PDA

View Full Version : Hướng dẫn cấu hình thiết bị CISCO Wireless LAN Controller



binhndt
05-25-2016, 12:08 PM
Khác với hệ thống mạng wifi standalone, hệ thống mạng wifi quản lý tập trung với thiết bị CISCO Wireless LAN Controller (http://switch-router.com/products/Thiet-bi-wifi-Cisco/Cisco-WLAN-Controller-2500-Series-83/) (WLC) mang lại nhiều lợi ích so với hệ thống wifi standalone truyền thống. Hướng dẫn này sẽ nêu ra một số lợi ích mà hệ thống wifi quản lý tập trung mạng lại, đồng thời đưa ra mô hình thiết kế mạng wifi quản lý tập trung điển hình mà hầu phù hợp với hầu hết các doanh nghiệp vừa và nhỏ ở Việt Nam.

Các lợi ích của hệ thống wifi quản lý tập trung:

Thiết bị AP được quản lý tập trung hoàn toàn trên thiết bị Wireless Controller: cấu hình, cập nhật version phần mềm, …
Dễ dàng cho việc triển khai AP, các cấu hình được áp xuống AP ngay khi AP online.
Thiết kế đúng đắn sẽ dễ mở rộng hê thống mạng không dây khi cần: mỗi thiết bị WLC có thể quản lý hằng trăm AP, nhiều WLC được quản lý, giám sát bởi hệ thống quản lý tập trung, được gọi là Cisco Prim Infrastructure.
Quản lý sóng radio (Radio Resource Management – RRM): cho phép thiết bị WLC điều chỉnh công suất phát sóng, gán kênh cho AP để hạn chế nhiễu sóng, tối ưu tín hiệu vùng phủ sóng.
Hỗ trợ mobility và roaming: tất cả các AP trong cùng mội mobility group chia sẽ cùng một cấu hình. Ngay khi mức độ tín hiệu giảm đến mức không đảm bảo kết nối, thiết bị có thể roaming đến các AP khác trong mobility group. Tính năng này cho phép người dùng có thể di chuyển trong các khu vực khác nhau mà không gián đoạn kết nối của thiết bị di động.
Cơ chế tự điều chỉnh vùng phủ sóng (Self-Healing): khi tần số phát sóng của 1 thiết bị AP vì lý do gì đó mất hoặc giảm sút, WLC phát hiện và điều chỉnh tăng cường công suất phát sóng của các AP gần kề để bao phủ vùng bị mất sóng.
Định vị vị trí của thiết bị: nếu hệ thống được trang bị Wireless Location Appliance, chúng ta có thể import layout của tòa nhà / khu vực làm việc và định vị được vị trí thiết bị sử dụng wifi và AP nào người dùng kết nối vào.


Thiết kế mô hình mạng không dây:
Mô hình mạng trong bài viết này bao gồm 4 VLAN và 3 vùng bảo mật khác nhau.

VLAN 99 = management network
VLAN 100 = server network
VLAN 101 = desktop user network
VLAN 103 = wireless user network



Firewall outside = Internet
Firewall inside = LAN
Firewall DMZ = guest wi-fi (no access to the LAN, Internet only.)

http://switch-router.com/uploads/forum/CISCOWLC/CISCO Wireless LAN Controller topology.png
Địa chỉ IP khai báo cho hệ thống wifi như sau:

Wireless Controller Interfaces:
management: 172.25.10.50
ap-manager: 172.25.10.50
virtual: 1.1.1.1
AP01: 172.25.10.52
AP02: 172.25.10.53


Đường mạng VLAN - SSID cho nhóm người dùng và khách được khai báo như sau:

Employee: VLAN103 – 10.2.123.2 /24
Guest: 192.168.202.30 /24


Quản trị hệ thống cần cấu hình các dịch vụ và hệ thống để tích hợp hệ thống wifi, các việc này sẽ không trình bày chi tiết trong hướng dẫn này.

