Cisco Aironet
1. Autonomous Access Pointの基本設定
1.1 ESSIDの設定
ESSIDを「AP0001」として新規作成する。パスフレーズは「testAP0001」でセキュリティはWPA2-PSKを使用する。
この時、ESSIDはステルスモード「no guest-mode」(デフォルト)とする。
dot11 ssid AP0001
vlan 100
authentication open
authentication key-management wpa
wpa-psk ascii testAP0001
exit
WiFiのインターフェースを「アクセスポイント」の役割に設定し、SSIDを関連付ける。
ここで、暗号方式を「AES」として選択する。
interface Dot11Radio0
encryption vlan 100 mode ciphers aes-ccm
ssid AP0001
station-role root access-point
exit
interface Dot11Radio0.100
encapsulation dot1Q 100
bridge-group 2
exit
FastEthernetインターフェースにVLAN100のタグを付加し、ブリッジグループと関連付ける。(WLC利用時には、ここがCAPWAPトンネリングになる)
interface FastEthernet0.100
encapsulation dot1Q 100
bridge-group 2
exit
2 Multi ESSID
1つのAPにてESSIDを複数動作させる!既存でESSID:AP0001が動作している環境に、ESSID:AP0002を追加する。
Vlanは200、WPA2を利用し暗号化はAESとする。それぞれIEEE802.11g (Dot11Radio0)を利用するものとする。※802.11aはDot11Radio1となる。
また、ESSIDをビーコンにて通知する。
2.1 ESSIDの設定
dot11 ssid AP0002
vlan 200
authentication open
authentication key-management wpa
mbssid guest-mode (ESSIDの通知、Multi ESSIDで無い場合は「guest-mode」となる)
wpa-psk ascii password0002
exit
2.2 Interfaceの設定
ESSID:AP0001はbridge-group 1としているため、別のグループ3とする。イメージとして、ブリッジグループ3に「Dot11Radio0.200、FastEthernet0.200」がお互いに所属することでインターフェースを超えたブリッジングが可能となる。また、AESの鍵変更は1時間(3600 seconds)とする
無線インターフェースの設定
interface Dot11Radio0
encryption vlan 200 mode ciphers aes-ccm
broadcast-key vlan 200 change 3600
ssid AP0002
exit
interface Dot11Radio0.200
encapsulation dot1Q 200
bridge-group 3
exit
有線インターフェースの設定
interface FastEthernet0.200
encapsulation dot1Q 200
bridge-group 3
exit
2.3 Multi ESSIDの有効化
上記のままでは、まだMulti ESSIDが有効となっていない。
AP#show dot11 bssid
Interface BSSID Guest SSID
Dot11Radio0 xxxx.xxxx.xxx0 No AP0001
Dot11Radio0 xxxx.xxxx.xxx0 Yes AP0002
上記の結果よりESSIDに対するBSSIDが同じになっている。そのため、それぞれ異なるBSSIDとなるようにMulti ESSIDを有効にする。
AP(config)#dot11 mbssid
有効にした後、BSSIDがそれぞれ異なり、動作していることが分かる。
AP#show dot11 bssid
Interface BSSID Guest SSID
Dot11Radio0 xxxx.xxxx.xxx0 No AP0001
Dot11Radio0 xxxx.xxxx.xxx1 Yes AP0002
3. MAC Address Filtering
Aironetにて登録したMACアドレス以外からのアクセスを拒否する。
アクセスリストは700番台を使用する。
ap(config)# access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
<1000-1099> IPX SAP access list
<1100-1199> Extended 48-bit MAC address access list
<1200-1299> IPX summary address access list
<1300-1999> IP standard access list (expanded range)
<200-299> Protocol type-code access list
<2000-2699> IP extended access list (expanded range)
<300-399> DECnet access list
<700-799> 48-bit MAC address access list
<800-899> IPX standard access list
<900-999> IPX extended access list
dynamic-extended Extend the dynamic [[ACL]] absolute timer
rate-limit Simple rate-limit specific access list
ap(config)#
ap(config)# access-list 701 permit xxxx.xxxx.xxxx 0000.0000.0000
ap(config)# dot11 association mac-list 701
MACアドレスフィルタリング有効化後、無線LANクライアントがアソシエーション出来ていることを確認する。
ap#show dot11 associations
802.11 Client Stations on Dot11Radio0:
SSID [AP0001] :
MAC Address IP address Device Name Parent State
xxxx.xxxx.xxxx 192.168.1.1 unknown - self Assoc
Cisco Wireless LAN Controller
1. WLCの基本設定
(Cisco Controller)
Welcome to the Cisco Wizard Configuration Tool
Use the '-' character to backup
Would you like to terminate autoinstall? [yes]:
AUTO-INSTALL: starting now...
rc = 0
System Name [Cisco_xx:xx:xx] (31 characters max):
AUTO-INSTALL: no interfaces registered.
