Daily Archives: 6. July 2018.

WiFi

Posted on by

WIFI configuration

1. DIO – CLI
WLC-u ne možemo odmah pristupiti kroz browser već je potrebno prvo kroz CLI vratiti ga na tvorničke postavke i proći kroz postupak autoinstalacije!
1. Reboot-ati WLC da se pojavi odzivnik sa “Recover-Config”


2. Pod User: upišemo Recover-Config ….. nakon toga započinje system recovery process


3. Kada se WLC bootao sa tvorničkim postavkama pita nas da li želimo autoinstall, kažemo yes…


4. U procesu autoinstalacije moramo odraditi postavke koje nas WLC traži a koje su mu nužno potrebne za operativni rad…
*Važna napomena – management ip adresu postavljate neku svoju (preko nje se spajate kroz browser na wlc a isto tako nju wlc koristi za uspostavu capwap tunela s AP-om).
DHCP je adresa koju postavite na routeru I neka bude ista kao I default router!
Ostalo sve možete postaviti identično kao što je u ovom primjeru!

5. Nakon što ste odradili autoinstalacijski proces i možete se ulogirati sa admin userom kojeg ste postavili, potrebno je aktivirati SSC i MIC certifikate na WLC-u koji su nužni za enkripciju (DTLS) control message-a koje se razmjenjuju između WLC-a i AP-a:
(WLC)> Config ap lifetime-check mic enable
(WLC)> Config ap lifetime-check ssc enable
2. DIO
Gotovi smo sa CLI-om i sada konačno možemo pristupiti kroz web browser.
1. Moramo postaviti time-zonu i provjeriti da li nam je dobro postavljen sat


2. Sad možemo krenuti u instalaciju WLAN-a za Goste, prvo moramo postaviti novi dinamički interfejs:


3. Pod naš novi interfejs “guest” postavimo ip adresu i ostale parametre koji će se odnostiti na mrežu za goste, npr. ja sam stavio 192.168.30.0/24 mrežu za goste


4. Sada treba postaviti WLAN za goste…pritisnemo „create new“ i go


odaberemo naziv ssid-a- ja ću vam na samom ispitu reći koje ćete nazive staviti


Da bi nam WLAN bio aktivan moramo označiti status „enabled“ i pod interfejs odabrati guest kojeg smo malo prije kreirali…


Sada kreiramo sigurnosne parametre za naše SSID-eve, npr. za IT ćemo staviti WPA+WPA2 i PSK-a malo kompleksniji password


A za goste ćemo napraviti web autentikaciju…

to se radi u dva koraka:pod L2 sec stavimo “none” a pod L3 sec odaberemo web authentication


Da bi mogli isprobati web-autentikaciju moramo kreirati nekog gost usera – tab security, local net user

ja sam proizvoljno usera nazvao Pero i odredio da će se on autenticirati samo na SSID net4u, vi ćete tu staviti naravno ssid za goste…


WIFI Troubleshooting

S obzirom da ste svi na vježbama imali problema s povezivanjem AP-a i WLC-a kada su bili u različitim subnetima, a da se nitko osim Filipa Domislovića nije potrudio napraviti bilo kakav suvisli troubleshooting (već ste samo zaključili da to ne radi, a to nije inženjerski pristup!!!), ovdje vam izlažem i taj dio kako ne bi svi popadali na ispitu:
1. Debug s AP-a:
Žuto sam vam označio najbitnije iz debug-a
– Prvo možete vidjeti da AP dobije od DHCP-a (koji je na routeru) ip adresu iz pool-a za AP, ja sam stavio da je to mreža 192.168.10.0/24
– Nakon toga vidite drugo što sam označio sa žutim, AP pokušava pronaći WLC da uspostave CAPWAP. I tu dolazimo do ključne stvari na kojoj ste svi osim Filipa pali!
– AP ima svoj algoritam koji provodi čak 5 koraka u pokušaju pronalaska WLC-a:
– Ako su na istom segmetu (dakle isti vlan) onda će se pronaći bez problema tako što će AP poslati broadcast upit tražeći da mu se javi WLC i ovaj će mu odgovoriti s unicast porukom i uspostavit će tunel
– Ako se nalaze u različitim segmentima onda se AP i WLC ne mogu pronaći na taj način kroz broadcast poruke, nego AP mora imati ili statički definiranu adresu WLC-a, ili mora koristiti u DHCP serveru option 42, ili mora na routeru biti podignut dns server da AP može resolvati po imenu ili možete najjednostavnije napraviti DHCP relay kako bi prosliedili broadcast upit u drugu mrežu prema WLC-u.
– Ako ništa od navedenog niste napravili na vašem routeru onda imate problem kojeg ste svi imali na vježbama da AP ne može pronaći WLC….a evo sada i slike da vidite sve ovo napisano:


Kao što vidite ako ste u dhcp pool za AP postavili dns 8.8.8.8 onda će vaš AP preko google dns-a pokušati resolvati WLC po nazivu „CISCO-CAPWAP-CONTROLLER“ i to naravno neće proći….
Nakon toga AP javlja da nije mogao pronaći WLC i šalje dhcp-u zhtjev za novom ip adresom kako bi ponovo pokušao pronaći WLC, vidite da je moj AP sada dobio novu adresu 192.168.10.4 (gore je imao 192.168.10.3) i tako to ide u nedogled…to je odgovor vama koji ste me na vježbama pitali zašto AP svaku minutu dobije novu ip adresu…sad znate i taj odgovor
Ovaj „problem“ možete riješiti na 4 različita načina kako sam vam gore napisao, a najjednostavniji je da postavite dhcp relay na routeru za što vam trebaju dvije komande:
Router (config-if)#interface f0/0.10
ip helper-address 192.168.2.1
S ovom naredbom ste omogućili da virtualni interfejs (gtw od AP-a) prosljeđuje broadcast upite AP-a točno prema adresi WLC-a (192.168.2.1 je u mom primjeru adresa WLC-a, vi ćete tu staviti ip adresu vašeg WLC-a tj. management interface-a na WLC-u)
Router (config)#ip forward-protocol udp 5246
S ovom naredbom ste eksplicitno omogućili routeru da prosljeđuje udp pakete po portu 5246 što je port CAPWAP tunela.
I to je to…..sada će AP bez problema pronaći WLC jer će njegov upit stići do WLC-a i dobit će odgovor te će podići capwap tunnel….evo i slike za taj dio žuto


AKO STE SVE OVO USPJEŠNO NAPRAVILI UPRAVO STE PROŠLI ISHOD 3….A SAD SLIJEDI
ISHOD 4
Važna napomena – bez uspješno riješenog Ishoda 3 nije moguće položiti Ishod 4 jer se jedno na drugo nadovezuje!!!
1. Cisco Clean Air
Potrebno je konfigurirati ovaj feature pomoću kojeg će WLC izraditi report o interferenciji a vi ćete na ispitu odgovoriti na neka pitanja koja ćete iščitati iz tog report-a:
Konfiguracija je jednostavna, pod tabom – wireless – u lijevom kutu 802.11 b/g/n (a/n/ac ne trebate za ispit) – odaberete cisco clean air
Označite sve kvačice da enablate stavke i ubacite sve parametre za detekciju interferencije


Ovako izgleda u monitoring sustavu nakon što se konfa clean air (treba mu malo vremena da pokaže prva izvješća, tako da odgovarajte na druga pitanja dok se za cca 5 min ne pokaže prvo izvješće)!


Ovako izgleda sam graf nakon što odaberete izvještaj kojeg želite pogledati


2. Slijedi drugi dio testa sa pitanjima gdje trebate mijenjati kanal i snagu emitiranja signala te usporediti neke vrijednosti…
Ovako se ručno ulazi u konfiguraciju AP kroz wlc i postavljaju custom parameti, kada se mišem pozicionirate na ovu strjelicu desno žuto ponudit će vam se „configure“:


Ovo što sam zažutio su parametri koje ručno možete mijenjati, po defaultu sve wlc radi automatski ali u zadatku će se tražiti da ručno promijenite kanal i snagu emitiranja samo za 802.11 b/g/n!


Također, tražit će se od vas da nakon što promijenite snagu napišete i izračunate u dBm i mW za koliko se dogodila promjena, evo primjera (snagu emitiranja možete pronaći u početnom monitoringu, ne advanced, pod tabom acess points, žuto i tu vrijednost pretvorite u mW, odnosit će se samo na 2.4 GHz):


3. NetSpot
Također dio prikaza (mjerenja) ćete odraditi s alatom NetSpot (svi ga možete skinuti doma na svoja računala https://www.netspotapp.com/netspotpro.html i isprobati, jako je jednostavan za koristiti). Na ispitu će vas sve čekati već pripremljeno tako da nećete gubiti vrijeme na instalacije.
A evo i prikaza gdje se lijepo vidi razlika u signalu kada sam mijenjao snagu emitiranja signala, u ovom manjem prozoru žuta linija označava moju mrežu net4u u odnosu na druge, ovdje možete vidjeti kako se moj signal preklapa sa drugima, a pogotovo kada sam smanjio snagu emitiranja možete vidjeti prekid žute linije i pad s -38 dB na -50 dB što je velika razlika i utječe na perfomanse, nešto slično tome ćete i vi na ispitu napraviti i testirati: