©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID1无线控制器配置基础2011.11©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID2基本配置任务及过程准备工作1.控制器启动配置和升级控制器软件版本2.熟悉控制器配置界面3.连接AP到控制器上配置任务1.思科CSSC无线客户端的安装和简单配置2.构建一个OPEN和一个WEP的无线网络3.构建一个简单WEB认证的无线网络4.构建一个支持本地EAP认证的无线网络5.构建一个用ACS做AAA认证的无线网络©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID3PresentationTitleSize30PTOption2:Live准备工作©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID4基本设备控制器5500或者2500系列AP:1140或者1260等支持802.11n的产品交换机:最好是3560X千兆POE交换机©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID5AIR-CT2504-5-K92504WirelessControllerwith5APLicenses$3,743.00AIR-CT2504-15-K92504WirelessControllerwith15APLicenses$7,493.00AIR-CT2504-25-K92504WirelessControllerwith25APLicenses$13,493.00AIR-CT2504-50-K92504WirelessControllerwith50APLicenses$19,493.002500系列无线控制器支持802.11a/b/g/n支持PCI认证WLC2500硬件4个GE口,2个上联口,2个下联口其中2个GE口有以太网供电最多支持到50个AP,500个客户端;多达300Mbps的吞吐量©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID65500系列无线控制器1RU高度8口千兆上联支持12,25,50,100,250,500AP;支持多达7000个客户端;经过优化的802.11n性能;智能射频控制平面,可以自行配置、修复和优化。高效漫游功能可提升应用性能;2热插拔电源模块插槽AIR-CT5508-500-K9Cisco5508SeriesWirelessControllerforupto500APs$220,490.00AIR-CT5508-250-K9Cisco5508SeriesWirelessControllerforupto250APs$136,490.00AIR-CT5508-100-K9Cisco5508SeriesWirelessControllerforupto100APs$83,990.00AIR-CT5508-50-K9Cisco5508SeriesWirelessControllerforupto50APs$47,240.00AIR-CT5508-25-K9Cisco5508SeriesWirelessControllerforupto25APs$33,590.00AIR-CT5508-12-K9Cisco5508SeriesWirelessControllerforupto12APs$23,090.00©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID7准备工作网线和Console线。如果是5508,需要GLC光纤模块和光纤或者GLC-T模块确认控制器版本是否需要升级(用命令showsysinfo查看系统版本)相应数量的瘦AP©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID8实验拓扑示例SiSiSiSiSiSiTRUNKVLAN1/20/30/40fa0/1port1SSCWLC说明:1、VLAN1用于连接控制器、AP和ACS;2、VLAN20用于WPA/WPA2认证,认证服务器用ACS。3、VLAN30用作OPEN/WEP/GUEST客户接入3、VLAN40用作WPA/WPA2认证,认证用本地EAPSSCSSID:VLAN20SSID:VLAN30PC//AAA服务器VLAN1所有3层网关设置在3层交换机上,地址254©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID9WLC的组成及接口管理接口:使用静态IP地址的接口,用于传输带内管理数据流,这些接口用于建立到WLC的Web、安全外壳(SSH)或Telnet会话。AP管理接口:使用静态IP地址的接口,所高LAP都使用它来端接CAPWAP隧道,WLC也在该接口上侦听LAP试图发现控制器时发送的子网广播。虚拟接口:用于中继来自无线客户端的DHCP请求的逻辑接口,给该接口分配一个伪造(但唯一)的静态IP地址,这样客户端将把该虚拟地址视为其DHCP服务器,在同一个移动组中,所有WLC都必须使用相同的虚拟接口地址。服务端口:Cisco5500系列WLC使用的带外以太网接口,仅当控制器正在启动或网络问题导致无法进行其他方式的接入时才使用它,Catalyst6500无线服务模块(WirelessServiceModule,WiSM)有一个连接到机架监控器的内部服务端口。集散系统端口:将WLC连接到园区网中交换机的接口,该接口通常是一个中继链路,用于传输覆盖了LAP和VLAN的数据流。©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID10WLC的组成及接口(续)动态接口:根据需要,为通过CAPWAP隧道扩展到LAP的VLAN自动创建的接口,动态接口有时也被称为用户接口,动态接口使用的IP地址属于无线客户端VLAN的子网。通常,预留一个管理VLAN和子网供WLC和CAPWAP使用,可以将管理子网中的IP地址分配给管理接口和AP管理器接口。所有来自外部的管理数据流(基于Web的、Telnet、SSH或AAA)和CAPWAP隧道数据流都将到达这些地址,LAP将被放置到网络的各个地方,甚至是不同的交换模块中,因此应将LAP数据流视为外部的。分配给LAP的IP地址不必属于AP管理器子网,在小型网络中,LAP和WLC可能位于同一个子网中,因此它们在第2层是相邻的,在大型网络中,LAP将分散在不同的交换模块中,LAP和WLC的IP地址将各不相同,因为它们不是第2层邻居,这些地址将不属于AP管理子网。©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID11WLC接口布局示例©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID12WLC接口布局示例在这个例子中,WLC通过物理端口1(port1)连接到Cisco3750交换机的gig1/0/1千兆端口,WLC上所有的接口(interface)都映射到物理接口1。WLC上配置了2个WLAN,其中一个是开放认证(使用Webportal认证,SSID为open),另一个是采用EAP认证(SSID为secure)。分别为开放的SSID和EAPSSID创建了一个动态接口并同相应的VLAN相关联,开放的SSID通VLAN3相关联,VLAN4同加密的SSID相关联,管理端口(managementinterface)和AP管理接口(APManagerinterface)都使用VLAN60,为了使配置简单,我们忽略了服务端口(service-port),所有的网络服务(AAA,DHCP,DNS)都使用Vlan50,AP将连接到VLAN5。©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID13WLC初始配置WLC初始化的配置只能通过连接到WLC控制台端口(Console)的Cisco标准的9600-8-N-1电缆才能配置,然后使用StartupWizard通过CLI输入参数,WLC启动并运行其代码映像后,CLI将以交互的方式提示输入下面的信息:1)系统名,这是一个标识WLC的字符串,最多可包含32个字符2)管理用户名和密码,默认分别为admin和admin3)服务端口的IP地址(DHCP或静态地址):如果选择使用静态地址,将提示您输入IP地址、子网掩码、默认网关和管理接口的VLAN号。如果管理VLAN没有被标记中继链路上的本地VLAN,nativevlan),请输入VLAN号04)DHCP服务器的地址,客户端服务器将从DHCP服务器那里获得其IP地址。©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID14WLC初始配置(续)5)AP管理器接口的IP地址。6)虚拟接口的IP地址(这是一个伪造的IP地址,通常为1.1.1.1)。7)移动组名称(在属于同一个移动组的所有WLC上都必须相同)。8)默认的SSID,LAP加入控制器时将使用它,LAP加入后,WLC将把其他SSID提供给它。9)是否要求客户端从DHCP服务器那里获得IP地址?如果要求客户端使用DHCP服务器,则输入yes,否则输入no,允许客户端使用静态的配置的地址。10)是否需要配置RADIUS服务器?(可以输入NO,通过Web前端配置RADIUS服务器)。©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID15WLC初始配置(续)11)配置国别码(输入help可获悉国别码列表,中国的国别码为CN)12)在WLC管理的所有AP上启用/禁用802.11b和802.11g(系统提示您配置每种WLAN时,输入YES可启用它,输入NO将禁用它)。13)启用/禁用射频源管理auto-RF功能(输入yes将启用RF参数自动调整,输入NO将禁用它)。输入上述信息后,WLC将存储配置并重新启动。然后,便可以通过WLC的Web界面管理它。©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID16启动选项ThecontrollerbootsequencewillalwayshavetheseoptionavailablesincethisissetinPROMtoensurecontrollerrecoveryoptions按5清空配置©2006CiscoSystems,Inc.Allrightsreserved.CiscoConfidentialPresentation_ID17系统启动界面和配置(OS7.0)Wouldyouliketoterminateautoinstall?[yes]:SystemName[Cisco