Microsoft Active Directory và DNS
DHCP Server với các scope cho nhóm người dùng sử dụng mạng không dây
Cấu hình IP helper-address trên core switch.
Microsoft Radius (IAS) Server
Cấu hình vùng DMZ trên firewall cho nhóm người dùng Guest


Logic traffic trên hệ thống như sau:
http://switch-router.com/uploads/forum/CISCOWLC/CISCO Wireless LAN Controller logical topology.png
Cấu hình thiết bị CISCO Wirless LAN Controller
Thiết bị CISCO WLC cần khai báo các thông số bằng CLI trước khi có thể kết nối sử dụng giao diện đồ họa để cấu hình. WLC được kết nối đến máy tính quản trị viên bằng cáp console thông qua các chương trình terminal như Putty, SecureCRT. Chú ý thiết lập flow-control giá trị none trên Putty hoặc Secure CRT, nếu không, sẽ không kết nối được đến WLC. Bên dưới là thiết lập trên Putty
http://switch-router.com/uploads/forum/CISCOWLC/Putty reconfiguration.png

Sau đây là quá trình khởi tạo thiết bị CISCO Wireless LAN Controller thông qua Putty.


Welcome to the Cisco Wizard Configuration Tool
Use the '-' character to backup


Would you like to terminate autoinstall? [yes]:


System Name [Cisco_43:5c:04] (31 characters max): CORPWLC
Enter Administrative User Name (24 characters max): admin
Enter Administrative Password (3 to 24 characters): *********
Re-enter Administrative Password : *********


Enable Link Aggregation (LAG) [yes][NO]: no


Management Interface IP Address: 172.25.10.50
Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 172.25.10.1
Cleaning up Provisioning SSID
Management Interface VLAN Identifier (0 = untagged):
Management Interface Port Num [1 to 4]: 1
Management Interface DHCP Server IP Address:
Invalid response


Management Interface DHCP Server IP Address: 172.25.10.1


Virtual Gateway IP Address: 1.1.1.1


Multicast IP Address:
Invalid response


Multicast IP Address: 239.255.1.60


Mobility/RF Group Name: CORP


Network Name (SSID): Employee


Configure DHCP Bridging Mode [yes][NO]: yes
Warning! Enabling Bridging mode will disable Internal DHCP server and DHCP Proxy feature.
May require DHCP helper functionality on external switches.


Allow Static IP Addresses [YES][no]: yes


Configure a RADIUS Server now? [YES][no]: no
Warning! The default WLAN security policy requires a RADIUS server.
Please see documentation for more details.


Enter Country Code list (enter 'help' for a list of countries) [US]:


Enable 802.11b Network [YES][no]: no
Enable 802.11a Network [YES][no]: no
Enable Auto-RF [YES][no]: -
Enable 802.11a Network [YES][no]: -


Enable 802.11b Network [YES][no]: yes
Enable 802.11a Network [YES][no]: yes
Enable 802.11g Network [YES][no]: yes
Enable Auto-RF [YES][no]: yes


Configure a NTP server now? [YES][no]: no
Configure the system time now? [YES][no]: yes
Enter the date in MM/DD/YY format: 07/29/2015
Invalid response


Enter the date in MM/DD/YY format: 07/29/15
Enter the time in HH:MM:SS format: 16:49:00


Would you like to configure IPv6 parameters[YES][no]: no


Configuration correct? If yes, system will save it and reset. [yes][NO]: yes
Cleaning up Provisioning SSID


Configuration saved!
Resetting system with new configuration...


Configuration saved!
Resetting system with new configuration...


Sau khi thiết bị CISCO Wireless LAN Controller khởi động xong, chúng ta có thể truy cập quản lý thiết bị thông qua giao diện web, trong trường hợp này là: http://172.25.10.50
http://switch-router.com/uploads/forum/CISCOWLC/Wireless LAN controller login.png
http://switch-router.com/uploads/forum/CISCOWLC/Wireless LAN controller dashboard.png
http://switch-router.com/uploads/forum/CISCOWLC/Wireless LAN controller monitor.png
Kiểm tra management IP và virtual IP đã được khai bảo ở bước khởi tạo ở thẻ Controller -> Interfaces
http://switch-router.com/uploads/forum/CISCOWLC/Wireless LAN controller ControllerTAB.png
http://switch-router.com/uploads/forum/CISCOWLC/Wireless LAN controller Interfaces.png

Đến đây, chung ta đã hoàn thành việc khởi tạo cấu hình cho thiết bị WLC. Tiếp theo, chung ta sẽ khởi tạo cấu hình cho thiết bị các Wireless Access Point (WAP) để được quản lý tập trung bởi WLC.

Khởi tạo cấu cho thiết bị CISCO Wireless Access Point:
Có 2 cách để có thể truy cập và cấu hình thiết bị WAP:

Sử dụng DHCP và WLC để gán IP cho thiết bị WAP, hoặc
Gán IP tĩnh cho thiết bị WAP.


Hướng dẫn này sẽ gán IP tĩnh cho thiết bị WAP với các bước sau:

Kết nối thiết bị WAP bằng cáp console đến máy tính quản trị viên.
Bật nguồn thiết bị WAP.


Trên màn hình Putty, có thể nhìn thấy thông báo không thể lấy IP từ DHCP server, bở vì chúng ta không cấu hình WLC cấp phát IP đông, ở dây chúng ta sẽ khai báo IP cho thiết bị WAP


*May 25 00:01:44.511: %CAPWAP-3-DHCP_RENEW: Could not discover WLC. Either IP address is not assigned or assigned IP is wrong. Renewing DHCP IP.


Not in Bound state.


Enable password is Cisco (upper case “C”).


Sử dụng các lệnh sau đây để cấu hình các thông số liên quan đến IP cho thiết bị WAP:


AP#capwap ap ip address <IP address> <subnet mask>
AP#capwap ap ip default-gateway <IP-address>
AP#capwap ap controller ip address <IP-address>
AP#capwap ap hostname <name>(optional)

Bên dưới là các thông số được gán cho thiết bị WLC trong trường hợp này:



AP84b8.02a4.695c#capwap ap ip address 172.25.10.52 255.255.255.0

Cần chú ý, nếu thiết bị WAP ở khác subnet với thiết bị WLC, chúng ta cần khai báo thêm thông số default-gateway.

Ngày sau khi thiết bị WAP được gán địa chỉ IP, chúng ta sẽ nhìn thấy trên Putty xuất hiện các log giao dịch giữa WAP và WLC, đồng thời, đèn LEB trên WAP chuyển đổi từ màu Xanh -> màu Đỏ -> màu Vàng và sau đó chớp nháy liên tục. Lúc này, thiết bị WAP đã hoàn thanh việc đăng ký nó với WLC. Thiết bị WLC yêu cầu WAP cập nhật verision phần mềm nếu không đồng bộ. Quá trình khởi tạo này mất từ 3 đến 5 phút, sau đó, thiết bị WAP sẽ xuất hiện trên giao diện quản lý của WCL.
http://switch-router.com/uploads/forum/CISCOWLC/Wireless LAN controller Wireless.png

Lặp lại quá trình tương tự ở trên để đăng ký các WAP với thiết bị quản lý wifi tập trung Wireless LAN Controller

Như vậy, đến đây, chúng ta đã đăng ký các thiết bị CISCO Access Point để chúng được quản lý tập trung bởi thiét bị CISCO Wireless LAN Controller. Từ bây giờ, mọi vấn đề liên quan đên hạ tầng wifi, sẽ được thao tác, cấu hình, quản lý trên thiết bị WLC.

binhndt
05-25-2016, 12:10 PM
Cấu hình hạ tâng mạng wifi.

Với mô hình thiết kế ban đầu ở trên, chúng ta sẽ trải qua các bước cấu hình sau đây để hoàn thành việc cấu hình hạ tầng mạng wifi.
1. Khai báo Employee SSID cho người dùng mạng nội bộ. SSID này có thể truy cập các subnet thuộc mạng LAN của công ty.
2. Khai báo Guest SSID cho đối tượng khách hàng. Chỉ có thể truy cập Internet, không truy cập được các subnet thuộc mạng LAN của công ty.
3. Người dùng mạng nội nội bộ - Employee SSID chứng thực truy cập mạng thông qua Microsoft Active Directory.
4. Khách hàng - Guest SSID chứng thực thông qua webpage. Tài khoản được tạo trên WCL.

Đầu tiên, chúng ta cần thiết lập các interface logic trên WLC. Khác với interface vật lý, các interface logic được sử dụng cho mục đích quản lý và giao tiếp giữa AP và Controller, giữa wireless client với AP và Controller. Các interface logic có thể được gán cho một hoặc nhiều interface vật lý, tùy mục đích sử dụng hệ thống của quản trị viên.

Đăng nhập vào giao diện quản lý của WCL ở địa chỉ: http://172.25.10.50/. Truy cập vào Controller -> Interfaces để khai báo, quản lý các interface logic. Ở đây, chúng ta sẽ nhìn thấy các interface management và virtual interface đã được khai báo khi khởi tạo thiết bị WLC.

Nhấp chuột vào interface management để xem các thiết lập cho interface logic này.

http://switch-router.com/uploads/forum/CISCOWLC/Wireless%20LAN%20controller%20management%20interfa ce.png
Interface IP address là địa chỉ IP được sử dụng để kết nối đến thiết bị WLC phục vụ cho việc quản lý thiết bị. Port vật lý số 1 trên WLC được kết nối đến thiết bị switch trên kết nối trunk cho traffic quản lý. Mọi DHCP request trên management interface này sẽ được điều hướng đến DHCP server chỉ định ở đây. Có 2 khai niệm quan trọng cần hiểu ở các thông số cấu hình ở trên:

AP-manager - Enable Dynamic AP Management.
Mặc định, các interface logic management interface và AP-manager được gán đến cùng cổng vật lý số 1 trên WLC. Còn lại 3 AP-manager interface được tạo trên 3 cổng vật lý còn lại (cổng số 2, 3 và 4) trên cùng một subnet với management interface. Các AP kết nối đến Controller được chia điều trên mỗi cổng này trên Controller. Do đó, khuyến nghị tất cả các AP-manager interface và management interface nên trên cùng một subnet.

DHCP Proxy Mode (Global, Enable, Disable)
Trước tiên chúng ta cần chú ý, nếu sử dụng internal DHCP trên WLC để cấp IP cho người dùng mạng wifi, thì internal DHCP này chỉ hoạt động khi DHCP proxy được enable.

So sánh chế độ Internal DHCP và Bridging mode trên WLC.
Có hai chế độ DHCP trên WLC, là DHCP proxy hoặc DHCP bridging. Với DHCP bridging, WCL đóng vai trò là cầu nối (layer 2) giữa AP và external DHCP server. Ở chế độ này, gói tin DHCP qua AP thông qua thiết bị đầu cuối kết nối đến SSID - VLAN trên nó. Nếu IP helper được định nghĩa ở interface VLAN layer 3 trên thiết bị định tuyến, gói tin DHCP này được forward trực tiếp đến DHCP server định nghĩa ở IP helper. DHCP server sau đó trả lời trực tiếp đến interface layer 3 đã forward gói tin DHCP đến nó. Với chế độ DHCP proxy, cũng tương tự như vậy, nhưng tất cả việc forward gói tín được thực hiện trực tiếp trên thiết bị Controller, thay vì interface VLAN layer 3.

Chúng ta phải bật DHCP proxy trên WLC để cho phép internal DHCP server hoạt động.

Lưu các thông số cấu hình ở trên. Tiếp theo, tạo một interface logic mới là "employee". Interface này sử dụng cho người dùng công ty muốn kết nối đến mạng wifi.
http://switch-router.com/uploads/forum/CISCOWLC/Wireless LAN controller employee Interface.png
Chú ý, nếu bạn kết nối WLC đến switch trên cổng trunk, bạn cần chỉ định VLAN identifier trùng với VLAN ID của subnet trên LAN, trong trường hợp này là VLAN 103. Ở bước khai báo management interface, chúng ta đã khai báo VLAN identifier giá trị là 0, do đó management interface sử dụng untagged hay native VLAN khi truyền gói tin trên mạng. Bên dưới là cấu hình cổng trunk cho thiết bị switch kết nối với WLC.

Management VLAN 99
Data VLAN 100-103



interface GigabitEthernet1/0/10
description WIFI-WLC1
switchport trunk native vlan 99
switchport trunk allowed vlan 99-103
switchport mode trunk
spanning-tree guard root
ip dhcp snooping limit rate 100
end


Trong bài viết này, tôi sử dụng DHCP server (10.2.120.254) trên hệ thống để cấp phát IP cho người dùng wifi của công ty. Chúng ta cần thiết lập chế độ DHCP Proxy là Global.

Tiếp theo, tạo interface logi visitor cho đối tượng người dùng khách hàng.
http://switch-router.com/uploads/forum/CISCOWLC/Wireless LAN controller employee Interface.png
Chú ý, ở đây chúng ta gán Port number là 2 cho interface của visitor vì nguyên nhân bảo mật. Cổng số 2 trên WLC kết nối đến interface DMZ của thiết bị firewall.

Tạo DHCP Scope cho đối tượng người dùng khách hàng trên WLC. Chúng ta không cho phép đối tượng người dùng khách hàng này sử dụng internal DHCP server của chúng ta. Đối tượng người dùng này được gán IP động bởi chính thiết bị WLC.

http://switch-router.com/uploads/forum/CISCOWLC/CISCO Wireless LAN Controller dhcp scope.png

Cấu hình thiết bị Wireless Access Point - WAP
Để thay đổi các thông số trên thiết bị WAP được quản lý bởi WLC, vào thể Wireless -> All APs. Ở đây, chúng ta sẽ nhìn thấy tất cả các AP được quản lý bởi WLC. Click chuột lên AP cần cấu hình để thay đổi thông số của AP này.

http://switch-router.com/uploads/forum/CISCOWLC/Wireless LAN controller AP Configuration.png
http://switch-router.com/uploads/forum/CISCOWLC/Wireless LAN controller all AP configuration.png

binhndt
05-25-2016, 02:20 PM
Cấu hình RADIUS server để xác thực người dùng nội bộ truy cập mạng wifi

Trong bài viết này, người dùng được quản lý và xác thực thông qua Microsoft Active Directory. Tức là chỉ cần người dùng đăng nhập vào hệ thống, là có thể truy cập được các tài nguyên mà họ được cấp quyền.

Khai báo RADIUS như sau: Security ->AAA -> RADIUS -> Authentication và click New. Khai báo IP của RADIUS server và shared secret password.

http://switch-router.com/uploads/forum/CISCOWLC/Wireless LAN controller Authentication with RADIUS server.png

Thay đổi Authe Called Station ID Type đến giá trị là IP Address cho RADIUS Authentication Servers.

http://switch-router.com/uploads/forum/CISCOWLC/Wireless LAN controller RADIUS Authentication Servers.png

Cấu hình các thông tin IP address và Shared secrete password cho Accounting Server. Các trường khác để nguyên giá trị mặc định.

http://switch-router.com/uploads/forum/CISCOWLC/Wireless LAN controller RADIUS Accounting Servers.png
Chúng ta có thể tạo các tài khoản đăng nhập hệ thống mạng wifi cho khách hàng ở thẻ Security --> AAA --> TACACS+ --> Local Net Users. Chú ý chọn interface là visitor cho WLAN Profile.

