WLC-ontwerp (draadloze LAN-controller) en functies FAQ
Inhoud
Inleiding OntwerpQ FAQ-functies
Gerelateerde informatie
Inleiding
Dit document bevat informatie over de meest frequent gestelde vragen (FAQ) over het ontwerp en de functies die beschikbaar zijn bij een draadloze LAN-controller (WLC).
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
OntwerpQ
Vraag. Hoe vorm ik de schakelaar om aan te sluiten op de WLC?
A. Configureer de switchpoort waarop de WLC is aangesloten, als een IEEE 802.1Q-startpoort.
Zorg dat alleen de gewenste VLAN’s op de switch zijn toegestaan. Gewoonlijk blijven het beheer en de AP-Manager interface van de WLC ongeteld. Dit betekent dat zij het inheemse VLAN van de aangesloten schakelaar veronderstellen. Dit is niet nodig. U kunt een afzonderlijk VLAN aan deze interfaces toewijzen. Raadpleeg voor meer informatie het gedeelte Configureer de switch voor het WLC-gedeelte van de draadloze LAN-controller en het lichtgewicht access point Basic Configuration-voorbeeld.
Q. Is al het netwerkverkeer van en naar een WLAN-clienttunnel door een draadloze LAN-controller (WLC) nadat het access point (AP) is geregistreerd bij de controller?
A. Wanneer AP zich bij een WLC aansluit, wordt een Controle en Provisioning van de Wireless Access Point Protocol (CAPWAP) tunnel gevormd tussen de twee apparaten. Al het verkeer, dat al het clientverkeer omvat, wordt via de CAPWAP-tunnel verstuurd.
De enige uitzondering hierop is wanneer een AP zich in hybride-REAP-modus bevindt. De hybride-REAP-toegangspunten kunnen het clientgegevensverkeer lokaal wijzigen en lokale
clientverificatie uitvoeren wanneer hun verbinding met de controller verloren gaat. Wanneer zij zijn aangesloten op de controller, kunnen zij ook verkeer terugsturen naar de controller.
Q. Kan ik lichtgewicht access points (LAP’s) installeren op een extern kantoor en
een Cisco draadloze LAN-controller (WLC) installeren op mijn hoofdkantoor? Werkt LWAPP/CAPWAP via een WAN?
A. Ja, u kunt de WLCs over het WAN hebben van de APs. LWAPP/CAPWAP werkt via een WAN wanneer de LAP's zijn ingesteld in de modus Remote Edge AP (REAP) of Hybrid Remote Edge AP (H-REAP). Bij één van deze modi kan een AP worden bestuurd door een externe controller die via een WAN-link wordt aangesloten. Het verkeer wordt lokaal overbrugd op de LAN link,
waardoor de noodzaak om onnodig lokaal verkeer via de WAN-link te verzenden wordt vermeden.
Dit is precies een van de grootste voordelen van het hebben van WLCs in uw draadloos netwerk.
Opmerking: niet alle lichtgewicht AP's ondersteunen deze modi. De H-REAP-modus wordt
bijvoorbeeld alleen ondersteund in de LAP's 1131, 1140, 1242, 1250 en AP801. De modus REAP wordt alleen ondersteund in de 1030 AP, maar de 1010 en 1020 AP's ondersteunen REAP niet.
Voordat u deze modi wilt implementeren, controleert u of de LAP's deze ondersteunen. Cisco IOS® Software APs (Autonome APs) die zijn geconverteerd naar LWAPP steunen REAP niet.
Q. Hoe werken de REAP en H-REAP modi?
A. In de REAP-modus wordt al het controle- en beheerverkeer, dat ook het verificatieverkeer omvat, teruggebracht naar de WLC. Maar al het gegevensverkeer wordt lokaal binnen het
afstandsbediening LAN geschakeld. Wanneer de verbinding met de WLC is verloren, worden alle WLAN’s beëindigd, behalve de eerste WLAN (WLAN1). Alle klanten die momenteel aan dit WLAN zijn gekoppeld, blijven behouden. Om de nieuwe cliënten toe te staan om met succes de service op dit WLAN binnen de downtime te authentiseren en te ontvangen, moet u de
authenticatiemethode voor dit WLAN configureren als of WLAN of WAP-PSK zodat verificatie lokaal bij de REAP wordt uitgevoerd. Raadpleeg voor meer informatie over de REAP-
implementatie de REAP-implementatiegids bij het Vestigingskantoor.
In de modus H-REAP tunnels een toegangspunt het controle- en beheerverkeer, dat het authenticatieverkeer omvat, terug naar de WLC. Het gegevensverkeer van een WLAN wordt lokaal in het externe kantoor overbrugd als de WLAN wordt geconfigureerd met H-REAP lokale switching, of het gegevensverkeer wordt teruggestuurd naar de WLC. Wanneer de verbinding met de WLC verloren is, worden alle WLAN’s beëindigd behalve de eerste acht WLAN’s die zijn
geconfigureerd met H-REAP lokale switching. Alle klanten die momenteel aan deze WLAN’s zijn gekoppeld, blijven behouden. Om de nieuwe klanten toe te staan om met succes de service op deze WLAN’s binnen de downtime te authentiseren en te ontvangen, moet u de
authenticatiemethode voor deze WLAN configureren als of WLAN, WAP PSK of WAP2 PSK, zodat de verificatie lokaal bij H-REAP wordt uitgevoerd.
Raadpleeg voor meer informatie over H-REAP de H-REAP Design and Deployment Guide.
Q. Wat is het verschil tussen Remote-Edge AP (REAP) en Hybrid-REAP (H- REAP)?
A. REAP ondersteunt IEEE 802.1Q VLAN-tagging niet. Als dergelijk, steunt het geen meerdere VLAN’s. Verkeer van alle Service set identifier (SSID) termineert op dezelfde SUBNET maar H- REAP ondersteunt IEEE 802.1Q VLAN-markering. Het verkeer van elke SSID kan worden gesegmenteerd tot een uniek VLAN.
Wanneer connectiviteit met de WLC verloren is, dat wil zeggen, in de standalone modus, dient REAP slechts één WLAN in, dat wil zeggen, de eerste WLAN. Alle andere WLAN’s worden
gedeactiveerd. In H-REAP worden tot 8 WLAN’s binnen de downtime ondersteund.
Een ander groot verschil is dat in de REAP-modus het gegevensverkeer alleen lokaal kan worden overbrugd. U kunt niet terugschakelen naar het hoofdkantoor, maar in de H-REAP-modus kunt u de optie inschakelen om het verkeer terug naar het hoofdkantoor van het kantoor te verplaatsen.
Verkeer van WLAN’s die zijn geconfigureerd met H-REAP lokale switching wordt lokaal
ingeschakeld. Het gegevensverkeer van andere WLAN’s wordt teruggeschakeld naar het centrale kantoor.
Raadpleeg het Configuratievoorbeeld van Remote-Edge AP (REAP) met lichtgewicht AP’s en draadloze LAN-controllers (WLC’s) voor meer informatie over REAP.
Zie Hybrid REAP configureren voor meer informatie over H-REAP.
Q. Hoeveel WLAN’s worden op WLC ondersteund?
A. Aangezien softwareversie 5.2.157.0, kan WLC nu maximaal 512 WLAN’s voor lichtgewicht access points controleren. Elk WLAN heeft een afzonderlijke WLAN-id (1 tot en met 512), een afzonderlijke profielnaam en een WLAN-SSID, en kan worden toegewezen aan een uniek
beveiligingsbeleid. De controller publiceert tot 16 WLAN’s op elk aangesloten access point, maar u kunt tot 512 WLAN’s op de controller maken en vervolgens selectieve deze WLAN’s (met gebruik van access point groepen) publiceren op verschillende access points om uw draadloze netwerk beter te beheren.
Opmerking: Cisco 2106, 2112 en 2125 controllers ondersteunen alleen tot 16 WLAN’s.
Opmerking: Lees voor gedetailleerde informatie over de richtlijnen voor het configureren van WLAN’s op WLC’s het gedeelte WLAN’s maken van de Cisco Wireless LAN Controller Configuration Guide, release 7.0.116.0.
Q. Hoe kan ik VLAN’s op mijn draadloze LAN-controller (WLC) configureren?
A. In WLC, worden VLAN's verbonden aan een interface die in een unieke IP-telefoon wordt geconfigureerd. Deze interface is in kaart gebracht op een WLAN. Dan, de cliënten die aan dit WLAN associëren behoren tot het VLAN van de interface en worden toegewezen aan een IP adres van het subnetwerk waartoe de interface behoort. Om VLAN’s op uw WLC te configureren vult u de procedure in de VLAN’s in het Configuratievoorbeeld van draadloze LAN-controllers in.
Q. We hebben twee WLAN’s voorzien met twee verschillende dynamische interfaces. Elke interface heeft zijn eigen VLAN, dat anders is dan de
beheerinterface VLAN. Dit lijkt te werken, maar we hebben de boomstampoorten niet voorzien om VLAN's toe te staan die onze WLAN's gebruiken. tagt het access point (AP) de pakketten met de beheerinterface VLAN?
A. AP tagt geen pakketten met de interface VLAN van het beheer. AP kapselt de pakketten van de cliënten in Lichtgewicht AP Protocol (LWAPP)/CAPWAP in, en brengt dan de pakketten op WLC over. De WLC slaat vervolgens de LWAPP/CAPWAP-header af en stuurt de pakketten naar de poort met de juiste VLAN-tag. De VLAN-tag is afhankelijk van de WLAN-client waartoe de client behoort. De WLC hangt van de gateway af om de pakketten naar hun bestemming te leiden. Om verkeer voor meerdere VLAN's over te kunnen geven, moet u de uplink schakelaar als boompoort configureren. In dit diagram wordt uitgelegd hoe VLAN’s met controllers werken:
Q. Welk IP adres van de WLC wordt gebruikt voor authenticatie met de AAA server?
A. De WLC gebruikt het IP-adres van de beheerinterface voor elk authenticatiemechanisme (Layer 2 of Layer 3) dat een AAA-server betreft. Raadpleeg voor meer informatie over poorten en
interfaces op de WLC het gedeelte Configurepoorten en interfaces van de Cisco Wireless LAN Controller Configuration Guide, release 7.0.16.0.
Q. Ik heb tien Cisco 1000 Series lichtgewicht access points (LAP’s) en twee draadloze LAN-controllers (WLC’s) in hetzelfde VLAN. Hoe kan ik zes LAP's
registreren om te associëren aan WLC1 en de andere vier LAP's om te associëren aan WLC2?
A. Met de LWAPP/CAPWAP kan dynamische redundantie en taakverdeling worden bereikt. Als u bijvoorbeeld meer dan één IP-adres voor optie 43 hebt opgegeven, stuurt een LAP een
zoekopdracht naar LWAPP/CAPWAP-zoekopdracht naar elk van de IP-adressen die de AP ontvangt. In de zoekrespons van WLC LWAPP/CAPWAP wordt deze informatie in het WLC verwerkt:
Informatie over de huidige LAP-lading, die wordt gedefinieerd als het aantal LAP's dat op dat moment wordt aangesloten op de WLC
●
De LAP-capaciteit
●
Het aantal draadloze klanten dat op de WLC wordt aangesloten
●
Vervolgens probeert de LAP zich aan te sluiten bij de minst geladen WLC, de WLC met de grootste beschikbare LAP-capaciteit. Bovendien, nadat een LAP zich bij een WLC aansluit, leert LAP de IP adressen van de andere WLCs in de mobiliteitsgroep van zijn aangesloten WLC.
Als een LAP eenmaal lid is van een WLC, kunt u de LAP maken om zich bij een specifieke WLC aan te sluiten binnen de volgende herstart. Om dit te doen, toewijzen zij een primaire, secundaire en tertiaire WLC voor een LAP. Als de LAP opnieuw opgestart wordt, wordt er gezocht naar de primaire WLC en wordt deze aangesloten op de WLC, onafhankelijk van de lading op die WLC.
Als de primaire WLC niet reageert, zoekt het naar de secundaire, en, als er geen respons is, de tertiaire. Voor meer informatie over hoe u de primaire WLC voor een LAP kunt configureren, raadpleegt u de Toewijzen primaire, secundaire en tertiaire controllers voor het lichtgewicht AP- gedeelte van de WLAN-controller-failover voor lichtgewicht access points.
Q. Wat zijn de functies die niet worden ondersteund op de 2100 Series draadloze LAN-controllers (WLC’s)?
A. Deze hardwarefuncties worden niet ondersteund op 2100 Series controllers:
Service poort (afzonderlijke out-of-band beheerinterface 10/100-MB/s Ethernet-interface)
●
Deze softwarefuncties worden niet ondersteund op 2100 Series controllers:
VPN-beëindiging (zoals IPsec en L2TP)
●
Beëindiging van de tunnels voor de gastregeling (de oorsprong van de tunnels voor de gastregeling wordt ondersteund)
●
Lijst van webservers voor externe webverificatie
●
Layer 2 LWAPP
●
Spanning-boom
●
Poortbewaking
●
Craniet
●
vesting
●
AppleTalk
●
QoS-bandbreedtecontracten per gebruiker
●
IPv6-doorvoer
●
Link aggregation (LAG)
●
Multicast voor eenastmodus
●
Toegang voor bekabelde gast
●
Q. Welke functies worden niet ondersteund op 5500 Series controllers?
A. Deze softwarefuncties worden niet ondersteund op 5500 Series controllers:
Statische AP-Manager-interfaceOpmerking: voor 5500 Series controllers is het niet nodig om een AP-Manager interface te configureren. De beheerinterface fungeert standaard als een AP-Manager interface en de access points kunnen zich bij deze interface aansluiten.
●
Asymmetrische mobiliteit-tunneling
●
Spanning Tree Protocol (STP)
●
Poortbewaking
●
Ondersteuning van Layer 2 Access Control List (ACL)
●
VPN-beëindiging (zoals IPSec en L2TP)
●
VPN-doorvoeroptie
●
Configuratie van 802.3 bruggen, AppleTalk en Point-to-Point Protocol over Ethernet (PPPoE)
●
Q. Welke functies worden niet ondersteund op vermaasde netwerken?
A. Deze controller-functies worden niet ondersteund op vermaasde netwerken:
Ondersteuning voor meerdere landen
●
Op lading gebaseerde CAC (vermaasde netwerken steunen alleen op bandbreedte gebaseerd, of statisch, CAC.)
●
Hoge beschikbaarheid (snelle hartslag en primaire ontdekking voegen-timer)
●
EAP-FASTv1- en 802.1X-verificatie
●
Access point maakt deel uit van prioriteit (mesh-access points hebben een vaste prioriteit.)
●
Lokaal significant certificaat
●
Plaatselijke diensten
●
Q. Wat is de geldigheidsperiode van door de fabrikant geïnstalleerde certificaten (MIC’s) op een draadloze LAN-controller en van de lichtgewicht AP-certificaten?
A. De geldigheidsduur van een MIC op een WLC is 10 jaar. Dezelfde geldigheidsperiode van 10 jaar is van toepassing op de lichtgewicht AP's certificaten vanaf de aanmaak (of het nu een MIC of een zelfondertekend certificaat (SSC) is).
Q. Ik heb twee draadloze LAN controllers (WLCs) genaamd WLC1 en WLC2 ingesteld binnen dezelfde mobiliteitsgroep voor failover. Mijn lichtgewicht access point (LAP) is op dit moment geregistreerd bij WLC1. Als WLC1 mislukt, wordt AP geregistreerd op WLC1 en herstart tijdens zijn overgang naar de overlevende WLC (WLC2)? Verloopt de WLAN-client tijdens deze failover ook WLAN-connectiviteit met de LAP?
A. Ja, de LAP registreert het WLC1, herstart en herregistreert het vervolgens met WLC2, als WLC1 mislukt. Omdat de LAP herstart, verliezen de verbonden WLAN-clients de connectiviteit met de herbooting LAP. Raadpleeg voor gerelateerde informatie AP-taakverdeling en AP-back-up in Unified draadloze netwerken.
Q. Is roaming afhankelijk van de Lichtgewicht Access Point Protocol (LWAPP)- modus dat de draadloze LAN-controller (WLC) ingesteld is om te gebruiken? Kan een WLC die in Layer 2 LWAPP modus werkt Layer 3 roaming uitvoeren?
A. Zolang mobiliteitsgroepen bij de luchtverkeersleiders correct zijn ingesteld, moet roaming voor klanten prima werken. Roaming wordt niet beïnvloed door de LWAPP-modus (Layer 2 of Layer 3).
Aanbevolen wordt echter om Layer 3 LWAPP waar mogelijk te gebruiken.
Opmerking: Layer 2-modus wordt alleen ondersteund door Cisco 410x en 440x Series WLC's en Cisco 1000 Series access points. Layer 2 LWAPP wordt niet ondersteund door de andere
draadloze LAN-controller en lichtgewicht access point platforms.
Q. Wat is het roamingproces dat plaatsvindt wanneer een klant besluit om naar een nieuw toegangspunt (AP) of controller te roamen?
A. Dit is de opeenvolging van gebeurtenissen die plaatsvindt wanneer een cliënt naar een nieuwe AP stroomt:
De klant stuurt via de LAP een reassociatie-verzoek naar de WLC.
1.
WLC stuurt het mobiliteitsbericht naar andere WLC's in de mobiliteitsgroep om te weten te komen met welke WLC de klant eerder betrokken was.
2.
De oorspronkelijke WLC reageert met informatie, zoals het MAC-adres, IP-adres, QoS, Security context, enz. over de client via het mobiliteitsbericht.
3.
De WLC werkt zijn databank bij met de verstrekte clientgegevens; de cliënt gaat dan zo nodig over tot herauthenticatie . De nieuwe LAP waarmee de cliënt momenteel geassocieerd is, wordt eveneens bijgewerkt samen met andere details in de database van de WLC. Op deze manier blijft het IP-adres van de client behouden bij roams tussen WLC's, zodat u naadloos kunt roaming.
4.
Raadpleeg voor meer informatie over roaming in een uniform milieu het gedeelte Mobility Group van de Cisco Wireless LAN Controller Configuration Guide, release 7.0.116.0.
Opmerking: De draadloze client stuurt geen (802.11) authenticatieverzoek uit tijdens reassociatie.
De draadloze client stuurt de reassociatie meteen uit. Daarna zal het door 802.1x authenticatie gaan.
Q. Welke poorten moet ik toestaan voor LWAPP/CAPWAP communicatie wanneer er een firewall in het netwerk is?
A. U dient deze poorten in te schakelen:
Schakel deze UDP-poorten in voor LWAPP-verkeer:Gegevens - 1222Controle - 1223
●
Schakel deze UDP-poorten in voor CAPWAP-verkeer:Gegevens - 5247Controle - 5246
●
Schakel deze UDP-poorten in voor Mobiliteitsverkeer:1666 - Beveiliging1667 - onbeveiligde modus
●
De mobiliteit en de gegevensberichten worden gewoonlijk door EtherIP pakketten uitgewisseld. IP protocol 97 moet in de firewall zijn toegestaan om EtherIP-pakketten toe te staan. Als u ESP gebruikt om mobiliteitspakketten in te sluiten, moet u ISAKMP door de firewall toestaan wanneer u UDP poort 500 opent. U moet ook het IP protocol 50 openen om de gecodeerde gegevens door de firewall te laten lopen.
Deze poorten zijn optioneel (afhankelijk van uw vereisten):
TCP 161 en 162 voor SNMP (voor het draadloze controlesysteem [WCS])
●
UDP 69 voor TFTP
●
TCP 880 en/of 443 voor HTTP of HTTPS voor GUI-toegang
●
TCP 23 en/of 22 voor telnet of Secure Shell (SSH) voor CLI-toegang
●
Q. Ondersteuning van draadloze LAN-controllers voor zowel SSHv1 als SSHv2?
A. Draadloze LAN-controllers ondersteunen alleen SSHv2.
Q. wordt omgekeerd ARP (RARP) ondersteund door draadloze LAN-controllers (WLC’s)?
A. Het Reverse Protocol van de Resolutie van het Adres (RARP) is een protocol van de
verbindingslaag dat wordt gebruikt om een IP adres voor een bepaald verbinding-laag adres zoals een Ethernet adres te verkrijgen. RARP wordt ondersteund met WLCs met firmware versie
4.0.217.0 of hoger. RARP wordt niet ondersteund op een van de eerdere versies.
Q. Kan ik de interne DHCP-server op de draadloze LAN-controller (WLC) gebruiken om IP-adressen toe te wijzen aan de lichtgewicht access points (LAP’s)?
A. De controllers bevatten een interne DHCP-server. Deze server wordt gewoonlijk gebruikt in bijkantoren die al geen DHCP-server hebben. Klik om toegang te krijgen tot de DHCP-service op het menu Controller vanuit de WLC GUI; Klik vervolgens op de optie Interne DHCP-server aan de linkerkant van de pagina. Raadpleeg het gedeelte DHCP configureren van de configuratiegids voor draadloze LAN-controllers, release 7.0.116.0 voor meer informatie over de manier waarop u de DHCP-toepassingsinstellingen op de WLC kunt configureren.
De interne server geeft DHCP-adressen aan draadloze clients, LAP’s, AP-mode AP’s in de beheerinterface en DHCP-verzoeken die via LAP’s worden doorgegeven. WLC's bieden nooit adressen aan apparaten in het bedrade netwerk aan. DHCP-optie 43 wordt niet ondersteund op de interne server. AP moet dus een alternatieve methode gebruiken om het IP-adres van de beheerinterface van de controller te vinden, zoals lokale subnetuitzending, DNS, Priming of Overschrijving.
Opmerking: WLC firmware versies vóór 4.0 ondersteunen geen DHCP-service voor LAP's tenzij de LAP's direct verbonden zijn met de WLC. De interne DHCP-serverfunctie werd alleen gebruikt om IP-adressen te geven aan clients die verbinding maken met het draadloze LAN-netwerk.
Q. Wat geeft het DHCP-veld onder een WLAN aan?
A. DHCP vereist is een optie die voor een WLAN kan worden ingeschakeld. Het vereist dat alle klanten die aan die bepaalde WLAN associëren IP-adressen via DHCP verkrijgen. Clients met statische IP-adressen mogen niet worden gekoppeld aan de WLAN’s. Deze optie wordt gevonden onder het tabblad Geavanceerd van een WLAN. WLC staat het verkeer naar/van een cliënt
slechts toe als zijn IP adres in de MSCB tabel van de WLC aanwezig is. WLC registreert het IP adres van een client tijdens de DHCP-aanvraag of de DHCP-vernieuwing. Dit vereist dat een client zijn IP-adres vernieuwt telkens wanneer deze opnieuw aan de WLC gekoppeld is, omdat elke keer dat de client als onderdeel van de beroeps- of sessietijd van de client wordt
losgekoppeld, de vermelding ervan uit de MSCB-tabel wordt gewist. De client moet opnieuw geauthentiseerd zijn en opnieuw geassocieerd worden met de WLC, die opnieuw de client in de tabel invoert.
Q. Hoe werkt Cisco Centralized Key Management (CCKM) in een LWAPP/CAPWAP-omgeving?
A. Tijdens de initiële clientassociatie onderhandelt AP of WLC over een paarwijze master key (PMK) nadat de draadloze client 802.1x authenticatie heeft doorlopen. De WLC of WDS AP caches de PMK voor elke client. Wanneer een draadloze client zich opnieuw associeert of roams maakt, wordt de 802.1x-verificatie overgeslagen en wordt de PMK onmiddellijk gevalideerd.
De enige speciale implementatie van de WLC in CCKM is dat WLC's client-PMK via mobiliteitspakketten, zoals UDP 16666, uitwisselen.
Q. Hoe stel ik de duplexinstellingen in op de draadloze LAN-controller (WLC) en de lichtgewicht access points (LAP’s)?
A. De draadloze producten van Cisco werken het beste wanneer zowel snelheid als duplex
autonegotiveerd worden, maar u hebt de optie om de duplexinstellingen op de WLC en LAPs in te stellen. Om de AP snelheid/duplex instellingen in te stellen kunt u de duplexinstellingen voor de LAP's op het controller configureren en deze op de LAP's duwen.
Configureer ap Ethernet duplex <auto/half/volledig> snelheid <auto/10/100/1000> <all/Cisco AP Name> is de opdracht om de duplexinstellingen via de CLI in te stellen. Deze opdracht wordt alleen ondersteund met versies 4.1 en later.
Om de duplexinstellingen voor de WLC fysieke interfaces in te stellen, gebruikt u de configuratie poort fysicalmode {alle | haven} {100 uur | 100 septies | 10 nonies | 10f opdracht.
Deze opdracht stelt de gespecificeerde of alle voorpaneel 10/100BASE-T Ethernet poorten in voor speciale 10 Mbps of 100 Mbps, half-duplex of volledig-duplex bediening. Merk op dat u
autonegotiation met de configuratie poort autonoom moet uitschakelen opdracht voordat u handmatig een fysieke modus op de poort aanpast. Let er ook op dat het configuratie poort autoneg opdracht instellingen met de configuratie poort fysicalmode opdracht overtreedt.
Standaard worden alle poorten ingesteld op auto-onderhandelen.
Opmerking: Er is geen manier om de snelheidsinstellingen voor de glasvezel-poorten te wijzigen.
V. Is er een manier om de naam van het lichtgewicht access point (LAP) te achterhalen wanneer het niet bij de controller is geregistreerd?
A. Als uw AP volledig beneden is en niet bij de controller is geregistreerd, kunt u de LAP op geen enkele manier volgen via de controller. De enige manier die overblijft is dat je toegang hebt tot de switch waarop deze AP's aangesloten zijn, en je kunt de switchpoort vinden waarop ze
aangesloten zijn met deze opdracht:
show mac-address-table address
Dit geeft u het poortnummer op de switch waarmee deze AP is verbonden. Geef deze opdracht vervolgens op:
show cdp nei detail
De uitvoer van deze opdracht geeft ook de LAP naam. Deze methode is echter alleen mogelijk als uw AP is ingeschakeld en is aangesloten op de schakelaar.
Q. Ik heb 512 gebruikers op mijn controller ingesteld. Is er een manier om het aantal
gebruikers op de draadloze LAN-controller (WLC) te verhogen?
A. De lokale gebruikersdatabase is beperkt tot maximaal 2048 items op de Security > General- pagina. Deze gegevensbank wordt gedeeld door lokale beheergebruikers (waaronder lobby- ambassadeurs), netto-gebruikers (waaronder gastgebruikers), MAC-filteringangen, de posten van de toegangspuntmachtigingslijst en de vermeldingen uit de uitsluitingslijst. Samen kunnen al deze typen gebruikers de geconfigureerde databases niet overschrijden.
Gebruik deze opdracht van de CLI om de lokale database te verhogen:
<Cisco Controller>config database size ?
<count> Enter the maximum number of entries (512-2048)
Opmerking: U moet de configuratie opslaan en het systeem opnieuw instellen (met behulp van de opdracht resetten van het systeem) voordat de wijziging van kracht wordt.
Vraag. Hoe kan ik een sterk wachtwoordbeleid voor WLC's opleggen?
A. Met WLC's kunt u een sterk wachtwoordbeleid definiëren. Dit kan worden gedaan met de CLI of GUI.
Ga in de GUI naar Beveiliging > AAA > Wachtwoordbeleid. Deze pagina heeft een reeks opties die kunnen worden geselecteerd om een sterk wachtwoord af te dwingen. Hierna volgt een voorbeeld:
Om dit van de WLC CLI te doen, gebruik de configuratie-schakelaar van de sterk-pwd {case-check
| achtereenvolgende controle | wanbetalingscontrole | gebruikersnaam | all-check {enabled | Opdracht uitschakelen:
case-check - controleer het voorkomen van hetzelfde teken drie keer na elkaar.
●
achtereenvolgende controle - Hiermee wordt gecontroleerd of de standaardwaarden of de varianten daarvan worden gebruikt.
●
default-check - KS kan worden gecontroleerd of ofwel de gebruikersnaam ofwel het omgekeerde wordt gebruikt.
●
all-check - Hiermee kunnen alle sterke wachtwoordcontroles worden uitgevoerd of uitgeschakeld.
●
Q. Hoe wordt de passieve client gebruikt voor draadloze LAN-controllers?
A. Passieve klanten zijn draadloze apparaten, zoals schalen en printers die met een statisch IP adres worden gevormd. Deze klanten verzenden geen IP informatie zoals IP adres, SUBNET masker, en gateway informatie wanneer zij met een access point associëren. Als gevolg daarvan weet de controller het IP-adres nooit wanneer passieve clients worden gebruikt, tenzij ze DHCP gebruiken.
WLC's fungeren momenteel als een proxy voor ARP-verzoeken. Na het ontvangen van een ARP- verzoek reageert de controller met een ARP-respons in plaats van het verzoek rechtstreeks aan de client door te geven. Dit scenario heeft twee voordelen:
Het upstream apparaat dat het ARP-verzoek naar de client verstuurt weet niet waar de client is gevestigd.
●
De voeding van op batterijen werkende apparaten zoals mobiele telefoons en printers wordt behouden omdat zij niet op elke ARP-aanvraag hoeven te reageren.
●
Aangezien de draadloze controller geen IP-gerelateerde informatie over de passieve klanten heeft, kan hij geen antwoord geven op ARP-verzoeken. Het huidige gedrag staat de overdracht van ARP-verzoeken aan passieve klanten niet toe. Elke toepassing die probeert toegang te krijgen tot een passieve client zal falen.
Met de passieve client kunnen de ARP-verzoeken en antwoorden worden uitgewisseld tussen bekabelde en draadloze klanten. Met deze optie kan de controller ARP-verzoeken van bekabeld naar draadloze clients doorgeven totdat de gewenste draadloze client naar de RUN-status komt.
Lees voor informatie over het configureren van de passieve client het gedeelte over het gebruik van de GUI om passieve client in de Cisco Wireless LAN Controller Configuration Guide te configureren, release 7.0.116.0.
Q. Hoe kan ik de client instellen om elke drie minuten of op een bepaalde tijdsperiode opnieuw te authenticeren met de RADIUS-server?
A. De sessie timeout parameter op de WLC kan gebruikt worden om dit te bereiken. Standaard wordt de sessie timeout parameter voor 1800 seconden ingesteld voordat er een herhaling optreedt.
Wijzig deze waarde tot 180 seconden om de client na drie minuten opnieuw te authentiseren.
Klik om de parameter voor de sessietijd te benaderen op het WLAN’menu in de GUI. Het geeft de lijst weer van WLAN’s die in de WLC zijn geconfigureerd. Klik op de WLAN-functie waartoe de client behoort. Ga naar het tabblad Geavanceerd en u vindt de parameter Time-outoplossing voor sessie inschakelen. Verander de standaardwaarde in 180 en klik op Toepassen voor de
wijzigingen om effect te sorteren.
Wanneer verzonden in een Access-Accept, samen met een Termination-Action waarde van RADIUS-Aanvraag, specificeert de Session-Time-outeigenschap het maximale aantal seconden service dat vóór herverificatie is geleverd. In dit geval wordt de Session-timeout-eigenschap gebruikt om de ReAuthPeriod constante te laden binnen de state-of-the-authenticatie Timer- machine van 802.1X.
Q. Ik heb een gasttunneling, Ethernet over IP (EoIP) tunnel, gevormd tussen mijn 4400 draadloze LAN controller (WLC), die als ankertunnel WLC en verscheidene afgelegen WLC's fungeert. Kan dit anker WLC vooruit Subnet uitzendingen door de EoIP tunnel van het bedrade netwerk aan draadloze cliënten verbonden met de afstandscontrollers?
A. Nee, WLC 4400 zendt IP geen IP-subuitzendingen vanuit de bedrade kant naar de draadloze klanten over de EoIP-tunnel door. Dit is geen ondersteunde optie. Cisco steunt geen tunneling van Subnet uitzending of multicast in de topologie van de gasttoegang. Aangezien de gast WLAN het clientpunt van aanwezigheid naar een zeer specifieke locatie in het netwerk afdwingt, meestal buiten de firewall, kan een tunneling van subnetuitzending een veiligheidsprobleem zijn.
Q. In een installatie van Wireless LAN Controller (WLC) en Lichtgewicht Access Point Protocol (LWAPP) worden welke DSCP-waarden (Distributed Services Code Point) voor Voice-verkeer doorgegeven? Hoe wordt QoS ten uitvoer gelegd op de WLC?
A. De Cisco Unified Wireless Network (UWN)-oplossing WLAN’s ondersteunen vier niveaus van QoS:
Platina/spraak
●
Goud/video
●
Silver/Best Performance (standaard)
●
Bronze/achtergrond
●
U kunt het spraakverkeer WLAN configureren om Platinum QoS te gebruiken, de lage
bandbreedte WLAN toewijzen om Bronze QoS te gebruiken en al het andere verkeer tussen de andere QoS-niveaus toewijzen. Raadpleeg een QoS-profiel aan een WLAN toewijzen voor meer informatie.
Q. Wordt de Bridges van Linksys Ethernet in een Draadloze Unified Oplossing van Cisco ondersteund?
A. Nee, de WLC ondersteunt alleen Cisco WGB-producten. Linksys WGBs wordt niet
ondersteund. Hoewel de Cisco draadloze Unified Solution de Linksys WET54G en WET11B Ethernet-bruggen niet ondersteunt, kunt u deze apparaten in een draadloze Unified Solution-
configuratie gebruiken als u deze richtlijnen gebruikt:
Sluit slechts één apparaat aan op de WET54G of WET11B.
●
Schakel de optie MAC-kloning op WET54G of WET11B in om het aangesloten apparaat te klonen.
●
Installeer de nieuwste stuurprogramma's en firmware op apparaten die aangesloten zijn op WET54G of WET11B. Dit richtsnoer is met name belangrijk voor JetDirect Printers omdat de vroeger firmware versies problemen met DHCP veroorzaken.
●
Opmerking: Overige bruggen van derden worden niet ondersteund. De stappen die hierboven worden genoemd kunnen ook voor andere derden worden beproefd.
Q. Hoe bewaar ik de configuratiebestanden in de draadloze LAN-controller (WLC)?
A. De WLC bevat twee soorten geheugen:
Volatile RAM — Houdt de huidige configuratie van de actieve controller
●
Niet-vluchtig RAM (NVRAM)—Hiermee behoudt u de configuratie van de herstart
●
Wanneer u het besturingssysteem in het WLC configureren wijzigt u het vluchtige RAM-geheugen.
U moet de configuratie uit de vluchtige RAM aan NVRAM opslaan om ervoor te zorgen dat de WLC opnieuw start in de huidige configuratie.
Het is belangrijk om te weten welk geheugen u wijzigt wanneer u deze taken uitvoert:
Gebruik de configuratiewizard.
●
Schakel de configuratie van de controller uit.
●
Configuraties opslaan.
●
Reset de controller.
●
Uitloggen van de CLI.
●
FAQ-functies
Q. Hoe stel ik het MAP-type (Extensible Authentication Protocol) in op de Wireless LAN Controller (WLC)? Ik wil me aanmelden tegen een ACS-apparaat (Access Control Server) en ik krijg een MAP-type dat niet wordt ondersteund in de logbestanden.
A. Op de WLC is geen afzonderlijke MAP-instelling van toepassing. Voor Light EAP (LEAP), EAP Flexibele Verificatie via Secure Tunneling (EAP-FAST) of Microsoft Protected EAP (MS-PEAP), moet u IEEE 802.1x of Wi-Fi Protected Access (WAP) configureren (als u 802.1x met WAP gebruikt). Elk MAP-type dat wordt ondersteund op de RADIUS-achterzijde en op de client wordt ondersteund via de tag 802.1x. De MAP-instelling op de client- en RADIUS-server moet
overeenkomen.
Voltooi deze stappen om EAP mogelijk te maken via de GUI op de WLC:
Klik vanuit de WLC GUI op WLAN’s.
1.
Er verschijnt een lijst met WLAN’s die in de WLC zijn geconfigureerd. Klik op een WLAN.
2.
In WLAN’s > Bewerken, klikt u op het tabblad Beveiliging.
3.
Klik op Layer 2 en kies Layer 2 security als 802.1x of WAP+WAP2. U kunt ook de 802.1x- parameters configureren die in hetzelfde venster beschikbaar zijn. Vervolgens stuurt de WLC EMATISCHE authenticatiepakketten door tussen de draadloze client en de
authenticatieserver.
4.
Klik op de AAA-servers en kies de verificatieserver in het vervolgkeuzemenu voor dit WLAN.
We gaan ervan uit dat de authenticatieserver al wereldwijd is ingesteld. Raadpleeg voor informatie over het inschakelen van de EAP-optie op WLC's via de opdrachtregel-interface (CLI) het gedeelte met de CLI om de RADIUS-sectie van de Cisco-configuratiegids voor draadloze LAN-controllers te configureren, release 7.0.116.0.
5.
Q. Wat verandert Fast SSID?
A. Fast SSID Changing staat cliënten toe om tussen SSID’s te bewegen. Wanneer de cliënt een nieuwe associatie voor een andere SSID verstuurt, wordt de client in de verbindingstabel van de controller geklaard voordat de client aan de nieuwe SSID wordt toegevoegd. Wanneer Fast SSID Changing wordt uitgeschakeld, voert de controller een vertraging uit voordat klanten naar een nieuwe SSID mogen verhuizen. Raadpleeg voor informatie over het inschakelen van Fast SSID’s de sectie Fast SSID wijzigen van de Cisco Wireless LAN Controller Configuration Guide, release 7.0.16.0.
Q. Kan ik een grens stellen aan het aantal klanten dat met een draadloos LAN kan verbinden?
A. U kunt een limiet stellen aan het aantal klanten dat kan verbinden met een WLAN, wat handig is in scenario's waarin u een beperkt aantal klanten hebt die met een controller kunnen verbinden.
Het aantal klanten dat u per WLAN kunt configureren is afhankelijk van het platform dat u gebruikt.
Lees de sectie Het maximale aantal clients per WLAN van de Cisco Wireless LAN-controller Configuration Guide, release 7.0.116.0 voor informatie over de clientbeperkingen per WLAN voor de verschillende platforms van draadloze LAN-controllers.
Q. Wat is PKC en hoe werkt het met de Draadloze LAN controller (WLC)?
A. PKC staat voor proactief toetakelen. Het is ontworpen als uitbreiding naar de 802.11i IEEE- standaard.
PKC is een optie die is ingeschakeld in Cisco 2006/410x/440x Series controllers die correct uitgeruste draadloze clients toestaan om te roamen zonder volledige herverificatie met een AAA- server. Om PKC te begrijpen, moet je eerst Key Caching begrijpen.
Key Caching is een functie die werd toegevoegd aan WAP2. Dit maakt het mogelijk dat een mobiel station de master keys (Pairwise Master Key [PMK]) in een geheugen instelt door een succesvolle verificatie met een access point (AP), en het opnieuw gebruikt in een toekomstige associatie met dezelfde AP. Dit betekent dat een bepaald mobiel apparaat één keer moet authentiseren met een specifieke AP, en de sleutel in het geheugen moet inbrengen voor
toekomstig gebruik. Key Caching wordt afgehandeld via een mechanisme dat bekend staat als de PMK Identifier (PMKID), een hash van de PMK, een string, het station en de MAC-adressen van de AP. De PMKID identificeert de PMK uniek.
Zelfs met Key Caching, moet een draadloos station zich authentiek verklaren met elke AP
waarvan het de service wenst te verkrijgen. Dit introduceert aanzienlijke latentie en
overheadkosten, die het handoff proces vertragen en de mogelijkheid om real-time toepassingen te ondersteunen kunnen verhinderen. Om deze kwestie op te lossen, werd PKC met WAP2 geïntroduceerd.
PKC laat een station toe om een PMK dat eerder was verkregen, opnieuw te gebruiken door middel van een succesvol verificatieproces. Dit heft de noodzaak op voor het station om authenticatie te verlenen aan nieuwe AP's bij roaming.
Wanneer een mobiel apparaat van de ene AP naar de andere overstapt op dezelfde controller, berekent de klant een PMKID opnieuw met de eerder gebruikte PMK en presenteert deze tijdens het associatieproces. De WLC zoekt zijn PMK cache om te bepalen of het een dergelijke
inzending heeft. Als dit wel het geval is, passeert het de 802.1x authenticatieprocedure en start het onmiddellijk de uitwisseling van de sleutel van WAP2. Als dit niet het geval is, gaat het door het standaard 802.1X-verificatieproces.
PKC is standaard ingeschakeld met WAP2. Daarom is PKC ingeschakeld op de WLC wanneer u WAP2 als Layer 2-beveiliging activeert onder de WLAN-configuratie van de WLC. Configureer ook de AAA-server en de draadloze client voor de juiste MAP-verificatie.
Leverancier die aan de kant van de client wordt gebruikt, zou ook WAP2 moeten ondersteunen zodat PKC kan werken. PKC kan ook worden geïmplementeerd in een roamingomgeving tussen controllers.
Opmerking: PKC werkt niet met Aironet Desktop Utility (ADU) als de client-applicator.
Q. Wat zijn de verklaringen voor deze tijdelijke instellingen op de controller: Time- out bij adresoplossing (ARP), eindtijd voor inactiviteitstimer en sessie?
A. De ARP Time-out wordt gebruikt om ARP-items op de WLC te verwijderen voor de apparaten die van het netwerk worden geleerd.
De Time-out bij inactiviteitstimer van de gebruiker: Wanneer een gebruiker onklaar is zonder enige communicatie met de LAP voor de hoeveelheid tijd die is ingesteld als Time-out bij
gebruikersmodule, wordt de client gedecodeerd door de WLC. De client moet opnieuw
authenticeren en associëren met de WLC. Het wordt gebruikt in situaties waarin een cliënt van zijn aangesloten LAP kan uitgaan zonder de LAP op de hoogte te stellen. Dit kan gebeuren als de batterij op de klant dood gaat of als de clientassocianten zich verplaatsen.
Opmerking: Ga naar het menu Controller om toegang te krijgen tot de Time-out bij ARP- en gebruikersmodule op de WLC GUI. Kies Algemeen van de linkerkant om de velden ARP- en Gebruiker Idle-out te vinden.
De Time-out voor sessie is de maximale tijd voor een clientsessie met de WLC. Na deze tijd, verklaart WLC de client geauthentiseerd, en de client gaat door het hele authenticatie
(herauthenticatie) proces opnieuw. Dit maakt deel uit van een veiligheidsvoorzorgsmaatregel om de encryptiesleutels te roteren. Als u een MAP-methode (Extensible Authentication Protocol) gebruikt met een belangrijk beheer, wordt het opnieuw activeren uitgevoerd met elk periodiek interval, om een nieuwe encryptiesleutel af te leiden. Zonder sleutelbeheer is deze timeout waarde de tijd dat draadloze klanten een volledige herauthenticatie moeten doen. De sessietijdelijke
oplossing is specifiek voor WLAN. Deze parameter is beschikbaar in het WLAN’s > Bewerken menu.
Wat is een RFID-systeem? Welke RFID-tags worden momenteel door Cisco ondersteund?
A. Radio Frequency Identification (RFID) is een technologie die radiofrequentie-communicatie voor een vrij korte-afstandscommunicatie gebruikt. Een basissysteem van RFID bestaat uit RFID- tags, RFID-lezers en de verwerkingssoftware.
Momenteel ondersteunt Cisco RFID-tags van AeroScout en Pango. Raadpleeg de WLC-
configuratie voor AeroScout-tags voor meer informatie over het configureren van AeroScout-tags.
Kan ik MAP-verificatie lokaal op de WLC uitvoeren? Is er een document dat deze lokale MAP-functie uitlegt?
A. Goedkope echtheidscontrole kan inderdaad lokaal op de WLC worden uitgevoerd. Plaatselijke MAP is een authenticatiemethode die het mogelijk maakt gebruikers en draadloze klanten lokaal op de WLC te controleren. Het is ontworpen voor gebruik in afgelegen kantoren die connectiviteit op draadloze klanten willen handhaven wanneer het backend systeem verstoord wordt, of de externe authenticatieserver daalt. Wanneer u lokaal EAP toelaat, dient de WLC als de
authenticatieserver. Voor meer informatie over hoe u een WLC voor lokale EAP-Fast-verificatie kunt configureren, raadpleegt u de Local EAP-verificatie op de draadloze LAN-controller met het configuratievoorbeeld EAP-FAST en LDAP-servers.
Q. Wat is de WLAN-optie? Hoe stel ik deze functie in? Zullen de LAP's de WLAN- overloopwaarden behouden wanneer ze falen in de reservekopie van het WLC?
A. De WLAN-versterkerfunctie stelt ons in staat om WLAN’s te kiezen uit de WLAN’s die op een WLC zijn geconfigureerd die actief op een individuele LAP-basis kunnen worden gebruikt. Voltooi deze stappen om een WLAN-opheffing te configureren:
Klik in de WLC GUI op het draadloze menu.
1.
Klik aan de optie Radios aan de linkerkant en kies 802.11 a/n of 802.11 b/g/n.
2.
Klik op de koppeling Configureren in het vervolgkeuzemenu aan de rechterkant die overeenkomt met de naam van de AP waarop u de WLAN-ingang wilt configureren.
3.
Klik op Schakel in het vervolgkeuzemenu van WLAN-negatie. Het WLAN-menu negeren is de laatste optie aan de linkerkant van het venster.
4.
De lijst van alle WLAN’s die op de WLC zijn geconfigureerd verschijnt.
5.
Controleer vanuit deze lijst de WLAN’s die u op de LAP wilt verschijnen en klik op Toepassen om de wijzigingen in werking te stellen.
6.
Bewaar de configuratie nadat u deze wijzigingen heeft aangebracht.
7.
APs behouden de WLAN opheffing waarden wanneer zij bij andere WLCs worden geregistreerd, op voorwaarde dat de WLAN profielen en SSIDs die u wilt overschrijven over alle WLCs worden gevormd.
Opmerking: In controller-softwarerelease 5.2.157.0 is de WLAN-omzeilingsfunctie zowel van de controller GUI als van de CLI verwijderd. Als uw controller is geconfigureerd voor WLAN-upgrade en u upgrade naar controller-softwarerelease 5.2.157.0, verwijdert de controller de WLAN-
configuratie en zendt alle WLAN’s uit. U kunt specificeren dat alleen bepaalde WLAN’s worden verzonden als u groepen access points configureren. Elk access point adverteert alleen de enabled WLAN’s die tot zijn toegangspuntgroep behoren.
N.B.: Access Point-groepen stellen niet in staat WLAN’s te verzenden op elke radio-interface van AP.
Q. wordt IPv6 ondersteund op Cisco draadloze LAN-controllers (WLC’s) en lichtgewicht access points (LAP’s)?
A. Momenteel ondersteunen de controllers 4400 en 4100 alleen IPv6-client-passthrough.
Ondersteuning van native IPv6 wordt niet ondersteund.
Controleer IPv6 op de WLC om IPv6 in te schakelen. Schakel het vakje IPv6 in op de WLAN- configuratie onder de WLAN-pagina > Bewerken.
Ook is Ethernet Multicast Mode (EMM) vereist om IPv6 te ondersteunen. Als u EMM uitschakelt, verliezen clientapparaten die IPv6 gebruiken connectiviteit. Kies voor het instellen van de EMM de optie Controller > Algemene pagina en kies Unicast of Multicast in het uitrolmenu van de Ethernet- multicast. Dit maakt multicast in de Unicast-modus of in de multicastmodus mogelijk. Wanneer multicast is ingeschakeld als multicast unicast, worden pakketten voor elke AP gerepliceerd. Dit kan processor-intensief zijn, dus gebruik het voorzichtig. Multicast ingeschakeld als multicast multicast gebruikt het multicast-adres van de gebruiker toegewezen multicast om een meer traditionele multicast uit te voeren naar de access points (APs).
Opmerking: IPv6 wordt niet ondersteund op de controllers van 2006.
Er is ook Cisco bug-ID CSC78176, dat verhindert dat IPv6-passthrough wordt gebruikt wanneer de optie AAA-overbrugging wordt gebruikt.
Q. Ondersteuning van Cisco 2000 Series Wireless LAN Controller (WLC) voor webverificatie voor gastgebruikers?
A. Webverificatie wordt ondersteund op alle Cisco-WLC’s. Web authenticatie is een Layer 3 authenticatiemethode die wordt gebruikt om gebruikers met eenvoudige authenticatie
geloofsbrieven te authenticeren. Er is geen encryptie bij betrokken. Voltooi de volgende stappen om deze functie in te schakelen:
Klik vanuit de GUI op het WLAN-menu.
1.
Klik op een WLAN.
2.
Ga naar het tabblad Beveiliging en kies Layer 3.
3.
Controleer het vakje Web Policy en kies Verificatie.
4.
Klik op Toepassen om de wijzigingen op te slaan.
5.
Als u een database op de WLC wilt maken waartegen gebruikers gewaarmerkt kunnen worden, gaat u naar het menu Beveiliging in de GUI, kiest u Lokale Net-gebruiker en vult u deze acties in: Bepaal de naam van de gastgebruiker en het wachtwoord voor de gast om te gebruiken om aan te melden. Deze waarden zijn hoofdlettergevoelig.Kies de WLAN-id die u gebruikt.N.B.: Raadpleeg voor een gedetailleerdere configuratie het voorbeeld van de configuratie van draadloze LAN-controllers.
6.
Q. Kan de WLC in draadloze modus worden beheerd?
A. De WLC kan via draadloze modus worden beheerd zodra deze is ingeschakeld. Raadpleeg voor meer informatie over het inschakelen van de draadloze modus het gedeelte Draadloze
verbindingen inschakelen naar de GUI en het CLI-gedeelte van de Cisco Wireless LAN Controller Configuration Guide, release 7.0.116.0.
V. Wat is Link Aggregation (LAG)? Hoe schakelt ik LAG op draadloze LAN- controllers (WLC’s) in?
A. LAG bundelt alle poorten op de WLC in één EtherChannel-interface. Het systeem beheert dynamisch de taakverdeling van verkeer en poortredundantie met LAG.
Over het algemeen heeft de interface op WLC meerdere parameters verbonden aan het, die het IP adres, de standaard-gateway (voor IP-plus), primaire fysieke poort, secundaire fysieke poort, de tag VLAN en de DHCP-server omvatten. Wanneer LAG niet wordt gebruikt, wordt elke
interface gewoonlijk aan een fysieke poort gekoppeld, maar meerdere interfaces kunnen ook aan één WLC-poort worden toegewezen. Wanneer LAG wordt gebruikt, stelt het systeem dynamisch de interfaces in op het geaggregeerde poortkanaal. Dit helpt bij poortredundantie en
taakverdeling. Wanneer een poort faalt, wordt de interface dynamisch in kaart gebracht aan de volgende beschikbare fysieke poort en LAPs zijn evenwichtig over havens.
Als LAG op een WLC is ingeschakeld, stuurt de WLC gegevensframes door via dezelfde poort waarop ze werden ontvangen. WLC is afhankelijk van de buurschakelaar om verkeer over het EtherChannel te laden. De WLC voert geen EtherChannel-taakverdeling op zichzelf uit.
Q. Welke modellen van Wireless LAN Controllers (WLC’s) ondersteunen Link Aggregation (LAG)?
A. Cisco 5500 Series controllers ondersteunen LAG in softwarerelease 6.0 of hoger, Cisco 4400 Series controllers ondersteunen LAG in softwarerelease 3.2 of hoger, en LAG is automatisch ingeschakeld voor de controllers binnen Cisco WiSM en Catalyst 3750G geïntegreerde draadloze LAN-controllers. Zonder LAG ondersteunt elke poort van het distributiesysteem op een Cisco 4400 Series controller tot 48 access points. Dankzij LAG-enabled ondersteunt de logische poort van Cisco 4402 Controller tot 50 access points, ondersteunt de logische poort van een Cisco 4404 Controller tot 100 access points en de logische poort op Catalyst 3750G geïntegreerde draadloze LAN-controller en op elke Cisco WiSM-controller tot 150 access points.
De WLC's van Cisco 2016 en 2006 ondersteunen LAG niet. Eerdere modellen, zoals Cisco 4000 Series WLC, ondersteunen LAG niet.
Q. Wat is de auto-ankermobiliteitsoptie in Unified draadloze netwerken?
A. Auto-ankermobiliteit (of gastWLAN-mobiliteit) wordt gebruikt om het taakverdeling en de
beveiliging voor roaming-klanten op uw draadloze LAN’s (WLAN’s) te verbeteren. Onder normale roamingomstandigheden maken clientapparaten deel uit van een WLAN en zijn verankerd in de eerste controller waarmee zij contact opnemen. Als een client naar een andere vorm van netwerk komt, de controller waarop de client een buitenlandse sessie voor de client start met de
ankercontroller. Met het gebruik van de auto-ankermobiliteitsfunctie kunt u een controller of een set controllers als de ankerpunten voor klanten op een WLAN specificeren.
Opmerking: Mobiliteitsanker moet niet worden geconfigureerd voor Layer 3 mobiliteit. Het mobiliteitshandel wordt alleen gebruikt voor het tunnelen van gasten.
Q. Kan een Cisco 2006 draadloze LAN-controller (WLC) worden geconfigureerd als
anker voor een WLAN?
A. Een Cisco 2000 Series WLC kan niet worden aangewezen als een anker voor een WLAN.
Maar een WLAN dat op een Cisco 2000 Series WLC wordt gemaakt, kan Cisco 4100 Series WLC en Cisco 4400 Series WLC als zijn anker hebben.
Q. Welk type mobiliteit tunneling gebruikt de draadloze LAN controller?
A. Controller software release 4.1 tot 5.1 ondersteunen zowel asymmetrische als symmetrische mobiliteit tunneling. Controller software release 5.2 of hoger ondersteunen alleen symmetrische mobiliteitstunneling, die nu altijd standaard ingeschakeld is.
Bij asymmetrische tunneling wordt het clientverkeer naar het bekabelde netwerk rechtstreeks via de buitenlandse controller verstuurd. Asymmetric tunneling breekt wanneer een upstream router reverse pad-filtering (RPF) is ingeschakeld. In dit geval, wordt het clientverkeer op de router gedropt, omdat de RPF-controle garandeert dat het pad naar het bronadres overeenkomt met het pad waaruit het pakket komt.
Wanneer symmetrische mobiliteit tunneling is ingeschakeld, wordt al het clientverkeer naar de ankercontroller verzonden en kan deze dan met succes de RPF-controle doorgeven. Een tunneling van symmetrische mobiliteit is ook in deze situaties nuttig:
Als een installatie van een firewall in het pad van het clientpakket pakketten daalt omdat het IP-adres van de bron niet overeenkomt met het subtype waarop de pakketten worden ontvangen, is dit handig.
●
Als de access-point groep VLAN op de ankercontroller anders is dan de WLAN-interface VLAN op de externe controller: In dit geval kan het clientverkeer tijdens
mobiliteitsgebeurtenissen op een onjuist VLAN worden verzonden.
●
Vraag. Hoe hebben we toegang tot de WLC als het netwerk is uitgevallen?
A. Wanneer het netwerk plat is, kan de WLC worden benaderd door de servicepoort. Deze poort wordt toegewezen een IP adres in een volledig verschillend subnet van andere havens van WLC en wordt zo uitgeroepen van-band beheer. Raadpleeg het gedeelte en interfaces van de Cisco draadloze LAN-controllerkaart, release 7.0.16.0.
Q. Ondersteuning van Cisco draadloze LAN-controllers (WLC’s) voor de failover- (of redundantie) optie?
A. Ja, als u twee of meer WLC's in uw WLAN-netwerk hebt, kunt u deze configureren voor redundantie. Over het algemeen sluit een LAP zich aan bij de geconfigureerde primaire WLC.
Zodra de primaire WLC faalt, herstart de LAP en sluit zich aan bij een andere WLC in de mobiliteitsgroep. Failover is een functie waarbij de LAP-opiniepeilingen voor de primaire WLC worden uitgevoerd en zich bij de primaire WLC aansluiten wanneer deze functie is ingeschakeld.
Raadpleeg de WLAN-controller-failover voor lichtgewicht access points. Configuratievoorbeeld voor meer informatie.
Q. Wat is het gebruik van toegangscontrolelijsten (ACL’s) voor verificatie in
draadloze LAN-controllers (WLC’s)?
A. Met pre-authenticatie ACL, zoals de naam impliceert, kunt u clientverkeer naar en van een specifiek IP-adres toestaan zelfs voordat de client echt wordt. Wanneer u een externe webserver voor webverificatie gebruikt, hebben sommige WLC-platforms een pre-verificatie nodig voor de externe webserver (Cisco 5500 Series Controller, Cisco 2100 Series Controller, Cisco 2000 Series en de controllernetwerkmodule). Voor de andere WLC-platforms is de pre-verificatie ACL niet verplicht. Het is echter een goede praktijk om een pre-ACL-verificatie voor de externe webserver te configureren bij gebruik van externe webverificatie.
Q. Ik heb een MAC-gefilterde WLAN en een volledig open WLAN in mijn netwerk.
Kies de client standaard de geopende WLAN? Of associeert de client automatisch met de WLAN-id die op het MAC-filter is ingesteld? Waarom is er ook een
"interface" optie op een MAC-filter?
A. De client kan worden geassocieerd met een WLAN waaraan de client is geconfigureerd om verbinding te maken. De interfaceoptie in het MAC-filter geeft de mogelijkheid het filter toe te passen op een WLAN-interface of een interface. Als meerdere WLAN’s aan dezelfde interface zijn gekoppeld, kunt u het MAC-filter op de interface toepassen zonder dat u een filter hoeft te maken voor elke afzonderlijke WLAN.
Q. Hoe kan ik TACACS-verificatie configureren voor beheergebruikers op de draadloze LAN-controller (WLC)?
A. Vanaf WLC versie 4.1 wordt TACACS op de WLC's ondersteund. Raadpleeg TACACS+
configureren om te begrijpen hoe u TACACS+ kunt configureren om beheergebruikers van de WLC te controleren.
Q. Wat is het gebruik van de buitensporige instelling van authenticatie in een draadloze LAN controller (WLC)?
A. Dit kader is een van de uitsluitingsbeleidslijnen van cliënten. De uitsluiting van de cliënt is een beveiligingskenmerk van de controller. Het beleid wordt gebruikt om klanten te chanteren om illegale toegang tot het netwerk of aanvallen op het draadloze netwerk te voorkomen.
Met dit beleid voor buitensporige gevallen van web-authenticatie, waarbij het aantal mislukte pogingen van een cliënt om web-authenticatie te controleren meer dan 5 bedraagt, is de controller van mening dat de cliënt de maximale pogingen om web-authenticatie te controleren heeft
overschreden en de cliënt op een zwarte lijst heeft gezet.
Voltooi deze stappen om deze instelling in te schakelen of uit te schakelen:
Ga vanuit de WLC GUI naar Security > Beleid voor draadloze bescherming > Beleid inzake clientuitsluiting.
1.
Excessieve Web verificatie controleren of uitschakelen.
2.
Q. Ik heb mijn autonome access point (AP) omgezet in lichtgewicht modus. In de LWAPP-modus (Lichtgewicht AP Protocol) met de AAA RADIUS-server voor clientaccounting wordt de client normaal gesproken gevolgd door RADIUS-
accounting op basis van het IP-adres van de WLC. Is het mogelijk om de RADIUS-
boekhouding in te stellen op basis van het MAC-adres van de AP gekoppeld aan
dat WLC en niet het IP-adres van het WLC?
A. Ja, dit kan worden gedaan met de WLC zijconfiguratie. Voer de volgende stappen uit:
Vanaf de controller GUI, onder Security > Radius Accounting, is er een uitrolvak voor het ID van het gespreksstation. Kies AP MAC Adres.
1.
Controleer dit via het LWAPP AP-logbestand. Daar, kunt u het geroepen-station ID veld zien dat het MAC-adres van de AP weergeeft waaraan de specifieke client is gekoppeld.
2.
Q. Hoe verandert u de Wi-Fi Protected Access (WAP) handshake timeout bij een draadloze LAN controller (WLC) via CLI? Ik weet dat ik dit kan doen op Cisco IOS®
Access Point (APs) met de opdracht dot11 wpa handshake timeout, maar hoe doe je dit op een WLC?
A. De mogelijkheid om de WAP-Handshake timeout via de WLC's te configureren was geïntegreerd in softwarerelease 4.2 en hoger. U hebt deze optie niet nodig in eerdere WLC- softwareversies.
Deze opdrachten kunnen worden gebruikt om de wachttijd van de WAP-handdruk te wijzigen:
config advanced eap eapol-key-timeout <value>
config advanced eap eapol-key-retries <value>
De standaardwaarden blijven het huidige gedrag van de WLC weergeven.
- the default value for eapol-key-timeout is 1 second.
- the default value for eapol-key-retries is 2 retries
Opmerking: Op IOS APs, is deze instelling Configureerbaar met de dot11 wpa handdruk opdracht.
U kunt ook de andere EAP parameters configureren met de opties onder de configuratie geavanceerde eap-opdracht.
(Cisco Controller) >config advanced eap ?
eapol-key-timeout
Configures EAPOL-Key Timeout in seconds.
eapol-key-retries
Configures EAPOL-Key Max Retries.
identity-request-timeout
Configures EAP-Identity-Request Timeout in seconds.
identity-request-retries
Configures EAP-Identity-Request Max Retries.
key-index
Configure the key index used for dynamic WEP(802.1x) unicast key (PTK).
max-login-ignore-identity-response
Configure to ignore the same username count reaching max in the EAP identity response request-timeout
Configures EAP-Request Timeout in seconds.
request-retries
Configures EAP-Request Max Retries.
Q. Wat is het doel van de diagnostische kanaalfunctie in WLAN > Bewerken >
Geavanceerde pagina?
A. De diagnostische kanaalfunctie stelt u in staat om problemen op te lossen met betrekking tot clientcommunicatie met een WLAN. De cliënt en de toegangspunten kunnen een welomschreven reeks tests ondergaan om de oorzaak van communicatiemoeilijkheden te identificeren die de cliënt ervaart en vervolgens corrigerende maatregelen te kunnen nemen om de cliënt operationeel te maken op het netwerk. U kunt de controller GUI of CLI gebruiken om het diagnostische kanaal in te schakelen, en u kunt de controller CLI of WCS gebruiken om de diagnostische tests uit te voeren.
Het diagnostische kanaal kan alleen worden gebruikt om te testen. Als u probeert om verificatie of encryptie voor WLAN te configureren met het aangesloten diagnostische kanaal, ziet u deze fout:
Q. Wat is het maximum aantal AP groepen dat op een WLC kan worden gevormd?
A. Deze lijst toont het maximum aantal AP groepen die u op een WLC kunt configureren:
Een maximum van 50 access point groepen voor Cisco 2100 Series controller en controller netwerkmodules
●
Een maximum van 300 access point groepen voor Cisco 4400 Series controllers, Cisco WiSM en Cisco 3750G draadloze LAN-controllers
●
Een maximum van 500 access point groepen voor Cisco 5500 Series controllers
●
Gerelateerde informatie
WLC FAQ (draadloze LAN-controller)
●
WLC-fout en systeemmeldingen - FAQ
●
Lichtgewicht access point FAQ
●
Cisco-configuratiegids voor draadloze LAN-controllers, release 7.0.16.0
●
IPv6-ondersteuning voor de draadloze LAN-controller
●
Ondersteuning voor wireless producten
●
Technische ondersteuning en documentatie – Cisco Systems
●
