Verbinden des 5508/WiSM-Service-Ports mit dem Netzwerk

Einleitung

In diesem Dokument werden die Konfiguration und die Theorie des Betriebs von Service-Ports in Cisco Unified Wireless Network Controllern (CUWN) beschrieben. Außerdem werden allgemeine Richtlinien für die Bereitstellung beschrieben.Die Ziele dieses Dokuments sind:

• Überblick und Best Practices-Richtlinien für die Verbindung von Cisco Controllern (55000/8500) mit dem Netzwerk
• Überblick, Best Practices und Befehle zur Behebung von Service-Port-Problemen mit Wireless Service-Modulen/Controllern (WiSM)

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse der Cisco Wireless LAN Controller verfügen.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf Cisco Wireless Standalone Controllern und WiSM-Modulen.

Die Informationen in diesem Dokument werden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Überblick über Service-Ports

Standalone-Controller

Der Service-Port an den Standalone-Controllern ist für die Out-of-Band-Verwaltung des Controllers sowie für die Systemwiederherstellung und -wartung bei einem Netzwerkausfall reserviert. Er ist auch der einzige aktive Port, wenn sich der Controller im Startmodus befindet. Die Service-Port-Schnittstelle verwendet die werkseitig festgelegte Service-Port-MAC-Adresse des Controllers.

Service-Port-Funktionen

• Service-Port wird direkt mit der Kontrollebene des 5508 verbunden und verweist daher direkt auf die CPU. Die anderen physischen Daten-Ports sind über die Datenebene verbunden.

• Der Service-Port kann keine 802.1Q-Tags tragen, daher muss er mit einem Access-Port am benachbarten Switch verbunden werden.

• Der Controller verwendet die statischen Routen, um sicherzustellen, dass der Service-Port von Subnetz-Zielen (Subnetzen, die sich von seinen eigenen unterscheiden) aus erreichbar ist.  Unabhängig davon, welcher Datenverkehr mit einer statischen Route auf dem Wireless LAN Controller (WLC) übereinstimmt, verlässt der Controller den Service-Port, selbst wenn der eingehende Datenverkehr über die Verwaltungsschnittstelle (Datenports) einging, die die grafische Benutzeroberfläche des Controllers, RADIUS-Authentifizierungsdatenverkehr usw. umfasst.

       

Erreichbarkeit desselben Subnetzes (Service-Port-VLAN)

• Der Service-Port verfügt über kein Gateway und ist mit dem Access-Port des benachbarten Switches verbunden. Unter normalen Umständen müssen Sie also in der Lage sein, auf den Service-Port zuzugreifen, indem Sie den PC im gleichen Zugriffs-VLAN am benachbarten Switch anschließen. Hier ist keine statische Route auf dem WLC erforderlich, da Ihr PC mit dem Service-Port-VLAN auf dem benachbarten Switch verbunden ist und Sie mit dem VLAN kommunizieren.
• Konfigurieren Sie die kabelgebundenen Clients nicht im gleichen VLAN oder Subnetz des Service-Ports auf dem benachbarten Switch. Wenn der Service-Port direkt auf die CPU/Steuerungsebene zeigt, wird möglicherweise eine hohe CPU erkannt, wenn das Service-Port-VLAN sehr viel Multicast-/Broadcast-Datenverkehr aufweist.
• GUI-Zugriff über Management-IP-Adresse von diesem VLAN aus nicht möglich

Remote-Subnetz-Erreichbarkeit (anders als Service-Port-VLAN)

 Wenn Sie den Service-Port von einem Remote-Subnetz aus verwalten müssen, müssen Sie die statischen Routen für die Kommunikation mit den Remote-Subnetzen hinzufügen. Punkte für diese Konfiguration:

• Wenn Sie den Service-Port von überall im Netzwerk erreichen und eine statische Route für das Ziel 10.0.0.0/8 festlegen möchten, die auf das Service-Port-Subnetz-Gateway verweist, das bereits auf der Switch-Seite vorhanden ist. Dieses große Subnetz kann alle im Netzwerk verwendeten Subnetze abdecken, einschließlich Radius-Server und TACACS-Server. Die Ergebnisse dieser Konfiguration sind möglicherweise:

                    - Der Zugriff auf die grafische Benutzeroberfläche des WLC ist nicht über die Management-IP-Adresse von allen Subnetzen aus möglich, die unter 10.0.0.0/8 abgedeckt sind. Sie müssen die IP-Adresse des Service-Ports verwenden, um auf die grafische Benutzeroberfläche des WLC zuzugreifen. Dies ergibt sich daraus, dass der gesamte Datenverkehr, der zur statischen Route passt, über den Service-Port weitergeleitet wird, selbst wenn der Management-Datenverkehr über die Management-Schnittstelle eingeht.

                     - Die Radius-Authentifizierung schlägt fehl, da Sie möglicherweise die WLC-Management-IP-Adresse als AAA-Client hinzugefügt haben. Für erfolgreiche Authentifizierungen müssen Sie WLC als AAA-Client mithilfe der IP-Adresse der Service-Port-Schnittstelle hinzufügen, da der Datenverkehr über den Service-Port mit der Quelladresse der IP-Adresse des Service-Ports geleitet wird.

             

                       - Wenn die IP-Adresse des Service-Ports aus irgendeinem Grund für längere Zeit nicht erreichbar ist, können alle nachfolgenden RADIUS-Authentifizierungen für diesen Zeitraum fehlschlagen.

• Es kann zu hohen CPU-/Abstürzen kommen, wenn viele Multicast-/Broadcast-Anwendungen auf den Service-Port zugreifen.

• Versuchen Sie, bestimmte Routen als statisch anzugeben, die sich auf ein oder zwei Remote-Subnetze beziehen können und über eine Remote-Management-Workstation verfügen.

   in diesem Subnetz. Selbst in diesem Fall ist der GUI-Zugriff auf den WLC nicht über die Management-IP-Adresse des Controllers von den PCs dieses Subnetzes aus möglich. Wenn das Radius-Server-Subnetz unter dieser spezifischen Route abgedeckt ist, erhält die Authentifizierungsanforderung, die den Radius-Server erreicht, weiterhin die IP-Adresse des Service-Ports. 

Konfigurieren

Konfigurieren des WLC-Service-Ports

Bei der Konfiguration wird davon ausgegangen, dass der Wireless-Controller bereits konfiguriert ist und Sie Folgendes konfigurieren möchten:

den Service-Port.

Um die Service-Schnittstelle für DHCP zu konfigurieren, geben Sie den Befehl config interface dhcp service-port enable ein.

Um den DHCP-Server zu deaktivieren, geben Sie den Befehl config interface dhcp service-port disable ein.

Um die IPv4-Adresse zu konfigurieren, geben Sie den Befehl config interface address service-port ip-addr ip-netmask ein.

Um den Service-Port von einem Remote-Subnetz aus zu verwalten, müssen Sie die statischen Routen für die Kommunikation mit den Remote-Subnetzen hinzufügen

Geben Sie den Befehl config route add network-ip-addr ip-netmask gateway ein.

Überprüfung

Um die Konfiguration des Service-Ports zu überprüfen, verwenden Sie den Befehl show interface detail service-port.

Sie erhalten diese Ausgabe:

 
 Interface Name................................... service-port
 MAC Address...................................... 50:57:a8:bc:4b:01
 IP Address....................................... 192.168.20.1
 IP Netmask....................................... 255.255.255.0
 Link Local IPv6 Address.......................... fe80::5257:a8ff:febc:4b01/64
 STATE ........................................... REACHABLE
 IPv6 Address..................................... ::/128
 STATE ........................................... NONE
 SLAAC............................................ Disabled
 DHCP Protocol.................................... Disabled
 AP Manager....................................... No
 Guest Interface.................................. No
 Speed ........................................... 10Mbps
 Duplex .......................................... Half
 Auto Negotiation ................................ Enabled

Link Status...................................... Up

Service-Port im AP-SSO-Modus

• Jede (aktive und Standby-)Einheit verfügt über eine eindeutige IP für den Service-Port. Beide Service-Port-Adressen müssen im gleichen Subnetz vorhanden sein. Wenn sich der Service-Port des Standby-Controllers in einem anderen Subnetz befindet, müssen Sie neue Routen hinzufügen. Dies führt zu nicht erwarteten Unterschieden bei den Konfigurationen für aktiven und Standby-Modus.

Befehl zum Konfigurieren der IP-Adresse und Netzmaske des Peer-/Standby-Controllers des Peer-Service-Ports:

      (Cisco Controller) >Konfiguration Redundanz Schnittstellenadresse Peer-Service-Port ?
      (Cisco Controller) >Konfigurationsredundanz Peer-Route ?

WiSM-Controller

Das WiSM-Modul in 6500 ist ein Sonderfall, bei dem der Service-Port für die Kommunikation zwischen dem WiSM-Controller und dem Supervisor verwendet wird. Die Service-Port-Konfiguration ist zum Einrichten der WiSM-Controller erforderlich.

• Das WLAN Controller Protocol (WCP) ist die Software-Verbindung zwischen dem Supervisor und dem WiSM-2-Controller. WCP wird auf UDP/IP, Port 10000 über die Service-Schnittstelle ausgeführt. Sobald der WiSM-Controller aktiv ist, gibt es Software-Heartbeats oder Keepalives zwischen Supervisor und WiSM-Controller. Der Controller fordert den Supervisor zur Eingabe seiner Steckplatz-/Prozessorinformationen an.WCP wird auf UDP/IP, Port 10000 über die Service-Schnittstelle ausgeführt.

• Das Service-Port-VLAN befindet sich lokal im Chassis und muss über eine Layer-3-Schnittstelle auf dem Switch-IOS verfügen. Dem Service-Port kann abhängig von der Switch-Port-Konfiguration des Controllers eine DHCP- oder statische IP-Adresse zugewiesen werden. Die IP-Adresse des Service-Ports muss sich im Subnetz der Management-Schnittstellen des Controllers befinden. Wird das Service-VLAN nicht lokal gehalten, kann es zu Problemen kommen, wenn z. B. ein anderer Switch im Netzwerk zu einem Root-Switch des Service-VLAN wird.

• VRF auf dem Service-Port wird nicht unterstützt.

• Die IP-Adresse des Service-Ports muss sich im Subnetz der Managementschnittstellen des Controllers befinden.

• Das Service-VLAN befindet sich im Chassis vor Ort und wird für die Kommunikation zwischen Cisco WiSM und Catalyst Supervisor 720 oder 2T über eine Gigabit-Schnittstelle auf dem Supervisor und dem Service-Port im Cisco WiSM verwendet.

Konfigurieren

Konfigurieren des WiSM-Service-Ports

Weitere Informationen zum Einrichten des WiSM-Moduls auf dem 6500-Switch finden Sie unter den folgenden Links:

Fehlerbehebung und Konfiguration des ersten WiSM-Setups (Wireless Services Module)

WiSM-2 2DP - Bereitstellungsleitfaden

Überprüfung

Verwenden Sie den Befehl show wism status, um die Konfiguration des Service-Ports zu bestätigen.

Service Vlan : 213, Service IP Subnet : 8.8.8.1/255.255.255.0
      WLAN
Slot  Controller  Service IP       Management IP    SW Version    Controller Type    Status
----+-----------+----------------+----------------+------------+------------------+---------------
7           1              8.8.8.2             10.105.98.13     7.0.252.0     WS-SVC-WISM-1-K9   Oper-Up

Fehlerbehebung

Verwenden Sie diese Befehle, um die Debug-Meldungen anzuzeigen, die die Kommunikation zwischen dem WiSM-Controller und dem Supervisor zeigen.

• Auf dem WiSM-Controller

(WiSM-Steckplatz7-1) >debug wcp events enable

*wcpTask: May 03 02:42:29.830: Received WCP_MSG_TYPE_REQUEST
*wcpTask: May 03 02:42:29.830: Received WCP_MSG_TYPE_REQUEST,of type WCP_TLV_KEEP_ALIVE
*wcpTask: May 03 02:42:29.830: Sent WCP_MSG_TYPE_RESPONSE,of type WCP_TLV_KEEP_ALIVE
*wcpTask: May 03 02:42:49.830: Received WCP_MSG_TYPE_REQUEST
*wcpTask: May 03 02:42:49.830: Received WCP_MSG_TYPE_REQUEST,of type WCP_TLV_KEEP_ALIVE
*wcpTask: May 03 02:42:49.830: Sent WCP_MSG_TYPE_RESPONSE,of type WCP_TLV_KEEP_ALIVE
*wcpTask: May 03 02:43:09.830: Received WCP_MSG_TYPE_REQUEST
*wcpTask: May 03 02:43:09.830: Received WCP_MSG_TYPE_REQUEST,of type WCP_TLV_KEEP_ALIVE
*wcpTask: May 03 02:43:09.830: Sent WCP_MSG_TYPE_RESPONSE,of type WCP_TLV_KEEP_ALIVE

• Switch-/Router-seitig

6500#debug wism-Ereignisse

dman_proc_service_tmr_handler Service Port Timer fired for slot/port: 7/2
May  3 04:39:18: WiSM-Evt:returning, rc 0, num_entries 0 for slot/port/vlan 7/10/213
May  3 04:39:19: WiSM-Evt:dman_cntrl_db_search_by_mac: Found mac 0019.30fb.ccc2 for slot/port 7/1
May  3 04:39:19: WiSM-Evt:dman_reg_arp_added: cntrl 7/1 got an ip 8.8.8.2 0019.30fb.ccc2/0019.30fb.ccc2
May  3 04:39:20: WiSM-Evt: dman_proc_service_tmr_handler Service Port Timer fired for slot/port: 7/2 

So zeigen Sie an, wie der WCP Pakete überträgt und empfängt, die zwischen dem WiSM-Controller und dem Supervisor ausgetauscht wurden:

6500#debug wism wcp data

May  3 04:32:54: WiSM-Evt:dman_proc_keepalive_tmr_handler: keepalive timer expired for 7/1
May  3 04:32:54: wcp-tx: src/dst:8.8.8.1/8.8.8.2 ver:1 sap2/1
May  3 04:32:54: typ:req len:61 seq:1079591 flg:0 sts:1
May  3 04:32:54: 00 00 00 01 00 00 00 18 00 00 00 04 08 08 08 01
May  3 04:32:54: 00 00 00 00 00 00 D5 20 00 00 00 00 00 00 00 05
May  3 04:32:54: wcp-rx: src/dst:8.8.8.2/8.8.8.1 ver:1 sap0/0
May  3 04:32:54: typ:rsp len:45 seq:1079591 flg:0 sts:1
May  3 04:32:54: 00 00 00 01 00 00 00 08 00 00 00 01 58 5F 60 11