admin / 18.07.2018

Точка доступа cisco

Подключение точек доступа к контроллеру Cisco

Пользуясь первым руководством из моего цикла статей, вы настроили и подключили к локальной сети ваш контроллер беспроводных точек доступа Cisco WLC. Доступ к нему есть, но «вайфая юзерам» пока ещё нет. Следующий ваш шаг — подключить к контроллеру имеющиеся в наличии точки доступа, которые и будут обслуживать радио-клиентов. О том, как это сделать, и пойдет речь ниже.

Несмотря на открытость CAPWAP протокола, ваш контроллер будет работать только с точками производства Cisco, о чем прямо и заявляет производитель. Из доступных на сегодняшний день устройств можно выделить несколько классов:

  • с одним радиомодулем диапазона 2.4 ГГц (b/g/n), либо с двумя 2.4 и 5 ГГц (a/n). В связи с загаженностью первого диапазона (в наличии всего три непересекающихся 20-МГц канала: 1, 6, 11) крайне рекомендуется выбирать двухдиапазонные точки доступа, благо в контроллере есть средства «выдавливания» клиентов в более свободный 5ГГц диапазон (порядка 23 каналов);
  • с поддержкой высоких скоростей передачи (-n), что в основном достигается другими модуляциями сигнала (MCS), увеличением числа потоков ввода-вывода (MIMO), слиянием каналов, играми с межкадровыми интервалами и прочими ухищрениями). Необходимо помнить, что скорость передачи данных между клиентом и точкой доступа имеет, грубо говоря, обратную зависимость от расстояния, а общая емкость сегмента сети разделяется между всеми пользователями;
  • с поддержкой подключения внешних антенн, или со встроенными (выбирайте — вам в простом офисе с картонными стенами работать, или на складе, улице, …);
  • имеющие возможность работать автономно, или только через контроллер (Aironet 3600);
  • простые по функционалу электроники, или с наворотами для работы в сложных радиоусловиях (ClientLink, CleanAir, …)

Хорошее сравнение возможностей разных устройств приведено у производителя. Подбирайте сами, смотря по бюджету, поставленной задаче. Для экспериментов, или простой сети вполне подойдут старые, уже не вполне поддерживаемые модели 1121 b/g (но по $15), или устройства поновее, 1131AG. Сколько точек брать — необходимо выяснить экспериментально путем измерения уровня сигнала, расчетов, своего и чужого опыта. В любом случае, ничто вам позже не помешает просто добавить одну-две новых точки доступа туда, где будет явно виден слабый уровень сигнала (программное обеспечение типа WCS/NCS вам прямо покажет место на карте, да еще и советы даст в режиме планнинга). При этом никакой перенастройки не потребуется, с уровнем мощности и частотным планом контроллер разберется автоматически. Количество поддерживаемых точек доступа определяется лицензией; для некоторых контроллеров (5508 и 2504) дополнительные лицензии можно докупить. Рекомендуется, для повышения отказоустойчивости, желательно иметь два контроллера, и грамотно распределять точки между ними. Об этом, видимо, в другой раз.

А пока, если ваши точки доступа пришли из «автономного мира» (AIR-AP-xxx), их необходимо конвертировать в мир контроллеров (AIR-LAP-xx). Все точки доступа поддерживают данную операцию. Для ее проведения потребуется сама точка доступа, доступная по сети (с прописанным IP-адресом и известными правами доступа), и либо специальная бесплатная утилита, либо ПО управления WCS или NCS, в котором присутствует требуемый инструмент. Вся препрошивка, по большому счету, сводится к следующим операциям:

  • переписыванию (TFTP) специального recovery-образа на точку доступа
  • удалению старого конфиг-файла
  • удалению имеющегося автономного софта
  • синхронизации часов
  • генерации сертификата точки доступа, если его еще нет

Сертификат нужен потому, что протокол общения точки доступа с контроллером, CAPWAP, в основе имеет протокол Datagram TLS, фактически защищенный через сертификаты UDP-транспорт.

Конвертированная точка доступа перезагружается, и затем «ищет» свой контроллер. Так же поступает и купленная сразу «легковесной» точка доступа из коробки. Процесс поиска включает в себя получение IP-адреса устройством, а так же получение списка контроллеров, проверка наличия, доступности и нагруженности каждого из них, и собственно регистрация у выбранного. Остановимся на этом вопросе подробно, так как он — ключевой в данной статье, и обычно вызывает больше всего проблем.

Точка доступа может ЛИБО получить IP-адрес у DHCP-сервера (любого производителя: Cisco IOS, Miscosoft, Unix ISC-DHCP), ЛИБО воспользоваться статически настроенным IP-адресом. В зависимости от обстоятельств вы можете воспользоваться любым методом. В вашем случае может оказаться, что DHCP-сервера рядом нет (или нет прав на него), либо точка доступа уже установлена в труднодоступном месте (за фальшпотолком). Либо банально нигде уже нет COM-порта (но надеемся, что про USB-COM переходники вы в курсе).

Для «ручной» настройки точки доступа необходимо подключиться к консоли (9600/8/N/1), кроме модели 1121, у которой консольного порта нет. При загрузке точка доступа попадает в режим получения адреса, и поиска контроллера. По умолчанию, логин и пароль "Cisco" (с большой буквы), enable пароль такой же. При некотором количестве неудачных попыток точка перезагружается, и продолжает процесс вечно. Для предотвращения перезагрузок отменим их следующей недокументированной командой:

Далее явно устанавливаем точке адрес:

Внимание! Легковесная точка доступа исполняет особый вариант IOS, в котором конфигурационный режим недоступен. По-хорошему он и не нужен: все конфигурационные настройки точка получает от контроллера в момент регистрации на нём. Исключение — некий небольшой набор статической конфигурации, вроде IP-адреса. По идее, можно заставить перейти точку в режим настройки с командной строки через недокументированную команду debug capwap console cli, однако данный способ чреват последствиями и на практике не нужен.

Далее устанавливаем точке адреса контроллеров. Первый контроллер (одного бывает достаточно):

Если у вас два и более контроллеров, то лучше так:

Вы должны указать адрес именно management-интерфейса контроллера (куда сами подключаетесь в веб-интерфейс), а не адрес ap-manager интерфейса. Посмотреть на результат настройки можно командой show capwap client config:

Для автоматической настройки IP-адреса точки доступа по DHCP необходимо также задать дополнительную опцию, номер 43, которая сообщает точке о доступных ей адресах контроллеров. Подробнее о настройке различных серверов написано здесь. Трюк состоит в том, чтобы передать в параметрах опции 43 адреса ваших контроллеров. Значение параметра (в HEX виде) имеет формат TLV, к примеру, f108c0a80a05c0a80a14, где 0xf1 (241) — номер параметра опции, 0x08 (длина данных, два раза по 4 байта/октета IP адреса), 0xc0a80a05 переводится в 192.168.10.5 и 0xc0a80a14 в 192.168.10.20.

Точка доступа может получить адреса контроллеров также через запрос по DNS, или от соседей «по воздуху».

Немного о подключении самого устройства к локальной сети. Всё, что точке доступа нужно, это IP-связность с контроллером. Достаточно просто подключить её в access-порт (порт доступа) вашей локальной сети, наравне с остальными компьютерами. Только в случае видео- или голосовых приложений в радио-сети вам понадобится настроить приоритизацию, а в случае удаленного офиса и H-REAP конфига точки — транк порт. Даже если одна точка доступа предоставляет возможность подключения к нескольким SSID (радио-сетям) со своими политиками безопасности и проключением к VLANам, беспокоиться о настройках стыка с проводной сетью надо только на уровне контроллера.

Установив точку в локальной сети смотрим, как она пытается подключиться к контроллеру (Monitor-AP Join):

Однако бывает, что точка доступа вроде бы как видит контроллер, но в упор не хочет к нему подключаться. Почти наверняка это связано с установленными политиками безопасности, которые настраиваются в меню "Security-AAA-AP Policies". Почти все эти политики так или иначе связаны с сертификатами. Разберемся в данном вопросе детально.

Как сказано выше, из-за деталей работы CAPWAP данные между точкой и контроллером зашифрованы при помощи сертификатов. Сертификаты есть, естественно, на контроллере, и на точке доступа. Контроллер поставляется с уже установленными сертификатами Cisco Systems (корневым, и его производными), может нести дополнительные сертификаты для веб-авторизации и локального RADIUS-сервера, которые к точкам доступа не относятся, а также может быть дополнен сертификатом вашего собственного Удостоверяющего Центра (PKI). Сертификаты точек доступа, которые потом авторизуются на контроллере, бывают следующих четырех типов:

  • MIC (Manufacture Installed Certificate)
  • SSC (Self-Signed Certificate)
  • LSC (Locally Significant Certificate)
  • LBS-SSC (Location-Based Services-SSC)

Первый тип сертификатов присутствует на всех точках доступа, в том числе автономных, выпушенных после 2006 года. Данный сертификат зашивается на заводе, подписывается самим вендором, и привязан к вшитому MAC-адресу точки доступа.
SSC сертификаты генерируются самой точкой в момент ее конверсии в «легковесную», если MIC сертификат не присутствует. Он подписан сам собой.
LSC сертификаты вы можете выписывать сами своим PKI, если в вашей организации есть указания использовать для систем цифровой подписи и шифрования только локальные средства.
LBS-SSC сертификат создается и используется устройствами Mobility Services Engine при взаимодействии с контроллером.

Какие типы сертификатов точек доступа принимать при попытке авторизации, вы можете настроить сами.

Дополнительно вы можете применять RADIUS-сервер для проверки валидности MAC-адреса точки доступа. Можно также явно задать MAC-адрес точки, применяющей MIC-сертификат (auth-list). Однако для SSC сертификатов вы в любом случае обязаны внести каждый из них в список, при этом указав не только MAC-адрес Ethernet-интерфейса точки доступа, но также хэш (hash) сертификата. Где его взять? На контроллере включите отладку процесса проверки сертификатов:

(Cisco Controller) > debug pm pki enable

Выбираем Add, тип SSC, Копипастим MAC-адрес и хэш в соответствующие поля, Apply, ждем перезагрузки точки, выключаем дебаг (debug disable-all), точка подключена:

Добавить хэш сертификата можно также и вручную:

Всё, что можно сделать с контроллером через веб-интерфейс, можно получить и через командную строку. Это вопрос удобства и привычки. Внимание: несколько специфичных команд доступны только с командной строки.

Теперь, когда наша точка доступа подключена (надеюсь, и все остальные тоже), можно включить радио-интерфейсы (Wireless — 802.11a/n, 802.11b/g/n), режимы -g, -n, и перейти к настройке беспроводных сетей (SSID).

Статья первоначально опубликована на ресурсе Хабрахабр


Другие статьи серии:

Сбрасываем состояние точки доступа в исходное:

Выключаем питание, нажимаем и удерживаем кнопку MODE. Включаем питание, ждем 1-2 секунды, отпускаем кнопку MODE.

Устанавливаем IP

На DHCP сервере запускаем:

tail -f tail -f /var/lib/dhcp/dhcpd.leases

Выключаем и включаем питание у точки и ждем 1-2 минуты появление записи наподобие этой:

lease 10.8.1.56 { starts 4 2011/02/24 07:53:11; ends 0 2011/02/27 19:53:11; cltt 4 2011/02/24 07:53:11; binding state active; next binding state free; hardware ethernet 00:1d:a1:cd:68:4c; uid «\001\000\035\241\315g<«; client-hostname «ap»; }

Из нее видно, что точка доступа с именем AP (имя по умолчанию) и MAC адресом 00:1d:a1:cd:68:4c запросила IP адрес. DHCP сервер в свою очередь выдал ей адрес: 10.1.0.56. Привязываем в DHCP к точке необходимый адрес:

/etc/dhcp/dhcpd.conf host AP{ #Точка доступа hardware ethernet 00:1d:a1:cd:67:3c; fixed-address 10.1.0.10; }

Рестартуем DHCP:

/etc/init.d/isc-dhcp-server restart

Выключаем и включаем питание у точки.

Точки доступа Cisco

Теперь она получит адрес 10.1.0.33.

Меняем пароли

По умолчанию для Cisco AIR-AP1242 включен telnet. Коннектимся телнетом к точке:

telnet 10.1.0.33

Авторизационные данные по умолчанию:

User: Cisco Password:Cisco

Меняем пароль для enable:

ap#enable ap#configure terminal ap(config)#enable secret новый_пароль

Меняем пароль для пользователя Cisco:

ap(config)#username Cisco password новый_пароль

Устанавливаем имя хоста:

ap(config)#hostname ap-cisco-holl

Задаем домен:

ap-cisco-holl(config)#ip domain name вашдомен.ru

Включем SSH:

Генерируем ключ:

ap-cisco-holl(config)#crypto key generate rsa 1024

Включаем SSH:

ap-cisco-holl(config)#line vty 0 4 ap-cisco-holl(config-line)#transport input ssh end exit

Дальнейшую настройку будет производить по SSH:

ssh 10.1.0.33 -l Cisco

Задаем SSID:

ap-cisco-holl(config)#dot11 ssid ap-cisco-holl ap-cisco-holl(config)#exit

Указываем роль:

ap-cisco-holl(config)#interface dot11Radio 0 ap-cisco-holl(config-if)#station-role root access-point

Указываем, какие антенны использовать:

ap-cisco-holl(config-if)#antenna receive right ap-cisco-holl(config-if)#antenna transmit right

Указываем, базовую скорость передачи данных:

ap-cisco-holl(config-if)#speed basic-54.0

Включаем интерфейс:

ap-cisco-holl(config-if)#no shutdown ap-cisco-holl(config-if)#ssid ap-cisco-holl ap-cisco-holl(config-if)#exit

Включение авторизации

interface dot11radio0 encryption mode cipher tkip exit dot11 ssid ap-cisco-holl authentication open authentication key-management wpa wpa-psk ascii 0 pass123

Если не требуется ввода пароля, то только две строки:

dot11 ssid ap-cisco-holl authentication open exit

Включение Broadcast SSID

dot11 ssid ap-cisco-holl guest-mode exit

Сохраняем настройки

copy running-config startup-config

Литература

Как настроить Cisco Aironet 1240

How to Configure a Cisco Wireless Access-Point (AP) from Scratch

Подключение точек доступа к контроллеру Cisco

Рейтинг статьи: 2.498/5 (532 голосов).

При первом знакомстве с cisco 2911 обнаружил кроме стандортного RJ45 Console еще и miniusb console Заинтересовался, зачем маршрутизатору такой нехарактерный для него порт. Кому интересны возможности его использования — прошу в эту статью.

Спонсор этой страницы:

Настройка CISCO через usb console consolenastroyka_marshrutizatorov_cisco_cherez_usb-port При первом знакомстве с cisco 2911 обнаружил кроме стандортного RJ45 Console еще и miniusb console Заинтересовался, зачем маршрутизатору такой нехарактерный для него порт. Кому интересны возможности его использования — прошу в эту статью.

При подключении выяснилось, что железяка без специальных драйверов не работает.

Установка драйвера cisco через usb console

Скачиваем драйвер cisco usb console driver

Распаковываем и запускаем setup32.exe

  • Next
  • Install
  • Finish
  • После чего Windows попросит ребутнуться

    После подключения Cisco через кабель miniusb в списке оборудования появился

  • CiscoUsbConsoleWindowsDriver
  • Cisco Bus enumerator
    Cisco USB to Serial adapter

  • Порты (COM и LPT)
  • Cisco Serial (COM14)

    Настройка через Cisco через USB используя программу putty.exe

    Скачиваем программу Putty (http://www.putty.org)

    Наконец-то Cisco сообразила, что в современных ноутбуках и нетбуках нету COM портов и приходится дополнительно покупать USBtoCOM устройства

    Cisco Systems

    Пожалуйста, оцените и ВЫ эту статью:

    Комментарии к статье:


    .

    FILED UNDER : IT

    Submit a Comment

    Must be required * marked fields.

    :*
    :*