Phân phối thiết bị mạng MikroTik tại Việt Nam
Results 1 to 4 of 4

Thread: Hướng dẫn cấu hình thiết bị CISCO Wireless LAN Controller

  1. #1
    Administrator
    Join Date
    May 2015
    Posts
    68

    Hướng dẫn cấu hình thiết bị CISCO Wireless LAN Controller

    Khác với hệ thống mạng wifi standalone, hệ thống mạng wifi quản lý tập trung với thiết bị CISCO Wireless LAN Controller (WLC) mang lại nhiều lợi ích so với hệ thống wifi standalone truyền thống. Hướng dẫn này sẽ nêu ra một số lợi ích mà hệ thống wifi quản lý tập trung mạng lại, đồng thời đưa ra mô hình thiết kế mạng wifi quản lý tập trung điển hình mà hầu phù hợp với hầu hết các doanh nghiệp vừa và nhỏ ở Việt Nam.

    Các lợi ích của hệ thống wifi quản lý tập trung:
    • Thiết bị AP được quản lý tập trung hoàn toàn trên thiết bị Wireless Controller: cấu hình, cập nhật version phần mềm, …
    • Dễ dàng cho việc triển khai AP, các cấu hình được áp xuống AP ngay khi AP online.
    • Thiết kế đúng đắn sẽ dễ mở rộng hê thống mạng không dây khi cần: mỗi thiết bị WLC có thể quản lý hằng trăm AP, nhiều WLC được quản lý, giám sát bởi hệ thống quản lý tập trung, được gọi là Cisco Prim Infrastructure.
    • Quản lý sóng radio (Radio Resource Management – RRM): cho phép thiết bị WLC điều chỉnh công suất phát sóng, gán kênh cho AP để hạn chế nhiễu sóng, tối ưu tín hiệu vùng phủ sóng.
    • Hỗ trợ mobility và roaming: tất cả các AP trong cùng mội mobility group chia sẽ cùng một cấu hình. Ngay khi mức độ tín hiệu giảm đến mức không đảm bảo kết nối, thiết bị có thể roaming đến các AP khác trong mobility group. Tính năng này cho phép người dùng có thể di chuyển trong các khu vực khác nhau mà không gián đoạn kết nối của thiết bị di động.
    • Cơ chế tự điều chỉnh vùng phủ sóng (Self-Healing): khi tần số phát sóng của 1 thiết bị AP vì lý do gì đó mất hoặc giảm sút, WLC phát hiện và điều chỉnh tăng cường công suất phát sóng của các AP gần kề để bao phủ vùng bị mất sóng.
    • Định vị vị trí của thiết bị: nếu hệ thống được trang bị Wireless Location Appliance, chúng ta có thể import layout của tòa nhà / khu vực làm việc và định vị được vị trí thiết bị sử dụng wifi và AP nào người dùng kết nối vào.


    Thiết kế mô hình mạng không dây:
    Mô hình mạng trong bài viết này bao gồm 4 VLAN và 3 vùng bảo mật khác nhau.
    • VLAN 99 = management network
    • VLAN 100 = server network
    • VLAN 101 = desktop user network
    • VLAN 103 = wireless user network


    • Firewall outside = Internet
    • Firewall inside = LAN
    • Firewall DMZ = guest wi-fi (no access to the LAN, Internet only.)


    Địa chỉ IP khai báo cho hệ thống wifi như sau:
    • Wireless Controller Interfaces:
    • management: 172.25.10.50
    • ap-manager: 172.25.10.50
    • virtual: 1.1.1.1
    • AP01: 172.25.10.52
    • AP02: 172.25.10.53


    Đường mạng VLAN - SSID cho nhóm người dùng và khách được khai báo như sau:
    • Employee: VLAN103 – 10.2.123.2 /24
    • Guest: 192.168.202.30 /24


    Quản trị hệ thống cần cấu hình các dịch vụ và hệ thống để tích hợp hệ thống wifi, các việc này sẽ không trình bày chi tiết trong hướng dẫn này.
    • Microsoft Active Directory và DNS
    • DHCP Server với các scope cho nhóm người dùng sử dụng mạng không dây
    • Cấu hình IP helper-address trên core switch.
    • Microsoft Radius (IAS) Server
    • Cấu hình vùng DMZ trên firewall cho nhóm người dùng Guest


    Logic traffic trên hệ thống như sau:

    Cấu hình thiết bị CISCO Wirless LAN Controller
    Thiết bị CISCO WLC cần khai báo các thông số bằng CLI trước khi có thể kết nối sử dụng giao diện đồ họa để cấu hình. WLC được kết nối đến máy tính quản trị viên bằng cáp console thông qua các chương trình terminal như Putty, SecureCRT. Chú ý thiết lập flow-control giá trị none trên Putty hoặc Secure CRT, nếu không, sẽ không kết nối được đến WLC. Bên dưới là thiết lập trên Putty


    Sau đây là quá trình khởi tạo thiết bị CISCO Wireless LAN Controller thông qua Putty.
    Code:
    Welcome to the Cisco Wizard Configuration Tool
    Use the '-' character to backup
    
    
    Would you like to terminate autoinstall? [yes]:
    
    
    System Name [Cisco_43:5c:04] (31 characters max): CORPWLC
    Enter Administrative User Name (24 characters max): admin
    Enter Administrative Password (3 to 24 characters): *********
    Re-enter Administrative Password                 : *********
    
    
    Enable Link Aggregation (LAG) [yes][NO]: no
    
    
    Management Interface IP Address: 172.25.10.50
    Management Interface Netmask: 255.255.255.0
    Management Interface Default Router: 172.25.10.1
    Cleaning up Provisioning SSID
    Management Interface VLAN Identifier (0 = untagged):
    Management Interface Port Num [1 to 4]: 1
    Management Interface DHCP Server IP Address:
    Invalid response
    
    
    Management Interface DHCP Server IP Address: 172.25.10.1
    
    
    Virtual Gateway IP Address: 1.1.1.1
    
    
    Multicast IP Address:
    Invalid response
    
    
    Multicast IP Address: 239.255.1.60
    
    
    Mobility/RF Group Name: CORP
    
    
    Network Name (SSID): Employee
    
    
    Configure DHCP Bridging Mode [yes][NO]: yes
    Warning! Enabling Bridging mode will disable Internal DHCP server and DHCP Proxy feature.
    May require DHCP helper functionality on external switches.
    
    
    Allow Static IP Addresses [YES][no]: yes
    
    
    Configure a RADIUS Server now? [YES][no]: no
    Warning! The default WLAN security policy requires a RADIUS server.
    Please see documentation for more details.
    
    
    Enter Country Code list (enter 'help' for a list of countries) [US]:
    
    
    Enable 802.11b Network [YES][no]: no
    Enable 802.11a Network [YES][no]: no
    Enable Auto-RF [YES][no]: -
    Enable 802.11a Network [YES][no]: -
    
    
    Enable 802.11b Network [YES][no]: yes
    Enable 802.11a Network [YES][no]: yes
    Enable 802.11g Network [YES][no]: yes
    Enable Auto-RF [YES][no]: yes
    
    
    Configure a NTP server now? [YES][no]: no
    Configure the system time now? [YES][no]: yes
    Enter the date in MM/DD/YY format: 07/29/2015
    Invalid response
    
    
    Enter the date in MM/DD/YY format: 07/29/15
    Enter the time in HH:MM:SS format: 16:49:00
    
    
    Would you like to configure IPv6 parameters[YES][no]: no
    
    
    Configuration correct? If yes, system will save it and reset. [yes][NO]: yes
    Cleaning up Provisioning SSID
    
    
    Configuration saved!
    Resetting system with new configuration...
    
    
    Configuration saved!
    Resetting system with new configuration...
    Sau khi thiết bị CISCO Wireless LAN Controller khởi động xong, chúng ta có thể truy cập quản lý thiết bị thông qua giao diện web, trong trường hợp này là: http://172.25.10.50



    Kiểm tra management IP và virtual IP đã được khai bảo ở bước khởi tạo ở thẻ Controller -> Interfaces



    Đến đây, chung ta đã hoàn thành việc khởi tạo cấu hình cho thiết bị WLC. Tiếp theo, chung ta sẽ khởi tạo cấu hình cho thiết bị các Wireless Access Point (WAP) để được quản lý tập trung bởi WLC.

    Khởi tạo cấu cho thiết bị CISCO Wireless Access Point:
    Có 2 cách để có thể truy cập và cấu hình thiết bị WAP:
    • Sử dụng DHCP và WLC để gán IP cho thiết bị WAP, hoặc
    • Gán IP tĩnh cho thiết bị WAP.


    Hướng dẫn này sẽ gán IP tĩnh cho thiết bị WAP với các bước sau:
    • Kết nối thiết bị WAP bằng cáp console đến máy tính quản trị viên.
    • Bật nguồn thiết bị WAP.


    Trên màn hình Putty, có thể nhìn thấy thông báo không thể lấy IP từ DHCP server, bở vì chúng ta không cấu hình WLC cấp phát IP đông, ở dây chúng ta sẽ khai báo IP cho thiết bị WAP
    Code:
    *May 25 00:01:44.511: %CAPWAP-3-DHCP_RENEW: Could not discover WLC. Either IP address is not assigned or assigned IP is wrong. Renewing DHCP IP.
    
    
    Not in Bound state.
    
    
    Enable password is Cisco (upper case “C”).
    Sử dụng các lệnh sau đây để cấu hình các thông số liên quan đến IP cho thiết bị WAP:
    Code:
    AP#capwap ap ip address <IP address> <subnet mask>
    AP#capwap ap ip default-gateway <IP-address>
    AP#capwap ap controller ip address <IP-address>
    AP#capwap ap hostname <name>(optional)
    Bên dưới là các thông số được gán cho thiết bị WLC trong trường hợp này:

    Code:
    AP84b8.02a4.695c#capwap ap ip address 172.25.10.52 255.255.255.0
    Cần chú ý, nếu thiết bị WAP ở khác subnet với thiết bị WLC, chúng ta cần khai báo thêm thông số default-gateway.

    Ngày sau khi thiết bị WAP được gán địa chỉ IP, chúng ta sẽ nhìn thấy trên Putty xuất hiện các log giao dịch giữa WAP và WLC, đồng thời, đèn LEB trên WAP chuyển đổi từ màu Xanh -> màu Đỏ -> màu Vàng và sau đó chớp nháy liên tục. Lúc này, thiết bị WAP đã hoàn thanh việc đăng ký nó với WLC. Thiết bị WLC yêu cầu WAP cập nhật verision phần mềm nếu không đồng bộ. Quá trình khởi tạo này mất từ 3 đến 5 phút, sau đó, thiết bị WAP sẽ xuất hiện trên giao diện quản lý của WCL.


    Lặp lại quá trình tương tự ở trên để đăng ký các WAP với thiết bị quản lý wifi tập trung Wireless LAN Controller

    Như vậy, đến đây, chúng ta đã đăng ký các thiết bị CISCO Access Point để chúng được quản lý tập trung bởi thiét bị CISCO Wireless LAN Controller. Từ bây giờ, mọi vấn đề liên quan đên hạ tầng wifi, sẽ được thao tác, cấu hình, quản lý trên thiết bị WLC.

  2. #2
    Administrator
    Join Date
    May 2015
    Posts
    68
    Cấu hình hạ tâng mạng wifi.

    Với mô hình thiết kế ban đầu ở trên, chúng ta sẽ trải qua các bước cấu hình sau đây để hoàn thành việc cấu hình hạ tầng mạng wifi.
    1. Khai báo Employee SSID cho người dùng mạng nội bộ. SSID này có thể truy cập các subnet thuộc mạng LAN của công ty.
    2. Khai báo Guest SSID cho đối tượng khách hàng. Chỉ có thể truy cập Internet, không truy cập được các subnet thuộc mạng LAN của công ty.
    3. Người dùng mạng nội nội bộ - Employee SSID chứng thực truy cập mạng thông qua Microsoft Active Directory.
    4. Khách hàng - Guest SSID chứng thực thông qua webpage. Tài khoản được tạo trên WCL.

    Đầu tiên, chúng ta cần thiết lập các interface logic trên WLC. Khác với interface vật lý, các interface logic được sử dụng cho mục đích quản lý và giao tiếp giữa AP và Controller, giữa wireless client với AP và Controller. Các interface logic có thể được gán cho một hoặc nhiều interface vật lý, tùy mục đích sử dụng hệ thống của quản trị viên.

    Đăng nhập vào giao diện quản lý của WCL ở địa chỉ: http://172.25.10.50/. Truy cập vào Controller -> Interfaces để khai báo, quản lý các interface logic. Ở đây, chúng ta sẽ nhìn thấy các interface management và virtual interface đã được khai báo khi khởi tạo thiết bị WLC.

    Nhấp chuột vào interface management để xem các thiết lập cho interface logic này.


    Interface IP address là địa chỉ IP được sử dụng để kết nối đến thiết bị WLC phục vụ cho việc quản lý thiết bị. Port vật lý số 1 trên WLC được kết nối đến thiết bị switch trên kết nối trunk cho traffic quản lý. Mọi DHCP request trên management interface này sẽ được điều hướng đến DHCP server chỉ định ở đây. Có 2 khai niệm quan trọng cần hiểu ở các thông số cấu hình ở trên:

    AP-manager - Enable Dynamic AP Management.
    Mặc định, các interface logic management interface và AP-manager được gán đến cùng cổng vật lý số 1 trên WLC. Còn lại 3 AP-manager interface được tạo trên 3 cổng vật lý còn lại (cổng số 2, 3 và 4) trên cùng một subnet với management interface. Các AP kết nối đến Controller được chia điều trên mỗi cổng này trên Controller. Do đó, khuyến nghị tất cả các AP-manager interface và management interface nên trên cùng một subnet.

    DHCP Proxy Mode (Global, Enable, Disable)
    Trước tiên chúng ta cần chú ý, nếu sử dụng internal DHCP trên WLC để cấp IP cho người dùng mạng wifi, thì internal DHCP này chỉ hoạt động khi DHCP proxy được enable.

    So sánh chế độ Internal DHCP và Bridging mode trên WLC.
    Có hai chế độ DHCP trên WLC, là DHCP proxy hoặc DHCP bridging. Với DHCP bridging, WCL đóng vai trò là cầu nối (layer 2) giữa AP và external DHCP server. Ở chế độ này, gói tin DHCP qua AP thông qua thiết bị đầu cuối kết nối đến SSID - VLAN trên nó. Nếu IP helper được định nghĩa ở interface VLAN layer 3 trên thiết bị định tuyến, gói tin DHCP này được forward trực tiếp đến DHCP server định nghĩa ở IP helper. DHCP server sau đó trả lời trực tiếp đến interface layer 3 đã forward gói tin DHCP đến nó. Với chế độ DHCP proxy, cũng tương tự như vậy, nhưng tất cả việc forward gói tín được thực hiện trực tiếp trên thiết bị Controller, thay vì interface VLAN layer 3.

    Chúng ta phải bật DHCP proxy trên WLC để cho phép internal DHCP server hoạt động.

    Lưu các thông số cấu hình ở trên. Tiếp theo, tạo một interface logic mới là "employee". Interface này sử dụng cho người dùng công ty muốn kết nối đến mạng wifi.

    Chú ý, nếu bạn kết nối WLC đến switch trên cổng trunk, bạn cần chỉ định VLAN identifier trùng với VLAN ID của subnet trên LAN, trong trường hợp này là VLAN 103. Ở bước khai báo management interface, chúng ta đã khai báo VLAN identifier giá trị là 0, do đó management interface sử dụng untagged hay native VLAN khi truyền gói tin trên mạng. Bên dưới là cấu hình cổng trunk cho thiết bị switch kết nối với WLC.

    Management VLAN 99
    Data VLAN 100-103

    Code:
    interface GigabitEthernet1/0/10
     description WIFI-WLC1
     switchport trunk native vlan 99
     switchport trunk allowed vlan 99-103
     switchport mode trunk
     spanning-tree guard root
     ip dhcp snooping limit rate 100
    end
    Trong bài viết này, tôi sử dụng DHCP server (10.2.120.254) trên hệ thống để cấp phát IP cho người dùng wifi của công ty. Chúng ta cần thiết lập chế độ DHCP Proxy là Global.

    Tiếp theo, tạo interface logi visitor cho đối tượng người dùng khách hàng.

    Chú ý, ở đây chúng ta gán Port number là 2 cho interface của visitor vì nguyên nhân bảo mật. Cổng số 2 trên WLC kết nối đến interface DMZ của thiết bị firewall.

    Tạo DHCP Scope cho đối tượng người dùng khách hàng trên WLC. Chúng ta không cho phép đối tượng người dùng khách hàng này sử dụng internal DHCP server của chúng ta. Đối tượng người dùng này được gán IP động bởi chính thiết bị WLC.



