無線控制器配置基礎(chǔ)2014年6月3日無線控制器配置基礎(chǔ)基本配置任務(wù)及過程準(zhǔn)備工作控制器啟動配置和升級控制器軟件版本熟悉控制器配置界面3.連接AP到控制器上配置任務(wù)思科CSSC無線客戶端的安裝和簡單配置構(gòu)建一個OPEN和一個WEP的無線網(wǎng)絡(luò)構(gòu)建一個簡單WEB認(rèn)證的無線網(wǎng)絡(luò)構(gòu)建一個支持本地EAP認(rèn)證的無線網(wǎng)絡(luò)構(gòu)建一個用ACS做AAA認(rèn)證的無線網(wǎng)絡(luò)基本配置任務(wù)及過程準(zhǔn)備工作PresentationTitleSize30PT

Option2:Live準(zhǔn)備工作PresentationTitleSize30PT

O基本設(shè)備控制器4400或者2100系列AP：1130或者1240系列交換機：最好是3560POE交換機基本設(shè)備控制器4400或者2100系列2100系列無線控制器支持802.11a/b/g/n支持PCI認(rèn)證WLC2100硬件8個FE口，2個上聯(lián)口，6個下聯(lián)口其中2個FE口有以太網(wǎng)供電未使用端口2個USB端口和一個擴展槽留作將來擴展用*2106和2006不能作為guestaccess的anchorcontroller*不支持LinkAggregation*不能通過軟件升級AP容量AIR-WLC2125-K92100SeriesWLANControllerforupto25LightweightAPs$18,890AIR-WLC2112-K92100SeriesWLANControllerforupto12LightweightAPs$10,070AIR-WLC2106-K92100SeriesWLANControllerforupto6LightweightAPs$4,875NEW!2100系列無線控制器支持802.11a/b/g/n*2104400系列無線控制器1RU高度2口

或者4口千兆上聯(lián)支持12,25,50or100AP支持5000MAC地址轉(zhuǎn)發(fā)表

10/100Base-TX以太網(wǎng)ServicePort9pin串口Console口2擴展槽和1個utilityport目前未使用2熱插拔電源模塊插槽44xxWLANController型號4402支持12,25,和50AP型號4404支持100APs*不能通過軟件升級AP容量*4400系列使用SFP光纖模塊*4400系列每port支持50個AP4400系列無線控制器1RU高度44xxWLANCo準(zhǔn)備工作網(wǎng)線和Console線。如果是4400，需要兩頭是DB9接口的線，如果是2106或者ISR，需要DB9+RJ45的線如果是4400，需要GLC光纖模塊和光纖確認(rèn)控制器版本是否需要升級(用命令showsysinfo查看系統(tǒng)版本)是否需要將胖AP升級到瘦AP1200/1100/1300需要upgradetool做升級，1250不需要工具，直接在圖形化界面上升級準(zhǔn)備工作網(wǎng)線和Console線。如果是4400，需要兩頭是D實驗拓?fù)涫纠齌RUNKVLAN1/20/30/40fa0/1port1WLC說明：1、VLAN1用于連接控制器、AP和ACS；2、VLAN20用于WPA/WPA2認(rèn)證，認(rèn)證服務(wù)器用ACS。3、VLAN30用作OPEN/WEP/GUEST客戶接入3、VLAN40用作WPA/WPA2認(rèn)證，認(rèn)證用本地EAPSSID:VLAN20SSID:VLAN30PC//AAA服務(wù)器VLAN1所有3層網(wǎng)關(guān)設(shè)置在3層交換機上，地址254實驗拓?fù)涫纠齌RUNKVLAN1/20/30/40fa0/1啟動選項ThecontrollerbootsequencewillalwayshavetheseoptionavailablesincethisissetinPROMtoensurecontrollerrecoveryoptions按5清空配置啟動選項Thecontrollerbootsequen系統(tǒng)啟動界面和配置(OS5.1)Wouldyouliketoterminateautoinstall?[yes]:SystemName[Cisco_51:2b:60](31charactersmax):2106-demoAUTO-INSTALL:processterminated--noconfigurationloadedEnterAdministrativeUserName(24charactersmax):ciscoEnterAdministrativePassword(24charactersmax):ciscoRe-enterAdministrativePassword:ciscoManagementInterfaceIPAddress:ManagementInterfaceNetmask:ManagementInterfaceDefaultRouter:54ManagementInterfaceVLANIdentifier(0=untagged):ManagementInterfacePortNum[1to8]:1ManagementInterfaceDHCPServerIPAddress:54APManagerInterfaceIPAddress:AP-ManagerisonManagementsubnet,usingsamevaluesAPManagerInterfaceDHCPServer(54):VirtualGatewayIPAddress:Mobility/RFGroupName:demo系統(tǒng)啟動界面和配置(OS5.1)Wouldyouli系統(tǒng)啟動界面（續(xù)）EnableSymmetricMobilityTunneling[yes][NO]:yesNetworkName(SSID):openAllowStaticIPAddresses[YES][no]:ConfigureaRADIUSServernow?[YES][no]:noWarning!ThedefaultWLANsecuritypolicyrequiresaRADIUSserver.Pleaseseedocumentationformoredetails.EnterCountryCodelist(enter'help'foralistofcountries)[US]:CNEnable802.11bNetwork[YES][no]:Enable802.11aNetwork[YES][no]:Enable802.11gNetwork[YES][no]:EnableAuto-RF[YES][no]:ConfigureaNTPservernow?[YES][no]:noConfigurethesystemtimenow?[YES][no]:EnterthedateinMM/DD/YYformat:09/28/08EnterthetimeinHH:MM:SSformat:17:11:00Configurationcorrect?Ifyes,systemwillsaveitandreset.[yes][NO]:yesConfigurationsaved!Resettingsystemwithnewconfiguration...非常重要，Controller的wireless的domain要和AP一致。系統(tǒng)啟動界面（續(xù)）非常重要，Controller的wirel配置3層交換機pdhcpexcluded-addressipdhcpexcluded-address54ipdhcpexcluded-address!ipdhcppoolAPnetworkdefault-router54!interfaceFastEthernet0/1switchporttrunkencapsulationdot1qswitchportmodetrunk……interfaceVlan1ipaddress54!interfaceVlan20ipaddress54!interfaceVlan30ipaddress54!interfaceVlan40ipaddress54……linevty04privilegelevel15passwordciscologin配置3層交換機pdhcpexcluded-address配置WEB訪問1、使用直通網(wǎng)線，連接交換機的trunk接口到控制器端口12、配置PC機的IP地址00/24或者DHCP，網(wǎng)關(guān)543、測試PC能否Ping通Controller的地址：3、用訪問控制器，如果要開啟http訪問，需要在系統(tǒng)里打開。配置WEB訪問1、使用直通網(wǎng)線，連接交換機的trunk接口到使用IE瀏覽器進(jìn)行WEB訪問使用IE瀏覽器進(jìn)行WEB訪問如果要升級控制器系統(tǒng)軟件tftp服務(wù)器推薦tftpd32tftpd32.支持64M以上文件傳輸如果要升級控制器系統(tǒng)軟件tftp服務(wù)器推薦tftpd32在CCO上下載新版本支持室內(nèi)室外mesh版本支持802.11n和其他新功能的普通版本/kobayashi/sw-center/sw-wireless.shtml在CCO上下載新版本支持室內(nèi)室外mesh版本支持802.UpgradePathtoControllerSoftwareReleaseoraboveCurrentSoftwareReleaseUpgradePathtoSoftwareorlater3.2releaseUpgradetoa4.1releasebeforeupgradingto.orlater4.0releaseUpgradetoa4.1or4.2releasebeforeupgradingtoorlater4.1releaseYoucanupgradedirectlyto.orlater4.2releaseYoucanupgradedirectlyto.

注意：由于配置存儲格式不同，從3.x-4.x升級到5.x后，原來的部分配置可能丟失UpgradePathtoControllerSofUpgradePathtoControllerSoftwareReleaseCurrentSoftwareReleaseUpgradePathtoSoftware

Upgradetooralater4.0releasebeforeupgradingto.10

IfyourcontrollerisconfiguredwiththenewJ3countrycode,upgradeto0oralater3.2release.IfyourcontrollerisnotconfiguredforthenewJ3countrycode,youcanupgradeto0oralater3.2releaseortooralater4.0release.0orlater3.2releaseYoucanupgradedirectlyto.

Upgradetooralater4.0releasebeforeupgradingto.1orlater4.0releaseYoucanupgradedirectlyto.UpgradePathtoControllerSof控制器軟件升級——命令行方式Step1.ping

server-ip-address測試控制器與TFTPserver的連通性Step2.transferdownloadmodetftp

設(shè)置傳輸使用的協(xié)議：tftpStep3.transferdownloaddatatypecode

設(shè)置傳輸?shù)臄?shù)據(jù)類型Step4.transferdownloadserverip

server-ip-address

指定tftpserver的IP地址Step5.transferdownloadfilename

filename

制定Image的文件名Step6.transferdownloadstart

開始傳輸文件，確認(rèn)時如果回答No,則顯示TFTP的參數(shù)設(shè)置Step7.resetsystem

WLC的系統(tǒng)重新啟動注：TFTP服務(wù)器軟件推薦tftpd32，可以在網(wǎng)上免費下載，支持64M以上大文件傳輸控制器軟件升級——命令行方式Step1.pingse控制器軟件升級——圖形界面電腦上設(shè)置好Tftp軟件；填入Tftp地址和文件名后，選擇右側(cè)的download按鈕開始。完成后按提示reboot?？刂破鬈浖墶獔D形界面電腦上設(shè)置好Tftp軟件；PresentationTitleSize30PT

Option2:Live熟悉無線控制器

Controller配置界面PresentationTitleSize30PT

O命令行(CLI)

基本命令cisco命令行(CLI)

基本命令cisco命令行(CLI)

“clear”Commands命令行(CLI)

“clear”Commands命令行(CLI)

“config”Commands……andmore命令行(CLI)

“config”Commands……命令行(CLI)

“debug”Command命令行(CLI)

“debug”Command命令行(CLI)

“help”Commands命令行(CLI)

“help”Commands命令行(CLI)

“show”Commands命令行(CLI)

“show”Commands命令行(CLI)

“transfer”Commands命令行(CLI)

“transfer”Commands使用IE瀏覽器進(jìn)行WEB訪問使用IE瀏覽器進(jìn)行WEB訪問控制器上查看和設(shè)置無線網(wǎng)絡(luò)SSID控制器上查看和設(shè)置無線網(wǎng)絡(luò)SSID控制器配置頁面配置接口配置控制器做DHCP服務(wù)器定義無線組參看和配置端口控制器配置頁面配置接口配置控制器做DHCP服務(wù)器定義無線組參配置接口頁面配置接口頁面設(shè)置控制器做DHCP服務(wù)器設(shè)置控制器做DHCP服務(wù)器定義移動組定義移動組設(shè)置端口頁面設(shè)置端口頁面多個控制器時，設(shè)定主控制器多個控制器時，設(shè)定主控制器點擊WIRELESS/ALLAPs點擊WIRELESS/ALLAPs安全頁面Radius服務(wù)器配置本地用戶數(shù)據(jù)庫MAC地址過濾WEB認(rèn)證相關(guān)配置本地EAP安全頁面Radius服務(wù)器配置本地用戶數(shù)據(jù)庫MAC地址過濾W管理界面定義能夠進(jìn)行Controller管理的管理用戶管理界面定義能夠進(jìn)行Controller管理的管理用戶控制器維護(hù)管理界面系統(tǒng)和配置文件的上傳、下載配置控制器軟重啟控制器維護(hù)管理界面系統(tǒng)和配置文件的上傳、下載配置控制器軟重啟AP射頻模塊配置界面AP射頻模塊配置界面AP發(fā)射功率調(diào)節(jié)(AP1131)

TxPowerNumOfSupportedPowerLevels.............6TxPowerLevel1..........................14dBmTxPowerLevel2..........................11dBmTxPowerLevel3..........................8dBmTxPowerLevel4..........................5dBmTxPowerLevel5..........................2dBmTxPowerLevel6..........................-1dBmAP1242的level1是17dBmAP發(fā)射功率調(diào)節(jié)(AP1131)TxPowerAP125.1版本對HA的增強Failover等級全局HA配置5.1版本對HA的增強Failover等級全局HA配置PresentationTitleSize30PT

Option2:Live連接AP到控制器PresentationTitleSize30PT

OController里的Port還有Vlan以及Interface的對應(yīng)關(guān)系Controller必需配置的接口帶內(nèi)管理接口—“ManagementInterface”LWAPPTunnel終結(jié)接口—“APManagerInterface”橋接的無線客戶端接口—“DynamicInterfaces”.二三層漫游而設(shè)的虛擬接口—“VirtualInterface”可選接口:服務(wù)接口—帶外管理接口*2100系列和WLCM沒有serviceportController里的Port還有Vlan以及Interf確認(rèn)控制器國家版本與AP一致目前版本支持同時支持多國家確認(rèn)控制器國家版本與AP一致目前版本支持同時支持多國家確認(rèn)時間配置無誤確認(rèn)時間配置無誤在路由器或者3層交換機設(shè)置DHCP在AP和控制器不在同一網(wǎng)段的情況下，建立AP能夠獲取IPAddress的地址池，加上Option43WLC-router(config)#ipdhcppoolLWAPP-APWLC-router(dhcp-config)#networkWLC-router(dhcp-config)#default-router54WLC-router(dhcp-config)#option43ascii"“//很重要！通過Option43可以讓AP在獲取和控制器不同網(wǎng)段IPAddress的時候，能夠知道Controller的所在。如果AP和控制器在一個網(wǎng)段和廣播域，則可以不配置option43WLC-router(dhcp-config)#exitWLC-router(config)#ipdhcpexcluded-address54在路由器或者3層交換機設(shè)置DHCP在AP和控制器不在同一網(wǎng)段在IOS設(shè)備配置Option43對于1000/1500系列，直接寫option43ascii“,0“對于1100和1200，需要寫option60和option43假設(shè)要連接1240，控制器地址為和0ipdhcppoolAPnetwork/24default-router54dns-server00option60ascii“CiscoAPc1240“option43hexf108c0a80a05c0a80a14option43的配置詳見/en/US/tech/tk722/tk809/technologies_configuration_example09186a00808714fe.shtmlVCIString1130的是CiscoAPc1130類型=f1長度=2x4=080在IOS設(shè)備配置Option43對于1000/1500系列可以在console上打開debug觀察AP加入情況(CiscoController)>debuglwappeventsenable(CiscoController)>*Oct0419:20:19.154:00:1a:e3:d0:19:50ReceivedLWAPPDISCOVERYREQUESTfromAP00:1a:e3:d0:19:50to00:1e:13:51:2b:60onport'8'*Oct0419:20:19.154:Receivedapacketwhichisa(type=DISCOVERY_REQUEST)withsessionid0*Oct0419:20:19.154:JoinPriorityProcessingstatus=0,IncomingAp'sPriority1,MaxLrads=6,joinedAps=0*Oct0419:20:19.155:00:1a:e3:d0:19:50SuccessfultransmissionofLWAPPDiscoveryResponsetoAP00:1a:e3:d0:19:50onport8*Oct0419:20:19.156:00:1a:e3:d0:19:50ReceivedLWAPPDISCOVERYREQUESTfromAP00:1a:e3:d0:19:50toff:ff:ff:ff:ff:ffonport'8'*Oct0419:20:19.156:Receivedapacketwhichisa(type=DISCOVERY_REQUEST)withsessionid0*Oct0419:20:19.156:JoinPriorityProcessingstatus=0,IncomingAp'sPriority1,MaxLrads=6,joinedAps=0*Oct0419:20:19.156:00:1a:e3:d0:19:50SuccessfultransmissionofLWAPPDiscoveryResponsetoAP00:1a:e3:d0:19:50onport8*Oct0419:20:31.162:00:1a:e3:d0:19:50ReceivedLWAPPJOINREQUESTfromAP00:1a:e3:d0:19:50to00:1e:13:51:2b:67onport'8'*Oct0419:20:31.162:Receivedapacketwhichisa(type=JOIN_REQUEST)withsessionid0*Oct0419:20:31.177:00:1a:e3:d0:19:50APAP001b.5302.28f8:txNonce00:1E:13:51:2B:60rxNonce00:1A:E3:D0:19:50*Oct0419:20:31.177:00:1a:e3:d0:19:50LWAPPJoinRequestMTUpathfromAP00:1a:e3:d0:19:50is1500,remotedebugmodeis0*Oct0419:20:31.177:DTLAddingAP1-0*Oct0419:20:31.177:00:1a:e3:d0:19:50SuccessfullyaddedNPUEntryforAP00:1a:e3:d0:19:50(index1)SwitchIP:,SwitchPort:12223,intIfNum8,vlanId0APIP:0,APPort:8847,nex*Oct0419:20:31.911:00:1a:e3:d0:19:50SuccessfultransmissionofLWAPPJoinReplytoAP00:1a:e3:d0:19:50*Oct0419:20:31.912:00:1a:e3:d0:19:50spam_lrad.c:1589-OperationState0===>4*Oct0419:20:31.913:00:1a:e3:d0:19:50RegisterLWAPPeventforAP00:1a:e3:d0:19:50slot0*Oct0419:20:31.914:00:1a:e3:d0:19:50RegisterLWAPPeventforAP00:1a:e3:d0:19:50slot1*Oct0419:20:33.192:00:1a:e3:d0:19:50ReceivedLWAPPCONFIGUREREQUESTfromAP00:1a:e3:d0:19:50to00:1e:13:51:2b:67*Oct0419:20:33.194:00:1a:e3:d0:19:50UpdatingIPinfoforAP00:1a:e3:d0:19:50--static0,0/,gtw54*Oct0419:20:33.194:00:1a:e3:d0:19:50UpdatingIP0===>0forAP00:1a:e3:d0:19:50*Oct0419:20:33.194:00:1b:53:02:28:f8BuildingConfigResponseMsgfor00:1b:53:02:28:f8可以在console上打開debug觀察AP加入情況(Cis確認(rèn)AP連接到控制器圖形界面命令行確認(rèn)AP連接到控制器圖形界面命令行PresentationTitleSize30PT

Option2:LiveCSSC無線客戶端PresentationTitleSize30PT

O802.11無線客戶端概述WLAN特性CSSCMicrosoftCiscoACU/ADU多WLANProfile（不同的SSID，不同的安去策略）支持YesYesYesActiveProbe(hiddenSSIDsupport)YesNoYes部署工具YesNoYesWPA/WPA2YesYesPartialWPA2PMKcachingYesYesPartialEAP-FASTYesNoPartialWPA-PSKYesYesPartialStaticWEP(40/128bit)YesYesYesNAC/CTA（網(wǎng)絡(luò)準(zhǔn)入支持）YesNoNo802.11無線客戶端概述WLAN特性CSSCMicro無線客戶端建議由于企業(yè)內(nèi)筆記本電腦牌子比較多，建議客戶端使用CiscoCSSC軟件，使用CSSC軟件的好處如下：

1.整個公司筆記本電腦統(tǒng)一的平臺，方便管理和下發(fā)策略。CSSC帶有部署工具，制訂好策略后容易部署（如果是Windows平臺的話，還要配置相關(guān)的參數(shù)）

3.CSSC軟件支持CiscoNAC網(wǎng)絡(luò)準(zhǔn)入控制技術(shù).4.建議新購買的筆記本電腦采用統(tǒng)一的品牌（方便管理），舊的筆記本電腦如果沒有無線網(wǎng)卡的話，建議統(tǒng)一使用Cisco的CB21AG（支持AES強加密）,Cisco還提供專門為臺式機使用的無線網(wǎng)卡：AIR-PI21AG。5.Cisco倡導(dǎo)了CCX（各廠家筆記本電腦和CiscoAP兼容性測試）計劃，可以從下面的鏈接知道哪些筆記本電腦的型號是CCX計劃里面的成員。/web/partners/pr46/pr147/partners_pgm_partners_0900aecd800a7907.html

無線客戶端建議由于企業(yè)內(nèi)筆記本電腦牌子比較多，建議客戶端使用CiscoSSC客戶端軟件的安裝CiscoSSC客戶端軟件的安裝CSSC連接的簡單設(shè)置CSSC連接的簡單設(shè)置PresentationTitleSize30PT

Option2:Live構(gòu)建一個OPEN和一個WEP的無線網(wǎng)絡(luò)PresentationTitleSize30PT

O配置一個無線業(yè)務(wù)的基本步驟配置無線客戶端的DHCP服務(wù)器配置一個無線網(wǎng)絡(luò)接口dynamicinterface配置一個無線業(yè)務(wù)WLAN配置一個無線業(yè)務(wù)的基本步驟配置無線客戶端的DHCP服務(wù)器AP的初始化在WLC上可以通過使用ctrl+Shift+6的組合鍵，切換到ISR路由器的界面把AP連接在InterSwitch模塊上WLC-router(config)#intvlan1WLC-router(config-if)#noshutWLC-router(config-if)#ipadd54WLC-router(config-if)#exitWLC-router(config)#intrangefastWLC-router(config)#intrangefastEthernet0/1/0–8WLC-router(config-if-range)#switchportWLC-router(config-if-range)#switchportaccessvlan1WLC-router(config-if-range)#noshutAP的初始化在WLC上可以通過使用ctrl+Shift1、為客戶端建立DHCP服務(wù)器1、為客戶端建立DHCP服務(wù)器2、為無線客戶端建立一個無線接口點擊APPLY2、為無線客戶端建立一個無線接口點擊APPLY2、建立Guest無線接口:VLAN202、建立Guest無線接口:VLAN20查看建立的接口點擊可以進(jìn)行VLAN20接口的參數(shù)修改如果想建立更多的接口，可以繼續(xù)點擊NEW設(shè)置新接口點擊可以刪除查看建立的接口點擊可以進(jìn)行VLAN20接口的參數(shù)修改如果想建3、建立一個open的訪客WLAN3、建立一個open的訪客WLAN3、建立一個open的訪客WLAN很重要！很容易被忘記3、建立一個open的訪客WLAN很重要！很容易被忘記3、建立一個open的訪客WLAN選擇None，不對無線網(wǎng)絡(luò)有任何加密和限制3、建立一個open的訪客WLAN選擇None，不對無線網(wǎng)WLAN增強特性配置WLAN增強特性配置無線客戶端連接測試無線客戶端連接測試更改剛才的WLAN為WEP加密40位WEP要求5位ASCII字符密碼104位WEP要求13位ASCII字符密碼CiscoAironet1100/1200/1300不支持128位WEP更改剛才的WLAN為WEP加密40位WEP要求5位ASCII無線連接驗證無線連接驗證PresentationTitleSize30PT

Option2:Live構(gòu)建一個簡單WEB

認(rèn)證的無線接入網(wǎng)絡(luò)PresentationTitleSize30PT

O構(gòu)建一個簡單WEB認(rèn)證的無線網(wǎng)絡(luò)增加一個新的地址池增加一個新的接口配置web頁面認(rèn)證的本地頁面增加web認(rèn)證的WLAN建立本地用戶認(rèn)證數(shù)據(jù)庫構(gòu)建一個簡單WEB認(rèn)證的無線網(wǎng)絡(luò)增加一個新的地址池1、新建一個用于WEB認(rèn)證用戶的地址池1、新建一個用于WEB認(rèn)證用戶的地址池2、控制器添加一個VLAN30接口2、控制器添加一個VLAN30接口3、配置web頁面認(rèn)證的本地頁面3、配置web頁面認(rèn)證的本地頁面4、新建一個WLAN4、新建一個WLAN4、新建一個WLAN4、新建一個WLAN5、定義內(nèi)部認(rèn)證用戶數(shù)據(jù)庫5、定義內(nèi)部認(rèn)證用戶數(shù)據(jù)庫驗證WEB認(rèn)證跟前面一樣，在CSSC的ManageNetwork中，選擇并激活web-auth驗證WEB認(rèn)證跟前面一樣，在CSSC的ManageNetwweb界面認(rèn)證的驗證在瀏覽器里輸入類似0地址（因為沒有DNS，所以不能輸入網(wǎng)址）web界面認(rèn)證的驗證在瀏覽器里輸入類似http://10.1web界面認(rèn)證的驗證web界面認(rèn)證的驗證PresentationTitleSize30PT

Option2:Live構(gòu)建一個支持本地EAP

認(rèn)證的無線接入網(wǎng)絡(luò)PresentationTitleSize30PT

O構(gòu)建一個支持WPA認(rèn)證的網(wǎng)絡(luò)增加一個新的地址池增加一個新的動態(tài)接口添加本地EAP支持或者AAA服務(wù)器（Radius服務(wù)器）建立一個新的WLANSSID配置WPA/WPA2認(rèn)證設(shè)置CSSC客戶端軟件構(gòu)建一個支持WPA認(rèn)證的網(wǎng)絡(luò)增加一個新的地址池1、新建一個地址池1、新建一個地址池2、控制器添加一個VLAN40接口2、控制器添加一個VLAN40接口3、增加本地EAP支持3、增加本地EAP支持3、本地EAP的profile配置3、本地EAP的profile配置4、新建一個WLAN4、新建一個WLAN4、新建一個WLAN4、新建一個WLAN5、配置WPA/WPA25、配置WPA/WPA25、配置本地EAP認(rèn)證支持5、配置本地EAP認(rèn)證支持6、設(shè)置CSSC軟件，添加SSID6、設(shè)置CSSC軟件，添加SSIDPresentationTitleSize30PT

Option2:Live構(gòu)建一個用ACS做AAA

認(rèn)證的無線接入網(wǎng)絡(luò)PresentationTitleSize30PT

OACS相關(guān)配置名詞解釋PostureACS–AccessControlServerNAP–NetworkAccessProfileNAF–NetworkAccessFilterNAD–NetworkAccessDeviceNDG–NetworkDeviceGroupPA–PostureAgentPV–PostureValidationRAC–RadiusAuthorizationComponentDACL–DynamicAccessControlListADF–AttributeDefinitionFileACS相關(guān)配置名詞解釋PostureACS各部件邏輯關(guān)系NAPAuthenticationAuthorizationPostureValidationAuthenticationDBGlobalAuthSetupInternalDBExternalDBRule1RuleNPolicy1InternalPostureValidationExternalPostureValidationExternalPostureValidationAuditRACDACLNAFNAD+AAANDGSwitchesRoutersVPNGWFWPolicyNororor通過認(rèn)證后檢查狀態(tài)檢查狀態(tài)后指示設(shè)備配置關(guān)聯(lián)組成下載至設(shè)備組成引用引用ACS各部件邏輯關(guān)系NAPAuthenticationAut添加Radius服務(wù)器Security－aaa－radiusauthentication添加Radius服務(wù)器Security－aaa－radiusEAPAuthenticationCisco的自適應(yīng)WPA或者WPA2EAPAuthenticationCisco的自適應(yīng)WPAEAPAuthentication配置radiusEAPAuthentication配置radiusACS配置-----增加AAAclient增加AAAclientACS配置-----增加AAAclient增加AAAc增加AAAserverACS配置-----增加AAAserver增加AAAserverACS配置-----增加AAAsACS配置-----顯示的AAAclient和ServerACS配置-----顯示的AAAclient和ServerACS配置-----產(chǎn)生證書ACS配置-----產(chǎn)生證書配置AAA需要返回的參數(shù)ACS配置-----AAA能夠返回的參數(shù)配置AAA需要返回的參數(shù)ACS配置-----AAA能夠返回的ACS配置-----選擇各種EAPACS配置-----選擇各種EAPACS配置-----EAPFast配置不要選擇這個ACS配置-----EAPFast配置不要選擇這個ACS配置-----增加一個groupACS配置-----增加一個groupACS配置-----增加一個user加入groupACS配置-----增加一個user加入groupEAPAuthentication---funksoftwareonPC

PEAPPC端配置不要選EAPAuthentication---funksoft配置CSSC配置CSSC110

以上有不當(dāng)之處，請大家給與批評指正，謝謝大家！110無線控制器配置基礎(chǔ)2014年6月3日無線控制器配置基礎(chǔ)基本配置任務(wù)及過程準(zhǔn)備工作控制器啟動配置和升級控制器軟件版本熟悉控制器配置界面3.連接AP到控制器上配置任務(wù)思科CSSC無線客戶端的安裝和簡單配置構(gòu)建一個OPEN和一個WEP的無線網(wǎng)絡(luò)構(gòu)建一個簡單WEB認(rèn)證的無線網(wǎng)絡(luò)構(gòu)建一個支持本地EAP認(rèn)證的無線網(wǎng)絡(luò)構(gòu)建一個用ACS做AAA認(rèn)證的無線網(wǎng)絡(luò)基本配置任務(wù)及過程準(zhǔn)備工作PresentationTitleSize30PT

Option2:Live準(zhǔn)備工作PresentationTitleSize30PT

O基本設(shè)備控制器4400或者2100系列AP：1130或者1240系列交換機：最好是3560POE交換機基本設(shè)備控制器4400或者2100系列2100系列無線控制器支持802.11a/b/g/n支持PCI認(rèn)證WLC2100硬件8個FE口，2個上聯(lián)口，6個下聯(lián)口其中2個FE口有以太網(wǎng)供電未使用端口2個USB端口和一個擴展槽留作將來擴展用*2106和2006不能作為guestaccess的anchorcontroller*不支持LinkAggregation*不能通過軟件升級AP容量AIR-WLC2125-K92100SeriesWLANControllerforupto25LightweightAPs$18,890AIR-WLC2112-K92100SeriesWLANControllerforupto12LightweightAPs$10,070AIR-WLC2106-K92100SeriesWLANControllerforupto6LightweightAPs$4,875NEW!2100系列無線控制器支持802.11a/b/g/n*2104400系列無線控制器1RU高度2口

或者4口千兆上聯(lián)支持12,25,50or100AP支持5000MAC地址轉(zhuǎn)發(fā)表

10/100Base-TX以太網(wǎng)ServicePort9pin串口Console口2擴展槽和1個utilityport目前未使用2熱插拔電源模塊插槽44xxWLANController型號4402支持12,25,和50AP型號4404支持100APs*不能通過軟件升級AP容量*4400系列使用SFP光纖模塊*4400系列每port支持50個AP4400系列無線控制器1RU高度44xxWLANCo準(zhǔn)備工作網(wǎng)線和Console線。如果是4400，需要兩頭是DB9接口的線，如果是2106或者ISR，需要DB9+RJ45的線如果是4400，需要GLC光纖模塊和光纖確認(rèn)控制器版本是否需要升級(用命令showsysinfo查看系統(tǒng)版本)是否需要將胖AP升級到瘦AP1200/1100/1300需要upgradetool做升級，1250不需要工具，直接在圖形化界面上升級準(zhǔn)備工作網(wǎng)線和Console線。如果是4400，需要兩頭是D實驗拓?fù)涫纠齌RUNKVLAN1/20/30/40fa0/1port1WLC說明：1、VLAN1用于連接控制器、AP和ACS；2、VLAN20用于WPA/WPA2認(rèn)證，認(rèn)證服務(wù)器用ACS。3、VLAN30用作OPEN/WEP/GUEST客戶接入3、VLAN40用作WPA/WPA2認(rèn)證，認(rèn)證用本地EAPSSID:VLAN20SSID:VLAN30PC//AAA服務(wù)器VLAN1所有3層網(wǎng)關(guān)設(shè)置在3層交換機上，地址254實驗拓?fù)涫纠齌RUNKVLAN1/20/30/40fa0/1啟動選項ThecontrollerbootsequencewillalwayshavetheseoptionavailablesincethisissetinPROMtoensurecontrollerrecoveryoptions按5清空配置啟動選項Thecontrollerbootsequen系統(tǒng)啟動界面和配置(OS5.1)Wouldyouliketoterminateautoinstall?[yes]:SystemName[Cisco_51:2b:60](31charactersmax):2106-demoAUTO-INSTALL:processterminated--noconfigurationloadedEnterAdministrativeUserName(24charactersmax):ciscoEnterAdministrativePassword(24charactersmax):ciscoRe-enterAdministrativePassword:ciscoManagementInterfaceIPAddress:ManagementInterfaceNetmask:ManagementInterfaceDefaultRouter:54ManagementInterfaceVLANIdentifier(0=untagged):ManagementInterfacePortNum[1to8]:1ManagementInterfaceDHCPServerIPAddress:54APManagerInterfaceIPAddress:AP-ManagerisonManagementsubnet,usingsamevaluesAPManagerInterfaceDHCPServer(54):VirtualGatewayIPAddress:Mobility/RFGroupName:demo系統(tǒng)啟動界面和配置(OS5.1)Wouldyouli系統(tǒng)啟動界面（續(xù)）EnableSymmetricMobilityTunneling[yes][NO]:yesNetworkName(SSID):openAllowStaticIPAddresses[YES][no]:ConfigureaRADIUSServernow?[YES][no]:noWarning!ThedefaultWLANsecuritypolicyrequiresaRADIUSserver.Pleaseseedocumentationformoredetails.EnterCountryCodelist(enter'help'foralistofcountries)[US]:CNEnable802.11bNetwork[YES][no]:Enable802.11aNetwork[YES][no]:Enable802.11gNetwork[YES][no]:EnableAuto-RF[YES][no]:ConfigureaNTPservernow?[YES][no]:noConfigurethesystemtimenow?[YES][no]:EnterthedateinMM/DD/YYformat:09/28/08EnterthetimeinHH:MM:SSformat:17:11:00Configurationcorrect?Ifyes,systemwillsaveitandreset.[yes][NO]:yesConfigurationsaved!Resettingsystemwithnewconfiguration...非常重要，Controller的wireless的domain要和AP一致。系統(tǒng)啟動界面（續(xù)）非常重要，Controller的wirel配置3層交換機pdhcpexcluded-addressipdhcpexcluded-address54ipdhcpexcluded-address!ipdhcppoolAPnetworkdefault-router54!interfaceFastEthernet0/1switchporttrunkencapsulationdot1qswitchportmodetrunk……interfaceVlan1ipaddress54!interfaceVlan20ipaddress54!interfaceVlan30ipaddress54!interfaceVlan40ipaddress54……linevty04privilegelevel15passwordciscologin配置3層交換機pdhcpexcluded-address配置WEB訪問1、使用直通網(wǎng)線，連接交換機的trunk接口到控制器端口12、配置PC機的IP地址00/24或者DHCP，網(wǎng)關(guān)543、測試PC能否Ping通Controller的地址：3、用訪問控制器，如果要開啟http訪問，需要在系統(tǒng)里打開。配置WEB訪問1、使用直通網(wǎng)線，連接交換機的trunk接口到使用IE瀏覽器進(jìn)行WEB訪問使用IE瀏覽器進(jìn)行WEB訪問如果要升級控制器系統(tǒng)軟件tftp服務(wù)器推薦tftpd32tftpd32.支持64M以上文件傳輸如果要升級控制器系統(tǒng)軟件tftp服務(wù)器推薦tftpd32在CCO上下載新版本支持室內(nèi)室外mesh版本支持802.11n和其他新功能的普通版本/kobayashi/sw-center/sw-wireless.shtml在CCO上下載新版本支持室內(nèi)室外mesh版本支持802.UpgradePathtoControllerSoftwareReleaseoraboveCurrentSoftwareReleaseUpgradePathtoSoftwareorlater3.2releaseUpgradetoa4.1releasebeforeupgradingto.orlater4.0releaseUpgradetoa4.1or4.2releasebeforeupgradingtoorlater4.1releaseYoucanupgradedirectlyto.orlater4.2releaseYoucanupgradedirectlyto.

注意：由于配置存儲格式不同，從3.x-4.x升級到5.x后，原來的部分配置可能丟失UpgradePathtoControllerSofUpgradePathtoControllerSoftwareReleaseCurrentSoftwareReleaseUpgradePathtoSoftware

Upgradetooralater4.0releasebeforeupgradingto.10

IfyourcontrollerisconfiguredwiththenewJ3countrycode,upgradeto0oralater3.2release.IfyourcontrollerisnotconfiguredforthenewJ3countrycode,youcanupgradeto0oralater3.2releaseortooralater4.0release.0orlater3.2releaseYoucanupgradedirectlyto.

Upgradetooralater4.0releasebeforeupgradingto.1orlater4.0releaseYoucanupgradedirectlyto.UpgradePathtoControllerSof控制器軟件升級——命令行方式Step1.ping

server-ip-address測試控制器與TFTPserver的連通性Step2.transferdownloadmodetftp

設(shè)置傳輸使用的協(xié)議：tftpStep3.transferdownloaddatatypecode

設(shè)置傳輸?shù)臄?shù)據(jù)類型Step4.transferdownloadserverip

server-ip-address

指定tftpserver的IP地址Step5.transferdownloadfilename

filename

制定Image的文件名Step6.transferdownloadstart

開始傳輸文件，確認(rèn)時如果回答No,則顯示TFTP的參數(shù)設(shè)置Step7.resetsystem

WLC的系統(tǒng)重新啟動注：TFTP服務(wù)器軟件推薦tftpd32，可以在網(wǎng)上免費下載，支持64M以上大文件傳輸控制器軟件升級——命令行方式Step1.pingse控制器軟件升級——圖形界面電腦上設(shè)置好Tftp軟件；填入Tftp地址和文件名后，選擇右側(cè)的download按鈕開始。完成后按提示reboot?？刂破鬈浖墶獔D形界面電腦上設(shè)置好Tftp軟件；PresentationTitleSize30PT

Option2:Live熟悉無線控制器

Controller配置界面PresentationTitleSize30PT

O命令行(CLI)

基本命令cisco命令行(CLI)

基本命令cisco命令行(CLI)

“clear”Commands命令行(CLI)

“clear”Commands命令行(CLI)

“config”Commands……andmore命令行(CLI)

“config”Commands……命令行(CLI)

“debug”Command命令行(CLI)

“debug”Command命令行(CLI)

“help”Commands命令行(CLI)

“help”Commands命令行(CLI)

“show”Commands命令行(CLI)

“show”Commands命令行(CLI)

“transfer”Commands命令行(CLI)

“transfer”Commands使用IE瀏覽器進(jìn)行WEB訪問使用IE瀏覽器進(jìn)行WEB訪問控制器上查看和設(shè)置無線網(wǎng)絡(luò)SSID控制器上查看和設(shè)置無線網(wǎng)絡(luò)SSID控制器配置頁面配置接口配置控制器做DHCP服務(wù)器定義無線組參看和配置端口控制器配置頁面配置接口配置控制器做DHCP服務(wù)器定義無線組參配置接口頁面配置接口頁面設(shè)置控制器做DHCP服務(wù)器設(shè)置控制器做DHCP服務(wù)器定義移動組定義移動組設(shè)置端口頁面設(shè)置端口頁面多個控制器時，設(shè)定主控制器多個控制器時，設(shè)定主控制器點擊WIRELESS/ALLAPs點擊WIRELESS/ALLAPs安全頁面Radius服務(wù)器配置本地用戶數(shù)據(jù)庫MAC地址過濾WEB認(rèn)證相關(guān)配置本地EAP安全頁面Radius服務(wù)器配置本地用戶數(shù)據(jù)庫MAC地址過濾W管理界面定義能夠進(jìn)行Controller管理的管理用戶管理界面定義能夠進(jìn)行Controller管理的管理用戶控制器維護(hù)管理界面系統(tǒng)和配置文件的上傳、下載配置控制器軟重啟控制器維護(hù)管理界面系統(tǒng)和配置文件的上傳、下載配置控制器軟重啟AP射頻模塊配置界面AP射頻模塊配置界面AP發(fā)射功率調(diào)節(jié)(AP1131)

TxPowerNumOfSupportedPowerLevels.............6TxPowerLevel1..........................14dBmTxPowerLevel2..........................11dBmTxPowerLevel3..........................8dBmTxPowerLevel4..........................5dBmTxPowerLevel5..........................2dBmTxPowerLevel6..........................-1dBmAP1242的level1是17dBmAP發(fā)射功率調(diào)節(jié)(AP1131)TxPowerAP125.1版本對HA的增強Failover等級全局HA配置5.1版本對HA的增強Failover等級全局HA配置PresentationTitleSize30PT

Option2:Live連接AP到控制器PresentationTitleSize30PT

OController里的Port還有Vlan以及Interface的對應(yīng)關(guān)系Controller必需配置的接口帶內(nèi)管理接口—“ManagementInterface”LWAPPTunnel終結(jié)接口—“APManagerInterface”橋接的無線客戶端接口—“DynamicInterfaces”.二三層漫游而設(shè)的虛擬接口—“VirtualInterface”可選接口:服務(wù)接口—帶外管理接口*2100系列和WLCM沒有serviceportController里的Port還有Vlan以及Interf確認(rèn)控制器國家版本與AP一致目前版本支持同時支持多國家確認(rèn)控制器國家版本與AP一致目前版本支持同時支持多國家確認(rèn)時間配置無誤確認(rèn)時間配置無誤在路由器或者3層交換機設(shè)置DHCP在AP和控制器不在同一網(wǎng)段的情況下，建立AP能夠獲取IPAddress的地址池，加上Option43WLC-router(config)#ipdhcppoolLWAPP-APWLC-router(dhcp-config)#networkWLC-router(dhcp-config)#default-router54WLC-router(dhcp-config)#option43ascii"“//很重要！通過Option43可以讓AP在獲取和控制器不同網(wǎng)段IPAddress的時候，能夠知道Controller的所在。如果AP和控制器在一個網(wǎng)段和廣播域，則可以不配置option43WLC-router(dhcp-config)#exitWLC-router(config)#ipdhcpexcluded-address54在路由器或者3層交換機設(shè)置DHCP在AP和控制器不在同一網(wǎng)段在IOS設(shè)備配置Option43對于1000/1500系列，直接寫option43ascii“,0“對于1100和1200，需要寫option60和option43假設(shè)要連接1240，控制器地址為和0ipdhcppoolAPnetwork/24default-router54dns-server00option60ascii“CiscoAPc1240“option43hexf108c0a80a05c0a80a14option43的配置詳見/en/US/tech/tk722/tk809/technologies_configuration_example09186a00808714fe.shtmlVCIString1130的是CiscoAPc1130類型=f1長度=2x4=080在IOS設(shè)備配置Option43對于1000/1500系列可以在console上打開debug觀察AP加入情況(CiscoController)>debuglwappeventsenable(CiscoController)>*Oct0419:20:19.154:00:1a:e3:d0:19:50ReceivedLWAPPDISCOVERYREQUESTfromAP00:1a:e3:d0:19:50to00:1e:13:51:2b:60onport'8'*Oct0419:20:19.154:Receivedapacketwhichisa(type=DISCOVERY_REQUEST)withsessionid0*Oct0419:20:19.154:JoinPriorityProcessingstatus=0,IncomingAp'sPriority1,MaxLrads=6,joinedAps=0*Oct0419:20:19.155:00:1a:e3:d0:19:50SuccessfultransmissionofLWAPPDiscoveryResponsetoAP00:1a:e3:d0:19:50onport8*Oct0419:20:19.156:00:1a:e3:d0:19:50ReceivedLWAPPDISCOVERYREQUESTfromAP00:1a:e3:d0:19:50toff:ff:ff:ff:ff:ffonport'8'*Oct0419:20:19.156:Receivedapacketwhichisa(type=DISCOVERY_REQUEST)withsessionid0*Oct0419:20:19.156:JoinPriorityProcessingstatus=0,IncomingAp'sPriority1,MaxLrads=6,joinedAps=0*Oct0419:20:19.156:00:1a: