Cisco Wireless Controller 5508 - Настройка беспроводного доступа

   Пример настройки контроллера WLC5508 и точек беспроводного доступа. Собираемая схема:

   Задача: контроллер и точки доступа находятся в управляющем VLAN, DHCP-сервер для клиентов, подключающихся к беспроводной сети - в другом VLAN. Сами клиенты, подключившись к сети, попадают в свой отдельный VLAN. Клиенты должны подключиться к беспроводной сети, получить необходимые настройки со стороннего DHCP-Server'а и иметь возможность выхода в Internet.

Параметры сетей:

VLAN 2 - WireLess_Users - 192.168.0.0/24

VLAN 10 - Servers&Storages - 172.16.0.0/24

VLAN 20 - Management - 10.10.0.0/24

DHCP-Server - 172.16.0.20/24
Сеть между ядром и маршрутизатором: 192.168.100.0/30

   На промежуточных устройствах будем настраивать только то, что необходимо для решения задачи. Основной упор на рассмотрение настроек контроллера.

   Настройка коммутатора ядра:

   Создаем требуемые VLAN:

Core_SW(config)#vlan 2
Core_SW(config-vlan)#name WireLess_Users
Core_SW(config-vlan)#vlan 10
Core_SW(config-vlan)#name Servers&Storages
Core_SW(config-vlan)#vlan 20
Core_SW(config-vlan)#name Management
Core_SW(config-vlan)#exit

 Настроим необходимые SVI:


Core_SW(config)#interface vlan 2
Core_SW(config-if)#ip address 192.168.0.253 255.255.255.0
Core_SW(config-if)#exit
Core_SW(config)#interface vlan 10
Core_SW(config-if)#ip address 172.16.0.253 255.255.255.0
Core_SW(config-if)#exit
Core_SW(config)#interface vlan 20
Core_SW(config-if)#ip address 10.10.0.253 255.255.255.0
Core_SW(config-if)#ip helper-address 172.16.0.20 // Добавляем адрес DHCP-Сервера,  т.к. мы должны будем перенаправлять запросы DHCP от точек доступа на внешний DHCP. Решено не использовать отдельный DHCP-Server для точек доступа непосредственно на контроллере. Пусть все DHCP-сервера находятся на одном устройстве (для простоты управления и администрирования). Подробнее о DHCP и о его настройках на Cisco и не только можно почитать здесь.
Core_SW(config-if)#exit

   Настраиваем принадлежность портов соответствующим VLAN. Особое внимание обратим на интерфейс Gi1/0/1, подключенный к контроллеру. Предполагается, что управляющий трафик будет инкапсулироваться в теги управляющего VLAN 20, а трафик пользователей будет идти с тегом VLAN 2:

Core_SW(config)#interface gigabitEthernet 1/0/1
Core_SW(config-if)#switchport trunk encapsulation dot1q
Core_SW(config-if)#switchport mode trunk
Core_SW(config-if)#switchport trunk allow vlan 2,20
Core_SW(config-if)#switchport trunk native vlan 20
Core_SW(config-if)#description WLC
Core_SW(config-if)#inter g1/0/2
Core_SW(config-if)#switchport mode access
Core_SW(config-if)#switchport access vlan 20
Core_SW(config-if)#spanning-tree portfast
Core_SW(config-if)#description LAP
Core_SW(config-if)#interf g1/0/48
Core_SW(config-if)#switchport mode access
Core_SW(config-if)#switchport access vlan 10
Core_SW(config-if)#spanning-tree portfast
Core_SW(config-if)#description DHCPServer

   Для связи с маршрутизатором создадим интерфейс L3 и назначим ему IP-адрес:
 
Core_SW(config)#int gi1/0/47
Core_SW(config-if)#description To_Outside
Core_SW(config-if)#no switchport
Core_SW(config-if)#ip address 192.168.100.2 255.255.255.252 
Core_SW(config-if)#exit

   Маршрутизацию между VLAN будем осуществлять на коммутаторе. Выход во внешнюю сеть - маршрутизатор:

Core_SW(config)#ip routing  // включаем возможность маршрутизации на нашем L3-коммутаторе
Core_SW(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.1

   DHCP-Server выполнен на коммутаторе L3 Cisco 3750X. Команды для настройки "сервера" представлены ниже:

    Настраиваем интерфейс (L3 интерфейс с фиксированным адресом - IP DHCP-Сервера):

DHCPServer(config)#interface gigabitEthernet 2/0/24
DHCPServer(config-if)#no switchport
DHCPServer(config-if)#ip address 172.16.0.20 255.255.255.0

   Сразу же проверяем связь с основным шлюзом:

DHCPServer#ping 172.16.0.253
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.0.253, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/9 ms

   Настраиваем DHCP-пул для мобильных пользователей:

DHCPServer(config)#ip dhcp pool WLess_Users
DHCPServer(dhcp-config)#network 192.168.0.0 255.255.255.0
DHCPServer(dhcp-config)#default-router 192.168.0.253
DHCPServer(dhcp-config)#dns-server 8.8.8.8
DHCPServer(dhcp-config)#exit
DHCPServer(config)#ip dhcp excluded-address 192.168.0.253

   Создадим пул для точек доступа. А на самом контроллере, как было сказано выше, мы отключим DHCP-сервер:

DHCPServer(config)#ip dhcp pool AP
DHCPServer(dhcp-config)#network 10.10.0.0 255.255.255.0
DHCPServer(dhcp-config)#default-router 10.10.0.10   // указали адрес контроллера
DHCPServer(dhcp-config)#exit
DHCPServer(config)#ip dhcp excluded-address 10.10.0.10
DHCPServer(config)#ip dhcp excluded-address 10.10.0.11 10.10.0.254

   Далее настроим последнее промежуточное устройство, которое участвует в нашем тесте - маршрутизатор. Здесь необходимо настроить только NAT, больше никаких функций на это устройство возлагать не будем:

 hostname GW
!
interface GigabitEthernet0/0
 ip address 192.168.100.1 255.255.255.252
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 ip address х.х.х.х 255.255.255.0   //внешний адрес
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
!
ip nat inside source list NAT interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 х.х.х.у   //внешний next-hop адрес
ip route 10.10.0.0 255.255.255.0 192.168.100.2
ip route 172.16.0.0 255.255.255.0 192.168.100.2
ip route 192.168.0.0 255.255.255.0 192.168.100.2
!
ip access-list standard NAT
 permit 192.168.0.0 0.0.0.255   // разрешаем транслировать только адреса мобильных пользователей. Естественно, можно легко расширить это правило
!
end

   Приступаем к настройке контроллера WLC5508. Пропускаем настройку при первоначальной инициализации, т.к. там все достаточно просто. Приступаем к решению нашей задачи.
   Настраивать контроллер буду из графического интерфейса. Будет время, опишу эту же настройку с помощью командной строки. Хотя GUI контроллера не вызывает у меня неприязни, т.к. при работе с ним не было замечено таких неприятных глюков, как непринятие настроек и параметров. Все проходит очень гладко и без сбоев. 
   Что будем настраивать? Сделаем один SSID, сеть будет открытая, пользователи должны будут попадать в VLAN 2, как и обговаривалось выше, и получать настройки с DHCP-Server'а, расположенного в сети 172.16.0.0. Настройка будет простая, никаких дополнительных параметров не будет, т.к. это можно будет сделать позднее, когда основа заработает.
   Заходим на контроллер, подключившись к сервисному порту. Далее, после ввода логина и пароля, попадаем на страницу настройки, где переходим во вкладку CONTROLLER.

    

   В меню слева выбираем пункт General. Смотрим, что у нас имеется. Часть настроек мы сделали во время первого запуска (имя и доменное имя мобильной группы). Остальное рассматривать не будем, т.к. это не требуется для решения нашей задачи.
   В меню слева проходим в пункт Interfaces:

    В этом меню мы можем настроить интерфейсы нашего контроллера под требуемые цели. Мы будем использовать один физический порт (Port 1), по которому будет проходить как контрольный трафик (трафик management),  так и трафик мобильных пользователей. Разделение будет существовать на уровне VLAN'ов. Итак, на рисунке выше уже созданы два интерфейса: management и user. Посмотрим на настройки первого интерфейса, нажав на его название ПКМ:

    Данный интерфейс не тегируется. Адрес назначен из Management-сети. Установлена галочка Enable dynamic AP Management, что говорит о том, что данный интерфейс будет служить для управления точками доступа. Все эти настройки привязываются к первому физическому порту.

   Интерфейс User отличается от предыдущего тем, что трафик данного интерфейса тегируется пользовательским VLAN 2, и управляющий трафик по нему передаваться не будет. Именно этот интерфейс будет использоваться при настройке WLAN.
   В меню слева переходим в раздел Advanced/DHCP.

    Проверяем, установлена ли галочка DHCP Proxy, позволяющая включить на контроллере функцию DHCP-агента. По умолчанию, DHCP Proxy включен.
    Переходим к настройке WLAN. Для этого идем во вкладку WLAN's:

   Создаем необходимые WLAN. В нашем примере мы сделали всего одну беспроводную сеть. Для проверки её настроек необходимо нажать на номер в колонке WLAN ID:

   В общих настройках указываем, какой интерфейс будет ассоциирован с данным WLAN. В нашем случае это интерфейс под названием User. Настройки безопасности располагаются в соседней вкладке. В данный момент мы сделали сеть открытой.
   Переходим в пункт Advanced/AP groups для того, чтобы указать, какие именно точки доступа будут работать с той или иной WLAN. Стоит отметить, что настраивать эту часть необходимо тогда, когда точки доступа уже прошли процедуру ассоциации с контроллером.

   В моем примере группа уже создана. Можно посмотреть на её настройки:
   Имя группы и описание:

    Ассоциация с WLAN:

    Инструмент добавления/удаления точек доступа. Одна точка доступа уже была добавлена в группу. При ассоциации других точек они появятся в правом меню и их можно будет добавить, выделив галочками и нажав Add:

 

    На этом настройка может быть завершена. Остальное - подстройка дополнительных параметров, которые настраиваются в зависимости от потребности и необходимости.
   Проверку и мониторинг работы можно выполнить в первой кладке MONITOR:

    Интерфейс интуитивно понятный и не нуждается в пояснении. Посмотреть статус точек доступа, готовых/не готовых к работе, можно в меню слева: Statistics/AP Join:

   Попробуем подключиться к нашей сети. Со стороны клиентов проблем не возникло. Это видно и на самом контроллере:

   Далее можно приступить к настройке безопасности в беспроводной сети, к более тонкой настройке диапазонов работы, мощностей приемников/передатчиков, и т.д.

Литература:
1. Cisco 2500 Series Wireless Controller Deployment Guide
2. Cisco Wireless LAN Controller Configuration Guide, Release 7.2