Kurzbedienungsanleitung OmniAccess WLAN

Transkript

1 Kurzbedienungsanleitung OmniAccess WLAN Hauke Heinecke / Denny Kloppholz / Stefan Küttel Customer Solution Architects Alcatel-Lucent Enterprise Version 6.0, August 2011 SW Version: 6.1

2 Alcatel, Lucent, Alcatel-Lucent und das Alcatel-Lucent-Logo sind Marken von Alcatel-Lucent. Alle anderen Marken sind Eigentum ihrer jeweiligen Besitzer. Alcatel-Lucent übernimmt keine Verantwortung für die Richtigkeit der hier enthaltenen Informationen. Änderungen behalten wir uns ohne Ankündigung vor Alcatel-Lucent. Alle Rechte vorbehalten. Wenn Sie weitere Informationen wünschen, wenden Sie sich an Ihren zuständigen Alcatel- Lucent-Ansprechpartner, autorisierten Wiederverkäufer oder Verkäufer. Oder besuchen Sie unsere Website unter Dieses Dokument wird nur zu Planungszwecken zur Verfügung gestellt und begründet, ändert oder ergänzt keinerlei Garantien, die von Alcatel-Lucent in Bezug auf die hierin beschriebenen Produkte und / oder Services gewährt werden können. Die Publikation der in diesem Dokument enthaltenen Informationen impliziert keine Aufgabe von Patentrechten oder anderer Schutzrechte von Alcatel-Lucent oder Dritten. Seite 2 von 77

3 Inhaltsverzeichnis Kurzbedienungsanleitung OmniAccess WLAN 1 Vorwort 5 2 Allgemeines Systemübersicht 6 3 Erste Schritte Grundkonfiguration via Konsole Konsole Rücksetzen der Konfiguration Grundkonfiguration mit Konsole Wizard Loopback Adresse Telnet und SSH Grundkonfiguration via Web Wizard 12 4 Konfiguration der Grundfunktionen Web Darstellung Übersicht über die aktuelle Installation Basisinfos zum OmniAccess Wireless Lizenzmanagement Zertifikate Benutzermanagement Software Update Sicherung und Wiederherstellung Sichern der Konfiguration und der Datenbanken Wiederherstellen der Konfiguration und Datenbanken 28 5 Konfiguration der Access Points Netzwerkanbindung Port Konfiguration Port-Channel Konfiguration VLAN/IP-Konfiguration DHCP Server Interner DHCP Server Externer DHCP Server Gruppierung der Access Points Der virtuelle AP n Konfiguration Wireless Mesh Network Access Point mit drahtlosem Rückkanal (Mesh-Point) Wireless Ethernet Bridge 46 Seite 3 von 77

4 5.8 RF Management Control Plane Security Aktivieren/Deaktivieren AP Whitelisting Auto Cert Provisioning Provisionieren des Access Points Provisionierung über Konsolenport Provisionierung über Web-Oberfläche 54 6 Konfiguration der Benutzer Benutzerrollen und Policies Policies Benutzerrollen Konfiguration der Authentisierungs-Server Interne Datenbank RADIUS Server Server Gruppen Konfiguration der Authentisierung Konfiguration des AAA Profils Quality of Service QoS Quality of Service mit der Firewall Wi-Fi Multimedia 64 7 Monitoring Dashboard Performance Durchsatz (Usage) Sicherheit (Security) Potentielle Probleme (Potentiel Issues) WLANs Access Points Clients Kontrolle der Clients 72 8 Beispielkonfiguration 73 Seite 4 von 77

5 1 Vorwort Diese Kurzbedienungsanleitung soll Partnern und Kunden der Alcatel-Lucent Enterprise Business Division einen schnellen Einstieg in die Konfiguration und die Handhabung der Alcatel-Lucent Omni- Access Wireless (Kurz: OAW) Lösung ermöglichen. Das Dokument erhebt keinen Anspruch auf Vollständigkeit. Für weitergehende Informationen sei auf die von der Alcatel-Lucent Enterprise Business Division veröffentlichte Handbücher verwiesen. Dort finden Sie eine komplette Aufstellung aller zur Verfügung stehenden Befehle und Ihrer Syntax. Diese Kurzbedienungsanleitung ist auf die Softwareversion AOS-W 6.1 ausgelegt. Bei der Nutzung vorheriger Softwareversionen kann es unter Umständen zu erheblichen Abweichungen in der Art und Weise der Konfiguration kommen! Außerdem sind in den vorherigen Versionen nicht alle Leistungsmerkmale enthalten. Für die Änderungen zwischen verschiedenen Softwareversionen konsultieren Sie bitte die Release Notes. Zur Verdeutlichung werden die einzugebenden Befehle und die Ausgaben des OmniAccess Wireless unterschiedlich dargestellt: Einzugebender Befehl Ausgabe des Systems Pfad in der WebGUI Hinweise/Warnungen Um das Lesen des Dokuments weiter zu erleichtern, gibt es weitere Darstellungen. Die meisten Konfigurationsschritte werden am Beispiel der grafischen Benutzerschnittstelle (WebGUI) durchgeführt, die mit jedem Standardbrowser aufgerufen werden kann. An einigen Stellen werden zusätzlich auch die Kommandos der Konsole erläutert. Seite 5 von 77

6 2 Allgemeines 2.1 Systemübersicht Kurzbedienungsanleitung OmniAccess WLAN Die Alcatel-Lucent OmniAccess WLAN Lösung (Release 6.1) besteht aus WLAN Switches, im folgenden auch Kontroller genannt, Access Points mit internen oder externen Antennen sowie dem Managementsystem OmniVista 3600 Air Manager. Die Kontroller unterscheiden sich hinsichtlich der verwalteten Access Points, der maximalen Anzahl von WLAN Endgeräten und Ihrer Ausstattung an Netzwerkschnittstellen, einen Überblick gibt Tabelle 1. Modell Max. Anzahl APs/RAPs* Max. Anzahl Clients Schnittstellen OAW / x Fast Ethernet (4 davon PoE+) 1x Gigabit Ethernet 1x USB OAW-4306G 16/ x Gigabit Ethernet (4 davon PoE+) 2x Gigabit Ethernet SFP 4x USB OAW-4306GW 16+1/ x Gigabit Ethernet (4 davon PoE+) 2x Gigabit Ethernet SFP 4x USB 1x WLAN (Integrierter AP) OAW / x Gigabit Ethernet Komboports (RJ45 oder SFP) OAW / x Gigabit Ethernet Komboports (RJ45 oder SFP) OAW / x Gigabit Ethernet Komboports (RJ45 oder SFP) OAW-6000 mit 1xOAW-SC-3 512/ x Gigabit Ethernet SFP 2x 10Gigabit Ethernet XFP Tabelle 1: Kontroller *Anmerkung: RemoteAPs (RAPs) sind AccessPoints (APs) die Remote (via xdsl/wan-verbindung) an den Kontroller angeschlossen werden. Sie haben meist einen kleineren Durchsatz (Bandbreite) weshalb mehr RAPs als APs an einen Kontroller angeschlossen werden können. Jeder RAP benötigt für den Betrieb aber eine normale AP Lizenz. Die angegebene Max. Anzahl APs/RAPs ist jeweils als maximale Zahl zu sehen, wenn nur APs oder nur RAPs eingesetzt werden. Wenn sowohl APs als auch RAPs eingesetzt werden, dann ist die Max. Anzahl jeweils anzupassen. Beispiel eines OAW-4306: 7 APs und 4 RAPs oder 6 APs und 8 RAPs. Die Kontroller stellen eine zentrale Intelligenz für die Access Points dar. Dadurch wird es möglich, den WLAN Endgeräten weitere Dienste wie Sprache (VoWLAN) zur Verfügung zu stellen. Die verfügbaren Access Points und ihre wichtigsten Eigenschaften sind in der nachfolgenden Tabelle 2 zusammengefasst. Seite 6 von 77

7 Modell a a/n b/g b/g/n Dual Radio Kurzbedienungsanleitung OmniAccess WLAN Interne Antennen Externe Antennen AP68 Nein Nein Ja Ja Nein Ja Nein Nein AP92 Ja Ja Ja Ja Nein Nein Ja Nein AP93 Ja Ja Ja Ja Nein Ja Nein Nein AP105 Ja Ja Ja Ja Ja Ja Nein Nein AP124 Ja Ja Ja Ja Ja Nein Ja Nein AP125 Ja Ja Ja Ja Ja Ja Nein Nein AP134 Ja Ja Ja Ja Ja Nein Ja Nein AP135 Ja Ja Ja Ja Ja Ja Nein Nein AP175 Ja Ja Ja Ja Ja Nein Ja Ja RAP2WG Nein Nein Ja Nein Nein Ja Ja Nein RAP5 Nein Nein Nein Nein Nein Nein Nein Nein RAP5WN Ja Ja Ja Ja Nein Ja Nein Nein Outdoor Tabelle 2: Access Points / Remote Access Points Das Managementsystem OmniVista 3600 Air Manager ist nicht Bestandteil dieser Kurzreferenz. Abbildung 1: Systemübersicht Seite 7 von 77

8 3 Erste Schritte Wie in Kapitel 2.1 beschrieben, besteht die Alcatel-Lucent OmniAccess Wireless Lösung aus verschiedenen Komponenten. In der Regel wird aber ausschließlich der WLAN Switch / Kontroller konfiguriert. Die Access Points laden sich automatisch die Konfiguration und auch die aktuelle Software von dem bzw. den WLAN Kontrollern. Der Kontroller verfügt über ein so genanntes CLI (Command Line Interface, mittels Konsole oder Telnet/ssh) und ein Webinterface. Die Grundkonfiguration des Kontrollers kann sowohl via Konsole als auch via Web Wizard erstellt werden. Nachfolgend werden die zwei Konfigurationsschnittstellen bzw. die Grundkonfiguration mit ihnen kurz erläutert. 3.1 Grundkonfiguration via Konsole Das CLI ermöglicht die Eingabe aller zur Verfügung stehenden Befehle zum aktivieren und deaktivieren von Leistungsmerkmalen bzw. Einstellungen. Der Zugriff hierauf erfolgt per VT100 Terminalzugriff (Konsole oder Telnet/ssh). Während der Konfiguration steht zu jeder Zeit die Taste? zur Verfügung. Hiermit erhält man kontextabhängig die Auflistung der möglichen einzugebenden Befehle. (OAW-4306) (config) #interface? fastethernet FastEthernet IEEE gigabitethernet GigabitEthernet Interface loopback Loopback Interface mgmt Management Ethernet Interface port-channel Ethernet channel of interfaces range Interface range tunnel Tunnel interface vlan Switch VLAN Virtual Interface (OAW-4306) (config) #interface fastethernet? <slot/port> Fastethernet Interface in <slot>/<port> format Hinweis: Sofern das Kommando eindeutig ist, kann dieses durch die Nutzung der Tab-Taste automatisch vervollständigt werden. Es ist der hierarchische Aufbau des Command-Line-Interfaces (CLI) zu beachten. Grundlegend gibt es folgende Modi. User Mode Erlaubt nur die Nutzung von Basisbefehlen (z.b. Ping und Traceroute) (OAW-4306) > Enable Mode Erlaubt das Ansehen von allen Parametern (OAW-4306) > enable (OAW-4306) # Seite 8 von 77

9 Config Mode Erlaubt die Konfiguration von allen Parametern (OAW-4306) # configure terminal (OAW-4306) (config) # (OAW-4306) (config) #exit (OAW-4306) # Kurzbedienungsanleitung OmniAccess WLAN Konsole Für den Konsolzugang wird ein 1:1 Standard Ethernet Patchkabel und der beiliegende Adapter für den Anschluß am seriellen Port des PCs benötigt. Abbildung 2: Serieller Port Achtung: Der Anschluss des Konsole-Ports an den Ethernet-Port des PCs kann zur Beschädigung der Hardware führen. Die Einstellungen im Terminalprogramm (z.b. HyperTerminal bei Windows) müssen folgendermassen sein: Bits per Second: 9600 Data Bits: 8 Parity: None Stop bits: 1 Flow control: None Rücksetzen der Konfiguration Sollte sich der OmniAccess Wireless nicht im Auslieferungszustand befinden, so kann diese Konfiguration wie nachfolgend gelöscht werden. Ist ein OmniAccess Wireless bereits mit einer Konfiguration versehen, so fährt dieser hoch und verlangt die Eingabe eines Usernamens und Passwortes. Die aktuell im RAM gespeicherte Konfiguration kann wie folgt angesehen werden: (OAW-4306) #show running-config Die Konfiguration im Flash kann wie folgt angezeigt werden: Seite 9 von 77

10 (OAW-4306) #show startup-config Die Konfiguration wird wie folgt gelöscht: (OAW-4306) #write erase Kurzbedienungsanleitung OmniAccess WLAN All the configuration will be deleted. Press 'y' to proceed : y Write Erase successful (OAW-4306) # Es sollte nicht der Befehl (OAW-4306) #write erase all verwendet werden. Dieser löscht neben der Konfiguration auch die gesamten Datenbanken! In diesen Datenbanken sind auch die License-Keys gespeichert. Diese müssten dann wieder neu eingegeben werden. Ausser dies sei gewünscht z.b. bei einem Factory Reset. (OAW-4306) #reload Do you really want to reset the system(y/n):y System will now restart! Shutdown processing started Der OmniAccess Wireless wird neu gestartet Grundkonfiguration mit Konsole Wizard Nachdem der Kontroller hochgefahren ist, werden einige initiale Parameter abgefragt um die Grundkonfiguration erstellen zu können. Es ist unbedingt darauf zu achten, dass diese der gewünschten Konfiguration entsprechend eingegeben werden, da diese teilweise nicht wieder änderbar sind. Dies betrifft in erster Linie den Country-Code. Achtung: Wenn für den Country Code US oder Israel eingegeben wird, so kann dies nicht mehr verändert werden und muß als RMA an Alcatel-Lucent eingeschickt werden. Mit drücken der Enter/Eingabe-Taste wird jeweils der vorgegebene Wert in Klammern [ ] bestätigt. <<<<< Welcome to Alcatel-Lucent - Alcatel-Lucent OAW-4306 >>>>> Starting watchdog processes Check/update Boot Image Reboot Cause: Power Failure. SKIPPING Generating SSH Keys done. Initializing TPM and Certificates Performing integrity check on Ancillary partition 0...passed. Restoring the database...done. Starting hwmon Reading configuration from factory-default.cfg ***************** Welcome to the OAW-4306 setup dialog ***************** This dialog will help you to set the basic configuration for the switch. These settings, except for the Country Code, can later be changed from the Command Line Interface or Graphical User Interface. Seite 10 von 77

11 Commands: <Enter> Submit input or use [default value], <ctrl-i> Help <ctrl-b> Back, <ctrl-f> Forward, <ctrl-a> Line begin, <ctrl-e> Line end <ctrl-d> Delete, <BackSpace> Delete back, <ctrl-k> Delete to end of line <ctrl-p> Previous question <ctrl-x> Restart beginning Enter System name [OAW-4306]: Enter Switch Role (master local standalone remote-node) [master]: standalone Enter VLAN 1 interface IP address [ ]: Enter VLAN 1 interface subnet mask [ ]: Enter IP Default gateway [none]: Enter Country code (ISO-3166), <ctrl-i> for supported list: ch You have chosen Country code CH for Switzerland (yes no)?: yes Enter Time Zone [PST-8:0]: GMT+1:0 Enter Time in UTC [09:48:23]: 10:19:00 Enter Date (MM/DD/YYYY) [7/6/2011]: Enter Password for admin login (up to 32 chars): ****** Re-type Password for admin login: ****** Enter Password for enable mode (up to 15 chars): ****** Re-type Password for enable mode: ****** Do you wish to shutdown all the ports (yes no)? [no]: no Current choices are: System name: OAW-4306 Switch Role: standalone VLAN 1 interface IP address: VLAN 1 interface subnet mask: Country code: ch Time Zone: GMT+1:0 Ports shutdown: no If you accept the changes the switch will restart! Type <ctrl-p> to go back and change answer for any question Do you wish to accept the changes (yes no)yes Creating configuration... Done. System will now restart! Shutdown processing started Syncing data...done. Sending SIGKILL to all processes. Please stand by while rebooting the system. 0:<0>Restarting system. 0:. 0:<2>Performing hard reset Loopback Adresse Die Loopback IP Adresse wird als Endpunkt für GRE und IPsec Tunnel verwendet. Außerdem dient sie als Absender Adresse für RADIUS und für das Management. Sofern keine dedizierte Loopback IP Adresse konfiguriert wurde, benutzt der OmniAccess Wireless die IP Adresse des VLANs 1 als Loopback IP Adresse. Ist dieses Netzwerk nicht aktiv kann es zu Problemen kommen. Daher ist es sinnvoll eine Loopback IP Adresse zu konfigurieren. Diese kann in einem IP-Segment liegen, welches auch von einem IP-Interface eines VLANs benutzt wird. Sie darf aber nicht schon verwendet werden (weder auf dem Kontroller noch extern). Die Loopback IP Adresse wird wie folgt geändert: (OAW-4306) (config)#interface loopback (OAW-4306) (config-loop)# ip address x.x.x.x Die Loopback IP Adresse kann auch über das Webinterface geändert werden. Seite 11 von 77

12 Hinweis: Nach jeder Änderung der Loopback IP Adresse muß der OmniAccess Wireless neu gestartet werden, damit die neue Loopback IP Adresse aktiv wird. Die Loopback IP Adresse muss zudem von den APs erreicht werden können, d.h. sie müssen eine Route dorthin haben Telnet und SSH Wenn eine initiale Konfiguration wie eben beschrieben erfolgt ist, dann ist der OmniAccess Wireless über jede Schnittstelle mit der konfigurierten IP Addresse erreichbar und kann nun über das Netzwerk konfiguriert werden. Telnet ist per Default gesperrt und muss explizit freigeschaltet werden. Alternativ steht die Konfigurationsmöglichkeit per SSH oder via Webinterface (siehe Kapitel 3.2)zur Verfügung. Telnet wird wie folgt eingeschaltet: (OAW-4306) (config)#telnet cli 3.2 Grundkonfiguration via Web Wizard Die Grundkonfiguration des Kontrollers kann auch über einen Web Wizard erstellt werden. Dafür verbindet man die Ethernet Schnittstelle des Bediencomputers mit einer Ethernet Schnittstelle des Kontrollers. Die IP Adresse für den Computer kann via DHCP vom Kontroller bezogen werden. Danach öffnet man mit einem Webbrowser (Firefox, Internet Explorer etc.) folgende Adresse: Der Wizard führt nun durch die verschiedenen Konfigurationsschritte. Je nachdem kann der gesamte Wizard (Grundkonfiguration + WLAN Konfiguration) durchlaufen werden oder nur ein Teil davon. Es ist aber zu beachten, dass die Konfiguration erst aktiv wird, wenn sie auf den Kontroller geschrieben wird. Der Wizard kann also auch jederzeit abgebrochen werden ohne dass die Konfiguration geändert wurde. Zudem kann die Konfiguration natürlich auch nachher noch mittels Webinterface angepasst und erweitert werden. Allgemein findet man viele Zusatzinformationen innerhalb des Wizards, z.b. im Startfenster des Wizards, wenn man auf view checklist information klickt oder allgemein, wenn man auf more bzw. Help klickt. Es empfiehlt sich den Text jeweils genau zu lesen. Nachfolgend ein Beispiel der Grundkonfiguration. Die Werte müssen entsprechend den eigenen Bedürfnissen angepasst werden. Seite 12 von 77

13 Abbildung 3: Setup Wizard Wahl des Szenarios (Standard: Campus wireless) Abbildung 4: Setup Wizard Definieren der Grundeinstellungen Seite 13 von 77

14 Abbildung 5: Setup Wizard Wählen der Betriebsart des Kontrollers Abbildung 6: Setup Wizard Definieren der Management IP Adresse (VLAN 1) Seite 14 von 77

15 Abbildung 7: Setup Wizard Definieren der Kontroller Hauptadresse (Standard: VLAN 1) Abbildung 8: Setup Wizard Definieren der Port/VLAN Zuordnung (Standard: Alle Ports VLAN 1) Seite 15 von 77

16 Abbildung 9: Setup Wizard Auf finish now klicken um Grundsetup Wizard abzuschliesen Abbildung 10: Setup Wizard Auf Finish klicken um Grundsetup zu aktivieren Abbildung 11: Setup Wizard Konfiguration wird auf Kontroller geschrieben Abbildung 12: Setup Wizard Kontroller wird neu gestartet Seite 16 von 77

17 4 Konfiguration der Grundfunktionen Kurzbedienungsanleitung OmniAccess WLAN Es wird empfohlen die Konfiguration des OmniAccess Wireless über die Web-Schnittstelle zu realisieren. Es ist aber auch möglich, den OmniAccess Wireless über das CLI zu konfigurieren. Hierfür sei auf die entsprechenden Handbücher verwiesen. Zur Konfiguration ist ein PC per LAN an den OmniAccess Wireless anzuschließen. Dieser muß in der Lage sein, mit dem OmniAccess Wireless zu kommunizieren (IP-Konfiguration). Die IP-Konfiguration kann über das CLI wie folgt geprüft werden. User: admin Password: ****** (OAW-4306) >enable Password:****** (OAW-4306) #show ip interface brief Interface IP Address / IP Netmask Admin Protocol vlan / up up loopback unassigned / unassigned up up (OAW-4306) # Gegebenenfalls ist die IP-Verbindung zwischen PC und OmniAccess Wireless mit z.b. Ping zu testen. Danach wird der Web-Browser gestartet und als URL die IP-Adresse des OmniAccess Wireless eingegeben, z.b. Die Default IP Adresse ist Abbildung 13: Login Screen Der Login erfolgt mit dem Usernamen und Passwort (Config Mode), welches im Rahmen der Initial- Konfiguration vergeben wurde. Ab dem Release 3.1 erfolgt eine automatische Umleitung von http auf https. Seite 17 von 77

18 4.1 Web Darstellung Die Web-Oberfläche des OmniAccess Wireless ist wie folgt unterteilt. Kurzbedienungsanleitung OmniAccess WLAN Abbildung 14: WebGUI Im Bereich 1 sind die Oberfunktionsgruppen aufgegliedert. Es sei explizit darauf verwiesen, dass die Konfiguration bei Veränderungen zwischenzeitlich immer einmal gespeichert werden sollte. In der nachfolgenden Konfigurationsbeschreibung wird darauf nicht mehr explizit verwiesen. Ein entsprechender Menü-Punkt befindet sich in diesem Bereich. Im Bereich 2 sind die Unterfunktionsgruppen aufgelistet. Der Bereich 3 ist nicht bei allen Funktionen des Bereiches 2 vorhanden und stellt eine weitergehende Selektion der dedizierten Funktionen dar. Im Bereich 4 erfolgt die Darstellung bzw. Konfiguration der Parameter zu den selektierten Funktionen. In Verschiedenen Darstellungen sind Links in der Ansicht eingebaut, die auf andere Funktionen verweisen, die zu anderen Ober- bzw. Unterfunktionsgruppen gehören. Somit ist ein umständliches Wechseln im Menü nicht notwendig. Der Bereich 5 ist als informative Option anzusehen. Hier werden die zu den aktuell dargestellten und konfigurierten Parameter aus dem Bereich 4 in der Form und Abfolge der CLI-Kommandos dargestellt. 4.2 Übersicht über die aktuelle Installation Einen Überblick über die aktuell im Netzwerk vorhandenen Komponenten erhält man unter Monitoring > Networkwork > Network Summary Seite 18 von 77

19 Von dieser Darstellung kann man dann in Detaildarstellungen wechseln. Hierzu muß man einfach auf die blau unterstrichenen Zahlen klicken. Abbildung 15: Netzwerkübersicht Ab Release 6.1 gibt es zudem eine neue Übersicht, das sogenannte Dashboard. Darin werden eine Vielzahl von Informtionen über das Netzwerk graphisch dargestellt, z.b. genutzte Bandbreite im WLAN, Anzahl Benutzer pro SSID etc. Diese Ansicht ist die Startansicht und ist auch unter dem Menüpunkt Dashboard zu finden. Siehe dazu auch Kapitel 7.1. Abbildung 16: Dashboard Seite 19 von 77

20 4.3 Basisinfos zum OmniAccess Wireless Kurzbedienungsanleitung OmniAccess WLAN Informationen zum Software-Release, welches auf dem OmniAccess Wireless installiert ist oder zur Hardware (z.b. Seriennummer) erhält man auf folgender Web-Seite. Monitoring > Switch > Inventory 4.4 Lizenzmanagement Abbildung 17: Inventar Übersicht Neben der Basissoftware gibt es die Möglichkeit, für spezielle Funktionen, zusätzliche Software- Module zu erwerben. Diese Module sind immer standardmäßig auf einem OmniAccess Wireless installiert und können per Software-Lizenz aktiviert werden. Darüber hinaus besteht die Möglichkeit, eine Evaluierungsversion einzusetzen. Die Evaluierungsversion läuft über einen Zeitraum von 30 Tagen und kann danach noch zwei Mal verlängert werden. Beim Einsatz dieser Demolizenzen ist zu beachten, dass nach 30 Tagen ein Rückfall auf die alte Konfiguration erfolgt und alle Änderungen verloren gehen. Daher sollte eine Demoversion nach Möglichkeit nicht in einem Produktivsystem eingesetzt werden. Seite 20 von 77

21 Folgende Software-Module/Lizenzen sind verfügbar (Auswahl): Modul/Lizenz AP-Lizenzen (LAP) Policy Enforcement Firewall (PEFNG) Policy Enforcement Firewall VPN (PEFV) Lizenze per AP AP Kontroller Beschreibung Definiert die Anzahl unterstützter physikalischer APs/RAPs per Kontroller. Kann in Stufen von 1,2,4,8,,512 APs installiert werden. Es wird eine Lizenz pro AP/RAP benötigt. Bietet Identitätsbasierende Sicherheit für drahtgebundene und drahtlose Clients. Stateful Firewall ermöglicht die Klassifikation basierend auf der Client Identität, Gerätetyp, Lokation, und Tageszeit und bietet unterschiedlichen Zugriff für verschiedene Klassen von Benutzern. Wird zwingend benötigt bei VoWLAN. Eine Lizenz pro AP/RAP. Ermöglicht es dem OmniAccess Wireless Kontroller Virtual Private Networks (VPN) Tunnel von lokalen oder entfernten Clients zu terminieren und unterstützt zudem den eigenen VIA (Virtual Intranet Access) Client. Bietet zusätzlich Lokation-zu-Lokation VPN Tunnel zwischen OmniAccess Wireless Switchen und VPN Konzentratoren von Drittherstellern. Wird nicht benötigt für RAP Funktionialität. Eine Lizenz pro Kontroller. RF Protect (RFP) AP Aktiviert Wireless Intrucsion Protection (WIP) + Spectrum Analyzer. Spectrum Analyzer Funktion ist nur auf neueren APs unterstützt. Eine Lizenz pro AP/RAP. xsec/advanced Security (ACR) Session Verschiedene Lizenzen für zusätzliche Security Features (FIPS, Suite B, etc.) LAP/PEFNG/WIP/RFP-Lizenzen müssen gleich gross sein! Tabelle 3: Lizenzen Das Lizenzmanagement erfolgt unter Configuration > Switch > Licenses. Abbildung 18: Lizenz Management Seite 21 von 77

