查看無線 LAN 控制器 (WLC) 設計和功能的常見問題

簡介

SSHv1

本文說明無線 LAN 控制器設計和功能的最新資訊。 

必要條件

需求

本文件沒有特定需求。

元件使用

本文件所述內容不限於特定軟體和硬體版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

慣例

如需文件慣例的詳細資訊，請參閱思科技術提示慣例。

WLC設計常見問題

問：如何將交換機配置為與WLC連線？

A.將WLC連線的交換機埠配置為IEEE 802.1Q中繼埠。請確保交換器上只允許必要的VLAN。通常，WLC的管理和AP-Manager介面未標籤。這表示它們採用所連線交換機的本徵VLAN。這沒有必要。您可以為這些介面分配單獨的VLAN。如需詳細資訊，請參閱設定WLC的交換器。

問：在存取點(AP)註冊到控制器後，所有來往於WLAN使用者端的網路流量是否都透過無線LAN控制器(WLC)通道？

A.當AP加入WLC時，兩台裝置之間會形成無線存取點通訊協定的控制與布建(CAPWAP)通道。所有流量（包括所有客戶端流量）均通過CAPWAP隧道傳送。

唯一的例外是AP處於混合REAP模式時。混合REAP接入點可以在本地交換客戶端資料流量，並在與控制器的連線斷開時本地執行客戶端身份驗證。連線到控制器時，它們也會將流量傳送回控制器。

問：我是否可以在遠端辦公室安裝輕量型接入點(LAP)，並在總部安裝思科無線區域網控制器(WLC)?LWAPP/CAPWAP是否可在WAN上運行？

答：是，您可以通過WAN從AP獲取WLC。當在遠端邊緣AP(REAP)或混合遠端邊緣AP(H-REAP)模式下配置LAP時，LWAPP/CAPWAP可在WAN上運行。這兩種模式都允許通過WAN鏈路連線的遠端控制器控制AP。流量以本地方式橋接到LAN鏈路，從而避免不必要地通過WAN鏈路傳送本地流量。這恰恰是在您的無線網路中具有WLC的最大優勢之一。

注意：並非所有輕量AP都支援這些模式。例如，只有1131、1140、1242、1250和AP801 LAP支援H-REAP模式。只有1030 AP支援REAP模式，但1010和1020 AP不支援REAP。在計畫實施這些模式之前，請檢查以確定LAP是否支援這些模式。已轉換為LWAPP的Cisco IOS®軟體AP（自治AP）不支援REAP。

REAP和H-REAP模式如何工作？

A.在REAP模式下，所有控制和管理流量（包括驗證流量）通過隧道返回到WLC。但是，所有資料流量都在遠端辦公室LAN內進行本地交換。與WLC的連線中斷時，除了第一個WLAN(WLAN1)之外，所有WLAN都會終止。目前與此WLAN相關聯的所有使用者端都會保留。為了允許新客戶端在停機時間內在這個WLAN上成功進行身份驗證並接收服務，請將此WLAN的身份驗證方法配置為WEP或WPA-PSK，以便在REAP本地完成身份驗證。有關REAP部署的詳細資訊，請參閱分支機構的REAP部署指南。

在H-REAP模式中，存取點會將控制和管理流量（包括驗證流量）通道回到WLC。如果WLAN配置了H-REAP本地交換，或者將資料流量傳送回WLC，則來自WLAN的資料流量會在遠端辦公室本地橋接。當與WLC的連線丟失時，除前八個使用H-REAP本地交換配置的WLAN外，所有這些WLAN都會終止。目前與這些WLAN相關聯的所有使用者端都會保留。為了允許新客戶端在停機時間內成功驗證和接收這些WLAN上的服務，請將此WLAN的驗證方法配置為WEP、WPA PSK或WPA2 PSK，以便在H-REAP本地完成驗證。

有關H-REAP的詳細資訊，請參閱FlexConnect無線分支機構控制器部署指南。

問：遠端邊緣AP(REAP)和混合REAP(H-REAP)有何區別？

A. REAP 不支援IEEE 802.1Q VLAN標籤。因此，它不支援多個VLAN。來自所有服務集識別符號(SSID)的流量在同一子網上終止，但H-REAP支援IEEE 802.1Q VLAN標籤。來自每個SSID的流量可以分割為唯一的VLAN。

當與WLC的連線中斷時（即在獨立模式下），REAP僅提供一個WLAN，即第一個WLAN。所有其他WLAN都會停用。在H-REAP中，在停機時間內最多支援8個WLAN。

另一個主要區別在於，在REAP模式下，資料流量只能進行本地橋接。它無法切換回中心辦公室，但是在H-REAP模式下，您可以選擇將流量切換回中心辦公室。來自配置了H-REAP本地交換的WLAN的流量在本地交換。來自其他WLAN的資料流量將切換回中心辦公室。

如需REAP的詳細資訊，請參閱使用輕量AP和無線LAN控制器(WLC)的遠端邊緣AP(REAP)組態範例。

有關H-REAP的詳細資訊，請參閱配置混合REAP。

問：WLC支援多少WLAN?

答：自軟體版本5.2.157.0起，WLC現在可以控制最多512個輕量接入點的WLAN。每個WLAN具有單獨的WLAN ID（1到512）、單獨的配置檔名稱和WLAN SSID，可以為其分配唯一的安全策略。控制器最多會將16個WLAN發佈到每個連線的接入點，但您可以在控制器上建立最多512個WLAN，然後選擇性地將這些WLAN（使用接入點組）發佈到不同的接入點，以更好地管理您的無線網路。

註:Cisco 2106、2112和2125控制器僅支援最多16個WLAN。

註：有關在WLC上設定WLAN的准則的詳細資訊，請參閱思科無線LAN控制器組態設定指南7.0.116.0版中的建立WLAN一節。

問：如何在我的無線LAN控制器(WLC)上設定VLAN?

A.在WLC中，VLAN繫結到在唯一IP子網中設定的介面。此介面對應到WLAN。接著，與此WLAN相關聯的使用者端會屬於介面的VLAN，並從介面所屬的子網中指派一個IP位址。若要在WLC上設定VLAN，請完成無線LAN控制器上的VLAN組態範例中的程式。

問：我們為兩個WLAN調配了兩個不同的動態介面。每個介面都有自己的VLAN，與管理介面VLAN不同。這似乎可行，但我們尚未配置中繼埠以允許我們的WLAN使用的VLAN。接入點(AP)是否使用管理介面VLAN標籤資料包？

A.AP不會使用管理介面VLAN標籤資料包。AP將來自客戶端的封包封裝在輕量AP通訊協定(LWAPP)/CAPWAP中，然後將封包傳遞到WLC。然後WLC剝離LWAPP/CAPWAP標頭，並將封包轉送到具有適當VLAN標籤的閘道。VLAN標籤取決於客戶端所屬的WLAN。WLC依賴閘道將封包路由到其目的地。為了能夠傳遞多個VLAN的流量，必須將上行鏈路交換機配置為中繼埠。此圖說明VLAN如何與控制器協同工作：

問：WLC的哪個IP地址用於與AAA伺服器進行身份驗證？

A.WLC將管理介面的IP位址用於任何涉及AAA伺服器的驗證機制（第2層或第3層）。有關WLC上的連線埠和介面的詳細資訊，請參閱思科無線LAN控制器組態設定指南7.0.116.0版中的設定連線埠和介面一節。

問：我在一個VLAN中擁有十個Cisco 1000系列輕量型存取點(LAP)和兩個無線LAN控制器(WLC)。如何註冊六個LAP以關聯到WLC1，另外四個LAP以關聯到WLC2?

A. LWAPP/CAPWAP允許動態冗餘和負載均衡。例如，如果為選項43指定多個IP地址，則LAP會向AP接收的每個IP地址傳送LWAPP/CAPWAP發現請求。在WLC LWAPP/CAPWAP探索回應中，WLC嵌入以下資訊：

• 有關當前LAP負載的資訊，定義為當時連線到WLC的LAP數量

• LAP容量

• 連線到WLC的無線客戶端數量

然後LAP嘗試加入負載最小的WLC，即具有最大LAP容量的WLC。此外，LAP加入WLC後，LAP會從其加入的WLC得知行動群組中的其他WLC的IP位址。

LAP加入WLC後，您可以在下次重新啟動時讓LAP加入特定WLC。為此，請為LAP分配一個主WLC、輔助WLC和第三個WLC。LAP重新啟動時，會尋找主WLC並加入該WLC，而與該WLC上的負載無關。如果主WLC沒有響應，它將查詢次要WLC，如果沒有響應，則查詢第三WLC。有關如何為LAP配置主WLC的詳細資訊，請參閱 

 部分

問： 2100系列無線LAN控制器(WLC)不支援哪些功能？

A. 2100系列控制器不支援以下硬體功能：

• 服務埠（獨立的帶外管理10/100 Mb/s乙太網介面）

2100系列控制器不支援以下軟體功能：

• VPN終止（例如IPsec和L2TP）

• 終止訪客控制器通道（支援建立訪客控制器通道）

• 外部Web驗證Web伺服器清單

• 第2層LWAPP

• 生成樹

• 連線埠映象

• 斜長石

• 堡壘

• AppleTalk

• 每使用者QoS頻寬合約

• IPv6傳輸

• 連結彙總(LAG)

• 組播單播模式

• 有線訪客存取

問： 5500系列控制器不支援哪些功能？

A. 5500系列控制器不支援以下軟體功能：

• 靜態AP管理器介面

  註：對於5500系列控制器，不需要配置AP管理器介面。預設情況下，管理介面充當AP管理器介面，接入點可在此介面上加入。

• 非對稱行動通道

• 生成樹通訊協定(STP)

• 連線埠映象

• 第2層存取控制清單(ACL)支援

• VPN終止（例如IPSec和L2TP）

• VPN直通選項

• 配置802.3橋接、AppleTalk和乙太網點對點協定(PPPoE)

問：網狀網路中哪些功能不受支援？

A.網狀網路不支援以下控制器功能：

• 多國支援

• 基於負載的CAC（網狀網路僅支援基於頻寬或靜態CAC。）

• 高可用性（快速心跳和主發現加入計時器）

• EAP-FASTv1和802.1X身份驗證

• 接入點加入優先順序（網狀無線接入點具有固定優先順序。）

• 具有本地重要性的證書

• 基於位置的服務

問：無線LAN控制器上的製造商安裝證書(MIC)和輕量AP證書的有效期是多少？

A.WLC上MIC的有效期為10年。建立輕量AP證書(無論是MIC證書還是自簽名證書(SSC))時，同樣的有效期為10年。

問：我在同一個行動群組內設定了兩個名為WLC1和WLC2的無線LAN控制器(WLC)以進行容錯移轉。我的輕量型存取點(LAP)目前已在WLC1上註冊。如果WLC1發生故障，向WLC1註冊的AP在過渡到倖存的WLC(WLC2)期間是否會重新啟動？此外，在此故障轉移期間，WLAN客戶端是否與LAP失去了WLAN連線？

答：是，如果WLC1失敗，LAP會從WLC1註銷並重新引導，然後向WLC2重新註冊。由於LAP重新啟動，關聯的WLAN客戶端將失去與重新啟動的LAP的連線。有關相關資訊，請參閱統一無線網路中的AP負載平衡和AP回退。

問：漫遊是否取決於無線LAN控制器(WLC)配置為使用的輕量接入點協定(LWAPP)模式？在第2層LWAPP模式下運行的WLC能否執行第3層漫遊？

A.只要控制器上的移動分組配置正確，客戶端漫遊必須工作正常。漫遊不受LWAPP模式（第2層或第3層）的影響。但是，建議儘可能使用第3層LWAPP。

註：只有Cisco 410x和440x系列WLC和Cisco 1000系列接入點支援第2層模式。其他無線LAN控制器和輕量型存取點平台不支援第2層LWAPP。

問：當客戶端決定漫遊到新的接入點(AP)或控制器時，會發生什麼漫遊過程？

A.這是客戶端漫遊到新AP時發生的事件序列：

1. 使用者端透過LAP向WLC傳送重新關聯要求。

2. WLC將行動訊息傳送至行動群組中的其他WLC，以找出使用者端之前與之關聯的WLC。

3. 原始WLC會透過行動訊息回應有關使用者端的資訊，例如MAC位址、IP位址、QoS、安全內容等。

4. WLC會使用所提供的使用者端詳細資訊更新其資料庫；如有必要，使用者端會進行重新驗證程式。目前與使用者端相關聯的新LAP也會與WLC資料庫中的其他詳細資訊一起更新。這樣，客戶端IP地址在WLC之間的漫遊中得以保留，這有助於提供無縫漫遊。

註：無線客戶端在重新關聯期間不發出(802.11)身份驗證請求。無線客戶端立即發出重新關聯。然後，它可以通過802.1x身份驗證。

問：當網路中存在防火牆時，需要允許哪些埠進行LWAPP/CAPWAP通訊？

A.您必須啟用以下埠：

• 為LWAPP流量啟用以下UDP埠：

  • 資料 — 數12222

  • 控制 — 管12223

• 為CAPWAP流量啟用以下UDP埠：

  • 資料 — 5247

  • 控制 — 5246

• 為移動流量啟用以下UDP埠：

  • 16666 — 安全模式

  • 16667 — 非安全模式

移動和資料消息通常通過EtherIP資料包交換。 必須在防火牆上允許IP協定97以允許EtherIP資料包。如果使用ESP封裝移動資料包，則開啟UDP埠500時，必須允許ISAKMP通過防火牆。您還必須開啟IP協定50，以允許加密的資料通過防火牆。

這些連線埠為選件（視您的要求而定）：

• 適用於SNMP的TCP 161和162（適用於無線控制系統[WCS]）

• 適用於TFTP的UDP 69

• TCP 80和/或443，用於HTTP或HTTPS，用於GUI訪問

• TCP 23和/或22（用於Telnet）或安全外殼(SSH)用於CLI訪問

問：無線LAN控制器是否同時支援SSHv1和SSHv2?

A.無線LAN控制器僅支援SSHv2。

問：無線LAN控制器(WLC)是否支援反向ARP(RARP)?

A.反向地址解析協定(RARP)是一種鏈路層協定，用於獲取給定鏈路層地址（如乙太網地址）的IP地址。韌體版本為4.0.217.0或更高版本的WLC支援RARP。任何舊版都不支援RARP。

問：我是否可以使用無線LAN控制器(WLC)上的內部DHCP伺服器來將IP位址指定給輕量型存取點(LAP)?

A.控制器包含內部DHCP伺服器。此伺服器通常用於沒有DHCP伺服器的分支機構。若要存取DHCP服務，請在WLC GUI上按一下「Controller」功能表，然後按一下頁面左側的「Internal DHCP Server」選項。有關如何在WLC上設定DHCP範圍的詳細資訊，請參閱Cisco無線LAN控制器組態設定指南7.0.116.0版中的設定DHCP一節。

內部伺服器為無線客戶端、LAP、管理介面上的裝置模式AP以及從LAP中繼的DHCP請求提供DHCP地址。WLC從不為有線網路中的上游裝置提供地址。內部伺服器不支援DHCP選項43，因此AP必須使用替代方法查詢控制器的管理介面IP地址，如本地子網廣播、DNS、啟動或無線發現。

註:4.0之前的WLC韌體版本不支援LAP的DHCP服務，除非LAP直接連線到WLC。內部DHCP伺服器功能僅用於為連線到無線LAN網路的客戶端提供IP地址。

問： WLAN下的「DHCP要求」欄位表示什麼？

A.DHCP Required是可為WLAN啟用的選項。這需要與特定WLAN相關聯的所有客戶端通過DHCP獲取IP地址。不允許具有靜態IP地址的客戶端與WLAN關聯。此選項位於WLAN的Advanced頁籤下。只有使用者端的IP位址在WLC的MSCB表中存在時，WLC才會允許流量來往/去往使用者端。WLC在其DHCP請求或DHCP續訂期間記錄客戶端的IP地址。這要求客戶端每次重新關聯到WLC時更新其IP地址，因為每當客戶端在其漫遊過程或會話超時過程中取消關聯時，其條目將從MSCB表中清除。使用者端必須再次進行驗證並重新與WLC建立關聯，這會使使用者端專案再次出現在表中。

問：Cisco Centralized Key Management(CCKM)如何在LWAPP/CAPWAP環境中工作？

答：在初始客戶端關聯期間，無線客戶端通過802.1x身份驗證後，AP或WLC會協商成對主金鑰(PMK)。WLC或WDS AP為每個客戶端快取PMK。無線客戶端重新關聯或漫遊時，會跳過802.1x身份驗證並立即驗證PMK。

CCKM中WLC的唯一特殊實作是WLC透過行動封包(例如UDP 16666)交換使用者端PMK。

問：如何在無線LAN控制器(WLC)和輕量型存取點(LAP)上設定雙工設定？

答：當速度和雙工均進行自動協商時，思科無線產品效果最佳，但是您可以選擇在WLC和LAP上設定雙工設定。若要設定AP速度/雙工設定，可以在控制器上設定LAP的雙工設定，然後將其推送到LAP。

