Cisco Aironet 1200 Access Points im Informatikzentrum

Dieses Dokument ist veraltet. Im August/September 2009 wird es grundlegende Veränderungen des WLAN-Setup im IZ geben.

Dieses Dokument beschreibt das Setup, das nach Gesprächen zwischen den technischen Mitarbeitern der Insitute im Informatikzentrum und dem IT-Zentrum (damals Rechenzentrum) zum Betrieb eines 802.11b/g Wireless-LAN im Informatikzentrum vorgesehen ist. In einigen Punkten kann dabei auf Dienste zurückgegriffen werden, die das IBR bereitstellt.

Es wird davon ausgegangen, dass sich das Setup für die einzelnen zuständigen Mitarbeiter der Institute möglichst einfach gestalten soll. Wo spezielle Wünsche bestehen, kann von dem hier geschilderten Verfahren selbstverständlich abgewichen werden.

Ferner wird für die bereitgestellte Konfiguration davon ausgegangen, dass Cisco Aironet 1200 Access Points mit 802.11g (und ohne 802.11a) Interfaces (AP1231) zum Einsatz kommen.

Überblick des Netzwerkes

Das netzbasierte Management der Access Points läuft wie für die Switches über das VLAN 1 (Name: "VLAN #1"). Der Netzverkehr der teilnehmenden Wireless Clients soll von dem Management-Netz getrennt sein und läuft daher für das verschlüsselte und authentisierte Netz mit der SSID "eduroam" über das VLAN 549 (Name: "iz-wlan"). Ggf. können weitere Funknetze mit anderen SSIDs über andere VLANs realisiert werden. Das IBR wird eine Zeit lang seinen Netguest-Dienst weiterhin über das VLAN 547 (Name: "ibr-wlan") mit der SSID "IBR" anbieten.

Die Namen der Access Points werden nach Vorgabe des IT-Zentrums nach dem Schema "c-wlan-4103-xxx" vergeben, wobei "xxx" die Raumnummer repräsentiert, wo der Access Point installiert ist. Der IP-Adressraum der Access Points (also für deren Management) ist 134.169.2.192/27 (134.169.2.194 - 134.169.2.222).

Die Wireless Clients (im VLAN "iz-wlan", SSID "eduroam") liegen in einem vom GITZ verwalteten und DHCP versorgten Adressraum.

Einrichten eines Access Points

Ein neuer Access Point ist an einen Switch Port anzuschließen, der für das VLAN 1 ("VLAN #1") freigschaltet wird und (zunächst) "untagged" betrieben wird. Es ist wichtig, dass der Port "untagged" betrieben wird, da das Gerät anfangs nichts von VLANs weiß und tagged frames nicht annehmen würde.

Als nächstes sollte der Access Point in einem DHCP-Server registriert werden, um ihm auf einfache Weise eine initiale Konfiguration beizubringen. Das IBR stellt einen DHCP-Server zu diesem Zweck bereit. Bitte teilt Frank Steinberg in einer EMail folgende Daten mit:

• die 6 Bytes lange MAC Adresse des Ethernet Interface (steht in der Regel auf einem Aufkleber am Gerät),
• den Raum, in dem der Access Point installiert wird,
• den zuständigen Administrator (Name, EMail, ggf. Telefon).

Nach der Registrierung schicke ich Euch die zugewiesene IP-Adresse zurück. Nun sollte das neue Gerät nach dem obigen Netzwerk-Setup beim Booten eine Konfiguration vom DHCP-Server erhalten und erreichbar sein (Test per "ping"). Da der DHCP-Server dem Access Point neben der IP-Konfiguration auch eine Konfigurationsdatei per TFTP anbietet, lädt der Access Point diese automatisch und ist anschließend bereits vollständig konfiguriert. Diese Konfiguration umfasst u.a. die Definitionen von VLANs und Funknetzen und das Nutzen von RADIUS-, Syslog-, SNMP-Trap- und NTP-Servern des IBR. Wer sich zu beobachtet fühlt, kann selbstverständlich von dieser Konfiguration abweichen.

Als nächstes muss vermutlich eine neuere Firmware eingespielt werden, um die für den Betrieb vorgesehenen Sicherheitsmechanismen nutzen zu können. Im IBR liegen derzeit positive Erfahrungen mit der Version "12.3(8)JEA1" (Filename "c1200-k9w7-tar.123-8.JEA1.tar") vor. Ein Upgrade über den TFTP-Server des IBR ist wie folgt möglich:

  $ telnet 134.169.2.xxx
  Username: Cisco
  Password: Cisco [später das von den Switches bekannte Passwort]
  > enable
  # archive download-sw /overwrite /force-reload tftp://134.169.34.14/c1200-k9w7-tar.123-8.JEA1.tar
  

Nun kann bei Bedarf die Konfiguration manuell eigenen Wünschen angepasst werden.

Schließlich muss die laufende Konfiguration in die Start-Konfigurationsdatei kopiert werden. Dies ist auch nötig, wenn keine Änderungen vorgenommen wurden:

  # copy system:running-config nvram:startup-config
  

Sollte das Gerät einmal derart konfiguriert worden sein, dass es nicht mehr erreichbar ist, so kann der Auslieferungszustand wieder hergestellt werden, indem beim Einschalten so lange der kleine Taster "Mode" gehalten wird, bis die mittlere LED gelb leuchtet. Nun bootet das Gerät mit den Werkseinstellungen. Alle vorher gemachten Konfigurationsänderungen sind verloren.

Abschließend muss der Switch-Port, an den der Access Point angeschlossen ist, auf "Tagged Trunk" umgeschaltet werden und für diesen Port neben VLAN 1 ("VLAN #1") auch das VLAN 549 ("iz-wlan"), und bei Bereitstellung des IBR-Netguest-Dienstes auch das VLAN 547 ("ibr-wlan"), aufgeschaltet werden:

                            VLAN Port Configuration

              Unit:                        [ x ]
              Port:                        [ xx  ]
              Filter Tagged Frames:        [ No  ]
              Filter Untagged Frames:      [ No  ]
              Filter Unregistered Frames:  [ No  ]
              Port Name:                   [ Unit x, Port xx ]
              PVID:                        [    1 ]
              Port Priority:               [ 0 ]
              Tagging:                     [  Tagged Trunk   ]

              AutoPVID (all ports):        [ Enabled  ]



Use space bar to display choices, press <Return> or <Enter> to select choice.   
Press Ctrl-R to return to previous menu.  Press Ctrl-C to return to Main Menu.
  

                             VLAN Display by Port

                        Unit:       [ x ]
                        Port:       [ xx  ]
                        PVID:       1   
                        Port Name:  Unit x, Port xx

      VLANs        VLAN Name                  VLANs        VLAN Name
    ---------  ----------------             ---------  ----------------
        1      VLAN #1
	547    ibr-wlan
	549    iz-wlan





Use space bar to display choices, press <Return> or <Enter> to select choice.   
Press Ctrl-R to return to previous menu.  Press Ctrl-C to return to Main Menu.
  

Erst hierdurch ist die korrekte Abbildung des Funknetzverkehrs auf die VLANs gewährleistet. Bitte beachtet, dass in diesem "tagged" Modus jedoch der oben beschriebene DHCP-Bootvorgang eines Neugerätes bzw. das Booten nach einem Wiederherstellen des Auslieferungszustandes scheitern würde, da der Access Point in diesem unkonfigurierten Zustand keine VLANs kennt und daher keine "tagged frames" entgegen nimmt. Aus diesem Grund ist auch zwingend das weiter oben beschriebene Kopieren der Konfiguration die lokale startup-config Datei des Access Points notwendig.

Nach Abschluss dieser Schritte sollte der Access Point in der vorgesehenen Weise betriebsbereit sein und auch nach einem Reboot oder Stromausfall wieder funktionieren. Den DHCP-Server für die Wireless Clients erbringt das IBR.

Positionen der Access Points

Die Positionen der Access Points im 1.OG gehen aus der folgenden Abbildung hervor. Ein weiterer Access Point ist im CIP-Pool (Raum G40) installiert.

Access Points anderer Institute sind derzeit noch nicht verzeichnet. Ich nehme gerne weitere Karten oder textuelle Beschreibungen Eurer Installation entgegen.

Ein Abstimmung von Sendekanälen und Sendeleistungen ist derzeit noch nicht vorgesehen.

Firewall Konfiguration

Derzeit wird nichts gefiltert.