Содержание
- 1 Схема сети
- 2 Настройка точки доступа
- 3 Пошаговые инструкции
- 4 Настройка адаптера беспроводного клиента
- 5 Пошаговые инструкции
- 6 Проверка
- 7 Устранение неполадок
- 8 Схема сети
- 9 Настройка точки доступа
- 10 Пошаговые инструкции
- 11 Настройка адаптера беспроводного клиента
- 12 Пошаговые инструкции
- 13 Проверка
- 14 Устранение неполадок
Заказать, Задать вопрос
В данной статье рассматривается пример настройки базового беспроводного соединения LAN (WLAN) посредством точки беспроводного доступа Cisco Aironet (Cisco Aironet Access Point) и компьютеров, оснащенных клиентскими адаптерами, совместимыми с оборудованием Cisco. В приводимом примере используется графический интерфейс пользователя.
Перед выполнением настройки убедитесь, что выполняются следующие условия:
- Знание основ технологии беспроводного (радио-) доступа
- Знакомство с базовыми принципами доступа к точке доступа Cisco
В настоящем документе предполагается, что на ПК уже установлены все необходимые драйверы и клиентские беспроводные карты.
Сведения, содержащиеся в данном документе, получены в результате использования следующих версий программного и аппаратного обеспечения:
- Одна точка доступа Aironet 1200 Series, использующая ПО Cisco IOS® Software версии 12.3(7)JA
- Три клиентских адаптера точки Aironet 802.11a/b/g, использующие микропрограмму версии 2.5
- Утилита Aironet Desktop Utility (ADU) версии 2.5
Примечание: В настоящем докменте описывается точка доступа, оснащенная внутренней (встроенной) антенной. Если вы используете точку доступа, имеющую внешнюю антенну, тогда убедитесь, что эта антенна подключена к точке доступа. В противном случае точка доступа не сможет подключиться к беспроводной сети. Некоторые модели точек доступа оснащены встроенными антеннами, в то время как другие модели требуют наличия внешней антенны. Для получения сведений об точках доступа, оснащенных внешними или внутренними антеннами, обратитесь к справочному руководству, которое прилагается к соответствующему устройству.
Информация, представленная в этом документе, была получена при использовании устройств в специальных лабораторных условиях. При написании данного документа использовались только устройства с «чистой» (стандартной) конфигурацией. При работе в условиях реальной сети оператор должен понимать последствия использования любой команды или изменений, внесенных в графическом интерфейсе пользователя.
Схема сети
В данном документе используется следующая схема сети:
На схеме сети изображены три клиентских адаптера Aironet 802.11a/b/g, подключенных к точке доступа 1200 AP. В документе описывается настройка клиентских адаптеров, которая позволяет адаптерам взаимодействовать друг с другом посредством беспроводного интерфейса.
Точка доступа использует следующие настройки:
- Идентификатор набора служб (Service Set Identifier – SSID): CISCO123
- Базовая аутентификация: Открытая аутентификация с шифрованием WEP (Wired Equivalent Privacy )
В настоящем документе описывается процедура настройки точки доступа и клиентских адаптеров.
Настройка точки доступа
Точку доступа можно настроить при помощи одного из следующих средств:
- Графический интерфейс пользователя
- Интерфейс командной строки (после установления сеанса Telnet)
- Консольный порт
Примечание: чтобы подключиться к точке доступа через консольный порт, последовательный порт RS-232 точки доступа необходимо соединить с COM-портом ПК посредством 9-штырькового прямого последовательного кабеля DB-9. Для установления соединения с точкой доступа необходимо настроить эмулятор терминала. Для настройки соединения через эмулятор терминала необходимо использовать следующие настройки:
- 9600 baud (9600 бод)
- 8 data bits (8 бит данных)
- No parity (Четность не проверяется)
- 1 stop bit (1 стоповый бит)
- No flow control (Управление потоком отключено)
Примечание: приведенные выше настройки являются настройками по умолчанию. Если после настройки терминала с использованием приведенных выше установок вы не можете подключиться к устройству, то это может означать, что устройство не использует настройки по умолчанию. Попробуйте изменить настройки, начав со скорости передачи данных.
В данном документе описывается процедура настройки при помощи графического интерфейса пользователя.
Существует два способа подключения к точке доступа при помощи GUI:
- Перед подключением посредством GUI назначить устройству IP-адрес.
- Получить IP-адрес воспользовавшись протоколом динамического конфигурирования хоста (DHCP).
Различные модели точек доступа Aironet по-разному работают с IP-адресами. При подключении к LAN таких точек доступа, как Aironet 350, 1130AG, 1200 и 1240AG, имеющих настройки по умолчанию, точка доступа запрашивает IP-адрес на DHCP-сервере. Если точка доступа не получит IP-адрес, то она будет постоянно отправлять запросы на сервер.
При подключении к LAN точки доступа Aironet 1100, имеющей настройки по умолчанию, эта точка доступа предпринимает несколько попыток получить IP-адрес от DHCP-сервера. Если точка доступа не получит IP-адрес, тогда будет назначен IP-адрес 10.0.0.1, который будет действовать в течение 5 минут. В течение 5-минутного периода можно найти IP-адрес, используемый по умолчанию, и настроить статический адрес. Если точка доступа не будет настроена в течение 5 минут, тогда точка доступа отвергает адрес 10.0.0.1 и запрашивает адрес на DHCP-сервере. Если точка доступа не получит IP-адрес, то она будет постоянно отправлять запросы на сервер. Если вы не успеете за 5 минут определить адрес по умолчанию, тогда точку доступа можно выключить и снова повторить всю процедуру.
В этом документе для сети используется точка доступа Aironet 1200. При выполнении входа на точку доступа через консоль на точке доступа будет настроен адрес 10.0.0.1.
Пошаговые инструкции
После настройки IP-адреса к точке доступа можно подключиться через браузер, чтобы настроить ее на прием клиентских запросов на ассоциирование, поступающих от клиентского адаптера.
Выполните следующие действия:
1. Чтобы посредством GUI получить доступ к точке доступа и чтобы вывести окно Summary Status, необходимо выполнить следующие действия:
- Откройте веб-браузер и в адресной строке введите 10.0.0.1.
- Чтобы пропустить поле Username и перейти к полю Password нажмите клавишу Tab. Появится окно «Enter Network Password».
- Введите пароль Cisco с учетом регистра и затем нажмите Enter. В окне «Summary Status» будет отображена следующая информация:
2. В меню слева щелкните опцию Express Setup.
Появится окно «Express Setup». Воспользуйтесь данным окном, чтобы настроить часть базовых параметров, которые необходимы для установления беспроводного подключения. Используйте окно «Express Setup» при работе с точкой доступа AP 1200 для того, чтобы настроить получение ассоциаций от беспроводных клиентов. Ниже представлен пример настройки:
3. В окне «Express Setup» в соответствующих полях укажите необходимые значения.
К настраиваемым параметрам относятся следующие:
- Имя точки доступа
- Настройка IP-адреса точки доступа (при использовании статического IP-адреса)
- Шлюз по умолчанию
- Строка сообщества протокола Simple Network Management Protocol (SNMP)
- Роль, выполняемая в беспроводной сети
- SSID
В нашем примере настраиваются следующие параметры:
- IP address: 10.0.0.1
- Host name: AP1200
- SSID: CISCO123 Примечание: индентификаторы SSID являются уникальными идентификаторами сети WLAN. Беспроводные устройства используют идентификаторы SSID для установления и поддержания беспроводных соединений. Идентификаторы SSID различают регистр ввода и могут содержать до 32 буквенно-цифровых символов. Не используйте пробелы или специальные символы в SSID.
Примечание: все другие параметры сохраняют значения, заданные по умолчанию.
4. Чтобы сохранить изменения, нажмите Apply. 5. Для настройки параметров радиосвязи, необходимо выполнить следующие действия:
В В В В В В В В В В Чтобы перейти к странице «Network Interfaces Summary», в меню слева щелкните Network Interfaces.
- Чтобы перейти к странице «Settings» для настройки радио-интерфейса, щелкните вкладку Settings.
- Чтобы включить радио-интерфейс, выберите Enable.
- Все остальные настройки, имеющиеся на данной странице, сохраняют значения, заданные по умолчанию.
- Чтобы сохранить внесенные изменения, в нижней части страницы нажмите Apply.
6. Для настройки идентификатора SSID и открытой аутентификации с шифрованием WEP выполните следующие действия:
В В В В В В В В В В В меню слева последовательно выберите Security > SSID Manager.
Появится страница «SSID Manager».
- В разделе «Authentication Settings» («Параметры аутентификации») выберите Open Authentication (Открытая аутентификация).
- Для всех остальных параметров сохраняются значения, заданные по умолчанию.
- Внизу страницы нажмите Apply.
7. Чтобы настроить ключи WEP, выполните следующие действия:
В В В В В В В В В Выберите последовательно Security > Encryption Manager.
- В разделе «Encryption Modes» («Режимы шифрования») щелкните WEP Encryption (шифрование WEP) и в раскрывающемся списке выберите Mandatory («Обазательное»).
- В области «Encryption Keys» («Ключи шифрования») введите ключ для WEP-шифрования.
Ключи шифрования WEP могут иметь 40- или 128-битную длину. В нашем примере используется 128-битный ключ WEP-шифрования – 1234567890abcdef1234567890.
В В В В В c. Чтобы сохранить изменения, нажмите Apply.
Настройка адаптера беспроводного клиента
Прежде чем приступить к настройке адаптера беспроводного клинета, на ПК или портативном компьютере необходимо установить собственно адаптер и его программные компоненты.
Пошаговые инструкции
По завершении установки клиентского адаптера можно приступить к его настройке. В этом разделе описывается процедура настройки клиентского адаптера.
Выполните следующие действия:
1. В Aironet Desktop Utility (ADU) создайте профиль клиентского адаптера.
В профиле задаются параметры, которые будут использоваться клиентским адаптером для подключения к беспроводной сети. АDU позволяет настроить до 16 различных профилей. В зависимости от имеющихся требований можно включать тот или иной профиль. Профили позволяют использовать клиентский адаптер в различных местах, для чего требуются различные настройки. Например, можно настроить профили для использования клиентского адаптера в офисе, дома и в общественных местах (аэропорты и зоны WI-FI).
Чтобы создать новый профиль, выполните следующие действия:
- В ADU щелкните вкладку Profile Management («Управление профилями»).
- Щелкните New.
Ниже приведен пример:
2. Когда появится окно «Profile Management (General)», то для того, чтобы задать имя профиля (Profile Name), имя клиента (Client Name) и идентификатор SSID, выполните следующие действия:
- В поле «Profile Name» введите имя профиля. В данном примере в качестве имени профиля используется используется имя OFFICE.
- В поле «Client Name» введите имя клиента. Имя клиента используется для идентификации беспроводного клиента в сети WLAN. В данном случае для первого клиента используется имя Client 1.
- В области «Network Names» укажите идентификатор SSID, который будет использоваться в этом профиле.
Здесь указывается тот же идентификатор SSID, что был настроен для точки доступа. В данном примере используется идентификатор SSID CISCO123.
3. Для настройки параметров безопасности необходимо выполнить следующие действия:
- В верхней части окна щелкните вкладку Security («Безопасность»).
- В области «Set Security Options» щелкните Pre-Shared Key (Static WEP).
Ниже приведен пример:
c. Нажмите Configure.
В В В Появится окно «Define Pre-Shared Keys» («Предварительные совместно используемые ключи»).
d. В области «Key Entry» («Числовое представление ключа») выберите тип числового представления.
В В В В данном примере используется шестнадцатиричное представление ключа (0-9, A-F).
e. В области «Encryption Keys» введите ключ WEP, который будет использоваться для шифрования пакетов с данными.
В В В В данном примере используется ключ WEP – 1234567890abcdef1234567890. См. пример в пункте d.
В В В Примечание: используйте тот же самый ключ WEP, который был настроен для точки доступа.
4. Чтобы сохранить ключ WEP, нажмите OK. 5. Для установки открытого метода аутентификации выполните следующие действия:
- В верхней части окна «Profile Management» щелкните вкладку Advanced.
- Убедитесь, что в области «802.11 Authentication Mode» выбрана опция Open.
Примечание: обычно открытая аутентификация выбрана по умолчанию.
- Для всех остальных параметров сохраняются значения, заданные по умолчанию.
- Нажмите OK.
6.Чтобы сделать активным данный профиль, нажмите Activate.
Примечание: для создания нового профиля можно воспользоваться теми же самыми Пошаговыми инструкциями. Для создания профиля можно использовать и другой метод, в котором клиентский адаптер выполняет сканирование радио-окружения и определяет имеющиеся сети, а затем по результатам сканирования создается профиль. Для настройки двух других клиентских адаптеров можно использовать ту же самую процедуру настройки. Для других адаптеров можно использовать тот же самый индентификатор SSID. В этом случае различаться будут только имена клиентов и IP-адреса, которые статически назначаются каждому из адаптеров.
Примечание: в нашем примере предполагается, что IP-адрес клиентского адаптера настраивается вручную и что этот адрес находится в той же подсети, что и точка доступа.
Проверка
Воспользуйтесь данным разделом, чтобы проверить правильность функционирования вашей конфигурации.
После того как были произведены настройки и активирован профиль, клиентский адаптер подключается к точке доступа. Чтобы проверить статус клиентского соединения, в верхней части окна ADU щелкните вкладку Current Status («Текущий статус»).
В данном примере показано, что клиент успешно подключился к точке доступа. Так же можно видеть, что для связи с точкой доступа клиент использует канал 1 и шифрование WEP. При этом в поле «Server Based Authentication» («Серверная аутентификация») указано «None», поскольку используется открытая аутентификация:
Для проверки подключения к точке доступа можно использовать другой метод. На домашней странице точки доступа в меню, расположенном слева, нажмите Association. Ниже приведен пример:
Устранение неполадок
Если используется аутентификация 802.1x и если в сети присутствуют коммутатор Cisco Catalyst 2950 или 3750 Switch, то тогда клиент 802.1X может не выполнить аутентификацию. В этом случае будет выводиться следующее сообщение об ошибке:
Jul 21 14:14:52.782 EDT: %RADIUS-3-ALLDEADSERVER: Group rad_eap: No active radius servers found. Id 254
Такая ошибка возникает на коммутаторах Catalyst 2950 и 3750 в том случае, если значения, указанные в поле RADIUS State(24), меняются между «Access Challenge» и «Access Request». Это связано с ошибкой Cisco с идентификатором CSCef50742. Данная неполадка устранена в Cisco IOS версии 12.3(4)JA При использовании версии 12.3(4)JA клиенты успешно выполняют аутентификацию 802.1X через коммутаторы Cisco Catalyst 2950 и 3750 (т.е. сбой, возникающий из-за изменения значений в поле «State (24)», был устранен).
Есть вопросы? Обращайтесь в «Аквилон-А», чтобы узнать подробности и получить именно то, что вам требуется.
В данной статье рассматривается пример настройки базового беспроводного соединения LAN (WLAN) посредством точки беспроводного доступа Cisco Aironet (Cisco Aironet Access Point) и компьютеров, оснащенных клиентскими адаптерами, совместимыми с оборудованием Cisco. В приводимом примере используется графический интерфейс пользователя. Перед выполнением настройки убедитесь, что выполняются следующие условия:
- Знание основ технологии беспроводного (радио-) доступа
- Знакомство с базовыми принципами доступа к точке доступа Cisco
В настоящем документе предполагается, что на ПК уже установлены все необходимые драйверы и клиентские беспроводные карты. Сведения, содержащиеся в данном документе, получены в результате использования следующих версий программного и аппаратного обеспечения:
- Одна точка доступа Aironet 1200 Series, использующая ПО Cisco IOS® Software версии 12.3(7)JA
- Три клиентских адаптера точки Aironet 802.11a/b/g, использующие микропрограмму версии 2.5
- Утилита Aironet Desktop Utility (ADU) версии 2.5
Примечание: В настоящем докменте описывается точка доступа, оснащенная внутренней (встроенной) антенной. Если вы используете точку доступа, имеющую внешнюю антенну, тогда убедитесь, что эта антенна подключена к точке доступа. В противном случае точка доступа не сможет подключиться к беспроводной сети. Некоторые модели точек доступа оснащены встроенными антеннами, в то время как другие модели требуют наличия внешней антенны. Для получения сведений об точках доступа, оснащенных внешними или внутренними антеннами, обратитесь к справочному руководству, которое прилагается к соответствующему устройству. Информация, представленная в этом документе, была получена при использовании устройств в специальных лабораторных условиях. При написании данного документа использовались только устройства с «чистой» (стандартной) конфигурацией. При работе в условиях реальной сети оператор должен понимать последствия использования любой команды или изменений, внесенных в графическом интерфейсе пользователя.
Схема сети
В данном документе используется следующая схема сети: На схеме сети изображены три клиентских адаптера Aironet 802.11a/b/g, подключенных к точке доступа 1200 AP. В документе описывается настройка клиентских адаптеров, которая позволяет адаптерам взаимодействовать друг с другом посредством беспроводного интерфейса. Точка доступа использует следующие настройки:
- Идентификатор набора служб (Service Set Identifier – SSID): CISCO123
- Базовая аутентификация: Открытая аутентификация с шифрованием WEP (Wired Equivalent Privacy )
В настоящем документе описывается процедура настройки точки доступа и клиентских адаптеров.
Настройка точки доступа
Точку доступа можно настроить при помощи одного из следующих средств:
- Графический интерфейс пользователя
- Интерфейс командной строки (после установления сеанса Telnet)
- Консольный портПримечание: чтобы подключиться к точке доступа через консольный порт, последовательный порт RS-232 точки доступа необходимо соединить с COM-портом ПК посредством 9-штырькового прямого последовательного кабеля DB-9. Для установления соединения с точкой доступа необходимо настроить эмулятор терминала. Для настройки соединения через эмулятор терминала необходимо использовать следующие настройки:
- 9600 baud (9600 бод)
- 8 data bits (8 бит данных)
- No parity (Четность не проверяется)
- 1 stop bit (1 стоповый бит)
- No flow control (Управление потоком отключено)
Примечание: приведенные выше настройки являются настройками по умолчанию. Если после настройки терминала с использованием приведенных выше установок вы не можете подключиться к устройству, то это может означать, что устройство не использует настройки по умолчанию. Попробуйте изменить настройки, начав со скорости передачи данных.
В данном документе описывается процедура настройки при помощи графического интерфейса пользователя. Существует два способа подключения к точке доступа при помощи GUI:
- Перед подключением посредством GUI назначить устройству IP-адрес.
- Получить IP-адрес воспользовавшись протоколом динамического конфигурирования хоста (DHCP).
Различные модели точек доступа Aironet по-разному работают с IP-адресами. При подключении к LAN таких точек доступа, как Aironet 350, 1130AG, 1200 и 1240AG, имеющих настройки по умолчанию, точка доступа запрашивает IP-адрес на DHCP-сервере. Если точка доступа не получит IP-адрес, то она будет постоянно отправлять запросы на сервер. При подключении к LAN точки доступа Aironet 1100, имеющей настройки по умолчанию, эта точка доступа предпринимает несколько попыток получить IP-адрес от DHCP-сервера. Если точка доступа не получит IP-адрес, тогда будет назначен IP-адрес 10.0.0.1, который будет действовать в течение 5 минут. В течение 5-минутного периода можно найти IP-адрес, используемый по умолчанию, и настроить статический адрес. Если точка доступа не будет настроена в течение 5 минут, тогда точка доступа отвергает адрес 10.0.0.1 и запрашивает адрес на DHCP-сервере. Если точка доступа не получит IP-адрес, то она будет постоянно отправлять запросы на сервер. Если вы не успеете за 5 минут определить адрес по умолчанию, тогда точку доступа можно выключить и снова повторить всю процедуру. В этом документе для сети используется точка доступа Aironet 1200. При выполнении входа на точку доступа через консоль на точке доступа будет настроен адрес 10.0.0.1.
Пошаговые инструкции
После настройки IP-адреса к точке доступа можно подключиться через браузер, чтобы настроить ее на прием клиентских запросов на ассоциирование, поступающих от клиентского адаптера. Выполните следующие действия: 1. Чтобы посредством GUI получить доступ к точке доступа и чтобы вывести окно Summary Status, необходимо выполнить следующие действия:
- Откройте веб-браузер и в адресной строке введите 10.0.0.1.
- Чтобы пропустить поле Username и перейти к полю Password нажмите клавишу Tab.Появится окно «Enter Network Password».
- Введите пароль Cisco с учетом регистра и затем нажмите Enter.В окне «Summary Status» будет отображена следующая информация:
2. В меню слева щелкните опцию Express Setup. Появится окно «Express Setup». Воспользуйтесь данным окном, чтобы настроить часть базовых параметров, которые необходимы для установления беспроводного подключения. Используйте окно «Express Setup» при работе с точкой доступа AP 1200 для того, чтобы настроить получение ассоциаций от беспроводных клиентов. Ниже представлен пример настройки: 3. В окне «Express Setup» в соответствующих полях укажите необходимые значения. К настраиваемым параметрам относятся следующие:
- Имя точки доступа
- Настройка IP-адреса точки доступа (при использовании статического IP-адреса)
- Шлюз по умолчанию
- Строка сообщества протокола Simple Network Management Protocol (SNMP)
- Роль, выполняемая в беспроводной сети
- SSID
В нашем примере настраиваются следующие параметры:
- IP address: 10.0.0.1
- Host name: AP1200
- SSID: CISCO123Примечание: индентификаторы SSID являются уникальными идентификаторами сети WLAN. Беспроводные устройства используют идентификаторы SSID для установления и поддержания беспроводных соединений. Идентификаторы SSID различают регистр ввода и могут содержать до 32 буквенно-цифровых символов. Не используйте пробелы или специальные символы в SSID.
Примечание: все другие параметры сохраняют значения, заданные по умолчанию. 4. Чтобы сохранить изменения, нажмите Apply.5. Для настройки параметров радиосвязи, необходимо выполнить следующие действия: Чтобы перейти к странице «Network Interfaces Summary», в меню слева щелкните Network Interfaces.
- Чтобы перейти к странице «Settings» для настройки радио-интерфейса, щелкните вкладкуSettings.
- Чтобы включить радио-интерфейс, выберите Enable.
- Все остальные настройки, имеющиеся на данной странице, сохраняют значения, заданные по умолчанию.
- Чтобы сохранить внесенные изменения, в нижней части страницы нажмите Apply.
6. Для настройки идентификатора SSID и открытой аутентификации с шифрованием WEP выполните следующие действия: В меню слева последовательно выберите Security > SSID Manager. Появится страница «SSID Manager».
- В разделе «Authentication Settings» («Параметры аутентификации») выберите Open Authentication (Открытая аутентификация).
- Для всех остальных параметров сохраняются значения, заданные по умолчанию.
- Внизу страницы нажмите Apply.
7. Чтобы настроить ключи WEP, выполните следующие действия: Выберите последовательно Security > Encryption Manager.
- В разделе «Encryption Modes» («Режимы шифрования») щелкните WEP Encryption(шифрование WEP) и в раскрывающемся списке выберите Mandatory («Обазательное»).
- В области «Encryption Keys» («Ключи шифрования») введите ключ для WEP-шифрования.Ключи шифрования WEP могут иметь 40- или 128-битную длину. В нашем примере используется 128-битный ключ WEP-шифрования – 1234567890abcdef1234567890.
c. Чтобы сохранить изменения, нажмите Apply.
Настройка адаптера беспроводного клиента
Прежде чем приступить к настройке адаптера беспроводного клинета, на ПК или портативном компьютере необходимо установить собственно адаптер и его программные компоненты.
Пошаговые инструкции
По завершении установки клиентского адаптера можно приступить к его настройке. В этом разделе описывается процедура настройки клиентского адаптера. Выполните следующие действия: 1. В Aironet Desktop Utility (ADU) создайте профиль клиентского адаптера. В профиле задаются параметры, которые будут использоваться клиентским адаптером для подключения к беспроводной сети. АDU позволяет настроить до 16 различных профилей. В зависимости от имеющихся требований можно включать тот или иной профиль. Профили позволяют использовать клиентский адаптер в различных местах, для чего требуются различные настройки. Например, можно настроить профили для использования клиентского адаптера в офисе, дома и в общественных местах (аэропорты и зоны WI-FI). Чтобы создать новый профиль, выполните следующие действия:
- В ADU щелкните вкладку Profile Management («Управление профилями»).
- Щелкните New.
Ниже приведен пример: 2. Когда появится окно «Profile Management (General)», то для того, чтобы задать имя профиля (Profile Name), имя клиента (Client Name) и идентификатор SSID, выполните следующие действия:
- В поле «Profile Name» введите имя профиля.В данном примере в качестве имени профиля используется используется имя OFFICE.
- В поле «Client Name» введите имя клиента.Имя клиента используется для идентификации беспроводного клиента в сети WLAN. В данном случае для первого клиента используется имя Client 1.
- В области «Network Names» укажите идентификатор SSID, который будет использоваться в этом профиле.Здесь указывается тот же идентификатор SSID, что был настроен для точки доступа. В данном примере используется идентификатор SSID CISCO123.
3. Для настройки параметров безопасности необходимо выполнить следующие действия:
- В верхней части окна щелкните вкладку Security («Безопасность»).
- В области «Set Security Options» щелкните Pre-Shared Key (Static WEP).Ниже приведен пример:
c. Нажмите Configure. Появится окно «Define Pre-Shared Keys» («Предварительные совместно используемые ключи»). d. В области «Key Entry» («Числовое представление ключа») выберите тип числового представления. В данном примере используется шестнадцатиричное представление ключа (0-9, A-F). e. В области «Encryption Keys» введите ключ WEP, который будет использоваться для шифрования пакетов с данными. В данном примере используется ключ WEP – 1234567890abcdef1234567890. См. пример в пункте d. Примечание: используйте тот же самый ключ WEP, который был настроен для точки доступа. 4. Чтобы сохранить ключ WEP, нажмите OK.5. Для установки открытого метода аутентификации выполните следующие действия:
- В верхней части окна «Profile Management» щелкните вкладку Advanced.
- Убедитесь, что в области «802.11 Authentication Mode» выбрана опция Open.Примечание:обычно открытая аутентификация выбрана по умолчанию.
- Для всех остальных параметров сохраняются значения, заданные по умолчанию.
- Нажмите OK.
6. Чтобы сделать активным данный профиль, нажмите Activate.Примечание: для создания нового профиля можно воспользоваться теми же самыми Пошаговыми инструкциями. Для создания профиля можно использовать и другой метод, в котором клиентский адаптер выполняет сканирование радио-окружения и определяет имеющиеся сети, а затем по результатам сканирования создается профиль. Для настройки двух других клиентских адаптеров можно использовать ту же самую процедуру настройки. Для других адаптеров можно использовать тот же самый индентификатор SSID. В этом случае различаться будут только имена клиентов и IP-адреса, которые статически назначаются каждому из адаптеров.Примечание: в нашем примере предполагается, что IP-адрес клиентского адаптера настраивается вручную и что этот адрес находится в той же подсети, что и точка доступа.
Проверка
Воспользуйтесь данным разделом, чтобы проверить правильность функционирования вашей конфигурации. После того как были произведены настройки и активирован профиль, клиентский адаптер подключается к точке доступа. Чтобы проверить статус клиентского соединения, в верхней части окна ADU щелкните вкладку Current Status («Текущий статус»). В данном примере показано, что клиент успешно подключился к точке доступа. Так же можно видеть, что для связи с точкой доступа клиент использует канал 1 и шифрование WEP. При этом в поле «Server Based Authentication» («Серверная аутентификация») указано «None», поскольку используется открытая аутентификация: Для проверки подключения к точке доступа можно использовать другой метод. На домашней странице точки доступа в меню, расположенном слева, нажмите Association. Ниже приведен пример:
Устранение неполадок
Если используется аутентификация 802.1x и если в сети присутствуют коммутатор Cisco Catalyst 2950 или 3750 Switch, то тогда клиент 802.1X может не выполнить аутентификацию. В этом случае будет выводиться следующее сообщение об ошибке: Jul 21 14:14:52.782 EDT: %RADIUS-3-ALLDEADSERVER: Group rad_eap: No active radius servers found. Id 254 Такая ошибка возникает на коммутаторах Catalyst 2950 и 3750 в том случае, если значения, указанные в поле RADIUS State(24), меняются между «Access Challenge» и «Access Request». Это связано с ошибкой Cisco с идентификатором CSCef50742. Данная неполадка устранена в Cisco IOS версии 12.3(4)JA При использовании версии 12.3(4)JA клиенты успешно выполняют аутентификацию 802.1X через коммутаторы Cisco Catalyst 2950 и 3750 (т.е. сбой, возникающий из-за изменения значений в поле «State (24)», был устранен). Источник: blogsvazista.ru/nastroiki-soedunuya-cisco-aironet/Сетевые технологииБеспроводные технологииПользуясь моими руководствами по первоначальной настройке и подключению точек доступа к Wi-Fi контроллеру Cisco WLC, у вас построена необходимая инфраструктура беспроводной сети. Теперь требуется настроить сами сети (WLAN, SSID), для предоставления услуг связи вашим пользователям. Об этом — завершающая статья вводного курса молодого бойца. Это не перевод и не копипаст доки, а краткая выжимка описаний всех требуемых фич, проверенных на собственной шкуре. Хоть ваш контроллер и управляется через командную строку (консоль, ssh), почти все операции по настройке лучше (быстрее и удобнее) производить через веб-интерфейс. Контроллер доступен через HTTP (по умолчанию; лучше переключите на HTTPS) с логином-паролем, заданными при установке. В данной статье мы рассмотрим только настройку самих беспроводных сетей. Остальные параметры (радио, безопасность, управление) и так выставлены в более-менее приемлемые значения. Подробно всё расписано в официальной документации, но кто же её читает. Цель данной статьи — максимально доходчиво рассказать о возможных параметрах настройки индивидуальной беспроводной сети. Каждая ваша беспроводная сеть идентифицируется уникальным именем, или SSID. Каждая сеть может иметь свой, независимый набор параметров авторизации, шифрования, QoS, дополнительных свойств. Каждая точка доступа может обслуживать (анонсировать) до 16 беспроводных сетей. Контроллер (в зависимости от модели) может обслуживать до 512 сетей и до сотен точек доступа. Все настройки производятся в меню WLANs (верхняя картинка). Для создания новой сети необходимо выбрать пункт меню «Create new», и задать базовые параметры:Тип сети: WLAN (беспроводная). Контроллер может также работать как Captive Portal для проводной сети (Guest LAN)Имя профиля: произвольное слово, обычно соответствует имени сети, применяется при использовании «взрослых» систем управления WCS/NCS.Имя сети (SSID): то, как ваша сеть будет «видна» клиентским компьютерамИдентификатор (порядковый номер): по умолчанию ваши точки доступа будут анонсировать сети с номерами <=16 Создав новую сеть, вы попадаете в окно с закладками, в котором и указываются все параметры её работы:Enable включает/выключает обслуживание сети точками доступаSecurity policy оповещает вас о текущем наборе политик безопасности сети, которые настраиваются далееRadio policy позволяет выбрать, в каком диапазоне частот (2.4, 5 ГГц) и скоростей (до 11, до 54 мбит/с) будет работать сеть. Возможны комбинации вариантов. Высокие скорости (802.11n) — тема отдельной статьи. Естественно, ваши точки должны поддерживать выбранные диапазоны.Interface определяет, на какой проводной сетевой (саб-)интерфейс (VLAN) контроллера по умолчанию будут терминироваться подключения беспроводных клиентов. Вы можете создать несколько так называемых «динамических интерфейсов», каждый со своим VLAN ID, и распределять ваших пользователей по ним в зависимости от того, к какой сети они подключились (что наиболее часто используется для предоставления гостевого доступа)Multicast VLAN определяет, куда в случае нескольких групп интерфейсов будет идти мультикаст трафик (тема отдельной статьи) Последний параметр Broadcast SSID определяет, будет ли имя сети отражаться в beacon (анонсах) пакетов, периодически рассылаемых точкой доступа. Иначе это называется «открытая/закрытая сеть» Следующая закладка, Security, обычно вызывает больше всего вопросов. Безопасность беспроводной сети строится из трех компонентов:
- Авторизация
- Шифрования
- Веб-политика (опционально)
Первые две политики работают на 2 уровне OSI, поэтому их логично назвали Layer 2. Авторизация отвечает за то, кого пускать в сеть, и как. Шифрование определяет сам алгоритм шифрования пакетов в радио-среде. Веб-политика позволяет заворачивать клиентскую HTTP-сессию на встроенный веб-сервер контроллера (либо внешний), и запрашивать подтверждение/логин-пароль через форму. Доступные параметры безопасности 2го уровня:
- None — авторизация и шифрование трафика не применяются («небезопасная сеть»). Используется для гостевого доступа, в хотспотах. Зачастую комбинируется с веб-политикой, при которой вы без вопросов подключаетесь к беспроводной сети, но при попытке выйти веб-браузером куда-то сессия перехватывается контроллером, и вас вынуждают ввести логин-пароль, согласиться с условиями и т.п. (см. далее).
- WPA+WPA2 — позволяет выбрать политику WPA либо WPA2 (либо обе), тип шифрования TKIP или AES (либо оба). Данные параметры просто анонсируются клиентам в beacon пакетах. Не все клиентские адаптеры (особенно старые) способны понять современные стандарт. Если все клиенты — новые, наиболее оптимальным будет использование WPA2/AES. Дополнительно предлагается указать, как будет образовываться ключ для шифрования:
- 802.1X — индивидуальный ключ для каждого клиента будет генерироваться RADIUS-сервером в момент авторизации. Наиболее безопасный вариант, также именуемый WPA(2) Enterprise
- CCKM — используется собственный механизм Cisco генерации ключей, подходит только для Cisco Wi-Fi телефонов
- PSK — общий (pre-shared) ключ, пароль на сеть, именуемую в таком случае WPA(2) Personal
- 802.1x+CCKM — гибрид CCKM и RADIUS-ключа (для Cisco-телефонов)
- 802.1X — индивидуальный ключ для каждого клиента будет генерироваться RADIUS-сервером в момент авторизации. Однако это WEP-ключ, и протокол шифрования радиоканала — WEP, чем в наше время пользоваться уже нельзя.
- Static WEP — статический WEP-ключ
- Static WEP+802.1X — гибрид двух предыдущих
- CKIP — проприетарный аналог WEP для Cisco телефонов
Подводя мини-итог по L2 безопасности скажем, что в реальности необходимо делать выбор между:
- Отсутствием шифрования/авторизации (гостевой доступ)
- WPA2 (AES) PSK aka «WPA2 Personal» для доступа в сеть по общему паролю
- WPA2 (AES) + 802.1X aka «WPA2 Enterprise» для доступа в сеть через авторизацию на RADIUS-сервере (EAP: по доменному аккаунту, сертификату и т.п.)
Внимание! Высокие скорости связи/802.11n доступны только для сетей, которые используют либо Security=None, либо WPA2/AES/PSK, либо WPA2/AES/802.1X. При любом варианте настройки безопасности/авторизации вы можете включить дополнительно L3 политику, которая заключается в перехвате клиентской веб-сессии: При этом доступны следующие параметры:
- Authentication — пользователь видит окно ввода логина-пароля, которые затем проверяются на контроллере (в его локальной базе), либо на RADIUS-сервере
- Passthrough — пользователь видит окно приветствия, где у него могут опционально спросить его e-mail адрес (далее нигде не используется и не проверяется)
- Conditional Web Redirect — позволяет редиректить сессию пользователя на указанную в RADIUS-ответе страницу после авторизации. Например, на страницу пополнения баланса. После редиректа пользователь должен авторизоваться снова.
- Splash Page Web Redirect — то же самое, но с доступом в сеть сразу
- On MAC Filter failure — редирект происходит при блокировке пользователя MAC-фильтром
Дополнительно можно указать ACL (список доступа) для пользователей, не прошедших авторизацию (например, для DNS-сервера или внешнего веб-сервера с логотипом). Можно также выбрать, какую страницу (форму) показывать пользователю при авторизации (стандартную, самостоятельно измененную стандартную, либо находящуюся на внешнем веб-сервере). При использовании RADIUS-сервера необходимо сделать дополнительные настройки. Прежде всего, задать сам сервер авторизации в меню Security — RADIUS — AAA — Authentication: необходимо указать следующие параметры:IP-адрес сервера. Поддерживаются FreeRADIUS, Cisco ACS, Cisco ISE, сервер Microsoft. Shared secret (ключ радиус-сервера)Network user — сервер поддерживает авторизацию пользователей Wi-Fi сетиManagement — сервер поддерживает авторизацию администраторов самого контроллера Остальные параметры интереса не представляют. Полезно также задать тот же сервер для целей учета (Accounting). В параметрах настройки безопасности беспроводной сети в закладке AAA серверов всё, указанное по умолчанию, обеспечивает работу всех зарегистрированных на контроллере RADIUS-серверов: Вы можете также назначить отдельный сервер для данной беспроводной сети, отключить аккаунтинг, включить встроенный в контроллер мини-сервер RADIUS и т.п. Закладка QoS отвечает за параметры качества обслуживания в сети, давая приоритеты разными типам трафика и пользователям. Заморачиваться стоит, если у вас в беспроводной сети широко используется голос, видео, много гостевых пользователей при большой нагрузке, и в аналогичных экзотических случаях. Последняя закладка, Advanced, описывает различные «дополнительные параметры» вашей беспроводной сети, коих достаточно много. Расскажем обо всех.
- Allow AAA Override — позволяет передать дополнительные параметры от RADIUS-сервера в момент успешной авторизации клиента, и применить их к данному клиенту индивидуально. Такими параметрами могут быть номер VLAN, имя локального интерфейса, список доступа (ACL), URL для редиректа, QoS политика и т.п.
- Coverage Hole Detection — управляет механизмом определения и компенсации зоны недостаточного покрытия для клиентов данной беспроводной сети. Рекомендуется отключать для гостевых WLAN
- Enable Session Timeout, Session Timeout (secs) — включает и определяет тайм-аут сессии клиента при веб-авторизации
- Aironet IE — включает специфичные для Cisco расширения параметров beacon кадра. Умные клиентские адаптеры в таком случае работаю лучше (роуминг, энергосбережение), глупые могут вообще не заработать в такой сети.
- Diagnostic Channel — активирует дополнительный логический канал диагностики для CCX5-совместимых клиентских адаптеров
- IPv6 — в реальности только разрешает IPv6 трафик для веб-авторизации
- Override Interface ACL — позволяет задать альтернативный список доступа (ACL) вместо указанного на проводном VLAN (management, dynamic) интерфейсе контроллера.
- P2P Blocking Action — определяет политику пропускания трафика между беспроводными клиентами (в пределах контроллера). Допустимые значения: Disabled (пропускать), Drop (не пропускать), Forward-UpStream (отправлять на роутер, пусть он решает).
- Client Exclusion, Timeout Value (secs) — включает и задает тайм-аут исключения (временной блокировки) клиента, авторизация которого в беспроводной сети окончилась неудачно
- Maximum Allowed Clients — задает максимальное число одновременных ассоциаций с данной сетью
- Static IP Tunneling — разрешает роуминг между контроллерами клиентам со статическим IP-адресом
- Off Channel Scanning Defer, Scan Defer Priority — каждая точка иногда «соскакивает» со своего рабочего канала (частоты) и слушает другие каналы на предмет соседних сетей, чистоты спектра, «плохих» абонентов и т.п. При этом такое «соскакивание» может отрицательно сказаться на голосовом трафике, передаваемом данной точкой. Если точка «видит» пакеты со значением 802.1p поля, отмеченного галочкой (0 1 2 3 4 5 6 7), то соскок с рабочей састоты будет отложен.
- Scan Defer Time(msecs) — на сколько миллисекунд отложен
- H-REAP Local Switching — позволяет точке доступа, которая находится в режиме H-REAP (удаленный офис) при обслуживании данной беспроводной сети «замыкать» трафик абонентов локально, а не передавать в CAPWAP-туннеле на контроллер
- H-REAP Local Auth — позволяет точке доступа, которая находится в режиме H-REAP (удаленный офис) при обслуживании данной беспроводной сети проводить авторизацию локально, а не на контроллере
- Learn Client IP Address — в режиме H-REAP точка будет рапортовать IP-адрес клиента на контроллер, если тот доступен
- DHCP Server Override, DHCP Server IP Addr — использовать указанный IP-адрес DHCP-сервера вместо того, который прописан в настройках проводного интерфейса контроллера, на который «замыкается» трафик беспроводных клиентов.
- DHCP Addr. Assignment — требовать использования DHCP-сервера клиентами данной беспроводной сети (статически настроенные клиенты работать не будут)
- MFP Client Protection — включать и требовать защиту клиентских фреймов, варианты Disabled (нет), Optional (при наличии возможности) и Required (обязательно, и все ваши клиенты должны поддерживать CCX5)
- DTIM Period (in beacon intervals) — как часто передавать broadcast/multicast кадры, влияет на энергоэффективность клиентов
- NAC State — выбирает режим работы совместно с устройством NAC
- Client Load Balancing — разрешает балансировку клиентов между точками доступа согласно их загруженности
- Client Band Select — разрешает «выталкивание» клиентов в диапазон 5ГГц, который более предпочтителен в силу меньшей его загруженности
- Passive Client — разрешает работу клиентских устройств, которые «мало говорят» (вроде Wi-Fi весов)
- Media Session Snooping — позволяет «подсматривать» в телефонные SIP-сессии
- Re-anchor Roamed Voice Clients — позволяет принудительно переносить между контроллерами голосовых клиентов, которые находятся в роуминге
Итак, настроив параметры сети, нажав на кнопочку Apply и не забыв сохранить конфигурацию контроллера, пробуем подключиться. Удачи!Используемые источники:
- http://www.akvilona.ru/serv/cisco/a_lan.htm
- http://ciscoacs.blogspot.com/2014/08/cisco-aironet-lan.html
- https://m.habr.com/ru/post/148903/