設定ap乙太網路雙工<auto/half/full> speed <auto/10/100/1000> <all/Cisco AP Name>

是用於通過CLI設定雙工設定的命令。此命令僅在4.1版及更高版本中受支援。

若要設定WLC實體介面的雙工設定，請使用命config port physicalmode {all | port} {100h | 100f | 10h | 10f}令。

此命令將指定或所有前面板10/100BASE-T乙太網埠設定為專用10 Mbps或100 Mbps、半雙工或全雙工操作。請注意，手動設定連線埠上的任何實體模式之前，必須使用config port autoneg disable 命令停用自動交涉。另請注意，config port autoneg 命令會覆寫config port physicalmode 命令所作的設定。預設情況下，所有埠都設定為自動協商。

註：無法更改光纖埠的速度設定。

問：當輕型接入點(LAP)未註冊到控制器時，是否有跟蹤其名稱的方法？

A.如果存取點已完全關閉且未註冊到控制器，則無法透過控制器追蹤LAP。剩下的唯一方法是您可以訪問這些AP所連線的交換機，並且使用以下命令可以找到它們所連線的交換機埠：

show mac-address-table address  
       

這樣，您就可以知道此AP所連線的交換機上的埠號。然後發出以下命令：

show cdp nei  
        detail

此命令的輸出也提供了LAP名稱。但是，只有當AP通電並連線到交換機時，才能使用此方法。

問：我在控制器上配置了512個使用者。是否有任何方法增加無線LAN控制器(WLC)上的使用者數量？

A.本地使用者資料庫在「安全」>「一般資訊」頁中的條目最多限製為2048個。此資料庫由本地管理使用者（包括游說大使）、網路使用者（包括訪客使用者）、MAC過濾器條目、接入點授權清單條目和排除清單條目共用。所有這些型別的使用者都不能超過配置的資料庫大小。

要增加本地資料庫，請從CLI使用以下命令：

<Cisco Controller>config database size ?
<count>  Enter the maximum number of entries (512-2048)

註：您必須儲存配置並重置系統（使用reset system命令）才能使更改生效。

問：如何在WLC上強制執行強式密碼策略？

A.WLC允許您定義強式密碼原則。可以使用CLI或GUI完成此操作。

在GUI中，前往Security > AAA > Password Policies。此頁面提供一系列選項，可以選擇這些選項來強制使用強式密碼。以下是範例：

問：無線LAN控制器上如何使用被動客戶端功能？

A.被動客戶端是配置有靜態IP地址的無線裝置，如刻度和印表機。當這些客戶端與接入點關聯時，它們不會傳輸任何IP資訊，例如IP地址、子網掩碼和網關資訊。因此，使用被動使用者端時，除非控制器使用DHCP，否則控制器永遠不會知道IP位址。

WLC目前充當ARP請求的代理。在收到ARP請求後，控制器用ARP響應進行響應，而不是直接將請求傳遞給客戶端。此方案有兩個優點：

• 向客戶端傳送ARP請求的上游裝置無法知道客戶端的位置。

• 行動電話和印表機等電池供電裝置的電源被保留，因為它們不必響應每個ARP請求。

由於無線控制器沒有被動客戶端的任何IP相關資訊，因此無法響應任何ARP請求。當前行為不允許將ARP請求傳輸到被動客戶端。任何嘗試訪問被動客戶端的應用程式都可能失敗。

通過被動客戶端功能，可以在有線和無線客戶端之間交換ARP請求和響應。此功能啟用後，允許控制器將來自有線客戶端的ARP請求傳送到無線客戶端，直到所需的無線客戶端進入RUN狀態。

有關如何配置被動客戶端功能的資訊，請參閱思科無線LAN控制器配置指南7.0.116.0版中的使用GUI配置被動客戶端一節。

問：如何設定客戶端每隔三分鐘或在任何指定時間段重新向RADIUS伺服器進行身份驗證？

答：WLC上的作業階段逾時引數可用於完成此操作。預設情況下，會話超時引數配置為1800秒，然後進行重新身份驗證。

將此值變更為180秒，讓使用者端在三分鐘之後重新進行驗證。

若要存取作業階段逾時引數，請在GUI中按一下「WLANs」功能表。它顯示WLC中配置的WLAN清單。按一下使用者端所屬的WLAN。前往Advanced< span>索引標籤，然後找到Enable Session Timeoutparameter。將預設值更改為180，然後按一下Apply以使更改生效。

當以Access-Accept和Termination-Action值RADIUS-Request一起傳送時， Session-Timeout屬性指定重新身份驗證之前提供服務的最大秒數。在這種情況下，Session-Timeout屬性用於在802.1X的重新驗證計時器狀態機器中載入ReAuthPeriod常數。

問：我有一個訪客通道，即Ethernet over IP(EoIP)通道，是在4400無線LAN控制器(WLC)（充當錨點WLC）與多個遠端WLC之間設定的。此錨點WLC是否可以將通過EoIP隧道的子網廣播從有線網路轉發到與遠端控制器關聯的無線客戶端？

答：不，WLC 4400不會通過EoIP隧道將有線端的IP子網廣播轉發到無線客戶端。這不是支援的功能。在訪客存取拓撲中，思科不支援子網廣播或多點傳送的通道。由於訪客WLAN將客戶端存在點強制到網路中非常特定的位置（大多在防火牆之外），因此子網廣播的隧道傳輸可能會成為一個安全問題。

問：在無線LAN控制器(WLC)和輕量型存取點通訊協定(LWAPP)設定中，為語音流量傳遞的區分服務程式碼點(DSCP)值是什麼？如何在WLC上實施QoS?

答：Cisco Unified Wireless Network(UWN)解決方案WLAN支援四級QoS:

• 白金/語音

• 金牌/影片

• 銀牌/盡力服務（預設）

• 銅牌/背景

您可以將語音流量WLAN配置為使用白金QoS，將低頻寬WLAN配置為使用銅牌QoS，並在其他QoS級別之間分配所有其它流量。有關詳細資訊，請參閱為WLAN分配QoS配置檔案。

問：思科無線統一解決方案是否支援Linksys乙太網網橋？

答：不，WLC僅支援Cisco WGB產品。不支援Linksys WGB。雖然Cisco無線統一解決方案不支援Linksys WET54G和WET11B乙太網網橋，但如果您使用以下准則，則可以在無線統一解決方案配置中使用這些裝置：

• 僅將一台裝置連線到WET54G或WET11B。

• 啟用WET54G或WET11B上的MAC克隆功能以克隆連線的裝置。

• 在連線到WET54G或WET11B的裝置上安裝最新的驅動程式和韌體。該指南對於JetDirect印表機特別重要，因為早期的韌體版本會導致DHCP問題。

註：不支援其他第三方網橋。上述步驟也可嘗試用於其他第三方網橋。

問：如何在無線LAN控制器(WLC)上儲存組態檔？

A. WLC包含兩種記憶體：

• Volatile RAM — 保留當前的主用控制器配置

• 非揮發性RAM(NVRAM) — 保留重新啟動配置

在WLC中配置作業系統時，您是在修改易失性RAM。您必須將來自易失性RAM的組態儲存到NVRAM中，才能確保WLC以目前的組態重新啟動。

在執行這些任務時，必須知道要修改哪些記憶體：

• 使用配置嚮導。

• 清除控制器組態。

• 儲存配置。

• 重設控制器。

• 註銷CLI。

WLC功能常見問題

問：如何在無線LAN控制器(WLC)上設定可擴充驗證通訊協定(EAP)型別？我想對訪問控制伺服器(ACS)裝置進行身份驗證，在日誌中獲得「不支援的EAP」型別。

答：WLC上沒有單獨的EAP型別設定。對於Light EAP(LEAP)、EAP Flexible Authentication via Secure Tunneling(EAP-FAST)或Microsoft Protected EAP(MS-PEAP)，只需配置IEEE 802.1x或Wi-Fi Protected Access(WPA)（如果將802.1x與WPA一起使用）。通過802.1x標籤支援RADIUS後端和客戶端上支援的任何EAP型別。客戶端和RADIUS伺服器上的EAP設定必須匹配。

完成以下步驟，以便透過WLC上的GUI啟用EAP:

1. 在WLC GUI中，按一下WLANs。
2. 此時會顯示WLC中設定的WLAN清單。按一下WLAN。
3. 在WLANs > Edit中，按一下Security頁籤。
4. 按一下Layer 2，然後選擇Layer 2 Security作為802.1x或WPA+WPA2。您還可以配置在同一視窗中可用的802.1x引數。接著，WLC在無線使用者端和驗證伺服器之間轉送EAP驗證封包。
5. 按一下AAA伺服器，然後從此WLAN的下拉選單中選擇身份驗證伺服器。我們假設已全域性配置身份驗證伺服器。 

問：什麼是快速SSID更改？

A.Fast SSID Changing允許客戶端在SSID之間移動。當客戶端為不同的SSID傳送新關聯時，控制器連線表中的客戶端條目會在客戶端新增到新SSID之前被清除。禁用「快速SSID更改」後，控制器將實施延遲，然後允許客戶端移動到新的SSID。有關如何啟用快速SSID更改的資訊，請參閱思科無線LAN控制器配置指南7.0.116.0版中的配置快速SSID更改部分。

問：我是否可以對可以連線到無線LAN的客戶端數量設定限制？

答：您可以設定可以連線到WLAN的客戶端數量的限制，這在可以連線到控制器的客戶端數量有限的情況下非常有用。每個WLAN可設定的使用者端數量取決於您使用的平台。

請參閱思科無線LAN控制器組態設定指南7.0.116.0版中的設定每個WLAN的最大使用者端數量一節，以取得更多有關無線LAN控制器不同平台的每個WLAN使用者端限制的資料。

問：什麼是PKC，它如何與無線LAN控制器(WLC)搭配使用？

A. PKC代表主動金鑰快取。它被設計為802.11i IEEE標準的擴展。

PKC是Cisco 2006/410x/440x系列控制器中啟用的一種功能，允許正確配備的wireleTalk與Tech Writer聯絡。允許客戶端漫遊，而無需使用AAA伺服器進行完全重新身份驗證。為了瞭解PKC，您首先需要了解金鑰快取。

金鑰快取是新增到WPA2的功能。這允許移動站快取通過成功與接入點(AP)進行身份驗證而獲得的主金鑰（成對主金鑰[PMK]），並在將來與同一AP關聯時重新使用該金鑰。這意味著給定流動裝置需要向特定AP進行一次身份驗證，並快取金鑰以供將來使用。金鑰快取通過稱為PMK識別符號(PMKID)的機制處理，該機制是PMK、字串、站點和AP的MAC地址的雜湊。PMKID可唯一識別PMK。

即使使用金鑰快取，無線站點也必須通過希望獲得服務的每個AP進行身份驗證。這會帶來嚴重的延遲和開銷，從而延遲移交過程，並會抑制支援即時應用程式的能力。為了解決此問題，在WPA2中引入了PKC。

PKC允許站點重複使用之前通過成功身份驗證過程獲得的PMK。這樣消除了站點在漫遊時根據新AP進行身份驗證的需要。

因此，在控制器內漫遊中，當流動裝置在同一控制器上從一個AP移動到另一個AP時，客戶端使用先前使用的PMK重新計算PMKID並在關聯過程中顯示它。WLC會搜尋其PMK快取，以確定它是否有此類專案。如果是，它將繞過802.1x身份驗證過程，並立即啟動WPA2金鑰交換。如果失敗，則會執行標準802.1X驗證程式。