    Cấu hình thiết bị Wireless Access Point - WAP
    Để thay đổi các thông số trên thiết bị WAP được quản lý bởi WLC, vào thể Wireless -> All APs. Ở đây, chúng ta sẽ nhìn thấy tất cả các AP được quản lý bởi WLC. Click chuột lên AP cần cấu hình để thay đổi thông số của AP này.



  3. #3
    Administrator
    Join Date
    May 2015
    Posts
    68
    Cấu hình RADIUS server để xác thực người dùng nội bộ truy cập mạng wifi

    Trong bài viết này, người dùng được quản lý và xác thực thông qua Microsoft Active Directory. Tức là chỉ cần người dùng đăng nhập vào hệ thống, là có thể truy cập được các tài nguyên mà họ được cấp quyền.

    Khai báo RADIUS như sau: Security ->AAA -> RADIUS -> Authentication và click New. Khai báo IP của RADIUS server và shared secret password.



    Thay đổi Authe Called Station ID Type đến giá trị là IP Address cho RADIUS Authentication Servers.



    Cấu hình các thông tin IP address và Shared secrete password cho Accounting Server. Các trường khác để nguyên giá trị mặc định.


    Chúng ta có thể tạo các tài khoản đăng nhập hệ thống mạng wifi cho khách hàng ở thẻ Security --> AAA --> TACACS+ --> Local Net Users. Chú ý chọn interface là visitor cho WLAN Profile.

    Các tài khoản được tạo ở đây tồn tại liên tục, để tạo tài khoản cho khách hàng hết hạn sau một khoảng thời gian được khai báo, tài khoản cần được tạo bởi Lobby Admin, sẽ được trình bay sau trong hướng dẫn này.

    Tạo SSID cho Employees

    Để tạo Employees SSID, làm theo các bước sau: WLANs --> WLANs, sau đó click Create New. Khai báo tên cho SSID. Chú ý chọn đúng Interface Group cho SSID.


    Tạo SSID cho Visitors
    Hầu hết giống như tạo SSID cho Employee ở trên, tuy nhiên, cần đặt biệt chú ý các điểm khác chỉ ra bên dưới.

    Tạo SSID và gán visitor Interface Groups cho SSID này


    Chọn None cho Layer 2 security và Web Policy/Authentication for Layer 3. Disable Authentication và Accounting servers ở AAA.




    Để an toàn hơn, chúng ta ép buộc đối tượng người dùng khách hàng phải sử dụng IP được cấp phát từ WLC. Không cho phép IP tĩnh do người dùng khai báo trên thiết bị.



    Đến đây, việc thiết lập hệ thống mạng wifi đã được hoàn tất.

  4. #4
    Administrator
    Join Date
    May 2015
    Posts
    68
    Hướng dẫn quản trị cơ bản hệ thống mạng wifi
    Tạo tài khoản thuộc nhóm Lobby Admin và cấp quyền truy cập cho khách hàng khi cần.

    Làm theo các bước sau: Management --> Local Management Users. Ở đây, chúng ta tạo tài khoản quản trị admin với quyền read-only để truy cập và quản lý thiết bị WLC.


    Tiếp theo, chúng tao tạo tài khoản thuộc nhóm Lobby Admin, tài khoản này có thể tạo tài khoản cho đối tượng khách hàng, tuy nhiên, không có quyền truy cập và quản lý thiết bị WLC. Bên dưới là khác biệt của các nhóm người dùng:

    • Read Write: toàn quyền.
    • Read Only: chỉ có quyền truy cập và xem cấu hình, không thể thay đổi cấu hình trên WLC.
    • Lobby Admin: có thể tạo tài khoản cho nhóm người dùng khách. Không thể truy cập xem cấu hình trên WLC.



    Bên dưới là giao diện của người dùng thuộc nhóm Lobby Admin khi login vào WLC:






    Bạn đọc có nhu cầu tư vấn, triển khai, hệ thống mạng không dây quản lý tập trung cho doanh nghiệp. Liên hệ với chung tôi theo thông tin sau:
    - Công ty Cổ phần CNTT Sao Thiên Vương
    - Website: http://switch-router.com/
    - Email: info@switch-router.com
    - Điện thoại: (08)38911724
    - Hotline: 0917 39 7766

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •