Xin chào các bạn, trong bài viết sau đây mình sẽ hướng dẫn cách cấu hình Wireless Controller Cisco và kết nối Controller với các Cisco Aironet Access Point . * Các bước thực hiện như sau: - Kết nối PC đến port 2 trên Controller - Đợi đèn tín hiệu SYS trên Controller sáng xanh - Mở trình duyệt web truy cập đến địa chỉ IP mặc định 192.168.1.1 - Cài đặt Controller thông qua setup wizard - Xác nhận các thiết lập. - Kết nối Controller và Access Point vào hệ thống mạng - Kết nối Wireless Client đến Access Point để kiểm tra - Theo dõi các kết nối qua giao diện Monitor trên Controller * Tiến hành cấu hình: Các bạn kết nối PC với port2 trên controller, truy cập địa chỉ 192.168.1.1, thiết lập cấu hình controller với các thông số như bên dưới, sau đó click Next. Tiếp theo, các bạn cấu hình cho mạng wireless sẽ sử dụng với các thông số như hình bên dưới và click Next. Tiếp theo, các bạn xác nhận lại cấu hình và click Apply, thiết bị sẽ khởi động lại. Sau khi quá trình khởi động hoàn tất, các bạn kết nối port1 của Controller đến Switch trunk port, kết nối Access Point đến Switch Access Port, và kết nối Switch đến DHCP server. Các bạn tiếp tục truy cập ip 192.168.1.1, giao diện monitor hiển thị như bên dưới, các bạn click Advanced để vào giao diện cấu hình nâng cao. Trong giao diện advance config thì màn hình monitor hiển thị các thông tin như: số lượng Access Point tối đa mà controller có thể quản lý, địa chỉ ip quản trị của controller, số lượng Access Point đang kết nối vào,… Tiếp theo, các bạn click WLANS, màn hình sẽ hiển thị thông tin mạng Wireless “NHANVIEN” mà chúng ta đã tạo trước đó, để edit lại các thông số, các bạn click vào wlan id tương ứng. Để thay đổi thiết lập cho Controller, các bạn click vào CONTROLLER và sửa lại các thông số. Tiếp theo, các bạn vào mục WIRELESS để xem thông tin các Access Point đang kết nối đến Controller Để kiểm tra, các bạn dùng thiết bị wireless để kết nối đến Access Point. Đến đây, việc cấu hình đã hoàn tất, chúc các bạn thành công.
Cấu hình cơ bản Cisco Controller Bài viết này sẽ dựa trên cách cấu hình cơ bản Cisco Controller ở bài viết trước và ứng dụng vào một mô hình hạ tầng mạng doanh nghiệp. Mô hình: Mô hình mạng trong bài viết này bao gồm 4 VLAN và 3 vùng bảo mật khác nhau. VLAN 99 = management network VLAN 100 = server network VLAN 101 = desktop user network VLAN 103 = wireless user network Firewall outside = Internet Firewall inside = LAN Firewall DMZ = guest wi-fi (no access to the LAN, Internet only.) Địa chỉ IP khai báo cho hệ thống wifi như sau: Wireless Controller Interfaces: management: 172.25.10.50 ap-manager: 172.25.10.50 virtual: 1.1.1.1 AP01: 172.25.10.52 AP02: 172.25.10.53 Để thiết lập hạ tầng wifi cho mô hình trên ta cấu hình theo các bước sau: 1. Khai báo Employee SSID cho người dùng mạng nội bộ. SSID này có thể truy cập các subnet thuộc mạng LAN của công ty. 2. Khai báo Guest SSID cho đối tượng khách hàng. Chỉ có thể truy cập Internet, không truy cập được các subnet thuộc mạng LAN của công ty. 3. Người dùng mạng nội nội bộ - Employee SSID chứng thực truy cập mạng thông qua Microsoft Active Directory. 4. Khách hàng - Guest SSID chứng thực thông qua webpage. Tài khoản được tạo trên WCL. 1. Đăng nhập vào giao diện quản lý của WCL ở địa chỉ: http://172.25.10.50/. Truy cập vào Controller -> Interfaces để khai báo, quản lý các interface logic. Ở đây, chúng ta sẽ nhìn thấy các interface management và virtual interface đã được khai báo khi khởi tạo thiết bị WLC. Nhấp chuột vào interface management để xem các thiết lập cho interface logic này. - Nhập địa chỉ ip address để phục vụ quản lý thiết bị - Port vật lý số 1 trên WLC được kết nối đến thiết bị switch trên kết nối trunk cho traffic quản lý. AP-manager - Enable Dynamic AP Management. Mặc định, các interface logic management interface và AP-manager được gán đến cùng cổng vật lý số 1 trên WLC. Còn lại 3 AP-manager interface được tạo trên 3 cổng vật lý còn lại (cổng số 2, 3 và 4) trên cùng một subnet với management interface. Các AP kết nối đến Controller được chia điều trên mỗi cổng này trên Controller. Do đó, khuyến nghị tất cả các AP-manager interface và management interface nên trên cùng một subnet. DHCP Proxy Mode (Global, Enable, Disable) Trước tiên chúng ta cần chú ý, nếu sử dụng internal DHCP trên WLC để cấp IP cho người dùng mạng wifi, thì internal DHCP này chỉ hoạt động khi DHCP proxy được enable. Chúng ta phải bật DHCP proxy trên WLC để cho phép internal DHCP server hoạt động. Lưu các thông số cấu hình ở trên. Tiếp theo, tạo một interface logic mới là "employee". Interface này sử dụng cho người dùng công ty muốn kết nối đến mạng wifi. ***Chú ý, nếu bạn kết nối WLC đến switch trên cổng trunk, bạn cần chỉ định VLAN identifier trùng với VLAN ID của subnet trên LAN, trong trường hợp này là VLAN 103. Ở bước khai báo management interface, chúng ta đã khai báo VLAN identifier giá trị là 0, do đó management interface sử dụng untagged hay native VLAN khi truyền gói tin trên mạng. Bên dưới là cấu hình cổng trunk cho thiết bị switch kết nối với WLC. Management VLAN 99 Data VLAN 100-103 #interface GigabitEthernet1/0/10 #description WIFI-WLC1 #switchport trunk native vlan 99 #switchport trunk allowed vlan 99-103 #switchport mode trunk #spanning-tree guard root #ip dhcp snooping limit rate 100 #end Trong mô hình này, giả sử địa chỉ DHCP server (10.2.120.254) trên hệ thống sẽ cấp phát IP cho người dùng wifi của công ty. Chúng ta cần thiết lập chế độ DHCP Proxy là Global. Tiếp theo, tạo interface cho đối tượng user guest. ***Chú ý: Ở đây chúng ta gán Port number là 2 cho interface của user guest vì nguyên nhân bảo mật. Cổng số 2 trên WLC kết nối đến interface DMZ của thiết bị firewall. - Tạo DHCP Scope riêng cho đối tượng User Guest trên WLC, gán ip động từ chính WLC: Thay đổi các thông số trên thiết bị WAP được quản lý bởi WLC: Truy cập vào Wireless -> All APs. Click chuột lên AP cần cấu hình để thay đổi thông số của AP này.
Cấu Hình Xác Thực Người Dùng Nội Bô Truy Cập Mạng Wireless Bằng Radius Server Trong bài viết này, theo mô hình thì người dùng được quản lý và xác thực thông qua Microsoft Active Directory. Khai báo chứng thực bằng Radius Server như sau: Security -> AAA -> RADIUS -> Authentication và click New. - Nhập địa chỉ ip address của Radius Server và Shared Secret. + Authe Called Station ID Type chọn IP Address cho RADIUS Authentication Servers. - Cấu hình các thông tin IP address và Shared secrete password cho Accounting Server. ( Để default giá trị còn lại ) - Tạo tài khoản đăng nhập hệ thống mạng wifi cho User + Security -> AAA -> TACACS+ -> Local Net Users. ***Chú ý chọn interface visitor cho WLAN Profile. + Tạo SSID cho Employees . WLANs --> WLANs, sau đó click Create New – Nhập tên SSID, chọn Group interface là employee. - Tạo SSID cho Visitors: + Tương tự như tạo cho employee ***Chú ý: Tạo SSID và gán visitor Interface Groups cho SSID này. + Chọn None cho Layer 2 security Web Policy/Authentication for Layer 3. + Check security Web Policy/Authentication for Layer 3. + Disable Authentication và Accounting servers ở AAA. + Để đảm bảo người dùng khách hàng phải sử dụng IP được cấp phát từ WLC không cho phép đặt IP tĩnh trên thiết bị. · DHCP -> Check Required ( Dhcp Addr. Assignment ) Bài hướng dẫn về chứng thực Radius trên thiết bị Wireless Cisco đến đây đã hoàn thành. Chúc Các Bạn Thực Hiện Thành Công!!!
