没有合适的资源?快使用搜索试试~ 我知道了~
首页思科无线局域网无线控制器配置的最佳实践
思科无线局域网无线控制器配置的最佳实践
需积分: 50 47 下载量 87 浏览量
更新于2023-06-04
评论 1
收藏 1019KB PDF 举报
思科无线控制器WLC的配置是一件让人头痛的事情,本文档祥细的列举了最佳配置实例。
资源详情
资源评论
资源推荐
思科无线局域网无线控制器配置的最佳实践
(7.6 版本及以上)
介绍 ......................................................................................................................................................... 3
先决条件 ................................................................................................................................................. 3
要求 ........................................................................................................................................................... 3
使用的组件 ................................................................................................................................................ 3
最佳实践 ................................................................................................................................................. 3
网络设计 .................................................................................................................................................... 3
对无线接入点连接的交换机端口使用
PortFast
配置
........................................................................ 4
接口源(
DHCP
,
SNMP
,
RADIUS
,组播等等。)
............................................................................ 4
推荐的
SwitchPort
模式和
VLAN
修剪
................................................................................................. 4
网络连接
............................................................................................................................................... 4
使用
VLAN TAG
标记无线控制器管理接口(
Management
)
........................................................... 5
使用组播转发模式
............................................................................................................................... 6
禁用内部
DHCP
服务器
........................................................................................................................ 7
安全 ........................................................................................................................................................... 8
禁用本地
EAP ........................................................................................................................................ 8
使用
WPA2 + 802.1X
的
WLAN ............................................................................................................. 9
用户身份
-
使用
AAA
覆盖实现
............................................................................................................ 9
使用更短的
RADIUS
超时配置
........................................................................................................... 10
EAP
身份请求超时
.............................................................................................................................. 11
EAPoL
密钥超时和最大重试次数
...................................................................................................... 11
EAP
请求超时和最大重试次数
.......................................................................................................... 12
CCKM
时间戳验证
............................................................................................................................... 12
TACACS +
管理超时
.............................................................................................................................. 12
启用基础设施和客户端的管理帧保护(
MFP
)
.............................................................................. 13
启用
802.11w
支持
............................................................................................................................. 13
更改
SNMPv3
的默认用户
.................................................................................................................. 14
启用网络时间协议(
NTP
)
............................................................................................................... 14
启用
802.11r
标准的快速过渡漫游
................................................................................................... 14
启用
DHCP Required
选项
................................................................................................................... 15
非法设备管理 .......................................................................................................................................... 15
非法设备检测
..................................................................................................................................... 16
最小 RSSI 值 ..................................................................................................................................................... 17
非法设备规则 .................................................................................................................................................. 17
Wi-Fi Direct ....................................................................................................................................................... 18
对非法设备的信道扫描 .................................................................................................................................. 18
瞬时出现非法设备的持续时间 ...................................................................................................................... 19
启用
Adhoc
非法设备检测
................................................................................................................. 19
启用非法客户端的
AAA
验证
............................................................................................................ 19
启用非法客户端的
MSE
验证
............................................................................................................ 19
无线/射频 ................................................................................................................................................ 20
禁用低数据速率
................................................................................................................................. 20
减少
SSID
的数量
................................................................................................................................ 21
启用频段选择(
BandSelect
)
............................................................................................................ 22
DCA –
动态信道分配
........................................................................................................................... 22
信道宽度
............................................................................................................................................. 23
DFS –
动态频率选择
........................................................................................................................... 24
DCA
重启
............................................................................................................................................. 25
应用可视化和控制(AVC) ................................................................................................................... 25
启用 802.11K 标准优化漫游 ................................................................................................................... 27
移动性...................................................................................................................................................... 27
配置移动性组播模式
......................................................................................................................... 28
启用快速 SSID 切换................................................................................................................................. 29
启用智能频谱管理(CLEANAIR) ............................................................................................................ 29
启用基于无线接入点/无线客户端状态的高可用性 ............................................................................. 30
介绍
移动性迅速改变了用户感知无线网络资源的期望和使用方式。无线已经成为用户访问网络
的优先选择,并且在很多情况下是唯一可行的一种方式。本文档提供了典型的无线控制器
(WLC)架构下通用的最佳实践和快速配置技巧。其目标是为您提供可以在大多数的无线
网络中实现应用的重要注意事项。
注意:所有的网络并非都是一样的。因此一些小技巧可能并不适用于您的安装部署。在一
个活动的网络上执行任何更改之前应该始终验证他们。
先决条件
要求
思科建议您具备以下知识:
*如何配置无线控制器和轻量级无线接入点的基本操作知识
*控制和配置无线接入点协议(CAPWAP)和无线安全方法的基本知识
使用的组件
本文档中的信息基于以下软件和硬件版本:
*思科无线控制器系列,运行软件版本 7.6 及以上。
*思科 802.11n 系列无线接入点
请注意,本文档凡是提及无线控制器,均基于软件 7.6 版本及以上。
本文档中的资料是从一个特定实验室环境中的设备上生成的。本文档中使用的所有设备以
缺省(默认)配置开始配置。如果您的网络是正在使用的生产系统,请确保您了解所有命
令带来的潜在影响。
最佳实践
网络设计
下列是网络设计方面的最佳实践:
对无线接入点连接的交换机端口使用 PortFast 配置
对于连接本地模式的无线接入点的交换机端口上配置 PortFast。为了配置 PortFast,可设
置端口连接到一个“主机”端口(switchport host 命令),或直接以 portfast 命令配置。
这允许无线接入点更快的加入无线控制器。而且可以避免环路的风险,因为 CAPWAP 无线
接入点在该配置下不会进行 VLAN 之间的桥接。
接口源(DHCP,SNMP,RADIUS,组播等等。)
在每个网络设计中,大部分的 CPU 发起的流量以无线控制器中的管理地址被发送。例如,
SNMP 陷阱、RADIUS 身份验证请求、组播转发等等。
*此默认规则的例外是 DHCP 相关流量。您还可以启用对每个 SSID 的“RADIUS 接口覆盖”,
此时这个 WLAN 的 radius 流量将从动态接口发送。不过,这会造成自带设备(BYOD)流
程和更改授权(COA)的设计问题。
*启用每个 SSID 的 RADIUS 接口覆盖,重要的是要考虑到配置防火墙策略或设计网络拓扑
结构。避免在于无线控制器 CPU 可达的服务器(例如 RADIUS 服务器)的同一子网络配置
动态接口是很重要的,因为它可能会导致非对称路由问题。
*流量可以从动态接口发出,但是应该仅在拓扑需要时启用该功能。
推荐的 SwitchPort 模式和 VLAN 修剪
总是对于本地模式的无线接入点连接的交换机端口配置“access mode”。FlexConnect 模
式(即做本地交换)的无线接入点和无线控制器连接的交换机端口可以使用 Trunk 方式,
记住一定要修剪 VLAN,只允许 FlexConnect 无线接入点和无线控制器上配置的 VLAN。此
外,在中继接口使用 switchport nonegotiate 命令禁用动态中继协议(DTP),避免无线接
入点/无线控制器处理 DTP,因为它们不支持也不需要这些帧。同时,交换机上也会浪费资
源尝试与无法支持它的设备进行协商。
网络连接
以下是用于网络连接的最佳实践:
虽然大多数的无线控制器的配置是立即生效的,但更改下列配置的设置后重新加载无线控
制器是一个好主意:
– 管理地址
– SNMP 配置
– HTTPS 加密设置
– LAG 模式(使能/禁止),配置后是强制性重启的
使用 VLAN TAG 标记无线控制器管理接口(Management)
思科建议在无线控制器管理接口使用 VLAN 标记,因为这是 HA 方案中唯一支持的模式。
对于未标记的接口,管理接口数据包发送和接受到无线控制器连接的 Trunk 端口的本地
VLAN。但是,如果你想要管理接口是在不同的 VLAN,使用下面命令将其标记为相应的
VLAN:
(Cisco Controller) >config interface vlan management <vlan-id>
确保相应的 VLAN 在交换机端口上被允许并标记。对于连接到无线控制器的所有中继端口,
过滤掉不使用的 VLAN。
例如,在思科 IOS®交换机,如果管理接口是在 VLAN 20,并且 VLAN 40 和 VLAN 50 用于两
个不同的无线局域网,在交换机侧使用下面配置命令:
Switch# switchport trunk allowed vlans 20,40,50
- 不要让接口使用 0.0.0.0 地址。例如,一个未配置的服务端口。它可能会影响到无线控制
器的 DHCP 处理。下面是验证命令:
(Cisco Controller) >show interface summary
Interface Name Port Vlan Id IP Address Type Ap Mgr
-------------------- ---- -------- --------------- ------- ------
ap-manager LAG 15 192.168.15.66 Static Yes
example LAG 30 0.0.0.0 Dynamic No
management LAG 15 192.168.15.65 Static No
service-port N/A N/A 10.48.76.65 Static No
- 除非无线控制器的所有端口连接的交换机一侧使用相同的第 2 层配置参数,否则不要使
用链路聚合(LAG)。例如,避免在某个端口过滤某些 VLAN,而在其他端口不过滤。
- 当使用 LAG,流量必须到达同一个数据平面。无线控制器依靠交换机上对流量的负载平
衡决策。无线控制器期望属于一个无线接入点的流量总是在同一数据平面上进入。5500
系列无线控制器为单个数据平面,流量将始终在同一数据平面上到达。
- WISM2 和 8500 无线控制器有两个数据平面,流量需要在同一数据平面上到达。通常,
有足够的带宽来传送数据平面之间的帧。当然如果存在有限的带宽,通信可能会被丢弃。
下面是如何验证以太网通道负载平衡机制的命令:
Switch#show etherchannel load-balance
EtherChannel Load-Balancing Configuration:
src-dst-ip
EtherChannel Load-Balancing Addresses Used Per-Protocol:
Non-IP: Source XOR Destination MAC address
剩余30页未读,继续阅读
ljs0788
- 粉丝: 0
- 资源: 4
上传资源 快速赚钱
- 我的内容管理 收起
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
会员权益专享
最新资源
- RTL8188FU-Linux-v5.7.4.2-36687.20200602.tar(20765).gz
- c++校园超市商品信息管理系统课程设计说明书(含源代码) (2).pdf
- 建筑供配电系统相关课件.pptx
- 企业管理规章制度及管理模式.doc
- vb打开摄像头.doc
- 云计算-可信计算中认证协议改进方案.pdf
- [详细完整版]单片机编程4.ppt
- c语言常用算法.pdf
- c++经典程序代码大全.pdf
- 单片机数字时钟资料.doc
- 11项目管理前沿1.0.pptx
- 基于ssm的“魅力”繁峙宣传网站的设计与实现论文.doc
- 智慧交通综合解决方案.pptx
- 建筑防潮设计-PowerPointPresentati.pptx
- SPC统计过程控制程序.pptx
- SPC统计方法基础知识.pptx
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0