Phn phối thiết bị mạng MikroTik tại Việt Nam
Results 1 to 4 of 4

Thread: Hướng dẫn cấu hnh thiết bị CISCO Wireless LAN Controller

  1. #1
    Administrator
    Join Date
    May 2015
    Posts
    68

    Hướng dẫn cấu hnh thiết bị CISCO Wireless LAN Controller

    Khc với hệ thống mạng wifi standalone, hệ thống mạng wifi quản l tập trung với thiết bị CISCO Wireless LAN Controller (WLC) mang lại nhiều lợi ch so với hệ thống wifi standalone truyền thống. Hướng dẫn ny sẽ nu ra một số lợi ch m hệ thống wifi quản l tập trung mạng lại, đồng thời đưa ra m hnh thiết kế mạng wifi quản l tập trung điển hnh m hầu ph hợp với hầu hết cc doanh nghiệp vừa v nhỏ ở Việt Nam.

    Cc lợi ch của hệ thống wifi quản l tập trung:
    • Thiết bị AP được quản l tập trung hon ton trn thiết bị Wireless Controller: cấu hnh, cập nhật version phần mềm, …
    • Dễ dng cho việc triển khai AP, cc cấu hnh được p xuống AP ngay khi AP online.
    • Thiết kế đng đắn sẽ dễ mở rộng h thống mạng khng dy khi cần: mỗi thiết bị WLC c thể quản l hằng trăm AP, nhiều WLC được quản l, gim st bởi hệ thống quản l tập trung, được gọi l Cisco Prim Infrastructure.
    • Quản l sng radio (Radio Resource Management – RRM): cho php thiết bị WLC điều chỉnh cng suất pht sng, gn knh cho AP để hạn chế nhiễu sng, tối ưu tn hiệu vng phủ sng.
    • Hỗ trợ mobility v roaming: tất cả cc AP trong cng mội mobility group chia sẽ cng một cấu hnh. Ngay khi mức độ tn hiệu giảm đến mức khng đảm bảo kết nối, thiết bị c thể roaming đến cc AP khc trong mobility group. Tnh năng ny cho php người dng c thể di chuyển trong cc khu vực khc nhau m khng gin đoạn kết nối của thiết bị di động.
    • Cơ chế tự điều chỉnh vng phủ sng (Self-Healing): khi tần số pht sng của 1 thiết bị AP v l do g đ mất hoặc giảm st, WLC pht hiện v điều chỉnh tăng cường cng suất pht sng của cc AP gần kề để bao phủ vng bị mất sng.
    • Định vị vị tr của thiết bị: nếu hệ thống được trang bị Wireless Location Appliance, chng ta c thể import layout của ta nh / khu vực lm việc v định vị được vị tr thiết bị sử dụng wifi v AP no người dng kết nối vo.


    Thiết kế m hnh mạng khng dy:
    M hnh mạng trong bi viết ny bao gồm 4 VLAN v 3 vng bảo mật khc nhau.
    • VLAN 99 = management network
    • VLAN 100 = server network
    • VLAN 101 = desktop user network
    • VLAN 103 = wireless user network


    • Firewall outside = Internet
    • Firewall inside = LAN
    • Firewall DMZ = guest wi-fi (no access to the LAN, Internet only.)


    Địa chỉ IP khai bo cho hệ thống wifi như sau:
    • Wireless Controller Interfaces:
    • management: 172.25.10.50
    • ap-manager: 172.25.10.50
    • virtual: 1.1.1.1
    • AP01: 172.25.10.52
    • AP02: 172.25.10.53


    Đường mạng VLAN - SSID cho nhm người dng v khch được khai bo như sau:
    • Employee: VLAN103 – 10.2.123.2 /24
    • Guest: 192.168.202.30 /24


    Quản trị hệ thống cần cấu hnh cc dịch vụ v hệ thống để tch hợp hệ thống wifi, cc việc ny sẽ khng trnh by chi tiết trong hướng dẫn ny.
    • Microsoft Active Directory v DNS
    • DHCP Server với cc scope cho nhm người dng sử dụng mạng khng dy
    • Cấu hnh IP helper-address trn core switch.
    • Microsoft Radius (IAS) Server
    • Cấu hnh vng DMZ trn firewall cho nhm người dng Guest


    Logic traffic trn hệ thống như sau:

    Cấu hnh thiết bị CISCO Wirless LAN Controller
    Thiết bị CISCO WLC cần khai bo cc thng số bằng CLI trước khi c thể kết nối sử dụng giao diện đồ họa để cấu hnh. WLC được kết nối đến my tnh quản trị vin bằng cp console thng qua cc chương trnh terminal như Putty, SecureCRT. Ch thiết lập flow-control gi trị none trn Putty hoặc Secure CRT, nếu khng, sẽ khng kết nối được đến WLC. Bn dưới l thiết lập trn Putty


    Sau đy l qu trnh khởi tạo thiết bị CISCO Wireless LAN Controller thng qua Putty.
    Code:
    Welcome to the Cisco Wizard Configuration Tool
    Use the '-' character to backup
    
    
    Would you like to terminate autoinstall? [yes]:
    
    
    System Name [Cisco_43:5c:04] (31 characters max): CORPWLC
    Enter Administrative User Name (24 characters max): admin
    Enter Administrative Password (3 to 24 characters): *********
    Re-enter Administrative Password                 : *********
    
    
    Enable Link Aggregation (LAG) [yes][NO]: no
    
    
    Management Interface IP Address: 172.25.10.50
    Management Interface Netmask: 255.255.255.0
    Management Interface Default Router: 172.25.10.1
    Cleaning up Provisioning SSID
    Management Interface VLAN Identifier (0 = untagged):
    Management Interface Port Num [1 to 4]: 1
    Management Interface DHCP Server IP Address:
    Invalid response
    
    
    Management Interface DHCP Server IP Address: 172.25.10.1
    
    
    Virtual Gateway IP Address: 1.1.1.1
    
    
    Multicast IP Address:
    Invalid response
    
    
    Multicast IP Address: 239.255.1.60
    
    
    Mobility/RF Group Name: CORP
    
    
    Network Name (SSID): Employee
    
    
    Configure DHCP Bridging Mode [yes][NO]: yes
    Warning! Enabling Bridging mode will disable Internal DHCP server and DHCP Proxy feature.
    May require DHCP helper functionality on external switches.
    
    
    Allow Static IP Addresses [YES][no]: yes
    
    
    Configure a RADIUS Server now? [YES][no]: no
    Warning! The default WLAN security policy requires a RADIUS server.
    Please see documentation for more details.
    
    
    Enter Country Code list (enter 'help' for a list of countries) [US]:
    
    
    Enable 802.11b Network [YES][no]: no
    Enable 802.11a Network [YES][no]: no
    Enable Auto-RF [YES][no]: -
    Enable 802.11a Network [YES][no]: -
    
    
    Enable 802.11b Network [YES][no]: yes
    Enable 802.11a Network [YES][no]: yes
    Enable 802.11g Network [YES][no]: yes
    Enable Auto-RF [YES][no]: yes
    
    
    Configure a NTP server now? [YES][no]: no
    Configure the system time now? [YES][no]: yes
    Enter the date in MM/DD/YY format: 07/29/2015
    Invalid response
    
    
    Enter the date in MM/DD/YY format: 07/29/15
    Enter the time in HH:MM:SS format: 16:49:00
    
    
    Would you like to configure IPv6 parameters[YES][no]: no
    
    
    Configuration correct? If yes, system will save it and reset. [yes][NO]: yes
    Cleaning up Provisioning SSID
    
    
    Configuration saved!
    Resetting system with new configuration...
    
    
    Configuration saved!
    Resetting system with new configuration...
    Sau khi thiết bị CISCO Wireless LAN Controller khởi động xong, chng ta c thể truy cập quản l thiết bị thng qua giao diện web, trong trường hợp ny l: http://172.25.10.50



    Kiểm tra management IP v virtual IP đ được khai bảo ở bước khởi tạo ở thẻ Controller -> Interfaces



    Đến đy, chung ta đ hon thnh việc khởi tạo cấu hnh cho thiết bị WLC. Tiếp theo, chung ta sẽ khởi tạo cấu hnh cho thiết bị cc Wireless Access Point (WAP) để được quản l tập trung bởi WLC.

    Khởi tạo cấu cho thiết bị CISCO Wireless Access Point:
    C 2 cch để c thể truy cập v cấu hnh thiết bị WAP:
    • Sử dụng DHCP v WLC để gn IP cho thiết bị WAP, hoặc
    • Gn IP tĩnh cho thiết bị WAP.


    Hướng dẫn ny sẽ gn IP tĩnh cho thiết bị WAP với cc bước sau:
    • Kết nối thiết bị WAP bằng cp console đến my tnh quản trị vin.
    • Bật nguồn thiết bị WAP.


    Trn mn hnh Putty, c thể nhn thấy thng bo khng thể lấy IP từ DHCP server, bở v chng ta khng cấu hnh WLC cấp pht IP đng, ở dy chng ta sẽ khai bo IP cho thiết bị WAP
    Code:
    *May 25 00:01:44.511: %CAPWAP-3-DHCP_RENEW: Could not discover WLC. Either IP address is not assigned or assigned IP is wrong. Renewing DHCP IP.
    
    
    Not in Bound state.
    
    
    Enable password is Cisco (upper case “C”).
    Sử dụng cc lệnh sau đy để cấu hnh cc thng số lin quan đến IP cho thiết bị WAP:
    Code:
    AP#capwap ap ip address <IP address> <subnet mask>
    AP#capwap ap ip default-gateway <IP-address>
    AP#capwap ap controller ip address <IP-address>
    AP#capwap ap hostname <name>(optional)
    Bn dưới l cc thng số được gn cho thiết bị WLC trong trường hợp ny:

    Code:
    AP84b8.02a4.695c#capwap ap ip address 172.25.10.52 255.255.255.0
    Cần ch , nếu thiết bị WAP ở khc subnet với thiết bị WLC, chng ta cần khai bo thm thng số default-gateway.

    Ngy sau khi thiết bị WAP được gn địa chỉ IP, chng ta sẽ nhn thấy trn Putty xuất hiện cc log giao dịch giữa WAP v WLC, đồng thời, đn LEB trn WAP chuyển đổi từ mu Xanh -> mu Đỏ -> mu Vng v sau đ chớp nhy lin tục. Lc ny, thiết bị WAP đ hon thanh việc đăng k n với WLC. Thiết bị WLC yu cầu WAP cập nhật verision phần mềm nếu khng đồng bộ. Qu trnh khởi tạo ny mất từ 3 đến 5 pht, sau đ, thiết bị WAP sẽ xuất hiện trn giao diện quản l của WCL.


    Lặp lại qu trnh tương tự ở trn để đăng k cc WAP với thiết bị quản l wifi tập trung Wireless LAN Controller

    Như vậy, đến đy, chng ta đ đăng k cc thiết bị CISCO Access Point để chng được quản l tập trung bởi thit bị CISCO Wireless LAN Controller. Từ by giờ, mọi vấn đề lin quan đn hạ tầng wifi, sẽ được thao tc, cấu hnh, quản l trn thiết bị WLC.

  2. #2
    Administrator
    Join Date
    May 2015
    Posts
    68
    Cấu hnh hạ tng mạng wifi.

    Với m hnh thiết kế ban đầu ở trn, chng ta sẽ trải qua cc bước cấu hnh sau đy để hon thnh việc cấu hnh hạ tầng mạng wifi.
    1. Khai bo Employee SSID cho người dng mạng nội bộ. SSID ny c thể truy cập cc subnet thuộc mạng LAN của cng ty.
    2. Khai bo Guest SSID cho đối tượng khch hng. Chỉ c thể truy cập Internet, khng truy cập được cc subnet thuộc mạng LAN của cng ty.
    3. Người dng mạng nội nội bộ - Employee SSID chứng thực truy cập mạng thng qua Microsoft Active Directory.
    4. Khch hng - Guest SSID chứng thực thng qua webpage. Ti khoản được tạo trn WCL.

    Đầu tin, chng ta cần thiết lập cc interface logic trn WLC. Khc với interface vật l, cc interface logic được sử dụng cho mục đch quản l v giao tiếp giữa AP v Controller, giữa wireless client với AP v Controller. Cc interface logic c thể được gn cho một hoặc nhiều interface vật l, ty mục đch sử dụng hệ thống của quản trị vin.

