无线局域网控制器(WLC)最优配置方法

目录介绍.
2先决条件.
2要求.
2使用组件.
2公约.
3最佳做法.
3无线/射频3网络连接.
4网络设计.
8移动性.
8安全.
13总结.
16如何把WLC崩溃文件从WLC传输到TFTP服务器.
21介绍本文档提供了WLC的简短配置窍门,包括在TAC中心常见的几个有关无线统一基础设施问题.
该文档适用于大多数网络实现环境,以便最大限度减少可能发生的问题.
注意:并不是所有的网络都是等同的,因此,一些建议可能并不适用于您的网络安装环境.
总是需要核实,然后再进行一些更改.
先决条件要求思科建议您了解这些议题:了解如何配置无线局域网控制器(WLC)和轻量级接入点(LAP)的基本操作轻量级接入点协议(LWAPP)和无线安全的基本知识使用组件此文档中的信息是基于这些软件和硬件版本:思科2000/2100/4400系列WLC,运行软件版本在4.
2或5.
0LWAPP的接入点,1230,1240,1130,10x0和1510系列本文件中所涉及的设备均在特定的实验室环境.
本文件中使用所有设备开始为默认配置,在配置网络之前,要确保了解潜在影响的任何命令.
公约在文件公约中,如了解更多信息请参考CiscoTechnicalTipsConventions连接.
最佳做法无线/射频对于无线/射频(RF)最佳做法如下:对于任何无线部署,前期必须要进行一个适当的实地勘察,以确保为无线用户提供适当的服务质量.
对于部署语音或定位业务要比单纯的提供数据服务更为严格.
自动射频功能可有助于对频道和发射功率的设置管理,但不能纠正一个糟糕的射频设计.
在做前期站点勘查时所用设备必须与实际网络中选择的设备一致.
例如,如果最后的网络使用1240系列双频802.
11A/G时,不要使用350的802.
11b无线AP去进行勘查.
建议在控制器上限制服务设置标识符(SSIDs)的配置数量.
根据您的接入点模式,您可以同时配置8个或16个SSIDs,但由于每个WLAN/SSID的需要单独的探针和信标响应,因此使用更多的SSIDs数量,会增加射频的污染.
结果会导致一些规模较小的无线终端,像PDA、WiFi电话和条码扫描器无法应付大量的BSSID信息.
这会导致终端设备被锁定、重新加载或关联失败,因此减少射频空间的污染有利于实时数据传输.
射频环境在空旷空间环境,如AP在一个比较空旷环境中,调整发射功率阈值从默认的-65dBm,调整至较低的价-76dBm是有必要的.
这样就可以降低同信道间的相互干扰(在某一特定时刻,无线客户端听到的BSSID数量).
设定合适的功率阈值主要还是依赖于每个站点的环境特性,因此前期应该仔细进行实地的站点勘察.
发射功率阈值-这个值用dBm表示,是由发射功率控制(TPC)算法调整功率级别下降的信号级别分界点,这个值是AP听到的邻居三个最强信号AP的强度值.
有些802.
11客户端软件听到超过一定数量的BSSIDs(例如,24或32BSSIDs)可能会遇到问题,你可以通过降低AP发射功率的阀值来缩减覆盖范围,从而可以减少客户端听到BSSIDs的数量.
不要启用负载均衡功能,除非在该区域部署了高密度的AP数量,如果有语音业务应用也尽量不要启用负载均衡功能.
如果您启用此功能,并且部署AP的间距相距很远,对一些无线客户端可能会导致混淆漫游,在某些情况下也会引起覆盖漏洞.
在最新的软件版本中,此功能默认为关闭.
请记住,不要将该功能用于语音网络,以及一些较旧的客户端.
网络连接下面是对于网络连接的最佳做法:在控制器上不要使用生成树.
对于大多数拓扑,在控制器上是不需要运行生成树协议的,STP默认是关闭的.
对于非思科交换机,也建议您在每个端口上关闭STP.
使用此命令来验证:CiscoController)>showspanningtreeswitchSTPSpecification.
IEEE802.
1DSTPBaseMACAddress.
00:18:B9:EA:5E:60SpanningTreeAlgorithm.
DisableSTPBridgePriority.
32768STPBridgeMax.
Age(seconds)20STPBridgeHelloTime(seconds)2STPBridgeForwardDelay(seconds).
.
.
.
.
15您在控制器上作出的配置大部分是即时生效的,但建议您更改以下配置并保存后,重新加载控制器:o管理地址oSNMP配置,这一点非常重要,如果您使用的旧软件.
对于所有连接到控制器的交换机中继端口,将不需要的VLAN筛选掉.
例如,在思科IOS交换机,如果管理接口是VLAN20,无线客户端VLAN是40和50,使用此配置命令在交换机上:switchporttrunkallowedvlans20,40,50不要配置一个地址为0.
0.
0.
0的接口,例如一个未配置的服务端口(serviceport),这可能会影响控制器上对DHCP的处理.
验证命令如下:(CiscoController)>showinterfacesummaryInterfaceNamePortVlanIdIPAddressTypeApMgrap-managerLAG15192.
168.
15.
66StaticYesexampleLAG300.
0.
0.
0DynamicNomanagementLAG15192.
168.
15.
65StaticNoservice-portN/AN/A10.
48.
76.
65StaticNotestLAG50192.
168.
50.
65DynamicNovirtualN/AN/A1.
1.
1.
1StaticNo除非在交换机上所连接控制器的端口的二层配置相同,否则不要使用LAG.
例如,在一个端口上过滤了一些VLAN,而另一个端口没有配置.
当您使用LAG时,控制器是依赖于交换机实现网络流量负载均衡的,到同一个AP或者是无线客户端的流量总是使用相同的端口.
在交换机以太网通道配置中,使用ip-src或ip-srcip-dst的配置可选项.
一些交换机默认情况下可能不支持以上的负载均衡机制,因此需要确认.
下面是如何验证以太通道负载均衡机制:switch#showetherchannelload-balanceEtherChannelLoad-BalancingConfiguration:src-dst-ipEtherChannelLoad-BalancingAddressesUsedPer-Protocol:Non-IP:SourceXORDestinationMACaddressIPv4:SourceXORDestinationIPaddressIPv6:SourceXORDestinationIPaddress下面是如何更改交换机配置(IOS):switch(config)#port-channelload-balancesrc-dst-ip当控制器与交换机之间连接跨越多个交换机时,请不要配置LAG.
当您使用LAG后,必须确保属于同一个以太通道的所有端口要在一台物理交换机上.
如果你想把WLC连接到多个交换机时,你必须为每个物理端口创建一个AP-manager,以提供冗余和可扩展性.
注:在思科4400-100型号WLCs上,你需要至少使用三个物理端口,为100个AP提供接入容量.
在思科4400-50型号WLCs上,你需要使用两个物理端口,为50个AP提供接入容量.
只要有可能,对于一个AP-manager接口不要建立一个备份端口,即使在旧版本的软件中是允许的.
有关多个AP-manager接口提供冗余方式,在本文档的前面已经叙述过了.
对于组播转发,最好的性能和较少的带宽利用率是通过多播模式来完成.
下面是在控制器上验证多播模式:(WiSM-slot1-1)>shownetworksummaryRF-NetworkName.
705WebMode.
EnableSecureWebMode.
EnableSecureWebModeCipher-OptionHigh.
DisableSecureShell(ssh)EnableTelnet.
EnableEthernetMulticastMode.
EnableMode:Mcast239.
0.
1.
1EthernetBroadcastMode.
DisableIGMPsnooping.
DisabledIGMPtimeout.
60secondsUserIdleTimeout.
300secondsARPIdleTimeout.
300secondsARPUnicastMode.
DisabledCiscoAPDefaultMaster.
DisableMgmtViaWirelessInterface.
DisableMgmtViaDynamicInterface.
DisableBridgeMACfilterConfig.
EnableBridgeSecurityMode.
EAPOverTheAirProvisioningofAP's.
EnableAppleTalkDisableAPFallbackEnable这是如何更改交换机配置(IOS):confignetworkmulticastmodemulticast239.
0.
1.
1confignetworkmulticastglobalenable控制器使用组播地址是为了转发组播流量给AP.
重要的是在您的网络上它不匹配其他地址.
例如,如果您使用224.
0.
0.
251,它将和一些第三方基于mDNS的应用程序产生冲突.
建议的地址是在私有范围(239.
0.
0.
0-239.
255.
255.
255,其中不包括239.
0.
0.
x和239.
128.
0.
x.
)如果AP使用的地址与控制器管理接口地址在不同子网,您的网络基础设施必须为管理接口子网和AP子网提供多播路由.
网络设计下面是对于网络设计的最佳做法:基于每个VLAN的AP数量限制.
如果您使用最新版本,每个VLAN的AP数量最好在60到100个.
在网络故障情况下,这将有助于最大限度地减少重关联问题.
基于思科IOSAP可以部署在高密度子网,但务必确保Layer2和Layer3拓扑的正确配置(生成树,负载均衡等).
连接AP的交换机端口模式配置为portfast.
为了做到这一点,设置端口连接作为一个"主机"端口(switchporthost命令),或直接配置portfast命令.
这使得AP加快加入控制器的进程并没有任何循环的风险,因为LWAPPAP从不做两个VLAN之间的桥梁.
关于第一个提示,与控制器管理接口在同一个VLAN的AP数量不要超过20个,除非您使用的是4.
2.
112.
0或更新版本.
由于AP会产生大量的广播信息,当其中一些发现信息被抛弃时,这会导致AP加入控制器的进程较慢.
在控制器上,大部分的CPU发送流量都是由管理地址作为源地址发出的.
例如,SNMPtraps,RADIUS身份验证请求,组播转发,等等.
DHCP相关流量除外,对于控制器的软件版本在4.
0或更高版本,它是从设置相关的WLAN接口转发的.
例如,如果一个WLAN采用了动态接口,DHCP请求将使用动态接口的3层地址转发.
当您设定防火墙策略或设计网络拓扑结构时,有一些因素是必需考虑的.
避免配置一个动态接口和某些需要控制器CPU流量可达的服务器在同一子网内,例如RADIUS服务器,因为它可能导致非对称路由的问题.
移动性下面是对于移动性的最佳做法:在一个移动组中的所有控制器应具有一个相同的虚拟的接口IP地址,例如1.
1.
1.
1.
这是为漫游提供的非常重要的服务.
如果在一个移动组中的所有控制器没有使用相同的虚拟接口,跨控制器漫游看起来好像可以工作,但是切换是不完整的,客户端将在一段时间内失去连接.
这是如何验证:(CiscoController)>showinterfacesummaryInterfaceNamePortVlanIdIPAddressTypeApMgrap-managerLAG15192.
168.
15.
66StaticYesmanagementLAG15192.
168.
15.
65StaticNoservice-portN/AN/A10.
48.
76.
65StaticNotestLAG50192.
168.
50.
65DynamicNovirtualN/AN/A1.
1.
1.
1StaticNo在您的网络架构中,虚拟网关地址必须是不可被路由的.
其目的只为可以让一个无线客户端连接到一个控制器,而不是通过有线连接.
所有控制器都必须配置为相同的LWAPP传送模式(第2层或第3层).
所有控制器之间的管理接口必须IP可达.
在大多数情况下,所有的控制器都必须配置相同的移动组名称.
例如,在思科WiSM,两个控制器必须配置相同的移动组名,为300个AP提供无缝漫游.
对于访客功能将不使用此规则进行部署,它是通过DMZ方式部署.
所有控制器必须运行同一软件版本.
对于访客应用,部署在DMZ区域的控制器软件版本可以与其他控制器软件版本不同,部署在DMZ区域的控制器软件版本需要运行在4.
2.
112.
0版本,内部网络的控制器至少运行在4.
1.
185.
0版本.
您必须收集包含在移动组中的每个控制器的MAC地址和IP地址,以便于在同一个移动组中的控制器上指定其他控制器的MAC地址和IP地址.
你可以在每个控制器上通过Controller>MobilityGroupsGUI页面找到控制器的MAC和IP地址.
不要建立一个较大的移动组.
一个移动组应该是无线客户端在物理上可以实现漫游的区域,例如控制器所管理的AP在同一个建筑物内.
如果您有几座建筑物是分开的,他们应该分为几个移动组群.
这样可以节省内存和CPU,作为控制器不需要维护较大的在线用户数和非法AP信息,不会造成相互之间的影响.
请记住,WLC冗余是通过创建移动组来完成的.
所以,可能有必要在某些情况下,增加移动组的规模,其中包括额外的控制器冗余(例如N+1拓扑).
大多数情况下,在一个移动组中会有多个控制器.
在控制器重新加载之后,可能会在网络中看到我们自己AP被看成非法AP,这是因为它在组成员之间更新AP,客户端和非法AP的信息.
在WLAN设置中,DHCP有个可选项是允许您强制客户端必须通过DHCP自动获取地址方式连入到无线网络.
从安全观点看来,这样可以更严格控制IP地址的使用,但这有可能对总的漫游时间上有所影响.
此外,这可能影响到某些客户端直到租用地址过期后,无法从DHCP重新获取IP地址.
例如,如果启用该项功能,对思科7920或7921手机在漫游时可能有问题,因为在DHCP阶段完成之前,控制器是不允许语音或信令流量传递的.
有些第三方打印机服务器可能也将受到影响.
一般情况下,如果WLAN是非Windows客户端,建议不使用此选项.
这是因为更严格的控制可能会引起连接上的问题.
下面是验证命令:(CiscoController)>showwlan1WLANIdentifier.
1ProfileName.
4400NetworkName(SSID)4400Status.
EnabledMACFiltering.
DisabledBroadcastSSID.
EnabledAAAPolicyOverride.
DisabledNumberofActiveClients.
0ExclusionlistTimeout.
60secondsSessionTimeout.
1800secondsInterface.
managementWLANACL.
unconfiguredDHCPServer.
DefaultDHCPAddressAssignmentRequired.
DisabledQualityofService.
Silver(besteffort)WMM.
DisabledCCX-AironetIeSupport.
EnabledCCX-GratuitousProbeResponse(GPR)DisabledDot11-PhoneMode(7920)DisabledWiredProtocol.
None如果您使用Layer3漫游,例如在一个控制器上的一个WLAN子网没有在另外一个控制器上匹配,或AP组,我们建议在所有控制器上启用对称漫游移动,以避免非对称路由的问题.
这一点非常重要,如果您的网络中有基于状态的防火墙,它将中断数据流量.
因此在同一个移动组中设置必须相同.
使用下面命令进行验证:(CiscoController)>showmobilitysummarySymmetricMobilityTunneling(current)DisabledSymmetricMobilityTunneling(afterreboot).
.
.
.
.
DisabledMobilityProtocolPort.
16666MobilitySecurityMode.
DisabledDefaultMobilityDomain.
100MobilityKeepaliveinterval.
10MobilityKeepalivecount.
3MobilityGroupmembersconfigured.
1ControllersconfiguredintheMobilityGroupMACAddressIPAddressGroupNameStatus00:16:9d:ca:e4:a0192.
168.
100.
28100Up这是如何配置:configmobilitysymmetric-tunnelingenable注意:您必须重新启动控制器才能生效.
如果您使用5.
0或更新的版本,对移动组可以配置组播模式.
这使得客户在移动时可以发送组播信息,代替了以单播方式发送到每个控制器上,这将对CPU使用率和网络利用率都是有好处的.
通过下面命令进行验证:(WiSM-slot1-1)>showmobilitysummarySymmetricMobilityTunneling(current)DisabledSymmetricMobilityTunneling(afterreboot).
.
.
.
.
DisabledMobilityProtocolPort.
16666MobilitySecurityMode.
DisabledDefaultMobilityDomain.
705MulticastModeEnabledMobilityDomainIDfor802.
11r.
0x8e5eMobilityKeepaliveInterval.
10MobilityKeepaliveCount.
3MobilityGroupMembersConfigured.
2MobilityControlMessageDSCPValue.
0ControllersconfiguredintheMobilityGroupMACAddressIPAddressGroupNameMulticastIPStatus00:14:a9:bd:da:a0192.
168.
100.
22705239.
0.
1.
1Up00:19:06:33:71:60192.
168.
100.
67705239.
0.
1.
1Up安全下面是有关安全的最佳做法:建议更改RADIUS超时为5秒,对于默认值2秒是针对快速RADIUS故障切换的,但对于可扩展认证协议-传输层安全(EAP-TLS)身份验证或者如果RADIUS服务器已联接外部数据库(ActiveDirectory,NAC,SQL,等等)是不够的.
使用下面命令进行验证:(CiscoController)>showradiussummaryVendorIdBackwardCompatibility.
DisabledCredentialsCaching.
DisabledCallStationIdType.
IPAddressAdministrativeAuthenticationviaRADIUS.
.
.
.
EnabledAggressiveFailover.
DisabledKeywrap.
DisabledAuthenticationServers!
---由于内容较多,这部分使用单独几行IdxTypeServerAddressPortStateToutRFC35761N10.
48.
76.
501812Enabled2EnabledIPSec-AuthMode/Phase1/Group/Lifetime/Auth/EncrDisabled-none/unknown/group-0/0none/none下面是如何配置:configradiusauthretransmit-timeout15检查SNMPv3的默认用户.
控制器默认情况下使用的用户名应停用或改变.
使用下面命令进行验证:(CiscoController)>showsnmpv3userSNMPv3UserSNMPv3UserNameAccessModeAuthenticationEncryptiondefaultRead/WriteHMAC-MD5CBC-DES下面是如何配置:configsnmpv3userdeletedefaultconfigsnmpv3usercreatenondefaultrwhmacshadesauthkeyencrkey请记住,您的SNMP设置必须在控制器和无线控制系统(WCS)之间匹配.
此外,您应该使用加密和散列值匹配您的安全政策.
当您使用外部Web身份验证页面时,在同一时间请不要在该服务器上使用Web服务和代理服务.
在验证完成之前,控制器是允许HTTP流量从无线客户端向服务器发送的.
目前在服务器上是允许客户端使用代理服务进行浏览的.
在控制器上,默认EAP身份请求超时为1秒.
在某些情况下,使用默认超时是不够的,比如像一次性密码或智能卡,在无线客户端回答身份请求之前会提示使用者写PIN或密码.
在胖AP模式下,默认为30秒,所以应考虑将控制器上的默认EAP身份请求超时改为30秒.
通过下面命令进行更改:configadvancedeapidentity-request-timeout30在一些攻击环境中,AP上启用验证功能并设置一个阀值为2是有好处的,该功能可以发现并尽量减少虚假信息.
下面是如何配置:configwpsap-authenticationenableconfigwpsap-authenticationthreshold2关于上一个提示,在无线网络架构中,管理帧保护(MFP)可以被用来验证AP之间所有802.
11管理帧.
考虑到一些普通第三方无线网卡有驱动程序执行问题,不能够通过MFP正确处理额外增加的信息.
请务必从原厂下载最新的驱动程序,然后再测试并使用MFP.
对于一些功能NTP是非常重要的.
在控制器上,如果您使用下面这些功能的任意一个都需要强制使用NTP同步,如定位、SNMPv3、AP认证或MFP功能.
下面是如何配置:configtimentpserver110.
1.
1.
1为了验证,在您的日志中会产生像下面的一些信息:30TueFeb608:12:032007Controllertimebasestatus-Controllerisinsyncwiththecentraltimebase.
当在微软XPSP2操作系统中使用受保护的EAP微软挑战握手验证协议版本2(PEAP-MSCHAPv2)认证,无线网卡并通过微软无线零配置(WZC)来管理时,你应该安装微软的修补程序KB885453.
这可以防止有关认证上面的PEAP快速恢复问题.
出于安全考虑,在几个子网中,每个客户端应该是相互分离的,每一个应该有不同的安全政策.
这是好注意,使用一个或两个无线网络WLAN(例如,每个都有不同的2层加密策略)连同AAA覆盖(AAA-Override)特性.
此功能可让您为每个用户制定不同的设置.
例如,将用户分配到不同的VLAN中,或为个用户应用不同的访问控制列表.
虽然控制器和AP都同时支持无线局域网SSID使用的Wi-Fi保护访问(WPA)和WPA2,但一些无线客户端驱动器不能处理复杂的SSID设置也是常见的.
一般情况下,对于任何SSID使用简单的安全策略是一个好主意,例如,使用一个WLAN/SSID的WPA和临时密钥完整性协议(TKIP),外加一个WPA2和高级加密标准(AES).
总结下面是最佳做法的总结:一般来说,在任何升级之前建议做一次配置的备份.
WLCs支持旧的配置信息到新的版本,但不支持相反的处理.
这同时适用于主要或次要版本的变化.
使用新的配置到一个老的版本可能会导致部分配置丢失(访问控制列表,接口,等等),或运行不正常.
如果您需要对控制器进行降级,在降级后需清除配置,然后配置管理接口地址后,再通过TFTP加载备份的配置文件.
如果您降级从一个XML配置文件版本(例如4.
2,5.
0)到一个二进制配置文件版本(4.
0,4.
1),该控制器的原有XML配置将被清除,设备降级后的第一次启动后,您将看到的是安装向导.
进入AP设置配置控制器名字是可取的,这样你就可以控制AP第一次加入到控制器的选择.
您可以使用下面命令进行验证:(WiSM-slot1-1)>showapconfiggeneralAP1130-9064CiscoAPIdentifier.
164CiscoAPName.
AP1130-9064Countrycode.
BE-BelgiumRegulatoryDomainallowedbyCountry.
802.
11bg:-E802.
11a:-EAPCountrycode.
BE-BelgiumAPRegulatoryDomain.
802.
11bg:-E802.
11a:-ESwitchPortNumber29MACAddress.
00:16:46:f2:90:64IPAddressConfiguration.
DHCPIPAddress.
192.
168.
100.
200IPNetMask.
255.
255.
255.
0GatewayIPAddr.
192.
168.
100.
1TelnetState.
DisabledSshState.
DisabledCiscoAPLocation.
defaultlocationCiscoAPGroupName.
default-groupPrimaryCiscoSwitchName.
Cisco_ea:5e:63PrimaryCiscoSwitchIPAddress.
NotConfiguredSecondaryCiscoSwitchName.
SecondaryCiscoSwitchIPAddress.
NotConfiguredTertiaryCiscoSwitchName.
为了设置此值(记住这是该控制器的系统的名字,而不是DNS名称):configapprimary-baseCisco_ea:5e:63在4.
2或更高版本的控制器上,AP可以使用Syslog服务器发送故障排查信息.
默认情况下,信息是以本地广播形式发送.
如果AP与syslog服务器不在同一子网,最好改为单播地址,以便能够收集这些信息,并减少可能的由于syslog消息发送给本地的广播而造成的广播风暴,这种情况下,在同一子网的所有AP将受到影响.
下面是检查这个设定的命令:(WiSM-slot1-1)>showapconfiggeneralAP1130-9064CiscoAPIdentifier.
164CiscoAPName.
AP1130-9064Countrycode.
BE-BelgiumRegulatoryDomainallowedbyCountry.
802.
11bg:-E802.
11a:-EAPCountrycode.
BE-BelgiumAPRegulatoryDomain.
802.
11bg:-E802.
11a:-ESwitchPortNumber29MACAddress.
00:16:46:f2:90:64IPAddressConfiguration.
DHCPIPAddress.
192.
168.
100.
200IPNetMask.
255.
255.
255.
0GatewayIPAddr.
192.
168.
100.
1TelnetState.
DisabledSshState.
DisabledCiscoAPLocation.
defaultlocationCiscoAPGroupName.
default-groupPrimaryCiscoSwitchName.
Cisco_ea:5e:63PrimaryCiscoSwitchIPAddress.
NotConfiguredSecondaryCiscoSwitchName.
SecondaryCiscoSwitchIPAddress.
NotConfiguredTertiaryCiscoSwitchName.
TertiaryCiscoSwitchIPAddress.
NotConfiguredAdministrativeStateADMIN_ENABLEDOperationStateREGISTEREDMirroringModeDisabledAPModeLocalPublicSafetyGlobal:Disabled,Local:DisabledRemoteAPDebugDisabledS/WVersion5.
0.
152.
0BootVersion12.
3.
7.
1MiniIOSVersion3.
0.
51.
0StatsReportingPeriod180LEDState.
EnabledPoEPre-StandardSwitch.
EnabledPoEPowerInjectorMACAddr.
DisabledPowerType/Mode.
Powerinjector/NormalmodeNumberOfSlots.
2APModel.
AIR-LAP1131AG-E-K9IOSVersion.
12.
4(20080324:062820)ResetButton.
EnabledAPSerialNumber.
FHK0952C0FCAPCertificateType.
ManufactureInstalledManagementFrameProtectionValidation.
Enabled(GlobalMFPDisabled)APUserMode.
AUTOMATICAPUserName.
ciscoCiscoAPsystemlogginghost.
255.
255.
255.
255在控制器上为所有AP指定可用的Syslog服务器地址:configapsysloghostglobal10.
48.
76.
33在4.
2或更高版本的控制器上,可以对AP的控制端口设置本地验证(物理访问AP),建议为所有AP设置一个用户名和密码.
下面是检测这个配置的命名:(WiSM-slot1-1)>showapconfiggeneralAP1130-9064CiscoAPIdentifier.
164CiscoAPName.
AP1130-9064Countrycode.
BE-BelgiumRegulatoryDomainallowedbyCountry.
802.
11bg:-E802.
11a:-EAPCountrycode.
BE-BelgiumAPRegulatoryDomain.
802.
11bg:-E802.
11a:-ESwitchPortNumber29MACAddress.
00:16:46:f2:90:64IPAddressConfiguration.
DHCPIPAddress.
192.
168.
100.
200IPNetMask.
255.
255.
255.
0GatewayIPAddr.
192.
168.
100.
1TelnetState.
DisabledSshState.
DisabledCiscoAPLocation.
defaultlocationCiscoAPGroupName.
default-groupPrimaryCiscoSwitchName.
Cisco_ea:5e:63PrimaryCiscoSwitchIPAddress.
NotConfiguredSecondaryCiscoSwitchName.
SecondaryCiscoSwitchIPAddress.
NotConfiguredTertiaryCiscoSwitchName.
TertiaryCiscoSwitchIPAddress.
NotConfiguredAdministrativeStateADMIN_ENABLEDOperationStateREGISTEREDMirroringModeDisabledAPModeLocalPublicSafetyGlobal:Disabled,Local:DisabledRemoteAPDebugDisabledS/WVersion5.
0.
152.
0BootVersion12.
3.
7.
1MiniIOSVersion3.
0.
51.
0StatsReportingPeriod180LEDState.
EnabledPoEPre-StandardSwitch.
EnabledPoEPowerInjectorMACAddr.
DisabledPowerType/Mode.
Powerinjector/NormalmodeNumberOfSlots.
2APModel.
AIR-LAP1131AG-E-K9IOSVersion.
12.
4(20080324:062820)ResetButton.
EnabledAPSerialNumber.
FHK0952C0FCAPCertificateType.
ManufactureInstalledManagementFrameProtectionValidation.
Enabled(GlobalMFPDisabled)APUserMode.
AUTOMATICAPUserName.
cisco控制器在4.
2和4.
1Mesh版本中,为所有AP设置的用户名及密码配置:configapusernameCiscopasswordAnotherComplexPassall控制器在5.
0或5.
0以后版本,为所有AP设置的用户名及密码配置:configapmgmtuseraddusernameciscopasswordCisco123secretAnotherComplexPassall如何把WLC崩溃文件从WLC传输到TFTP服务器这些命令是为了把WLC崩溃文件从WLC传输到TFTP服务器.
transferuploaddatatypecrashfiletransferuploadserveriptransferuploadpathtransferuploadfilenametransferuploadstart注:当你输入目录路径时,"/"通常代表在TFTP服务器上的缺省根目录.
这是一个例子:(CiscoController)>debugtransfertftpenable(CiscoController)>debugtransfertraceenable(CiscoController)>transferuploaddatatypecrashfile(CiscoController)>transferuploadfilenameaire2cra.
txt(CiscoController)>transferuploadpath/(CiscoController)>transferuploadserveripXYZA(CiscoController)>transferuploadstartMode.
TFTPTFTPServerIP.
XYZATFTPPath.
TFTPFilename.
aire2cra.
txtDataType.
CrashFileAreyousureyouwanttostart(y/N)yesThuDec2910:13:172005:RESULT_STRING:TFTPCrashFiletransferstarting.
ThuDec2910:13:172005:RESULT_CODE:1TFTPCrashFiletransferstarting.
ThuDec2910:13:212005:Lockingtftpsemaphore,pHost=XYZApFilename=/aire2cra.
txtThuDec2910:13:222005:Semaphorelocked,nowunlocking,pHost=XYZApFilename=/aire2cra.
txtThuDec2910:13:222005:Semaphoresuccessfullyunlocked,pHost=XYZApFilename=/aire2cra.
txtThuDec2910:13:222005:tftprc=0,pHost=XYZApFilename=/aire2cra.
txtpLocalFilename=/mnt/application/bigcrashThuDec2910:13:222005:RESULT_STRING:Filetransferoperationcompletedsuccessfully.
ThuDec2910:13:222005:RESULT_CODE:11Filetransferoperationcompletedsuccessfully.
【译者注】