admin / 18.07.2018
Содержание
Пользуясь первым руководством из моего цикла статей, вы настроили и подключили к локальной сети ваш контроллер беспроводных точек доступа Cisco WLC. Доступ к нему есть, но «вайфая юзерам» пока ещё нет. Следующий ваш шаг — подключить к контроллеру имеющиеся в наличии точки доступа, которые и будут обслуживать радио-клиентов. О том, как это сделать, и пойдет речь ниже.
Несмотря на открытость CAPWAP протокола, ваш контроллер будет работать только с точками производства Cisco, о чем прямо и заявляет производитель. Из доступных на сегодняшний день устройств можно выделить несколько классов:
Хорошее сравнение возможностей разных устройств приведено у производителя. Подбирайте сами, смотря по бюджету, поставленной задаче. Для экспериментов, или простой сети вполне подойдут старые, уже не вполне поддерживаемые модели 1121 b/g (но по $15), или устройства поновее, 1131AG. Сколько точек брать — необходимо выяснить экспериментально путем измерения уровня сигнала, расчетов, своего и чужого опыта. В любом случае, ничто вам позже не помешает просто добавить одну-две новых точки доступа туда, где будет явно виден слабый уровень сигнала (программное обеспечение типа WCS/NCS вам прямо покажет место на карте, да еще и советы даст в режиме планнинга). При этом никакой перенастройки не потребуется, с уровнем мощности и частотным планом контроллер разберется автоматически. Количество поддерживаемых точек доступа определяется лицензией; для некоторых контроллеров (5508 и 2504) дополнительные лицензии можно докупить. Рекомендуется, для повышения отказоустойчивости, желательно иметь два контроллера, и грамотно распределять точки между ними. Об этом, видимо, в другой раз.
А пока, если ваши точки доступа пришли из «автономного мира» (AIR-AP-xxx), их необходимо конвертировать в мир контроллеров (AIR-LAP-xx). Все точки доступа поддерживают данную операцию. Для ее проведения потребуется сама точка доступа, доступная по сети (с прописанным IP-адресом и известными правами доступа), и либо специальная бесплатная утилита, либо ПО управления WCS или NCS, в котором присутствует требуемый инструмент. Вся препрошивка, по большому счету, сводится к следующим операциям:
Сертификат нужен потому, что протокол общения точки доступа с контроллером, CAPWAP, в основе имеет протокол Datagram TLS, фактически защищенный через сертификаты UDP-транспорт.
Конвертированная точка доступа перезагружается, и затем «ищет» свой контроллер. Так же поступает и купленная сразу «легковесной» точка доступа из коробки. Процесс поиска включает в себя получение IP-адреса устройством, а так же получение списка контроллеров, проверка наличия, доступности и нагруженности каждого из них, и собственно регистрация у выбранного. Остановимся на этом вопросе подробно, так как он — ключевой в данной статье, и обычно вызывает больше всего проблем.
Точка доступа может ЛИБО получить IP-адрес у DHCP-сервера (любого производителя: Cisco IOS, Miscosoft, Unix ISC-DHCP), ЛИБО воспользоваться статически настроенным IP-адресом. В зависимости от обстоятельств вы можете воспользоваться любым методом. В вашем случае может оказаться, что DHCP-сервера рядом нет (или нет прав на него), либо точка доступа уже установлена в труднодоступном месте (за фальшпотолком). Либо банально нигде уже нет COM-порта (но надеемся, что про USB-COM переходники вы в курсе).
Для «ручной» настройки точки доступа необходимо подключиться к консоли (9600/8/N/1), кроме модели 1121, у которой консольного порта нет. При загрузке точка доступа попадает в режим получения адреса, и поиска контроллера. По умолчанию, логин и пароль "Cisco" (с большой буквы), enable пароль такой же. При некотором количестве неудачных попыток точка перезагружается, и продолжает процесс вечно. Для предотвращения перезагрузок отменим их следующей недокументированной командой:
Далее явно устанавливаем точке адрес:
Внимание! Легковесная точка доступа исполняет особый вариант IOS, в котором конфигурационный режим недоступен. По-хорошему он и не нужен: все конфигурационные настройки точка получает от контроллера в момент регистрации на нём. Исключение — некий небольшой набор статической конфигурации, вроде IP-адреса. По идее, можно заставить перейти точку в режим настройки с командной строки через недокументированную команду debug capwap console cli, однако данный способ чреват последствиями и на практике не нужен.
Далее устанавливаем точке адреса контроллеров. Первый контроллер (одного бывает достаточно):
Если у вас два и более контроллеров, то лучше так:
Вы должны указать адрес именно management-интерфейса контроллера (куда сами подключаетесь в веб-интерфейс), а не адрес ap-manager интерфейса. Посмотреть на результат настройки можно командой show capwap client config:
Для автоматической настройки IP-адреса точки доступа по DHCP необходимо также задать дополнительную опцию, номер 43, которая сообщает точке о доступных ей адресах контроллеров. Подробнее о настройке различных серверов написано здесь. Трюк состоит в том, чтобы передать в параметрах опции 43 адреса ваших контроллеров. Значение параметра (в HEX виде) имеет формат TLV, к примеру, f108c0a80a05c0a80a14, где 0xf1 (241) — номер параметра опции, 0x08 (длина данных, два раза по 4 байта/октета IP адреса), 0xc0a80a05 переводится в 192.168.10.5 и 0xc0a80a14 в 192.168.10.20.
Точка доступа может получить адреса контроллеров также через запрос по DNS, или от соседей «по воздуху».
Немного о подключении самого устройства к локальной сети. Всё, что точке доступа нужно, это IP-связность с контроллером. Достаточно просто подключить её в access-порт (порт доступа) вашей локальной сети, наравне с остальными компьютерами. Только в случае видео- или голосовых приложений в радио-сети вам понадобится настроить приоритизацию, а в случае удаленного офиса и H-REAP конфига точки — транк порт. Даже если одна точка доступа предоставляет возможность подключения к нескольким SSID (радио-сетям) со своими политиками безопасности и проключением к VLANам, беспокоиться о настройках стыка с проводной сетью надо только на уровне контроллера.
Установив точку в локальной сети смотрим, как она пытается подключиться к контроллеру (Monitor-AP Join):
Однако бывает, что точка доступа вроде бы как видит контроллер, но в упор не хочет к нему подключаться. Почти наверняка это связано с установленными политиками безопасности, которые настраиваются в меню "Security-AAA-AP Policies". Почти все эти политики так или иначе связаны с сертификатами. Разберемся в данном вопросе детально.
Как сказано выше, из-за деталей работы CAPWAP данные между точкой и контроллером зашифрованы при помощи сертификатов. Сертификаты есть, естественно, на контроллере, и на точке доступа. Контроллер поставляется с уже установленными сертификатами Cisco Systems (корневым, и его производными), может нести дополнительные сертификаты для веб-авторизации и локального RADIUS-сервера, которые к точкам доступа не относятся, а также может быть дополнен сертификатом вашего собственного Удостоверяющего Центра (PKI). Сертификаты точек доступа, которые потом авторизуются на контроллере, бывают следующих четырех типов:
Первый тип сертификатов присутствует на всех точках доступа, в том числе автономных, выпушенных после 2006 года. Данный сертификат зашивается на заводе, подписывается самим вендором, и привязан к вшитому MAC-адресу точки доступа.
SSC сертификаты генерируются самой точкой в момент ее конверсии в «легковесную», если MIC сертификат не присутствует. Он подписан сам собой.
LSC сертификаты вы можете выписывать сами своим PKI, если в вашей организации есть указания использовать для систем цифровой подписи и шифрования только локальные средства.
LBS-SSC сертификат создается и используется устройствами Mobility Services Engine при взаимодействии с контроллером.
Какие типы сертификатов точек доступа принимать при попытке авторизации, вы можете настроить сами.
Дополнительно вы можете применять RADIUS-сервер для проверки валидности MAC-адреса точки доступа. Можно также явно задать MAC-адрес точки, применяющей MIC-сертификат (auth-list). Однако для SSC сертификатов вы в любом случае обязаны внести каждый из них в список, при этом указав не только MAC-адрес Ethernet-интерфейса точки доступа, но также хэш (hash) сертификата. Где его взять? На контроллере включите отладку процесса проверки сертификатов:
(Cisco Controller) > debug pm pki enable
Выбираем Add, тип SSC, Копипастим MAC-адрес и хэш в соответствующие поля, Apply, ждем перезагрузки точки, выключаем дебаг (debug disable-all), точка подключена:
Добавить хэш сертификата можно также и вручную:
Всё, что можно сделать с контроллером через веб-интерфейс, можно получить и через командную строку. Это вопрос удобства и привычки. Внимание: несколько специфичных команд доступны только с командной строки.
Теперь, когда наша точка доступа подключена (надеюсь, и все остальные тоже), можно включить радио-интерфейсы (Wireless — 802.11a/n, 802.11b/g/n), режимы -g, -n, и перейти к настройке беспроводных сетей (SSID).
Статья первоначально опубликована на ресурсе Хабрахабр
Выключаем питание, нажимаем и удерживаем кнопку MODE. Включаем питание, ждем 1-2 секунды, отпускаем кнопку MODE.
На DHCP сервере запускаем:
tail -f tail -f /var/lib/dhcp/dhcpd.leases
Выключаем и включаем питание у точки и ждем 1-2 минуты появление записи наподобие этой:
lease 10.8.1.56 { starts 4 2011/02/24 07:53:11; ends 0 2011/02/27 19:53:11; cltt 4 2011/02/24 07:53:11; binding state active; next binding state free; hardware ethernet 00:1d:a1:cd:68:4c; uid «\001\000\035\241\315g<«; client-hostname «ap»; }
Из нее видно, что точка доступа с именем AP (имя по умолчанию) и MAC адресом 00:1d:a1:cd:68:4c запросила IP адрес. DHCP сервер в свою очередь выдал ей адрес: 10.1.0.56. Привязываем в DHCP к точке необходимый адрес:
/etc/dhcp/dhcpd.conf host AP{ #Точка доступа hardware ethernet 00:1d:a1:cd:67:3c; fixed-address 10.1.0.10; }
Рестартуем DHCP:
/etc/init.d/isc-dhcp-server restart
Выключаем и включаем питание у точки.
Теперь она получит адрес 10.1.0.33.
По умолчанию для Cisco AIR-AP1242 включен telnet. Коннектимся телнетом к точке:
telnet 10.1.0.33
Авторизационные данные по умолчанию:
User: Cisco Password:Cisco
Меняем пароль для enable:
ap#enable ap#configure terminal ap(config)#enable secret новый_пароль
Меняем пароль для пользователя Cisco:
ap(config)#username Cisco password новый_пароль
Устанавливаем имя хоста:
ap(config)#hostname ap-cisco-holl
Задаем домен:
ap-cisco-holl(config)#ip domain name вашдомен.ru
Генерируем ключ:
ap-cisco-holl(config)#crypto key generate rsa 1024
Включаем SSH:
ap-cisco-holl(config)#line vty 0 4 ap-cisco-holl(config-line)#transport input ssh end exit
Дальнейшую настройку будет производить по SSH:
ssh 10.1.0.33 -l Cisco
Задаем SSID:
ap-cisco-holl(config)#dot11 ssid ap-cisco-holl ap-cisco-holl(config)#exit
Указываем роль:
ap-cisco-holl(config)#interface dot11Radio 0 ap-cisco-holl(config-if)#station-role root access-point
Указываем, какие антенны использовать:
ap-cisco-holl(config-if)#antenna receive right ap-cisco-holl(config-if)#antenna transmit right
Указываем, базовую скорость передачи данных:
ap-cisco-holl(config-if)#speed basic-54.0
Включаем интерфейс:
ap-cisco-holl(config-if)#no shutdown ap-cisco-holl(config-if)#ssid ap-cisco-holl ap-cisco-holl(config-if)#exit
interface dot11radio0 encryption mode cipher tkip exit dot11 ssid ap-cisco-holl authentication open authentication key-management wpa wpa-psk ascii 0 pass123
Если не требуется ввода пароля, то только две строки:
dot11 ssid ap-cisco-holl authentication open exit
dot11 ssid ap-cisco-holl guest-mode exit
copy running-config startup-config
Как настроить Cisco Aironet 1240
How to Configure a Cisco Wireless Access-Point (AP) from Scratch
Рейтинг статьи: 2.498/5 (532 голосов).
При первом знакомстве с cisco 2911 обнаружил кроме стандортного RJ45 Console еще и miniusb console Заинтересовался, зачем маршрутизатору такой нехарактерный для него порт. Кому интересны возможности его использования — прошу в эту статью.
Спонсор этой страницы:
Настройка CISCO через usb console consolenastroyka_marshrutizatorov_cisco_cherez_usb-port При первом знакомстве с cisco 2911 обнаружил кроме стандортного RJ45 Console еще и miniusb console Заинтересовался, зачем маршрутизатору такой нехарактерный для него порт. Кому интересны возможности его использования — прошу в эту статью.
При подключении выяснилось, что железяка без специальных драйверов не работает.
Скачиваем драйвер cisco usb console driver
Распаковываем и запускаем setup32.exe
После чего Windows попросит ребутнуться
После подключения Cisco через кабель miniusb в списке оборудования появился
Cisco Bus enumerator
Cisco USB to Serial adapter
Cisco Serial (COM14)
Скачиваем программу Putty (http://www.putty.org)
Наконец-то Cisco сообразила, что в современных ноутбуках и нетбуках нету COM портов и приходится дополнительно покупать USBtoCOM устройства
Cisco Systems
Пожалуйста, оцените и ВЫ эту статью:
.
FILED UNDER : IT