Table des matières
WLAN Controller
Les bornes doivent être française & il faut désactiver l'expiration des bornes sur le WLC: config ap cert-expiry-ignore mic enable
Nous avons rencontrés de nombreux problèmes avec notre wifi déployé de manière classique. Il n'y avait aucune coordination entre les bornes, ce qui pose un certain nombre de soucis :
- Pas de gestion de la mobilité
- Souvent, mauvais choix de la borne fait par le client
- Les personnes éloignées réduisent le débit des autres utilisateurs de la borne
L'équipe Wi-fi 2012-2013 a donc décidé de changer de solution : un cisco WLAN Controller 4402. L'équipe 2015-2016 a elle opté pour un Cisco 2504 afin de gérer le WiFi au U7.
Ces équipements utilisent des protocoles propriétaires Cisco et gèrent quel appareil se connecte à quelle borne. Ils proposent de plus une meilleure gestion de la mobilité. Ils nécessitent néanmoins l'emploi de bornes spécifiques, forcément plus chères. Un WLAN Controller utilise les bornes positionnées sur son Vlan.
Ils sont tous les deux situés au U1, en dessous du routeur.
La licence porte sur le nombre de bornes gérées, et est suffisante pour couvrir les besoins du U3 et du U5 sur le WLC du U5.
| Équipement | Multicast |
|---|---|
| WLC U1-U2-U4 | https://192.168.16.20 |
| WLC U5 | https://192.168.16.21 |
| WLC U6 | https://192.168.16.22 |
| WLC U7-U3 | https://192.168.16.23 |
| WLC Foyer | https://192.168.16.24 |
Le login est : admin.
La configuration est relativement facile : elle se fait à l’installation, lors de laquelle on spécifie les VLans utilisés, les IPs du wlan controler… Le reste de la configuration se fait très bien via l'interface web mais est relativement compliquée via la ligne de commande.
La nouveauté sur le WLC du U7 est qu'il ne propose plus de faire de l'unicast pour controler les bornes : le multicast est obligatoire pour raisons de performances. Cela a donc nécessité de créer un nouveau groupe IGMP sur le routeur avec l'adresse correspondant, et aussi habiliter le multicast sur l'interface vlan.
| Équipement | Multicast |
|---|---|
| WLC_4402_U3 | 239.255.1.61 |
| WLC_2504_U5_bis | 239.255.1.64 |
| WLC_2504_U7 | 239.255.1.60 |
| WLC_2504_U6 | 239.255.1.62 |
| WLC_U1 | 239.255.1.63 |
Intérêt du Wlan Controller
Le but de l'utilisation d'un WLANC est d'obtenir un wifi unifié ainsi ce dernier va servir de “cerveau” pour le parc de bornes, il va gérer:
- La détection automatique des bornes et leur mise à jour
- Le roaming c'est à dire pour un client la possibilité de changer de bornes au fur et à mesure qu'il se déplace, le client sera ainsi toujours pris en charge par la bornes la plus adaptée ( plus proche, moins d'affluence etc.)
- La possibilité de gérer automatiquement la répartition des bornes sur différents canaux et de régler automatiquement leur puissance pour limiter les interférences (via l'algorithme RRM de cisco).
Chaque Wlan controller est limité à un nombre de bornes maximum qu'il peut controler (limite par le nombre de licences). On peut donc penser que l'unification de notre WiFi est limité par le nombre de licenses cependant les WLANC peuvent fonctionner soit seul soit en “cluster”. Cela permet deux choses:
- Augmenter la capacité de notre parc de bornes et avoir un management unifié
- Avoir un backup possible si un WLANC lache.
En effet, si un wlanc tombe en panne et qu'il existe un autre capable de les accueillir, les bornes vont naturellement migrer vers ce dernier et continuer de fournir un accès.
Installation d'un Wlan Controller
Avant toute installation/achat il est indispensable de vérifier la compatibilité des bornes avec les wlanc et leur version d'ios. http://www.cisco.com/c/en/us/td/docs/wireless/compatibility/matrix/compatibility-matrix.html Il faut également savoir qu'alturna ne vous fournira pas de mise à jour d'ios ils ne fournissent que le hardware.
Récapitulons dans un premier temps ce dont le wlan controller a besoin pour fonctionner:
- Il doit contacter le dhcp pour fournir des ips aux clients et aux bornes. Il s'agit du dhcp10 pour le wifi → S'assurer que ce dernier a une patte dans le vlan où les clients auront leurs ip (donc prévoir une plage ip pour le wifi Plan d'adressage de MiNET ).
- Il doit contacter radius10 pour s'occuper de l'authentification (modifier clients.conf en consequence). Radius est contacté par le wlan controller à partir de son interface de management uniquement (vlan 14).
- Une interface dynamique qui permettra le traffic des adherents pour les clients connectés aux bornes appartenant à un AP group.
- Une interface de management (qui peut également servir d'interface de management des bornes) dans le vlan 14
- Penser aux groupes de multicast pour les bornes.
Une fois que le wlan controller fonctionne en standalone, il est possible de penser à le “clusteriser” avec les autres en configurant le mobility group. Chaque wlan controller devra alors avoir les mêmes interfaces dynamiques que les autres. Ainsi si une borne passe d'un wlan controller à l'autres les clients resteront dans le même vlan/AP group (qui dépend du bâtiment).
Overview de la Config du WLAN controlleur
- LinkAggregation, si possible, avec le Switch où on va le brancher
- Interface Management dans la vlan 14
- Interface Dynamic sur la vlan pour les clients wifi. Mettre le DHCP et habiliter DHCP Proxy.
- SNMP Community Read-Only “monitoring”, désactiver les autres communities
- AP Group selon le Batiment, tous les APs dans le groupe
- Mobility Group et RF Group “”
- No TELNET, SSH. Désactiver le management depuis la Wi-fi
Faire détecter des nouvelles bornes au WLAN controlleur
Modèle: Cisco AIR-LAP1042-E-K9-GR3 (utilisé au U3)
Les bornes, s'ils sont sur un port de la VLAN 14, et s'ils prennent une adresses IP par DHCP, les bornes sont capables de trouver le WLC et se connecter automatiquement. Les bornes vont redémarrer quelques fois, c'est normal. La config est téléchargée depuis le WLC, rien a configurer dans la borne.
En cas de problèmes, il vous faut pour ça: un port dans le Vlan 14, un câble serie, la borne à ajouter et son alim. Connectez votre PC et la borne (port console) à l'aide d'un câble serie
sudo cat /dev/ttyUSB0
ou
sudo screen /dev/ttyUSB0
Branchez la borne au secteur et connectez-là à un port dans le VLAN 14.
Attendez une erreur du type
%CAPWAP-3-ERRORLOG: Not sending discovery request AP does not have an Ip !!
et appuyez sur le bouton mode à l'arriere de la borne.
Attendez quelques (longues) minutes et la borne va redemarrer
Vérifiez ensuite que la borne est bien détectée (en comparant l'adresse mac affichée par le WLC et celle imprimée sous la borne) en allant dans l'onglet Wireless de l'interface d'admin du WLC.
Configurer un Wlan Controller
(bientôt)
Comment ça se fait?
Brancher le Wlancontroller console sur usb
→ Se mettre “en root”
screen /dev/ttyUSB0
→ repondre en question (triviales)
Enter the administrative user name; You can enter up to 24 ASCII characters for each. The default administrative username is admin
Enter Administrative User Name (24 characters max): admin
Enter the administrative password to be assigned to this controller. You can enter from 3 to 24 ASCII characters for each.
Enter Administrative Password (3 to 24 characters): MiNET1234 Re-enter Administrative Password: MiNET1234
Autoriser l'aggrégation de lien avec les 4 ports du WLC:
Enable Link Aggregation (LAG) [yes][NO]: No
L'interface de management est utilisé
Management Interface IP Address:Interface IP : 192.168.1.2/24
→ Default router :192.168.1.1 → VLAN identifier : 0 (The VLAN identifier should be set to match the switch interface configuration) → port : 1 → DHCP IP : 192.168.1.3 → Virtual Gateway : 192.168.2.0 (a revoir, au pif) (The virtual interface is used to support mobility management, DHCP relay, and embedded Layer 3 security such as guest web authentication and VPN termination. All controllers within a mobility group must be configured with the same virtual interface IP address)
Multicast IP : 239.255.1.60
Why? → Cisco recommends that multicast addresses be assigned from the administratively scoped block 239/8. IANA has reserved the range of 239.0.0.0-239.255.255.255 as administratively scoped addresses for use in private multicast domains.
Mobility/RF Group Name: main (On met ce qu'on veut)
Les Mobility/RF group permettend de gérer un cluster de WLC. → SSID : main1 (ce qu'on veut) → DHCP bridging mode : NO
→ Allow Static IP Adresses : YES
YES: allows clients to assign their own IP address
No: makes clients request an IP address from a DHCP server.
(The default setting is YES.)
→ RADIUS : NO
If you select YES, you are prompted to enter the following:
•RADIUS server IP address
•RADIUS server port (default port is 1812
•RADIUS server secret
If you select No, the following message appears: “Warning! The default WLAN security policy requires a RADIUS server.”
Choose YES to enable or no to disable the 802.11b radio network. The default is YES. Almost the same questions will be asked again about the activation or not of 802.11a, 802.11f, 802.11g..
The default is Yes
→ Answer: Yes every time
Choose YES to enable or no to disable radio resource management.
The default is Yes
→ Answer: Yes
Enter YES to configure an NTP server. The values are YES or no.
The default value is YES
→ NTP server :NO (fallait entrer YES!!! )
laisser redémarrer faire la conf réseau PC pour se caler dans le réseau du Wlan controller
conf cisco classique ⇒ passer sur l'interface web → Date mm/dd/yy hh:mm:ss
SNMP Communities
In the WLCs, for Security reasons, only some HOSTS are allowed to use a READONLY community. Les communities default sont deshabilités
| IP 1 | services | SNMP Community |
|---|---|---|
| 192.168.16.9/32 | zabbix | monitoring |
| 192.168.16.14/32 | cisco-script | monitoring |