를 인증하지 않습니다.클라이언트는 재인증하고 WLC에 다시 연결해야 합니다.클라이언트가 LAP에 알리지 않고 관련 LAP에서 드롭아웃할 수 있는 경우에 사용됩니다.이 문제는 클라이언트에서 배터리가 중단되거나 클라이언트 연결이 끊어질 때 발생할 수 있습니다.
참고: WLC GUI에서 ARP 및 User Idle Timeout에 액세스하려면 Controller 메뉴로 이동합니다.ARP 및 User Idle Timeout 필드를 찾으려면 왼쪽에서 General을 선택합니다.
Session Timeout은 WLC와의 클라이언트 세션의 최대 시간입니다.이 시간 후에 WLC는 클라이언트를 인증하지 않고 클라이언트가 전체 인증(재인증) 프로세스를 다시 거칩니다.이는 암호화 키를 회전하기 위한 보안 예방 조치의 일부입니다.키 관리와 함께 EAP(Extensible Authentication Protocol) 방법을 사용하는 경우 새 암호화 키를 파생하기 위해 정기적으로 키 재지정이 발생합니다.키 관리가 없으면 이 시간 초과 값은 무선 클라이언트가 전체 재인증을 수행해야 하는 시간입니다.세션 시간 제한은 WLAN에 따라 다릅니다.이 매개변수는 WLANs > Edit 메뉴에서 액세스할 수 있습니다.
A. RFID(Radio Frequency Identification)는 무선 주파수 통신을 매우 짧은 통신 방법으로 사용하는 기술입니다.기본 RFID 시스템은 RFID 태그, RFID 리더 및 처리 소프트웨어로 구성됩니다.
현재 Cisco는 AeroScout 및 Pango의 RFID 태그를 지원합니다.AeroScout 태그 구성 방법에 대한 자세한 내용은 AeroScout RFID 태그의 WLC 구성을 참조하십시오.
A. 예, EAP 인증은 WLC에서 로컬로 수행할 수 있습니다.로컬 EAP는 사용자 및 무선 클라이언트가 WLC에서 로컬로 인증되도록 허용하는 인증 방법입니다.백엔드 시스템이 중단되거나 외부 인증 서버가 다운될 때 무선 클라이언트와의 연결을 유지하려는 원격 사무실에서 사용하도록 설계되었습니다.로컬 EAP를 활성화하면 WLC가 인증 서버 역할을 합니다.로컬 EAP-Fast 인증을 위해 WLC를 구성하는 방법에 대한 자세한 내용은 EAP-FAST 및 LDAP 서버 컨피그레이션을 사용하는 무선 LAN 컨트롤러의 로컬 EAP 인증 예를 참조하십시오.
A. WLAN 재정의 기능을 사용하면 WLC에 구성된 WLAN 중에서 개별 LAP에서 능동적으로 사용할 수 있는 WLAN을 선택할 수 있습니다.WLAN 재지정을 구성하려면 다음 단계를 완료합니다.
- WLC GUI에서 Wireless 메뉴를 클릭합니다.
- 왼쪽에서 Radio(무선) 옵션을 클릭하고 802.11 a/n 또는 802.11 b/g/n을 선택합니다.
- WLAN 재정의를 구성하려는 AP의 이름에 해당하는 오른쪽에 있는 드롭다운 메뉴에서 Configure(구성) 링크를 클릭합니다.
- WLAN Override 드롭다운 메뉴에서 Enable(활성화)을 선택합니다.WLAN Override(WLAN 재정의) 메뉴는 창의 왼쪽에 있는 마지막 항목입니다.
- WLC에 구성된 모든 WLAN 목록이 나타납니다.
- 이 목록에서 LAP에 표시할 WLAN을 선택하고 Apply(적용)를 클릭하여 변경 사항을 적용합니다.
- 이러한 변경 후 컨피그레이션을 저장합니다.
재정의하려는 WLAN 프로파일 및 SSID가 모든 WLC에서 구성된 경우 AP는 다른 WLC에 등록될 때 WLAN 재정의 값을 유지합니다.
참고: 컨트롤러 소프트웨어 릴리스 5.2.157.0에서 컨트롤러 GUI 및 CLI 모두에서 WLAN 재정의 기능이 제거되었습니다.컨트롤러가 WLAN 재정의용으로 구성되어 있고 컨트롤러 소프트웨어 릴리스 5.2.157.0으로 업그레이드하면 컨트롤러는 WLAN 컨피그레이션을 삭제하고 모든 WLAN을 브로드캐스트합니다.액세스 포인트 그룹을 구성하는 경우 특정 WLAN만 전송하도록 지정할 수 있습니다.각 액세스 포인트는 액세스 포인트 그룹에 속하는 활성화된 WLAN만 광고합니다.
참고: 액세스 포인트 그룹은 AP의 무선 인터페이스별로 WLAN을 전송할 수 없습니다.
A. 현재 4400 및 4100 시리즈 컨트롤러는 IPv6 클라이언트 패스스루만 지원합니다.네이티브 IPv6 지원은 지원되지 않습니다.
WLC에서 IPv6을 활성화하려면 WLAN > Edit 페이지 아래의 WLAN SSID 컨피그레이션에서 IPv6 Enable 확인란을 선택합니다.
또한 IPv6을 지원하려면 EMM(Ethernet Multicast Mode)이 필요합니다. EMM을 비활성화하면 IPv6를 사용하는 클라이언트 장치의 연결이 끊어집니다.EMM을 활성화하려면 Controller(컨트롤러) > General(일반) 페이지로 이동하고 Ethernet Multicast Mode(이더넷 멀티캐스트 모드) 드롭다운 메뉴에서 Unicast(유니캐스트) 또는 Multicast(멀티캐스트)를 선택합니다.이렇게 하면 유니캐스트 모드 또는 멀티캐스트 모드에서 멀티캐스트가 활성화됩니다.멀티캐스트가 멀티캐스트 유니캐스트로 활성화되면 각 AP에 대해 패킷이 복제됩니다.프로세서 집약적일 수 있으므로 주의하여 사용하십시오.멀티캐스트 멀티캐스트로 활성화된 멀티캐스트는 사용자가 할당한 멀티캐스트 주소를 사용하여 액세스 포인트(AP)에 더 전통적인 멀티캐스트를 수행합니다.
참고: IPv6는 2006 컨트롤러에서 지원되지 않습니다.
또한 Cisco 버그 ID CSCsg78176이 있습니다. 이 경우 AAA 오버라이드 기능을 사용할 때 IPv6 패스스루를 사용할 수 없습니다.
A. 웹 인증은 모든 Cisco WLC에서 지원됩니다.웹 인증은 단순 인증 자격 증명으로 사용자를 인증하는 데 사용되는 레이어 3 인증 방법입니다.암호화는 포함되지 않습니다.이 기능을 활성화하려면 다음 단계를 완료하십시오.
- GUI에서 WLAN 메뉴를 클릭합니다.
- WLAN을 클릭합니다.
- Security(보안) 탭으로 이동하여 Layer 3을 선택합니다.
- Web Policy(웹 정책) 상자를 선택하고 Authentication(인증)을 선택합니다.
- Apply(적용)를 클릭하여 변경 사항을 저장합니다.
- 사용자를 인증할 데이터베이스를 WLC에 생성하려면 GUI의 Security 메뉴로 이동하여 Local Net User(로컬 네트워크 사용자)를 선택하고 다음 작업을 완료합니다.
- 게스트가 로그온하기 위해 사용할 게스트 사용자 이름 및 비밀번호를 정의합니다.이 값은 대/소문자를 구분합니다.
- 사용하는 WLAN ID를 선택합니다.
참고: 자세한 컨피그레이션은 Wireless LAN Controller 웹 인증 컨피그레이션 예를 참조하십시오.
A. WLC는 활성화되면 무선 모드를 통해 관리할 수 있습니다.무선 모드를 활성화하는 방법에 대한 자세한 내용은 Cisco Wireless LAN Controller 컨피그레이션 가이드, 릴리스 7.0.116.0의 GUI 및 CLI에 무선 연결 활성화 섹션을 참조하십시오.
A. LAG는 WLC의 모든 포트를 단일 EtherChannel 인터페이스로 번들합니다.시스템은 LAG를 통해 트래픽 로드 밸런싱 및 포트 이중화를 동적으로 관리합니다.
일반적으로 WLC의 인터페이스에는 IP 주소, 기본 게이트웨이(IP 서브넷용), 기본 물리적 포트, 보조 물리적 포트, VLAN 태그 및 DHCP 서버를 포함하는 여러 매개변수가 연결되어 있습니다.LAG를 사용하지 않으면 일반적으로 각 인터페이스는 물리적 포트에 매핑되지만, 여러 인터페이스는 단일 WLC 포트에 매핑할 수도 있습니다.LAG를 사용하면 시스템은 인터페이스를 취합된 포트 채널에 동적으로 매핑합니다.이는 포트 이중화 및 로드 밸런싱에 도움이 됩니다.포트에 장애가 발생하면 인터페이스가 사용 가능한 다음 물리적 포트에 동적으로 매핑되고 LAP가 포트 간에 밸런싱됩니다.
WLC에서 LAG가 활성화되면 WLC는 수신한 동일한 포트에 데이터 프레임을 전달합니다.WLC는 네이버 스위치에 의존하여 EtherChannel에서 트래픽을 로드 밸런싱합니다.WLC는 자체적으로 EtherChannel 로드 밸런싱을 수행하지 않습니다.
A. Cisco 5500 Series 컨트롤러는 소프트웨어 릴리스 6.0 이상에서 LAG를 지원하고, Cisco 4400 Series 컨트롤러는 소프트웨어 릴리스 3.2 이상에서 LAG를 지원하며, LAG는 Cisco WiSM 및 Catalyst 3750G Integrated Wireless LAN Controller Switch 내의 컨트롤러에서 자동으로 활성화됩니다.LAG가 없으면 Cisco 4400 Series Controller의 각 배포 시스템 포트는 최대 48개의 액세스 포인트를 지원합니다.LAG가 활성화된 Cisco 4402 컨트롤러의 논리적 포트는 최대 50개의 액세스 포인트를 지원하고, Cisco 4404 컨트롤러의 논리적 포트는 최대 100개의 액세스 포인트를 지원하며, Catalyst 3750G Integrated Wireless LAN Controller Switch 및 각 Cisco WiSM 컨트롤러의 논리 포트는 최대 150개의 액세스 포인트를 지원합니다.
Cisco 2106 및 2006 WLC는 LAG를 지원하지 않습니다.Cisco 4000 Series WLC와 같은 이전 모델은 LAG를 지원하지 않습니다.
A. 자동 앵커 모빌리티(또는 게스트 WLAN 모빌리티)는 WLAN(무선 LAN)에서 로밍 클라이언트의 로드 밸런싱 및 보안을 개선하는 데 사용됩니다. 정상적인 로밍 조건에서 클라이언트 디바이스는 WLAN에 가입하고 첫 번째 컨트롤러에 고정됩니다.클라이언트가 다른 서브넷에 로밍하는 경우 클라이언트가 로밍하는 컨트롤러는 앵커 컨트롤러를 사용하여 클라이언트에 대한 외부 세션을 설정합니다.자동 앵커 모빌리티 기능을 사용하면 컨트롤러 또는 컨트롤러 집합을 WLAN의 클라이언트에 대한 앵커 포인트로 지정할 수 있습니다.
참고: 모빌리티 앵커는 레이어 3 모빌리티에 대해 구성하지 않아야 합니다.모빌리티 앵커는 게스트 터널링에만 사용됩니다.
A. Cisco 2000 Series WLC를 WLAN의 앵커로 지정할 수 없습니다.그러나 Cisco 2000 Series WLC에서 생성된 WLAN은 Cisco 4100 Series WLC와 Cisco 4400 Series WLC를 앵커로 포함할 수 있습니다.
A. 컨트롤러 소프트웨어 릴리스 4.1~5.1은 비대칭 모빌리티 터널링과 대칭 모빌리티 터널링을 모두 지원합니다.컨트롤러 소프트웨어 릴리스 5.2 이상에서는 대칭형 모빌리티 터널링만 지원하며, 이는 기본적으로 항상 활성화되어 있습니다.
비대칭 터널링에서는 유선 네트워크에 대한 클라이언트 트래픽이 외부 컨트롤러를 통해 직접 라우팅됩니다.업스트림 라우터에 RPF(reverse path filtering)가 활성화된 경우 비대칭 터널링이 중단됩니다.이 경우 RPF 검사는 소스 주소로 돌아가는 경로가 패킷이 오는 경로와 일치하는지 확인하기 때문에 라우터에서 클라이언트 트래픽이 삭제됩니다.
대칭 모빌리티 터널링이 활성화되면 모든 클라이언트 트래픽이 앵커 컨트롤러로 전송되고 RPF 검사를 성공적으로 통과할 수 있습니다.대칭 모빌리티 터널링은 다음과 같은 경우에도 유용합니다.
소스 IP 주소가 패킷이 수신되는 서브넷과 일치하지 않아 클라이언트 패킷 경로에 방화벽을 설치하면 패킷이 삭제됩니다.
앵커 컨트롤러의 액세스 포인트 그룹 VLAN이 외부 컨트롤러의 WLAN 인터페이스 VLAN과 다른 경우:이 경우 모빌리티 이벤트 중에 잘못된 VLAN에서 클라이언트 트래픽을 전송할 수 있습니다.
A. 네트워크가 다운되면 서비스 포트에서 WLC에 액세스할 수 있습니다.이 포트는 WLC의 다른 포트와 완전히 다른 서브넷에 있는 IP 주소를 할당하므로 대역 외 관리라고 합니다.자세한 내용은 Cisco Wireless LAN Controller 컨피그레이션 가이드, 릴리스 7.0.116.0의 포트 및 인터페이스 구성 섹션을 참조하십시오.
A. 예, WLAN 네트워크에 둘 이상의 WLC가 있는 경우 이중화를 위해 구성할 수 있습니다.일반적으로 LAP는 구성된 기본 WLC에 연결됩니다.기본 WLC가 실패하면 LAP가 재부팅되고 모빌리티 그룹의 다른 WLC에 조인됩니다.장애 조치는 기본 WLC에 대한 LAP 폴링을 수행하고 정상적으로 작동하면 기본 WLC에 조인하는 기능입니다.자세한 내용은 WLAN Controller Failover for Lightweight Access Points 컨피그레이션 예를 참조하십시오.
A. 사전 인증 ACL을 사용하면 이름에서 알 수 있듯이 클라이언트가 인증되기 전이라도 특정 IP 주소로 들어오고 나가는 클라이언트 트래픽을 허용할 수 있습니다.웹 인증을 위해 외부 웹 서버를 사용하는 경우 일부 WLC 플랫폼에는 외부 웹 서버(Cisco 5500 Series Controller, Cisco 2100 Series Controller, Cisco 2000 Series 및 컨트롤러 네트워크 모듈)에 대한 사전 인증 ACL이 필요합니다. 다른 WLC 플랫폼의 경우 사전 인증 ACL은 필수 사항이 아닙니다.그러나 외부 웹 인증을 사용할 때 외부 웹 서버에 대한 사전 인증 ACL을 구성하는 것이 좋습니다.
A. 클라이언트는 클라이언트가 연결하도록 구성된 모든 WLAN에 연결할 수 있습니다.MAC 필터의 인터페이스 옵션을 사용하면 WLAN 또는 인터페이스에 필터를 적용할 수 있습니다.여러 WLAN이 동일한 인터페이스에 연결되어 있는 경우 각 개별 WLAN에 대한 필터를 생성할 필요 없이 인터페이스에 MAC 필터를 적용할 수 있습니다.
A. WLC 버전 4.1부터 TACACS가 WLC에서 지원됩니다.TACACS+를 구성하여 WLC의 관리 사용자를 인증하는 방법을 알아보려면 Configuring TACACS+를 참조하십시오.
A. 이 설정은 클라이언트 제외 정책 중 하나입니다.클라이언트 제외는 컨트롤러의 보안 기능입니다.이 정책은 네트워크에 대한 불법 액세스 또는 무선 네트워크에 대한 공격을 방지하기 위해 클라이언트를 블랙리스트에 추가하는 데 사용됩니다.
이 과도한 웹 인증 실패 정책을 활성화한 상태에서 클라이언트의 실패한 웹 인증 시도 횟수가 5를 초과할 경우 컨트롤러는 클라이언트가 웹 인증 최대 시도를 초과했다고 간주하고 클라이언트를 블랙리스트에 추가합니다.
이 설정을 활성화하거나 비활성화하려면 다음 단계를 완료하십시오.
- WLC GUI에서 Security(보안) > Wireless Protection Policies(무선 보호 정책) > Client Exclusion Policies(클라이언트 제외 정책)로 이동합니다.
- Exferred Web Authentication Failures를 선택하거나 선택 취소합니다.
A. 예, WLC 측 컨피그레이션으로 수행할 수 있습니다.다음 단계를 완료하십시오.
- 컨트롤러 GUI의 Security(보안) > Radius Accounting(RADIUS 어카운팅) 아래에 Call Station ID Type(통화 스테이션 ID 유형)에 대한 드롭다운 상자가 있습니다.AP MAC Address를 선택합니다.
- LWAPP AP 로그를 통해 이를 확인합니다.여기서 특정 클라이언트가 연결된 AP의 MAC 주소를 표시하는 called-station ID 필드를 볼 수 있습니다.
A. WLC를 통해 WPA-핸드셰이크 시간 제한을 구성하는 기능은 소프트웨어 릴리스 4.2 이상에서 통합되었습니다.이전 WLC 소프트웨어 버전에서는 이 옵션이 필요하지 않습니다.
다음 명령을 사용하여 WPA 핸드셰이크 시간 제한을 변경할 수 있습니다.
config advanced eap eapol-key-timeout <value> config advanced eap eapol-key-retries <value>기본값은 WLC의 현재 동작을 계속 반영합니다.
- the default value for eapol-key-timeout is 1 second. - the default value for eapol-key-retries is 2 retries참고: IOS AP에서 이 설정은 dot11 wpa handshake 명령을 사용하여 구성할 수 있습니다.
config advanced eap 명령 아래의 옵션을 사용하여 다른 EAP 매개변수를 구성할 수도 있습니다.
(Cisco Controller) >config advanced eap ? eapol-key-timeout Configures EAPOL-Key Timeout in seconds. eapol-key-retries Configures EAPOL-Key Max Retries. identity-request-timeout Configures EAP-Identity-Request Timeout in seconds. identity-request-retries Configures EAP-Identity-Request Max Retries. key-index Configure the key index used for dynamic WEP(802.1x) unicast key (PTK). max-login-ignore-identity-response Configure to ignore the same username count reaching max in the EAP identity response request-timeout Configures EAP-Request Timeout in seconds. request-retries Configures EAP-Request Max Retries.
A. 진단 채널 기능을 사용하면 WLAN과의 클라이언트 통신 관련 문제를 해결할 수 있습니다.클라이언트 및 액세스 포인트는 정의된 테스트 집합을 통해 클라이언트가 경험하는 통신 문제의 원인을 확인한 다음 네트워크에서 클라이언트를 작동시키기 위한 수정 조치를 취할 수 있습니다.컨트롤러 GUI 또는 CLI를 사용하여 진단 채널을 활성화할 수 있으며, 컨트롤러 CLI 또는 WCS를 사용하여 진단 테스트를 실행할 수 있습니다.
진단 채널은 테스트에만 사용할 수 있습니다.진단 채널이 활성화된 WLAN에 대한 인증 또는 암호화를 구성하려고 하면 다음 오류가 표시됩니다.
![]()
A. 이 목록은 WLC에서 구성할 수 있는 최대 AP 그룹 수를 표시합니다.
Cisco 2100 Series Controller 및 컨트롤러 네트워크 모듈용 최대 50개의 액세스 포인트 그룹
Cisco 4400 Series 컨트롤러, Cisco WiSM 및 Cisco 3750G Wireless LAN Controller Switch에 대해 최대 300개의 액세스 포인트 그룹
Cisco 5500 Series 컨트롤러용 최대 500개의 액세스 포인트 그룹