22 Neue Lizenzen können zudem mittels des License Wizard unter Configuration > WIZARDS > License Wizard hinzugefügt werden. Abbildung 19: Lizenz Wizard Nach erfolgreicher Eingabe der Lizenzschlüssel ist der OmniAccess Wireless neu zu starten. Dies kann auch über die Web-Oberfläche erfolgen. Ein Neustart ist nur dann zwingend, wenn es der Kontroller so verlangt. Maintenance > Switch > Reboot Switch Hinweis: Die Eingabe der Lizenzen sollte unbedingt am Anfang der Konfiguration des Omni- Access Wireless erfolgen, da zum Beispiel durch die Freischaltung der Firewall-Lizenz vordefinierte Regeln in die Konfiguration eingefügt werden, die sonst nicht vorhanden sind. Die Software-Lizenzen sind auf die Serien-Nummer der Hardware gebunden. Somit ist die Lizenz nicht von einer auf eine andere Hardware übertragbar. Im Falle eines Austausches des Kontrollers wegen eines technischen Defekts muss dazu ein Ticket beim Support geöffnet werden. 4.5 Zertifikate Auf dem OmniAccess Wireless ist ein Zertifikat für alle HTTPS Verbindungen wie WebGUI und Captive Portal sowie für AAA FastConnect vorinstalliert. Dieses Zertifikat ist nicht für den ständigen Einsatz gedacht und sollte daher so bald wie möglich gegen ein neues Zertifikat ausgetauscht werden. Dazu wird wie in Abbildung 20 zu sehen unter Configuration > Certificates > CSR ein Certificate Request erstellt. Die Felder müssen so vollständig wie möglich ausgefüllt werden. Der Certificate Request wird nach einem Klick auf den Schalter Generate New erstellt. Mit View Current kann dann der Certificate Request angezeigt werden, wie in Abbildung 21 zu sehen ist. Der Inhalt des Popup Fenster muß in eine Textdatei kopiert werden und an eine Certification Authority (CA) z.b. Verisign geschickt werden. Diese signiert den Certification Request und erstellt daraus ein Zertifikat. Anhand dieses Zertifikats und des Zertifikats der CA kann dann die Echtheit überprüft werden. Seite 22 von 77

23 Abbildung 20: Certificate Request erstellen Abbildung 21: Ausgabe des Certificate Request Nachdem der Certification Request von einer CA signiert wurde, muss das Zertifikat in den OmniAccess Wireless übertragen werden. Dazu muss der Inhalt des signierten Zertifikats in eine Datei ge- Seite 23 von 77

24 speichert sein und diese Datei auf der Seite Configuration > Certificates > Upload auf den Kontroller übertragen werden. Abbildung 22: Übertragen des Zertifikates auf den Kontroller Dazu ist der Zertifikatstyp auf Server Cert zu stellen. Mit Trusted CA sollte das Zertifikat der CA in den OmniAccess Wireless geladen werden. Auf der Seite Configuration > Management > General kann dann das signierte Zertifikat für das Captive Portal und das Webmanagement ausgewählt werden (Rot umrandete Auswahlfelder in Abbildung 23). Abbildung 23: Zertifikat auswählen Seite 24 von 77

25 4.6 Benutzermanagement Für die Verwaltung des OmniAccess Wireless stehen unterschiedliche vordefinierte Benutzerrollen zur Verfügung. Jede Benutzerrolle hat dabei eine unterschiedliche Rechte: Benutzerrolle root read-only guest-provisioning location-api-mgmt network-operations Rechte Diese Rolle gibt Zugriff auf alle Managementfunktionen des OmniAccess Wireless. Diese Rolle gewährt Zugriff auf die show Komandozeilenbefehle bzw. den Monitoring Seiten der WebGUI. Sie erlaubt nicht das kopieren von Dateien oder einen Neustart des OmniAccess Wireless. Diese Rolle gibt Zugriff auf die Konfiguration von Gastbenutzern in der internen Datenbank. Diese Benutzerrolle erlaubt nur den Zugriff auf die Location API. Diese Rolle gewährt Zugang zu den Monitoring Seiten der WebGUI. Die Kommandozeile ist für diese Benutzerrolle gesperrt. Tabelle 4: Benutzerrollen Die Benutzerrolle wird der Konfiguration des Benutzers zugewiesen. Die Benutzerrolle wird nach einer erfolgreichen Authentisierung dem Benutzer zugewiesen. Die zur Verfügung stehenden Authentisierungsmethoden sind in der nachstehenden Tabelle aufgelistet. Methode Benutzername/Passwort lokal gespeichert Zertifikatsbasierte Authentisierung Benutzername/Passwort mit Server Authentisierung Beschreibung Benutzer erhält Zugang zum OmniAccess Wireless nach Eingabe der korrekten Benutzernamen/Passwort Kombination, die auf dem OmniAccess Wireless gespeichert ist. Zugang über WebGUI oder SSH kann durch ein Client Zertifikat authentisiert werden. Benutzer erhält Zugang zum OmniAccess Wireless nach Eingabe der korrekten Benutzernamen/Passwort Kombination, die gegen die interne Datenbank oder einen externen RADIUS oder TACACS+ Server geprüft wird. Zuweisung einer Standardbenutzerrolle. Wird ein RADIUS Server für die Authentisierung benutzt, dann kann ein Standard RADIUS Attribut oder ein herstellerspezifisches Attribut (Vendor-Specific Attribute - VSA) für die Zuweisung der Benutzerrolle verwendet werden. Tabelle 5: Authentisierungsmethoden Eine lokale Benutzernamen/Passwort Authentisierung wird wie folgt mit der WebGUI konfiguriert: 1. Die Benutzerverwaltungsseite unter Configuration > Management > Administration öffnen 2. Unter Management Users auf Add drücken. 3. Einen Namen (z.b. Rezeption3 ) und Passwort für den Benutzer vergeben. 4. Eine vordefinierte Benutzerrolle (z.b. guest-provisioning ) aus der Aufklappliste auswählen. 5. Mit Apply den Benutzer in der lokalen Datenbank anlegen. Seite 25 von 77

26 4.7 Software Update Bevor ein Software-Upgrade erfolgt, sollte geprüft werden, welche Software auf welcher Partition installiert ist. Auch sollten unbedingt die Release-Notes vor der Installation gelesen werden damit der korrekte Upgrade Pfad eingehalten werden kann. Ansonsten kann es zu Problemen kommen. Informationen über die aktuell installierte Software und von welcher Partition diese geladen wurde erhält man wie folgt. (OAW-4306) #show image version Partition : 0:0 (/dev/mtdblock9) **Default boot** Software Version : AOS-W (Digitally Signed - Production Build) Build number : Label : Built on : Wed May 11 13:43:01 PDT Partition : 0:1 (/dev/mtdblock10) Software Version : AOS-W (Digitally Signed - Production Build) Build number : Label : Built on : Thu Apr 14 20:23:26 PDT 2011 In diesem Fall ist die Partition 0 mit dem Software-Release aktiv. Über die Web-Oberfläche erhält man diese Informationen unter Maintenance > Image Management: Abbildung 24: Software Management Über diese Seite der Web-Schnittstelle kann auch das Software Upgrade erfolgen. Ansonsten ist für das Update zum Beispiel ein TFTP-Server notwendig, der auch Dateien grösser 30MB unterstützt. Es ist hierbei auf dem TFTP-Server ggf. das entsprechende Directory zu konfigurieren. Auf dem Omni- Access Wireless ist dann im nachfolgend beschriebenen Befehl der entsprechende Dateiname anzugeben. Seite 26 von 77

27 (OAW-4306) (config)# copy tftp: OAW_4306_ _28288 system: partition 0 Upgrading partition Copied image successfully. The system will boot from partition 0 during the next reboot. (OAW-4306) # Nach erfolgreichem Reboot ist die neue Software im OmniAccess Wireless aktiv. 4.8 Sicherung und Wiederherstellung Eine Sicherung erfasst im Idealfall die folgenden Komponenten: Konfiguration WMS Datenbank Lokaler Benutzerdatenbank Lizenzdatenbank Flur Pläne (JPEGs) Selbst erstellte Seiten des Captive Portal X.509 Zertifikate Sichern der Konfiguration und der Datenbanken Die Konfiguration wird per Default immer unter dem Namen default.cfg abgespeichert und ist im Flash sichtbar. (OAW-4306) #dir -rw-r--r-- 1 root root 6234 Jul 8 00:45 default.cfg drwxr-xr-x 3 root root 0 Jul 7 02:38 fieldcerts -rw-r--r-- 1 root root May 7 04:41 jbjk -rw-r--r-- 2 root root 6124 Jul 8 00:45 original.cfg drwx root root 0 Jul 7 02:38 tpm (OAW-4306) # Durch kopieren mit anderem Namen kann eine Konfiguration gesichert werden. Eine lokale Kopie der gespeicherten Konfiguration wird wie folgt erstellt: (OAW-4306) #copy flash: defaut.cfg flash: backup_default.cfg Zu beachten ist, das nach dem flash: ein Leerzeichen gesetzt wird. Dateien können aber auch z.b. durch TFTP oder FTP auf einen Server gesichert werden. Es sei hierbei auch auf die entsprechenden Tools im Alcatel-Lucent Netzwerkmanagementsystem OmniVista 2500 verwiesen. Auch sei darauf verwiesen, dass beim Sichern darauf zu achten ist, welche Konfiguration (RAM oder Flash) gesichert wird. Die aktive, laufende Konfiguration aus dem RAM wird wie folgt auf einen TFTP Server gesichert: Seite 27 von 77

28 (OAW-4306) #copy running-config tftp: oaw4306_running.cfg (OAW-4306) # In In einigen Einsatzfällen ist es auch sinnvoll die Datenbanken des Wireless Management Systems (WMS) und die Benutzerdatenbank zu sichern. (OAW-4306) #wms export-db wms.db Exported WMS DB to wms.db (OAW-4306) #copy flash: wms.db tftp: wms.db (OAW-4306) #local-userdb export user.db Successfully exported 0 users from the Internal User Database to user.db (OAW-4306) #copy flash: user.db tftp: user.db Das Kopieren von Dateien kann auch über das WebGUI auf der Seite Maintenance > File > Copy Files erfolgen. Darüber hinaus besteht die Möglichkeit, die kritischsten Dateien des Flash Dateisystems in der Datei flashbackup.tar.gz zusammen abzuspeichern und anschließend mit den oben genannten Methoden zu sichern. Die Zusammenfassung erfolgt auf der Kommandozeile durch (OAW-4306) # backup flash in der WebGUI unter Maintenance > File > Backup Flash Abbildung 25: Backup Flash Wiederherstellen der Konfiguration und Datenbanken Sollte ein Zurückspielen der Konfiguration notwendig sein, so erfolgt dies wie nachfolgend beschrieben. (OAW-4306) #copy tftp: wms.db flash: wms.db (OAW-4306) #wms import-db wms.db Imported WMS DB from wms.db import_db complete:please save configuration and reboot the switch (OAW-4306) #copy tftp: user.db flash: user.db (OAW-4306) #local-userdb import user.db Seite 28 von 77

29 Successfully imported 0 users to the Internal User Database from user.db (OAW-4306) #copy tftp: test.cfg flash: default.bak (OAW-4306) #copy flash: default.bak flash: default.cfg Wenn eine Sicherung mittels flashbackup.tar.gz zurück gespielt werden soll, so kann das entweder auf der Kommandozeile durch (OAW-4306) #restore flash erfolgen oder über die WebGUI unter Maintenance > File > Restore Flash. In beiden Fällen muss sich die Datei flashbackup.tar.gz im Root Verzeichnis des Kontrollers befinden. Es ist zudem zu beachten, dass nur Backups des gleichen Systems zurückgespielt werden kann. Abbildung 26: Restore Flash Seite 29 von 77

30 5 Konfiguration der Access Points Seite 30 von 77 Kurzbedienungsanleitung OmniAccess WLAN Die Kommunikation zwischen den Access Points und dem OmniAccess Wireless erfolgt über einen GRE-Tunnel. In vielen Konfigurationen ist es sinnvoll ein oder mehrere VLANs für die Kommunikation zwischen Access Points und OmniAccess Wireless im LAN zu implementieren. Um die Access Points in Betrieb zu nehmen wird als erstes mit dem Planungstool die Position der Access Points bestimmt. Dann werden die Ports und VLANs konfiguriert. Damit die Access Point mit dem OmniAccess Wireless kommunizieren können, benötigen sie eine IP Adresse. Die Addressvergabe erfolgt entweder durch den internen DHCP Server des OAW oder durch einen externen DHCP Server. Anschließend können die Access Points mit dem Netzwerk verbunden werden. Es empfiehlt sich die Standorte der einzelnen APs (MAC-Adresse) nieder zu schreiben. Dies hilft im Fehlerfall den defekten AP schneller zu finden und ist auch zwingend, wenn man Triangulierungsfunktionen nutzen will. Für das genaue Vorgehen wird auf die offiziellen Manuals und die Konfigurationsbeispiele verwiesen. 5.1 Netzwerkanbindung Der OmniAccess Wireless verfügt, abhängig vom Modell, über eine Anzahl von Fast Ethernet, Gigabit Ethernet bzw. 10GigaBit Ethernet Ports. Diese Ports stehen für die Anbindung an das LAN bzw. WAN zur Verfügung, d.h. sie werden mit einem L2-Switch oder Router verbunden. Bei einigen Modellen besteht darüber hinaus die Möglichkeit, Access Points anzubinden und diese mit PoE zu versorgen. Wenn der OmniAccess Wireless, wie im Abschnitt Rücksetzen der Konfiguration beschrieben, in Betrieb genommen wurde, sind alle Ports dem VLAN 1 zugeordnet. Die Zuordnung eines Ports zu einem VLAN wird in Kapitel 4.2 beschrieben. Neben der portbezogenen VLANKonfiguration besteht die Möglichkeit, mehrere VLANs auf einem Port zum Backbone hin nach IEEE802.1q zu definieren. Außerdem ist es möglich, mehrere physikalische Ports zu einem logischen Port zusammen zu fassen Port Konfiguration Die Konfiguration der Ports ist unter Configuration > Network > Port erreichbar, siehe nachstehende Abbildung. Der Port sollte als Trusted konfiguriert werden, wenn er an das interne, kontrollierte Netzwerk angeschlossen ist, bzw. wenn ein OmniAccess Access Point direkt angeschlossen ist. Anderenfalls sollte der Port als Untrusted konfiguriert und eine entsprechende Firewall Regel angewendet werden. Dafür wird die PEFNG Lizenz benötigt. Hinweis: Enable MUX darf nicht ausgewählt werden. Der Port kann entweder als Access Port oder als Trunk Port konfiguriert werden. Um den Port ein oder mehrere VLANs zuzuordnen, muss in der Auswahlliste ein VLAN selektiert werden und durch drücken auf den Pfeil nach Links dem Port zugewiesen werden. Die Konfiguration eines Ports mit der Kommandozeile erfolgt wie folgt: (OAW-4306) (config) #interface fastethernet 1/0 (OAW-4306) (config-if)#no poe (OAW-4306) (config-if)#trusted (OAW-4306) (config-if)#switchport mode trunk

31 (OAW-4306) (config-if)#no muxport (OAW-4306) (config-if)#spanning-tree portfast (OAW-4306) (config-if)#exit (OAW-4306) (config) # Kurzbedienungsanleitung OmniAccess WLAN Abbildung 27: Port Konfiguration Port-Channel Konfiguration Zur Erhöhung der Ausfallsicherheit in Verbindung mit dem OmniSwitch 68XX/9000 können mehrere Ports zu einem logischen Port zusammengefasst werden, Port-Channel genannt. Dies kann entweder statisch konfiguriert werden oder auf 802.3ad LACP basieren. Es wird empfohlen die LACP basierende Variante einzusetzen. Es können maximal 8 Port-Channel Gruppen mit bis zu 8 Mitgliederports definiert werden. Die Konfigurationsseite dazu befindet sich unter Configuration > Network > Ports Seite 31 von 77

32 Bei der Konfiguration eines Port-Channels zwischen OmniAccess Wireless und einem Switch sind folgende Dinge zu beachten: LACP muss auch auf der Gegenstation konfiguriert sein. Ein Port darf nicht schon für statisches Link Aggregation konfiguriert sein, wenn LACP konfiguriert wird. Die physikalische Ports die zusammengeführt werden sollen, müssen durch Auswahl der gleichen LACP Gruppe dem gleichen logischen Port zugewiesen werden (siehe nachstehende Abbildung). Der LACP Modus (Mode) muss zudem auf active gesetzt sein. Abbildung 28: Port-Channel Konfiguration Seite 32 von 77

33 Zusätzlich zur eigentlichen Port-Channel/LACP Konfiguration müssen noch die gewünschten VLANs dem logischen Port zugewiesen werden. Die Konfigurationsseite dazu befindet sich unter Configuration > Network > Ports > Port-Channel Dort muss definiert werden, Ob ein Port-Channel ein Access-Port (nur ein VLAN, untagged) oder ein Trunk-Port (mehrere VLANs, tagged) ist Welche VLANs wie (tagged oder untagged) darauf transportiert werden sollen Und welche VLANs trusted oder untrusted sind (nur relevant mit Firewall-Lizenz). Abbildung 29: VLAN Port-Channel Konfiguration Für die Details wird auf das ausführliche Handbuch verwiesen. Seite 33 von 77

34 5.2 VLAN/IP-Konfiguration Kurzbedienungsanleitung OmniAccess WLAN Die Konfiguration von VLAN ist notwendig, um z.b.benutzer voneinander zu trennen. So ist es z.b. möglich, dass Benutzer, die nicht erfolgreich authentisiert werden konnten, einem VLAN zugeordnet werden, in dem sie nur Zugriff auf eine Anmeldeseite, z.b. einem Captive Portal, haben. Außerdem werden die Benutzer und die Access Points durch VLANs logisch voneinander getrennt. VLANs werden im OmniAccess Wireless wie folgt angelegt. (OAW-4306) (config) #vlan 10 Zu diesem VLAN ist eine IP-Adresse zu konfigurieren. (OAW-4306) (config) #interface vlan 10 (OAW-4306) (config-subif)#ip address (OAW-4306) (config-subif)# Um die Verbindung zwischen den Access Points im Netzwerk und dem internen VLAN herzustellen, muss abschließend dem VLAN mindestens ein physikalischer Port zugewiesen werden. Hinweis: Die Nummerierung der Ports beginnt bei 0. (OAW-4306) (config) #interface fastethernet 1/1 (OAW-4306) (config-if)#switchport access vlan 10 (OAW-4306) (config-if)#exit (OAW-4306) (config) # Daneben ist es noch möglich, das VLAN über einen Trunk Port (VLAN-aware) zu führen. Die Konfiguration erfolgt wie folgt: (OAW-4306) (config) #interface fastethernet 1/0 (OAW-4306) (config-if)#switchport trunk allowed vlan 10 (OAW-4306) (config-if)#exit (OAW-4306) (config) # Alternativ erfolgt die Konfiguration via Web unter Configuration > Network > VLANs wie folgt. Abbildung 30: VLAN Konfiguration Über Add a VLAN wird ein neues VLAN hinzugefügt. Hierbei werden die VLAN ID und der dazugehörige Port bzw. die dazugehörigen Ports abgefragt, z.b. VLAN 99 auf Port 1-4 untagged (Access Port). Die Angaben sind mit Apply zu bestätigen. Seite 34 von 77

35 Abbildung 31: Neues VLAN anlegen Nachfolgend ist im Unterbereich IP unter Configuration > Network > IP über Edit für das VLAN (hier VLAN 2) noch die IP-Adresse zu konfigurieren, sofern in diesem VLAN eine benötigt wird. Abbildung 32: Übersicht über die IP Schnittstellen Die Adresse kann entweder statisch (siehe nachstehende Abbildung), via DHCP als DHCP Client oder via PPPoE als PPPoE Client konfiguriert werden. Dabei ist folgendes zu beachten: Der DHCP/PPPoE Client kann nur in einem einzigen VLAN auf dem OmniAccess Wireless aktiviert werden, dieses VLAN kann nicht VLAN 1 sein. Nur ein einziger Port in diesem VLAN kann an ein Modem oder Uplink Switch angeschlossen sein. Wenigstens eine Schnittstelle in dem VLAN muss aktiv sein, bevor der DHCP/PPPoE Client eine IP Adresse vom Server anfragt. DHCP und PPPoE Client können nicht gleichzeitig auf dem OmniAccess Wireless aktiviert werden. Indem der Hacken bei Enable Inter-VLAN Routing auf der rechten Seite entfernt wird, kann verhindert werden, dass Benutzer/Clients in einem VLAN Zugriff auf andere VLANs haben. Seite 35 von 77

36 Abbildung 33: IP Konfiguration Um sich an einem BRAS zu authentisieren und eine dynamische IP Adresse zu beziehen benötigt der OAW die folgenden Konfigurationen: PPPoE Benutzername und Passort für das DSL Netzwerk PPPoE Servicename entweder ein ISP Name oder eine Serviceklasse auf dem PPPoE Server Hinweis: Die PPPoE Sitzung wird beendet, wenn das VLAN deaktiviert wird. Die Konfiguration von PPPoE mittels WebGUI erfolgt wie folgt: 1. Auf die folgende Seite navigieren Configuration > Network > IP > IP Interface 2. Mit Edit ein vorher angelegtes VLAN zur Bearbeitung öffnen 3. Die Option Obtain an IP address with PPPoE selektieren, siehe vorhergehende Abbildung 4. Den Servicenamen, Benutzernamen und Passwort für die PPPoE Sitzung eingeben. 5. Mit Apply die Konfiguration bestätigen. Auf der Kommandozeile erfolgt wie die PPPoE Konfiguration folgt: (OAW-4304) (config) #ip pppoe-service-name <service-name> (OAW-4304) (config) #ip pppoe-username <name> Seite 36 von 77

37 (OAW-4304) (config) #ip pppoe-password <password> (OAW-4304) (config) #vlan <vlan> (OAW-4304) (config) #interface vlan <vlan> (OAW-4304) (config-subif) #ip address pppoe 5.3 DHCP Server Kurzbedienungsanleitung OmniAccess WLAN Für die Kommunikation mit dem OmniAccess Wireless benötigen die Access Points eine IP-Adresse. Diese können die Access Points dynamisch erhalten oder sie kann auch auf einen Access Point Typen statisch über den Konsolen Port (neuere APs) bzw. SoE (Seriell over Ethernet, ältere APs) konfiguriert werden. Abbildung 34: Anbindungsmodell Sowohl bei der statischen als auch bei der dynamischen Vergabe der IP-Adresse ist der Access Point direkt oder indirekt mit dem OmniAccess Wireless zu verbinden, siehe vorhergehende Abbildung. Der DHCP Server kann ein externer Server sein oder aber der OmniAccess Wireless selbst wird als DHCP Server konfiguriert. Der DHCP Server kann ein existierender Netzwerkserver sein oder aber der OmniAccess Wireless wird als DHCP Server konfiguriert. Die Konfiguration des DHCP-Servers auf dem WLAN Switch erfolgt wie folgt: Interner DHCP Server Soll der OmniAccess Wireless als DHCP Server verwendet werden, so erfolgt die Konfiguration des DHCP-Servers auf dem WLAN Switch wie folgt: Configuration > Network > IP > DHCP Server Seite 37 von 77

38 Als erste Aktion ist der DHCP-Server durch setzen eines Hakens bei Enable DHCP Server einzuschalten. Diese Aktion ist mit Apply zu bestätigen. Abbildung 35: DHCP Server Nachfolgend ist der entsprechende Pool zu konfigurieren. Dies erfolgt über Add unter Pool Configuration und man gelangt auf die folgende Web-Seite (siehe nachstehende Abbildung). Der Name des Pools darf keine Leerzeichen enthalten. Die Access Points müssen in einem VLAN sein, das vom OmniAccess Wireless aus erreichbar ist und es darf kein weiterer DHCP Server in dem VLAN sein. Der zu verwendende DHCP Pool wird anhand des VLAN bzw. der IP Adresse des VLANs bestimmt, aus dem der DHCP Request kommt. Daher ist es von Vorteil, den DHCP Pools einen entsprechenden Namen wie ap_pool zu geben. Als Default Router und DNS Server sollte die IP Adresse des Kontrollers in diesem VLAN verwendet werden. Abbildung 36: DHCP Pool anlegen Die Eingabe ist mit Done und Apply im nachfolgenden Fenster zu bestätigen. Danach sind die Ausschlussbereiche zu definieren. Seite 38 von 77

39 Hinweis: An dieser Stelle können die AP mit dem Netzwerk verbunden werden. Sie erhalten dann per DHCP eine IP Adresse und laden eine Defaultkonfiguration. Nachfolgend sollte der Access Point per DHCP eine IP-Adresse erhalten und unter Monitoring > Switch > Access Points aufgelistet werden. Je nach Konfiguration des Access Points kann auch kein Name eingetragen sein. Die über DHCP vergebene IP-Adresse ist in der Tabelle ebenfalls zu sehen. Abbildung 37: Übersicht Access Points Damit die Wireless Clients IP Adressen erhalten, müssen die Endgeräte über DHCP mit IPAdressen versorgt werden. Um dies zu realisieren, sind entweder in dem jeweiligen VLAN ein DHCP- Server zu konfigurieren (z.b. OmniPCX Enterprise für die IP Phones), ein DHCP-Relay Eintrag vorzunehmen, der auf zentrale DHCP-Server zeigt oder es ist ein DHCP-Service auf dem OmniAccess Wireless einzurichten bzw. der bestehende zu erweitern (Siehe Kapitel 5.3.1). Um den DHCP Service auch für andere VLANs nutzen zu können, muss nur ein weiterer oder müssen mehrere DHCP-Pool(s) hinzugefügt werden. Der interne DHCP-Server ist nur für kleinere Netze gedacht. Für eine grosse Anzahl von IP-Adressen oder wenn zusätzliche Optionen gesetzt werden müssen, dann wird ein externer DHCP-Server empfohlen Externer DHCP Server Wenn ein externer DHCP Server für die APs verwendet werden soll, dann muss dieser den Vendor- Specific Code, auch Option 43 genannt, unterstützen. Für die Konfiguration des DHCP Servers konsultieren Sie bitte die Bedienungsanleitung Ihres DHCP Servers. Die Grundlegende Funktionsweise in Verbindung mit einem externen DHCP Server ist wie folgt: 1. Der DHCP Client auf dem Access Point sendet mit dem DHCP Request eine zusätzliche Information, den Vendor Class Identifier Code, auch Option 60 genannt. Der Wert dieses Codes ist ArubaAP 2. Der DHCP Server sieht den Vendor Class Identifier Code und prüft, ob er eine Option 43 konfiguriert hat. Wenn ja, sendet er sie zum Client. Der Wert der Option 43 ist die Loopback Adresse des Master OmniAccess Wireless. 3. Der Access Point empfängt die Konfiguration vom DHCP Server und prüft, ob die Option 43 enthalten ist. Wenn ja, dann kontaktiert er den Master OmniAccess Wireless über die empfangene IP Adresse. Seite 39 von 77

40 5.4 Gruppierung der Access Points Kurzbedienungsanleitung OmniAccess WLAN Alle Access Points können in logischen Gruppen zusammengefasst werden, um diese effizienter konfigurieren zu können. Alle APs in der gleichen AP Gruppe (AP Group) haben die gleiche Konfiguration (SSIDs etc.) Es können verschiedene Gruppen von Access Points angelegt werden. Es ist aber auch weiterhin möglich, jeden Access Point einzeln zu konfigurieren. Über diese Gruppeneinteilung werden folgende Parameter in der Access Point-Konfiguration hierarchisch zusammengefasst. AP Group Wireless LAN RF Management AP QOS IDS Mesh Virtual AP a/g radio RF Optimization Ethernet interface 0-4 VoIP Call Admission Control Mesh Radio AAA SSID ARM Highthroughput Radio AP system Regulatory Domain a/g Traffic Management Mesh Cluster AM Scanning Provisioning AP authorization Abbildung 38: AP Group Eigenschaften Hinweis: Wenn ein Access Point noch nicht provisioniert wurde, dann ist er automatisch Mitglied der AP Gruppe default. Die Access Point Gruppe default ist eine voreingestellte Gruppe. Weitere Gruppen können bei Bedarf hinzugefügt werden. Dies erfolgt im Rahmen der Access Point Konfiguration unter Configuration > Wireless > AP Configuration: Abbildung 39: AP Group Konfiguration Seite 40 von 77

41 Es ist möglich, eine Gruppe auch zu duplizieren, um ggf. nur wenige Parameter ändern zu müssen. Dies kann über CLI wie folgt durchgeführt werden. Im Beispiel wird die vorhandene Gruppe default kopiert und es entsteht die neue Gruppe default_copy (OAW-4304) (config) #ap-group default_copy (OAW-4304) (AP group "default_copy") #clone default (OAW-4304) (AP group "default_copy") # Die Access Point Gruppe default hat standardmäßig die SSID alcatel-ap als vorkonfigurierten Wert. Im Rahmen der nachfolgenden Konfiguration sind folgende Punkte wichtig. Die default SSID alcatel-ap ist in der Standardeinstellung offen. Dies SSID sollte gelöscht werden (ist in den Release 6.1 und höher nicht mehr vorhanden, der AP selbst wird aber weiterhin standardmässig der Access Point Gruppe default zugeordnet). Es können auch weitere SSIDs angelegt werden. Ein Access Point kann bis zu 16 SSIDs pro Frequenzband verwalten. Es wird aber geraten, mit der Anzahl der SSIDs sparsam umzugehen, da das die Performance senkt. In diesem Teil der Konfiguration findet auch die Zuweisung SSID zu VLAN statt. Sofern die Firewall-Funktion nicht implementiert ist, findet ein unkontrollierter Übergang von einer SSID in ein VLAN statt. Daher ist die Absicherung des Zugangs zum WLAN sehr wichtig. Über die Firewall-Funktion (mit Firewall Lizenz) kann auch eine granularere Segmentierung erfolgen, da über Firewall Regeln auch der Übergang von WLAN SSIDs in VLANs (auch aus einer SSID in verschiedene VLANs) geregelt werden kann. 5.5 Der virtuelle AP Jedem Access Point bzw. jeder Access Point Gruppe können bis zu 8 (abhängig von AP) virtuelle Access Points pro Band zugewiesen werden. Für einen Wireless Client sieht es dann so aus, als ob 8 verschiedene Access Points mit verschiedenen SSIDs zur Verfügung stehen, obwohl nur ein physikalischer Access Point vorhanden ist. Neue Virtuelle APs erstellt man am einfachsten über die integrierten Wizards unter Configuration > WIZARDS > WLAN/LAN Wizard. Die Konfiguration von bestehenden virtuellen APs findet man unter unter Configuration > Wireless > AP Configuration > AP Group > Wireless LAN > Virtual AP. Seite 41 von 77

42 Abbildung 40: Virtuellen AP bearbeiten Kurzbedienungsanleitung OmniAccess WLAN Durch Virtual AP enable kann eine Konfiguration aktiviert oder deaktiviert werden, ohne dass diese gelöscht werden muss. Durch selektieren des VLANs und durch drücken der Pfeiltaste daneben wird das VLAN einer entsprechenden SSID zugewiesen. Anschließend ist Apply zu drücken. Jeder virtuelle Access Point enthält ein SSID Profil und ein AAA Profil. Der Zugang der Endgeräte/Nutzer zum WLAN mit einer bestimmten SSID kann unter Configuration > WIRELESS > AP Configuration > AP Group > Wireless LAN > Virtual AP > SSID Profile bzw. AAA Profile konfiguriert werden. So kann z.b. im SSID Profile der Namen der SSID angepasst werden. Abbildung 41: SSID Profil bearbeiten Weiterhin können hier die Netzwerkauthentisierung und die Verschlüsselung konfiguriert werden, was später noch gezeigt wird. Über das AAA Profil wird festgelegt, wie die Authentisierung erfolgen soll. Dies ist ebenfalls Bestandteil eines späteren Kapitels n Konfiguration Mit der Implementierung des IEEE802.11n Standards im AOS-W ab Release und den neueren n-fähigen Access Points kann sowohl das 2,4 GHz als auch 5 GHz Band für einen höheren Datendurchsatz als bei IEEE802.11a/b/g konfiguriert und genutzt werden (abhängig von den APs). Um n für eine bestimmte AP Gruppe oder einen spezifischen AP nutzen zu können, muss das Feature High-Throughput innerhalb des zugewiesenen ht-ssid-profiles und der entsprechenden a/b/g Radio Profile erlaubt werden, standardmäßig ist High-Throughput eingeschaltet. IEEE802.11n High-Throughput(HT) wird folgendermaßen konfiguriert: 1. Den virtuellen AP zum bearbeiten öffnen: Configuration > Wireless > AP Configuration > AP Group 2. In der Profilliste den Punkt RF Management ausklappen 3. Das a radio profile auswählen 4. Überprüfen/Setzen des Häkchens im Feld High Throughput enable (radio) Seite 42 von 77

43 Abbildung 42: Konfiguration des Radio Profils für n Hinweis: Das Setzen des Häkchens im a radio profile beeinflußt nur das 5 GHz Band. Der n Standard sieht ebenfalls das 2,4 GHz Band zur Nutzung vor. Um auch High-Throughput im 2,4 GHz Band zu nutzen muß im g radio profile das Häkchen im Feld High Throughput enable (radio) überprüft/gesetzt werden. 5. Das g radio profile auswählen 6. Überprüfen/Setzen des Häkchens im Feld High Throughput enable (radio) 7. In der Profilliste den Punkt Wireless LAN ausklappen 8. Den virtuellen AP selektieren, der mit IEEE802.11n konfiguriert werden soll 9. Das SSID profile auswählen, das High-throughput SSID Profile wird angezeigt 10. Überprüfen/Setzen des Häkchens im Feld High Throughput enable (SSID) 5.7 Wireless Mesh Network Die Alcatel-Lucent Lösung für die drahtlose Vermaschung (im folgenden Mesh Network genannt) folgt dem IEEE s Standard für Mesh Networks. Mesh Networks bieten die Möglichkeit einer Ausweitung des Netzwerks innerhalb und außerhalb von Gebäuden ohne zusätzliche Ethernetkabel. Dadurch wird es möglich, die Netzwerkabdeckung zu erhöhen oder entfernte Ethernet Segmente an lokale Ethernet Segmente anzubinden. Des Weiteren kann sich das Mesh Network bei einem Ausfall einzelner Access Points automatisch neu organisieren und damit den Datentransport sicherstellen. Mesh Networks benutzen einen drahtlosen Rückkanal zwischen den Mesh Knoten. Die Access Points lernen Ihre Funktion während der Provisionierung. Sie können entweder Mesh Portal, ein AP mit eine logischen Verbindung über die Ethernet Schnittstelle zum OmniAccess Wireless, oder Mesh Point, AP mit logischer Verbindung zum OmniAccess Wireless über das Mesh Portal, sein. Seite 43 von 77

44 Besitzt der AP zwei Radios, dann kann der AP über ein Radio die lokalen WLAN Benutzer versorgen und über das zweite Radio den Mesh Verkehr transportieren. Es ist möglich, mehrere Mesh Portale zur Erhöhung der Ausfallsicherheit zu betreiben. Die Konfiguration des Mesh Networks wird durch 3 Profile festgelegt. Die Profile sind das Mesh Cluster Profil, das Mesh Radio Profil und das Mesh Recovery Profil. Das Mesh Cluster Profil gleicht dem virtuellen Access Point und dient dazu, die Mesh Knoten eines Clusters zu gruppieren. Im Mesh Cluster Profil sind z.b. die MSSID, die Authenstisierungsmethoden und weitere Parameter hinterlegt. Das Mesh Radio Profil legt z.b. die Frequenzen/Kanäle fest, über welche die Knoten eines Mesh Networks miteinander kommunizieren. Das Mesh Recovery Profil dient dazu, auch dann eine Verbindung zwischen OmniAccess Wireless und Mesh Point aufzubauen, wenn keine Verbindung über das Mesh Cluster Profil hergestellt werden kann. Das Mesh Recovery Profil kann nur gelesen werden und ist in der Konfigurationsdatei des OmniAccess Wireless gespeichert. Für eine ausführliche Anleitung wird auf das Kapitel Secure Enterprise Mesh im Manual verwiesen Access Point mit drahtlosem Rückkanal (Mesh-Point) Ein Access Point mit drahtlosem Rückkanal kann z.b. verwendet werden, um die Abdeckung mit drahtlosen Diensten ohne zusätzliche Ethernetverkabelung sicherzustellen. Dabei werden z.b. die lokalen Benutzer im 2,4 GHz Band mit drahtlosen Diensten versorgt, während die Verbindung zum Netzwerk über das 5 GHz Band hergestellt wird. Als Mesh Point wird dazu ein Access Point mit zwei Radios benötigt. Als Mesh Portal kann ein Access Point mit einem Radio verwendet werden, er stellt dann über seine Ethernetverbindung die Verbindung zum Netzwerk her. Abbildung 43: Konfiguration mit Mesh Networking Hinweis: Es wird empfohlen, dass 5 GHz Band für das Mesh Network zu verwenden. Die Access Points eines Mesh Clusters sollten im gleichen virtuellen Access Point konfiguriert werden. Mesh Points sollten nicht so an das Netzwerk angeschlossen werden, dass eine Schleife entsteht. Änderungen der Netzparameter führen zu einem Reprovisioning. Das Reprovisioning führt zum Reboot des AP und damit zu einer Netzunterbrechnung. Beginnen sie das Reprovisioning immer am entferntesten Mesh Point, die Mesh Portale immer als letztes neu provisionieren. Auf dem OmniAccess Wireless befinden sich vordefinierte Profile für das Mesh Radio Profil und das Mesh Cluster Profil. Falls die Standardprofile nicht verwendet werden sollen, dann können auch eigene Profile angelegt werden. Seite 44 von 77

45 Die Konfiguration eigener Mesh Radio Profile erfolgt wie folgt, siehe nachfolgende Abbildung: 1. Die AP Gruppe unter Configuration > Wirelesss > AP Configuration > AP Group zum bearbeiten öffnen. Hinweis: Statt einer Access Point Gruppe kann auch ein individueller Access Point zur Bearbeitung geöffnet werden. 2. In der Profilliste den Punkt Mesh ausklappen und das Mesh Radio profile auswählen. 3. New aus dem Ausklappmenü auswählen und einen Namen ohne Leerzeichen für das neue Profil angeben. 4. Unter Profile Details das Mesh Radio konfigurieren. 5. Mittels Apply bestätigen. Der Profilname erscheint in der Liste. Abbildung 44: Mesh Radio Profil Das Mesh Cluster Profil wird wie in nachfolgender Abbildung zu sehen konfiguriert: 1. Die AP Gruppe unter Configuration > Wirelesss > AP Configuration > AP Group zum bearbeiten öffnen. Hinweis: Statt einer Access Point Gruppe kann auch ein individueller Access Point zur Bearbeitung geöffnet werden. 2. In der Profilliste den Punkt Mesh ausklappen und das Mesh Cluster profile auswählen. 3. New aus dem Ausklappmenü auswählen 4. Einen Namen ohne Leerzeichen für das neue Profil angeben. 5. Die Priorität aus der Ausklappliste auswählen. 6. Mit Add das Mesh Cluster Profil der Liste hinzufügen. Es können mehrere Mesh Cluster Profile angelegt werden. Wenn kein weiteres Mesh Cluster Profil mehr angelegt werden soll, dann mit Apply bestätigen. Seite 45 von 77

46 Abbildung 45: Mesh Cluster Profil 7. Danach sollten die Paramter innerhalb des Mesh Cluster Profiles angepasst werden. Dies sind der Cluster Name (die SSID) und die Verschlüsselung (Encryption, empfohlen wird WPA2) Abbildung 46: Mesh Cluster Profil Konfiguration Wireless Ethernet Bridge Wie im vorhergehenden Kapitel gezeigt, kann mit Secure Mesh ein Access Point mit drahtlosem Rückkanal dazu verwendet werden, um die Abdeckung mit drahtlosen Diensten ohne zusätzliche Ethernetverkabelung sicherzustellen. Es ist aber auch möglich, dass am entfernten AP (Mesh Point) wiederum ein LAN an den Ethernet Port des APs angeschlossen werden kann. In diesem Falle spricht man von Wireless Ethernet Bridge oder auch Point-to-Point oder Point-to-Multipoint Deployment. Abbildung 47: Konfiguration mit Wireless Ethernet Bridge Seite 46 von 77

47 Die Konfiguration der drahtlose Ethernet Bridge baut auf der Konfiguration aus dem Kapitel 5.7.1: Access Point mit drahtlosem Rückkanal (Mesh-Point) auf. Das bedeutet, dass diese zuerst erstellt werden muss. Für die drahtlose Ethernet Bridge muss auf dem Mesh Point LAN Bridging konfiguriert werden. Die Konfiguration erfolgt folgendermassen: 1. Die virtuelle AP Gruppe der Mesh Points zum bearbeiten unter Configuration > Wireless > AP Configuration > AP Group öffnen. Hinweis: Statt einer Access Point Gruppe kann auch ein individueller Access Point zur Bearbeitung geöffnet werden. 2. In der Profilliste den Punkt AP ausklappen und das Ethernet interface 0 Profil auswählen. 3. Mit New ein neues Ethernet Interface Profile erstellen und mit apply bestätigen Abbildung 48: Neues Ethernet Interface Profil erstellen 4. Im neuen Ethernet Interface Profil das Wired AP profile auswählen. 5. Mit New neues Wired AP profile erstellen und mit Apply bestätigen. Abbildung 49: Neues Wired AP Profil erstellen 6. Im neu erstellten Wired AP profile die Option Wired AP enable auswählen. 7. Aus dem Forward Mode Ausklappmenü den Punkt bridge auswählen. 8. Unter Switchport mode den gewünschten Modus auswählen (access bei einem VLAN, trunk wenn mehrere VLANs transportiert werden sollen. Danach die entsprechenden VLANs beim Seite 47 von 77

48 entsprechenden Modus auswählen. Diese VLANs müssen vorher auf dem Kontroller erstellt werden. 9. Unter Trusted einen Haken setzen. 10. Die Konfiguration mit Apply übernehmen. 5.8 RF Management Im Default-Modus kalibriert sich das Netzwerk automatisch über das sogenannte ARM (Adapativ Radio Management). Die Konfiguration dazu findet man unter Configuration > Wireless > AP Configuration > AP Group > RF Management > a/g Radio profile > ARM Profile Abbildung 50: ARM Profil Die Werte darin sollten aber nur von erfahrenen Spezialisten geändert werden. Dies gilt auch für andere Änderungen an den Default Einstellungen. 5.9 Control Plane Security Neu ab Release 6 wird die Kommunikation zwischen dem Kontroller und den APs mit Zertifikate abgesichert. Dies läuft unter dem Begriff Control Plane Security. Für die Details dazu wird auf das Benutzerhandbuch verwiesen. Dieses Feature ist standardmässig aktiv (kann deaktiviert werden) und bedingt, dass die APs auf dem Kontroller freigegeben werden. Dies kann entweder automatisch erfolgen (Auto Cert Provisioning) oder von Hand (AP Whitelisting) Aktivieren/Deaktivieren Control Plane Security ist ab Release 6 standardmässig aktiviert. Unter Configuration > NETWORK > Switch > Control Plane Security kann das Feature deaktiviert werden (Enabled/Disabled). Hinweis: Wenn Control Plane Security deaktiviert oder aktiviert wird, dann werden alle APs neu gestartet, was zu einem Netzunterbruch führt. Seite 48 von 77

49 Abbildung 51: Control Plane Security deaktivieren AP Whitelisting Wenn Control Plane Security aktiv ist, dann müssen die APs freigegeben werden, bevor sie sich mit dem Kontroller verbinden können und bevor sie provisioniert werden können. Eine Möglichkeit ist dabei die APs einzeln auf eine Whitelist einzutragen (Auto Cert Provisioning deaktiviert). Dies geschieht unter Configuration > WIRELESS > AP Installation > Campus Whitelist. Abbildung 52: Control Plane Security Whitelist - Neuer AP Mit New kann ein neuer Eintrag erstellt werden. Dabei ist die AP MAC Adresse und eine Beschreibung einzugeben und mit Add zu bestätigen. Seite 49 von 77

50 Abbildung 53: Control Plane Security Whitelist - AP Modifizieren Alternativ kann auch ein AP, der schon in der Whitelist erscheint, freigeschaltet werden. Dies geschieht indem ein Haken neben dem AP gesetzt wird und danach auch Modify geklickt wird. Danach ist der Cert Type auf switch-cert und der State auf approved-ready-for-cert zu setzen und dies alles mit Update zu bestätigen. Daraufhin wird der AP neu gebootet und ein entsprechendes Zertifikat wird installiert. Dies kann ein paar Minuten dauern Auto Cert Provisioning Alternativ zum Whitelisting kann der Kontroller so konfiguriert werden, dass er automatisch an alle angeschlossenen APs ein gültiges Zertifikat verteilt. Dabei kann definiert werden, ob dies nur in einem spezifischen Adresserange geschehen soll oder für alle angeschlossenen APs gültig ist. Konfiguriert wird dies unter Configuration > NETWORK > Switch > Control Plane Security. Dabei muss sichergestellt werden, dass Control Plane Security aktiviert ist (Enabled). Danach muss ein Haken bei Auto Cert Provisioning gesetzt werden und als Letztes kann definiert werden, ob alle angeschlossenen APs (All) akzeptiert werden oder nur solche in einem spezifischen Adresserange (Specified address range). Am Schluss ist die Auswahl mit Apply zu bestätigen. Seite 50 von 77

51 Abbildung 54: Control Plane Security Auto Cert aktivieren Hinweis: Nachdem sich alle APs erfolgreich angemeldet haben, empfiehlt es sich den Haken bei Auto Cert Provisioning wieder zu entfernen, damit sich keine weiteren APs anmelden können. Die schon angemeldeten APs bleiben aktiv Provisionieren des Access Points Nachdem die Konfiguration der Access Points auf dem OmniAccess Wireless abgeschlossen ist, können die Access Points mit dem Netzwerk verbunden werden, falls das noch nicht geschehen ist. Die Access Points beziehen dann über DHCP eine IP Adresse und die Information, welcher OmniAccess Wireless Master Controller verwendet werden soll. Wurde der Access Point noch nicht auf dem OmniAccess Wireless provisioniert, dann wird er der Default Access Point Group zugewiesen. Die Zuweisung zu einer anderen AP Group bzw. die AP spezifische Konfiguration kann über die WebGUI bzw. das CLI erfolgen. Alternativ zu DHCP und der Provisionierung über die Web-Oberfläche oder CLI können dem Access Point auch statisch eine IP-Adresse und die weiteren Parameter über eine serielle Verbindung zugewiesen werden. Bei den älteren APs (AP60/61 etc.) ist dies nur via einem Serial Over Ethernet Kabel möglich. Siehe dazu die Anleitung zu den entsprechenden APs und Kontroller. Die neueren APs (ausser die RAP2 und RAP5) haben einen Konsolen Port. Der Access Point benötigt zum problemfreien Betrieb folgende Informationen. IP Adresse, Netzmaske, Default Gateway AP Name IP Adresse des WLAN Switches Seite 51 von 77

52 Provisionierung über Konsolenport Kurzbedienungsanleitung OmniAccess WLAN Um den AP über den Konsolenport konfigurieren zu können, ist er bevor er mit der Speisung verbunden ist mit einem Konsolenport eines Computers zu verbinden. Für die Einstellungen wird auf Kapitel verwiesen. Danach ist der AP entweder über Power over Ethernet PoE oder ein externes Netzteil zu speisen. Der Bootvorgang ist dabei mit Tastendruck zu unterbrechen: APBoot (build 22797) Built: at 15:53:54 Model: AP-10x CPU: AR7161 revision: A2 Clock: 680 MHz, DDR clock: 340 MHz, Bus clock: 170 MHz DRAM: 128 MB POST1: passed Copy: done Flash: 16 MB PCI: scanning bus 0... dev fn venid devid class rev MBAR0 MBAR1 MBAR2 MBAR c c Net: eth0 Radio: ar922x#0, ar922x#1 Hit <Enter> to stop autoboot: 0 apboot> Mit dem Befehl printenv kann dann die aktuelle Konfiguration angezeigt werden: apboot> printenv bootdelay=2 baudrate=9600 autoload=n boardname=talisker servername=aruba-master bootcmd=boot ap autostart=yes bootfile=mips32.ari ethaddr=00:24:6c:c2:f4:ff num_ipsec_retry=360 stdin=serial stdout=serial stderr=serial ethact=eth0 Environment size: 229/65532 bytes apboot> Seite 52 von 77

53 Mit den Befehlen purgeenv und saveenv kann die Konfiguration bei Bedarf gelöscht werden (Factory Reset): apboot> purgeenv Un-Protected 1 sectors.done Erased 1 sectors Writing apboot> saveenv Saving Environment to Flash... Un-Protected 1 sectors.done Erased 1 sectors Writing apboot> Damit der Access Point einen GRE Tunnel zu einem OmniAccess Wireless aufbauen kann, benötigt der AP die eine der folgenden Parameter (in dieser Reihenfolge) <master>, <servername> bzw. <serverip>. Sollte diese Werte nicht gesetzt sein, dann versucht der AP den Namen aruba-master via DNS aufzulösen. Für statische IP-Adress-Konfigurationen sind folgende Parameter einzugeben: setenv ipaddr x.x.x.x setenv netmask x.x.x.x setenv gatewayip x.x.x.x setenv serverip x.x.x.x setenv master x.x.x.x save Wenn DHCP verwendet wird kann auch der Name des APs, die Gruppe und der FQLN (Fully Qualified Location Name) gesetzt werden. Es ist darauf zu achten, dass der Name unbedingt eindeutig ist. Es sollten zudem keine Leer- und Sonderzeichen verwendet werden. setenv name test1 setenv group default setenv fqln test1.testfloor.default save Mit dem Befehl boot kann der AP danach neu gestartet werden. Seite 53 von 77

54 Provisionierung über Web-Oberfläche Kurzbedienungsanleitung OmniAccess WLAN Empfohlen wird die Provisionierung über die Web-Oberfläche unter Configuration > Wireless > AP Installation > Provisioning. Abbildung 55: Access Point Installation Nach dem Selektieren des Access Points (eventuell hat dieser keinen eingetragenen Namen), kann man diesen konfigurieren. Seite 54 von 77

55 Abbildung 56: Access Point provisionieren Um den Access Point in der grafischen Darstellung des RF-Plans in den einzelnen Etagen darstellen zu können, ist es notwendig, jedem Access Point einen FQLN (Fully Qualified Location Name) zuzuweisen. Dafür muss unter Plan zuerst das Gebäude im System erstellt werden. Sollte nur ein sehr übersichtliches WLAN installiert werden, so können für die Access Point Namen auch die Namen aus der RF-Planung verwendet werden. Dann ist kein FQLN notwendig. Falls der Access Point in einem Mesh Network betrieben werden soll, dann muss noch unter Mesh Role entweder Mesh Point oder Mesh Portal ausgewählt werden, abhängig vom Einsatzzweck. Für alle anderen Access Points ist hier None anzugeben bzw. stehen zu lassen. Durch Apply and Reboot übernimmt der Access Points alle Einstellungen und wird neu gestartet. Seite 55 von 77

56 6 Konfiguration der Benutzer Kurzbedienungsanleitung OmniAccess WLAN Wireless LAN Benutzer können in unterschiedliche Profile eingeteilt werden, abhängig von ihren unterschiedlichen Bedürfnissen. So wollen Mitarbeiter einer Firma über den Access Point Zugriff auf das firmeninterne Netzwerk haben, während Gäste der Firma nur den Zugang zum Internet bekommen sollen. Außerdem soll Sprache gegenüber Daten priorisiert werden. Im vorherigen Kapitel wurde schon gezeigt, dass dazu verschiedene virtuelle Access Points konfiguriert werden können. Für jeden dieser virtuellen Access Points muss ein VLAN konfiguriert werden. Diese VLANs müssen nicht, abhängig vom gewünschten Design, im Netzwerk vorhanden sein, sondern nur auf dem WLAN Switch (siehe auch Kapitel 5.5 Der virtuelle AP ). Hinweis: Für das Nutzen von Benutzerrollen und Policies wird die PolicyEnforcmentFirewall (PEFNG)-Lizenz benötigt. 6.1 Benutzerrollen und Policies Jedem Client im WLAN Netzwerk wird eine Benutzerrolle (user role) zugewiesen, welche seine Netzwerkprivilegien festlegt, wie häufig er sich erneut authentisieren muss und wie viel Bandbreite ihm zur Verfügung steht. Eine Policy ist ein Satz von Regeln, die auf den Datenverkehr angewendet werden, der durch den OmniAccess Wireless geht. Jeder Benutzerrolle werden eine oder mehrere Policies zugeordnet. Jedem Client werden verschiedene Benutzerrollen zugewiesen, z.b. für den Zeitpunkt vor der Authentisierung und danach. Hinweis: Diese Benutzer und Benutzerrollen haben direkt nichts mit den Benutzern aus Kapitel 4.6 Benutzermanagement zu tun. Dort wird von den Management-Benutzern gesprochen. Hier aber von den Nutzern des WLANs Policies Eine Firewall Policy identifiziert spezielle Charakteristika von Datenpaketen, die durch den OmniAccess Wireless gehen, und wendet darauf hin spezielle Aktionen darauf an. Firewallaktionen können das durchlassen oder blockieren von Paketen sein, das loggen von Paketen oder auch die Anwendung von Quality of Service Aktionen wie das setzen der 802.1p Bits oder das platzieren der Pakten in priorisierte Warteschlangen. Firewall Policies können den Benutzerrollen zugewiesen werden, um eine unterschiedlichen Behandlung für verschiedene Benutzer innerhalb des Netzwerkes zu erreichen. Firewall Policies können aber auch einem physikalischen Port zugewiesen werden, um auf den gesamten Traffic, der durch diesen Port geht, angewendet zu werden. Eine neue Firewall Policy kann in der WebGUI auf der Seite Configuration > Security > Access Control > Policies wie folgt angelegt werden: Mit Add kann eine neue Policy angelegt und danach ein Name vergeben werden. Als Policy Typ ist Session auszuwählen. Eine neue Regel wird durch klicken auf Add angelegt. Unter Service muss service aus der Ausklappliste ausgewählt werden, danach ist ein in der Scrollliste angebotener Service auszuwählen und mit Add übernommen werden. Mittels Add können jetzt weitere Regeln hinzugefügt werden. Mit Hilfe der Pfeilknöpfe kann die Reihenfolge der Regeln jetzt noch geändert werden. Abschließend ist die Policy mit Apply zu bestätigen, ansonsten wird die Policy nicht angelegt. Seite 56 von 77

57 Am Ende jeder Policy hat es eine nicht angezeigte deny Aktion. D.h. wenn keine Firewall Regel in der Policy zutrifft, dann wird das Paket verworfen. Dies muss nicht konfiguriert werden. Abbildung 57: Neue Policy erstellen Benutzerrollen Benutzerrollen können nur angelegt werden, wenn die Policy Enforcement Firewall Lizenz vorhanden ist. Anderenfalls stehen nur einige Standard Benutzerrollen zur Verfügung. Benutzerrollen werden auf der Seite Configuration > Security > Access Control > User Roles angelegt. Eine neue Benutzerrolle wird durch Add angelegt. Danach ist der Benutzerrollenname zu vergeben. Der Benutzerrolle sind ein oder mehrere Policies zuzuweisen. Das geschieht durch Add unter Firewall Policies. Unter Choose from Configured Policies muss eine Policy ausgewählt und durch Done übernommen werden. Es können weitere Policies hinzugefügt werden. Mit den Pfeiltasten kann die Reihenfolge der Policies geändert werden. Die Konfiguration der Benutzerrolle wird mit Apply abgeschlossen, ansonsten wird die Benutzerrolle nicht angelegt. Seite 57 von 77

58 Abbildung 58: Neue Benutzerrolle erstellen 6.2 Konfiguration der Authentisierungs-Server Die Authentisierung von Clients kann gegenüber verschiedenen Instanzen erfolgen. Die gängigsten Varianten sind die Authentisierung mittels eines Radius Servers oder der Internen Datenbank. Auch ist die Authentisierung mittels eines LDAP oder TACACS+ Server möglich. Seite 58 von 77

59 6.2.1 Interne Datenbank Kurzbedienungsanleitung OmniAccess WLAN Die einfachste Möglichkeit ist es, die interne Benutzer-Datenbank anzulegen und zu nutzen. Da diese schon in der Basissoftware enthalten ist, ist das gerade auch für kleinere Installationen interessant, um nicht zwingend einen vollständigen RADIUS Server neu aufsetzen zu müssen. Das Benutzerinterface für die Datenbank ist unter Configuration > Security > Authentication > Servers > Internal DB zu finden. Abbildung 59: Neuen Benutzer erstellen Über dieses Interface können die Benutzer verwaltet werden. Ein neuer Benutzer kann über Add User angelegt werden. Auf der folgenden Seite muss der Benutzername und das Passwort vergeben werden. Mittels Generate können auch zufällige Benutzernamen und Passwörter vergeben werden. Zudem sollte dem Benutzer eine Rolle zugewiesen werden, z.b. Guest. Auch kann hier die Gültigkeit des Benutzers zeitlich limitiert werden. Mit Apply ist der Benutzer zu kreieren. Hinweis: Sollte die Policy Enforcement Firewall nicht installiert sein, so ist die Standard Benutzerrolle des Benutzer guest und kann nicht geändert werden RADIUS Server Die Konfiguration eines RADIUS Servers erfolgt unter Configuration > Security > Authentication > Servers > RADIUS Server Ein neuer RADIUS Server kann mittels Add hinzugefügt werden. Danach kann der neu angelegte RADIUS Server markiert und bearbeitet werden. Auf der folgenden Seite kann die IP Adresse des RADIUS Servers eingestellt werden sowie der Pre-Shared Key und weitere Parameter vergeben werden. Der OmniAccess Wireless stellt sich als NAS (Network Access Server) für den RADIUS Server dar. Soll immer die gleiche IP Adresse des OmniAccess Wireless als Basisadresse für den RADIUS verwendet werden, so kann diese Adresse unter Configuration > Security > Authentication > Advanced konfiguriert werden. Seite 59 von 77

60 Abbildung 60: Radius NAS IP Adresse anpassen Server Gruppen Die Server werden zu Server Groups zusammengefasst. Wird keine Server Group angelegt, dann existiert nur die Standard Server Gruppe default, welche die interne Datenbank enthält. Wenn man einen externen Server verwendet, dann sollte eine neue Server Group angelegt werden. Dazu ist der Name der neuen Server Group anzugeben und mit Add wird die neue Server Gruppe hinzugefügt. Anschließend kann man die Server Gruppe öffnen und durch drücken auf New den Server aus der Liste auswählen und mit Add den Server der Server Group hinzufügen. Abbildung 61: Neue Server Group erstellen Seite 60 von 77

61 Ob die Kommunikation mit dem externen Server oder der internen Datenbank klappt, kann auf der Kommandozeile mit dem folgenden Befehl getestet werden: (OAW-4306) #aaa test-server <pap mschapv2> <SERVERNAME> <USERNAME> <PASSWORD> Authentication successful Dieser Test kann auch über die WebGUI unter Diagnostics > NETWORK > AAA Test Server erfolgen. Abbildung 62: AAA Test Server Hinweis: Der aaa test-server Befehl bzw. der AAA Test Server Test der WebGUI testen nur die Kommunikation mit einem bestimmten Server und nicht mit einer Server Gruppe. 6.3 Konfiguration der Authentisierung Konfiguration des AAA Profils Über die AAA Profile wird die Art der Authentisierung festgelegt. Die AAA Profile befinden sich unter Configuration > Security > Authentication > AAA Profiles Abbildung 63: AAA Profile Seite 61 von 77

62 Das Erstellen der AAA Profile und deren Zuweisung zu den Virtuellen APs erfolgt am einfachsten mit dem LAN/WLAN WIZARD. Danach können die Profile entsprechend den Bedürfnissen angepasst werden. Es gibt eine Reihe von vorgefertigten AAA Profilen, wie z.b. default und default-open, welche keinerlei Authentisierung verlangen. Andere, wie z.b. default-dot1x, erfordern eine 802.1x Authentisierung. Durch Add kann ein neues AAA Profil angelegt werden. Anschließend öffnet man das Profil und weist die initiale Nutzerrolle, wenn erforderlich die MAC Authentisierungsolle, und die 802.1x Authentisierungsrolle zu. Mit Apply wird die Konfiguration bestätigt. Unter 802.1X Authentication Server Group muss jetzt die Server Group aus dem letzten Abschnitt konfiguriert werden. Außerdem muss ein 802.1X Authentication Profil zugewiesen werden. Sollen nicht die Standardprofile verwendet werden, dann muss ein neues angelegt werden. 6.4 Quality of Service QoS Mit der WLAN Lösung von Alcatel-Lucent kann man sowohl Sprache als auch Daten drahtlos übertragen. Da Sprachapplikationen wesentlich empfindlicher auf Verzögerungen und Jitter reagieren als Datenanwendungen, muss die Netzwerkinfrastruktur die Sprache gegenüber den Daten bevorzugt behandeln. Diese Priorisierung erfolgt durch Quality of Service (QoS) sowohl im LAN als auch im WLAN (WMM). Hinweis: Um die QoS Merkmale nutzen zu können, wird die Policy Enforcement Firewall Lizenz benötigt Quality of Service mit der Firewall Innerhalb der WLAN Lösung von Alcatel-Lucent legt die Benutzerrolle eines drahtlosen Benutzers fest, welche Privilegien im Netzwerk, inklusive der Priorität verschiedenster Datenströme, der Benutzer hat. Daher wird Quality of Service für Sprachanwendungen bei der Konfiguration der Firewall Regeln und Policies mit eingerichtet. Die Benutzerrolle für VoIP Telefone wird, im Gegensatz zur Benutzerrolle bei Datenverkehr, meist aus der OUI der MAC Adresse des VoIP Telefons oder der SSID abgeleitet. Typischerweise wird diese Benutzerrolle nur Sprachprotokollen, z.b. SIP oder SVP, den Netzzugang gewähren. Hinweis: Für detaillierte Informationen zur Konfiguration der VoWLAN System und die zu verwendenden Parameter wird auf die entsprechenden Dokumentationen (Technical Communication) aus dem Telefoniebereich verwiesen. Die zu verwendenden Parameter können von den hier erwähnten abweichen! Die folgenden Beschreibungen zeigen, wie man eine Benutzerrolle für NOE Clients bzw. für SIP Clients konfiguriert. Die Policy Enformcement Firewall Lizenz muss dazu installiert sein. Die generelle Konfiguration von Benutzerrollen zeigt Kapitel Danach wird eine Benutzerregel definiert, die z.b. abhängig von der SSID oder der OUI, dem Benutzer eine bestimmte Benutzerrolle zuweist. Es ist auch möglich, die vordefinierte Benutzerrolle voice für NOE und andere VoIP Telefone zu verwenden. Für evtl. weitere benötigte Protokolle wird auf die Technical Communications aus dem Telefoniebereich verwiesen. Seite 62 von 77

63 NOE Benutzerrolle Kurzbedienungsanleitung OmniAccess WLAN Das NOE Protokoll wird von Alcatel-Lucent Telefonen für VoIP benutzt. Die anzulegende Benutzerrolle besteht aus der vordefinierten Policy control und einer Policy für das NOE Protokoll. Für die NOE Policy muss ein Netzwerkservice definiert werden, es handelt sich hierbei entweder um den UDP Port bei Alcatel-Lucent OmniPCX Enterprise (OXE) Systemen oder um den UDP Port 5000 bei Alcatel-Lucent OmniPCX Office (OXO) Systemen. Der Netzwerkservice wird auf der Kommandozeile wie folgt konfiguriert (Beispiel für OXO): (oaw-4304) (config)#netservice svc-noe udp 5000 alg noe Die Benutzerrolle wird wie folgt konfiguriert: 1. Das Anlegen einer neuen Benutzerrolle für NOE Telefone erfolgt auf der Seite Configuration > Security > Access Control 2. Den Reiter Policies auswählen und mit Add eine neue Policy anlegen 3. Der Policy einen Namen geben, z.b. noe-policy 4. Session als Policy Type in der Auswahlliste selektieren 5. Im Bereich Rules durch Add eine neue Regel anlegen a. any als Source auswählen b. any als Destination auswählen c. service als Service auswählen, dann svc-noe-oxo selektieren d. permit als Action auswählen e. High als Queue auswählen 6. Regel durch Add hinzufügen 7. Mit Apply bestätigen 8. Den Reiter User Roles auswählen und mit Add eine neue Benutzerrolle hinzufügen und einen Namen für die Benutzerrolle vergeben 9. Unter Firewall Policies Add betätigen 10. Aus Choose from Configured Policies die soeben konfigurierte Policy noe-policy auswählen. 11. Mit Done bestätigen 12. Unter Firewall Policies mit Add betätigen 13. Aus Choose from Configured Policies die vordefinierte Policy control auswählen 14. Mit Done bestätigen 15. Mit Apply die neue Benutzerrolle bestätigen Abbildung 64: Neue OXO Policy erstellen Seite 63 von 77

64 SIP Benutzerrolle Kurzbedienungsanleitung OmniAccess WLAN Die Benutzerrolle für SIP Telefone wird analog zur der Benutzerrolle für NOE Telefone konfiguriert. Die Benutzerrolle enthält auch hier die vordefinierte Policy control. Der Unterschied besteht in der Policy für die Telefone. Die nachstehende Tabelle enthält die Parameter für die zu konfigurierende Policy sip-policy. Source Destination Service Action Queue Any Any svc-sip-tcp Permit High Any Any svc-sip-udp Permit High Any Any svc-tftp Permit High Any DHCP-Server svc-dhcp Permit High Any TFTP-Server svc-tftp Permit High Benutzerregel Tabelle 6: Firewall Einstellungen für SIP Telefone Die Benutzerrolle kann aus verschiedenen Attributen der Verknüpfung des Benutzers mit dem Access Point abgeleitet werden. So ist es möglich VoIP Telefone anhand ihrer OUI oder der verwendeten SSID eine Benutzerrolle zuzuweisen. Diese Zuweisung findet statt, bevor der Benutzer authentisiert wird. 1. Das Anlegen einer neuen Benutzerregel erfolgt auf der Seite Configuration > Security > Authentication > User Rules 2. Mittels Add einen neuen Satz von Regeln anlegen. Einen Namen angeben und mittels Add der Liste mit Benutzerregeln hinzufügen 3. In der Liste mit Benutzerregeln die soeben angelegte Regel auswählen 4. Add drücken um eine neue Regel hinzuzufügen. Role als Set Type aus der Ausklappliste auswählen. 5. Für SSID basierende Zuweisung ESSID als Rule Type auswählen. Für OUI basierende Zuweisung MAC Address als Rule Type auswählen 6. Für SSID basierende Zuweisung equals als Condition auswählen. Für OUI basierende Zuweisung contains als Condition auswählen. 7. Für SSID basierende Zuweisung die SSID als Value angeben, die für die VoIP Telefone verwendet werden soll. Für OUI basierende Zuweisung die ersten drei Octets der MAC Adresse als Value angeben. 8. Als Roles eine der oben angelegten Benutzerrollen angeben. 9. Mit Add die Regel dem Satz der Benutzerregel hinzufügen. Schritte 4 bis 9 wiederholen, um weitere Regeln der Benutzerregel hinzuzufügen. Wenn keine weitere Regel mehr hinzugefügt werden soll die Konfiguration mit Apply abschließen Wi-Fi Multimedia Wi-Fi Multimedia (WMM) ist eine Wi-Fi Allianz Spezifikation basierend auf dem IEEE e Wireless Quality of Service (QoS) Standard. WMM arbeitet sowohl mit IEEE a, b, g, und n zusammen. WMM muss aktiviert werden, damit VoWLAN funktioniert. Hinweis: WMM wird nicht von Access Points unterstützt, die im Bridge Mode arbeiten. Seite 64 von 77

65 WMM wird wie folgt konfiguriert: Kurzbedienungsanleitung OmniAccess WLAN 1. Den virtuellen AP zum bearbeiten unter Configuration > Wireless > AP Configuration > AP Group öffnen. 2. In der Profilliste den Punkt Wireless LAN ausklappen, Virtual AP selektieren und den virtuellen Access Point auswählen, der bearbeitet werden soll. 3. Das SSID profile auswählen. 4. In den Profildetails den Advanced Reiter auswählen. 5. Runterscrollen bis zum Feld Wireless Multimedia (WMM) und das Häkchen in der Auswahlbox setzen. 6. Mit Apply die Konfigurationsänderung bestätigen. Abbildung 65: WMM aktivieren Seite 65 von 77

66 7 Monitoring 7.1 Dashboard Kurzbedienungsanleitung OmniAccess WLAN Die Dashboard Monitoring Funktion des OmniAccess WLAN gibt ab Release 6.1 eine erhöhte Visibilität des aktuellen Zustand des WLAN Netzwerkers. Dies ermöglicht es Probleme einfacher zu entdecken und zu lösen. Die Dashboard Monitoring Funktion ist via WebGUI über den Reiter Dashboard verfügbar und ist in Themengebiete aufgeteilt. Durch klicken auf die blau dargestellen und unterstrichenen Einträge oder die Graphiken können jeweils detailliertere Informationen angezeigt werden. Das Dashboard ersetzt die alten Reiter Events und Reports Performance Unter Dashbaord > Performance ist eine Übersicht zur aktuellen Performance des WLANs zu finden. Dies aufgeteilt in Clients und APs. Clients Abbildung 66: Dashboard Performance Zeigt die Anzahl der momentan mit dem Kontroller verbundene Clients an und stellt Informationen zu ihrer Performance graphisch dar. Zu diesen Informationen gehören u.a.: Signalrauschabstand (SNR) Client Verbindungsgeschwindigkeit (Speed) Nutzdaten-Durchsatz des Clients (Goodput) Seite 66 von 77

67 APs Kurzbedienungsanleitung OmniAccess WLAN Zeigt Informationen zur Performance der angeschlossenen APs/RAPs an. Dazu gehören u.a.: Gesamter Nutzdaten-Durchsatz (Goodput) Prozentsatz der verworfenen Packete (Frames dropped) Verteilung der verwendeten Frame Raten Durchsatz (Usage) Unter Dashboard > Usage wird die momentane Auslastung/Nutzung des Netzwerkes angezeigt. Dies wiederum in einen Teil über Clients und einen über die APs Clients Abbildung 67: Dashboard Usage Zeigt Informationen über die Nutzer der verschiedenen SSIDs innerhalb der letzten 15 Minuten. Dazu gehören u.a.: APs Anzahl der verbundenen Clients Anzahl der verbunden Clients pro SSID Zeigt Informationen über die Auslastung der APs an. Dazu gehören u.a.: Anzahl der aktiven/ausgeschateten APs Gesamt Durchsatz und Durchsatz pro SSID Seite 67 von 77

68 7.1.3 Sicherheit (Security) Unter Dashboard > Security werden Informationen zur Sicherheit des Netzwerkes dargestellt. Abbildung 68: Dashboard Security Durch anklicken der Links im oberen Bereich, z.b. Suspected Rogue werden im unteren Bereich detailliertere Information dazu angezeigt Potentielle Probleme (Potentiel Issues) Unter Dashboard > Potentiel Issues werden die Clients und APs angezeigt, die potentielle Probleme haben, da sie gewisse Grenzwerte über- bzw. unterschreiten. Dies bedeutet aber nicht zwangsläufig, dass auch Probleme vorhanden sind. Clients Abbildung 69: Dashboard Potentiel Issues Mögliche Probleme bei Clients die angezeigt werden: Tiefer SNR: Clients mit SNRs von 30dBm und weniger (Low SNR) Tiefe Geschwindigkeit: Clients mit Verbindungsgeschwindigkeiten von 36 Mbps und tiefer (Low speed) Seite 68 von 77

69 APs/Radios Kurzbedienungsanleitung OmniAccess WLAN Tiefer Nutzdaten-Durchsatz: Clients mit Nutzdaten-Durchsatz von 24 Mbps und tiefer (Low goodput) Mögliche Probleme bei APs, welche angezeigt werden: Hoher Rauschpegel: APs mit Rauschpegel von -85 db und höher (High noise floor) Hohe Kanal Auslastung: APs mit Kanal Auslastung von 80% und höher (Busy channel) Hohe nicht Wifi-Interferenzen: APs mit nicht-wifi Interferenzen von 20% und höher (High non-wi-fi interferences) Tiefer Nutzdaten-Durchsatz: APs mit durchschnittlichem Nutzdaten-Durchsatz von 24 Mbps und tiefer (Low goodput) Hohe Anzahl Cliens: APs mit 15 und mehr verbundener Clients (High client association) WLANs Unter Dashboard > WLANs werden Informationen zu den einzelnen WLANs (SSIDs) angezeigt. Durch klicken auf die SSIDs können detaillierte Informationen zu der entsprechenden SSID angezeigt werden. Zu den angezeigten Informationen gehören u.a.: Anzahl Clients pro SSID Durchsatz pro SSID APs pro SSIDs Trends der verschiedenen Messwerte Abbildung 70: Dashboard WLANs Seite 69 von 77

70 7.1.6 Access Points Kurzbedienungsanleitung OmniAccess WLAN Unter Dashboard > Access Points können aktuelle Informationen zu den aktiven Access Points angezeigt werden. Durch anklicken der APs bzw. der Radios könne im unteren Bereich der Seite weitere Informationen angezeigt werden. Zu diesen Informationen gehören u.a.: Anzahl Clients pro APs Genutzer Kanal Störpegel pro AP Verworfene Frames pro AP Trends der verschiedenen Messwerte Abbildung 71: Dashboard Access Points Seite 70 von 77

71 7.1.7 Clients Kurzbedienungsanleitung OmniAccess WLAN Unter Dashboard > Clients können Informationen zu den aktuell mit dem Netzwerk verbundenen Clients abgerufen werden. Durch klicken auf die Clients können detailliertere Informationen zu ihnen angezeigt werden. Zu diesen Informationen gehören u.a.: Device Typ (OS) Benutzer-Rolle (Role) SNR Nutzdaten-Durchsatz (Goodput) Verbundene SSID Abbildung 72: Dashboard Clients Seite 71 von 77

72 7.2 Kontrolle der Clients Kurzbedienungsanleitung OmniAccess WLAN Unter Monitoring > Switch > Clients ist es möglich, Clients, die sich am Netzwerk angemeldet haben, zu sehen und Detailanalysen (z.b. Packet Capturing) durchzuführen. Weiterhin ist es möglich, sie über die Blacklist Funktion vom Netzwerk zu trennen bzw. zu sperren. Abbildung 73: Client Monitoring Über die Locate Funktion ist es auch möglich, sich die Lokation des Clients anzeigen zu lassen. Hierzu sind vorher die Access Points sauber im RF-Plan einzutragen und es müssen genügend APs eingesetzt werden. Seite 72 von 77

73 8 Beispielkonfiguration Kurzbedienungsanleitung OmniAccess WLAN Für die Beispielkonfigurationen wird auf die zusätzlichen Dokumente, die offiziellen Handbücher und die DesignGuides (Technical Communications) der Telefoniesysteme verwiesen. Seite 73 von 77

74 Abbildungsverzeichnis Abbildung 1: Systemübersicht 7 Abbildung 2: Serieller Port 9 Abbildung 3: Setup Wizard Wahl des Szenarios (Standard: Campus wireless) 13 Abbildung 4: Setup Wizard Definieren der Grundeinstellungen 13 Abbildung 5: Setup Wizard Wählen der Betriebsart des Kontrollers 14 Abbildung 6: Setup Wizard Definieren der Management IP Adresse (VLAN 1) 14 Abbildung 7: Setup Wizard Definieren der Kontroller Hauptadresse (Standard: VLAN 1) 15 Abbildung 8: Setup Wizard Definieren der Port/VLAN Zuordnung (Standard: Alle Ports VLAN 1) 15 Abbildung 9: Setup Wizard Auf finish now klicken um Grundsetup Wizard abzuschliesen 16 Abbildung 10: Setup Wizard Auf Finish klicken um Grundsetup zu aktivieren 16 Abbildung 11: Setup Wizard Konfiguration wird auf Kontroller geschrieben 16 Abbildung 12: Setup Wizard Kontroller wird neu gestartet 16 Abbildung 13: Login Screen 17 Abbildung 14: WebGUI 18 Abbildung 15: Netzwerkübersicht 19 Abbildung 16: Dashboard 19 Abbildung 17: Inventar Übersicht 20 Abbildung 18: Lizenz Management 21 Abbildung 19: Lizenz Wizard 22 Abbildung 20: Certificate Request erstellen 23 Abbildung 21: Ausgabe des Certificate Request 23 Abbildung 22: Übertragen des Zertifikates auf den Kontroller 24 Abbildung 23: Zertifikat auswählen 24 Abbildung 24: Software Management 26 Abbildung 25: Backup Flash 28 Seite 74 von 77

75 Abbildung 26: Restore Flash 29 Abbildung 27: Port Konfiguration 31 Abbildung 28: Port-Channel Konfiguration 32 Abbildung 29: VLAN Port-Channel Konfiguration 33 Abbildung 30: VLAN Konfiguration 34 Abbildung 31: Neues VLAN anlegen 35 Abbildung 32: Übersicht über die IP Schnittstellen 35 Abbildung 33: IP Konfiguration 36 Abbildung 34: Anbindungsmodell 37 Abbildung 35: DHCP Server 38 Abbildung 36: DHCP Pool anlegen 38 Abbildung 37: Übersicht Access Points 39 Abbildung 38: AP Group Eigenschaften 40 Abbildung 39: AP Group Konfiguration 40 Abbildung 40: Virtuellen AP bearbeiten 42 Abbildung 41: SSID Profil bearbeiten 42 Abbildung 42: Konfiguration des Radio Profils für n 43 Abbildung 43: Konfiguration mit Mesh Networking 44 Abbildung 44: Mesh Radio Profil 45 Abbildung 45: Mesh Cluster Profil 46 Abbildung 46: Mesh Cluster Profil Konfiguration 46 Abbildung 47: Konfiguration mit Wireless Ethernet Bridge 46 Abbildung 48: Neues Ethernet Interface Profil erstellen 47 Abbildung 49: Neues Wired AP Profil erstellen 47 Abbildung 50: ARM Profil 48 Abbildung 51: Control Plane Security deaktivieren 49 Seite 75 von 77

76 Abbildung 52: Control Plane Security Whitelist - Neuer AP 49 Abbildung 53: Control Plane Security Whitelist - AP Modifizieren 50 Abbildung 54: Control Plane Security Auto Cert aktivieren 51 Abbildung 55: Access Point Installation 54 Abbildung 56: Access Point provisionieren 55 Abbildung 57: Neue Policy erstellen 57 Abbildung 58: Neue Benutzerrolle erstellen 58 Abbildung 59: Neuen Benutzer erstellen 59 Abbildung 60: Radius NAS IP Adresse anpassen 60 Abbildung 61: Neue Server Group erstellen 60 Abbildung 62: AAA Test Server 61 Abbildung 63: AAA Profile 61 Abbildung 64: Neue OXO Policy erstellen 63 Abbildung 65: WMM aktivieren 65 Abbildung 66: Dashboard Performance 66 Abbildung 67: Dashboard Usage 67 Abbildung 68: Dashboard Security 68 Abbildung 69: Dashboard Potentiel Issues 68 Abbildung 70: Dashboard WLANs 69 Abbildung 71: Dashboard Access Points 70 Abbildung 72: Dashboard Clients 71 Abbildung 73: Client Monitoring 72 Seite 76 von 77

77 Bei Fragen oder Anregungen erreichen Sie uns unter : Alcatel-Lucent DE Alcatel-Lucent CH Alcatel-Lucent AT pre.sales@alcatel-lucent.com Presales.Enterprise@alcatel-lucent.ch datapresales.austria@alcatel-lucent.com enterprise.alcatel-lucent.com twitter.com/aluenterprise facebook.com/aluenterprise youtube.com/user/alcatellucentcorp Seite 77 von 77