分享是一种生活态度,求知,求真,分享工作,分享生活!

无线WLC基础和常见故障排除整理

Cisco iqianyue 1678次浏览 0个评论 扫描二维码

WLC基础知识

wxwl_ap_cisco_AIR_CAP1602I_C_K9

Q. 什么是无线 LAN 控制器 (WLC)?

A. 如今,无线网络已成为一种必需品。许多企业环境都需要部署大规模的无线网络。Cisco 提出了 Cisco 统一无线网络 (CUWN) 解决方案的概念,这有助于简化对此类大规模部署的管理。WLC 是 CUWN 中起主要作用的一种设备。接入点的传统作用(如对无线客户端的关联或身份验证)由 WLC 完成。接入点(在统一环境中称为轻量接入点 (LAP))将自身注册到 WLC,并将所有管理和数据包通过隧道传输到 WLC,后者随后在无线客户端与网络的有线部分之间交换这些数据包。所有配置都在 WLC 上完成。LAP 从 WLC 下载整个配置,并作为客户端的无线接口。

Q. 什么是 CAPWAP?

A. 在控制器软件 5.2 版或更高版本中,Cisco 轻量接入点使用 IETF 标准的无线接入点控制和设置协议 (CAPWAP) 在控制器与网络上的其他轻量接入点之间通信。早于 5.2 版的控制器软件对于这些通信使用轻量接入点协议 (LWAPP)。

CAPWAP(以 LWAPP 为基础)是一种可互操作的标准协议,控制器通过此协议可管理一组无线接入点。

启用了 LWAPP 的接入点可以发现和加入 CAPWAP 控制器,并且可以无缝地转换为 CAPWAP 控制器。例如,使用 CAPWAP 时的控制器发现过程和固件下载过程与使用 LWAPP 时相同。第 2 层部署是一个例外情况,CAPWAP 不支持这种部署。

可以在同一网络上部署 CAPWAP 控制器和 LWAPP 控制器。通过启用 CAPWAP 的软件,接入点可加入运行 CAPWAP 或 LWAPP 的任意一种控制器。

Q. 对于使用 CAPWAP 是否有指导原则?

A. 使用 CAPWAP 时请遵照以下这些指导原则进行操作:

  • 如果当前将防火墙配置为仅允许来自使用 LWAPP 的接入点的流量,则必须更改防火墙的规则,以允许来自使用 CAPWAP 的接入点的流量。
  • 请确保 CAPWAP UDP 端口 5246 和 5247(类似于 LWAPP UDP 端口 12222 和 12223)处于启用状态,并且没有受到中间设备的阻止(中间设备有可能会阻止接入点加入控制器)。
  • 如果控制器与其接入点之间的控制路径中有访问控制列表 (ACL),则需要打开新的协议端口,以防接入点受到影响。

接 入点使用一个随机的 UDP 源端口到达控制器上的这些目标端口。控制器软件 5.2 版中去掉了 LWAPP,将其更换为 CAPWAP,但刚刚投入使用的新接入点在从控制器下载 CAPWAP 映像之前,可能会尝试使用 LWAPP 与控制器进行联系。接入点从控制器下载 CAPWAP 映像后,就只会使用 CAPWAP 与控制器进行通信。

注意: 尝试用 CAPWAP 加入控制器 60 秒后,接入点将改为使用 LWAPP。如果它使用 LWAPP 在 60 秒内找不到控制器,则将再次尝试使用 CAPWAP 加入控制器。接入点从 CAPWAP 切换到 LWAPP,每隔 60 秒再切换回来,不断重复这个循环,直到加入控制器为止。

含有 LWAPP 恢复映像的接入点(从自治模式转换而来的接入点或刚刚投入使用的接入点)在从控制器下载 CAPWAP 映像之前只会使用 LWAPP 尝试加入控制器。

Q. 有哪些选项可供访问 WLC?

A. 下面列出了可供访问 WLC 的选项:

  • 通过 HTTP 或 HTTPS 用 GUI 访问
  • 通过 Telnet、SSH 用 CLI 访问或用控制台访问
  • 通过服务端口访问

通常,管理接口 IP 地址用于 GUI 和 CLI 访问。只有选中 Enable Controller Management to be accessible from Wireless Clients 选项后,无线客户端才能访问 WLC。要启用此选项,请单击 WLC 的 Management 菜单,并单击左侧的 Mgmt via Wireless。还可以通过其某个动态接口 IP 地址访问 WLC。使用 config network mgmt-via-dynamic-interface 命令可启用此功能。有线计算机只能通过 WLC 的动态接口用 CLI 访问。无线客户端可以通过动态接口用 CLI 和 GUI 访问。

Q. WLC 如何交换数据包?

A. LAP 将所有客户端 (802.11) 数据包都封装在一个 LWAPP 数据包中,并将其发往 WLC。WLC 解除 LWAPP 数据包的封装,然后根据 802.11 数据包中的目标 IP 地址进行操作。如果目标是与 WLC 关联的某个无线客户端,则 WLC 再次将数据包按 LWAPP 封装,并将其发往客户端的 LAP,从中将其解除封装,再发往无线客户端。如果目标位于网络的有线端,则去除 802.11 报头,添加以太网报头,然后将数据包转发到所连接的交换机,从中再将其发往有线客户端。当数据包来自有线端时,WLC 去除以太网报头、添加 802.11 报头、将其按 LWAPP 封装,然后将其发往 LAP,从中将其解除封装,再将 802.11 数据包传送到无线客户端。

Q. WLC 能否在 VLAN 之间路由数据包?

A. WLC 是一种连接到网络的设备,但它发挥的作用与路由器并不相同。必须有第 3 层设备在 VLAN 之间路由数据包。WLC 将客户端的 SSID 映射到 VLAN 子网,并将 SSID 放回到上行路由器的管理接口上以路由数据包

Q. DHCP 如何与 WLC 配合工作?

A. WLC 旨在作为外部 DHCP 服务器的 DHCP 中继代理,而对客户端而言它就像 DHCP 服务器一样运行。以下是所发生的一系列事件:

  • 通常,WLAN 连接到一个配置了 DHCP 服务器的接口。
  • WLC 从 WLAN 上的客户端收到 DHCP 请求时,会通过其管理 IP 地址将该请求中继到 DHCP 服务器。
  • WLC 显示其虚拟 IP 地址作为客户端的 DHCP 服务器,该地址必须是一个不可路由的地址,通常配置为 1.1.1.1。
  1. WLC 通过其虚拟 IP 地址将 DHCP 中继从 DHCP 服务器转发到无线客户端。

Q. 如何更改 LAP 的功率和信道?

A. LAP 注册到 WLC 后,就会在 WLC 上完成 LAP 的所有配置。WLC 中有一项称为 RRM 的内置功能,通过此功能 WLC 在内部运行某种算法,并在每次部署 LAP 时自动调整信道和功率设置。默认情况下在 WLC 上打开 RRM。不需要更改 LAP 的信道和功率设置,但可以重写 RRM 功能并静态分配 LAP 的功率和信道设置。

Q. 网络中有多个 WLC。是否有设备或软件可管理网络中的多个 WLC?

A. 有,无线控制系统 (WCS) 或者Cisco Pi,是一种可以管理网络上多个 WLC 的服务器软件。它可管理 WLC、其关联的接入点以及客户端。

Q. 能否将配置从一个 WLC 直接推送到其他 WLC?

A. 不能。不能将配置从一个 WLC 直接推送到其他 WLC。要将文件传输到其他 WLC,必须将配置文件从 WLC 上载到 TFTP 服务器,然后将该文件从 TFTP 服务器下载到所需的 WLC。

Q. 如何查找 WLC 上运行的代码版本?

A. 从无线 LAN 控制器的 GUI 中,单击 Monitor > Summary。在 Summary 页中,Software Version 字段显示无线 LAN 控制器上运行的固件的版本。

要通过 WLC CLI 查找在 WLC 上运行的固件的版本,请使用命令 show run-config

要查看活动的引导映像,请使用命令 show boot

Q. 能否将已转换为轻型模式的基于 Cisco IOS 软件的接入点 (AP) 注册到 WLC?

A. 不能,转换为轻型模式的基于 Cisco IOS 软件的 AP 无法注册到 WLC。

Q. 如何在 WLC 环境中漫游?

A. 漫游是客户端在其移动时可以保持应用程序会话不间断的一个过程。当无线客户端与 WLC 关联并对其进行身份验证时,该 WLC 将在其客户端数据库中为该客户端加入一个条目。此条目包括客户端的 MAC 和 IP 地址、安全上下文和关联、服务质量 (QoS) 上下文、WLAN 以及关联的 LAP。当客户端漫游到与同一 WLC 关联的另一个 LAP 时,该 WLC 只会用新的 LAP 信息更新客户端数据库,以使数据可以正确地转发到客户端。当客户端漫游到与不同 WLC 关联的 LAP 时,无论子网相同还是不同,原有的 WLC 将客户端数据库中的信息发往新的 WLC。这有助于客户端在漫游中保留其 IP 地址,并保持 TCP 会话不间断。

Q. WLC 如何处理访客用户?

A. 访客用户是第三方网络用户,此类用户对网络资源和 Internet 连接只需要有限的访问权限。WLC 使用现有的无线网络基础设施为访客提供无线和有线访问。通常为无线访客用户提供一个单独的 SSID。对于有线网络和无线网络上的访客用户将各自分配一个独立的 VLAN,这样可以将访客流量与其他数据流量相分离。这样可以更好地控制访客流量并加强网络安全。访客用户一般通过 Web 身份验证进行身份验证。

Q. 如何在无线 LAN 控制器 (WLC) 上配置本地数据库?对于本地网络用户的用户名和口令可以使用哪些特殊字符?

A. 本地用户数据库存储所有本地网络用户的凭据(用户名和口令)。然后使用这些凭据验证用户的身份。可以通过 GUI 或 CLI 配置本地网络用户。最多可以输入 24 个字母数字字符。通过 CLI 配置用户名和口令时可以使用所有特殊字符,而通过 GUI 配置用户名和口令时不能使用单引号字符。

从 CLI 使用以下这些命令创建本地网络用户:

  • config netuser add <用户名> <口令> wlan <wlan_id> userType permanent description <说明> — 向 WLC 中的本地用户数据库添加永久用户。
  • config netuser add <用户名> <口令> {wlan|guestlan} {wlan_id|guest_lan_id} userType guest lifetime seconds description <说明> — 向 WLC 中的本地用户数据库添加 WLAN 或有线访客 LAN 上的访客用户。

在 GUI 中可以从 Security > AAA > Local Net Users 页配置本地网络用户

Q. 能否自动删除 WLC 中的本地网络用户?

A. 不能自动删除本地网络用户。必须手动删除此类用户。要删除用户,请转到 Security > AAA > Local Net Users 页。要删除用户,请将鼠标放在图标上,然后单击 Remove。  如果将本地网络用户配置为访客用户,则必须指定生存时间,这段时间之后将自动删除该用户。可配置的范围是 60 秒至 2592000 秒之间。

Q. 什么是移动组?

A. 移动组是一组配置了相同移动组名称的 WLC。客户端可以在同一移动组中的 WLC 之间无缝漫游。移动组中的 WLC 在其自身之间提供冗余。

Q. 在访客隧道中,可以在单个锚点 WLC 与不同的内部 WLC 之间形成多少个 Ethernet over IP (EoIP) 隧道?

A. 一个锚点 WLC 最多支持 71 个 EoIP 隧道,每个内部 WLC 对应一个隧道。这些 WLC 可以属于不同的移动组

Q. 初始配置时能否返回无线 LAN 控制器 (WLC) 配置向导并纠正错误?

A. 是,可以使用 (连字符)键实现此目的。使用此键可重新输入上一个参数值。

例如,使用 WLC 配置向导从头配置 WLC。

对于用户名没有输入 admin,而输入的是 adminn。要更正这一情况,请在下一个提示符下输入 (连字符键),然后单击 Enter。系统返回上一个参数。

Q. 移动组中的无线 LAN 控制器 (WLC) 上启用 Management via Wireless 功能后,只能从该移动组访问一个 WLC,而不能访问所有 WLC。为什么?

A. 这是预料之中的行为。启用 Management via Wireless 功能后,无线客户端通过该功能只能访问或管理其相关接入点注册到的 WLC。客户端不能管理其他 WLC,即使这些 WLC 在同一移动组中也是如此。实行这种限制是出于安全目的,最近又将其缩减到仅一个 WLC,以限制暴露信息。

通过 Cisco WLAN 解决方案的 Management over Wireless 功能,Cisco WLAN 解决方案操作员可使用无线客户端监控和配置本地 WLC。除了对 WLC 进行上载和下载(往返传输)外,所有管理任务都支持此功能。

通过 WLC CLI 用 config network mgmt-via-wireless enable 命令可启用此功能。

在 GUI 中单击 Management;从左侧单击 Mgmt Via Wireless,然后选中 Enable Controller Management to be accessible from Wireless Clients 框。

注意: 启用此选项时,可公开数据。请确保已启用正确的身份验证和加密方案。

Q. 什么是非法 AP?能否自动阻止无线网络中的非法 AP?

A. 不属于无线部署一部分的 AP 称为非法 AP。它可以是偶然出现在授权 AP 范围内的自治 AP 或轻型 AP。无法自动阻止非法 AP。必须手动执行此操作。存在这种情况的原因是,找到非法 AP 后,查找方 AP 解除与非法 AP 的客户端的关联,这会导致拒绝对客户端提供服务。如果将邻近的 AP 检测为非法 AP,并且拒绝为其客户端提供服务,则这可能会产生法律问题。

Q. 如果网络地址转换 (NAT) 边界分隔了同一移动组中的多个 WLC,则这些 WLC 能否互相传送移动消息?

移动消息负载携带有关源控制器的 IP 地址信息。用 IP 报头的源 IP 地址验证此 IP 地址。将 NAT 设备引入网络后此行为会产生问题,因为该设备会更改 IP 报头中的源 IP 地址。因此,在访客 WLAN 功能中,通过 NAT 设备路由的任何移动数据包将因 IP 地址不匹配而被丢弃。

在控制器软件 4.2 版及更高版本中,移动组查找方式变为使用源控制器的 MAC 地址。由于源 IP 地址因在 NAT 设备中进行映射而更改,因此先搜索移动组数据库,然后再发送回复以获得发出请求的控制器的 IP 地址。以发出请求的控制器的 MAC 地址完成此操作。

Q. 已将无线电资源管理 (RRM) 设置为 WLC 上的默认设置。但是,发现 RRM 无法自动调整信道和功率电平。为什么?

A. 由于以下任何原因,RRM 可能无法正常工作

  • 只有在 AP 至少从三个附近的 AP 收到 RF 信号,并且附近的第三个 AP 传输的信号强度大于 -65dbm 时,RRM 才能发挥作用。如果其中任意一种情况发生故障,RRM 就发挥不了作用。
  • 自动 RRM 功能包括信道调节、功率调整和覆盖盲区检测。如果禁用这些功能或选择手动作为分配方法,则这些功能不起作用。

新 AP 启动时,最初将功率保持为默认值 1(最高)。当它检测到有 3 个或更多 AP 的功率电平大于 -65dBm(在同一 RF 移动域和同一信道中)时,将首先尝试 RRM(更改信道)。如果因手动修复信道或可用的 AP 比信道多而不成功,则 AP 丢弃其功率电平。

Q. 无线 LAN 控制器 (WLC) 能否在本地支持 EAP-PEAP 身份验证?

本地 EAP 现在支持 PEAPv0/MSCHAPv2 和 PEAPv1/GTC 身份验证。

Q. 能否在网络地址转换 (NAT) 下放置轻量接入点 (LAP)?从接入点 (AP) 到 WLC 的轻量接入点协议 (LWAPP) 通过 NAT 边界后能否发挥作用?

A. 是,可以在 NAT 下放置 LAP。在AP侧,您能安排任一种NAT配置,但是,在WLC侧,您只能安排1:1 (静态NAT)配置。在 WLC 端无法配置 PAT,因为如果将端口转换为 12222 或 12223 以外的端口(用作数据和控制消息),LAP 即无法响应 WLC。

Q. 如何配置 WLC 才能只允许 802.11g 客户端?

A. 使用 config 802.11b disable 命令可禁用或启用整个网络或单个 Cisco 无线电设备的 802.11b/g 传输

注意: 必须使用此命令禁用网络,然后再使用其他 config 802.11b 命令。CLI 界面活动时随时可以使用此命令。

语法如下。

如何禁用 AP01 802.11b/g 传输的示例如下:

要禁用 AP01 802.11b/g 传输,请使用此命令:

或者,可以使用此命令禁用 802.11b 数据速率:

Q. 波束成形是什么?

A. 波束成形(也称为 ClientLink)是在发射器上使用的一种空间滤波机制,用于提高预期接收器所收到信号的功率或信噪比 (SNR)。波束成形技术使用多个发射天线将发出的信号集中在 802.11a 或 802.11g 客户端的方向,这样可提高下行链路 SNR 和到客户端的数据速率、减少覆盖盲区以及提高系统的总体性能。

故障排除常见问题解答

Q. 已完成轻量接入点 (LAP) 的初始部署。客户端从大楼的一端移向另一端时,始终与最近的 AP 关联。直到来自初始 AP 的信号强度完全消失后,客户端才会转移到下一个最近的 AP。为什么?

A. AP 的覆盖区域完全由 WLC 控制。WLC 在其各个 AP 之间通信,并且根据每个 AP 检测其他 AP 的方式管理这些 AP 的信号强度。但是,客户端从一个 AP 移到其他 AP 则完全由客户端控制。客户端中的无线电确定客户端要在何时从一个 AP 移至其他 AP。WLC、AP 或网络上其余设备的设置都无法影响客户端漫游到不同 AP 的决定。

Q. 如何防止 WLC 上出现环路?

A. 可以在 WLC 上启用 STP 以防止出现环路。从WLC GUI请点击控制器,然后导航对在应用程序的左边查找的先进的子菜单。单击 Spanning Tree 选项,然后对应用程序右侧的 Spanning Tree Algorithm 选择 Enable。

默认情况下,无须启用 STP 以防止环路。因为映射到 WLC 上 WLAN 的每个接口都映射到主端口和备份端口。某个特定时刻只使用一个端口。仅通过主端口转发来自 WLAN 的流量。主端口活动时,WLC 从不使用辅助端口。只有在主端口关闭时 WLC 才使用辅助端口,因此默认情况下不会产生环路。

Q. 是否有方式可恢复 WLC 的口令?

A. 如果忘记了 WLC 5.1 版及更高版本中的口令,可以从控制器的串行控制台中使用 CLI 配置新的用户名和口令。完成以下这些步骤可配置新用户名和口令。

  1. 控制器启动之后,在用户提示符下输入 Restore-Password注意: 出于安全考虑,控制器控制台上不显示所输入的文本。
  2. 在 Enter User Name 提示符下输入新用户名。
  3. 在 Enter Password 提示符下输入新口令。
  4. 在 Re-enter Password 提示符下,重新输入新口令。控制器验证这些条目,并将其存储在数据库中。
  5. 再次显示 User 提示符时,输入新用户名。
  6. 显示 Password 提示符时,输入新口令。随后控制器用您的新用户名和口令为您登录

Q. 我们有一个企业 Cisco Airespace WLAN 基础设施。WLAN 客户端无法访问 Microsoft Active Directory (AD) 域。我们的一座大厦内发生了这个问题。但其他大厦没有此问题。我们在内部不使用任何访问控制列表 (ACL)。此外,当发生故障的客户端采用硬联线时,立即就能浏览 Microsoft AD 域。可能是什么原因?

A. 其中一个原因可能是在 WLC 上禁用了多播模式。请在 WLC 上启用多播模式,然后检查能否访问 Microsoft AD 域。

Q. 第 3 层移动能否对接入点 (AP) 组 VLAN 配置发挥作用?

A. 是,第 3 层移动可以对 AP 组 VLAN 配置发挥作用。当前,将来自第 3 层漫游无线客户端的流量源安放到 WLAN 上分配的动态接口或 AP 组 VLAN 的接口上。

Q. 有一个 1200 轻量接入点 (LAP) 要注册到无线 LAN 控制器 (WLC)。已用选项 43 配置了 DHCP 服务器。如何能验证 DHCP 选项 43 是否正常运行?

A. 采用 DHCP 选项 43 时,DHCP 服务器提供 WLC 的 IP 地址以及通过 DHCP 提供的 IP 地址。如果 AP 是基于 Cisco IOS 的轻量接入点协议 (LWAPP) AP(如 1242 或 1131AG LAP),则可以从 LAP 验证这一点。在这些情况下,请在 AP 端发出 debug dhcp detail 命令,以查看 AP 能否成功收到选项 43 信息以及收到的内容。

Q. 在计算机的命令提示符下发出 ipconfig /all 命令时,显示了一个不同的 DHCP 服务器地址。该命令显示 1.1.1.1 作为 DHCP 服务器的 IP 地址。这是 WLC 的虚拟接口 IP 地址,而非 DHCP 服务器地址。为什么显示此内容作为 DHCP 服务器?

A. 这是因为 1.1.1.1 虚拟接口地址充当原始 DHCP 服务器的 DHCP 代理。如果要在 ipconfig /all 命令的输出中看到原始的 DHCP 服务器地址,请在与客户端关联的 WLC 中禁用 DHCP 代理功能。用 config dhcp proxy disable 命令可禁用此功能。

此命令将 1.1.1.1 虚拟接口地址(将自身显示为 DHCP 服务器)替换为在接口上或 WLAN 的 override 选项中定义的 DHCP 服务器实际 IP 地址。

Q. 我们有两台访问控制服务器 (ACS),用于对与无线 LAN 控制器 (WLC) 关联的无线客户端进行身份验证。一台 ACS 充当主身份验证服务器,另一台 ACS 充当故障切换服务器。如果主服务器出故障,则 WLC 改为使用辅助服务器对无线客户端进行身份验证。但主服务器恢复后,WLC 无法改为使用主服务器。为什么?

A. 这是预料之中的行为。在多 ACS 部署中通过 WLC 对客户端进行身份验证时,将发生以下这些步骤:

  1. 启动时,WLC 确定活动的 ACS。
  2. 如果此活动 ACS 无法响应来自 WLC 的 RADIUS 请求,则 WLC 搜索辅助 ACS,并故障切换到该服务器。
  3. 即使主 ACS 恢复正常,也只有到 WLC 当前向其进行身份验证的 ACS 失败后才会改为使用主 ACS。

在此类情况下,请重新启动 WLC,以使 WLC 再次识别主 ACS 并改为使用它。重新启动后不会立即进行此转换。可能会过一段时间才进行。

Q. 如何加密 WLC 上的配置文件?

A. WLC 中已提供对配置文件的加密。如果从 WLC GUI 中选择 Commands > Upload File,则会看到 Configuration File Encryption 复选框。

可以用这种方式在 WCS 中强制将该文件加密。

  • 从 WCS GUI 中选择 Configure controller。此时将显示在 WCS 中配置的 WLC 的列表。单击某个 WLC。
  • 单击左侧的 commands 选项。此时将收到控制器命令的列表。
  • Upload/Download Commands 下,从下拉菜单中选择 download config。此时将看到此消息:注 意:Configuration file encryption key is not set.Downloading configuration file will fail if encryption key is needed.Please click here to setup encryption.

基本上,可以强制 WCS 始终为 WLC 配置设置加密密钥。默认情况下不启用加密,但根据需要在 WLC 和 WCS 中都可以启用加密。


iqianyue , 版权所有丨如未注明 , 均为原创,转载请注明iqianyue
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论

表情 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址