本文档提供了有关配置Cisco无线LAN(WLAN)控制器以与Cisco Aironet一起使用的要求的信息®600系列OfficeExtend接入点(OEAP)。Cisco Aironet 600系列OEAP支持分离模式操作,它具有需要通过WLAN控制器进行配置的设施,以及可由最终用户在本地进行配置的功能。本文档还提供了正确连接和支持的功能集所需的配置信息。
本文件没有具体要求。
本文档中的信息基于Cisco Aironet 600系列OfficeExtend接入点(OEAP)。
本文档中的信息是根据特定实验室环境中的设备创建的。本文档中使用的所有设备都以清除的(默认)配置开始。如果您的网络处于活动状态,请确保您了解任何命令的潜在影响。
请参阅Cisco技术提示约定有关文档约定的更多信息。
-
这些控制器支持Cisco Aironet 600系列OEAP:Cisco 5508、WiSM-2和Cisco 2504。
-
支持Cisco Aironet 600系列OEAP的第一个控制器版本是7.0.116.0
-
控制器的管理接口需要位于可路由的IP网络上。
-
需要更改公司防火墙配置以允许UDP端口号的流量5246和5247.
-
为用户提供一个以公司控制器的IP地址为基准的接入点(AP),或者用户可以从配置屏幕(设置HTML页面)输入控制器的IP位置。
-
用户将AP插入家庭路由器。
-
AP从其家庭路由器获得IP地址,加入启动的控制器并创建安全通道。
-
思科Aironet 600系列OEAP随后推出了公司SSID,它将相同的安全方法和服务跨广域网扩展到用户的家中。
-
如果配置了远程LAN,AP上的一个有线端口将通过隧道返回控制器。
-
然后,用户可以另外启用本地SSID以供个人使用。
防火墙上的一般配置是允许CAPWAP控制和CAPWAP管理端口号通过防火墙。Cisco Aironet 600系列OEAP控制器可以放置在DMZ区域中。
注:UDP协议5246和5247需要在WLAN控制器和Cisco Aironet 600系列OEAP之间的防火墙上打开端口。
此图显示了DMZ上的Cisco Aironet 600系列OEAP控制器:
以下是防火墙配置示例:
以太网接口0/0nameif外面安全级别0ip地址X.X.X.S 255.255.254
!--- X.X.XX.X表示公共IP地址
!以太网接口0/2名称dmz安全等级50ip地址172.16.1.2 255.255.255.0!access-list Outside extended permit udp任何主机X.X.XX.Y eq 5246
!--- 公司控制器公共可访问IP
access-list Outside extended permit udp任何主机X.X.XX.Y eq 5247
!--- 公司控制器公共可访问IP
访问列表外部扩展许可证icmp any any!全局(外部)1接口自然(dmz)1 172.16.1.0 255.255.255.0静态(dmz,外部)X.X.X.j 172.16.1.25网络掩码255.255.255访问组外部在接口外部
为了将内部AP-Manager IP地址作为CAPWAPP Discovery Response数据包的一部分传输到OfficeExtend AP,控制器管理员需要确保在AP-Manager-interface中启用NAT,并将正确的NAT IP地址发送到AP。
注:默认情况下,当启用NAT时,WLC将仅在AP发现期间使用NAT IP地址进行响应。如果NAT网关内外都存在AP,则发出此命令以设置WLC以使用NAT IP地址和非NAT(内部)管理IP地址进行响应:
配置网络ap-discovery nat-ip-only disable
注:仅当WLC具有NAT IP地址时才需要。
此图显示NAT已启用,假设WLC具有NAT IP地址:
注:如果控制器配置了Internet可路由IP地址,并且不在防火墙后面,则不需要在控制器中进行此配置。
Cisco Aironet 600系列OEAP将作为本地模式接入点连接到WLC。
注:600系列不支持监视器、H-REAP、嗅探器、盗贼检测、桥接和SE连接模式,并且不可配置。
注:1040、1130、1140和3502i系列接入点中的Cisco Aironet 600系列OEAP功能需要为混合REAP(H-REAP)配置AP,并设置AP到Cisco Aironet 600 Series OEAP的子模式。600系列没有这样做,因为它使用本地模式,无法更改。
在初始加入过程中,可以在AP身份验证中使用MAC过滤,以防止未经授权的Cisco Aironet 600系列OEAP单元加入控制器。此图显示了启用MAC筛选和配置AP安全策略的位置:
此处输入以太网MAC(不是无线电MAC地址)。此外,如果在Radius服务器中输入MAC地址,则必须使用小写。您可以检查AP事件日志以获取有关如何发现以太网MAC地址的信息(稍后将对此进行详细介绍)。
Cisco Aironet 600系列OEAP上有一个物理远程LAN端口(黄色端口#4)。它的配置方式与WLAN非常相似。然而,由于它不是无线的,而是AP背面的有线LAN端口,因此它被称为远程LAN端口并作为远程LAN端口进行管理。
虽然设备上只有一个物理端口,但如果使用集线器或交换机,则最多可以连接四个有线客户端。
注:远程LAN客户端限制支持将交换机或集线器连接到多个设备的远程LAN端口,或直接连接到连接到该端口的Cisco IP电话。
注:只有前四个设备可以连接,直到其中一个设备空闲超过一分钟。如果使用802.1x身份验证,则尝试在有线端口上使用多个客户端时可能会出现问题。
注:此数字不影响控制器WLAN的十五个限制。
远程LAN的配置类似于控制器上配置的WLAN和来宾LAN。
WLAN是无线安全配置文件。这些是公司网络使用的配置文件。Cisco Aironet 600系列OEAP最多支持两个WLAN和一个远程LAN。
远程LAN与WLAN类似,只是它映射到接入点背面的有线端口(黄色端口#4),如下图所示:
注:如果您有两个以上的WLAN或一个以上的远程LAN,则需要将所有WLAN都放在一个AP组中。
此图显示WLAN和远程LAN的配置位置:
此图显示OEAP组名示例:
此图显示WLAN SSID和RLAN配置:
如果Cisco Aironet 600系列OEAP进入AP组,则两个WLAN和一个远程LAN的相同限制适用于AP组的配置。此外,如果Cisco Aironet 600系列OEAP位于默认组中,这意味着它不在定义的AP组中,则需要将WLAN/远程LAN ID设置为小于ID 8,因为此产品不支持更高的ID集。
将ID设置为小于8,如图所示:
注:如果创建其他WLAN或远程LAN的目的是更改Cisco Aironet 600系列OEAP正在使用的WLAN或remote LAN,则在启用600系列上的新WLAN或remote LAN之前,请禁用当前WLAN或要删除的远程LAN。如果为AP组启用了多个远程LAN,请禁用所有远程LAN,然后只启用一个。
如果为AP组启用了两个以上的WLAN,请禁用所有WLAN,然后只启用两个。
在WLAN中设置安全设置时,600系列不支持某些特定元素。
对于第二层安全,Cisco Aironet 600系列OEAP仅支持以下选项:
注:只应选择802.1x或PSK。
对于TKIP和AES,WPA和WPA2的安全加密设置需要相同,如下图所示:
这些图像提供了TKIP和AES不兼容设置的示例:
注:请注意,安全设置允许不支持的功能。
这些图像提供了兼容设置的示例:
安全设置可以保持打开状态、设置为MAC过滤或设置为Web身份验证。默认使用MAC过滤。
此图显示了第2层和第3层MAC过滤:
管理QoS设置:
还应管理高级设置:
笔记:
一次只能有十五个用户连接600系列上提供的WLAN控制器WLAN。在第一个客户端之一取消身份验证或控制器上发生超时之前,第十六个用户无法进行身份验证。
注:此数字是600系列控制器WLAN中的累积数字。
例如,如果配置了两个控制器WLAN,其中一个WLAN上有十五个用户,则此时没有用户能够加入600系列上的另一个WLAN。此限制不适用于最终用户在为个人使用而设计的600系列上配置的本地专用WLAN,并且连接在这些专用WLAN或有线端口上的客户端不影响这些限制。
600系列的无线电通过600系列上的本地GUI控制,而不是通过无线LAN控制器控制。
试图通过控制器控制频谱通道、电源或禁用无线电将无法对600系列产生任何影响。
只要本地GUI上的默认设置保留在两个频谱中,600系列将在启动期间扫描并选择2.4 GHz和5.0 GHz的通道。
注:如前所述,如果用户在本地禁用一个或两个无线电(该无线电也被禁用用于公司访问),则RRM和高级功能(如监视器、H-REAP、嗅探器)超出了Cisco Aironet 600系列OEAP的功能范围,该系列OEAP适用于家庭和远程工作者。
5.0 GHz的信道选择和带宽在Cisco Aironet 600系列OEAP的本地GUI上配置。
笔记:
思科Aironet 600系列OEAP专为单AP部署设计。因此,不支持客户端在600系列之间漫游。
注:在控制器上禁用802.11a/n或802.11b/g/n可能无法在Cisco Aironet 600系列OEAP上禁用这些频谱,因为本地SSID可能仍在工作。
最终用户可以启用/禁用对Cisco Aironet 600系列OEAP内部无线电的控制。
有线端口上的802.1x支持
在此初始版本中,802.1x仅在命令行界面(CLI)上受支持。
注:尚未添加GUI支持。
这是Cisco Aironet 600系列OEAP背面的有线端口(黄色端口#4),连接到远程LAN(请参阅前面关于配置远程LAN的部分)。
您可以随时使用显示命令显示当前远程LAN配置:
显示遥控器<远程身份证>
要更改远程LAN配置,必须首先禁用它:
遥控灯禁用<远程身份证>
为远程LAN启用802.1X身份验证:
配置远程安全802.1X启用<远程身份证>
您可以使用以下命令撤消该操作:
配置远程安全802.1X禁用<远程身份证>
对于远程LAN,“加密”始终为“无”(如中所示显示遥控器)且不可配置。
如果要将本地EAP(在控制器中)用作身份验证服务器:
配置远程本地身份验证启用<配置文件名称> <远程身份证>
其中轮廓通过控制器GUI(安全>本地EAP)或CLI定义(配置本地身份验证). 有关此命令的详细信息,请参阅控制器指南。
您可以使用以下命令撤消它:
配置远程本地身份验证禁用<远程身份证>
或者,如果使用外部AAA身份验证服务器:
在哪里?服务器通过控制器GUI(安全>RADIUS>身份验证)或CLI进行配置(配置半径身份验证). 有关此命令的更多信息,请参阅控制器指南。。
完成配置后,启用远程LAN:
配置远程启用<远程局域网id>
使用显示遥控器<远程身份证>命令验证设置。
对于远程LAN客户端,您需要启用802.1X身份验证并进行相应配置。请参阅您的设备用户指南。
此图显示Cisco Aironet 600系列OEAP的接线图:
Cisco Aironet 600系列OEAP的默认DHCP作用域为10.0.0.x,因此您可以使用地址10.0.0.1浏览端口1-3上的AP。默认用户名和密码为admin。
注:这与使用Cisco作为用户名和密码的AP1040、1130、1140和3502i不同。
如果无线电已启动且个人SSID已配置,则可以无线访问配置屏幕。否则,您需要使用本地以太网端口1-3。
为了登录,默认用户名和密码为admin。
注:黄色端口#4未激活,无法在本地使用。如果在控制器上配置了远程LAN,则在AP成功加入控制器后,此端口将通过隧道返回。为了浏览到设备,请在本地使用端口1-3:
成功浏览到设备后,您将看到主状态屏幕。此屏幕提供无线电和MAC统计信息。如果尚未配置无线电,则配置屏幕允许用户启用无线电、设置频道和模式、配置本地SSID以及启用WLAN设置。
在SSID屏幕中,用户可以配置个人WLAN网络。公司无线电SSID和安全参数将在控制器中设置并下推(使用控制器的IP配置WAN后),并且成功加入。
此图显示SSID本地MAC过滤配置:
用户配置个人SSID后,下面的屏幕允许用户在私人家庭SSID上设置安全性、启用无线电和配置MAC过滤(如果需要)。如果个人网络使用802.11n速率,建议用户选择身份验证类型、加密类型和启用WPA2-PSK和AES的密码短语。
注:如果用户选择禁用一个或两个无线电设备,则这些SSID设置与公司设置不同(这两个设置也可供公司使用)。
在本地可以访问管理控制设置的用户可以控制核心功能,如无线电启用/禁用,除非设备由管理员进行密码保护和配置。因此,必须注意不要禁用两个无线电,因为这可能会导致连接丢失,即使设备成功加入控制器。
此图显示系统安全设置:
预计家庭远程工作者会在家庭路由器后面安装Cisco Aironet 600系列OEAP,因为该产品不是为了取代家庭路由器的功能而设计的。这是因为此产品的当前版本不支持防火墙、PPPoE支持或端口转发。这些是客户希望在家庭路由器中找到的功能。
虽然此产品可以在没有家庭路由器的情况下工作,但出于所述原因,建议不要这样放置。此外,直接连接到某些调制解调器可能存在兼容性问题。
考虑到大多数家庭路由器的DHCP作用域在192.168.x.x范围内,此设备的默认DHCP作用域为10.0.0.x,并且是可配置的。
如果家庭路由器碰巧使用10.0.0.x,则必须将Cisco Aironet 600系列OEAP配置为使用192.168.1.x或兼容的IP地址,以避免网络冲突。
此图显示DHCP作用域配置:
注意:如果IT管理员没有暂存或配置Cisco Aironet 600系列OEAP,则用户需要输入公司控制器的IP地址(见下文),以便AP能够成功加入控制器。成功加入后,AP应从控制器下载最新图像和配置参数,如企业WLAN设置。此外,如果已配置,远程LAN设置将Cisco Aironet 600系列OEAP背面的端口#4连接起来。
如果未加入,请验证是否可以通过Internet访问控制器的IP地址。如果启用MAC过滤,请验证MAC地址是否已成功输入控制器。
此图显示Cisco Aironet 600系列OEAP控制器的IP地址:
此图显示了Cisco Aironet 600系列OEAP的物理方面:
该AP设计为安装在桌子上,并配有橡胶脚垫。它也可以是壁挂式的,或者可以使用提供的支架直立放置。尽量将AP定位在靠近目标用户的位置。避开金属表面较大的区域,例如将设备放在金属桌上或大镜子附近。AP和用户之间的墙壁和物体越多,信号强度越低,性能也会降低。
注:此AP使用+12伏电源,不使用以太网供电(PoE)。此外,该设备不提供PoE。确保AP使用了正确的电源适配器。此外,请确保不要使用其他设备(如笔记本电脑和IP电话)的其他适配器,因为这些适配器可能会损坏AP。
该装置可以用塑料锚或木螺钉安装在墙上。
该装置可以使用提供的支架垂直安装。
思科Aironet 600系列OEAP的天线位于AP的边缘。用户应注意不要将AP放置在靠近金属物体或障碍物的区域,否则会导致信号定向或减弱。天线在两个频带中的增益约为2 dBi,并设计为以360度方向图辐射。类似于灯泡(没有灯罩),其目标是向各个方向辐射。把AP想象成一盏灯,试着把它放在离用户很近的地方。
金属物体,如镜子,会像灯罩一样阻挡信号。如果信号必须穿透或穿过固体物体,则可能会导致吞吐量或范围降低。如果您希望连接,例如在一个三层的房子里,请避免将AP放在地下室,并尝试将AP安装在家中的中心位置。
接入点有六根天线(每个频带三根)。
此图显示2.4 GHz天线辐射模式(取自左下角天线)。
此图显示了5 GHz天线辐射模式(取自右中天线):
确认初始接线正确。这确认Cisco Aironet 600系列OEAP上的WAN端口已连接到路由器,并且可以成功接收IP地址。如果AP似乎没有加入控制器,请将PC连接到端口1-3(主客户端端口),并查看是否可以使用默认IP地址10.0.0.1浏览到AP。默认用户名和密码为admin。
验证是否设置了公司控制器的IP地址。如果没有,请输入IP地址并重新启动Cisco Aironet 600系列OEAP,以便它可以尝试建立与控制器的链接。
注:公司端口#4(黄色)不能用于浏览设备以进行配置。除非配置了远程LAN,否则这本质上是一个“死端口”。然后,它将通过隧道返回到公司(用于有线企业连接)
查看事件日志以了解关联的进展情况(稍后将对此进行详细介绍)。
此图显示Cisco Aironet 600系列OEAP接线图:
此图显示Cisco Aironet 600系列OEAP连接端口:
如果Cisco Aironet 600系列OEAP无法加入控制器,建议您检查以下项目:
-
验证路由器是否正常工作并连接到Cisco Aironet 600系列OEAP的WAN端口。
-
将电脑连接到Cisco Aironet 600系列OEAP上的端口1-3之一。它应该看到互联网。
-
验证公司控制器的IP地址是否在AP中。
-
确认控制器在DMZ上并且可以通过互联网访问。
-
验证加入并确认Cisco徽标LED为蓝色或紫色。
-
留出足够的时间,以防AP需要加载新图像并重新启动。
-
如果正在使用防火墙,请验证UDP 5246和5247端口是否未被阻止。
此图显示Cisco Aironet 600系列OEAP徽标LED状态:
如果连接过程失败,LED会循环显示颜色,或者可能会闪烁橙色。如果发生这种情况,请查看事件日志以了解更多详细信息。为了访问事件日志,浏览到AP(使用个人SSID或有线端口1-3)并捕获此数据以供IT管理员查看。
此图显示Cisco Aironet 600系列OEAP事件日志:
如果连接过程失败,并且这是Cisco Aironet 600系列OEAP首次尝试连接到控制器,请检查Cisco Aironet 600 Series OEAP的AP连接统计信息。为此,您需要AP的基本无线MAC。这可以在事件日志中找到。下面是一个带有注释的事件日志示例,可以帮助您解释这一点:
一旦知道这一点,您可以查看控制器监控器统计信息,以确定Cisco Aironet 600系列OEAP是否已加入控制器或曾经加入控制器。此外,这应该提供故障发生的原因或是否发生的指示。
如果需要AP身份验证,请验证Cisco Aironet 600系列OEAP以太网MAC地址(不是无线电MAC地址)是否已以小写形式输入Radius服务器。您也可以从事件日志中确定以太网MAC地址。
搜索Cisco Aironet 600系列OEAP的控制器
如果您确定可以从连接到本地以太网端口的PC访问Internet,但AP仍然无法加入控制器,并且您已确认控制器IP地址已在本地AP GUI中配置并且可以访问,那么请确认AP是否已成功加入。可能AP不在AAA服务器中。或者,如果DTLS握手失败,AP可能在控制器上有错误的证书或日期/时间错误。
如果没有Cisco Aironet 600系列OEAP设备可以加入控制器,请验证控制器是否位于DMZ上,并且UDP端口5246和5247是否打开。
AP正确加入控制器,但无线客户端无法与公司SSID关联。检查事件日志以查看关联消息是否到达AP。
下图显示了客户与WPA或WPA2公司SSID关联的正常事件。对于具有开放身份验证或静态WEP的SSID,只有一个添加移动设备事件。
事件日志–客户端关联
如果日志中没有(Re)Assoc-Req事件,请验证客户端是否具有正确的安全设置。
如果(Re)Assoc Req事件显示在日志中,但客户端无法正确关联,请启用调试客户端<MAC地址>命令,并以与使用其他Cisco非OEAP访问点的客户端相同的方式调查问题。
以下带有注释的事件日志可以帮助您排除其他Cisco Aironet 600系列OEAP连接问题。
以下是从Cisco Aironet 600系列OEAP事件日志文件中收集的一些示例,其中包含有帮助解释事件日志的注释:
本节中的事件日志示例可能发生在Internet连接失败或速度非常慢或断断续续时。这可能是由ISP网络、ISP调制解调器或家庭路由器引起的。有时来自ISP的连接中断或变得不可靠。发生这种情况时,CAPWAP链接(返回公司的通道)可能会失败或出现困难。
以下是事件日志中此类故障的示例:
当在酒店或其他付费场所使用Cisco Aironet 600系列OEAP时,在Cisco Aironet 600 Series OEAP可以通过隧道返回控制器之前,您需要穿过有围墙的花园。为此,请将笔记本电脑插入其中一个有线本地端口(端口1-3),或使用个人SSID登录酒店并满足闪屏要求。
一旦您从AP的主站端建立了互联网连接,该设备就会建立DTLS隧道和您的企业SSID。然后,有线端口#4(假设配置了远程LAN)激活。
注:这可能需要几分钟的时间,请观察Cisco徽标LED是否为蓝色或紫色,以指示成功加入。此时,个人和企业连接都处于活动状态。
注:当酒店或其他ISP断开连接时(通常为24小时),隧道破裂。然后,你必须重新开始同样的过程。这是故意的,是正常的。
此图显示Office Extend的付费配置:
此图显示其他调试命令(无线接口信息):
当您将配置文件从控制器上载到TFTP/FTP服务器时,远程LAN配置将作为WLAN配置上载。请参阅适用于7.0.116.0版的Cisco无线LAN控制器和轻型接入点的发行说明了解更多信息。
在OEAP-600上,如果CAPWAP连接因控制器上的身份验证失败而失败,则在OEAP6000尝试重新启动CAPWAP尝试之前,OEAP6000上的Cisco徽标LED可能会熄灭一段时间。这是正常现象,因此您应该注意,如果徽标LED瞬时熄灭,AP不会熄灭。
此OEAP-600产品的登录名与以前的OEAP接入点不同,为了与Linksys等家用产品保持一致,默认用户名为管理员密码为管理员其他Cisco OEAP接入点(如AP-1130和AP-1140)的默认用户名为思科密码为思科.
OEAP-600的第一个版本支持802.1x,但仅在CLI上受支持。尝试更改GUI的用户可能会丢失其配置。
当你在酒店或其他付费场所使用OEAP-600时,在OEAP-600-可以通过隧道返回控制器之前,你需要穿过有围墙的花园。只需将笔记本电脑插入其中一个有线本地端口(端口1-3),或使用个人SSID登录酒店并满足启动屏幕的要求。一旦您从AP的主站端建立了互联网连接,该设备就会建立DTLS隧道,并且您的公司SSID和有线端口#4(假定已配置远程LAN)将变为活动端口。请注意,这可能需要几分钟的时间,请观察Cisco徽标LED是否为蓝色或紫色,以指示成功加入。此时,个人和企业连接都处于活动状态。
注:当酒店或其他ISP断开连接时(通常为24小时),隧道可能会破裂,您必须重新启动相同的过程。这是故意的,是正常的。
办公室在付费使用场所扩展
以下是Cisco 7.2版本中引入的一些附加增强功能:
在GUI中添加802.1x安全性
802.1x现已添加到GUI
有关远程LAN端口身份验证的说明。
能够从控制器禁用AP上的本地WLAN访问–禁用个人SSID,仅允许公司配置
禁用本地WLAN访问
信道分配可选选项包括:
射频通道和功率分配现在为本地或WLC控制
支持双RLAN端口功能(仅限CLI)
本说明适用于使用双RLAN端口功能的OEAP-600系列AP,该功能允许OEAP-600Ethernet端口3作为远程LAN运行。仅允许通过CLI进行配置,以下是一个示例:
配置网络eoap-600双端口enable|disable
如果未配置此功能,单端口4遥控器将继续工作。每个端口都为每个端口使用唯一的远程映射。远程映射不同,这取决于使用的是默认组还是AP组。
默认组
如果使用默认组,则具有偶数远程LAN ID的单个远程LAN将映射到端口4。例如,带有remote-lan-id 2的remote-lan映射到端口4(在OEAP-600上)。带有奇数远程控制器ID的远程控制器映射到端口3(在OEAP-600上)。
以这两个远程局域网为例:
(Cisco Controller)>显示远程摘要远程局域网的数量。。。。。。。。。。。。。。。。。。。。。。。。。。。。2RLAN ID RLAN配置文件名称状态接口名称------- ------------------------------------- -------- --------------------2 rlan2启用的管理3 rlan3启用管理
rlan2有一个偶数的远程ID 2,因此映射到端口4。rlan3具有奇怪的远程局域网ID 3,因此映射到端口3。
AP组
如果使用AP组,到OEAP-600端口的映射由AP-group顺序决定。要使用AP组的话,必须首先从AP-group中删除所有远程局域网和WLAN,并将其留空。然后将这两个遥控灯添加到AP组。首先添加端口3 AP remote-LAN,然后添加端口4远程组,最后添加任意WLAN。
列表中第一个位置的遥控器映射到端口3,列表中的第二个映射到端口4,如下例所示:
RLAN ID RLAN配置文件名称状态接口名称------- ------------------------------------- -------- --------------------2 rlan2启用的管理3 rlan3启用管理