Este documento fornece informações sobre os requisitos para configurar um Cisco Wireless LAN (WLAN) Controller para uso com o Cisco Aironet® 600 Series OfficeExtend Access Point (OEAP). O Cisco Aironet 600 Series OEAP suporta operação de modo dividido e tem instalações que exigem configuração através do controlador de WLAN e recursos que podem ser configurados localmente pelo usuário final. Este documento também fornece informações sobre as configurações necessárias para conexão apropriada e conjuntos de recursos suportados.
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas no Cisco Aironet 600 Series OfficeExtend Access Point (OEAP).
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
O Cisco Aironet 600 Series OEAP é suportado nestas controladoras: Cisco 5508, WiSM-2 e Cisco 2504.
A primeira versão do controlador que suporta o Cisco Aironet 600 Series OEAP é 7.0.116.0
As interfaces de gerenciamento do controlador precisam estar em uma rede IP roteável.
A configuração do firewall corporativo precisa ser alterada para permitir o tráfego com os números de porta UDP 5246 e 5247.
Um usuário recebe um ponto de acesso (AP) com o endereço IP do controlador corporativo, ou o usuário pode inserir o endereço IP do controlador na tela de configuração (páginas HTML de configuração).
O usuário conecta o AP ao seu roteador residencial.
O AP obtém um endereço IP de seu roteador residencial, junta-se ao controlador primário e cria um túnel seguro.
Em seguida, o Cisco Aironet 600 Series OEAP anuncia o SSID corporativo, que estende os mesmos métodos e serviços de segurança na WAN até a casa do usuário.
Se a LAN remota estiver configurada, uma porta com fio no AP é encapsulada de volta ao controlador.
O usuário pode, então, habilitar adicionalmente um SSID local para uso pessoal.
A configuração geral no firewall é permitir o controle do CAPWAP e os números de porta de gerenciamento do CAPWAP através do firewall. O controlador OEAP Cisco Aironet 600 Series pode ser colocado na zona DMZ.
Observação: as portas UDP 5246 e 5247 precisam ser abertas no firewall entre o controlador de WLAN e o Cisco Aironet 600 Series OEAP.
Este diagrama mostra um controlador Cisco Aironet 600 Series OEAP no DMZ:
Aqui está um exemplo de configuração de firewall:
interface Ethernet0/0 nameif outside security-level 0 ip address X.X.X.X 255.255.255.224 !--- X.X.X.X represents a public IP address ! interface Ethernet0/2 nameif dmz security-level 50 ip address 172.16.1.2 255.255.255.0 ! access-list Outside extended permit udp any host X.X.X.Y eq 5246 !--- Public reachable IP of corporate controller access-list Outside extended permit udp any host X.X.X.Y eq 5247 !--- Public reachable IP of corporate controller access-list Outside extended permit icmp any any ! global (outside) 1 interface nat (dmz) 1 172.16.1.0 255.255.255.0 static (dmz,outside) X.X.X.Y 172.16.1.25 netmask 255.255.255.255 access-group Outside in interface outside
Para transmitir o endereço IP interno do gerenciador de AP para o AP OfficeExtend como parte do pacote CAPWAPP Discovery Response, o administrador do controlador precisa certificar-se de que o NAT esteja habilitado na interface do gerenciador de AP e que o endereço IP NAT correto seja enviado para o AP.
Observação: por padrão, a WLC responderá apenas com o endereço IP do NAT durante a descoberta do AP quando o NAT estiver habilitado. Se os APs existirem dentro e fora do gateway NAT, execute este comando para configurar o WLC para responder com o endereço IP NAT e o endereço IP de gerenciamento não NAT (interno):
config network ap-discovery nat-ip-only disable
Observação: isso só é necessário se a WLC tiver um endereço IP de NAT.
Este diagrama mostra que o NAT está habilitado, supondo que o WLC tenha um endereço IP NAT:
Observação: essa configuração não é necessária no controlador, desde que esteja configurada com um endereço IP roteável da Internet e não atrás de um firewall.
O Cisco Aironet 600 Series OEAP se conectará à WLC como um ponto de acesso de modo local.
Observação: os modos Monitor, H-REAP, Sniffer, Rogue Detection, Bridge e SE-Connect não são suportados no 600 Series e não são configuráveis.
Observação: a funcionalidade OEAP do Cisco Aironet 600 Series nos Access Points 1040, 1130, 1140 e 3502i Series requer a configuração dos APs para o Hybrid REAP (H-REAP) e a definição do submodo do AP para o OEAP do Cisco Aironet 600 Series. Isso não é feito com o 600 Series porque ele usa o modo local e não pode ser alterado.
A filtragem MAC pode ser usada na autenticação do AP durante o processo de junção inicial para impedir que unidades OEAP não autorizadas do Cisco Aironet 600 Series se juntem ao controlador. Esta imagem mostra onde você habilita a filtragem MAC e configura as políticas de segurança de AP:
O MAC Ethernet (não o endereço MAC do rádio) é inserido aqui. Além disso, se você digitar o endereço MAC em um servidor Radius, use letras minúsculas. Você pode examinar o registro de eventos do AP para obter informações sobre como descobrir o endereço MAC Ethernet (mais sobre isso posteriormente).
Há uma porta LAN remota física (porta #4 amarela) no Cisco Aironet 600 Series OEAP. É muito semelhante a uma WLAN em como ela é configurada. No entanto, como não é sem fio e uma porta LAN com fio na parte traseira do AP, ela é chamada e gerenciada como uma porta LAN remota.
Embora haja apenas uma porta física no dispositivo, até quatro clientes com fio podem ser conectados se um hub ou switch for usado.
Observação: o limite de cliente LAN remoto suporta a conexão de um switch ou hub à porta LAN remota para vários dispositivos ou a conexão direta a um telefone IP Cisco que esteja conectado a essa porta.
Observação: somente os quatro primeiros dispositivos podem se conectar até que um dos dispositivos fique ocioso por mais de um minuto. Se estiver usando a autenticação 802.1x, pode haver problemas ao tentar usar mais de um cliente na porta com fio.
Observação: esse número não afeta o limite de quinze imposto para as WLANs do controlador.
Uma LAN remota é configurada de forma semelhante a uma WLAN e LAN de convidado configuradas no controlador.
As WLANs são perfis de segurança sem fio. Esses são os perfis usados pela rede corporativa. O Cisco Aironet 600 Series OEAP suporta no máximo duas WLANs e uma LAN remota.
Uma LAN remota é semelhante a uma WLAN, exceto pelo fato de ser mapeada para a porta com fio na parte traseira do access point (porta #4 em amarelo), conforme mostrado nesta imagem:
Observação: se você tiver mais de duas WLANs ou mais de uma LAN remota, todas precisam ser colocadas em um grupo AP.
Esta imagem mostra onde as WLANs e a LAN remota estão configuradas:
Esta imagem mostra um nome de grupo OEAP de exemplo:
Esta imagem mostra uma configuração de WLAN SSID e RLAN:
Se o OEAP Cisco Aironet 600 Series for inserido em um grupo AP, os mesmos limites de duas WLANs e uma LAN remota se aplicam à configuração do grupo AP. Além disso, se o Cisco Aironet 600 Series OEAP estiver no grupo padrão, o que significa que ele não está em um grupo de AP definido, as IDs de WLAN/LAN remota precisam ser definidas com menos de ID 8 porque este produto não suporta os conjuntos de ID mais altos.
Mantenha os conjuntos de IDs em menos de 8, como mostrado nesta imagem:
Observação: se WLANs ou LANs remotas adicionais forem criadas com a intenção de alterar as WLANs ou LANs remotas que estão sendo usadas pelo Cisco Aironet 600 Series OEAP, desabilite as WLANs ou LANs remotas atuais que você está removendo antes de habilitar as novas WLANs ou LAN remota no 600 Series. Se houver mais de uma LAN remota habilitada para um grupo de AP, desabilite todas as LANs remotas e habilite apenas uma.
Se houver mais de duas WLANs habilitadas para um grupo AP, desabilite todas as WLANs e habilite apenas duas.
Ao definir a configuração de segurança na WLAN, há elementos específicos que não são suportados na série 600.
Para segurança de camada 2, somente estas opções são suportadas para o Cisco Aironet 600 Series OEAP:
Nenhum
WPA+WPA2
A WEP estática também pode ser usada, mas não para taxas de dados .11n.
Observação: somente 802.1x ou PSK deve ser selecionado.
As configurações de criptografia de segurança precisam ser idênticas para WPA e WPA2 para TKIP e AES, como mostrado na imagem a seguir:
Essas imagens fornecem exemplos de configurações incompatíveis para TKIP e AES:
Observação: lembre-se de que as configurações de segurança permitem recursos sem suporte.
Estas imagens fornecem exemplos de configurações compatíveis:
As configurações de segurança podem ser deixadas abertas, definidas para filtragem MAC ou definidas para Autenticação da Web. O padrão é utilizar a filtragem MAC.
Esta imagem mostra a filtragem MAC de Camada 2 e Camada 3:
As configurações de QoS são gerenciadas:
As configurações avançadas também devem ser gerenciadas:
Notas:
A Detecção de Buraco de Cobertura não deve ser habilitada.
Aironet IE (Elementos de informação) não deve ser habilitado, pois não é usado.
A Proteção de Quadro de Gerenciamento (MFP - Management Frame Protection) também não é suportada e deve ser desativada ou configurada como opcional, conforme mostrado nesta imagem:
O Balanceamento de Carga do Cliente e a Seleção de Banda do Cliente não têm suporte e não devem ser habilitados:
Apenas quinze usuários podem se conectar nas WLANs da controladora de WLAN fornecidas na série 600 a qualquer momento. Um décimo sexto usuário não pode autenticar até que um dos primeiros clientes cancele a autenticação ou que ocorra um tempo limite na controladora.
Observação: esse número é cumulativo nas WLANs da controladora na série 600.
Por exemplo, se duas WLANs da controladora estiverem configuradas e houver quinze usuários em uma das WLANs, nenhum usuário poderá se unir à outra WLAN na série 600 naquele momento. Esse limite não se aplica às WLANs privadas locais que o usuário final configura na série 600, projetadas para uso pessoal, e os clientes conectados a essas WLANs privadas ou às portas com fio não afetam esses limites.
Os rádios para a série 600 são controlados através da GUI local na série 600 e não através do Wireless LAN Controller.
Tentar controlar o canal de espectro, a alimentação ou desativar os rádios através do controlador não terá nenhum efeito sobre a série 600.
A série 600 verificará e escolherá canais para 2,4 GHz e 5,0 GHz durante a inicialização, desde que as configurações padrão na GUI local sejam deixadas como padrão em ambos os espectros.
Observação: se o usuário desabilitar um ou ambos os rádios localmente (esse rádio também está desabilitado para acesso corporativo), também como declarado anteriormente, o RRM e recursos avançados como monitor, H-REAP, sniffer estão além dos recursos do Cisco Aironet 600 Series OEAP, que está posicionado para uso doméstico e de trabalhadores à distância.
A seleção de canal e a largura de banda para 5,0 GHz são configuradas aqui na GUI local do Cisco Aironet 600 Series OEAP.
Notas:
Configurações de largura de 20 e 40 MHz estão disponíveis para 5 GHz.
2,4 GHz 40 MHz de largura não é suportado e é fixado em 20 MHz.
A largura de 40 MHz (combinação de canais) não é suportada em 2,4 GHz.
O Cisco Aironet 600 Series OEAP é projetado para implantações de AP único. Portanto, o roaming de clientes entre a série 600 não é suportado.
Observação: desabilitar o 802.11a/n ou 802.11b/g/n no controlador pode não desabilitar esses espectros no Cisco Aironet 600 Series OEAP porque o SSID local ainda pode estar funcionando.
O usuário final habilita/desabilita o controle sobre os rádios dentro do Cisco Aironet 600 Series OEAP.
Suporte 802.1x na porta com fio
Nesta versão inicial, o 802.1x só é suportado na Interface de Linha de Comando (CLI).
Observação: o suporte à GUI ainda não foi adicionado.
Esta é a porta com fio (porta #4 em amarelo) na parte traseira do Cisco Aironet 600 Series OEAP e está ligada à LAN remota (consulte a seção anterior sobre configuração de LAN remota).
A qualquer momento, você pode usar o comando show para exibir a configuração de LAN remota atual:
show remote-lan <remote-lan-id>
Para alterar a configuração da LAN remota, você deve primeiro desabilitá-la:
remote-lan disable <remote-lan-id>
Habilitar a autenticação 802.1X para a LAN remota:
config remote-lan security 802.1X enable <remote-lan-id>
Você pode desfazê-lo usando este comando:
config remote-lan security 802.1X disable <remote-lan-id>
Para a LAN remota, "Encryption" é sempre "None" (como exibido em show remote-lan) e não configurável.
Se quiser usar EAP local (no controlador) como servidor de autenticação:
config remote-lan local-auth enable <profile-name> <remote-lan-id>
Onde o perfil é definido através da GUI da controladora (Security > Local EAP) ou da CLI (config local-auth ). Consulte o guia da controladora para obter detalhes sobre esse comando.
Você pode desfazê-lo com este comando:
config remote-lan local-auth disable <remote-lan-id>
Ou, se você usar um servidor de autenticação AAA externo:
config remote-lan radius_server auth add/delete <remote-lan-id> <server-id>
config remote-lan radius_server auth enable/disable <remote-lan-id>
Onde server é configurado através da GUI do controlador (Security > RADIUS > Authentication) ou CLI (config radius auth). Consulte o guia da controladora para obter mais informações sobre esse comando.
Depois de concluir a configuração, ative a LAN remota:
config remote-lan enable <remote-lan-id>
Use o comando show remote-lan <remote-lan-id> para verificar sua configuração.
Para o cliente LAN remoto, você precisa habilitar a autenticação 802.1X e configurar de forma correspondente. Consulte o guia do usuário do dispositivo.
Esta imagem mostra o diagrama de cabeamento para o Cisco Aironet 600 Series OEAP:
O escopo de DHCP padrão do Cisco Aironet 600 Series OEAP é 10.0.0.x para que você possa navegar até o AP nas portas 1-3 usando o endereço 10.0.0.1. O nome de usuário e a senha padrão são admin.
Observação: isso é diferente dos AP1040, 1130, 1140 e 3502i que usavam Cisco como nome de usuário e senha.
Se os rádios estiverem ativos e um SSID pessoal já tiver sido configurado, você poderá acessar a tela de configuração sem fio. Caso contrário, você precisará usar as portas Ethernet locais de 1 a 3.
Para fazer login, o nome de usuário e a senha padrão são admin.
Observação: o #4 da porta amarela não está ativo para uso local. Se uma LAN remota estiver configurada no controlador, essa porta retorna ao túnel depois que o AP se une com êxito ao controlador. Para navegar até o dispositivo, use localmente as portas 1-3:
Depois de navegar com êxito até o dispositivo, você verá a tela de status inicial. Esta tela fornece estatísticas de rádio e MAC. Se os rádios não tiverem sido configurados, a tela de configuração permitirá que o usuário ative os rádios, defina canais e modos, configure SSIDs locais e ative as configurações da WLAN.
Na tela SSID, é onde o usuário pode configurar a rede WLAN pessoal. O SSID do rádio corporativo e os parâmetros de segurança são configurados e removidos do controlador (depois que você configura a WAN com o IP do controlador), e ocorreu uma junção bem-sucedida.
Esta imagem mostra uma configuração de filtragem de MAC local de SSID:
Depois que o usuário configura o SSID pessoal, a tela abaixo permite que o usuário configure a segurança no SSID residencial privado, ative rádios e configure a filtragem MAC, se desejado. Se a rede pessoal estiver usando taxas de 802.11n, é recomendável que o usuário escolha um tipo de autenticação, um tipo de criptografia e uma senha para habilitar WPA2-PSK e AES.
Observação: essas configurações de SSID serão diferentes das configurações corporativas se o usuário optar por desativar um ou ambos os rádios (ambos também são desativados para uso corporativo).
Os usuários que têm acesso local às configurações de controle do administrador têm controle sobre as funções principais, como habilitar/desabilitar o rádio, a menos que o dispositivo seja protegido por senha e configurado pelo administrador. Portanto, deve-se tomar cuidado para não desativar ambos os rádios, pois isso pode resultar em perda de conectividade mesmo se o dispositivo se unir com êxito ao controlador.
Esta imagem mostra as configurações de segurança do sistema:
Espera-se que o funcionário remoto doméstico instale o Cisco Aironet 600 Series OEAP atrás de um roteador residencial, pois esse produto não foi projetado para substituir a funcionalidade de um roteador residencial. Isso ocorre porque a versão atual deste produto não tem suporte a firewall, suporte a PPPoE ou encaminhamento de portas. Esses são recursos que os clientes esperam encontrar em um roteador residencial.
Embora esse produto possa funcionar sem um roteador residencial, é recomendável não posicioná-lo dessa maneira pelas razões apresentadas. Além disso, pode haver problemas de compatibilidade se conectando diretamente a alguns modems.
Considerando que a maioria dos roteadores residenciais tem um escopo de DHCP no intervalo 192.168.x.x, esse dispositivo tem um escopo de DHCP padrão de 10.0.0.x e é configurável.
Se o roteador doméstico estiver usando 10.0.0.x, você deverá configurar o Cisco Aironet 600 Series OEAP para usar um 192.168.1.x ou um endereço IP compatível para evitar conflitos de rede.
Esta imagem mostra uma configuração de escopo DHCP:
Cuidado: se o Cisco Aironet 600 Series OEAP não for preparado ou configurado pelo administrador de TI, o usuário precisará inserir o endereço IP do controlador corporativo (veja abaixo) para que o AP possa se unir com êxito ao controlador. Após uma junção bem-sucedida, o AP deve baixar a imagem mais recente do controlador e os parâmetros de configuração, como as configurações de WLAN corporativas. Além disso, se configurada, a porta com fio das configurações de LAN remota #4 na parte traseira do Cisco Aironet 600 Series OEAP.
Se ele não se unir, verifique se o endereço IP do controlador pode ser acessado via Internet. Se a filtragem de endereços MAC estiver habilitada, verifique se o endereço MAC foi inserido com êxito no controlador.
Esta imagem mostra o endereço IP do controlador OEAP Cisco Aironet 600 Series:
Esta imagem mostra os aspectos físicos do Cisco Aironet 600 Series OEAP:
Este AP foi projetado para ser montado em uma mesa e tem pés de borracha. Ele também pode ser montado na parede ou pode ficar em posição vertical usando o suporte fornecido. Tente localizar o AP o mais próximo possível dos usuários pretendidos. Evite áreas com grandes superfícies metálicas, como sentar o dispositivo em uma mesa de metal ou perto de um espelho grande. Quanto mais paredes e objetos entre o AP e o usuário resultarem em menor intensidade de sinal e poderão reduzir o desempenho.
Observação: este AP utiliza uma fonte de alimentação de +12 Volts e não utiliza Power over Ethernet (PoE). Além disso, o dispositivo não fornece PoE. Verifique se o adaptador de energia correto está sendo usado com o AP. Além disso, certifique-se de não usar outros adaptadores de outros dispositivos, como laptops e telefones IP, pois eles podem danificar o AP.
A unidade pode ser montada na parede com âncoras plásticas ou parafusos de madeira.
A unidade pode ser montada na vertical usando o suporte fornecido.
O Cisco Aironet 600 Series OEAP tem antenas localizadas nas bordas do AP. O usuário deve tomar cuidado para não colocar o AP em áreas próximas a objetos metálicos ou obstruções que possam fazer com que o sinal se torne direcional ou diminua. O ganho da antena é de aproximadamente 2 dBi em ambas as bandas e projetado para irradiar em um padrão de 360 graus. Semelhante a uma lâmpada (sem uma sombra de lâmpada), o objetivo é irradiar em todas as direções. Pense no AP como você faria com uma lâmpada e tente colocá-lo próximo aos usuários.
Objetos de metal, como espelhos, obstruem o sinal de forma muito parecida com a analogia da lâmpada. Você pode experimentar throughput ou alcance degradado se o sinal precisar penetrar ou atravessar objetos sólidos. Se você espera conectividade, por exemplo, em uma casa de três andares, evite colocar o AP no porão e tente montar o AP em um local central dentro da casa.
O access point tem seis antenas (três por banda).
Esta imagem mostra um padrão de radiação da antena de 2,4 GHz (tirado da antena inferior esquerda).
Esta imagem mostra um padrão de radiação da antena de 5 GHz (tirado da antena do meio à direita):
Verifique se o cabeamento inicial está correto. Isso confirma que a porta WAN no Cisco Aironet 600 Series OEAP está conectada ao roteador e pode receber um endereço IP com êxito. Se o AP não parecer se unir à controladora, conecte um PC à porta 1-3 (portas de cliente doméstico) e veja se você pode navegar até o AP usando o endereço IP padrão de 10.0.0.1. O nome de usuário e a senha padrão são admin.
Verifique se o endereço IP do controlador corporativo está definido. Caso contrário, insira o endereço IP e reinicialize o Cisco Aironet 600 Series OEAP para que ele possa tentar estabelecer um link para o controlador.
Observação: o #4 da porta corporativa (em amarelo) não pode ser usado para navegar até o dispositivo para fins de configuração. Essa é essencialmente uma "porta inoperante", a menos que uma LAN remota seja configurada. Em seguida, ela será encapsulada de volta para a empresa (usada para conectividade corporativa com fio)
Verifique o log de eventos para ver como a associação progrediu (mais sobre isso posteriormente).
Esta imagem mostra o diagrama de cabeamento do Cisco Aironet 600 Series OEAP:
Esta imagem mostra as portas de conectividade do Cisco Aironet 600 Series OEAP:
Se o OEAP Cisco Aironet 600 Series falhar ao se unir ao controlador, é recomendável que você verifique estes itens:
Verifique se o roteador está funcionando e conectado à porta WAN do Cisco Aironet 600 Series OEAP.
Conecte um PC a uma das portas 1-3 no Cisco Aironet 600 Series OEAP. Ele deve ver a Internet.
Verifique se o endereço IP do controlador corporativo está no AP.
Confirme se o controlador está na DMZ e se pode ser acessado via Internet.
Verifique se a junção e confirme se o LED do logotipo da Cisco está azul ou roxo estável.
Aguarde tempo suficiente caso o AP precise carregar uma nova imagem e reiniciar.
Se um firewall estiver em uso, verifique se as portas UDP 5246 e 5247 não estão bloqueadas.
Esta imagem mostra o status do LED do logotipo do Cisco Aironet 600 Series OEAP:
Se o processo de junção falhar, o LED percorre o ciclo de cores ou pisca em laranja. Se isso ocorrer, verifique o log de eventos para obter mais detalhes. Para acessar o registro de eventos, navegue até o AP (usando o SSID pessoal ou as portas com fio 1-3) e capture esses dados para que o administrador de TI analise.
Esta imagem mostra o log de eventos do Cisco Aironet 600 Series OEAP:
Se o processo de junção falhar e esta for a primeira vez que o Cisco Aironet 600 Series OEAP tenta se conectar ao controlador, verifique as estatísticas de junção do AP para o Cisco Aironet 600 Series OEAP. Para fazer isso, você precisa do MAC de rádio base do AP. Isso pode ser encontrado no registro de eventos. Aqui está um exemplo de um log de eventos com comentários para ajudá-lo a interpretar isso:
Quando isso for conhecido, você poderá examinar as estatísticas do monitor do controlador para determinar se o Cisco Aironet 600 Series OEAP se uniu ao controlador ou se já se uniu ao controlador. Além disso, isso deve fornecer uma indicação sobre o motivo ou se ocorreu uma falha.
Se a autenticação do AP for necessária, verifique se o endereço MAC Ethernet do Cisco Aironet 600 Series OEAP (não o endereço MAC do rádio) foi inserido no servidor Radius em letras minúsculas. Você também pode determinar o endereço MAC Ethernet a partir do registro de eventos.
Procurando na controladora o Cisco Aironet 600 Series OEAP
Se você determinou que a Internet é acessível de um PC conectado à porta Ethernet local, mas o AP ainda não pode se unir ao controlador, e você confirmou que o endereço IP do controlador está configurado na GUI do AP local e está acessível, confirme se o AP já se uniu com êxito. Talvez o AP não esteja no servidor AAA. Ou, se o handshake DTLS falhar, o AP pode ter um certificado incorreto ou erro de data/hora no controlador.
Se nenhuma unidade Cisco Aironet 600 Series OEAP puder se unir ao controlador, verifique se o controlador está no DMZ e se pode ser alcançado e se as portas UDP 5246 e 5247 estão abertas.
O AP ingressa no controlador corretamente, mas o cliente sem fio não pode se associar ao SSID corporativo. Verifique o registro de eventos para ver se uma mensagem de associação alcança o AP.
A próxima figura mostra os eventos normais para a associação do cliente com o SSID corporativo com WPA ou WPA2. Para o SSID com autenticação aberta ou WEP estático, há apenas um evento ADD MOBILE.
Registro de eventos - Associação do cliente
Se o evento (Re)Assoc-Req não estiver no log, verifique se o cliente tem as configurações de segurança corretas.
Se o evento (Re)Assoc-Req aparecer no registro, mas o cliente não puder se associar corretamente, ative o comando debug client <endereço MAC> no controlador do cliente e investigue o problema da mesma forma que um cliente que trabalha com outros pontos de acesso Cisco não OEAP.
Os seguintes registros de eventos com comentários podem ajudá-lo a solucionar outros problemas de conexão do Cisco Aironet 600 Series OEAP.
Aqui estão alguns exemplos coletados dos arquivos de log de eventos do Cisco Aironet 600 Series OEAP com comentários para ajudar na interpretação do log de eventos:
O exemplo de log de eventos nesta seção pode ocorrer quando a conexão com a Internet falha ou acaba sendo muito lenta ou intermitente. Isso pode ser causado pela rede do ISP, pelo modem do ISP ou pelo roteador residencial. Às vezes, a conectividade do ISP cai ou se torna não confiável. Quando isso ocorre, o link CAPWAP (túnel de volta para a empresa) pode falhar ou ter dificuldade.
Aqui está um exemplo de uma falha no registro de eventos:
Ao usar o Cisco Aironet 600 Series OEAP em um hotel ou outro local de pagamento pelo uso, antes que o Cisco Aironet 600 Series OEAP possa fazer o túnel de volta para o controlador, você precisa atravessar o jardim murado. Para fazer isso, conecte um notebook a uma das portas locais com fio (portas 1 a 3) ou use um SSID pessoal para fazer login no hotel e atender à tela inicial.
Uma vez que você tenha conectividade com a Internet do lado da casa do AP, a unidade estabelece um túnel DTLS e seus SSIDs corporativos. Em seguida, a porta com fio #4 (supondo que uma LAN remota esteja configurada) se torna ativa.
Observação: isso pode levar alguns minutos, observe o LED do logotipo da Cisco para azul sólido ou roxo para indicar uma junção bem-sucedida. Neste ponto, a conectividade pessoal e corporativa está ativa.
Observação: o túnel é interrompido quando um hotel ou outro ISP se desconecta (geralmente 24 horas). Então, você tem que recomeçar o mesmo processo. Isso é normal e é por design.
Esta imagem mostra o Office Extend em uma configuração de pagamento para uso:
Esta imagem mostra comandos debug adicionais (informações de interface de rádio):
Quando você carrega o arquivo de configuração de um controlador para um servidor TFTP/FTP, as configurações de LAN remota são carregadas como configurações de WLAN. Consulte Release Notes para Cisco Wireless LAN Controllers e Lightweight Access Points para Release 7.0.116.0 para obter mais informações.
No OEAP-600, se a conexão CAPWAP falhar devido a uma falha de autenticação no controlador, o LED do logotipo da Cisco no OEAP-600 pode desligar por algum tempo antes que o OEAP-600 tente reiniciar a tentativa CAPWAP. Isso é normal, portanto você deve estar ciente de que o AP não morreu se o LED do logotipo apagar momentaneamente.
Este produto OEAP-600 tem um nome de login diferente dos Access Points OEAP anteriores, para ser consistente com os produtos domésticos, como Linksys, o nome de usuário padrão é admin com uma senha de admin. Os outros Access Points OEAP da Cisco, como o AP-1130 e o AP-1140, têm um nome de usuário padrão Cisco com uma senha de Cisco.
Esta primeira versão do OEAP-600 tem suporte para 802.1x, mas só é suportada na CLI. Os usuários que tentarem fazer alterações na GUI podem perder suas configurações.
Quando você usa o OEAP-600 em um hotel ou outro local de pagamento para uso, antes que o OEAP-600 possa fazer o túnel de volta para o controlador, você precisa passar pelo jardim murado. Basta conectar um notebook a uma das portas locais com fio (porta 1-3) ou usar um SSID pessoal para fazer login no hotel e atender à tela inicial. Uma vez que você tenha conectividade com a Internet a partir do lado da casa do AP, a unidade estabelece um túnel DTLS e seus SSIDs corporativos e #4 de porta com fio, o que pressupõe que a LAN remota esteja configurada e, em seguida, se torne ativa. Observe que isso pode levar alguns minutos, observe o LED do logotipo da Cisco para azul sólido ou roxo para indicar uma associação bem-sucedida. Neste ponto, a conectividade pessoal e corporativa está ativa.
Observação: o túnel pode ser interrompido quando o hotel ou outro ISP se desconecta (geralmente 24 horas) e você teria que reiniciar o mesmo processo. Isso é normal e é por design.
Escritório Estender local de pagamento para uso
Estes são alguns aprimoramentos adicionais introduzidos na versão 7.2 do Cisco:
Adição de segurança 802.1x adicionada à GUI
Capacidade de desabilitar o acesso à WLAN local no AP do controlador - desabilitando o SSID pessoal permitindo apenas a configuração corporativa
Opções selecionáveis de atribuição de canal
O suporte mudou de 2 SSID corporativos para 3 SSIDs
Suporte para recurso de porta RLAN dupla
Observações com relação à autenticação da porta LAN remota.
As opções selecionáveis de atribuição de canal são:
AP controlado localmente
WLC controlado
Esta observação se aplica aos APs da série OEAP-600 que usam o recurso de portas de RLAN duplas, que permite que a porta 3 Ethernet OEAP-600 opere como uma LAN remota. A configuração só é permitida através do CLI, e aqui está um exemplo:
Config network oeap-600 dual-rlan-ports enable|disable
Caso esse recurso não esteja configurado, a lan remota de porta única 4 continuará a funcionar. Cada porta usa uma lan remota exclusiva para cada porta. O mapeamento da lan remota é diferente, o que depende se o grupo padrão ou os grupos AP são usados.
Se o grupo padrão for usado, uma única LAN remota com um ID de LAN remota par será mapeada para a porta 4. Por exemplo, a lan remota com lan-id 2 remota é mapeada para a porta 4 (no OEAP-600). A lan remota com um ID de lan remota com número ímpar é mapeada para a porta 3 (no OEAP-600).
Como exemplo, considere estas duas lans remotas:
(Cisco Controller) >show remote-lan summary Number of Remote LANS............................ 2 RLAN ID RLAN Profile Name Status Interface Name ------- ------------------------------------- -------- -------------------- 2 rlan2 Enabled management 3 rlan3 Enabled management
a rlan2 tem um ID de lan remota par numerado, 2, e como tal mapeia para a porta 4. a rlan3 tem um ID de lan remota ímpar 3 e, portanto, mapeia para a porta 3.
Se você usar um grupo AP, o mapeamento para as portas OEAP-600 será determinado pela ordem do grupo AP. Para usar um grupo de AP, você deve primeiro excluir todas as LANs e WLANs remotas do grupo de AP e deixá-lo vazio. Em seguida, adicione as duas lans remotas ao grupo AP. Primeiro adicione a LAN remota do AP da porta 3, depois adicione o grupo remoto da porta 4 e, finalmente, adicione qualquer WLAN.
Uma lan remota na primeira posição da lista é mapeada para a porta 3 e a segunda na lista é mapeada para a porta 4, como neste exemplo:
RLAN ID RLAN Profile Name Status Interface Name ------- ------------------------------------- -------- -------------------- 2 rlan2 Enabled management 3 rlan3 Enabled management
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
25-May-2012 |
Versão inicial |