Các tài khoản được tạo ở đây tồn tại liên tục, để tạo tài khoản cho khách hàng hết hạn sau một khoảng thời gian được khai báo, tài khoản cần được tạo bởi Lobby Admin, sẽ được trình bay sau trong hướng dẫn này.

Tạo SSID cho Employees

Để tạo Employees SSID, làm theo các bước sau: WLANs --> WLANs, sau đó click Create New. Khai báo tên cho SSID. Chú ý chọn đúng Interface Group cho SSID.
http://switch-router.com/uploads/forum/CISCOWLC/Wireless LAN controller SSID Employee.png

Tạo SSID cho Visitors
Hầu hết giống như tạo SSID cho Employee ở trên, tuy nhiên, cần đặt biệt chú ý các điểm khác chỉ ra bên dưới.

Tạo SSID và gán visitor Interface Groups cho SSID này
http://switch-router.com/uploads/forum/CISCOWLC/Wireless LAN controller Guest SSID.png

Chọn None cho Layer 2 security và Web Policy/Authentication for Layer 3. Disable Authentication và Accounting servers ở AAA.
http://switch-router.com/uploads/forum/CISCOWLC/Layer 2 security for Visitor.png
http://switch-router.com/uploads/forum/CISCOWLC/Layer 3 security for Visitor.png
http://switch-router.com/uploads/forum/CISCOWLC/Disable AAA for Visitor.pnghttp://switch-router.com/uploads/forum/CISCOWLC/Authentication Priority order.png

Để an toàn hơn, chúng ta ép buộc đối tượng người dùng khách hàng phải sử dụng IP được cấp phát từ WLC. Không cho phép IP tĩnh do người dùng khai báo trên thiết bị.

http://switch-router.com/uploads/forum/CISCOWLC/Advanced settings.png

Đến đây, việc thiết lập hệ thống mạng wifi đã được hoàn tất.

binhndt
05-25-2016, 02:34 PM
Hướng dẫn quản trị cơ bản hệ thống mạng wifi
Tạo tài khoản thuộc nhóm Lobby Admin và cấp quyền truy cập cho khách hàng khi cần.

Làm theo các bước sau: Management --> Local Management Users. Ở đây, chúng ta tạo tài khoản quản trị admin với quyền read-only để truy cập và quản lý thiết bị WLC.
http://switch-router.com/uploads/forum/CISCOWLC/Local Management Users.png

Tiếp theo, chúng tao tạo tài khoản thuộc nhóm Lobby Admin, tài khoản này có thể tạo tài khoản cho đối tượng khách hàng, tuy nhiên, không có quyền truy cập và quản lý thiết bị WLC. Bên dưới là khác biệt của các nhóm người dùng:


Read Write: toàn quyền.
Read Only: chỉ có quyền truy cập và xem cấu hình, không thể thay đổi cấu hình trên WLC.
Lobby Admin: có thể tạo tài khoản cho nhóm người dùng khách. Không thể truy cập xem cấu hình trên WLC.

http://switch-router.com/uploads/forum/CISCOWLC/lobbyadmin.png
http://switch-router.com/uploads/forum/CISCOWLC/Local Management Users1.png
Bên dưới là giao diện của người dùng thuộc nhóm Lobby Admin khi login vào WLC:

http://switch-router.com/uploads/forum/CISCOWLC/Loby Ambassador Guest Management.png
http://switch-router.com/uploads/forum/CISCOWLC/Guest Users List.png



Bạn đọc có nhu cầu tư vấn, triển khai, hệ thống mạng không dây quản lý tập trung (http://switch-router.com/solutions/Giai-phap-mang-LAN-WAN/Giai-phap-mang-khong-day-Cisco-Meraki-cho-doanh-nghiep-lon-14/) cho doanh nghiệp. Liên hệ với chung tôi theo thông tin sau:
- Công ty Cổ phần CNTT Sao Thiên Vương
- Website: http://switch-router.com/ (http://switch-router.com)
- Email: info@switch-router.com
- Điện thoại: (08)38911724
- Hotline: 0917 39 7766