PKC在WPA2中預設啟用。因此，當您在WLC的WLAN設定下啟用WPA2作為第2層安全性時，會在WLC上啟用PKC。此外，配置AAA伺服器和無線客戶端進行適當的EAP身份驗證。

客戶端使用的請求方也必須支援WPA2,PKC才能正常工作。PKC也可以在控制器間漫遊環境中實施。

注意:PKC無法與Aironet Desktop Utility(ADU)一起作為客戶端請求方使用。

問：在控制器上，以下超時設定說明是什麼：地址解析協定(ARP)超時、使用者空閒超時和會話超時？

A.ARP時間用於刪除WLC上從網路獲知的裝置的ARP條目。

User Idle Timeout:當使用者在設定為User Idle Timeout的時間段內與LAP沒有任何通訊而處於空閒狀態時，WLC將取消對客戶端的身份驗證。使用者端必須重新驗證並重新與WLC關聯。它用於客戶端無需通知LAP即可從其關聯的LAP中丟棄的情況。如果客戶端上的電池耗盡或者客戶端關聯程式移開，則可能會發生這種情況。

註：要在WLC GUI上訪問ARP和使用者空閒超時，請轉到Controller選單。從左側選擇General以查詢ARP和User Idle Timeout欄位。

作業階段時間是使用WLC的使用者端作業階段的最長時間。這之後，WLC會取消使用者端的驗證，而使用者端會再次執行整個驗證（重新驗證）程式。這是輪轉加密金鑰的安全預防措施的一部分。如果將可擴展身份驗證協定(EAP)方法用於金鑰管理，則每隔一個正常間隔就會重新生成金鑰，以便生成新的加密金鑰。如果沒有金鑰管理，此超時值是無線客戶端需要執行完全重新身份驗證的時間。作業階段逾時特定於WLAN。此引數可以從WLANs>編輯選單訪問。

什麼是RFID系統？思科目前支援哪些RFID標籤？

無線電頻率識別(RFID)是一種使用射頻通訊進行相當短距離通訊的技術。一個基本的RFID系統由RFID標籤、RFID閱讀器和處理軟體組成。

目前，思科支援來自AeroScout和Pango的RFID標籤。有關如何配置AeroScout標籤的詳細資訊，請參閱AeroScout RFID標籤的WLC配置。

問：我是否可在WLC本機上執行EAP驗證？是否有說明此本地EAP功能的文檔？

答：是，可以在WLC本機上執行EAP身份驗證。本地EAP是一種身份驗證方法，允許使用者和無線客戶端在WLC上進行本地身份驗證。它專用於希望在後端系統被中斷或外部身份驗證伺服器關閉時保持與無線客戶端連線的遠端辦公室。啟用本地EAP時，WLC充當身份驗證伺服器。有關如何為本地EAP-Fast身份驗證配置WLC的詳細資訊，請參閱使用EAP-FAST和LDAP伺服器配置的無線LAN控制器上的本地EAP身份驗證示例。

問：什麼是WLAN覆蓋功能？如何設定此功能？LAP在故障切換到備用WLC時能否保留WLAN覆寫值？

A.WLAN覆寫功能可讓我們從WLC上設定的WLAN中選擇WLAN，這些WLAN可針對個別LAP主動使用。完成以下步驟即可設定WLAN覆寫：

1. 在WLC GUI中，按一下「Wireless」功能表。
2. 按一下左側的Radiations選項，然後選擇802.11 a/n 或802.11 b/g/n。
3. 從右側與要配置WLAN覆蓋的AP名稱對應的下拉選單中按一下Configure連結。
4. 從WLAN Override下拉選單中選擇Enable。WLAN Override選單是視窗左側的最後一個專案。
5. 此時會顯示WLC上設定的所有WLAN的清單。
6. 在此清單中，檢查要顯示在LAP上的WLAN，然後按一下Apply以使更改生效。
7. 在進行這些更改後儲存配置。

如果AP在所有WLC上配置了您要覆蓋的WLAN配置檔案和SSID，則這些AP在註冊到其他WLC時會保留WLAN覆蓋值。

註：在控制器軟體版本5.2.157.0中，已從控制器GUI和CLI中刪除WLAN覆蓋功能。如果您的控制器設定為WLAN覆寫，且您升級至控制器軟體版本5.2.157.0，則控制器會刪除WLAN設定並廣播所有WLAN。如果設定存取點群組，您可以指定僅傳輸特定的WLAN。每個接入點僅通告屬於其接入點組的已啟用的WLAN。

註：接入點組不會啟用AP的每個無線介面上傳輸的WLAN。

問：思科無線LAN控制器(WLC)和輕量型存取點(LAP)是否支援IPv6?

答：目前，4400和4100系列控制器僅支援IPv6客戶端傳輸。不支援本地IPv6支援。

要在WLC上啟用IPv6，請選中WLAN > Edit頁面下WLAN SSID配置上的IPv6 Enable覈取方塊。

此外，支援IPv6還需要乙太網組播模式(EMM)。如果禁用EMM，則使用IPv6的客戶端裝置會失去連線。若要啟用EMM，請前往Controller > General頁面，並從乙太網路多點傳送模式下拉選單中選擇單點傳播或多點傳送。這樣即可在單播模式或多播模式下啟用組播。當組播作為組播單播啟用時，將為每個AP複製資料包。這會佔用大量處理器，因此請謹慎使用。啟用組播時，組播使用使用者分配的組播地址執行到接入點(AP)的更傳統的組播。

註:2006控制器不支援IPv6。

此外，還有思科錯誤ID CSCsg78176，用於防止在使用AAA覆蓋功能時使用IPv6傳輸。

注意：只有註冊的思科使用者才能訪問內部思科工具和資訊。

問：Cisco 2000系列無線LAN控制器(WLC)是否支援訪客使用者的Web驗證？

A.所有Cisco WLC都支援Web驗證。Web驗證是使用簡單驗證憑證對使用者進行驗證的第3層驗證方法。不涉及加密。完成以下步驟即可啟用此功能：

1. 在GUI中，按一下WLAN功能表。
2. 按一下WLAN。
3. 前往Security索引標籤並選擇Layer 3。
4. 選中Web Policy框並選擇Authentication。
5. 按一下「Apply」以儲存變更。
6. 若要在WLC上建立資料庫以對使用者進行驗證，請前往GUI上的Security功能表，選擇Local Net User</strong>，然後完成以下動作：
   1. 定義訪客用於登入的訪客使用者名稱和密碼。這些值區分大小寫。
   2. 選擇您使用的WLAN ID。
   

   註：有關更詳細的配置，請參閱無線LAN控制器Web驗證配置示例。

問：是否可以在無線模式下管理WLC?

答：一旦啟用WLC，就可以通過無線模式對其進行管理。有關如何啟用無線模式的詳細資訊，請參閱思科無線LAN控制器組態設定指南7.0.116.0版中的啟用與GUI和CLI的無線連線。

問：什麼是鏈路聚合(LAG)?如何在無線LAN控制器(WLC)上啟用LAG?

A.LAG將WLC上的所有埠捆綁到單個EtherChannel介面中。系統通過LAG動態管理流量負載均衡和埠冗餘。

通常，WLC上的介面具有與其相關的多個引數，包括IP位址、預設閘道（用於IP子網路）、主要實體連線埠、次要實體連線埠、VLAN標籤和DHCP伺服器。不使用LAG時，通常會將每個介面對映到物理埠，但也可以將多個介面對映到單個WLC埠。使用LAG時，系統會將介面動態對映到聚合埠通道。這有助於實現埠冗餘和負載平衡。當埠發生故障時，介面會動態對映到下一個可用物理埠，並且LAP會在埠之間平衡。

在WLC上啟用LAG後，WLC會在收到資料幀的相同連線埠上轉送資料幀。WLC依靠鄰居交換器來平衡EtherChannel中的流量負載。WLC不會自行執行任何EtherChannel負載平衡。

問：哪些型號的無線LAN控制器(WLC)支援鏈路聚合(LAG)?

例如，Cisco 5500系列控制器在軟體版本6.0或更高版本中支援LAG，Cisco 4400系列控制器在軟體版本3.2或更高版本中支援LAG，並且Cisco WiSM和Catalyst 3750G整合無線LAN控制器交換機內的控制器上自動啟用LAG。如果沒有LAG，Cisco 4400系列控制器上的每個分佈系統埠最多支援48個接入點。啟用LAG後，Cisco 4402控制器邏輯埠支援最多50個接入點，Cisco 4404控制器邏輯埠支援最多100個接入點，Catalyst 3750G整合無線LAN控制器交換機上的邏輯埠和每個Cisco WiSM控制器上的邏輯埠支援最多150個接入點。

Cisco 2106和2006 WLC不支援LAG。早期的型號（例如Cisco 4000系列WLC）不支援LAG。

問：統一無線網路中的自動錨點移動功能是什麼？

A.自動錨點行動化（或訪客WLAN行動化）用於改善無線LAN(WLAN)上漫遊使用者端的負載平衡和安全。在正常漫遊情況下，客戶端裝置會加入WLAN並錨定到它們所聯絡的第一個控制器。如果客戶端漫遊到不同的子網，則客戶端漫遊到的控制器為客戶端與錨點控制器建立外部會話。透過使用自動錨點行動功能，您可以指定一個控制器或一組控制器作為WLAN上使用者端的錨點。

注意：不得為第3層移動性配置移動錨點。行動錨點僅用於訪客通道。

問：能否將Cisco 2006無線LAN控制器(WLC)設定為WLAN的錨點？

答：Cisco 2000系列WLC無法指定為WLAN的錨點。但是，在Cisco 2000系列WLC上建立的WLAN可以將Cisco 4100系列WLC和Cisco 4400系列WLC作為其錨點。

問：無線LAN控制器使用哪種型別的移動隧道？

A.Controller軟體版本4.1到5.1同時支援非對稱和對稱行動通道。控制器軟體版本5.2或更新版本僅支援對稱行動通道，此功能現在預設一律啟用。

在非對稱通道中，前往有線網路的使用者端流量會直接透過外部控制器路由。當上游路由器啟用反向路徑過濾(RPF)時，非對稱隧道會中斷。在這種情況下，由於RPF檢查可確保返回源地址的路徑與資料包的來源路徑匹配，因此會在路由器上丟棄客戶端流量。

啟用對稱行動通道時，所有使用者端流量都會傳送到錨點控制器，然後可以成功通過RPF檢查。對稱移動隧道在以下情況下也非常有用：

• 如果客戶端資料包路徑中的防火牆安裝由於源IP地址與接收資料包的子網不匹配而丟棄資料包，這將非常有用。

• 如果錨點控制器上的接入點組VLAN與外部控制器上的WLAN介面VLAN不同：在這種情況下，在移動事件期間，客戶端流量可能在不正確的VLAN上傳送。

問：當網路關閉時，我們如何存取WLC?

答：當網路關閉時，服務連線埠可以存取WLC。此埠分配的IP地址與WLC的其他埠完全不同的子網中，因此稱為帶外管理。如需詳細資訊，請參閱思科無線LAN控制器組態設定指南7.0.116.0版中的設定連線埠和介面一節。

問：思科無線LAN控制器(WLC)是否支援故障切換（或冗餘）功能？

答：是，如果您的WLAN網路中有兩個或多個WLC，則可以配置它們進行備援。一般來說，LAP會連線到已設定的主WLC。主WLC發生故障後，LAP將重新啟動並加入移動組中的另一個WLC。故障轉移是一項功能，其中LAP輪詢主WLC並在主WLC運行後加入主WLC。有關詳細資訊，請參閱輕量接入點的WLAN控制器故障轉移配置示例。

問：預驗證存取控制清單(ACL)在無線LAN控制器(WLC)中的用途是什麼？

A.使用預先驗證ACL（顧名思義），即使在客戶端進行驗證之前，您也可允許客戶端流量進出特定IP地址。使用外部Web伺服器進行Web驗證時，某些WLC平台需要外部Web伺服器（Cisco 5500系列控制器、Cisco 2100系列控制器、Cisco 2000系列和控制器網路模組）的預驗證ACL。對其他WLC平台，預身份驗證ACL不是強制性的。但是，使用外部Web驗證時，最好為外部Web伺服器設定預先驗證ACL。

問：我的網路中有一個經過MAC過濾的WLAN和一個完全開放的WLAN。使用者端預設會選擇開放式WLAN嗎？或者，客戶端是否自動與MAC過濾器上設定的WLAN ID關聯？此外，為什麼MAC過濾器上有「interface」選項？

A.用戶端可以連線到使用者端設定要連線的任何WLAN。MAC過濾器中的介面選項允許將過濾器套用到WLAN或介面。如果多個WLAN繫結到同一個介面，則您可以將MAC過濾器應用到該介面，而無需為每個單獨的WLAN建立過濾器。

問：如何為無線LAN控制器(WLC)上的管理使用者設定TACACS驗證？

A.從WLC 4.1版開始，WLC支援TACACS。請參閱設定TACACS+以瞭解如何設定TACACS+以驗證WLC的管理使用者。

問：在無線LAN控制器(WLC)中，過度驗證失敗設定有何用途？

A.此設定是客戶端排除策略之一。使用者端排除是控制器上的安全功能。此策略用於排除客戶端，以防止非法訪問網路或攻擊無線網路。

啟用此過度Web驗證失敗策略後，當使用者端的Web驗證嘗試失敗次數超過5時，控制器會認為使用者端已超過Web驗證的最大嘗試次數，因此排除了使用者端。

完成以下步驟以啟用或禁用此設定：

1. 在WLC GUI中，前往Security > Wireless Protection Policies > Client Exclusion Policies。
2. 選中或取消選中Excessive Web Authentication Failures(Web驗證失敗次數過多)。

問：我已經將我的自主接入點(AP)轉換為輕量模式。在搭載AAA RADIUS伺服器的輕量AP通訊協定(LWAPP)模式下，通常根據WLC的IP位址使用RADIUS記帳來追蹤使用者端。是否可以根據與該WLC關聯的AP的MAC地址而不是WLC的IP地址來設定RADIUS記帳？

答：是，這可以通過WLC端組態來完成。請完成以下步驟：

1. 在控制器GUI的Security > Radius Accounting下，有一個下拉框，用於顯示呼叫站ID型別。選擇AP MAC地址。
2. 通過LWAPP AP日誌驗證這一點。在這裡，您可以看到called-station ID欄位，其中顯示了與特定客戶端關聯的AP的MAC地址。

問：如何透過CLI變更無線LAN控制器(WLC)上的Wi-Fi保護存取(WPA)交握逾時值？我知道使用dot11 wpa handshake timeoutvalue 命令可以在Cisco IOS存取點(AP)上執行此操作，但是如何在WLC上執行此操作？

A.軟體版本4.2及更高版本中整合了通過WLC配置WPA握手逾時的功能。在早期的WLC軟體版本中不需要此選項。

以下命令可用於更改WPA握手超時：

    config advanced eap eapol-key-timeout <value>
    config advanced eap eapol-key-retries <value>

預設值將繼續反映WLC的目前行為。

   - the default value for eapol-key-timeout is 1 second.
   - the default value for eapol-key-retries is 2 retries

註：在Cisco IOS AP上，可以使用dot11 wpa handshake命令配置此設定。

您還可以使用config advanced eap 命令下的選項配置其他EAP引數。

(Cisco Controller) >config advanced eap ?

eapol-key-timeout
   Configures EAPOL-Key Timeout in seconds.
eapol-key-retries
   Configures EAPOL-Key Max Retries.
identity-request-timeout
   Configures EAP-Identity-Request Timeout in seconds.
identity-request-retries
   Configures EAP-Identity-Request Max Retries.
key-index
   Configure the key index used for 
   dynamic WEP(802.1x) unicast key (PTK).
max-login-ignore-identity-response 	
   Configure to ignore the same username count 
   reaching max in the EAP identity response
request-timeout
   Configures EAP-Request Timeout in seconds.
request-retries
   Configures EAP-Request Max Retries.

問：「WLAN > Edit > Advanced」頁面中的診斷通道功能有何用途？

A.診斷通道功能可讓您排查與WLAN進行客戶端通訊相關的問題。客戶端和接入點可以通過一組已定義的測試來確定客戶端經歷通訊困難的原因，然後允許採取糾正措施使客戶端在網路上操作。可以使用控制器GUI或CLI啟用診斷通道，也可以使用控制器CLI或WCS運行診斷測試。

診斷通道只能用於測試。如果嘗試在啟用診斷通道的情況下為WLAN配置身份驗證或加密，則會看到以下錯誤：

問：在一個WLC上可配置的AP組的最大數目是多少？

A.此清單顯示可在WLC上設定的AP群組的最大數量：

• 思科2100系列控制器和控制器網路模組最多支援50個接入點組

• Cisco 4400系列控制器、Cisco WiSM和Cisco 3750G無線LAN控制器交換機最多可有300個接入點組

• Cisco 5500系列控制器最多支援500個接入點組

相關資訊

• 無線區域網路控制器(WLC)錯誤和系統訊息常見問題
• 輕量型接入點常見問題
• 無線LAN控制器上的IPv6支援
• 無線產品支援
• 思科技術支援與下載