PDF《思科无线局域网无线控制器配置的最佳实践 （7.6 版本及以上）》

思科无线局域网无线控制器配置的最佳实践 (7.

6 版本及以上) 介绍.3 先决条件

3 要求

3 使用的组件.3 最佳实践

3 网络设计.3 对无线接入点连接的交换机端口使用 PortFast 配置

4 接口源(DHCP,SNMP,RADIUS,组播等等.4 推荐的 SwitchPort 模式和 VLAN 修剪

4 网络连接

4 使用 VLAN TAG 标记无线控制器管理接口(Management)5 使用组播转发模式

6 禁用内部 DHCP 服务器

7 安全

8 禁用本地 EAP.8 使用 WPA2 + 802.1X 的WLAN

9 用户身份 - 使用 AAA 覆盖实现.9 使用更短的 RADIUS 超时配置.10 EAP 身份请求超时.11 EAPoL 密钥超时和最大重试次数

11 EAP 请求超时和最大重试次数

12 CCKM 时间戳验证.12 TACACS +管理超时.12 启用基础设施和客户端的管理帧保护(MFP)13 启用 802.11w 支持

13 更改 SNMPv3 的默认用户.14 启用网络时间协议(NTP)14 启用 802.11r 标准的快速过渡漫游.14 启用 DHCP Required 选项.15 非法设备管理.15 非法设备检测

16 最小 RSSI 值.17 非法设备规则.17 Wi-Fi Direct.18 对非法设备的信道扫描

18 瞬时出现非法设备的持续时间

19 启用 Adhoc 非法设备检测

19 启用非法客户端的 AAA 验证

19 启用非法客户端的 MSE 验证

19 无线/射频.20 禁用低数据速率

20 减少 SSID 的数量

21 启用频段选择(BandSelect)22 DCA C 动态信道分配.22 信道宽度

23 DFS C 动态频率选择

24 DCA 重启

25 应用可视化和控制(AVC)25 启用 802.11K 标准优化漫游

27 移动性.27 配置移动性组播模式

28 启用快速 SSID 切换.29 启用智能频谱管理(CLEANAIR)29 启用基于无线接入点/无线客户端状态的高可用性.30 介绍 移动性迅速改变了用户感知无线网络资源的期望和使用方式.无线已经成为用户访问网络 的优先选择,并且在很多情况下是唯一可行的一种方式.本文档提供了典型的无线控制器 (WLC)架构下通用的最佳实践和快速配置技巧.其目标是为您提供可以在大多数的无线 网络中实现应用的重要注意事项. 注意:所有的网络并非都是一样的.因此一些小技巧可能并不适用于您的安装部署.在一 个活动的网络上执行任何更改之前应该始终验证他们. 先决条件 要求 思科建议您具备以下知识: *如何配置无线控制器和轻量级无线接入点的基本操作知识 *控制和配置无线接入点协议(CAPWAP)和无线安全方法的基本知识 使用的组件 本文档中的信息基于以下软件和硬件版本: *思科无线控制器系列,运行软件版本 7.6 及以上. *思科 802.11n 系列无线接入点 请注意,本文档凡是提及无线控制器,均基于软件 7.6 版本及以上. 本文档中的资料是从一个特定实验室环境中的设备上生成的.本文档中使用的所有设备以 缺省(默认)配置开始配置.如果您的网络是正在使用的生产系统,请确保您了解所有命 令带来的潜在影响. 最佳实践 网络设计 下列是网络设计方面的最佳实践: 对无线接入点连接的交换机端口使用 PortFast 配置 对于连接本地模式的无线接入点的交换机端口上配置 PortFast.为了配置 PortFast,可设 置端口连接到一个 主机 端口(switchport host 命令),或直接以 portfast 命令配置. 这允许无线接入点更快的加入无线控制器.而且可以避免环路的风险,因为 CAPWAP 无线 接入点在该配置下不会进行 VLAN 之间的桥接. 接口源(DHCP,SNMP,RADIUS,组播等等.) 在每个网络设计中,大部分的 CPU 发起的流量以无线控制器中的管理地址被发送.例如, SNMP 陷阱、RADIUS 身份验证请求、组播转发等等. *此默认规则的例外是 DHCP 相关流量.您还可以启用对每个 SSID 的 RADIUS 接口覆盖 , 此时这个 WLAN 的radius 流量将从动态接口发送.不过,这会造成自带设备(BYOD)流 程和更改授权(COA)的设计问题. *启用每个 SSID 的RADIUS 接口覆盖,重要的是要考虑到配置防火墙策略或设计网络拓扑 结构.避免在于无线控制器 CPU 可达的服务器(例如 RADIUS 服务器)的同一子网络配置 动态接口是很重要的,因为它可能会导致非对称路由问题. *流量可以从动态接口发出,但是应该仅在拓扑需要时启用该功能. 推荐的 SwitchPort 模式和 VLAN 修剪 总是对于本地模式的无线接入点连接的交换机端口配置 access mode .FlexConnect 模式(即做本地交换)的无线接入点和无线控制器连接的交换机端口可以使用 Trunk 方式, 记住一定要修剪 VLAN,只允许 FlexConnect 无线接入点和无线控制器上配置的 VLAN.此外,在中继接口使用 switchport nonegotiate 命令禁用动态中继协议(DTP),避免无线接 入点/无线控制器处理 DTP,因为它们不支持也不需要这些帧.同时,交换机上也会浪费资 源尝试与无法支持它的设备进行协商. 网络连接 以下是用于网络连接的最佳实践: 虽然大多数的无线控制器的配置是立即生效的,但更改下列配置的设置后重新加载无线控 制器是一个好主意: C 管理地址 C SNMP 配置 C HTTPS 加密设置 C LAG 模式(使能/禁止),配置后是强制性重启的 使用 VLAN TAG 标记无线控制器管理接口(Management) 思科建议在无线控制器管理接口使用 VLAN 标记,因为这是 HA 方案中唯一支持的模式. 对于未标记的接口,管理接口数据包发送和接受到无线控制器连接的 Trunk 端口的本地 VLAN.但是,如果你想要管理接口是在不同的 VLAN,使用下面命令将其标记为相应的 VLAN: (Cisco Controller) >