Контроллер Cisco WLC

2023-03-03 · 5 мин. для прочтения

Контроллер Cisco WLC.

Содержание

1 Общая информация

  • WLC (wireless lan controller) контроллер точек WiFi от Cisco.
  • Контроллер нужен для централизованного управления большими беспроводными сетями, построенными на базе не настраиваемых индивидуально точек доступа.
  • Точки доступа регистрируются на контроллере, получают с него настройки, управляются им, и предоставляют беспроводной доступ Wi-Fi абонентам.
  • Практически все модели точек доступа Cisco выпускаются как в автономном варианте (независимое управление через CLI или GUI), так и в унифицированном (лимитированный CLI и управление с контроллера по протоколу CAPWAP).
  • Контроллер представляет собой программно-аппаратную платформу взаимодействия с точками доступа, и проводной сетью.
  • Есть виртуальный контроллер в виде образа виртуальной машины под VMware ESXi (ovf-файл).

2 Полезные команды

  • Настроить IP-адрес точке доступа:
    config ap static-ip enable AP-NAME IP-ADDRESS MASK GATEWAY
  • Настроить учётные данные точки доступа для Telnet/SSH:
    config ap telnet enable AP-NAME
config ap ssh enable AP-NAME
config ap mgmtuser add username USERNAME password PASSWORD enablesecret ENABLE-PASSWORD AP-NAME
  • Изменить режим точки доступа:
    config ap mode MODE AP-NAME
  • Настроить имя группы на точке доступа
config ap group-name GROUP-NAME AP-NAME

  • Настроить flexconnect native vlan на точке доступа:

    config ap flexconnect vlan native VLAN-ID AP-NAME

  • Проверить идентификатор vlan интерфейса:

    show interface summary

  • Проверить идентификатор wlan интерфейса:

    show wlan summary

  • Сопоставить идентификатор vlan с wlan на точке доступа:

    config ap flexconnect vlan wlan WLAN-ID VLAN-ID AP-NAME

  • Настроить wlan и сопоставление wlan-интерфейса в группе точек доступа:

    config wlan apgroup interface-mapping add GROUP-NAME WLAN-ID INTERFACE-NAME

  • Понизить точку доступа до автономной с WLC:

    config ap tftp-downgrade TFTP-IP-ADDRESS FILENAME AP-NAME

  • Посмотреть cdp на точке доступа:

    show ap cdp neighbors detail AP-NAME

  • Отключить подключение беспроводных клиентов к сети (добавление клиентов в список исключений):

    config exclusionlist add MAC-ADDRESS DESCRIPTION

  • Включить светодиод точки доступа:

    config ap led-state enable AP_NAME

  • Отключить светодиод точки доступа:

    config ap led-state disable AP_NAME

  • Перезагрузить точку доступа:

    config ap reset AP_NAME

  • Применить фильтр для фильтрации результатов:

    grep include "pattern" "commands"
    • Примеры:
      grep include "AP Serial Number" "show ap config general AP-NAME"
grep include "MAC Address" "show ap config general AP-NAME”
grep include "IP Address" "show ap config general AP-NAME"

3 Настройка WLAN

  • Каждая беспроводная сеть идентифицируется уникальным именем (SSID).
  • Каждая сеть может иметь свой, независимый набор параметров авторизации, шифрования, QoS, дополнительных свойств.
  • Каждая точка доступа может обслуживать (анонсировать) до 16 беспроводных сетей.
  • Контроллер (в зависимости от модели) может обслуживать до 512 сетей и до сотен точек доступа.
  • Просмотр настроенных WLAN:
    show wlan summary
  • Для создания новой сети необходимо задать базовые параметры:
    • Тип сети: WLAN (беспроводная). Контроллер может также работать как Captive Portal для проводной сети (Guest LAN).
    • Имя профиля (profile-name): произвольное слово, обычно соответствует имени сети, применяется при использовании систем управления WCS/NCS.
    • Имя сети (SSID): то, как ваша сеть будет видна клиентским компьютерам.
    • Идентификатор (порядковый номер): по умолчанию ваши точки доступа будут анонсировать сети с номерами <=16.
  • Создадим новую сеть:
    config wlan create wlan-id profile-name ssid
  • Следует задать параметры сети.
    • enable включает, disable выключает обслуживание сети точками доступа.
    • Security policy оповещает вас о текущем наборе политик безопасности сети, которые настраиваются далее
    • Radio policy позволяет выбрать, в каком диапазоне частот (2.4, 5 ГГц) и скоростей (до 11, до 54 мбит/с) будет работать сеть. Возможны комбинации вариантов. Высокие скорости (802.11n) — тема отдельной статьи. Естественно, ваши точки должны поддерживать выбранные диапазоны.
    • interface определяет, на какой проводной сетевой интерфейс (VLAN) контроллера по умолчанию будут терминироваться подключения беспроводных клиентов.
      • Можно создать несколько динамических интерфейсов, каждый со своим VLAN ID, и распределять ваших пользователей по ним в зависимости от того, к какой сети они подключились.
      • Multicast VLAN определяет, куда в случае нескольких групп интерфейсов будет идти мультикаст трафик.
      • Broadcast SSID определяет, будет ли имя сети отражаться в beacon (анонсах) пакетов, периодически рассылаемых точкой доступа. Иначе это называется «открытая/закрытая сеть».
  • Подключение сети к интерфейсу:
    config wlan interface <wlan-id> <interface-name>
config wlan broadcast-ssid enable <wlan_id>
  • Безопасность беспроводной сети строится из трех компонентов:
    • авторизация;
    • шифрования;
    • веб-политика (опционально), позволяет заворачивать клиентскую HTTP-сессию на встроенный или внешний веб-сервер и запрашивать подтверждение/логин-пароль через форму.
  • Доступные параметры безопасности 2го уровня:
    • None: авторизация и шифрование трафика не применяются;
    • WPA+WPA2: позволяет выбрать политику WPA, WPA2 (либо обе), тип шифрования TKIP, AES (либо оба). Данные параметры просто анонсируются клиентам в beacon пакетах.
      • Оптимальным будет использование WPA2/AES.
  • Нужно, как будет образовываться ключ для шифрования:
    • 802.1X: индивидуальный ключ для каждого клиента будет генерироваться RADIUS-сервером в момент авторизации; также называется WPA(2) Enterprise;
    • CCKM: используется собственный механизм Cisco генерации ключей, подходит только для Cisco Wi-Fi телефонов;
    • PSK: общий (pre-shared) ключ, пароль на сеть, именуемую в таком случае WPA(2) Personal;
    • 802.1x+CCKM: гибрид CCKM и RADIUS-ключа (для Cisco-телефонов);
    • 802.1X: индивидуальный ключ для каждого клиента будет генерироваться RADIUS-сервером в момент авторизации (это WEP-ключ, протокол шифрования радиоканала — WEP, пользоваться не рекомендуется);
    • Static WEP: статический WEP-ключ;
    • Static WEP+802.1X: гибрид двух предыдущих;
    • CKIP: проприетарный аналог WEP для Cisco телефонов.
  • В реальности необходимо делать выбор между:
    • отсутствием шифрования/авторизации (гостевой доступ);
    • WPA2 (AES) PSK (WPA2 Personal) для доступа в сеть по общему паролю;
    • WPA2 (AES) + 802.1X (WPA2 Enterprise) для доступа в сеть через авторизацию на RADIUS-сервере.
  • Настроим параметры безопасности на интерфейсе:
    config wlan security wpa akm 802.1x disable <wlan_id>
config wlan security wpa akm psk enable <wlan_id>
config wlan security wpa akm psk set-key ascii <password> <wlan_id>
  • Подключим радио-интерфейсы:
    config wlan radio <wlan_id> all
  • Активируем интерфейс:
    config wlan enable <wlan_id>
  • Сети добавляются автоматически в группу точек доступа default-group.
  • Если существуют другие группы точек доступа, то следует сеть добавить к ней:
    config wlan apgroup interface-mapping add <apgroup-name> <wlan-id> <interface-name>

4 Обновление

Cisco Network Sysadmin
Дмитрий Сергеевич Кулябов
Authors
Дмитрий Сергеевич Кулябов
Профессор кафедры теории вероятностей и кибербезопасности
Мои научные интересы включают физику, администрирование Unix и сетей.