Mir stehen heute zwei nagelneue Cisco Catalyst 9800-40er WLAN Controller (WLC) zur Verfügung. Allerdings habe ich keinen physischen Zugriff auf die Geräte. Ich werde das initiale Setup also per Konsolen-Zugriff über entsprechende Terminalserver machen.
Namen, Passwörter und IP Adressen werde ich in meinem Beitrag aus Sicherheitsgründen in fiktive Werte ändern.
Das initiale Setup ist recht einfach. Man benötigt nur ein paar wenige Schritte, um den Controller aktiv ans Netz zu bringen.
Ich werde hier nur die Schritte beschreiben, die notwendig sind, um den Controller anschließend über seine Web-Oberfläche erreichen und weiter konfigurieren zu können. Alle beschriebenen Schritte müssen auf beiden Controllern konfiguriert werden.
Controllername
Zunächst konfiguriere ich einen Namen für den WLC.
Controller 1:
hostname 9800-40-1
Controller 2:
hostname 9800-40-2
Lokaler Username mit Adminrechten
Um im Anschluss auf die GUI zugreifen und die Konfiguration fortsetzen zu können, benötigen wir einen User mit Adminrechten.
Konfiguration auf beiden Controllern identisch:
username admin_user privilege 15 password 7 xxxxxx
Management Zugang
Für die Anbindung der beiden WLCs wurde im Kunden-RZ ein dediziertes VLAN eingerichtet. Je nachdem von wo wir auf den WLC zugreifen werden, muss es sich hierbei um ein geroutetes Netz handeln. In meinem Fall ist der WLC bereits vor Ort beim Kunden eingebaut und an die dortige RZ-LAN-Infrastruktur angebunden.
Controller 1:
vlan 222
name WLC-Management-Netzname WLC-Management-Netz
interface vlan 222
ip address 192.168.1.4 255.255.255.240
ip route 0.0.0.0 0.0.0.0 192.168.1.1
Controller 2:
vlan 222
name WLC-Management-Netzname WLC-Management-Netz
interface vlan 222
ip address 192.168.1.5 255.255.255.240
ip route 0.0.0.0 0.0.0.0 192.168.1.1
Port Konfiguration / Port Channel
Für die LAN Anbindung an das Kunden-RZ Netz verwende ich zunächst zwei der 4 verfügbaren 10Gbps Interfaces des WLCs und konfiguriere diese als EtherChannel. Obwohl es sowohl auf der CLI als auch auf der GUI konfigurierbar ist, wird LACP auch auf den neuen 9800er WLCs (Version 16.10.1) noch nicht unterstützt. Der LACP Channel scheint zwar aufgebaut zu werden, es werden jedoch keine Daten darüber transportiert. Wir müssen also eine statische Channel-Konfiguration erstellen, das heißt der Channel Mode muss „on“ sein.
Konfiguration auf beiden Controllern identisch:
interface Port-channel1
switchport trunk allowed vlan 222
switchport mode trunk
!
!
interface TenGigabitEthernet0/0/0
switchport trunk allowed vlan 222
switchport mode trunk
channel-group 1 mode on
no shut
!
!
interface TenGigabitEthernet0/0/1
switchport trunk allowed vlan 222
switchport mode trunk
channel-group 1 mode on
no shut
AP Kommunikation über Mngt-VLAN
Nun weisen wir das neue VLAN (im Beispiel VLAN 222) mit der konfigurierten IP Adresse dem WLC Management Interface zu. Sofern sich der WLC in einer geschützten Umgebung befindet, sollten zunächst die Ports für den Management-Zugriff (TCP22 für SSH und TCP443 für https) auf der Firewall freigeschaltet werden.
Konfiguration auf beiden Controllern identisch:
wireless management interface Vlan222
Country Code für WLC
Da es in unterschiedlichen Ländern unterschiedliche Anforderungen und Regularien bezüglich der Sendeleistung, der Kanäle und Interfaces für den Betrieb von WLAN Access Points (AP) gibt, wird der WLC für die entsprechende Länder-Domäne konfiguriert. So kann sichergestellt werden, dass z.B. die gesetzlichen Grenzwerte für die Sendeleistung nicht überschritten werden.
In meinem Fall handelt es sich um ein exklusives Controller-Paar für einen deutschen Kunden mit Standorten ausschließlich in Deutschland. Somit konfigurieren wir nur einen Country Code.
Den Country Code können wir nur konfigurieren, wenn alle Radio-Interface ausgeschaltet sind. Daher empfiehlt es sich, diesen Konfigurationsschritt direkt am Anfang durchzuführen, solange noch keine WLAN APs am Controller aktiv sind. Anschließend können Radio-Interfaces sofort wieder eingeschaltet werden.
ap dot11 5ghz shutdown
ap dot11 24ghz shutdown
ap country DE
!
9800-40-1#sh run | incl country
ap country DE
!
no ap dot11 5ghz shutdown
no ap dot11 24ghz shutdown
Nach diesen wenigen Konfigurationsschritten sollten beide Controller per Web-GUI erreichbar sein. In einem meiner nächsten Beiträge werde ich die beiden Controller in einen High-Availability-Cluster schalten.