Пример выполнения базовых настроек для беспроводного соединения LAN на Cisco Aironet.

Итак, свершилось. Тебе на стол принесли свежекупленный контроллер wi-fi производства Cisco, и ещё десяток новых точек доступа. Что это, зачем мне, как оно работает? Как мне установить этот контроллер в сеть, и наконец-то «раздать фай-фай правильно»? Об этом и пойдет речь сегодня. Зачем нужен контроллер? Не сильно вдаваясь в подробности, точки доступа и контроллер совместно предоставляют доступ беспроводным клиентам к остальной (проводной) части сети. Половину задач, связанных с доступом к радио-среде, генерацией beacon фреймов, шифрованием, выполняет сама точка доступа. Другую половину, в основном ассоциацию и авторизацию, обслуживает контроллер. Это называется Split-MAC архитектурой. К контроллеру через локальную коммутируемую сеть подключены точки доступа (конечно, производства Cisco, хоть и протокол взаимодействия CAPWAP открыт). Их может быть до сотен на контроллер, в зависимости от его производительности. Несколько контроллеров можно объединить в группы, при этом обеспечивается скоординированная работа контроллеров, и самих точек, согласно общим настройкам. Преимущества такого подхода очевидны: централизованное управление, гибкость настроек, отказоустойчивость, балансировка нагрузки, интеллектуальные функции вроде бесшовного роуминга, управления частотным ресурсом, мощностью, качеством обслуживания, авторизацией. На точках доступа, подключенных к контроллеру, т.н. «легковесных» (lightweighted) работает практически такой же образ IOS (AIR-LAP-xxx), что и на обычных (standalone, AIR-AP-xxx). Разница в отсутствии режима «conf t», так как точки настраиваются контроллером централизованно. Прошивки между standalone lightweighted можно вручную менять «туда и обратно». При старте точка доступ производит поиск лучшего из доступных контроллеров по достаточно сложной схеме, авторизуется, скачивает прошивку (если требуется), настройки, и начинает обслуживать клиентов. Между точкой и контроллером организован канал управления (UDP порт 5246), и канал данных (UDP порт 5247). Пользовательские данные инкапсулируются в UDP пакеты независимо от номера клиентского WLAN/VLAN, что позволяет размещать точки доступа где угодно в сети (на access портах коммутаторов), и централизовано управлять безопасностью на уровне VLAN на стороне контроллера. Для случая «удаленного офиса», где нет контроллера, предусмотрен режим с локальным свитчингом трафика клиентов. Контроллер архитектурно представляет собой специализированный компьютер (разная аппаратная архитектура и разрядность, в зависимости от модели) с достаточно старой версией MontaVista Linux внутри. К ядру добавлено несколько модулей, иногда драйвера для железа, занимающегося аппаратным ускорением шифрования или пересылки пакетов. Все действия, связанные с жизнедеятельностью контроллера, исполняет большой монолитный процесс, оформленный как user-приложение. Подключив контроллер к питанию, COM-порту (9600/8/N/1) и локальной сети, требуется произвести первоначальную настройку. Это просто, если понимаешь, что и зачем спрашивают. Ниже приведена процедура первоначальной настройки контроллера NME-AIR-WLC (модуль для маршрутизатора ISR), в моем случае успешно виртуализированного и затем запущенного в виртуальной машине:Cryptographic library self-test....passed! XML config selected Validating XML configuration Cisco is a trademark of Cisco Systems, Inc. Software Copyright Cisco Systems, Inc. All rights reserved. Cisco AireOS Version 7.0.220.0 Initializing OS Services: ok Initializing Serial Services: ok Initializing Network Services: ok Starting ARP Services: ok Starting Trap Manager: ok Starting Network Interface Management Services: ok Starting System Services: ok Starting Fastpath Hardware Acceleration: ok Starting Switching Services: ok Starting QoS Services: ok Starting Policy Manager: ok Starting Data Transport Link Layer: ok Starting Access Control List Services: ok Starting System Interfaces: ok Starting Client Troubleshooting Service: ok Starting Management Frame Protection: ok Starting Certificate Database: ok Starting VPN Services: ok Starting LWAPP: ok Starting CAPWAP: ok Starting LOCP: ok Starting Security Services: ok Starting Policy Manager: ok Starting Authentication Engine: ok Starting Mobility Management: ok Starting Virtual AP Services: ok Starting AireWave Director: ok Starting Network Time Services: ok Starting Cisco Discovery Protocol: ok Starting Broadcast Services: ok Starting Logging Services: ok Starting DHCP Server: ok Starting IDS Signature Manager: ok Starting RFID Tag Tracking: ok Starting RBCP: ok Starting Mesh Services: ok Starting TSM: ok Starting CIDS Services: ok Starting Ethernet-over-IP: ok Starting DTLS server: enabled in CAPWAP Starting CleanAir: ok Starting WIPS: ok Starting SSHPM LSC PROV LIST: ok Starting RRC Services: ok Starting FMC HS: ok Starting Management Services: Web Server: ok CLI: ok Secure Web: Web Authentication Certificate not found (error). If you cannot access management interface via HTTPS please reconfig Secure Web: Web Authentication Certificate not found (error). If you cannot access management interface via HTTPS please reconfigure Virtual Interface. (Cisco Controller) Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backup Приостанавливаем действие фичи autoinstall. Она позволяет контроллеру автоматически загрузить по TFTP заранее приготовленный конфиг-файл. Таким образом, можно развернуть в сети очень много контроллеров, не прибегая к ручной настройке каждого. Полезно, если у вас работает система управления WCS.Would you like to terminate autoinstall? [yes]: yes AUTO-INSTALL: process terminated -- no configuration loaded Устанавливаем имя контроллеру (предлагаемое генерится из МАС-адреса), логин и пароль администратора:System Name [Cisco_bb:bb:40] (31 characters max): wlc4.ххх.ххх.net Enter Administrative User Name (24 characters max): anton Enter Administrative Password (3 to 24 characters): ********* Re-enter Administrative Password : ********* Настраиваем адресацию интерфейса управления. Это логический интерфейс, через который контроллер «общается» с внешним миром (кроме точек доступа). Обычная практика такова, что все физические интерфесы контроллера объединяют в EtherChannel группу (вы можете сделать это позднее), и в таком общем канале настраиваете сколько требуется логических интерфейсов, каждый в своем VLANе. В данном примере между коммутатором и контроллером создан trunk-порт, а обслуживание ведется через VLAN 310. Для access-порта, или если у вас применяется native VLAN, укажите номер 0. Адрес DHCP-сервера нужен для пересылки тому клиентских DHCP-запросов, если таковое будет настроено. Контроллер будет DHCP-релеем (хотя также может исполнять роль DHCP-сервера).Management Interface IP Address: xx.xx.145.10 Management Interface Netmask: 255.255.255.128 Management Interface Default Router: xx.xx.145.1 Management Interface VLAN Identifier (0 = untagged): 310 Management Interface Port Num [1]: Management Interface DHCP Server IP Address: xx.xx.145.9 Все контроллеры, кроме модели 5508, используют отдельный логический интерфейс ap-manager для общения с точками доступа. Необходимо настроить его адрес, обычно из той же сети:AP Manager Interface IP Address: xx.xx.145.14 AP-Manager is on Management subnet, using same values AP Manager Interface DHCP Server (xx.xx.145.9): Последнй логический интерфейс — виртуальный. Он используется для передачи DHCP-запросов клиентам, веб-авторизации, роуминга. На него прописывают адрес, не использующийся нигде в сети и не маршрутизируемый, обычно это 1.1.1.1. Внимание: он должен быть одинаков для нескольких контроллеров, между которыми предполагается роуминг клиентов.Virtual Gateway IP Address: 1.1.1.1 Для целей роуминга клиентов контроллеры объединяются в группы мобильности (mobility group), имя которой и предлагается задать. Также предлагается задать имя группы контроллеров, совокупно обеспечивающих управление радиорескрсом (частотный план и мощность, rf group). Хотя это могут быть разные группы по набору устройств и имени, здесь указывается общее имя (его можно изменить позднее):Mobility/RF Group Name: WLAB Визард предлагает создать одну беспроводную сеть (WLAN). Я обычно указываю здесь что-нибудь, все равно затем я эту сеть удаляю, и создаю правильную из веб-интерфейса.Network Name (SSID): test Режим бриджинга DHCP-пакетов экзотичен и на практике вряд ли применяется.Configure DHCP Bridging Mode [yes][NO]: Вы можете разрешить работу беспроводных клиентов, у которых IP-адрес прописан статически. Реально эта опция включает кэширование ARP на контроллере, что полезно.Allow Static IP Addresses [YES][no]: Для целей авторизации клиентов (а также доступа к контроллеру, и некоторых специфичных других) может быть использован внешний RADIUS-сервер, который удобнее настраивать позже через веб-интерфейс.Configure a RADIUS Server now? [YES][no]: no Warning! The default WLAN security policy requires a RADIUS server. Please see documentation for more details. Каждая точка доступа, и контроллер, имеют допустимые коды страны, в которой они работают. В действительности country code определяет разрешенный набор частот (каналов) и предельных мощностей, что влияет на работу алгоритмов автоматического выбора частоты и т.д. Крайне рекомендуется, чтобы во всей вашей сети список кодов стран был настроен единообразно.Enter Country Code list (enter 'help' for a list of countries) [US]: RU Контроллер предлагает включить сети 2.4 и 5 ГГц (11b/g/n и 11a/n соответственно). В действительности этот парамер передается на ассоциированные с контроллером точки доступа, на которых собственно и установлено радио. Я советую включать радио через веб-интерфейс уже после того, как все остальные параметры настроены.Enable 802.11b Network [YES][no]: no Enable 802.11a Network [YES][no]: no Запрос на включение полезных алгоритмов динамического управления частотным ресурсом и мощностями, о чем мы говорили ранее.Enable Auto-RF [YES][no]: Настройки времени (сервер времени, и статичесски заданное время/часовой пояс) важны не только для правильности меток в лог-файлах, но и для работы авторизации точек доступа по сертификатам (они используют CAPWAP, основанный на DTLS, основанный на сертификатах с известными проверками сроков валидности).Configure a NTP server now? [YES][no]: no Configure the system time now? [YES][no]: no Warning! No AP will come up unless the time is set. Please see documentation for more details. Наконец, если вы готовы, контроллер сохраняет конфигурацию, и перезапускается:Configuration correct? If yes, system will save it and reset. [yes][NO]: yes Configuration saved! Resetting system with new configuration... Всё, теперь устройство можно настраивать через веб-интерфейс управления, доступный через пару минут по адресу: httрs://xx.xx.145.10. Чтобы избежать ненужных вопросов о валидности сайта, контроллеру можно впоследствии выписать сертификат для работы SSL. Контроллеры можно настраивать и через командную строку (консоль, telnet, ssh). От синтаксиса приверженцы IOS CLI будут плеваться, а фанаты JunOS окажутся в шоке. Командная строка, однако, очень полезна для дебагов, без которых вы в беспроводных системах Cisco просто шагу не ступите. Теперь самое время прочитать исчерпывающее руководство по настройке контроллера, и ринуться в бой. При наличии рук и напильника достаточных средств можно подумать о внедрении крайне удобного централизованного средства управления беспроводной сетью NCS/WCS, скриншот которого приведен ниже: Следующий шаг — установка и подключение точек доступа. P.S. Автор никак не связан с компанией Cisco Systems, ничего не продает и не покупает.Заказать, Задать вопрос

В данной статье рассматривается пример настройки базового беспроводного соединения LAN (WLAN) посредством точки беспроводного доступа Cisco Aironet (Cisco Aironet Access Point) и компьютеров, оснащенных клиентскими адаптерами, совместимыми с оборудованием Cisco. В приводимом примере используется графический интерфейс пользователя.

Перед выполнением настройки убедитесь, что выполняются следующие условия:

• Знание основ технологии беспроводного (радио-) доступа
• Знакомство с базовыми принципами доступа к точке доступа Cisco

В настоящем документе предполагается, что на ПК уже установлены все необходимые драйверы и клиентские беспроводные карты.

Сведения, содержащиеся в данном документе, получены в результате использования следующих версий программного и аппаратного обеспечения:

• Одна точка доступа Aironet 1200 Series, использующая ПО Cisco IOS® Software версии 12.3(7)JA
• Три клиентских адаптера точки Aironet 802.11a/b/g, использующие микропрограмму версии 2.5
• Утилита Aironet Desktop Utility (ADU) версии 2.5

Примечание: В настоящем докменте описывается точка доступа, оснащенная внутренней (встроенной) антенной. Если вы используете точку доступа, имеющую внешнюю антенну, тогда убедитесь, что эта антенна подключена к точке доступа. В противном случае точка доступа не сможет подключиться к беспроводной сети. Некоторые модели точек доступа оснащены встроенными антеннами, в то время как другие модели требуют наличия внешней антенны. Для получения сведений об точках доступа, оснащенных внешними или внутренними антеннами, обратитесь к справочному руководству, которое прилагается к соответствующему устройству.

Информация, представленная в этом документе, была получена при использовании устройств в специальных лабораторных условиях. При написании данного документа использовались только устройства с «чистой» (стандартной) конфигурацией. При работе в условиях реальной сети оператор должен понимать последствия использования любой команды или изменений, внесенных в графическом интерфейсе пользователя.

Схема сети

В данном документе используется следующая схема сети:

На схеме сети изображены три клиентских адаптера Aironet 802.11a/b/g, подключенных к точке доступа 1200 AP. В документе описывается настройка клиентских адаптеров, которая позволяет адаптерам взаимодействовать друг с другом посредством беспроводного интерфейса.

Точка доступа использует следующие настройки:

• Идентификатор набора служб (Service Set Identifier – SSID): CISCO123
• Базовая аутентификация: Открытая аутентификация с шифрованием WEP (Wired Equivalent Privacy )

В настоящем документе описывается процедура настройки точки доступа и клиентских адаптеров.

Настройка точки доступа

Точку доступа можно настроить при помощи одного из следующих средств:

• Графический интерфейс пользователя
• Интерфейс командной строки (после установления сеанса Telnet)
• Консольный порт

  Примечание: чтобы подключиться к точке доступа через консольный порт, последовательный порт RS-232 точки доступа необходимо соединить с COM-портом ПК посредством 9-штырькового прямого последовательного кабеля DB-9. Для установления соединения с точкой доступа необходимо настроить эмулятор терминала. Для настройки соединения через эмулятор терминала необходимо использовать следующие настройки:

  • 9600 baud (9600 бод)
  • 8 data bits (8 бит данных)
  • No parity (Четность не проверяется)
  • 1 stop bit (1 стоповый бит)
  • No flow control (Управление потоком отключено)

  Примечание: приведенные выше настройки являются настройками по умолчанию. Если после настройки терминала с использованием приведенных выше установок вы не можете подключиться к устройству, то это может означать, что устройство не использует настройки по умолчанию. Попробуйте изменить настройки, начав со скорости передачи данных.

В данном документе описывается процедура настройки при помощи графического интерфейса пользователя.

Существует два способа подключения к точке доступа при помощи GUI:

• Перед подключением посредством GUI назначить устройству IP-адрес.
• Получить IP-адрес воспользовавшись протоколом динамического конфигурирования хоста (DHCP).

Различные модели точек доступа Aironet по-разному работают с IP-адресами. При подключении к LAN таких точек доступа, как Aironet 350, 1130AG, 1200 и 1240AG, имеющих настройки по умолчанию, точка доступа запрашивает IP-адрес на DHCP-сервере. Если точка доступа не получит IP-адрес, то она будет постоянно отправлять запросы на сервер.

При подключении к LAN точки доступа Aironet 1100, имеющей настройки по умолчанию, эта точка доступа предпринимает несколько попыток получить IP-адрес от DHCP-сервера. Если точка доступа не получит IP-адрес, тогда будет назначен IP-адрес 10.0.0.1, который будет действовать в течение 5 минут. В течение 5-минутного периода можно найти IP-адрес, используемый по умолчанию, и настроить статический адрес. Если точка доступа не будет настроена в течение 5 минут, тогда точка доступа отвергает адрес 10.0.0.1 и запрашивает адрес на DHCP-сервере. Если точка доступа не получит IP-адрес, то она будет постоянно отправлять запросы на сервер. Если вы не успеете за 5 минут определить адрес по умолчанию, тогда точку доступа можно выключить и снова повторить всю процедуру.

В этом документе для сети используется точка доступа Aironet 1200. При выполнении входа на точку доступа через консоль на точке доступа будет настроен адрес 10.0.0.1.

Пошаговые инструкции

После настройки IP-адреса к точке доступа можно подключиться через браузер, чтобы настроить ее на прием клиентских запросов на ассоциирование, поступающих от клиентского адаптера.

Выполните следующие действия:

1. Чтобы посредством GUI получить доступ к точке доступа и чтобы вывести окно Summary Status, необходимо выполнить следующие действия:

1. Откройте веб-браузер и в адресной строке введите 10.0.0.1.
2. Чтобы пропустить поле Username и перейти к полю Password нажмите клавишу Tab. Появится окно «Enter Network Password».
3. Введите пароль Cisco с учетом регистра и затем нажмите Enter. В окне «Summary Status» будет отображена следующая информация:

2. В меню слева щелкните опцию Express Setup.

Появится окно «Express Setup». Воспользуйтесь данным окном, чтобы настроить часть базовых параметров, которые необходимы для установления беспроводного подключения. Используйте окно «Express Setup» при работе с точкой доступа AP 1200 для того, чтобы настроить получение ассоциаций от беспроводных клиентов. Ниже представлен пример настройки:

3. В окне «Express Setup» в соответствующих полях укажите необходимые значения.

К настраиваемым параметрам относятся следующие:

• Имя точки доступа
• Настройка IP-адреса точки доступа (при использовании статического IP-адреса)
• Шлюз по умолчанию
• Строка сообщества протокола Simple Network Management Protocol (SNMP)
• Роль, выполняемая в беспроводной сети
• SSID

В нашем примере настраиваются следующие параметры:

• IP address: 10.0.0.1
• Host name: AP1200
• SSID: CISCO123 Примечание: индентификаторы SSID являются уникальными идентификаторами сети WLAN. Беспроводные устройства используют идентификаторы SSID для установления и поддержания беспроводных соединений. Идентификаторы SSID различают регистр ввода и могут содержать до 32 буквенно-цифровых символов. Не используйте пробелы или специальные символы в SSID.

Примечание: все другие параметры сохраняют значения, заданные по умолчанию.

4. Чтобы сохранить изменения, нажмите Apply. 5. Для настройки параметров радиосвязи, необходимо выполнить следующие действия:

В В В В В В В В В В Чтобы перейти к странице «Network Interfaces Summary», в меню слева щелкните Network Interfaces.

1. Чтобы перейти к странице «Settings» для настройки радио-интерфейса, щелкните вкладку Settings.
2. Чтобы включить радио-интерфейс, выберите Enable.
3. Все остальные настройки, имеющиеся на данной странице, сохраняют значения, заданные по умолчанию.
4. Чтобы сохранить внесенные изменения, в нижней части страницы нажмите Apply.

6. Для настройки идентификатора SSID и открытой аутентификации с шифрованием WEP выполните следующие действия:

В В В В В В В В В В В меню слева последовательно выберите Security > SSID Manager.

Появится страница «SSID Manager».

1. В разделе «Authentication Settings» («Параметры аутентификации») выберите Open Authentication (Открытая аутентификация).
2. Для всех остальных параметров сохраняются значения, заданные по умолчанию.
3. Внизу страницы нажмите Apply.

7. Чтобы настроить ключи WEP, выполните следующие действия:

В В В В В В В В В Выберите последовательно Security > Encryption Manager.

1. В разделе «Encryption Modes» («Режимы шифрования») щелкните WEP Encryption (шифрование WEP) и в раскрывающемся списке выберите Mandatory («Обазательное»).
2. В области «Encryption Keys» («Ключи шифрования») введите ключ для WEP-шифрования.

   Ключи шифрования WEP могут иметь 40- или 128-битную длину. В нашем примере используется 128-битный ключ WEP-шифрования – 1234567890abcdef1234567890.

