本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。
思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。
SSHv1
本文說明無線 LAN 控制器設計和功能的最新資訊。
本文件沒有特定需求。
本文件所述內容不限於特定軟體和硬體版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
A.將WLC連線的交換機埠配置為IEEE 802.1Q中繼埠。請確保交換器上只允許必要的VLAN。通常,WLC的管理和AP-Manager介面未標籤。這表示它們採用所連線交換機的本徵VLAN。這沒有必要。您可以為這些介面分配單獨的VLAN。如需詳細資訊,請參閱設定WLC的交換器。
A.當AP加入WLC時,兩台裝置之間會形成無線存取點通訊協定的控制與布建(CAPWAP)通道。所有流量(包括所有客戶端流量)均通過CAPWAP隧道傳送。
唯一的例外是AP處於混合REAP模式時。混合REAP接入點可以在本地交換客戶端資料流量,並在與控制器的連線斷開時本地執行客戶端身份驗證。連線到控制器時,它們也會將流量傳送回控制器。
答:是,您可以通過WAN從AP獲取WLC。當在遠端邊緣AP(REAP)或混合遠端邊緣AP(H-REAP)模式下配置LAP時,LWAPP/CAPWAP可在WAN上運行。這兩種模式都允許通過WAN鏈路連線的遠端控制器控制AP。流量以本地方式橋接到LAN鏈路,從而避免不必要地通過WAN鏈路傳送本地流量。這恰恰是在您的無線網路中具有WLC的最大優勢之一。
注意:並非所有輕量AP都支援這些模式。例如,只有1131、1140、1242、1250和AP801 LAP支援H-REAP模式。只有1030 AP支援REAP模式,但1010和1020 AP不支援REAP。在計畫實施這些模式之前,請檢查以確定LAP是否支援這些模式。已轉換為LWAPP的Cisco IOS®軟體AP(自治AP)不支援REAP。
A.在REAP模式下,所有控制和管理流量(包括驗證流量)通過隧道返回到WLC。但是,所有資料流量都在遠端辦公室LAN內進行本地交換。與WLC的連線中斷時,除了第一個WLAN(WLAN1)之外,所有WLAN都會終止。目前與此WLAN相關聯的所有使用者端都會保留。為了允許新客戶端在停機時間內在這個WLAN上成功進行身份驗證並接收服務,請將此WLAN的身份驗證方法配置為WEP或WPA-PSK,以便在REAP本地完成身份驗證。有關REAP部署的詳細資訊,請參閱分支機構的REAP部署指南。
在H-REAP模式中,存取點會將控制和管理流量(包括驗證流量)通道回到WLC。如果WLAN配置了H-REAP本地交換,或者將資料流量傳送回WLC,則來自WLAN的資料流量會在遠端辦公室本地橋接。當與WLC的連線丟失時,除前八個使用H-REAP本地交換配置的WLAN外,所有這些WLAN都會終止。目前與這些WLAN相關聯的所有使用者端都會保留。為了允許新客戶端在停機時間內成功驗證和接收這些WLAN上的服務,請將此WLAN的驗證方法配置為WEP、WPA PSK或WPA2 PSK,以便在H-REAP本地完成驗證。
有關H-REAP的詳細資訊,請參閱FlexConnect無線分支機構控制器部署指南。
A. REAP 不支援IEEE 802.1Q VLAN標籤。因此,它不支援多個VLAN。來自所有服務集識別符號(SSID)的流量在同一子網上終止,但H-REAP支援IEEE 802.1Q VLAN標籤。來自每個SSID的流量可以分割為唯一的VLAN。
當與WLC的連線中斷時(即在獨立模式下),REAP僅提供一個WLAN,即第一個WLAN。所有其他WLAN都會停用。在H-REAP中,在停機時間內最多支援8個WLAN。
另一個主要區別在於,在REAP模式下,資料流量只能進行本地橋接。它無法切換回中心辦公室,但是在H-REAP模式下,您可以選擇將流量切換回中心辦公室。來自配置了H-REAP本地交換的WLAN的流量在本地交換。來自其他WLAN的資料流量將切換回中心辦公室。
如需REAP的詳細資訊,請參閱使用輕量AP和無線LAN控制器(WLC)的遠端邊緣AP(REAP)組態範例。
有關H-REAP的詳細資訊,請參閱配置混合REAP。
答:自軟體版本5.2.157.0起,WLC現在可以控制最多512個輕量接入點的WLAN。每個WLAN具有單獨的WLAN ID(1到512)、單獨的配置檔名稱和WLAN SSID,可以為其分配唯一的安全策略。控制器最多會將16個WLAN發佈到每個連線的接入點,但您可以在控制器上建立最多512個WLAN,然後選擇性地將這些WLAN(使用接入點組)發佈到不同的接入點,以更好地管理您的無線網路。
註:Cisco 2106、2112和2125控制器僅支援最多16個WLAN。
註:有關在WLC上設定WLAN的准則的詳細資訊,請參閱思科無線LAN控制器組態設定指南7.0.116.0版中的建立WLAN一節。
A.在WLC中,VLAN繫結到在唯一IP子網中設定的介面。此介面對應到WLAN。接著,與此WLAN相關聯的使用者端會屬於介面的VLAN,並從介面所屬的子網中指派一個IP位址。若要在WLC上設定VLAN,請完成無線LAN控制器上的VLAN組態範例中的程式。
A.AP不會使用管理介面VLAN標籤資料包。AP將來自客戶端的封包封裝在輕量AP通訊協定(LWAPP)/CAPWAP中,然後將封包傳遞到WLC。然後WLC剝離LWAPP/CAPWAP標頭,並將封包轉送到具有適當VLAN標籤的閘道。VLAN標籤取決於客戶端所屬的WLAN。WLC依賴閘道將封包路由到其目的地。為了能夠傳遞多個VLAN的流量,必須將上行鏈路交換機配置為中繼埠。此圖說明VLAN如何與控制器協同工作:
A.WLC將管理介面的IP位址用於任何涉及AAA伺服器的驗證機制(第2層或第3層)。有關WLC上的連線埠和介面的詳細資訊,請參閱思科無線LAN控制器組態設定指南7.0.116.0版中的設定連線埠和介面一節。
A. LWAPP/CAPWAP允許動態冗餘和負載均衡。例如,如果為選項43指定多個IP地址,則LAP會向AP接收的每個IP地址傳送LWAPP/CAPWAP發現請求。在WLC LWAPP/CAPWAP探索回應中,WLC嵌入以下資訊:
有關當前LAP負載的資訊,定義為當時連線到WLC的LAP數量
LAP容量
連線到WLC的無線客戶端數量
然後LAP嘗試加入負載最小的WLC,即具有最大LAP容量的WLC。此外,LAP加入WLC後,LAP會從其加入的WLC得知行動群組中的其他WLC的IP位址。
LAP加入WLC後,您可以在下次重新啟動時讓LAP加入特定WLC。為此,請為LAP分配一個主WLC、輔助WLC和第三個WLC。LAP重新啟動時,會尋找主WLC並加入該WLC,而與該WLC上的負載無關。如果主WLC沒有響應,它將查詢次要WLC,如果沒有響應,則查詢第三WLC。有關如何為LAP配置主WLC的詳細資訊,請參閱
部分
A. 2100系列控制器不支援以下硬體功能:
服務埠(獨立的帶外管理10/100 Mb/s乙太網介面)
2100系列控制器不支援以下軟體功能:
VPN終止(例如IPsec和L2TP)
終止訪客控制器通道(支援建立訪客控制器通道)
外部Web驗證Web伺服器清單
第2層LWAPP
生成樹
連線埠映象
斜長石
堡壘
AppleTalk
每使用者QoS頻寬合約
IPv6傳輸
連結彙總(LAG)
組播單播模式
有線訪客存取
A. 5500系列控制器不支援以下軟體功能:
靜態AP管理器介面
註:對於5500系列控制器,不需要配置AP管理器介面。預設情況下,管理介面充當AP管理器介面,接入點可在此介面上加入。
非對稱行動通道
生成樹通訊協定(STP)
連線埠映象
第2層存取控制清單(ACL)支援
VPN終止(例如IPSec和L2TP)
VPN直通選項
配置802.3橋接、AppleTalk和乙太網點對點協定(PPPoE)
A.網狀網路不支援以下控制器功能:
多國支援
基於負載的CAC(網狀網路僅支援基於頻寬或靜態CAC。)
高可用性(快速心跳和主發現加入計時器)
EAP-FASTv1和802.1X身份驗證
接入點加入優先順序(網狀無線接入點具有固定優先順序。)
具有本地重要性的證書
基於位置的服務
A.WLC上MIC的有效期為10年。建立輕量AP證書(無論是MIC證書還是自簽名證書(SSC))時,同樣的有效期為10年。
答:是,如果WLC1失敗,LAP會從WLC1註銷並重新引導,然後向WLC2重新註冊。由於LAP重新啟動,關聯的WLAN客戶端將失去與重新啟動的LAP的連線。有關相關資訊,請參閱統一無線網路中的AP負載平衡和AP回退。
A.只要控制器上的移動分組配置正確,客戶端漫遊必須工作正常。漫遊不受LWAPP模式(第2層或第3層)的影響。但是,建議儘可能使用第3層LWAPP。
註:只有Cisco 410x和440x系列WLC和Cisco 1000系列接入點支援第2層模式。其他無線LAN控制器和輕量型存取點平台不支援第2層LWAPP。
A.這是客戶端漫遊到新AP時發生的事件序列:
使用者端透過LAP向WLC傳送重新關聯要求。
WLC將行動訊息傳送至行動群組中的其他WLC,以找出使用者端之前與之關聯的WLC。
原始WLC會透過行動訊息回應有關使用者端的資訊,例如MAC位址、IP位址、QoS、安全內容等。
WLC會使用所提供的使用者端詳細資訊更新其資料庫;如有必要,使用者端會進行重新驗證程式。目前與使用者端相關聯的新LAP也會與WLC資料庫中的其他詳細資訊一起更新。這樣,客戶端IP地址在WLC之間的漫遊中得以保留,這有助於提供無縫漫遊。
註:無線客戶端在重新關聯期間不發出(802.11)身份驗證請求。無線客戶端立即發出重新關聯。然後,它可以通過802.1x身份驗證。
A.您必須啟用以下埠:
為LWAPP流量啟用以下UDP埠:
資料 — 數12222
控制 — 管12223
為CAPWAP流量啟用以下UDP埠:
資料 — 5247
控制 — 5246
為移動流量啟用以下UDP埠:
16666 — 安全模式
16667 — 非安全模式
移動和資料消息通常通過EtherIP資料包交換。 必須在防火牆上允許IP協定97以允許EtherIP資料包。如果使用ESP封裝移動資料包,則開啟UDP埠500時,必須允許ISAKMP通過防火牆。您還必須開啟IP協定50,以允許加密的資料通過防火牆。
這些連線埠為選件(視您的要求而定):
適用於SNMP的TCP 161和162(適用於無線控制系統[WCS])
適用於TFTP的UDP 69
TCP 80和/或443,用於HTTP或HTTPS,用於GUI訪問
TCP 23和/或22(用於Telnet)或安全外殼(SSH)用於CLI訪問
A.無線LAN控制器僅支援SSHv2。
A.反向地址解析協定(RARP)是一種鏈路層協定,用於獲取給定鏈路層地址(如乙太網地址)的IP地址。韌體版本為4.0.217.0或更高版本的WLC支援RARP。任何舊版都不支援RARP。
A.控制器包含內部DHCP伺服器。此伺服器通常用於沒有DHCP伺服器的分支機構。若要存取DHCP服務,請在WLC GUI上按一下「Controller」功能表,然後按一下頁面左側的「Internal DHCP Server」選項。有關如何在WLC上設定DHCP範圍的詳細資訊,請參閱Cisco無線LAN控制器組態設定指南7.0.116.0版中的設定DHCP一節。
內部伺服器為無線客戶端、LAP、管理介面上的裝置模式AP以及從LAP中繼的DHCP請求提供DHCP地址。WLC從不為有線網路中的上游裝置提供地址。內部伺服器不支援DHCP選項43,因此AP必須使用替代方法查詢控制器的管理介面IP地址,如本地子網廣播、DNS、啟動或無線發現。
註:4.0之前的WLC韌體版本不支援LAP的DHCP服務,除非LAP直接連線到WLC。內部DHCP伺服器功能僅用於為連線到無線LAN網路的客戶端提供IP地址。
A.DHCP Required是可為WLAN啟用的選項。這需要與特定WLAN相關聯的所有客戶端通過DHCP獲取IP地址。不允許具有靜態IP地址的客戶端與WLAN關聯。此選項位於WLAN的Advanced頁籤下。只有使用者端的IP位址在WLC的MSCB表中存在時,WLC才會允許流量來往/去往使用者端。WLC在其DHCP請求或DHCP續訂期間記錄客戶端的IP地址。這要求客戶端每次重新關聯到WLC時更新其IP地址,因為每當客戶端在其漫遊過程或會話超時過程中取消關聯時,其條目將從MSCB表中清除。使用者端必須再次進行驗證並重新與WLC建立關聯,這會使使用者端專案再次出現在表中。
答:在初始客戶端關聯期間,無線客戶端通過802.1x身份驗證後,AP或WLC會協商成對主金鑰(PMK)。WLC或WDS AP為每個客戶端快取PMK。無線客戶端重新關聯或漫遊時,會跳過802.1x身份驗證並立即驗證PMK。
CCKM中WLC的唯一特殊實作是WLC透過行動封包(例如UDP 16666)交換使用者端PMK。
答:當速度和雙工均進行自動協商時,思科無線產品效果最佳,但是您可以選擇在WLC和LAP上設定雙工設定。若要設定AP速度/雙工設定,可以在控制器上設定LAP的雙工設定,然後將其推送到LAP。
設定ap乙太網路雙工<auto/half/full> speed <auto/10/100/1000> <all/Cisco AP Name>
是用於通過CLI設定雙工設定的命令。此命令僅在4.1版及更高版本中受支援。
若要設定WLC實體介面的雙工設定,請使用命
config port physicalmode {all | port} {100h | 100f | 10h | 10f}
令。此命令將指定或所有前面板10/100BASE-T乙太網埠設定為專用10 Mbps或100 Mbps、半雙工或全雙工操作。請注意,手動設定連線埠上的任何實體模式之前,必須使用config port autoneg disable 命令停用自動交涉。另請注意,config port autoneg 命令會覆寫config port physicalmode 命令所作的設定。預設情況下,所有埠都設定為自動協商。
註:無法更改光纖埠的速度設定。
A.如果存取點已完全關閉且未註冊到控制器,則無法透過控制器追蹤LAP。剩下的唯一方法是您可以訪問這些AP所連線的交換機,並且使用以下命令可以找到它們所連線的交換機埠:
show mac-address-table address
這樣,您就可以知道此AP所連線的交換機上的埠號。然後發出以下命令:
show cdp nei
detail 此命令的輸出也提供了LAP名稱。但是,只有當AP通電並連線到交換機時,才能使用此方法。
A.本地使用者資料庫在「安全」>「一般資訊」頁中的條目最多限製為2048個。此資料庫由本地管理使用者(包括游說大使)、網路使用者(包括訪客使用者)、MAC過濾器條目、接入點授權清單條目和排除清單條目共用。所有這些型別的使用者都不能超過配置的資料庫大小。
要增加本地資料庫,請從CLI使用以下命令:
<Cisco Controller>config database size ? <count> Enter the maximum number of entries (512-2048)註:您必須儲存配置並重置系統(使用reset system命令)才能使更改生效。
A.WLC允許您定義強式密碼原則。可以使用CLI或GUI完成此操作。
在GUI中,前往Security > AAA > Password Policies。此頁面提供一系列選項,可以選擇這些選項來強制使用強式密碼。以下是範例:
A.被動客戶端是配置有靜態IP地址的無線裝置,如刻度和印表機。當這些客戶端與接入點關聯時,它們不會傳輸任何IP資訊,例如IP地址、子網掩碼和網關資訊。因此,使用被動使用者端時,除非控制器使用DHCP,否則控制器永遠不會知道IP位址。
WLC目前充當ARP請求的代理。在收到ARP請求後,控制器用ARP響應進行響應,而不是直接將請求傳遞給客戶端。此方案有兩個優點:
向客戶端傳送ARP請求的上游裝置無法知道客戶端的位置。
行動電話和印表機等電池供電裝置的電源被保留,因為它們不必響應每個ARP請求。
由於無線控制器沒有被動客戶端的任何IP相關資訊,因此無法響應任何ARP請求。當前行為不允許將ARP請求傳輸到被動客戶端。任何嘗試訪問被動客戶端的應用程式都可能失敗。
通過被動客戶端功能,可以在有線和無線客戶端之間交換ARP請求和響應。此功能啟用後,允許控制器將來自有線客戶端的ARP請求傳送到無線客戶端,直到所需的無線客戶端進入RUN狀態。
有關如何配置被動客戶端功能的資訊,請參閱思科無線LAN控制器配置指南7.0.116.0版中的使用GUI配置被動客戶端一節。
答:WLC上的作業階段逾時引數可用於完成此操作。預設情況下,會話超時引數配置為1800秒,然後進行重新身份驗證。
將此值變更為180秒,讓使用者端在三分鐘之後重新進行驗證。
若要存取作業階段逾時引數,請在GUI中按一下「WLANs」功能表。它顯示WLC中配置的WLAN清單。按一下使用者端所屬的WLAN。前往Advanced< span>索引標籤,然後找到Enable Session Timeoutparameter。將預設值更改為180,然後按一下Apply以使更改生效。
當以Access-Accept和Termination-Action值RADIUS-Request一起傳送時, Session-Timeout屬性指定重新身份驗證之前提供服務的最大秒數。在這種情況下,Session-Timeout屬性用於在802.1X的重新驗證計時器狀態機器中載入ReAuthPeriod常數。
答:不,WLC 4400不會通過EoIP隧道將有線端的IP子網廣播轉發到無線客戶端。這不是支援的功能。在訪客存取拓撲中,思科不支援子網廣播或多點傳送的通道。由於訪客WLAN將客戶端存在點強制到網路中非常特定的位置(大多在防火牆之外),因此子網廣播的隧道傳輸可能會成為一個安全問題。
答:Cisco Unified Wireless Network(UWN)解決方案WLAN支援四級QoS:
白金/語音
金牌/影片
銀牌/盡力服務(預設)
銅牌/背景
您可以將語音流量WLAN配置為使用白金QoS,將低頻寬WLAN配置為使用銅牌QoS,並在其他QoS級別之間分配所有其它流量。有關詳細資訊,請參閱為WLAN分配QoS配置檔案。
答:不,WLC僅支援Cisco WGB產品。不支援Linksys WGB。雖然Cisco無線統一解決方案不支援Linksys WET54G和WET11B乙太網網橋,但如果您使用以下准則,則可以在無線統一解決方案配置中使用這些裝置:
僅將一台裝置連線到WET54G或WET11B。
啟用WET54G或WET11B上的MAC克隆功能以克隆連線的裝置。
在連線到WET54G或WET11B的裝置上安裝最新的驅動程式和韌體。該指南對於JetDirect印表機特別重要,因為早期的韌體版本會導致DHCP問題。
註:不支援其他第三方網橋。上述步驟也可嘗試用於其他第三方網橋。
A. WLC包含兩種記憶體:
Volatile RAM — 保留當前的主用控制器配置
非揮發性RAM(NVRAM) — 保留重新啟動配置
在WLC中配置作業系統時,您是在修改易失性RAM。您必須將來自易失性RAM的組態儲存到NVRAM中,才能確保WLC以目前的組態重新啟動。
在執行這些任務時,必須知道要修改哪些記憶體:
使用配置嚮導。
清除控制器組態。
儲存配置。
重設控制器。
註銷CLI。
答:WLC上沒有單獨的EAP型別設定。對於Light EAP(LEAP)、EAP Flexible Authentication via Secure Tunneling(EAP-FAST)或Microsoft Protected EAP(MS-PEAP),只需配置IEEE 802.1x或Wi-Fi Protected Access(WPA)(如果將802.1x與WPA一起使用)。通過802.1x標籤支援RADIUS後端和客戶端上支援的任何EAP型別。客戶端和RADIUS伺服器上的EAP設定必須匹配。
完成以下步驟,以便透過WLC上的GUI啟用EAP:
- 在WLC GUI中,按一下WLANs。
- 此時會顯示WLC中設定的WLAN清單。按一下WLAN。
- 在WLANs > Edit中,按一下Security頁籤。
- 按一下Layer 2,然後選擇Layer 2 Security作為802.1x或WPA+WPA2。您還可以配置在同一視窗中可用的802.1x引數。接著,WLC在無線使用者端和驗證伺服器之間轉送EAP驗證封包。
- 按一下AAA伺服器,然後從此WLAN的下拉選單中選擇身份驗證伺服器。我們假設已全域性配置身份驗證伺服器。
A.Fast SSID Changing允許客戶端在SSID之間移動。當客戶端為不同的SSID傳送新關聯時,控制器連線表中的客戶端條目會在客戶端新增到新SSID之前被清除。禁用「快速SSID更改」後,控制器將實施延遲,然後允許客戶端移動到新的SSID。有關如何啟用快速SSID更改的資訊,請參閱思科無線LAN控制器配置指南7.0.116.0版中的配置快速SSID更改部分。
答:您可以設定可以連線到WLAN的客戶端數量的限制,這在可以連線到控制器的客戶端數量有限的情況下非常有用。每個WLAN可設定的使用者端數量取決於您使用的平台。
請參閱思科無線LAN控制器組態設定指南7.0.116.0版中的設定每個WLAN的最大使用者端數量一節,以取得更多有關無線LAN控制器不同平台的每個WLAN使用者端限制的資料。
A. PKC代表主動金鑰快取。它被設計為802.11i IEEE標準的擴展。
PKC是Cisco 2006/410x/440x系列控制器中啟用的一種功能,允許正確配備的wireleTalk與Tech Writer聯絡。允許客戶端漫遊,而無需使用AAA伺服器進行完全重新身份驗證。為了瞭解PKC,您首先需要了解金鑰快取。
金鑰快取是新增到WPA2的功能。這允許移動站快取通過成功與接入點(AP)進行身份驗證而獲得的主金鑰(成對主金鑰[PMK]),並在將來與同一AP關聯時重新使用該金鑰。這意味著給定流動裝置需要向特定AP進行一次身份驗證,並快取金鑰以供將來使用。金鑰快取通過稱為PMK識別符號(PMKID)的機制處理,該機制是PMK、字串、站點和AP的MAC地址的雜湊。PMKID可唯一識別PMK。
即使使用金鑰快取,無線站點也必須通過希望獲得服務的每個AP進行身份驗證。這會帶來嚴重的延遲和開銷,從而延遲移交過程,並會抑制支援即時應用程式的能力。為了解決此問題,在WPA2中引入了PKC。
PKC允許站點重複使用之前通過成功身份驗證過程獲得的PMK。這樣消除了站點在漫遊時根據新AP進行身份驗證的需要。
因此,在控制器內漫遊中,當流動裝置在同一控制器上從一個AP移動到另一個AP時,客戶端使用先前使用的PMK重新計算PMKID並在關聯過程中顯示它。WLC會搜尋其PMK快取,以確定它是否有此類專案。如果是,它將繞過802.1x身份驗證過程,並立即啟動WPA2金鑰交換。如果失敗,則會執行標準802.1X驗證程式。
PKC在WPA2中預設啟用。因此,當您在WLC的WLAN設定下啟用WPA2作為第2層安全性時,會在WLC上啟用PKC。此外,配置AAA伺服器和無線客戶端進行適當的EAP身份驗證。
客戶端使用的請求方也必須支援WPA2,PKC才能正常工作。PKC也可以在控制器間漫遊環境中實施。
注意:PKC無法與Aironet Desktop Utility(ADU)一起作為客戶端請求方使用。
A.ARP時間用於刪除WLC上從網路獲知的裝置的ARP條目。
User Idle Timeout:當使用者在設定為User Idle Timeout的時間段內與LAP沒有任何通訊而處於空閒狀態時,WLC將取消對客戶端的身份驗證。使用者端必須重新驗證並重新與WLC關聯。它用於客戶端無需通知LAP即可從其關聯的LAP中丟棄的情況。如果客戶端上的電池耗盡或者客戶端關聯程式移開,則可能會發生這種情況。
註:要在WLC GUI上訪問ARP和使用者空閒超時,請轉到Controller選單。從左側選擇General以查詢ARP和User Idle Timeout欄位。
作業階段時間是使用WLC的使用者端作業階段的最長時間。這之後,WLC會取消使用者端的驗證,而使用者端會再次執行整個驗證(重新驗證)程式。這是輪轉加密金鑰的安全預防措施的一部分。如果將可擴展身份驗證協定(EAP)方法用於金鑰管理,則每隔一個正常間隔就會重新生成金鑰,以便生成新的加密金鑰。如果沒有金鑰管理,此超時值是無線客戶端需要執行完全重新身份驗證的時間。作業階段逾時特定於WLAN。此引數可以從WLANs>編輯選單訪問。
無線電頻率識別(RFID)是一種使用射頻通訊進行相當短距離通訊的技術。一個基本的RFID系統由RFID標籤、RFID閱讀器和處理軟體組成。
目前,思科支援來自AeroScout和Pango的RFID標籤。有關如何配置AeroScout標籤的詳細資訊,請參閱AeroScout RFID標籤的WLC配置。
答:是,可以在WLC本機上執行EAP身份驗證。本地EAP是一種身份驗證方法,允許使用者和無線客戶端在WLC上進行本地身份驗證。它專用於希望在後端系統被中斷或外部身份驗證伺服器關閉時保持與無線客戶端連線的遠端辦公室。啟用本地EAP時,WLC充當身份驗證伺服器。有關如何為本地EAP-Fast身份驗證配置WLC的詳細資訊,請參閱使用EAP-FAST和LDAP伺服器配置的無線LAN控制器上的本地EAP身份驗證示例。
A.WLAN覆寫功能可讓我們從WLC上設定的WLAN中選擇WLAN,這些WLAN可針對個別LAP主動使用。完成以下步驟即可設定WLAN覆寫:
- 在WLC GUI中,按一下「Wireless」功能表。
- 按一下左側的Radiations選項,然後選擇802.11 a/n 或802.11 b/g/n。
- 從右側與要配置WLAN覆蓋的AP名稱對應的下拉選單中按一下Configure連結。
- 從WLAN Override下拉選單中選擇Enable。WLAN Override選單是視窗左側的最後一個專案。
- 此時會顯示WLC上設定的所有WLAN的清單。
- 在此清單中,檢查要顯示在LAP上的WLAN,然後按一下Apply以使更改生效。
- 在進行這些更改後儲存配置。
如果AP在所有WLC上配置了您要覆蓋的WLAN配置檔案和SSID,則這些AP在註冊到其他WLC時會保留WLAN覆蓋值。
註:在控制器軟體版本5.2.157.0中,已從控制器GUI和CLI中刪除WLAN覆蓋功能。如果您的控制器設定為WLAN覆寫,且您升級至控制器軟體版本5.2.157.0,則控制器會刪除WLAN設定並廣播所有WLAN。如果設定存取點群組,您可以指定僅傳輸特定的WLAN。每個接入點僅通告屬於其接入點組的已啟用的WLAN。
註:接入點組不會啟用AP的每個無線介面上傳輸的WLAN。
答:目前,4400和4100系列控制器僅支援IPv6客戶端傳輸。不支援本地IPv6支援。
要在WLC上啟用IPv6,請選中WLAN > Edit頁面下WLAN SSID配置上的IPv6 Enable覈取方塊。
此外,支援IPv6還需要乙太網組播模式(EMM)。如果禁用EMM,則使用IPv6的客戶端裝置會失去連線。若要啟用EMM,請前往Controller > General頁面,並從乙太網路多點傳送模式下拉選單中選擇單點傳播或多點傳送。這樣即可在單播模式或多播模式下啟用組播。當組播作為組播單播啟用時,將為每個AP複製資料包。這會佔用大量處理器,因此請謹慎使用。啟用組播時,組播使用使用者分配的組播地址執行到接入點(AP)的更傳統的組播。
註:2006控制器不支援IPv6。
此外,還有思科錯誤ID CSCsg78176,用於防止在使用AAA覆蓋功能時使用IPv6傳輸。
注意:只有註冊的思科使用者才能訪問內部思科工具和資訊。
A.所有Cisco WLC都支援Web驗證。Web驗證是使用簡單驗證憑證對使用者進行驗證的第3層驗證方法。不涉及加密。完成以下步驟即可啟用此功能:
- 在GUI中,按一下WLAN功能表。
- 按一下WLAN。
- 前往Security索引標籤並選擇Layer 3。
- 選中Web Policy框並選擇Authentication。
- 按一下「Apply」以儲存變更。
- 若要在WLC上建立資料庫以對使用者進行驗證,請前往GUI上的Security功能表,選擇Local Net User</strong>,然後完成以下動作:
- 定義訪客用於登入的訪客使用者名稱和密碼。這些值區分大小寫。
- 選擇您使用的WLAN ID。
註:有關更詳細的配置,請參閱無線LAN控制器Web驗證配置示例。
答:一旦啟用WLC,就可以通過無線模式對其進行管理。有關如何啟用無線模式的詳細資訊,請參閱思科無線LAN控制器組態設定指南7.0.116.0版中的啟用與GUI和CLI的無線連線。
A.LAG將WLC上的所有埠捆綁到單個EtherChannel介面中。系統通過LAG動態管理流量負載均衡和埠冗餘。
通常,WLC上的介面具有與其相關的多個引數,包括IP位址、預設閘道(用於IP子網路)、主要實體連線埠、次要實體連線埠、VLAN標籤和DHCP伺服器。不使用LAG時,通常會將每個介面對映到物理埠,但也可以將多個介面對映到單個WLC埠。使用LAG時,系統會將介面動態對映到聚合埠通道。這有助於實現埠冗餘和負載平衡。當埠發生故障時,介面會動態對映到下一個可用物理埠,並且LAP會在埠之間平衡。
在WLC上啟用LAG後,WLC會在收到資料幀的相同連線埠上轉送資料幀。WLC依靠鄰居交換器來平衡EtherChannel中的流量負載。WLC不會自行執行任何EtherChannel負載平衡。
例如,Cisco 5500系列控制器在軟體版本6.0或更高版本中支援LAG,Cisco 4400系列控制器在軟體版本3.2或更高版本中支援LAG,並且Cisco WiSM和Catalyst 3750G整合無線LAN控制器交換機內的控制器上自動啟用LAG。如果沒有LAG,Cisco 4400系列控制器上的每個分佈系統埠最多支援48個接入點。啟用LAG後,Cisco 4402控制器邏輯埠支援最多50個接入點,Cisco 4404控制器邏輯埠支援最多100個接入點,Catalyst 3750G整合無線LAN控制器交換機上的邏輯埠和每個Cisco WiSM控制器上的邏輯埠支援最多150個接入點。
Cisco 2106和2006 WLC不支援LAG。早期的型號(例如Cisco 4000系列WLC)不支援LAG。
A.自動錨點行動化(或訪客WLAN行動化)用於改善無線LAN(WLAN)上漫遊使用者端的負載平衡和安全。在正常漫遊情況下,客戶端裝置會加入WLAN並錨定到它們所聯絡的第一個控制器。如果客戶端漫遊到不同的子網,則客戶端漫遊到的控制器為客戶端與錨點控制器建立外部會話。透過使用自動錨點行動功能,您可以指定一個控制器或一組控制器作為WLAN上使用者端的錨點。
注意:不得為第3層移動性配置移動錨點。行動錨點僅用於訪客通道。
答:Cisco 2000系列WLC無法指定為WLAN的錨點。但是,在Cisco 2000系列WLC上建立的WLAN可以將Cisco 4100系列WLC和Cisco 4400系列WLC作為其錨點。
A.Controller軟體版本4.1到5.1同時支援非對稱和對稱行動通道。控制器軟體版本5.2或更新版本僅支援對稱行動通道,此功能現在預設一律啟用。
在非對稱通道中,前往有線網路的使用者端流量會直接透過外部控制器路由。當上游路由器啟用反向路徑過濾(RPF)時,非對稱隧道會中斷。在這種情況下,由於RPF檢查可確保返回源地址的路徑與資料包的來源路徑匹配,因此會在路由器上丟棄客戶端流量。
啟用對稱行動通道時,所有使用者端流量都會傳送到錨點控制器,然後可以成功通過RPF檢查。對稱移動隧道在以下情況下也非常有用:
如果客戶端資料包路徑中的防火牆安裝由於源IP地址與接收資料包的子網不匹配而丟棄資料包,這將非常有用。
如果錨點控制器上的接入點組VLAN與外部控制器上的WLAN介面VLAN不同:在這種情況下,在移動事件期間,客戶端流量可能在不正確的VLAN上傳送。
答:當網路關閉時,服務連線埠可以存取WLC。此埠分配的IP地址與WLC的其他埠完全不同的子網中,因此稱為帶外管理。如需詳細資訊,請參閱思科無線LAN控制器組態設定指南7.0.116.0版中的設定連線埠和介面一節。
答:是,如果您的WLAN網路中有兩個或多個WLC,則可以配置它們進行備援。一般來說,LAP會連線到已設定的主WLC。主WLC發生故障後,LAP將重新啟動並加入移動組中的另一個WLC。故障轉移是一項功能,其中LAP輪詢主WLC並在主WLC運行後加入主WLC。有關詳細資訊,請參閱輕量接入點的WLAN控制器故障轉移配置示例。
A.使用預先驗證ACL(顧名思義),即使在客戶端進行驗證之前,您也可允許客戶端流量進出特定IP地址。使用外部Web伺服器進行Web驗證時,某些WLC平台需要外部Web伺服器(Cisco 5500系列控制器、Cisco 2100系列控制器、Cisco 2000系列和控制器網路模組)的預驗證ACL。對其他WLC平台,預身份驗證ACL不是強制性的。但是,使用外部Web驗證時,最好為外部Web伺服器設定預先驗證ACL。
A.用戶端可以連線到使用者端設定要連線的任何WLAN。MAC過濾器中的介面選項允許將過濾器套用到WLAN或介面。如果多個WLAN繫結到同一個介面,則您可以將MAC過濾器應用到該介面,而無需為每個單獨的WLAN建立過濾器。
A.從WLC 4.1版開始,WLC支援TACACS。請參閱設定TACACS+以瞭解如何設定TACACS+以驗證WLC的管理使用者。
A.此設定是客戶端排除策略之一。使用者端排除是控制器上的安全功能。此策略用於排除客戶端,以防止非法訪問網路或攻擊無線網路。
啟用此過度Web驗證失敗策略後,當使用者端的Web驗證嘗試失敗次數超過5時,控制器會認為使用者端已超過Web驗證的最大嘗試次數,因此排除了使用者端。
完成以下步驟以啟用或禁用此設定:
- 在WLC GUI中,前往Security > Wireless Protection Policies > Client Exclusion Policies。
- 選中或取消選中Excessive Web Authentication Failures(Web驗證失敗次數過多)。
答:是,這可以通過WLC端組態來完成。請完成以下步驟:
- 在控制器GUI的Security > Radius Accounting下,有一個下拉框,用於顯示呼叫站ID型別。選擇AP MAC地址。
- 通過LWAPP AP日誌驗證這一點。在這裡,您可以看到called-station ID欄位,其中顯示了與特定客戶端關聯的AP的MAC地址。
A.軟體版本4.2及更高版本中整合了通過WLC配置WPA握手逾時的功能。在早期的WLC軟體版本中不需要此選項。
以下命令可用於更改WPA握手超時:
config advanced eap eapol-key-timeout <value> config advanced eap eapol-key-retries <value>預設值將繼續反映WLC的目前行為。
- the default value for eapol-key-timeout is 1 second. - the default value for eapol-key-retries is 2 retries註:在Cisco IOS AP上,可以使用dot11 wpa handshake命令配置此設定。
您還可以使用config advanced eap 命令下的選項配置其他EAP引數。
(Cisco Controller) >config advanced eap ? eapol-key-timeout Configures EAPOL-Key Timeout in seconds. eapol-key-retries Configures EAPOL-Key Max Retries. identity-request-timeout Configures EAP-Identity-Request Timeout in seconds. identity-request-retries Configures EAP-Identity-Request Max Retries. key-index Configure the key index used for dynamic WEP(802.1x) unicast key (PTK). max-login-ignore-identity-response Configure to ignore the same username count reaching max in the EAP identity response request-timeout Configures EAP-Request Timeout in seconds. request-retries Configures EAP-Request Max Retries.
A.診斷通道功能可讓您排查與WLAN進行客戶端通訊相關的問題。客戶端和接入點可以通過一組已定義的測試來確定客戶端經歷通訊困難的原因,然後允許採取糾正措施使客戶端在網路上操作。可以使用控制器GUI或CLI啟用診斷通道,也可以使用控制器CLI或WCS運行診斷測試。
診斷通道只能用於測試。如果嘗試在啟用診斷通道的情況下為WLAN配置身份驗證或加密,則會看到以下錯誤:
A.此清單顯示可在WLC上設定的AP群組的最大數量:
思科2100系列控制器和控制器網路模組最多支援50個接入點組
Cisco 4400系列控制器、Cisco WiSM和Cisco 3750G無線LAN控制器交換機最多可有300個接入點組
Cisco 5500系列控制器最多支援500個接入點組
修訂 | 發佈日期 | 意見 |
---|---|---|
2.0 |
14-Jul-2023 |
重新認證 |
1.0 |
02-Mar-2015 |
初始版本 |