Cisco经典文档

当前位置: 首页Cisco经典文档无线 LAN 控制器 (WLC) 配置最佳实践

无线 LAN 控制器 (WLC) 配置最佳实践

 

 

                                                       文档下载:

切换至英文原版

 

内容

前言
前提条件
      需求
      使用的组件
      惯例
最佳实践
      无线/RF
      网络连接
      网络设计
      移动性
      安全
      常规管理
      如何转接从WLC CLI的WLC失败文件到Tftp server
      core dump文件上载到 FTP 服务器
 

前言

本文档针对技术支持中心 (TAC) 常见的几个无线统一基础架构问题提供了简要的配置提示。

其目的是提供可适用于大多数网络实施的重要说明,以便最大限度地减少可能发生的问题。

注意: 并非所有的网络都是相同的,因此,某些提示可能不适用于您的安装。 在真实网络中执行任何更改之前,务必先验证这些提示。

前提条件

需求

Cisco 建议您了解以下主题:

  • 了解如何配置无线 LAN 控制器 (WLC) 和轻量接入点 (LAP) 以执行基本的操作

  • 基本了解轻量接入点协议 (LWAPP) 和无线安全方法

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 运行固件 4.2 或 5.0 的 Cisco 2000/2100/4400 系列 WLC

  • 基于 LWAPP 的接入点,1230、1240、1130、10x0 和 1510 系列

本文档中的信息都是基于特定实验室环境中的设备创建的。 本文档中使用的所有设备最初均采用原始(默认)配置。 如果您在一个工作网络中操作,在使用之前请确认您已经理解所有指令的潜在影响。

惯例

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

最佳实践

无线/RF

无线/射频 (RF) 的最佳实践如下:

  • 对于任何无线部署,务必进行适当的现场勘测,以确保为无线客户端提供适当的服务质量。 对语音或定位部署的要求比对数据服务的要求更严格。 自动 RF 可有助于信道和功率设置管理,但无法更正错误的 RF 设计。

  • 进行现场勘测时,使用的设备必须与实际网络中要使用的设备的功率和传播状态匹配。 例如,如果最终网络对 802.11A 和 802.11G 使用 1240 双频无线电设备,则不要使用带有全向天线的 350 802.11B 无线电设备来研究覆盖范围。

  • 建议限制在控制器中配置的服务集标识符 (SSID) 的数目。 根据接入点型号,可以同时配置 8 个或 16 个 SSID,但由于每个 WLAN/SSID 需要单独的探测响应和信标,因此添加更多的 SSID 会导致 RF 污染增加。 结果是一些较小的无线站点(如 PDA、WiFi 电话和条码扫描仪)无法处理大量的基本 SSID (BSSID) 信息。 这会导致锁定、重新加载或者关联故障。 此外,SSID 越多,需要的信标也越多,从而导致可用于实际数据传输的 RF 空间变少。

  • 对于空间畅通的 RF 环境(例如,接入点位于没有墙的宽敞空间的工厂),可能需要将发射功率阈值从默认值 -65 dBm 调整到一个较小的值(如 -76 dBm)。 这样,就可以降低同信道干扰(给定时刻无线客户端听到的 BSSID 数目)。 最佳值取决于各个现场的环境特征,因此在进行现场勘测时应认真评估。

    功率发射阈值 - 该值(用 dBm 表示)为截止信号电平,到达该值时发射功率控制 (TPC) 算法会下调功率电平,因此该值表示听到 AP 的第三个最强邻居时的强度。

  • 对于某些 802.11 客户端软件,如果听到的 BSSID 数目超过某个固定的数目(例如,24 个或 32 个 BSSID),则可能会遇到困难。 减小发射功率阈值并因此降低平均 AP 传输电平时,可以减少此类客户端听到的 BSSID 数目。

  • 除非网络区域中部署的接入点密度很高,否则请不要启用主动负载均衡;当提供无线语音服务时,切勿启用主动负载均衡。 如果启用此功能,并且接入点之间相距很远,则可能会使某些客户端的漫游算法混淆,在某些情况下还可能产生覆盖盲区。 在最新的软件版本中,默认情况下禁用此功能。 请记住,不得将此功能用于语音网络,并且某些早期版本的客户端在理解来自 AP 的负载均衡响应时可能存在问题。

网络连接

网络连接的最佳实践如下:

  • 不要在控制器上使用生成树。

    对于大多数拓扑,不需要使用在控制器中运行的生成树协议 (STP)。 默认情况下会禁用 STP。

    对于非 Cisco 交换机,同样也建议您在每个端口上禁用 STP。

    使用以下命令来验证是否已禁用 STP: 

    Cisco Controller) >show spanningtree switch 

STP Specification...................... IEEE 802.1D
STP Base MAC Address................... 00:18:B9:EA:5E:60
Spanning Tree Algorithm................ Disable 
STP Bridge Priority.................... 32768
STP Bridge Max. Age (seconds).......... 20
STP Bridge Hello Time (seconds)........ 2
STP Bridge Forward Delay (seconds)..... 15

  • 虽然大多数控制器配置都是即时应用的,但在更改以下配置设置后,最好重新加载控制器:

    • 管理地址

    • SNMP 配置 - 如果使用早期版本的软件,则此配置非常重要。

  • 通常,WLC 的管理接口未进行标记。 在这种情况下,发送到管理接口以及从管理接口发出的数据包将使用与 WLC 连接的中继端口的本地 VLAN。 但是,如果要使管理接口属于另一个 VLAN,请使用 <Cisco Controller> config interface vlan management<vlan-id> 命令将管理接口标记为相应的 VLAN。 确保在端口上允许使用对应的 VLAN。

  • 对于连接到控制器的所有中继端口,请过滤掉未在使用的 VLAN。

    例如,在 Cisco IOS® 交换机中,如果管理接口位于 VLAN 20 上,并且 VLAN 40 和 VLAN 50 用于两个不同的 WLAN,请在交换机端使用以下配置命令:

    switchport trunk allowed vlans 20,40,50

  • 不要保留地址为 0.0.0.0 的接口,例如,未配置的服务端口。 它可能会影响控制器中的 DHCP 处理。

    验证方式如下:

    (Cisco Controller) >show interface summary             
Interface Name        Port  Vlan Id   IP Address       Type     Ap Mgr
--------------------  ----  --------  ---------------  -------  ------
ap-manager            LAG   15        192.168.15.66    Static   Yes 
example               LAG   30        0.0.0.0          Dynamic  No    
management            LAG   15        192.168.15.65    Static   No    
service-port          N/A   N/A       10.48.76.65      Static   No    
test                  LAG   50        192.168.50.65    Dynamic  No    
virtual               N/A   N/A       1.1.1.1          Static   No

  • 除非控制器的所有端口在交换机端具有相同的第 2 层配置,否则请不要使用 LAG。 例如,避免在一个端口上过滤一些 VLAN,但在其他端口上却不进行过滤。

  • 使用 LAG 时,控制器依靠交换机决定是否对来自网络的流量进行负载均衡。 它希望属于某个 AP(LWAPP 或网络到无线用户)的流量总是通过相同端口流入。 在交换机 EtherChannel 配置中,请仅使用 ip-src 或 ip-src ip-dst 负载均衡选项。 某些交换机型号在默认情况下可能会使用不支持的负载均衡机制,因此务必要进行验证。

    验证 EtherChannel 负载均衡机制的方式如下: 

    switch#show etherchannel load-balance 
EtherChannel Load-Balancing Configuration:
src-dst-ip

EtherChannel Load-Balancing Addresses Used Per-Protocol:
Non-IP: Source XOR Destination MAC address
IPv4: Source XOR Destination IP address
IPv6: Source XOR Destination IP address

    更改交换机配置 (IOS) 的方式如下: 

    switch(config)#port-channel load-balance src-dst-ip

    对于 Cisco IOS 软件版本 12.2(33)SXH6,PFC3C 模式机箱可使用一个选项在负载分布中排除 VLAN。 使用 port-channel load-balance src-dst-ip exclude vlan 命令可以实现此功能。 此功能将确保属于某个 LAP 的流量通过相同端口流入。

  • 不要配置跨多个交换机的 LAG 连接。 使用 LAG 时,所有端口必须属于连接到同一物理交换机的相同 EtherChannel。

  • 如果要将 WLC 连接到多个交换机,则必须为每个物理端口创建一个 AP 管理器。 这将提供冗余和可扩展性。

    注意: 在 Cisco 4400-100 型号 WLC 上,至少需要三个活动物理端口才能利用每个 WLC 的 100 个接入点的最大容量。 对于 Cisco 4400-50 型号 WLC,则需要两个物理端口才能利用每个 WLC 的 50 个接入点的最大容量。

  • 尽可能不要为 AP 管理器接口创建备份端口,即使早期的软件版本中允许使用备份端口也是如此。 正如本文档前面所述,多个 AP 管理器接口可提供冗余。

  • 对于多播转发,通过多播模式可以在使用较少带宽的情况下获得最佳性能。

    在控制器上验证多播模式的方式如下:

    (WiSM-slot1-1) >show network summary

RF-Network Name............................. 705
Web Mode.................................... Enable
Secure Web Mode............................. Enable
Secure Web Mode Cipher-Option High.......... Disable
Secure Shell (ssh).......................... Enable
Telnet...................................... Enable
Ethernet Multicast Mode..................... Enable   Mode: Mcast  239.0.1.1
Ethernet Broadcast Mode..................... Disable
IGMP snooping............................... Disabled
IGMP timeout................................ 60 seconds
User Idle Timeout........................... 300 seconds
ARP Idle Timeout............................ 300 seconds
ARP Unicast Mode............................ Disabled
Cisco AP Default Master..................... Disable
Mgmt Via Wireless Interface................. Disable
Mgmt Via Dynamic Interface.................. Disable
Bridge MAC filter Config.................... Enable
Bridge Security Mode........................ EAP
Over The Air Provisioning of AP's........... Enable
Apple Talk ................................. Disable
AP Fallback ................................ Enable

    更改交换机配置 (IOS) 的方式如下:

    config network multicast mode multicast 239.0.1.1
config network multicast global enable

  • 控制器使用多播地址将流量转发给接入点。 多播地址不能与网络上其他协议使用的任何地址匹配,这一点很重要。 例如,如果使用 224.0.0.251,则它会中断某些第三方应用程序使用的 mDNS。 建议多播地址属于一个专用范围(239.0.0.0-239.255.255.255,且不包括 239.0.0.x 和 239.128.0.x)。

  • 如果接入点所在的子网络与管理接口上使用的子网络不同,则网络基础架构必须在管理接口子网与 AP 子网络之间提供多播路由。

网络设计

网络设计的最佳实践如下:

  • 限制每个 VLAN 的接入点数目。 如果使用较高的代码版本,则接入点数目最好在 60 到 100 之间。 这有助于在网络出现故障时最大限度地减少重新关联问题。 可以将基于 Cisco IOS 的 AP 部署在密度较高的子网络中。 务必确保底层的第 2 层和第 3 层拓扑配置正确(生成树、负载均衡等)。

  • 对于本地模式下的 AP,请使用 portfast 配置交换机端口。 为此,需要将要连接的端口设置为“主机”端口(switchport host 命令),或者直接使用 portfast 命令。 这会使 AP 的连接过程更快。 由于 LWAPP AP 决不会在 VLAN 之间进行桥接,因此没有形成环路的风险。

  • 关于第一个提示,除非使用 4.2.112.0 或更高版本的代码,否则不要在控制器管理接口所在的 VLAN 中放置 20 个以上的接入点。 由于接入点会生成大量的广播消息,因此一些发现消息可能会被丢弃,这将导致接入点加入过程变慢。

  • 按照设计,CPU 发起的大多数流量是从控制器中的管理地址发送的。 例如,SNMP 陷阱、RADIUS 身份验证请求、多播转发等。

    与 DHCP 相关的流量是此规则的例外情况,对于控制器软件 4.0 及更高版本,该流量是从与 WLAN 设置相关的接口发送的。 例如,如果 WLAN 使用动态接口,则使用该接口的第 3 层地址转发 DHCP 请求。

    配置防火墙策略或设计网络拓扑时,这是务必要考虑的。 重要的是避免在必须可供控制器 CPU 访问的服务器(例如,RADIUS 服务器)所在的子网络中配置动态接口,因为这可能会导致非对称路由问题。

移动性

移动性的最佳实践如下:

  • 移动性组中的所有控制器的虚拟接口应该具有相同的 IP 地址,如 1.1.1.1。 这对于漫游来说很重要。 如果移动性组中的所有控制器未使用相同的虚拟接口,则看似可以进行控制器间漫游,但无法完成移交,并且客户端会断开连接一段时间。

    验证方式如下:

    (Cisco Controller) >show interface summary             

Interface Name      Port   Vlan Id   IP Address       Type     Ap Mgr
-----------------   -----  --------  ---------------  -------  ------
ap-manager           LAG   15        192.168.15.66    Static   Yes 
management           LAG   15        192.168.15.65    Static   No    
service-port         N/A   N/A       10.48.76.65      Static   No    
test                 LAG   50        192.168.50.65    Dynamic  No    
virtual              N/A   N/A       1.1.1.1          Static   No

  • 在网络基础架构中,虚拟网关地址必须是不可路由的。 只有在连接到控制器时,才能从无线客户端访问虚拟网关地址,但绝对无法从有线连接访问该地址。

  • 所有控制器必须配置为使用相同的 LWAPP 传输模式(第 2 层或第 3 层)。

  • 所有控制器的管理接口之间必须存在 IP 连接。

  • 在大多数情况下,所有控制器必须配置有相同的移动性组名称。 例如,在 Cisco WiSM 中,两个控制器必须配置有相同的移动性组名称,才能在 300 个接入点间进行无缝路由。 此规则的例外情况是控制器上(尤其是 DMZ 上)用于来宾访问功能的部署。

  • 所有控制器必须运行相同版本的控制器软件。 此规则唯一可接受的例外情况是,在来宾访问 DMZ 控制器方案中当前运行 4.2.112.0 作为锚点的控制器,以及运行最低版本为 4.1.185.0 的控制器。

  • 必须收集要包括在移动性组中的每个控制器的 MAC 地址和 IP 地址。 此信息是必需的,因为需要使用所有其他移动性组成员的 MAC 地址和 IP 地址来配置每个控制器。 在每个控制器的 GUI 的 Controller > Mobility Groups 页上,可以找到要包括在移动性组中的其他控制器的 MAC 和 IP 地址。

  • 不要创建不必要的大型移动性组。 移动性组只应包含在客户端可以物理漫游的区域中具有接入点的所有控制器,例如,在大厦中具有接入点的所有控制器。 对于几栋大厦较分散的情况,应将这些大厦划分为几个移动性组。 这样可以节省内存和 CPU,因为控制器不需要保存组内的有效客户端、非法接入点和接入点的大型列表,从而使它们无论如何都不会交互。

    此外,请尝试将跨控制器的 AP 分布(而不是椒盐分布)包括在移动性组中,以便每层楼每个控制器都有 AP(此处是举例说明)。 这将减少控制器间漫游,从而对移动性组活动具有较小影响。

    此外,如果使用的是 5.x 版本,还可以添加多播移动性功能,以便减少漫游/关联期间进行客户端通告所需的流量。 有关详细信息,请参阅 Cisco 无线 LAN 控制器配置指南 5.2 版中的移动性组之间的消息传送部分。

    请记住,WLC 冗余是通过移动性组实现的。 因此,在某些情况下可能需要增加移动性组的大小(包括附加控制器),以实现冗余(例如,N+1 拓扑)。

  • 在移动性组中包含多个控制器的情况下,当重新加载控制器后,通查会发现一些有关网络中我们自己的接入点的非法接入点警报。 出现这种情况是因为更新移动性组成员之间的接入点、客户端和非法接入点列表需要一些时间。

  • 通过 WLAN 设置中的 DHCP Required 选项,您可以在每次客户端与 WLAN 关联时强制客户端请求或续订 DHCP 地址,然后才允许客户端在网络中发送或接收其他流量。 从安全角度看,这样能够更严格地控制正在使用的 IP 地址,但同时可能影响允许流量再次传递之前进行漫游所需的总时间。

    此外,还可能会影响直到租用时间到期才续订 DHCP 的一些客户端实施。 例如,如果启用了此选项,则 Cisco 7920 或 7921 电话在漫游时可能存在语音问题,因为在 DHCP 阶段完成之前,控制器不允许语音或信令流量通过。 某些第三方打印机服务器也可能会受到影响。 通常,如果 WLAN 中包含非 Windows 客户端,最好不要使用此选项。 这是因为更严格的控制可能会导致连接问题,具体取决于 DHCP 客户端的实现方式。 验证方式如下: 

    (Cisco Controller) >show wlan 1                  


WLAN Identifier.................................. 1
Profile Name..................................... 4400
Network Name (SSID).............................. 4400
Status........................................... Enabled
MAC Filtering.................................... Disabled
Broadcast SSID................................... Enabled
AAA Policy Override.............................. Disabled
Number of Active Clients......................... 0
Exclusionlist Timeout............................ 60 seconds
Session Timeout.................................. 1800 seconds
Interface........................................ management
WLAN ACL......................................... unconfigured
DHCP Server...................................... Default
DHCP Address Assignment Required................. Disabled 
Quality of Service............................... Silver (best effort)
WMM.............................................. Disabled
CCX - AironetIe Support.......................... Enabled
CCX - Gratuitous ProbeResponse (GPR)............. Disabled
Dot11-Phone Mode (7920).......................... Disabled
Wired Protocol................................... None

  • 如果使用第 3 层漫游(例如,一个控制器上的一个 WLAN 的子网与另一个控制器上的子网或 AP 组不匹配),建议在所有控制器上启用对称移动性,以避免出现非对称路由问题。 如果网络中部署了提供状态控制的防火墙,则启用对称移动性非常重要,因为这些防火墙会中断数据流。 在同一移动性组的所有控制器中,此设置必须相同。

    验证方式如下:

    (Cisco Controller) >show mobility summary 

Symmetric Mobility Tunneling (current) .......... Disabled
Symmetric Mobility Tunneling (after reboot) ..... Disabled
Mobility Protocol Port........................... 16666
Mobility Security Mode........................... Disabled
Default Mobility Domain.......................... 100
Mobility Keepalive interval...................... 10
Mobility Keepalive count......................... 3
Mobility Group members configured................ 1

Controllers configured in the Mobility Group

 MAC Address        IP Address       Group Name         Status

 00:16:9d:ca:e4:a0    192.168.100.28   100              Up

    配置方式如下:

    config mobility symmetric-tunneling enable

    注意: 必须重新启动控制器,此设置才会生效。

  • 如果使用 5.0 代码或更高版本,建议为移动性配置多播模式。 这样,客户端通告消息便会以多播方式在移动性对等体之间发送,而不是以单播方式发送到每个控制器,从而可节省时间、减少 CPU 资源使用并提高网络使用率。

    验证方式如下:

    (WiSM-slot1-1) >show mobility summary 

Symmetric Mobility Tunneling (current) .......... Disabled
Symmetric Mobility Tunneling (after reboot) ..... Disabled
Mobility Protocol Port........................... 16666
Mobility Security Mode........................... Disabled
Default Mobility Domain.......................... 705
Multicast Mode .................................. Enabled
Mobility Domain ID for 802.11r................... 0x8e5e
Mobility Keepalive Interval...................... 10
Mobility Keepalive Count......................... 3
Mobility Group Members Configured................ 2
Mobility Control Message DSCP Value.............. 0

Controllers configured in the Mobility Group

 MAC Address        IP Address       Group Name         Multicast IP         Status

 00:14:a9:bd:da:a0    192.168.100.22   705              239.0.1.1        Up

 00:19:06:33:71:60    192.168.100.67   705              239.0.1.1        Up

安全

安全性的最佳实践如下:

  • 建议将 RADIUS 超时值更改为 5 秒。 对于快速 RADIUS 故障切换,默认值 2 秒是可接受的,但对于可扩展身份验证协议 - 传输层安全 (EAP-TLS) 身份验证,或者 RADIUS 服务器必须访问外部数据库(Active Directory、NAC、SQL 等)的情况,则该默认值可能不够大。

    验证方式如下: 

    (Cisco Controller) >show radius summary 
Vendor Id Backward Compatibility............ Disabled
Credentials Caching......................... Disabled
Call Station Id Type........................ IP Address
Administrative Authentication via RADIUS.... Enabled
Aggressive Failover......................... Disabled
Keywrap..................................... DisabledAuthentication Servers


!--- This portion of code has been wrapped to several lines due to spatial
!--- concerns.

Idx  Type  Server Address    Port    State    Tout RFC3576
---  ----  ----------------  ------  --------  ----  -------
1    N     10.48.76.50       1812    Enabled   2    Enabled

IPSec -AuthMode/Phase1/Group/Lifetime/Auth/Encr
------------------------------------------------
Disabled - none/unknown/group-0/0 none/none

    配置方式如下:

    config radius auth retransmit-timeout 1 5

  • 检查 SNMPv3 默认用户。 默认情况下,控制器会附带一个应禁用或更改的用户名。

    验证方式如下:

    (Cisco Controller) >show snmpv3user 

SNMP v3 User SNMP v3 User Name AccessMode Authentication Encryption 
-------------------- ----------- -------------- ---------- 
default Read/Write HMAC-MD5 CBC-DES

    配置方式如下: 

    config snmp v3user delete default
config snmp v3user create nondefault rw hmacsha des authkey encrkey

    请记住,控制器和无线控制系统 (WCS) 之间的 SNMP 设置必须匹配。 此外,还应使用与安全策略匹配的加密和哈希密钥。

  • 使用外部身份验证页进行 Web 身份验证时,请不要使用同时充当 Web 服务器和代理服务器的服务器来托管登录页。 在身份验证完成之前,控制器允许来自无线客户端的 HTTP 流量进入服务器。 这样,该客户端就可以使用服务器上的代理服务进行导航。

  • 在控制器中,EAP 身份请求的默认超时值为 1 秒;对于提示用户输入 PIN 或口令后无线客户端才能响应身份请求的某些情况(例如,一次性口令或智能卡实施),该默认超时值不够长。 在自治接入点中,默认值为 30 秒,因此在将自治接入点迁移到基础架构无线网络时,应考虑此默认值。

    更改方式如下:

    config advanced eap identity-request-timeout 30

  • 在主动环境中,一个有用的功能是启用阈值为 2 的接入点身份验证。 这样不仅能够检测可能的欺骗,还能最大限度地减少误报检测。

    配置方式如下:

    config wps ap-authentication enable
config wps ap-authentication threshold 2

  • 关于上一个提示,还可以使用管理帧保护 (MFP) 对在无线基础架构中的临近接入点之间检测到的所有 802.11 管理流量进行身份验证。 需要考虑到某些常见的第三方无线网卡的驱动程序实施存在问题,即,无法正确地处理 MFP 所增加的额外信息元素。 在测试和使用 MFP 之前,请确保使用网卡制造商提供的最新驱动程序。

  • NTP 对于多种功能来说非常重要。 如果使用以下任一功能,则必须在控制器上使用 NTP 同步: 定位、SNMPv3、接入点身份验证或 MFP。

    配置方式如下: 

    config time ntp server 1 10.1.1.1

    要进行验证,请检查陷阱日志中的以下类似条目: 

    30 Tue Feb 6 08:12:03 2007 Controller time base status - 
Controller is in sync with the central timebase.

  • 将受保护的 EAP - Microsoft 质询握手身份验证协议版本 2 (PEAP-MSCHAPv2) 与 Microsoft XP SP2 一起使用,并且无线网卡由 Microsoft 无线零配置 (WZC) 管理时,应该应用 Microsoft 热修补程序 KB885453leavingcisco.com 这样能防止与 PEAP 快速恢复相关的几个身份验证问题。

  • 如果出于安全原因需要将无线客户端分隔在几个子网络中,并且每个子网络使用不同的安全策略,则建议使用一个或两个 WLAN(例如,每个 WLAN 使用不同的第 2 层加密策略)以及 AAA 覆盖功能。 通过此功能,可以为每个用户指定设置。 例如,将用户移到一个单独的 VLAN 中的特定动态接口,或者应用每个用户的访问控制列表。

  • 虽然控制器和接入点都支持 SSID 同时使用 Wi-Fi 保护访问 (WPA) 和 WPA2 的 WLAN,但经常会出现某些无线客户端驱动程序无法处理复杂的 SSID 设置的情况。 通常,最好使安全策略对任何 SSID 来说都很简单,例如, 将一个 WLAN/SSID 与 WPA 和临时密钥完整性协议 (TKIP) 配合使用,并将另一个单独的 WLAN/SSID 与 WPA2 和高级加密标准 (AES) 配合使用。

常规管理

常规管理的最佳实践如下:

  • 通常,在升级之前,最好对配置执行二进制备份。 WLC 支持将早期版本的配置信息转换为新版本,但不支持将新版本的配置信息转换为早期版本。 这同时适用于主要版本更改和次要版本更改。

  • 在早期版本中使用新版本配置可能会导致设置(访问列表、接口等)丢失,或者导致功能运行不正常。 如果需要降级控制器,建议在降级后清除配置、重新配置管理接口地址并通过 TFTP 加载二进制备份文件。

  • 如果从某个具有 XML 配置文件的版本(如 4.2 或 5.0)降级到具有二进制配置文件的版本(4.0 或 4.1),则控制器会清除配置,并且在首次引导后显示设置向导。 这是设计的行为。

  • 建议总是将控制器名称配置到 AP 设置中,以便您通过 AP 控制选定要首先加入的控制器。 可以使用以下命令进行验证:

    (WiSM-slot1-1) >show ap config general AP1130-9064

Cisco AP Identifier.............................. 164
Cisco AP Name.................................... AP1130-9064
Country code..................................... BE  - Belgium
Regulatory Domain allowed by Country............. 802.11bg:-E     802.11a:-E
AP Country code.................................. BE  - Belgium
AP Regulatory Domain............................. 802.11bg:-E    802.11a:-E 
Switch Port Number .............................. 29
MAC Address...................................... 00:16:46:f2:90:64
IP Address Configuration......................... DHCP
IP Address....................................... 192.168.100.200
IP NetMask....................................... 255.255.255.0
Gateway IP Addr.................................. 192.168.100.1
Telnet State..................................... Disabled
Ssh State........................................ Disabled
Cisco AP Location................................ default location
Cisco AP Group Name.............................. default-group
Primary Cisco Switch Name........................ Cisco_ea:5e:63
Primary Cisco Switch IP Address.................. Not Configured
Secondary Cisco Switch Name...................... 
Secondary Cisco Switch IP Address................ Not Configured
Tertiary Cisco Switch Name.......................

    要设置该值,请使用以下命令(记住,该值是系统名称,而不是 DNS 名称):

    config ap primary-base Cisco_ea:5e:63

  • 在 4.2 以上的版本中,AP 可以使用 syslog 服务器发送故障排除信息。 默认情况下,此信息是作为本地广播发送的。 如果 AP 与 syslog 服务器不在同一个子网中,建议更改为单播地址,以便在同一子网中的所有 AP 受某个事件影响时,能够收集此信息并减少由发送到本地广播的 syslog 消息导致出现的广播风暴可能性。 要检查此设置,请使用以下命令:

    (WiSM-slot1-1) >show ap config general AP1130-9064    

Cisco AP Identifier.............................. 164
Cisco AP Name.................................... AP1130-9064
Country code..................................... BE  - Belgium
Regulatory Domain allowed by Country............. 802.11bg:-E     802.11a:-E
AP Country code.................................. BE  - Belgium
AP Regulatory Domain............................. 802.11bg:-E    802.11a:-E 
Switch Port Number .............................. 29
MAC Address...................................... 00:16:46:f2:90:64
IP Address Configuration......................... DHCP
IP Address....................................... 192.168.100.200
IP NetMask....................................... 255.255.255.0
Gateway IP Addr.................................. 192.168.100.1
Telnet State..................................... Disabled
Ssh State........................................ Disabled
Cisco AP Location................................ default location
Cisco AP Group Name.............................. default-group
Primary Cisco Switch Name........................ Cisco_ea:5e:63
Primary Cisco Switch IP Address.................. Not Configured
Secondary Cisco Switch Name...................... 
Secondary Cisco Switch IP Address................ Not Configured
Tertiary Cisco Switch Name....................... 
Tertiary Cisco Switch IP Address................. Not Configured
Administrative State ............................ ADMIN_ENABLED
Operation State ................................. REGISTERED
Mirroring Mode .................................. Disabled
AP Mode ......................................... Local
Public Safety ................................... Global: Disabled, Local:
 Disabled
Remote AP Debug ................................. Disabled
S/W  Version .................................... 5.0.152.0
Boot  Version ................................... 12.3.7.1
Mini IOS Version ................................ 3.0.51.0
Stats Reporting Period .......................... 180
LED State........................................ Enabled
PoE Pre-Standard Switch.......................... Enabled
PoE Power Injector MAC Addr...................... Disabled
Power Type/Mode.................................. Power injector / Normal mode
Number Of Slots.................................. 2 
AP Model......................................... AIR-LAP1131AG-E-K9  
IOS Version...................................... 12.4(20080324:062820)
Reset Button..................................... Enabled
AP Serial Number................................. FHK0952C0FC
AP Certificate Type.............................. Manufacture Installed
Management Frame Protection Validation........... Enabled (Global MFP Disabled)
AP User Mode..................................... AUTOMATIC
AP User Name..................................... cisco
Cisco AP system logging host..................... 255.255.255.255

    要将它更改为对控制器中的所有 AP 可用的已知服务器,请使用以下命令:

    config ap syslog host global 10.48.76.33

  • 在 4.2 以上的版本中,AP 可以具有本地凭据以进行控制台访问(对 AP 进行物理访问)。 对所有 AP 均设置用户名和口令是一个很好的安全做法。 要检查此设置,请使用以下命令:

    (WiSM-slot1-1) >show ap config general AP1130-9064    

Cisco AP Identifier.............................. 164
Cisco AP Name.................................... AP1130-9064
Country code..................................... BE  - Belgium
Regulatory Domain allowed by Country............. 802.11bg:-E     802.11a:-E
AP Country code.................................. BE  - Belgium
AP Regulatory Domain............................. 802.11bg:-E    802.11a:-E 
Switch Port Number .............................. 29
MAC Address...................................... 00:16:46:f2:90:64
IP Address Configuration......................... DHCP
IP Address....................................... 192.168.100.200
IP NetMask....................................... 255.255.255.0
Gateway IP Addr.................................. 192.168.100.1
Telnet State..................................... Disabled
Ssh State........................................ Disabled
Cisco AP Location................................ default location
Cisco AP Group Name.............................. default-group
Primary Cisco Switch Name........................ Cisco_ea:5e:63
Primary Cisco Switch IP Address.................. Not Configured
Secondary Cisco Switch Name...................... 
Secondary Cisco Switch IP Address................ Not Configured
Tertiary Cisco Switch Name....................... 
Tertiary Cisco Switch IP Address................. Not Configured
Administrative State ............................ ADMIN_ENABLED
Operation State ................................. REGISTERED
Mirroring Mode .................................. Disabled
AP Mode ......................................... Local
Public Safety ................................... Global: Disabled, Local:
 Disabled
Remote AP Debug ................................. Disabled
S/W  Version .................................... 5.0.152.0
Boot  Version ................................... 12.3.7.1
Mini IOS Version ................................ 3.0.51.0
Stats Reporting Period .......................... 180
LED State........................................ Enabled
PoE Pre-Standard Switch.......................... Enabled
PoE Power Injector MAC Addr...................... Disabled
Power Type/Mode.................................. Power injector / Normal mode
Number Of Slots.................................. 2 
AP Model......................................... AIR-LAP1131AG-E-K9  
IOS Version...................................... 12.4(20080324:062820)
Reset Button..................................... Enabled
AP Serial Number................................. FHK0952C0FC
AP Certificate Type.............................. Manufacture Installed
Management Frame Protection Validation........... Enabled (Global MFP Disabled)
AP User Mode..................................... AUTOMATIC
AP User Name..................................... cisco

    要将它更改为对控制器中的所有 AP 可用的已知服务器,对于版本 4.2 和 4.1 网状拓扑,请使用以下命令:

    config ap username Cisco password AnotherComplexPass all

    要将它更改为对控制器中的所有 AP 可用的已知服务器,对于版本 5.0 及更高版本,请使用以下命令:

    config ap mgmtuser add username cisco password Cisco123 secret
	  AnotherComplexPass all

如何将 WLC 崩溃文件从 WLC CLI 传输到 TFTP 服务器

发出以下命令以便将 WLC 崩溃文件从 WLC CLI 传输到 TFTP 服务器。 

transfer upload datatype crashfile
transfer upload serverip <IP address of the TFTP Server>

transfer upload path <Enter directory path>
 
transfer upload filename <Name of the Crash File>

transfer upload start<yes>

注意: 输入目录路径时,“/”通常表示 TFTP 服务器上的默认根目录。

如下面的示例所示: 

(Cisco Controller) >debug transfer tftp enable

(Cisco Controller) >debug transfer trace enable

(Cisco Controller) >transfer upload datatype crashfile

(Cisco Controller) >transfer upload filename aire2cra.txt

(Cisco Controller) >transfer upload path /

(Cisco Controller) >transfer upload serverip X.Y.Z.A

(Cisco Controller) >transfer upload start

Mode............................................. TFTP TFTP Server
IP................................... X.Y.Z.A TFTP
Path........................................ / TFTP
Filename.................................... aire2cra.txt Data
Type........................................ Crash File

Are you sure you want to start? (y/N) yes
Thu Dec 29 10:13:17 2005: RESULT_STRING: TFTP Crash File transfer starting.
Thu Dec 29 10:13:17 2005: RESULT_CODE:1

TFTP Crash File transfer starting.
Thu Dec 29 10:13:21 2005: Locking tftp semaphore, pHost=X.Y.Z.A 
pFilename=/aire2cra.txt Thu Dec 29 10:13:22 2005: 
Semaphore locked, now unlocking,
pHost=X.Y.Z.A pFilename=/aire2cra.txt Thu Dec 29 10:13:22 2005: 
Semaphore successfully unlocked,
pHost=X.Y.Z.A pFilename=/aire2cra.txt Thu Dec 29 10:13:22 2005: 
tftp rc=0, pHost=X.Y.Z.A pFilename=/aire2cra.txt
 

pLocalFilename=/mnt/application/bigcrash
Thu Dec 29 10:13:22 2005: RESULT_STRING: File transfer operation 
completed successfully.
Thu Dec 29 10:13:22 2005: RESULT_CODE:11 File transfer operation 
completed successfully.

core dump文件上载到 FTP 服务器

为便于对控制器崩溃进行故障排除,现在可使用以下 CLI 命令将控制器配置为在崩溃后自动将其core dump文件上载到 FTP 服务器:

config coredump {enable | disable}

config coredump ftp server_ip_address filename

config coredump username ftp_username password ftp_password

show coredump summary

现在,对于崩溃后由于控制器的 software-watchdog-initiated 重新启动而产生的控制器转储,可以使用控制器 CLI 命令 transfer upload datatype watchdog-crash-file 将其上载。 软件监视器模块会定期检查内部软件的完整性,并确保系统不会长时间处于不一致或未运行状态。

如果出现内核崩溃,也可以使用控制器 CLI 命令 transfer upload datatype panic-crash-file 上载内核崩溃信息。

对于无线 LAN 控制器版本 5.2,现在可以使用控制器 GUI 将无线电设备core dump文件上载到 TFTP 或 FTP 服务器。 之前,只能通过控制器 CLI 配置无线电设core dump上载。

 

 

注:本人能力有限,如遇不足之处,还请指正!

China-CCIE  QQ交流群:106155045   点击与作者QQ交谈