Добрый день, уважаемые читатели Хабра!
Пару лет назад мне довелось собрать обучающий материал по WiFi-контроллеру Cisco 9800 и его интеграции с Cisco ISE. Зачем я всё это писал, так и осталось загадкой — материалом почти никто не воспользовался. Но было бы жалко, если бы работа пропала зря, поэтому я выкладываю её на Хабр — вдруг кому-то пригодится. Буду публиковать по частям.
Сразу хочу предупредить: в статье могут встречаться неточности и ошибки, а стиль изложения местами может быть не идеальным. Тем не менее, надеюсь, что статья окажется полезной.
Представляю вашему вниманию первую часть.
Базовая настройка Wi-Fi контроллера Cisco 9800
Описание контроллера
Таблица 1:
Особенности беспроводного контроллера Cisco Catalyst 9800-L
Высота шасси один юнит (1RU)
Пропускная способность 5 Gbps
Количество поддерживаемых точек доступа 250
Количество клиентов 5000
Процессор Intel Broadwell-NE DE—8-ядер, 2 GHz
Память Control/Data Plane —16GB DDR4
Загрузочная флэш-память —8MB
Флэш —32GB eMMC
Резервирование, сервисные порты 2x 1GE Cu
Порты данных 2x 1G/2.5G/5G/10G Cu (or) 2x 1G/10G Fiber, 4x 1G/2.5G Cu
Таблица 2: Компоненты Cisco Catalyst 9800-L
1. Индикатор сервисного порта
2. Индикатор резервного порта
3. Сервисный порт (SP) (RJ-45)
4. Порт резервирования (RP) (RJ-45). Порты резервирования могут быть подключены друг к другу или через коммутатор L2.
5. Консольный порт, который представляет собой последовательный консольный порт RJ-45 RS-232. Настройки последовательного порта RJ-45 по умолчанию: 9600, N, 8, 1. Поддерживаются скорости передачи 1200, 2400, 4800, 9600, 19200, 38400, 57600 и 115200. Если обнаружено нестандартное значение, скорость будет по умолчанию 9600.
Micro-B USB имеет приоритет над RJ-45.
6. Type-B консольный порт Micro USB может использоваться для обновления программного обеспечения в дополнение к уже доступным режимам передачи, а именно HTTP, TFTP, FTP и SFTP. Если вы подключите как порт консоли Micro USB Type-B, так и порт консоли CPU, то порт USB имеет приоритет, а порт консоли CPU игнорируется, так как только один из двух портов всегда активен.
7. Тип A 3.0 USB-порт используется для обновления программного обеспечения в дополнение к уже доступным режимам передачи, а именно HTTP, TFTP, FTP и SFTP.
8. 2 порта 10 G/mGig. Этот порт mGig и поддерживает скорости 10G, 5G, 2,5G и 1G. При работе в режиме High Availability невозможно изменить настроенную скорость порта.
9. , 10, 11, 12 mGig порты. Эти порты mGig поддерживают только 2,5G и 1G скорости.
13. Кнопка сброса Нажатие кнопки сброса менее 10 секунд перезагрузит контроллер. Нажатие кнопки сброса более 10 секунд сотрет загрузочную конфигурацию в NVRAM контроллера.
14. Системный индикатор, который определяет, включена ли система и загружена ли она.
15. Аварийный светодиод, определяющий состояние или возникшую ошибку. Статус или ошибка отображаются на экране консоли.
16 Индикатор режима высокой доступности
Таблица 3: Системные LED индикаторы
Цвет |
Описание |
Не горит |
Система не получает питание. Системный сбой Обновление прошивки Ошибка температуры |
|
Мигающий зеленый |
Загрузка системы |
|
Моргающий Янтарный
|
Действия состояния контроллера, такие как обновление прошивки |
Красный |
Ошибка контроллера. Например, существует ошибка температуры. Когда подключен только один порт TenGig, срабатывает тревога, и светодиод ALARM всегда горит красным цветом. Этого не происходит, когда подключен только один порт mGig. |
Таблица 5: High Availability LED индикатор
Цвет |
Описание |
Не горит |
HA отключен |
Горит |
HA активен |
Мигает |
HA StandBY |
Установка в стойку
Базовые настройки
После первого включения рекомендую подключить консоль и пройти по шагам базового сетапа. Это позволит вам настроить IP адреса Management и AP(device) management интерфейсам, выдать шлюз по умолчанию, настроить отказоустойчивость(если у вас 2 контроллера) и даже настроить первый SSID, если вы чувствуете себя достаточно подготовленными для этого действия.
Шаг 1 Контроллер предлагает настроить Mgmt интерфейс.
Configure device management interface?[yes]: yes
Шаг 2 Предлагает выдать IP-адрес для Mgmt интерфейс.
Configure static IP address? [yes]:
Enter the interface IP [TwoGigabitEthernet0/0/2]: 192.168.1.10
Enter the subnet mask [TwoGigabitEthernet0/0/2] [255.0.0.0]: 255.255.255.0
Шаг 3 Настроить статический маршрут для Mgmt интерфейс в VRF Mgmt-intf
Interface belongs to VRF "Mgmt-intf". Please configure a static route on the VRF
Enter the destination prefix: 0.0.0.0
Enter the destination mask: 0.0.0.0
Enter the forwarding router IP: 10.104.170.1
Шаг 4 Введите имя пользователя и пароль для управления. Это обязательный шаг.
Enter the management username: cisco
Enter the password: ********
Reenter the password: ********
Шаг 5 Настройте управление беспроводной сетью
Basic management setup is now complete. At this point, it is possible to save the above and continue wireless setup using the webUI (for this, choose 'no' below)
Would you like to continue with the wireless setup? [yes]: yes
Шаг 6 Необходимо выбрать интерфейс для беспроводными устройствами:
Configuring wireless management interface
Select interface to be used for wireless management
1. TwoGigabitEthernet0/0/1 [Up]
2. TwoGigabitEthernet0/0/2 [Up]
3. TwoGigabitEthernet0/0/3 [Up]
Choose the interface to config [1]:
Шаг 7 Введите VLAN для этого интерфейса:
Enter the vlan ID (1-4094): 112
Шаг 8 Выберите адреса IPv4 или IPv6:
Configure IPv4 address? [yes]:
Enter the interface IP [TwoGigabitEthernet0/0/1]: 9.11.112.40
Enter the subnet mask [TwoGigabitEthernet0/0/1] [255.0.0.0]: 255.255.255.0
Configure IPv6 address? [yes]: no
Шаг 9 Настройте IP-адреса для DHCP-релея в этом VLAN и:
Do you want to configure a VLAN DHCP Server? [yes]: yes
Enter the VLAN DHCP Server IP [TwoGigabitEthernet0/0/1]: 9.11.112.45
Шаг 10 Настройте маршрут по умолчанию в этом VLAN-е.
Configure static route? [yes/no]: yes
Enter the destination prefix [0.0.0.0]:
Enter the destination mask [0.0.0.0]:
Enter the forwarding router IP: 9.11.112.1
Если устройство работает в режиме HA RMI и вы не настроили маршрут по умолчанию, мастер попросит его ввести.
Basic management setup is now complete. At this point, it is possible to save the above and
continue wireless setup using the webUI(for this, choose 'no' below)
Would you like to continue with the wireless setup? [yes]
Шаг 11 Выберите режим развертывания:
1. Standalone
2. Active
3. Standby
Enter your selection [1]:
Вы можете выбрать один из следующих режимов развертывания:
• Standalone: контроллер будет работать без отказоустойчивости.
• Active: в этом режиме контроллер будет Active в паре HA.
• Standby: в этом режиме контроллер будет StandBY в паре HA.
Шаг 12 Настройте имя системы или имя хоста:
Enter the hostname [WLC]: ciscowlc
Шаг 13 [Необязательно] Настройте учетные данные для точек доступа. Точки доступа получат единые учетные данные, и вы сможете подключаться к точкам.
Замечание: сразу хочу отметить, что смысл в этом очень ограниченный. Стандартное поведение точки доступа с софтом для централизованного управления — это автоматическая перезагрузка через пару минут, если не удалось найти контроллер.
Configure credentials for management access on Access Points? [yes]:
Enter the management username: cisco
Enter the management password: ****
Reenter the password: ****
Enter the privileged mode access password: ****
Reenter the password: ****
Шаг 14 Настройте код страны. Вы можете указать несколько кодов стран, разделив их запятой.
Configure country code for wireless operation in ISO format ? [US]:
Шаг 15 Настройте дату и NTP, чтобы разрешить точкам доступа подключаться к контроллеру. Вы можете настроить время с помощью NTP-сервера или вручную. Вам необходимо ввести время в следующем формате: ДЕНЬ-МЕСЯЦ-ГОД
Настроить NTP-сервер? [да/нет]: нет
Enter the day:
Enter the month:
Enter the year:
Configure a NTP server now? [yes]:
Enter ntp server address : 9.11.112.45
Enter a polling interval between 16 and 131072 secs which is power of 2: 16
Шаг 16 [Необязательно] Настройте часовой пояс:
Configure timezone? [yes]:
Enter name of timezone: ind
Enter hours offset from UTC (-23,23): 5
Enter mins offset from UTC (0,59) [0]: 30
Шаг 17 [Необязательно] Настройте ожидаемую плотность клиентов:
Configure Wireless client density? [yes]:
Choose the client density
1. Low
2. Typical
3. High
Enter your selection [2]: 3
Шаг 18 [Необязательно] Настройте серверы AAA:
Note You can configure a maximum of 6 servers during Day 0 configuration.
Configure AAA servers? [yes]:
Enter the AAA server address: 9.11.112.46
Enter the AAA key: ***
Do you want to add more AAA servers? [yes]:
Enter the AAA server address: 9.11.112.47
Enter the AAA key: ***
Do you want to add more AAA servers? [yes]: no
Шаг 19 [Необязательно] Настройте параметры беспроводной сети, чтобы настроить информацию о WLAN для подключения точки доступа и клиента:
Configure Wireless network settings? [yes]:
Шаг 20 [Необязательно] Настройте SSID для подключения клиентов:
Enter the network name or service set identifier (SSID):
Choose the network type
1. Employee
2. Guest
Если в качестве типа сети выбрать «Сотрудник», отображаются следующие параметры:
Choose the security type
1. WPA Personal
2. WPA Enterprise
Enter your selection [2]:
Если вы выберете WPA2 Personal, вам нужно будет ввести pre-shared key.
Enter the pre-shared key (ASCII):
If you choose WPA2 Enterprise, you will be able to add multiple AAA servers.
Enter the AAA server address:
Enter the AAA key:
Enter more AAA server details? [yes]
Если вы выберете «Гость», вы сможете просмотреть следующие параметры:
Please choose the security type:
1. Webauth
2. Authbypass
3. Consent
4. Webconsent
Enter the security type:
Configure virtual IP? [yes]:
Enter the virtual IP [192.0.6.1]:
Шаг 23 [Необязательно] Настройте имя сети RF.
Configure RF-Network Name? [yes]:
Enter the RF-Network Name: ciscorf
Шаг 24 Настройте HA. Вариантов настройки несколько, описание каждого ниже.
Если вы выберете режим развертывания «Active» или «StandBY», вам нужно будет выбрать тип HA.
High Availability configuration
Please choose the HA pairing type
1. RMI
2. RP-RP
Enter your selection [1]:
RP-RP - самый ходовый вариант, когда вы просто объединяете патчем между собой RP порты. Обычно этого достаточно, но вы можете воспользоваться лучшими практиками от Cisco и использовать вариант ниже.
Redundancy Management Interface (RMI) + RP - когда вы RP еще добавляете RMI. Redundancy Management Interface (RMI) — это виртуальный интерфейс, который создается с помощью команды «redun-management interface». RMI — это вторичный интерфейс, используемый для двойного активного обнаружения, мониторинга доступности резервного контроллера и поддержки обнаружения доступности шлюза. Использование RMI+RP вместе с обнаружением достижимости шлюза теперь считается передовой практикой.
redun-management interface Vlan40 chassis 1 address 192.168.1.253 chassis 2 address 192.168.1.251
Когда мониторинг шлюза включен, оба контроллера будут использовать IP-адрес RMI для отправки эхо-сигналов ICMP каждую секунду на настроенный IP-адрес шлюза. Если 4 эхо-сигнала пропадают, контроллер отправит 4 запроса ARP, по одному в секунду, на IP-адрес шлюза, чтобы обнаружить сбой восходящей линии связи. Если через 8 секунд шлюз по-прежнему недоступен, произойдет переключение, в результате чего резервный контроллер станет активным, а ранее активный контроллер перезагрузится.
Если вы выбираете RMI+RP, вам необходимо настроить IP адреса и шлюз для основного резервного контроллера:
Enter the RMI IP for local chassis: 9.11.112.12
Enter the RMI IP for remote chassis: 9.11.112.13
Enter the gateway IP of the last resort: 9.11.112.1
Eсли вы выбираете RP, вам нужно выбрать интерфейс, который будет использоваться в качестве резервного порта:
Select interface to be used as redundancy port
1. TwoGigabitEthernet0/0/2 [Up]
2. TwoGigabitEthernet0/0/3 [Up]
Choose the interface to config [1]: 2
Enter the local IP:
Enter the subnet mask:
Enter the remote IP:
Пока на этом все. Далее по плану вторуя часть — «Подготовка сети для включения точек доступа. Настройка DHCP.»