В В В В В c. Чтобы сохранить изменения, нажмите Apply.

Настройка адаптера беспроводного клиента

Прежде чем приступить к настройке адаптера беспроводного клинета, на ПК или портативном компьютере необходимо установить собственно адаптер и его программные компоненты.

Пошаговые инструкции

По завершении установки клиентского адаптера можно приступить к его настройке. В этом разделе описывается процедура настройки клиентского адаптера.

Выполните следующие действия:

1. В Aironet Desktop Utility (ADU) создайте профиль клиентского адаптера.

В профиле задаются параметры, которые будут использоваться клиентским адаптером для подключения к беспроводной сети. АDU позволяет настроить до 16 различных профилей. В зависимости от имеющихся требований можно включать тот или иной профиль. Профили позволяют использовать клиентский адаптер в различных местах, для чего требуются различные настройки. Например, можно настроить профили для использования клиентского адаптера в офисе, дома и в общественных местах (аэропорты и зоны WI-FI).

Чтобы создать новый профиль, выполните следующие действия:

1. В ADU щелкните вкладку Profile Management («Управление профилями»).
2. Щелкните New.

Ниже приведен пример:

2. Когда появится окно «Profile Management (General)», то для того, чтобы задать имя профиля (Profile Name), имя клиента (Client Name) и идентификатор SSID, выполните следующие действия:

1. В поле «Profile Name» введите имя профиля. В данном примере в качестве имени профиля используется используется имя OFFICE.
2. В поле «Client Name» введите имя клиента. Имя клиента используется для идентификации беспроводного клиента в сети WLAN. В данном случае для первого клиента используется имя Client 1.
3. В области «Network Names» укажите идентификатор SSID, который будет использоваться в этом профиле.

   Здесь указывается тот же идентификатор SSID, что был настроен для точки доступа. В данном примере используется идентификатор SSID CISCO123.

3. Для настройки параметров безопасности необходимо выполнить следующие действия:

1. В верхней части окна щелкните вкладку Security («Безопасность»).
2. В области «Set Security Options» щелкните Pre-Shared Key (Static WEP).

   Ниже приведен пример:

c. Нажмите Configure.

В В В Появится окно «Define Pre-Shared Keys» («Предварительные совместно используемые ключи»).

d. В области «Key Entry» («Числовое представление ключа») выберите тип числового представления.

В В В В данном примере используется шестнадцатиричное представление ключа (0-9, A-F).

e. В области «Encryption Keys» введите ключ WEP, который будет использоваться для шифрования пакетов с данными.

В В В В данном примере используется ключ WEP – 1234567890abcdef1234567890. См. пример в пункте d.

В В В Примечание: используйте тот же самый ключ WEP, который был настроен для точки доступа.

4. Чтобы сохранить ключ WEP, нажмите OK. 5. Для установки открытого метода аутентификации выполните следующие действия:

1. В верхней части окна «Profile Management» щелкните вкладку Advanced.
2. Убедитесь, что в области «802.11 Authentication Mode» выбрана опция Open.

   Примечание: обычно открытая аутентификация выбрана по умолчанию.

3. Для всех остальных параметров сохраняются значения, заданные по умолчанию.
4. Нажмите OK.

6.Чтобы сделать активным данный профиль, нажмите Activate.

Примечание: для создания нового профиля можно воспользоваться теми же самыми Пошаговыми инструкциями. Для создания профиля можно использовать и другой метод, в котором клиентский адаптер выполняет сканирование радио-окружения и определяет имеющиеся сети, а затем по результатам сканирования создается профиль. Для настройки двух других клиентских адаптеров можно использовать ту же самую процедуру настройки. Для других адаптеров можно использовать тот же самый индентификатор SSID. В этом случае различаться будут только имена клиентов и IP-адреса, которые статически назначаются каждому из адаптеров.

Примечание: в нашем примере предполагается, что IP-адрес клиентского адаптера настраивается вручную и что этот адрес находится в той же подсети, что и точка доступа.

Проверка

Воспользуйтесь данным разделом, чтобы проверить правильность функционирования вашей конфигурации.

После того как были произведены настройки и активирован профиль, клиентский адаптер подключается к точке доступа. Чтобы проверить статус клиентского соединения, в верхней части окна ADU щелкните вкладку Current Status («Текущий статус»).

В данном примере показано, что клиент успешно подключился к точке доступа. Так же можно видеть, что для связи с точкой доступа клиент использует канал 1 и шифрование WEP. При этом в поле «Server Based Authentication» («Серверная аутентификация») указано «None», поскольку используется открытая аутентификация:

Для проверки подключения к точке доступа можно использовать другой метод. На домашней странице точки доступа в меню, расположенном слева, нажмите Association. Ниже приведен пример:

Устранение неполадок

Если используется аутентификация 802.1x и если в сети присутствуют коммутатор Cisco Catalyst 2950 или 3750 Switch, то тогда клиент 802.1X может не выполнить аутентификацию. В этом случае будет выводиться следующее сообщение об ошибке:

Jul 21 14:14:52.782 EDT: %RADIUS-3-ALLDEADSERVER: Group rad_eap: No active radius servers found. Id 254

Такая ошибка возникает на коммутаторах Catalyst 2950 и 3750 в том случае, если значения, указанные в поле RADIUS State(24), меняются между «Access Challenge» и «Access Request». Это связано с ошибкой Cisco с идентификатором CSCef50742. Данная неполадка устранена в Cisco IOS версии 12.3(4)JA При использовании версии 12.3(4)JA клиенты успешно выполняют аутентификацию 802.1X через коммутаторы Cisco Catalyst 2950 и 3750 (т.е. сбой, возникающий из-за изменения значений в поле «State (24)», был устранен).

Есть вопросы? Обращайтесь в «Аквилон-А», чтобы узнать подробности и получить именно то, что вам требуется.

В данной статье рассматривается пример настройки базового беспроводного соединения LAN (WLAN) посредством точки беспроводного доступа Cisco Aironet (Cisco Aironet Access Point) и компьютеров, оснащенных клиентскими адаптерами, совместимыми с оборудованием Cisco. В приводимом примере используется графический интерфейс пользователя. Перед выполнением настройки убедитесь, что выполняются следующие условия:

• Знание основ технологии беспроводного (радио-) доступа
• Знакомство с базовыми принципами доступа к точке доступа Cisco

В настоящем документе предполагается, что на ПК уже установлены все необходимые драйверы и клиентские беспроводные карты. Сведения, содержащиеся в данном документе, получены в результате использования следующих версий программного и аппаратного обеспечения:

• Одна точка доступа Aironet 1200 Series, использующая ПО Cisco IOS® Software версии 12.3(7)JA
• Три клиентских адаптера точки Aironet 802.11a/b/g, использующие микропрограмму версии 2.5
• Утилита Aironet Desktop Utility (ADU) версии 2.5

Примечание: В настоящем докменте описывается точка доступа, оснащенная внутренней (встроенной) антенной. Если вы используете точку доступа, имеющую внешнюю антенну, тогда убедитесь, что эта антенна подключена к точке доступа. В противном случае точка доступа не сможет подключиться к беспроводной сети. Некоторые модели точек доступа оснащены встроенными антеннами, в то время как другие модели требуют наличия внешней антенны. Для получения сведений об точках доступа, оснащенных внешними или внутренними антеннами, обратитесь к справочному руководству, которое прилагается к соответствующему устройству. Информация, представленная в этом документе, была получена при использовании устройств в специальных лабораторных условиях. При написании данного документа использовались только устройства с «чистой» (стандартной) конфигурацией. При работе в условиях реальной сети оператор должен понимать последствия использования любой команды или изменений, внесенных в графическом интерфейсе пользователя.

Схема сети

В данном документе используется следующая схема сети: На схеме сети изображены три клиентских адаптера Aironet 802.11a/b/g, подключенных к точке доступа 1200 AP. В документе описывается настройка клиентских адаптеров, которая позволяет адаптерам взаимодействовать друг с другом посредством беспроводного интерфейса. Точка доступа использует следующие настройки:

• Идентификатор набора служб (Service Set Identifier – SSID): CISCO123
• Базовая аутентификация: Открытая аутентификация с шифрованием WEP (Wired Equivalent Privacy )

В настоящем документе описывается процедура настройки точки доступа и клиентских адаптеров.

Настройка точки доступа

Точку доступа можно настроить при помощи одного из следующих средств:

• Графический интерфейс пользователя
• Интерфейс командной строки (после установления сеанса Telnet)
• Консольный портПримечание: чтобы подключиться к точке доступа через консольный порт, последовательный порт RS-232 точки доступа необходимо соединить с COM-портом ПК посредством 9-штырькового прямого последовательного кабеля DB-9. Для установления соединения с точкой доступа необходимо настроить эмулятор терминала. Для настройки соединения через эмулятор терминала необходимо использовать следующие настройки:
  • 9600 baud (9600 бод)
  • 8 data bits (8 бит данных)
  • No parity (Четность не проверяется)
  • 1 stop bit (1 стоповый бит)
  • No flow control (Управление потоком отключено)

  Примечание: приведенные выше настройки являются настройками по умолчанию. Если после настройки терминала с использованием приведенных выше установок вы не можете подключиться к устройству, то это может означать, что устройство не использует настройки по умолчанию. Попробуйте изменить настройки, начав со скорости передачи данных.

В данном документе описывается процедура настройки при помощи графического интерфейса пользователя. Существует два способа подключения к точке доступа при помощи GUI:

• Перед подключением посредством GUI назначить устройству IP-адрес.
• Получить IP-адрес воспользовавшись протоколом динамического конфигурирования хоста (DHCP).

Различные модели точек доступа Aironet по-разному работают с IP-адресами. При подключении к LAN таких точек доступа, как Aironet 350, 1130AG, 1200 и 1240AG, имеющих настройки по умолчанию, точка доступа запрашивает IP-адрес на DHCP-сервере. Если точка доступа не получит IP-адрес, то она будет постоянно отправлять запросы на сервер. При подключении к LAN точки доступа Aironet 1100, имеющей настройки по умолчанию, эта точка доступа предпринимает несколько попыток получить IP-адрес от DHCP-сервера. Если точка доступа не получит IP-адрес, тогда будет назначен IP-адрес 10.0.0.1, который будет действовать в течение 5 минут. В течение 5-минутного периода можно найти IP-адрес, используемый по умолчанию, и настроить статический адрес. Если точка доступа не будет настроена в течение 5 минут, тогда точка доступа отвергает адрес 10.0.0.1 и запрашивает адрес на DHCP-сервере. Если точка доступа не получит IP-адрес, то она будет постоянно отправлять запросы на сервер. Если вы не успеете за 5 минут определить адрес по умолчанию, тогда точку доступа можно выключить и снова повторить всю процедуру. В этом документе для сети используется точка доступа Aironet 1200. При выполнении входа на точку доступа через консоль на точке доступа будет настроен адрес 10.0.0.1.

Пошаговые инструкции

После настройки IP-адреса к точке доступа можно подключиться через браузер, чтобы настроить ее на прием клиентских запросов на ассоциирование, поступающих от клиентского адаптера. Выполните следующие действия: 1. Чтобы посредством GUI получить доступ к точке доступа и чтобы вывести окно Summary Status, необходимо выполнить следующие действия:

1. Откройте веб-браузер и в адресной строке введите 10.0.0.1.
2. Чтобы пропустить поле Username и перейти к полю Password нажмите клавишу Tab.Появится окно «Enter Network Password».
3. Введите пароль Cisco с учетом регистра и затем нажмите Enter.В окне «Summary Status» будет отображена следующая информация:

2. В меню слева щелкните опцию Express Setup. Появится окно «Express Setup». Воспользуйтесь данным окном, чтобы настроить часть базовых параметров, которые необходимы для установления беспроводного подключения. Используйте окно «Express Setup» при работе с точкой доступа AP 1200 для того, чтобы настроить получение ассоциаций от беспроводных клиентов. Ниже представлен пример настройки: 3. В окне «Express Setup» в соответствующих полях укажите необходимые значения. К настраиваемым параметрам относятся следующие:

• Имя точки доступа
• Настройка IP-адреса точки доступа (при использовании статического IP-адреса)
• Шлюз по умолчанию
• Строка сообщества протокола Simple Network Management Protocol (SNMP)
• Роль, выполняемая в беспроводной сети
• SSID

В нашем примере настраиваются следующие параметры:

• IP address: 10.0.0.1
• Host name: AP1200
• SSID: CISCO123Примечание: индентификаторы SSID являются уникальными идентификаторами сети WLAN. Беспроводные устройства используют идентификаторы SSID для установления и поддержания беспроводных соединений. Идентификаторы SSID различают регистр ввода и могут содержать до 32 буквенно-цифровых символов. Не используйте пробелы или специальные символы в SSID.

Примечание: все другие параметры сохраняют значения, заданные по умолчанию. 4. Чтобы сохранить изменения, нажмите Apply.5. Для настройки параметров радиосвязи, необходимо выполнить следующие действия:           Чтобы перейти к странице «Network Interfaces Summary», в меню слева щелкните Network Interfaces.

1. Чтобы перейти к странице «Settings» для настройки радио-интерфейса, щелкните вкладкуSettings.
2. Чтобы включить радио-интерфейс, выберите Enable.
3. Все остальные настройки, имеющиеся на данной странице, сохраняют значения, заданные по умолчанию.
4. Чтобы сохранить внесенные изменения, в нижней части страницы нажмите Apply.

6. Для настройки идентификатора SSID и открытой аутентификации с шифрованием WEP выполните следующие действия:           В меню слева последовательно выберите Security > SSID Manager. Появится страница «SSID Manager».

1. В разделе «Authentication Settings» («Параметры аутентификации») выберите Open Authentication (Открытая аутентификация).
2. Для всех остальных параметров сохраняются значения, заданные по умолчанию.
3. Внизу страницы нажмите Apply.

7. Чтобы настроить ключи WEP, выполните следующие действия:          Выберите последовательно Security > Encryption Manager.

1. В разделе «Encryption Modes» («Режимы шифрования») щелкните WEP Encryption(шифрование WEP) и в раскрывающемся списке выберите Mandatory («Обазательное»).
2. В области «Encryption Keys» («Ключи шифрования») введите ключ для WEP-шифрования.Ключи шифрования WEP могут иметь 40- или 128-битную длину. В нашем примере используется 128-битный ключ WEP-шифрования – 1234567890abcdef1234567890.

     c. Чтобы сохранить изменения, нажмите Apply.

Настройка адаптера беспроводного клиента

Прежде чем приступить к настройке адаптера беспроводного клинета, на ПК или портативном компьютере необходимо установить собственно адаптер и его программные компоненты.

Пошаговые инструкции

По завершении установки клиентского адаптера можно приступить к его настройке. В этом разделе описывается процедура настройки клиентского адаптера. Выполните следующие действия: 1. В Aironet Desktop Utility (ADU) создайте профиль клиентского адаптера. В профиле задаются параметры, которые будут использоваться клиентским адаптером для подключения к беспроводной сети. АDU позволяет настроить до 16 различных профилей. В зависимости от имеющихся требований можно включать тот или иной профиль. Профили позволяют использовать клиентский адаптер в различных местах, для чего требуются различные настройки. Например, можно настроить профили для использования клиентского адаптера в офисе, дома и в общественных местах (аэропорты и зоны WI-FI). Чтобы создать новый профиль, выполните следующие действия:

1. В ADU щелкните вкладку Profile Management («Управление профилями»).
2. Щелкните New.

Ниже приведен пример: 2. Когда появится окно «Profile Management (General)», то для того, чтобы задать имя профиля (Profile Name), имя клиента (Client Name) и идентификатор SSID, выполните следующие действия:

1. В поле «Profile Name» введите имя профиля.В данном примере в качестве имени профиля используется используется имя OFFICE.
2. В поле «Client Name» введите имя клиента.Имя клиента используется для идентификации беспроводного клиента в сети WLAN. В данном случае для первого клиента используется имя Client 1.
3. В области «Network Names» укажите идентификатор SSID, который будет использоваться в этом профиле.Здесь указывается тот же идентификатор SSID, что был настроен для точки доступа. В данном примере используется идентификатор SSID CISCO123.

3. Для настройки параметров безопасности необходимо выполнить следующие действия:

1. В верхней части окна щелкните вкладку Security («Безопасность»).
2. В области «Set Security Options» щелкните Pre-Shared Key (Static WEP).Ниже приведен пример:

c. Нажмите Configure.    Появится окно «Define Pre-Shared Keys» («Предварительные совместно используемые ключи»). d. В области «Key Entry» («Числовое представление ключа») выберите тип числового представления.    В данном примере используется шестнадцатиричное представление ключа (0-9, A-F). e. В области «Encryption Keys» введите ключ WEP, который будет использоваться для шифрования пакетов с данными.    В данном примере используется ключ WEP – 1234567890abcdef1234567890. См. пример в пункте d.   Примечание: используйте тот же самый ключ WEP, который был настроен для точки доступа. 4. Чтобы сохранить ключ WEP, нажмите OK.5. Для установки открытого метода аутентификации выполните следующие действия:

1. В верхней части окна «Profile Management» щелкните вкладку Advanced.
2. Убедитесь, что в области «802.11 Authentication Mode» выбрана опция Open.Примечание:обычно открытая аутентификация выбрана по умолчанию.
3. Для всех остальных параметров сохраняются значения, заданные по умолчанию.
4. Нажмите OK.

6. Чтобы сделать активным данный профиль, нажмите Activate.Примечание: для создания нового профиля можно воспользоваться теми же самыми Пошаговыми инструкциями. Для создания профиля можно использовать и другой метод, в котором клиентский адаптер выполняет сканирование радио-окружения и определяет имеющиеся сети, а затем по результатам сканирования создается профиль. Для настройки двух других клиентских адаптеров можно использовать ту же самую процедуру настройки. Для других адаптеров можно использовать тот же самый индентификатор SSID. В этом случае различаться будут только имена клиентов и IP-адреса, которые статически назначаются каждому из адаптеров.Примечание: в нашем примере предполагается, что IP-адрес клиентского адаптера настраивается вручную и что этот адрес находится в той же подсети, что и точка доступа.

Проверка

Воспользуйтесь данным разделом, чтобы проверить правильность функционирования вашей конфигурации. После того как были произведены настройки и активирован профиль, клиентский адаптер подключается к точке доступа. Чтобы проверить статус клиентского соединения, в верхней части окна ADU щелкните вкладку Current Status («Текущий статус»). В данном примере показано, что клиент успешно подключился к точке доступа. Так же можно видеть, что для связи с точкой доступа клиент использует канал 1 и шифрование WEP. При этом в поле «Server Based Authentication» («Серверная аутентификация») указано «None», поскольку используется открытая аутентификация: Для проверки подключения к точке доступа можно использовать другой метод. На домашней странице точки доступа в меню, расположенном слева, нажмите Association. Ниже приведен пример:

Устранение неполадок

Если используется аутентификация 802.1x и если в сети присутствуют коммутатор Cisco Catalyst 2950 или 3750 Switch, то тогда клиент 802.1X может не выполнить аутентификацию. В этом случае будет выводиться следующее сообщение об ошибке: Jul 21 14:14:52.782 EDT: %RADIUS-3-ALLDEADSERVER: Group rad_eap: No active radius servers found. Id 254 Такая ошибка возникает на коммутаторах Catalyst 2950 и 3750 в том случае, если значения, указанные в поле RADIUS State(24), меняются между «Access Challenge» и «Access Request». Это связано с ошибкой Cisco с идентификатором CSCef50742. Данная неполадка устранена в Cisco IOS версии 12.3(4)JA При использовании версии 12.3(4)JA клиенты успешно выполняют аутентификацию 802.1X через коммутаторы Cisco Catalyst 2950 и 3750 (т.е. сбой, возникающий из-за изменения значений в поле «State (24)», был устранен). Источник: blogsvazista.ru/nastroiki-soedunuya-cisco-aironet/Используемые источники:

• https://habr.com/post/145082/
• http://www.akvilona.ru/serv/cisco/a_lan.htm
• http://ciscoacs.blogspot.com/2014/08/cisco-aironet-lan.html