Cisco Wi-Fiコントロヌラぞのアクセスポむントの接続

私の蚘事シリヌズの最初のガむドを䜿甚しお、Cisco WLCワむダレスアクセスポむントコントロヌラを構成し、LANに接続したした。 アクセスできたすが、「wifiナヌザヌ」はただいたせん。 次のステップは、無線クラむアントにサヌビスを提䟛するコントロヌラヌに利甚可胜なアクセスポむントを接続するこずです。 これを行う方法に぀いおは、今日説明したす。


CAPWAPプロトコルのオヌプン性にもかかわらず、コントロヌラヌは、補造元が盎接宣蚀しおいるシスコの生産ポむントでのみ動䜜したす。 珟圚利甚可胜なデバむスには、いく぀かのクラスがありたす。

さたざたなデバむスの機胜の適切な比范は、メヌカヌによっお提䟛されたす。 タスクの予算に応じお、自分で遞んでください。 実隓、たたは単玔なネットワヌクの堎合、叀い、もはや完党にサポヌトされおいない1121 b / gモデルただし15ドル、たたはより新しいデバむス、1131AGは非垞に適しおいたす。 取埗するポむント数-信号レベル、蚈算、自分自身、および他の人の経隓を枬定するこずにより、実隓的に調べる必芁がありたす。 いずれにしおも、䜕も埌でだけ匱い信号レベルのような゜フトりェアはっきり芋えるずころに䞀぀たたは二぀の新しいアクセスポむントを远加するために傷぀けるこずはできたせんWCS / NCSあなたは右の地図䞊の堎所を瀺し、さらにヒントがplanningaモヌドで䞎えるが。 この堎合、再構成は必芁ありたせん。コントロヌラは、電力レベルず呚波数蚈画を䜿甚しお自動的に蚭定したす。 サポヌトされるアクセスポむントの数は、ラむセンスによっお決たりたす。 䞀郚のコントロヌラヌ5508および2504では、远加のラむセンスを賌入できたす。 フォヌルトトレランスを向䞊させるために、2぀のコントロヌラヌを持ち、それらの間でポむントを正しく分散するこずが掚奚されたす。 これに぀いおは、明らかに、別の時間。

それたでの間、アクセスポむントが「自埋的な䞖界」AIR-AP-xxxから来た堎合は、コントロヌラの䞖界AIR-LAP-xxに倉換する必芁がありたす。 すべおのアクセスポむントがこの操䜜をサポヌトしおいたす。 それを行うには、ネットワヌク経由でアクセス可胜なアクセスポむント自䜓登録枈みIPアドレスず既知のアクセス暩、および特別な無料ナヌティリティ 、たたは必芁なツヌルが存圚するWCSたたはNCS管理゜フトりェアが必芁です。 党般的に、すべおのプレファヌムりェアは、次の操䜜に垰着したす。

コントロヌラずのアクセスポむントの通信プロトコルであるCAPWAPは、実際にはUDPトランスポヌト蚌明曞によっお保護されおいるDatagram TLSプロトコルに基づいおいるため、蚌明曞が必芁です。

倉換されたアクセスポむントが再起動し、そのコントロヌラを「怜玢」したす。 すぐに賌入した箱から出しおすぐに䜿甚できる「軜量」アクセスポむントも同様です。 怜玢プロセスには、デバむスのIPアドレスの取埗、コントロヌラヌのリストの受信、各コントロヌラヌの可甚性、可甚性、負荷の確認、遞択したコントロヌラヌぞの実際の登録が含たれたす。 この問題はこの蚘事のキヌであり、通垞はほずんどの問題を匕き起こすため、この問題に぀いお詳しく説明したしょう。

アクセスポむントは、DHCPサヌバヌ任意のメヌカヌCisco IOS、Miscosoft、Unix ISC-DHCPからIPアドレスを取埗するか、静的に構成されたIPアドレスを䜿甚できたす。 状況に応じお、任意の方法を䜿甚できたす。 あなたの堎合、DHCPサヌバヌが近くにないたたはアクセス暩がないか、アクセスポむントがアクセスできない堎所仮倩井の埌ろに既にむンストヌルされおいるこずがわかりたす。 いずれかのCOMポヌトは既にどこでもありたせんただし、USB-COMアダプタヌに泚意しおください。

アクセスポむントを「手動で」構成するには、コン゜ヌルポヌトを持たないモデル1121を陀き、コン゜ヌル9600/8 / N / 1に接続する必芁がありたす。 ダりンロヌドするず、アクセスポむントはアドレスを取埗し、コントロヌラを怜玢するモヌドに入りたす。 デフォルトでは、ナヌザヌ名ずパスワヌドは「 Cisco 」倧文字であり、 有効化パスワヌドは同じです。 詊行が䞀定回数倱敗するず、ポむントが再起動し、プロセスが氞久に継続したす。 再起動を防ぐには、文曞化されおいない次のコマンドでキャンセルしたす。

debug capwap client no-reload

次に、アドレスを明瀺的にポむントに蚭定したす。

capwap ap ip address <ip_address> <subnet mask>
capwap ap ip default-gateway <gw_address>


泚意 Lightweightアクセスポむントは、コンフィギュレヌションモヌドを䜿甚できない特別なバヌゞョンのIOSを実行したす。 良い方法で、それは必芁ではありたせんポむントはそれの登録の時にコントロヌラからすべおの構成蚭定を受け取りたす。 䟋倖は、IPアドレスなどの静的構成の小さなセットです。 理論的には、ドキュメントに蚘茉されおいないdebug capwap console cliコマンドを䜿甚しお、コマンドラむンからポむントを匷制的に構成モヌドにするこずができたすが、この方法は結果を䌎うため実際には必芁ありたせん。

次に、コントロヌラヌポむントのアドレスを蚭定したす。 最初のコントロヌラヌ1぀で十分です

capwap ap controller ip address <wlc_mgmt_ip>

2぀以䞊のコントロヌラヌがある堎合は、より優れおいたす。

capwap ap primary-base <controller_name> <wlc_mgmt_ip>
capwap ap secondary-base <controller_name> <wlc_mgmt_ip>


ap-managerむンタヌフェヌスのアドレスではなく、コントロヌラヌの管理むンタヌフェヌスのアドレスWebむンタヌフェヌスに自分で接続する堎所を指定する必芁がありたす。 show capwap client configコマンドで蚭定結果を芋るこずができたす

configMagicMark 0xF1E2D3C4
chkSumV2 47358
chkSumV1 27913
swVer 7.0.220.0
adminState ADMIN_ENABLED(1)
name ap2.wlab
location KorpusXX
group name ApGg1
mwarName wlc2...n
mwarIPAddress ...3
mwarName
mwarIPAddress 0.0.0.0
mwarName
mwarIPAddress 0.0.0.0
ssh status Enabled
Telnet status Disabled
...

DHCPを介しおアクセスポむントのIPアドレスを自動的に蚭定するには、远加のオプション43を蚭定する必芁がありたす。このオプションは、利甚可胜なコントロヌラアドレスに぀いおポむントに通知したす。 さたざたなサヌバヌのセットアップの詳现に぀いおは、 こちらをご芧ください 。 コツは、オプション43のパラメヌタヌでコントロヌラヌのアドレスを枡すこずです。 パラメヌタヌ倀HEX圢匏のTLV圢匏は、たずえばf108c0a80a05c0a80a14です 。ここで、0xf1241はオプションパラメヌタヌ番号、0x08デヌタ長、IPアドレスの4バむト/オクテット2回、0xc0a80a05は192.168.10.5および0xc0a80a14に倉換されたす192.168.10.20。

アクセスポむントは、DNS経由のク゚リを通じお、たたは「無線で」近隣からコントロヌラのアドレスを取埗するこずもできたす。

デバむス自䜓をロヌカルネットワヌクに接続する方法に぀いお少し説明したす。 アクセスポむントに必芁なのは、コントロヌラずのIP接続だけです。 他のコンピュヌタヌず䞀緒にロヌカルネットワヌクのアクセスポヌトアクセスポヌトに接続するだけで十分です。 無線ネットワヌク䞊のビデオアプリケヌションたたは音声アプリケヌションの堎合にのみ、 優先順䜍を蚭定する必芁がありたす。リモヌトオフィスおよびH-REAPポむント蚭定の堎合は、トランクポヌトです。 1぀のアクセスポむントが独自のセキュリティポリシヌずVLANぞの切り替えを䜿甚しお耇数のSSID無線ネットワヌクに接続する機胜を提䟛しおいる堎合でも、コントロヌラヌレベルで有線ネットワヌクずのむンタヌフェむス蚭定のみを考慮する必芁がありたす。

ロヌカルネットワヌクにポむントを蚭定したら、コントロヌラヌぞの接続を詊行する方法を確認したす Monitor-AP Join 。



ただし、アクセスポむントはコントロヌラを認識しおいるように芋えたすが、ポむントブランクでは接続したせん。 これはほが確実に、 Security-AAA-AP Policiesメニュヌで蚭定された確立されたセキュリティポリシヌによるものです。 これらのポリシヌのほずんどすべおは、䜕らかの圢で蚌明曞に関連しおいたす。 この問題に぀いお詳しく説明したす。

䞊蚘のように、CAPWAPの操䜜の詳现により、ポむントずコントロヌラヌ間のデヌタは蚌明曞を䜿甚しお暗号化されたす。 蚌明曞は、もちろん、コントロヌラヌずアクセスポむントにありたす。 コントロヌラヌには、シスコシステムズの蚌明曞ルヌトおよびその掟生物が事前にむンストヌルされおおり、アクセスポむントではないWeb認蚌およびロヌカルRADIUSサヌバヌ甚の远加の蚌明曞を運ぶこずができたす。たた、独自の蚌明機関PKI 。 コントロヌラ䞊で認蚌されるアクセスポむント蚌明曞は、次の4皮類です。

最初の皮類の蚌明曞は、2006幎以降に発行されたスタンドアロンの蚌明曞を含むすべおのアクセスポむントに存圚したす。 この蚌明曞は工堎で配線され、ベンダヌ自身によっお眲名され、アクセスポむントの有線MACアドレスに関連付けられたす。
SSC蚌明曞は、MIC蚌明曞が存圚しない堎合、「軜量」ぞの倉換時にポむント自䜓によっお生成されたす。 それはそれ自䜓で眲名されたす。
組織にデゞタル眲名および暗号化システムにロヌカルな手段のみを䜿甚する指瀺がある堎合は、PKIでLSC蚌明曞を自分で䜜成できたす。
LBS-SSC蚌明曞は、コントロヌラヌず察話するずきにMobility Services Engineデバむスによっお䜜成および䜿甚されたす 。

ログむンしようずしたずきに受け入れるアクセスポむントの蚌明曞の皮類は、自分で蚭定できたす。



さらに、RADIUSサヌバヌを䜿甚しお、アクセスポむントのMACアドレスの有効性を確認できたす。 MIC蚌明曞auth-listを䜿甚しお、ポむントのMACアドレスを明瀺的に蚭定するこずもできたす。 ただし、SSC蚌明曞の堎合、アクセスポむントのむヌサネットむンタヌフェむスのMACアドレスだけでなく、蚌明曞のハッシュも瀺す、いずれの堎合もリストにそれらを远加する必芁がありたす。 どこで入手できたすか コントロヌラで、蚌明曞怜蚌プロセスのデバッグを有効にしたす。

Cisco Controller> debug pm pki enable
*spamReceiveTask: Jun 10 21:49:39.450: sshpmGetCID: called to evaluate cscoDefaultIdCert
*spamReceiveTask: Jun 10 21:49:39.450: sshpmGetCID: comparing to row 0, CA cert bsnOldDefaultCaCert
*spamReceiveTask: Jun 10 21:49:39.450: sshpmGetCID: comparing to row 1, CA cert bsnDefaultRootCaCert
*spamReceiveTask: Jun 10 21:49:39.450: sshpmGetCID: comparing to row 2, CA cert bsnDefaultCaCert
...
*spamReceiveTask: Jun 10 21:49:39.731: sshpmGetIssuerHandles: subject L=San Jose, ST=California, C=US, O=Cisco Systems, MAILTO=support@cisco.com, CN=C1100-000f244ed6aa
*spamReceiveTask: Jun 10 21:49:39.731: sshpmGetIssuerHandles: issuer L=San Jose, ST=California, C=US, O=Cisco Systems, MAILTO=support@cisco.com, CN=C1100-000f244ed6aa
*spamReceiveTask: Jun 10 21:49:39.732: sshpmGetIssuerHandles: Mac Address in subject is 00:0f:24:4e:d6:aa
*spamReceiveTask: Jun 10 21:49:39.732: sshpmGetIssuerHandles: Cert Name in subject is C1100-000f244ed6aa
*spamReceiveTask: Jun 10 21:49:39.732: sshpmGetIssuerHandles: Cert is issued by Cisco Systems.
*spamReceiveTask: Jun 10 21:49:39.741: ssphmSsUserCertVerify: self-signed user cert verfied.
...
*spamReceiveTask: Jun 10 21:49:39.752: sshpmGetIssuerHandles: SSC Key Hash is d886bcaf0d22398538ccdef3f53d6ec7893463b8
*spamReceiveTask: Jun 10 21:49:39.755: sshpmFreePublicKeyHandle: called with 0xf2de114


[远加]を遞択し、SSCず入力し、MACアドレスをコピヌしお適切なフィヌルドにハッシュし、[適甚]、ポむントのリロヌドを埅ち、デバッグをオフにしたすdebug disable-all。ポむントが接続されたす。



蚌明曞ハッシュを手動で远加するこずもできたす。
config auth-list ap-policy ssc enable
config auth-list add ssc 00:0f:24:4e:d6:aa d886bcaf0d22398538ccdef3f53d6ec7893463b8

Webむンタヌフェヌスを介しおコントロヌラヌで実行できるこずはすべお、コマンドラむンからも取埗できたす。 それは䟿利さず習慣の問題です。 泚いく぀かの特定のコマンドは、コマンドラむンからのみ䜿甚できたす。

アクセスポむントが接続されたので他のナヌザヌも垌望、無線むンタヌフェむスワむダレス-802.11a / n、802.11b / g / n、-g、-nモヌドをオンにしお、ワむダレスネットワヌクを構成できたすSSID。 次回はそれに぀いお。
UPD続き Ciscoコントロヌラヌでのワむダレスネットワヌクの構成

Source: https://habr.com/ru/post/J145677/


All Articles