отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 

Вопросы и ответы: Беспроводные контроллеры нового поколения (NGWC) – настройка беспроводно

Введение

 

Read the bio

Во время презентации инженер Cisco TAC Ирина Ильина-Сидорова рассмотрит базовые настройки для организации беспроводного доступ на контроллерах нового поколения (3850, 5760, и пр.). А также будут детально расcмотрены различные варианты организации веб-аутентификации - с использованием локальной базы данных, с использованием удалённой базы данных (AD, RADIUS, LDAP).

 

Ссылки:

 

Вопросы и ответы

 

Q: Добрый день. Из новых контроллеров какаие модели имеют 2 и более порта sfp+ для 10G?

A: Добрый день, c5760 модели поддерживают 10G порты и sfp,  http://www.cisco.com/c/en/us/products/collateral/wireless/5700-series-wireless-lan-controllers/data_sheet_c78-722607.html   

 

Q: Каким образом можно разделить SSID по отдельным VLAN, если порт настроен в режим access?

A: Порты на свиче должны бить в режиме аксесс, по этому VLAN точка будет подсоедитнятся к NGWC. На NGWC Вы настраиваете SSID -> interface mapping (VLAN),  весь клиентский трафик пойдет внутри CAPWAP к NGWC, а контроллер отправит его в сеть в нужном VLAN в транке согласно настроенному маппингу.

 

Q: Означает ли использование только access-портов, что мы не сможем использовать режим FlexConnect с NGWL?

A: В текущих версиях нет поддержки flexconnect на NGWC.

 

Q: Какое количество Ватт рекомендуется устанавливать?

A: Это зависит от подключеной точки доступа.

 

Q: Why do we need to have mgmt vlan enabled at upstream link?

A: SSH, GUI, RADIUS, Mobility и другой траффик который будет исходить от NGWC будет идти в MGMT vlan.

 

Q: Что делать, если нет возможности объеденить Management interface и точки доступа в один VLAN?

A: Точки могут быть в другом VLAN, но они должны быть подключены через access port на NGWC.  Если используется другой VLAN, нужно использовать Discover механизм с DHCP, DNS или статически сконфирурировать NGWC MGMT IP на точках. Ну и понятно, что должна быть L3 достижимость между VLAN, где точки и NGWC MGMT IP.

 

Q: Интересует так-же возможность отправлять accounting на несколько хостов для WLC и ISE, или функция radius accounting proxy на ISE.

A: Можно, "aaa accounting network default start-stop group <ISE-group>" , accounting будет отправлятся на все сервера внутри ISE-group.

 

Q: Зачем пользователю  привилегии 15 уровня?

A: Пока это програмное ограничение в текущей версии, есть баг с low sev по данному ограничению.

 

Q: mac для mac-filter можно брать только с radius или можно как-то задавать локально?

A: Необходимо брать с сервера.

 

Q: Можно совместить mac-filter c авторизацией по username? Т.е. определенный пользователь с определенных маков?

A: Да, можно. Необходимо использовать Cisco ISE.

 

Q: Наличие полноценного WLC обязательно или можно ограничиться только 3850?

A: 3850 – полноценный WLC. Им можно и ограничиться.

 

Q: Когда ISE проверяет учетные данные в AD? Hа самом AD будет это отображено в логах, или он это делает так, что на контроллере домена ничего не отображено?

A: Конечно, в логах AD будет информация.

 

Q: Поддерживают ли контроллеры с5760 стандарт 802.11ac?

A: См. подробнее здесь: https://supportforums.cisco.com/discussion/12188951/ask-expert-wireless-80211ac-configuration-and-client-interoperability

 

Q: На старых контрроллерах можно было поднять веб-сервер, где секретарь генерироовал временные логины-пароли для пользователей Вай-Фай. Сейчас не очень понятно как это делать.

A: Теперь Вы можете это сделать с использованием функциональности Guest Service, доступной на Cisco ISE. Более масштабируемо и очень удобно.

 

Q: А в чем принципиальные отличия от vWLC?

A: vWLC основан на базе классического контроллера, NGWC – контроллер следующего поколения. Это разный код, разный (пока) функционал. У них разная реализация mobility.

 

Q: При стекировании 3850 количество точек доступа остается прежним 50?

A: 50 – как раз максимальное число при максимальном числе юнитов в стеке. На один коммутатор – 12 точек.

 

Q: Максимальное количесво в стеке 3850 это 8?

A: 4

 

Q: Точки доступа должны быть напрямую подключены к Mobility Agent, или допускается промежуточный свич?

A: Да, напрямую.

 

Q: С NGWC будет тоже самое?

A: Это не проблема, связанная с конкретной моделью контроллера. Эта проблема связана с настройками Вашего оборудования. Для того, чтобы её решить, Вам нужно проверить, на какой скорости клиенты подключаются и какой уровень сигнала от точек доступа. То есть сделать site survey. После этого нужно будет запретить к использованию низкоскоростные подключения. Клиент автоматически снижает скорость передачи при ухудшении качества сигнала. Соответственно, запретив низкоскоростную передачу данных, Вы принуждаете клиента переустанавливать соединение к точке с лучшим уровнем сигнала. Кроме того, Вы можете регулировать соединения с каким уровнем сигнала будут допустимы – при достижении порога будет приниматься решение о роуминге клиента на точку с лучшим уровнем сигнала. Я не могу посоветовать точные значения – они зависят от Вашей сети. Также может потребоваться перевесить некоторые точки доступа. В идеале Вы должны добиться того, чтобы почти в любой точке вашего сайта одна из точек явно доминировала по уровню сигнала и этот уровень был существенно выше заданного порогового значения для роуминга.

 

Q: Подскажите, для интеграции WLC с ACTIV DIRECTORI необходимо использовать ISE или можно без сервера аутентификации.

A: Не обязательно. Можно использовать AD как  LDAP server (см. Локальную аутентификацию с использованием LDAP).

 

Q: На обычных контроллерах пока остается поддержка точек 1130 и 1240? Говорят, была мысль в обновлении софта 8.0 их исключить.

A: В восьмёрке их не будет, верно. Желательно обновить оборудование.

 

Q: Обязательно наличие полноценного WLC? Или достаточно 3850 для небольшой сети?

A: 3850 – полноценный контроллер. Его достаточно.

 

Q: Получается, что придется делать "растянутый" vlan на несколько свитчей, к которым подключены AP. Или есть иной вариант дизайна?

A: Есть. Вы можете сделать несколько VLAN’ов и установить между ними L3-connectivity. Но эта схема может оказаться сложнее в обслуживании.

 

Q: Может быть офтопик, но: Если необходимо собрать кластер из двух 3850 и подключить к ним 53 точки доступа 2702i, какие лицензии необходимо приобрести?

A: Абсолютно “наш” вопрос. К сожалению ответ – никакие. Такое количество точек подключить не удастся. Максимум 50 на полный стек.

 

Q: Зачем вообще нужен контроллер, если точки доступа могут работаь как standalon и выполнять централизованную аутентификацию на RADIUS?

A: Есть две основные схемы построения беспроводных сетей – отдельно стоящие точки доступа и управляемые контроллером точки доступа.
В случае автономных точек мы сталкиваемся с необходимостью синхронизации конфигураций и версий IOS (что в целом можно решить с помощью системы управления).
Также осложнено взаимодействие точек доступа для автосогласования RF-параметров и выявления чужих точек доступа ( rogue APs).
Наконец, при схеме с централизованным управлением менее вероятен незаметный взлом точки доступа с физическим подключением и переконфигурацией.
Безусловно, подключиться физически к точке доступа можно, однако это, во-первых, заметно на контроллере, во-вторых, любые изменения в конфигурации будут перезаписаны контроллером “обратно” и точка вернётся к исходному состоянию.
Ну и для централизованной схемы сильно упрощено развёртывание. При правильном подготовленной сети какая-либо преконфигурация точек вообще не требуется – вы просто развешиваете их, подключаете – и через несколько минут всё работает.

 

Q: Будут ли в виртуальном исполнении беспроводные контроллеры нового поколения?

A: Пока мне о таких планах не известно.

История версий
Редакция №
1 из 1
Последнее обновление:
‎07-15-2014 01:00 AM
Автор обновления: