====== Cisco WLAN Controller ======

S rostoucím počtem AP v síti narůstá i objem hlavoruční dřiny spojené s údržbou jejich konfigurací. Proto většina výrobců nabízí produkty pro centralizovanou správu AP, umožňující provádět konfigurační změny na jednom místě a nabízející různé pokročilé služby. Příkladem takového zařízení je //Cisco WLAN Controller (WLC)//.

===== Koncepce, přednosti a nevýhody WLC =====

Při nasazení WLC dochází k rozdělení činností mezi něj a AP v síti. Stručně řečeno funkce AP jsou omezeny na operace, které je třeba provádět v reálném čase, jako je řízení provozu v buňce, zasílání, šifrování a dešifrování dat a podobně. Naproti tomu "inteligentní" činnosti, jako například autentizace klientů, správu klíčů, či správu konfigurací AP provádí WLC. Přes WLC také procházejí veškeré datové toky mezi AP. Každé ze řízených AP je propojeno s WLC tunelem a všechny pakety směřující mimo jeho vlastní bezdrátovou buňku předává tímto tunelem WLC, které pak rozhoduje o jejich dalším zpracování.

Nasazení WLC znamená, že původní operační systém AP je nahrazen specializovanou verzí pro spolupráci s WLC. Oficiální termín pro AP s tímto systémem je //Lightweight AP//. V praxi to znamená, že jeho funkčnost je znatelně omezena, protože mnohé úkoly přebírá WLC. Vzhledem k tomu, že při použití WLC je řada informací souvisejících s bezdrátovou sítí centralizována, nabízí zajímavé služby, jako je například plynulý přechod uživatele mezi různými AP, koordinace činnosti AP a podobně.

WLC lze do sítě nasadit několik. Jednak z kapacitních důvodů (počet AP obsluhovaných jedním WLC je omezený), jednak k zajištění redundance pro případ výpadku některého z těchto řídicích prvků. Zde se budeme věnovat nejjednodušší situaci s jedním WLC.

Doplňkem WLC je program //Wireless Control System (WCS)//, který zajišťuje uživatelské rozhraní k řadě informací o bezdrátové síti, umožňuje její plánování a řízení. Jeho nasazení není nutné, ale podstatným způsobem zpříjemňuje práci s WLC.

Základní **přednosti** nasazení WLC+WCS jsou následující:
  * Konfigurace a správa AP je //mnohem// jednodušší, zejména při jejich velkém počtu.
  * Automatické řízení rádiových kanálů a vysílacího výkonu usnadňuje vyladění sítě pro pokrytí daného prostoru.
  * Přináší rozšiřující funkce pro síť samotnou (zejména plynulý přechod uživatelských stanic mezi AP) i pro její správu (např. detekce pirátských AP).

Za **zápory** lze považovat:
  * Při nasazení jediného WLC představuje toto zařízení kritický bod, jehož selhání bude mít pro bezdrátovou síť fatální důsledky.
  * Vysoké náklady, které představují velmi zhruba 50 % ceny řízených AP. Na rozdíl od konkurence Cisco Systems (zatím) nenabízí levnější omezené AP, které jsou schopny pracovat pouze v kombinaci s centrálním řízením.
  * Současná verze software nepodporuje IPv6. Pro IPv6 datagramy se zařízení chová jako bridge.
  * Datové toky mezi AP procházejí (prostřednictvím tunelů) WLC, zpravidla tedy nejsou optimální.

Z našeho pohledu, kdy se počet AP v síti rychle blíží padesátce, přednosti jednoznačně převažují. Pro velké bezdrátové sítě je centrální řízení de facto nutností.

===== Konfigurace AP pomocí DHCP =====

Instalace nového operačního systému a převedení AP do "odlehčeného" stavu je dobře pospáno v dokumentaci WLC. Nenarazili jsme při něm na žádné závažnější problémy, až na významné prodlevy, ke kterým někdy docházelo při instalaci systému do AP se staticky konfigurovanou IP adresou. Vzhledem k tomu, že dáváme přednost konfiguraci síťových parametrů AP prostřednictvím DHCP, nepovažujeme tento problém za zásadní.

Pokud je WLC umístěn v jiné podsíti než AP, je třeba jeho adresu oznámit prostřednictvím DHCP volby číslo 43 (vendor option). Konkrétní způsob závisí na typu dotyčného AP. Pro nejběžnější Cisco Aironet řady 1100 a 1200 je třeba předat adresu WLC v podvolbě 241. Podrobné informace najdete v [[http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09186a00808714fe.shtml|popisu volby 43]] od firmy Cisco Systems. Konfigurace pro //ISC DHCP server verze 3// (který je v tomto textu označen jako "Linux DHCP server") bohužel není popsána příliš dobře.

V našem případě jsme v globální části souboru /etc/dhcpd.conf definovali novou oblast voleb nazvanou //cisco-wlc//, která používá volbu 43 a připraví si podvolbu 241 následovně:

<code>
option space cisco-wlc;
option cisco-wlc.lwapp-controllers code 241 = array of ip-address;
option cisco-wlc-encap code 43 = encapsulate cisco-wlc;
</xterm>

Rozhraní pro správu AP se nacházejí v podsíti 147.230.33.0/24. V definici příslušné podsítě nastavíme společné parametry, jako je implicitní cesta nebo adresa DNS serveru. Následují konfigurace síťových rozhraní jednotlivých AP, jejich IP adres a adresy WLC, která je v našem případě 147.230.44.1:

<xterm>
subnet 147.230.33.0 netmask 255.255.255.0 {
    option subnet-mask 255.255.255.0;
    option broadcast-address 147.230.33.255;
    option routers 147.230.33.250;
    option domain-name-servers 147.230.19.14, 147.230.16.1;
    option domain-name "tul.cz";
    default-lease-time 43200;

    host wlcap01.tul.cz.wlc {
        hardware ethernet 00:1A:A1:E0:C0:21;
        fixed-address 147.230.33.1;
        option cisco-wlc.lwapp-controllers 147.230.44.1;
    }

    host wlcap02.tul.cz.wlc { ... }
    ...
}

</code>

===== Konfigurace sítě pro eduroam =====

Konfigurace jednotlivých bezdrátových sítí a jejich parametrů se pak provádí centrálně prostřednictvím WLC, konkrétně prostřednictvím profilů. Zde popíšeme jednoduchou konfiguraci se dvěma profily - //eduroam// s autentizací 802.1X a zabezpečením přenosu šiframi TKIP či AES a //liane// s jednoduchou webovou autentizací a nešifrovanými datovými přenosy (bývalý eduroam-simple).

{{:cs:spravce:ap:wlc-profily.png?500}}

Paradoxně je profil pro //eduroam// konfiguračně jednodušší. Stačí na jeho kartě //Security/Layer 2// nastavit odpovídající parametry zabezpečení:

{{:cs:spravce:ap:wlc-eduroam-cfg.png?500}}

a na kartě //Security/AAA Servers// zadat adresu lokálního RADIUS serveru napojeného na infrastrukturu eduroam.

{{:cs:spravce:ap:wlc-aaa.png?500}}

Stanice připojené do bezdrátové sítě //eduroam// dostávají adresy z regulérního adresního prostoru univerzity. Přiděluje je společný univerzitní DHCP server, stejně jako počítačům v pevné síti. DHCP je tedy, stejně jako směrování, řešeno mimo WLC.

===== Konfigurace sítě s webovou autentizací =====

Pro uživatele, kteří se nemohou nebo nedovedou připojit k síti autentizované protokolem 802.1X nabízíme bezdrátovou síť //liane// s webovou autentizací. Používá neveřejné adresy a nabízí jen omezený sortiment služeb. Její připojení k univerzitní síti (a společně s ním i NAT a blokování nepovolených síťových služeb) realizujeme na samostatném zařízení, mimo WLC. Samotné WLC zajišťuje vlastní webovou autentizaci a DHCP server pro neveřejné adresy.

Nastavení webové autentizace pro síť //liane// je velmi snadné, stačí na kartě //Security/Layer 3// zapnout //Web Policy// a přepínač pod ní nastavit na //Authentication//.

{{:cs:spravce:ap:wlc-liane.png?500}}

Kromě toho musí karta //AAA Servers// obsahovat adresy lokálních RADIUS serverů, u nichž jsou ověřovány identity uživatelů. Autentizační stránka poskytovaná WLC pak vypadá následovně:

{{:cs:spravce:ap:wlc-webauth.png?500}}

Pokud by síť //liane// používala veřejné IP adresy, mohla by tímto její konfigurace skončit. My jsme však zvolili adresy neveřejné a jejich poskytování ze strany WLC. V takovém případě je v konfiguraci sítě //liane// na pravé straně karty //Advanced// zapnout DHCP server:

{{:cs:spravce:ap:wlc-liane-dhcpconfg.png?500}}

Jeho parametry se pak nastavují ve zcela jiné části konfiguračního rozhraní. Je třeba z hlavní nabídky vybrat //Controller//, vlevo pak //Internal DHCP server// a následně příslušnou síť. Následně lze nastavit obyklé parametry, jako je rozsah přidělovaných adres a další prvky síťové konfigurace (implicitní směrování, DNS servery) předávané připojeným stanicím.

{{:cs:spravce:ap:wlc-dhcp-liane.png?500}}