AUTO-INSTALL: process terminated -- no configuration loaded
-
Invalid response
System Name [Cisco_xx:xx:xx] (31 characters max): wlc-01
Enter Administrative User Name (24 characters max): admin
Enter Administrative Password (3 to 24 characters): *********
Re-enter Administrative Password : *********
Management Interface IP Address: 172.16.1.250
Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 172.16.1.254
Management Interface VLAN Identifier (0 = untagged): 1001
Management Interface Port Num [1 to 8]: 1
Management Interface [[DHCP]] Server IP Address: 172.16.1.254
AP Manager Interface IP Address: 192.168.8.250
AP Manager Interface Netmask: 255.255.255.0
AP Manager Interface Default Router: 192.168.8.254
AP Manager Interface VLAN Identifier (0 = untagged): 8
AP Manager Interface Port Num [1 to 8]: 1
AP Manager Interface DHCP Server (172.16.1.254): 192.168.8.254
Virtual Gateway IP Address: 1.1.1.1
Mobility/RF Group Name: MGroup-01
Network Name (SSID): test-ssid
Configure DHCP Bridging Mode [yes][NO]: yes
Warning! Enabling Bridging mode will disable Internal DHCP server and DHCP Proxy feature.
May require DHCP helper functionality on external switches.
Allow [[Static]] IP Addresses [YES][no]: yes
Configure a RADIUS Server now? [YES][no]: no
Warning! The default WLAN security policy requires a RADIUS server.
Please see documentation for more details.
Enter Country Code list (enter 'help' for a list of countries) [US]: J2
Enable 802.11b Network [YES][no]: yes
Enable 802.11a Network [YES][no]: yes
Enable 802.11g Network [YES][no]: yes
Enable Auto-RF [YES][no]: yes
Configure a [[NTP]] server now? [YES][no]: no
Configure the system time now? [YES][no]: no
Warning! No AP will come up unless the time is set.
Please see documentation for more details.
Configuration correct? If yes, system will save it and reset. [yes][NO]: yes
上記の初期設定後のconfig
(Cisco Controller) >config paging disable
(Cisco Controller) >show run-config commands
802.11a cac voice tspec-inactivity-timeout ignore
802.11a cac video tspec-inactivity-timeout ignore
802.11a cac voice sip codec g711 sample-interval 20
802.11a cac voice sip bandwidth 64 sample-interval 20
802.11a cac voice stream-size 84000 max-streams 2
802.11b cac voice tspec-inactivity-timeout ignore
802.11b cac video tspec-inactivity-timeout ignore
802.11b cac voice sip codec g711 sample-interval 20
802.11b cac voice sip bandwidth 64 sample-interval 20
802.11b cac voice stream-size 84000 max-streams 2
802.11h channelswitch enable 0
aaa auth mgmt local radius
location rssi-half-life tags 0
location rssi-half-life client 0
location rssi-half-life rogue-aps 0
location expiry tags 5
location expiry client 5
location expiry calibrating-client 5
location expiry rogue-aps 5
advanced eap bcast-key-interval 3600
Cisco Public Safety is not allowed to set in this domain
ap syslog host global 255.255.255.255
cdp advertise-v2 enable
country J2
database size 2048
dhcp proxy disable
dhcp opt-82 remote-id ap-mac
local-auth method fast server-key ****
interface address ap-manager 192.168.8.250 255.255.255.0 192.168.8.254
interface address management 172.16.1.250 255.255.255.0 172.16.1.254
interface address virtual 1.1.1.1
interface dhcp ap-manager primary 192.168.8.254
interface dhcp management primary 172.16.1.254
interface vlan ap-manager 8
interface vlan management 1001
interface port ap-manager 1
interface port management 1
load-balancing aggressive enable
load-balancing window 5
apgroup add default-group
apgroup interface-mapping add default-group 1 management
wlan apgroup nac-snmp disable default-group 1
memory monitor error enable
memory monitor leak thresholds 10000 30000
mesh security rad-mac-filter disable
mesh security rad-mac-filter disable
mesh security eap
mgmtuser add admin **** read-write
mobility group domain MGroup-01
mobility dscp 0
[[network]] multicast mode multicast 0.0.0.0
network ap-priority disabled
network rf-network-name MGroup-01
paging disable
radius fallback-test mode off
radius fallback-test username cisco-probe
radius fallback-test interval 300
rogue ap ssid alarm
rogue ap valid-client alarm
rogue adhoc enable
rogue adhoc alert
rogue ap rldp disable
rogue detection monitor-ap report-interval 10
Not Supported.
snmp version v2c enable
snmp version v3 enable
snmp snmpEngineId xxxxxxxxxxxxxxxxxxxxxxxx
switchconfig strong-pwd case-check enabled
switchconfig strong-pwd consecutive-check enabled
switchconfig strong-pwd default-check enabled
switchconfig strong-pwd username-check enabled
sysname wlc-01
trapflags mesh excessive hop count disable
trapflags mesh sec backhaul change disable
wlan create 1 test-ssid test-ssid
wlan nac snmp disable 1
Max no. of clients 0
wlan multicast interface 1 disable
wlan session-timeout 1 1800
wlan h-reap learn-ipaddr 1 enable
wlan wmm allow 1
wlan security wpa akm ft reassociation-time 20 1
wlan security wpa akm ft over-the-air enable 1
wlan security wpa akm ft over-the-ds enable 1
wlan enable 1
license agent default authenticate none
license boot base
WMM-AC disabled
coredump disable
media-stream multicast-direct disable
media-stream message url
media-stream message email
media-stream message phone
media-stream message note denial
media-stream message state disable
802.11a media-stream multicast-direct enable
802.11b media-stream multicast-direct enable
802.11a media-stream multicast-direct radio-maximum 0
802.11b media-stream multicast-direct radio-maximum 0
802.11a media-stream multicast-direct client-maximum 0
802.11b media-stream multicast-direct client-maximum 0
802.11a media-stream multicast-direct admission-besteffort disable
802.11b media-stream multicast-direct admission-besteffort disable
802.11a media-stream video-redirect enable
802.11b media-stream video-redirect enable
(Cisco Controller) >
config certificate generate webadmin
config interface port management 1
config interface port ap-manager 1
config interface address management 172.16.1.250 255.255.255.0 172.16.1.254
config interface dhcp management primary 172.16.1.254
config interface vlan management 1001
config interface address virtual 1.1.1.1
config interface address ap-manager 192.168.8.250 255.255.255.0 192.168.8.254
config interface dhcp ap-manager primary 192.168.8.254
config interface vlan ap-manager 8
config country J2
config mobility group domain MGroup-01
config sysname wlc-01
config database size 2048
config license boot base
config network rf-network-name MGroup-01
config dhcp proxy disable bootp-broadcast disable
config mgmtuser add encrypt admin xxxxxx xxxxxx xxxxxx xxxxxx read-write
config advanced 802.11a channel add 36
config advanced 802.11a channel add 40
config advanced 802.11a channel add 44
config advanced 802.11a channel add 48
config advanced 802.11a channel add 52
config advanced 802.11a channel add 56
config advanced 802.11a channel add 60
config advanced 802.11a channel add 64
config advanced 802.11b channel add 1
config advanced 802.11b channel add 6
config advanced 802.11b channel add 11
config wlan wmm allow 1
config wlan mfp client enable 1
config wlan security wpa enable 1
config wlan exclusionlist 1 1
config wlan broadcast-ssid enable 1
config wlan interface 1 management
config wlan session-timeout 1 1800
config wlan create 1 test-ssid test-ssid
config wlan mobility foreign-map add
config wlan enable 1
config 802.11a 11nsupport a-msdu tx priority
config 802.11a cac voice sip bandwidth 64 sample-interval 20
config 802.11a cac voice sip codec g711 sample-interval 20
config 802.11b 11nsupport a-msdu tx priority
config 802.11b cac voice sip bandwidth 64 sample-interval 20
config 802.11b cac voice sip codec g711 sample-interval 20
config 802.11b 11gsupport enable
transfer upload filename wlc_config.cfg
transfer upload datatype config
transfer upload serverip 172.16.1.1
transfer upload path /
transfer download filename wlc_config.cfg
transfer download serverip 172.16.1.1
transfer download path /
1.1. APのチャネル固定
(Cisco Controller) >config 802.11a disable AP01
(Cisco Controller) >config 802.11a channel ap AP01 52
(Cisco Controller) >config 802.11a enable AP01
(Cisco Controller) >
1.2. APの動的チャネル変更(Globalモード)
(Cisco Controller) >config 802.11a disable AP01
(Cisco Controller) >config 802.11a channel ap AP01 global
(Cisco Controller) >config 802.11a enable AP01
(Cisco Controller) >
1.3 ClientExclusionによる接続問題?
無線LANのアソシエーションを頻繁に行っていたら、繋がらなくなったのでログをアップ
peap-notconnect.zip
1-debug_dot1x_ok.log
問題なくPEAP認証出来る状態。
2-debug_dot1x_no_radius_request-ng.log
認証が出来なくなった時のログ。(接続・切断を連打したことにより繋がらなくなる)この時、
Radius Requestが送信されず、また、異なるSSIDのWPA2-PSKすらも認証出来なくなった。そのため、Client Exclusionによる影響?かと思われる。(但し、WLAN Profile自体でのClient Exclusionは有効・無効どちらでも問題が発生することを確認・・・)
3-debug_dot1x_no_radius_request-ng_no_client_exclusion-ok.log
Client Exclusionを無効化して問題なく接続が復旧した時のログ。(復旧に時間が掛かる?)
最終更新:2016年02月04日 04:15
