cs:spravce:ap:ciscowlc

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

cs:spravce:ap:ciscowlc [2007/12/03 13:50] (current)
Line 1: Line 1:
 +====== Cisco WLAN Controller ======
  
 +S rostoucím počtem AP v síti narůstá i objem hlavoruční dřiny spojené s údržbou jejich konfigurací. Proto většina výrobců nabízí produkty pro centralizovanou správu AP, umožňující provádět konfigurační změny na jednom místě a nabízející různé pokročilé služby. Příkladem takového zařízení je //Cisco WLAN Controller (WLC)//.
 +
 +===== Koncepce, přednosti a nevýhody WLC =====
 +
 +Při nasazení WLC dochází k rozdělení činností mezi něj a AP v síti. Stručně řečeno funkce AP jsou omezeny na operace, které je třeba provádět v reálném čase, jako je řízení provozu v buňce, zasílání,​ šifrování a dešifrování dat a podobně. Naproti tomu "​inteligentní"​ činnosti, jako například autentizace klientů, správu klíčů, či správu konfigurací AP provádí WLC. Přes WLC také procházejí veškeré datové toky mezi AP. Každé ze řízených AP je propojeno s WLC tunelem a všechny pakety směřující mimo jeho vlastní bezdrátovou buňku předává tímto tunelem WLC, které pak rozhoduje o jejich dalším zpracování.
 +
 +Nasazení WLC znamená, že původní operační systém AP je nahrazen specializovanou verzí pro spolupráci s WLC. Oficiální termín pro AP s tímto systémem je //​Lightweight AP//. V praxi to znamená, že jeho funkčnost je znatelně omezena, protože mnohé úkoly přebírá WLC. Vzhledem k tomu, že při použití WLC je řada informací souvisejících s bezdrátovou sítí centralizována,​ nabízí zajímavé služby, jako je například plynulý přechod uživatele mezi různými AP, koordinace činnosti AP a podobně.
 +
 +WLC lze do sítě nasadit několik. Jednak z kapacitních důvodů (počet AP obsluhovaných jedním WLC je omezený), jednak k zajištění redundance pro případ výpadku některého z těchto řídicích prvků. Zde se budeme věnovat nejjednodušší situaci s jedním WLC.
 +
 +Doplňkem WLC je program //Wireless Control System (WCS)//, který zajišťuje uživatelské rozhraní k řadě informací o bezdrátové síti, umožňuje její plánování a řízení. Jeho nasazení není nutné, ale podstatným způsobem zpříjemňuje práci s WLC.
 +
 +Základní **přednosti** nasazení WLC+WCS jsou následující:​
 +  * Konfigurace a správa AP je //mnohem// jednodušší,​ zejména při jejich velkém počtu.
 +  * Automatické řízení rádiových kanálů a vysílacího výkonu usnadňuje vyladění sítě pro pokrytí daného prostoru.
 +  * Přináší rozšiřující funkce pro síť samotnou (zejména plynulý přechod uživatelských stanic mezi AP) i pro její správu (např. detekce pirátských AP).
 +
 +Za **zápory** lze považovat:
 +  * Při nasazení jediného WLC představuje toto zařízení kritický bod, jehož selhání bude mít pro bezdrátovou síť fatální důsledky.
 +  * Vysoké náklady, které představují velmi zhruba 50 % ceny řízených AP. Na rozdíl od konkurence Cisco Systems (zatím) nenabízí levnější omezené AP, které jsou schopny pracovat pouze v kombinaci s centrálním řízením.
 +  * Současná verze software nepodporuje IPv6. Pro IPv6 datagramy se zařízení chová jako bridge.
 +  * Datové toky mezi AP procházejí (prostřednictvím tunelů) WLC, zpravidla tedy nejsou optimální.
 +
 +Z našeho pohledu, kdy se počet AP v síti rychle blíží padesátce, přednosti jednoznačně převažují. Pro velké bezdrátové sítě je centrální řízení de facto nutností.
 +
 +===== Konfigurace AP pomocí DHCP =====
 +
 +Instalace nového operačního systému a převedení AP do "​odlehčeného"​ stavu je dobře pospáno v dokumentaci WLC. Nenarazili jsme při něm na žádné závažnější problémy, až na významné prodlevy, ke kterým někdy docházelo při instalaci systému do AP se staticky konfigurovanou IP adresou. Vzhledem k tomu, že dáváme přednost konfiguraci síťových parametrů AP prostřednictvím DHCP, nepovažujeme tento problém za zásadní.
 +
 +Pokud je WLC umístěn v jiné podsíti než AP, je třeba jeho adresu oznámit prostřednictvím DHCP volby číslo 43 (vendor option). Konkrétní způsob závisí na typu dotyčného AP. Pro nejběžnější Cisco Aironet řady 1100 a 1200 je třeba předat adresu WLC v podvolbě 241. Podrobné informace najdete v [[http://​www.cisco.com/​en/​US/​tech/​tk722/​tk809/​technologies_configuration_example09186a00808714fe.shtml|popisu volby 43]] od firmy Cisco Systems. Konfigurace pro //ISC DHCP server verze 3// (který je v tomto textu označen jako "Linux DHCP server"​) bohužel není popsána příliš dobře.
 +
 +V našem případě jsme v globální části souboru /​etc/​dhcpd.conf definovali novou oblast voleb nazvanou //​cisco-wlc//,​ která používá volbu 43 a připraví si podvolbu 241 následovně:​
 +
 +<​xterm>​
 +option space cisco-wlc;
 +option cisco-wlc.lwapp-controllers code 241 = array of ip-address;
 +option cisco-wlc-encap code 43 = encapsulate cisco-wlc;
 +</​xterm>​
 +
 +Rozhraní pro správu AP se nacházejí v podsíti 147.230.33.0/​24. V definici příslušné podsítě nastavíme společné parametry, jako je implicitní cesta nebo adresa DNS serveru. Následují konfigurace síťových rozhraní jednotlivých AP, jejich IP adres a adresy WLC, která je v našem případě 147.230.44.1:​
 +
 +<​xterm>​
 +subnet 147.230.33.0 netmask 255.255.255.0 {
 +    option subnet-mask 255.255.255.0;​
 +    option broadcast-address 147.230.33.255;​
 +    option routers 147.230.33.250;​
 +    option domain-name-servers 147.230.19.14,​ 147.230.16.1;​
 +    option domain-name "​tul.cz";​
 +    default-lease-time 43200;
 +
 +    host wlcap01.tul.cz.wlc {
 +        hardware ethernet 00:​1A:​A1:​E0:​C0:​21;​
 +        fixed-address 147.230.33.1;​
 +        option cisco-wlc.lwapp-controllers 147.230.44.1;​
 +    }
 +
 +    host wlcap02.tul.cz.wlc { ... }
 +    ...
 +}
 +
 +</​xterm>​
 +
 +===== Konfigurace sítě pro eduroam =====
 +
 +Konfigurace jednotlivých bezdrátových sítí a jejich parametrů se pak provádí centrálně prostřednictvím WLC, konkrétně prostřednictvím profilů. Zde popíšeme jednoduchou konfiguraci se dvěma profily - //eduroam// s autentizací 802.1X a zabezpečením přenosu šiframi TKIP či AES a //liane// s jednoduchou webovou autentizací a nešifrovanými datovými přenosy (bývalý eduroam-simple).
 +
 +{{:​cs:​spravce:​ap:​wlc-profily.png?​500}}
 +
 +Paradoxně je profil pro //eduroam// konfiguračně jednodušší. Stačí na jeho kartě //​Security/​Layer 2// nastavit odpovídající parametry zabezpečení:​
 +
 +{{:​cs:​spravce:​ap:​wlc-eduroam-cfg.png?​500}}
 +
 +a na kartě //​Security/​AAA Servers// zadat adresu lokálního RADIUS serveru napojeného na infrastrukturu eduroam.
 +
 +{{:​cs:​spravce:​ap:​wlc-aaa.png?​500}}
 +
 +Stanice připojené do bezdrátové sítě //eduroam// dostávají adresy z regulérního adresního prostoru univerzity. Přiděluje je společný univerzitní DHCP server, stejně jako počítačům v pevné síti. DHCP je tedy, stejně jako směrování,​ řešeno mimo WLC.
 +
 +===== Konfigurace sítě s webovou autentizací =====
 +
 +Pro uživatele, kteří se nemohou nebo nedovedou připojit k síti autentizované protokolem 802.1X nabízíme bezdrátovou síť //liane// s webovou autentizací. Používá neveřejné adresy a nabízí jen omezený sortiment služeb. Její připojení k univerzitní síti (a společně s ním i NAT a blokování nepovolených síťových služeb) realizujeme na samostatném zařízení,​ mimo WLC. Samotné WLC zajišťuje vlastní webovou autentizaci a DHCP server pro neveřejné adresy.
 +
 +Nastavení webové autentizace pro síť //liane// je velmi snadné, stačí na kartě //​Security/​Layer 3// zapnout //Web Policy// a přepínač pod ní nastavit na //​Authentication//​.
 +
 +{{:​cs:​spravce:​ap:​wlc-liane.png?​500}}
 +
 +Kromě toho musí karta //AAA Servers// obsahovat adresy lokálních RADIUS serverů, u nichž jsou ověřovány identity uživatelů. Autentizační stránka poskytovaná WLC pak vypadá následovně:​
 +
 +{{:​cs:​spravce:​ap:​wlc-webauth.png?​500}}
 +
 +Pokud by síť //liane// používala veřejné IP adresy, mohla by tímto její konfigurace skončit. My jsme však zvolili adresy neveřejné a jejich poskytování ze strany WLC. V takovém případě je v konfiguraci sítě //liane// na pravé straně karty //​Advanced//​ zapnout DHCP server:
 +
 +{{:​cs:​spravce:​ap:​wlc-liane-dhcpconfg.png?​500}}
 +
 +Jeho parametry se pak nastavují ve zcela jiné části konfiguračního rozhraní. Je třeba z hlavní nabídky vybrat //​Controller//,​ vlevo pak //Internal DHCP server// a následně příslušnou síť. Následně lze nastavit obyklé parametry, jako je rozsah přidělovaných adres a další prvky síťové konfigurace (implicitní směrování,​ DNS servery) předávané připojeným stanicím.
 +
 +{{:​cs:​spravce:​ap:​wlc-dhcp-liane.png?​500}}
Last modified:: 2007/12/03 13:50