    Đăng nhập vo giao diện quản l của WCL ở địa chỉ: http://172.25.10.50/. Truy cập vo Controller -> Interfaces để khai bo, quản l cc interface logic. Ở đy, chng ta sẽ nhn thấy cc interface management v virtual interface đ được khai bo khi khởi tạo thiết bị WLC.

    Nhấp chuột vo interface management để xem cc thiết lập cho interface logic ny.


    Interface IP address l địa chỉ IP được sử dụng để kết nối đến thiết bị WLC phục vụ cho việc quản l thiết bị. Port vật l số 1 trn WLC được kết nối đến thiết bị switch trn kết nối trunk cho traffic quản l. Mọi DHCP request trn management interface ny sẽ được điều hướng đến DHCP server chỉ định ở đy. C 2 khai niệm quan trọng cần hiểu ở cc thng số cấu hnh ở trn:

    AP-manager - Enable Dynamic AP Management.
    Mặc định, cc interface logic management interface v AP-manager được gn đến cng cổng vật l số 1 trn WLC. Cn lại 3 AP-manager interface được tạo trn 3 cổng vật l cn lại (cổng số 2, 3 v 4) trn cng một subnet với management interface. Cc AP kết nối đến Controller được chia điều trn mỗi cổng ny trn Controller. Do đ, khuyến nghị tất cả cc AP-manager interface v management interface nn trn cng một subnet.

    DHCP Proxy Mode (Global, Enable, Disable)
    Trước tin chng ta cần ch , nếu sử dụng internal DHCP trn WLC để cấp IP cho người dng mạng wifi, th internal DHCP ny chỉ hoạt động khi DHCP proxy được enable.

    So snh chế độ Internal DHCP v Bridging mode trn WLC.
    C hai chế độ DHCP trn WLC, l DHCP proxy hoặc DHCP bridging. Với DHCP bridging, WCL đng vai tr l cầu nối (layer 2) giữa AP v external DHCP server. Ở chế độ ny, gi tin DHCP qua AP thng qua thiết bị đầu cuối kết nối đến SSID - VLAN trn n. Nếu IP helper được định nghĩa ở interface VLAN layer 3 trn thiết bị định tuyến, gi tin DHCP ny được forward trực tiếp đến DHCP server định nghĩa ở IP helper. DHCP server sau đ trả lời trực tiếp đến interface layer 3 đ forward gi tin DHCP đến n. Với chế độ DHCP proxy, cũng tương tự như vậy, nhưng tất cả việc forward gi tn được thực hiện trực tiếp trn thiết bị Controller, thay v interface VLAN layer 3.

    Chng ta phải bật DHCP proxy trn WLC để cho php internal DHCP server hoạt động.

    Lưu cc thng số cấu hnh ở trn. Tiếp theo, tạo một interface logic mới l "employee". Interface ny sử dụng cho người dng cng ty muốn kết nối đến mạng wifi.

    Ch , nếu bạn kết nối WLC đến switch trn cổng trunk, bạn cần chỉ định VLAN identifier trng với VLAN ID của subnet trn LAN, trong trường hợp ny l VLAN 103. Ở bước khai bo management interface, chng ta đ khai bo VLAN identifier gi trị l 0, do đ management interface sử dụng untagged hay native VLAN khi truyền gi tin trn mạng. Bn dưới l cấu hnh cổng trunk cho thiết bị switch kết nối với WLC.

    Management VLAN 99
    Data VLAN 100-103

    Code:
    interface GigabitEthernet1/0/10
     description WIFI-WLC1
     switchport trunk native vlan 99
     switchport trunk allowed vlan 99-103
     switchport mode trunk
     spanning-tree guard root
     ip dhcp snooping limit rate 100
    end
    Trong bi viết ny, ti sử dụng DHCP server (10.2.120.254) trn hệ thống để cấp pht IP cho người dng wifi của cng ty. Chng ta cần thiết lập chế độ DHCP Proxy l Global.

    Tiếp theo, tạo interface logi visitor cho đối tượng người dng khch hng.

    Ch , ở đy chng ta gn Port number l 2 cho interface của visitor v nguyn nhn bảo mật. Cổng số 2 trn WLC kết nối đến interface DMZ của thiết bị firewall.

    Tạo DHCP Scope cho đối tượng người dng khch hng trn WLC. Chng ta khng cho php đối tượng người dng khch hng ny sử dụng internal DHCP server của chng ta. Đối tượng người dng ny được gn IP động bởi chnh thiết bị WLC.



    Cấu hnh thiết bị Wireless Access Point - WAP
    Để thay đổi cc thng số trn thiết bị WAP được quản l bởi WLC, vo thể Wireless -> All APs. Ở đy, chng ta sẽ nhn thấy tất cả cc AP được quản l bởi WLC. Click chuột ln AP cần cấu hnh để thay đổi thng số của AP ny.



  3. #3
    Administrator
    Join Date
    May 2015
    Posts
    68
    Cấu hnh RADIUS server để xc thực người dng nội bộ truy cập mạng wifi

    Trong bi viết ny, người dng được quản l v xc thực thng qua Microsoft Active Directory. Tức l chỉ cần người dng đăng nhập vo hệ thống, l c thể truy cập được cc ti nguyn m họ được cấp quyền.

    Khai bo RADIUS như sau: Security ->AAA -> RADIUS -> Authentication v click New. Khai bo IP của RADIUS server v shared secret password.



    Thay đổi Authe Called Station ID Type đến gi trị l IP Address cho RADIUS Authentication Servers.



    Cấu hnh cc thng tin IP address v Shared secrete password cho Accounting Server. Cc trường khc để nguyn gi trị mặc định.


    Chng ta c thể tạo cc ti khoản đăng nhập hệ thống mạng wifi cho khch hng ở thẻ Security --> AAA --> TACACS+ --> Local Net Users. Ch chọn interface l visitor cho WLAN Profile.

    Cc ti khoản được tạo ở đy tồn tại lin tục, để tạo ti khoản cho khch hng hết hạn sau một khoảng thời gian được khai bo, ti khoản cần được tạo bởi Lobby Admin, sẽ được trnh bay sau trong hướng dẫn ny.

    Tạo SSID cho Employees

    Để tạo Employees SSID, lm theo cc bước sau: WLANs --> WLANs, sau đ click Create New. Khai bo tn cho SSID. Ch chọn đng Interface Group cho SSID.


    Tạo SSID cho Visitors
    Hầu hết giống như tạo SSID cho Employee ở trn, tuy nhin, cần đặt biệt ch cc điểm khc chỉ ra bn dưới.

    Tạo SSID v gn visitor Interface Groups cho SSID ny


    Chọn None cho Layer 2 security v Web Policy/Authentication for Layer 3. Disable Authentication v Accounting servers ở AAA.




    Để an ton hơn, chng ta p buộc đối tượng người dng khch hng phải sử dụng IP được cấp pht từ WLC. Khng cho php IP tĩnh do người dng khai bo trn thiết bị.



    Đến đy, việc thiết lập hệ thống mạng wifi đ được hon tất.

  4. #4
    Administrator
    Join Date
    May 2015
    Posts
    68
    Hướng dẫn quản trị cơ bản hệ thống mạng wifi
    Tạo ti khoản thuộc nhm Lobby Admin v cấp quyền truy cập cho khch hng khi cần.

    Lm theo cc bước sau: Management --> Local Management Users. Ở đy, chng ta tạo ti khoản quản trị admin với quyền read-only để truy cập v quản l thiết bị WLC.


    Tiếp theo, chng tao tạo ti khoản thuộc nhm Lobby Admin, ti khoản ny c thể tạo ti khoản cho đối tượng khch hng, tuy nhin, khng c quyền truy cập v quản l thiết bị WLC. Bn dưới l khc biệt của cc nhm người dng:

    • Read Write: ton quyền.
    • Read Only: chỉ c quyền truy cập v xem cấu hnh, khng thể thay đổi cấu hnh trn WLC.
    • Lobby Admin: c thể tạo ti khoản cho nhm người dng khch. Khng thể truy cập xem cấu hnh trn WLC.



    Bn dưới l giao diện của người dng thuộc nhm Lobby Admin khi login vo WLC:






    Bạn đọc c nhu cầu tư vấn, triển khai, hệ thống mạng khng dy quản l tập trung cho doanh nghiệp. Lin hệ với chung ti theo thng tin sau:
    - Cng ty Cổ phần CNTT Sao Thin Vương
    - Website: http://switch-router.com/
    - Email: info@switch-router.com
    - Điện thoại: (08)38911724
    - Hotline: 0917 39 7766

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •