Table des matières

WLAN Controller

Les bornes doivent être française & il faut désactiver l'expiration des bornes sur le WLC: config ap cert-expiry-ignore mic enable

Nous avons rencontrés de nombreux problèmes avec notre wifi déployé de manière classique. Il n'y avait aucune coordination entre les bornes, ce qui pose un certain nombre de soucis :

L'équipe Wi-fi 2012-2013 a donc décidé de changer de solution : un cisco WLAN Controller 4402. L'équipe 2015-2016 a elle opté pour un Cisco 2504 afin de gérer le WiFi au U7.

Ces équipements utilisent des protocoles propriétaires Cisco et gèrent quel appareil se connecte à quelle borne. Ils proposent de plus une meilleure gestion de la mobilité. Ils nécessitent néanmoins l'emploi de bornes spécifiques, forcément plus chères. Un WLAN Controller utilise les bornes positionnées sur son Vlan.

Ils sont tous les deux situés au U1, en dessous du routeur.

La licence porte sur le nombre de bornes gérées, et est suffisante pour couvrir les besoins du U3 et du U5 sur le WLC du U5.

Équipement Multicast
WLC U1-U2-U4 https://192.168.16.20
WLC U5 https://192.168.16.21
WLC U6 https://192.168.16.22
WLC U7-U3 https://192.168.16.23
WLC Foyer https://192.168.16.24

Le login est : admin.

La configuration est relativement facile : elle se fait à l’installation, lors de laquelle on spécifie les VLans utilisés, les IPs du wlan controler… Le reste de la configuration se fait très bien via l'interface web mais est relativement compliquée via la ligne de commande.

La nouveauté sur le WLC du U7 est qu'il ne propose plus de faire de l'unicast pour controler les bornes : le multicast est obligatoire pour raisons de performances. Cela a donc nécessité de créer un nouveau groupe IGMP sur le routeur avec l'adresse correspondant, et aussi habiliter le multicast sur l'interface vlan.

Équipement Multicast
WLC_4402_U3 239.255.1.61
WLC_2504_U5_bis 239.255.1.64
WLC_2504_U7 239.255.1.60
WLC_2504_U6 239.255.1.62
WLC_U1 239.255.1.63

Intérêt du Wlan Controller

Le but de l'utilisation d'un WLANC est d'obtenir un wifi unifié ainsi ce dernier va servir de “cerveau” pour le parc de bornes, il va gérer:

Chaque Wlan controller est limité à un nombre de bornes maximum qu'il peut controler (limite par le nombre de licences). On peut donc penser que l'unification de notre WiFi est limité par le nombre de licenses cependant les WLANC peuvent fonctionner soit seul soit en “cluster”. Cela permet deux choses:

En effet, si un wlanc tombe en panne et qu'il existe un autre capable de les accueillir, les bornes vont naturellement migrer vers ce dernier et continuer de fournir un accès.

Installation d'un Wlan Controller

Avant toute installation/achat il est indispensable de vérifier la compatibilité des bornes avec les wlanc et leur version d'ios. http://www.cisco.com/c/en/us/td/docs/wireless/compatibility/matrix/compatibility-matrix.html Il faut également savoir qu'alturna ne vous fournira pas de mise à jour d'ios ils ne fournissent que le hardware.

Récapitulons dans un premier temps ce dont le wlan controller a besoin pour fonctionner:

Une fois que le wlan controller fonctionne en standalone, il est possible de penser à le “clusteriser” avec les autres en configurant le mobility group. Chaque wlan controller devra alors avoir les mêmes interfaces dynamiques que les autres. Ainsi si une borne passe d'un wlan controller à l'autres les clients resteront dans le même vlan/AP group (qui dépend du bâtiment).

Overview de la Config du WLAN controlleur

Faire détecter des nouvelles bornes au WLAN controlleur

Modèle: Cisco AIR-LAP1042-E-K9-GR3 (utilisé au U3)

Les bornes, s'ils sont sur un port de la VLAN 14, et s'ils prennent une adresses IP par DHCP, les bornes sont capables de trouver le WLC et se connecter automatiquement. Les bornes vont redémarrer quelques fois, c'est normal. La config est téléchargée depuis le WLC, rien a configurer dans la borne.

En cas de problèmes, il vous faut pour ça: un port dans le Vlan 14, un câble serie, la borne à ajouter et son alim. Connectez votre PC et la borne (port console) à l'aide d'un câble serie

sudo cat /dev/ttyUSB0

ou

sudo screen /dev/ttyUSB0

Branchez la borne au secteur et connectez-là à un port dans le VLAN 14.

Attendez une erreur du type

%CAPWAP-3-ERRORLOG: Not sending discovery request AP does not have an Ip !!

et appuyez sur le bouton mode à l'arriere de la borne.

Attendez quelques (longues) minutes et la borne va redemarrer

Vérifiez ensuite que la borne est bien détectée (en comparant l'adresse mac affichée par le WLC et celle imprimée sous la borne) en allant dans l'onglet Wireless de l'interface d'admin du WLC.

Configurer un Wlan Controller

(bientôt) Comment ça se fait?
Brancher le Wlancontroller console sur usb

→ Se mettre “en root”

screen /dev/ttyUSB0 

→ repondre en question (triviales)
Enter the administrative user name; You can enter up to 24 ASCII characters for each. The default administrative username is admin

Enter Administrative User Name (24 characters max): admin

Enter the administrative password to be assigned to this controller. You can enter from 3 to 24 ASCII characters for each.

Enter Administrative Password (3 to 24 characters): MiNET1234
Re-enter Administrative Password: MiNET1234

Autoriser l'aggrégation de lien avec les 4 ports du WLC:

Enable Link Aggregation (LAG) [yes][NO]: No

L'interface de management est utilisé

Management Interface IP Address:Interface IP : 192.168.1.2/24 

→ Default router :192.168.1.1 → VLAN identifier : 0 (The VLAN identifier should be set to match the switch interface configuration) → port : 1 → DHCP IP : 192.168.1.3 → Virtual Gateway : 192.168.2.0 (a revoir, au pif) (The virtual interface is used to support mobility management, DHCP relay, and embedded Layer 3 security such as guest web authentication and VPN termination. All controllers within a mobility group must be configured with the same virtual interface IP address)

 
Multicast IP : 239.255.1.60

Why? → Cisco recommends that multicast addresses be assigned from the administratively scoped block 239/8. IANA has reserved the range of 239.0.0.0-239.255.255.255 as administratively scoped addresses for use in private multicast domains.

Mobility/RF Group Name: main (On met ce qu'on veut)

Les Mobility/RF group permettend de gérer un cluster de WLC. → SSID : main1 (ce qu'on veut) → DHCP bridging mode : NO

→ Allow Static IP Adresses : YES
YES: allows clients to assign their own IP address
No: makes clients request an IP address from a DHCP server.
(The default setting is YES.)

→ RADIUS : NO
If you select YES, you are prompted to enter the following:
•RADIUS server IP address
•RADIUS server port (default port is 1812
•RADIUS server secret
If you select No, the following message appears: “Warning! The default WLAN security policy requires a RADIUS server.”

Choose YES to enable or no to disable the 802.11b radio network. The default is YES. Almost the same questions will be asked again about the activation or not of 802.11a, 802.11f, 802.11g..
The default is Yes
→ Answer: Yes every time
Choose YES to enable or no to disable radio resource management.
The default is Yes
→ Answer: Yes
Enter YES to configure an NTP server. The values are YES or no.
The default value is YES
→ NTP server :NO (fallait entrer YES!!! )

laisser redémarrer faire la conf réseau PC pour se caler dans le réseau du Wlan controller

conf cisco classique ⇒ passer sur l'interface web → Date mm/dd/yy hh:mm:ss

SNMP Communities

In the WLCs, for Security reasons, only some HOSTS are allowed to use a READONLY community. Les communities default sont deshabilités

IP 1 services SNMP Community
192.168.16.9/32 zabbix monitoring
192.168.16.14/32 cisco-script monitoring