Conectar a porta de serviço 5508/WiSM à rede

Introdução

Este documento descreve a configuração e a teoria de operação das portas de serviço no Cisco Unified Wireless Network Controllers (CUWN) e fornece diretrizes gerais para sua implantação.O objetivo deste documento é:

• Fornecer uma visão geral e diretrizes de práticas recomendadas para conectar os Cisco Standalone Controllers (55000/8500) à rede
• Fornecer uma visão geral , práticas recomendadas e comandos para solucionar problemas de porta de serviço em Wireless Service Module/Controllers (WiSM)

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento dos Cisco Wireless LAN Controllers

Componentes Utilizados

As informações neste documento são baseadas nos Cisco Wireless Standalone Controlers e módulos WiSM.

As informações neste documento são criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Visão geral da porta de serviço

Controladores autônomos

A porta de serviço nos controladores independentes é reservada para o gerenciamento fora de banda do controlador e para a recuperação e manutenção do sistema em caso de falha da rede. Ela é também a única porta que permanece ativa quando a controladora está no modo de inicialização. A interface service-port usa o endereço MAC service-port definido de fábrica do controlador.

Recursos da porta de serviço

• A porta de serviço conecta-se diretamente ao plano de controle do 5508 e, portanto, aponta diretamente para a CPU. As outras portas de dados físicas estão conectadas por meio do plano de dados

• A porta de serviço não é capaz de transportar marcas 802.1Q, portanto, ela deve ser conectada a uma porta de acesso no switch vizinho

• O controlador usa as rotas estáticas para garantir que a porta de serviço possa alcançar os destinos da sub-rede (sub-redes diferentes das suas próprias).  Qualquer tráfego que corresponda a uma rota estática na controladora Wireless LAN (WLC) deixará o controlador pela porta de serviço, mesmo que o tráfego de entrada tenha vindo pela interface de gerenciamento (portas de dados) que inclui a GUI da controladora, o tráfego de autenticação RADIUS e assim por diante

       

Alcance da mesma sub-rede (vlan da porta de serviço)

• A porta de serviço não tem nenhum gateway e está conectada à porta de acesso do switch vizinho. Assim, em circunstâncias normais, você deve ser capaz de acessar a porta de serviço conectando o PC na mesma vlan de acesso no switch vizinho. Aqui, você não precisa de nenhuma rota estática no WLC, pois seu PC está conectado à vlan da porta de serviço no switch vizinho e você se comunica com ele na mesma vlan
• Não configure os clientes com fio na mesma vlan ou sub-rede da porta de serviço no switch vizinho. À medida que a porta de serviço aponta diretamente para o plano CPU/Controle , você poderá ver uma alta utilização da CPU se a vlan da porta de serviço tiver muito tráfego de multicast/broadcast
• O acesso à GUI através do endereço IP de gerenciamento não é possível a partir desta vlan

Alcance da sub-rede remota (diferente da vlan da porta de serviço)

 Se precisar gerenciar a porta de serviço de uma sub-rede remota , você deverá adicionar as rotas estáticas para se comunicar com as sub-redes remotas . Os pontos para esta configuração são:

• Se você quiser acessar a porta de serviço de qualquer lugar na rede e fornecer uma rota estática para o destino 10.0.0.0/8 que aponte para o gateway de sub-rede da porta de serviço que já está presente no lado do switch. Essa grande sub-rede pode abranger todas as sub-redes usadas na rede, incluindo os servidores Radius e os servidores Tacacs. Os resultados dessa configuração podem ser os seguintes

                    - A GUI da WLC não pode ser acessada por meio do endereço IP de gerenciamento de todas as sub-redes cobertas em 10.0.0.0/8. Você terá que usar o endereço IP da porta de serviço para obter acesso via GUI da WLC. Isso é derivado do fato de que todo o tráfego correspondente à rota estática é roteado através da porta de serviço, mesmo que o tráfego de gerenciamento entre através da interface de gerenciamento

                     - As autenticações Radius falham, pois você pode ter adicionado o endereço IP de gerenciamento da WLC como um cliente AAA. Para autenticações bem-sucedidas, você precisa adicionar a WLC como um cliente AAA usando o endereço IP da interface da porta de serviço, já que o tráfego está sendo roteado através da porta de serviço com o endereço de origem do endereço IP da porta de serviço

             

                       - Se o endereço ip da porta de serviço se tornar inacessível devido a qualquer motivo por algum tempo, todas as autenticações radius subsequentes poderão falhar durante esse período

• Você pode ver alta utilização de CPU/travamentos se tiver muitos multicast/broadcast que atingem a porta de serviço

• Tente dar rotas específicas como estáticas, pode ser para uma ou duas sub-redes remotas e ter estação de trabalho de gerenciamento remoto

   nessa sub-rede. Mesmo nesse caso, o acesso via GUI à WLC não estará disponível usando o endereço IP de gerenciamento do controlador nos PCs dessa sub-rede. Se você tiver a sub-rede do servidor Radius coberta por essa rota específica, a solicitação de autenticação que chega ao servidor Radius ainda será originada com o endereço IP da porta de serviço 

Configurar

Configurar a porta de serviço do WLC

A configuração pressupõe que o controlador sem fio já esteja configurado e que você queira configurá-lo

a porta de serviço.

Para configurar a interface de serviço para o DHCP, insira o comando config interface dhcp service-port enable.

Para desabilitar o servidor DHCP, insira o comando config interface dhcp service-port disable

Para configurar o endereço IPv4, insira o comando config interface address service-port ip-addr ip-netmask.

Para gerenciar a porta de serviço de uma sub-rede remota , você precisa adicionar as rotas estáticas para se comunicar com as sub-redes remotas

Insira o comando config route add network-ip-addr ip-netmask gateway.

Verificar

Para verificar a configuração da porta de serviço, use o comando show interface detailed service-port.

Você obtém esta saída:

 
 Interface Name................................... service-port
 MAC Address...................................... 50:57:a8:bc:4b:01
 IP Address....................................... 192.168.20.1
 IP Netmask....................................... 255.255.255.0
 Link Local IPv6 Address.......................... fe80::5257:a8ff:febc:4b01/64
 STATE ........................................... REACHABLE
 IPv6 Address..................................... ::/128
 STATE ........................................... NONE
 SLAAC............................................ Disabled
 DHCP Protocol.................................... Disabled
 AP Manager....................................... No
 Guest Interface.................................. No
 Speed ........................................... 10Mbps
 Duplex .......................................... Half
 Auto Negotiation ................................ Enabled

Link Status...................................... Up

Porta de serviço no modo AP SSO

• Cada unidade (ativa e em standby) tem um IP exclusivo para a porta de serviço. Ambos os endereços de porta de serviço devem estar presentes na mesma sub-rede. Isso ocorre porque, se a porta de serviço do controlador em standby estiver em uma sub-rede diferente, você precisará adicionar novas rotas. Isso traz uma diferença nas configurações de ativo e standby que não é esperada.

Comando para configurar o endereço IP da porta de serviço de mesmo nível e a máscara de rede do controlador de mesmo nível/standby:

      (Cisco Controller) >config redundancy interface address peer-service-port ?
      (Cisco Controller) >config redundancy peer-route ?

Controladores WiSM

O módulo WiSM dentro do 6500 é um caso especial em que a porta de serviço é usada para a comunicação entre a controladora WiSM e o supervisor. A configuração da porta de serviço é obrigatória para configurar os controladores WiSM.

• WLAN Controller Protocol (WCP) é a cola de software entre o Supervisor e o Controlador WiSM-2. O WCP é executado em UDP/IP, porta 10000 sobre interface de serviço. Quando a controladora WiSM estiver ativa, haverá heartbeats ou keepalives de software entre o supervisor e a controladora WiSM. O controlador solicita ao supervisor as informações de slot/processador.O WCP é executado em UDP/IP, porta 10000 sobre interface de serviço

• A vlan da porta de serviço é local para o chassi e deve ter uma interface de camada 3 no switch IOS. A porta de serviço pode ser atribuída ao DHCP ou ao endereço IP estático, dependendo da configuração da porta do switch no controlador. O endereço IP da porta de serviço deve estar na sub-rede diferente das interfaces de gerenciamento do controlador. Não manter a VLAN de serviço local pode criar problemas, por exemplo, algum outro switch na rede se tornando o switch raiz da vlan de serviço.

• VRF na porta de serviço não é suportado

• O endereço IP da porta de serviço deve estar na sub-rede diferente das interfaces de gerenciamento do controlador.

• A VLAN de serviço é local ao chassi e é usada para comunicação entre o Cisco WiSM e o Catalyst Supervisor 720 ou 2T através de uma interface Gigabit no Supervisor e porta de serviço no Cisco WiSM.

Configurar

Configurar a porta de serviço WiSM

Para obter informações sobre como configurar o módulo WiSM no Switch 6500, consulte estes links:

Solucionar problemas e configurar a instalação inicial do Wireless Services Module (WiSM)

Guia de implantação do WiSM-2 2DP

Verificar

Use esta seção para confirmar sua configuração de porta de serviço, use o comando show wism status.

Service Vlan : 213, Service IP Subnet : 8.8.8.1/255.255.255.0
      WLAN
Slot  Controller  Service IP       Management IP    SW Version    Controller Type    Status
----+-----------+----------------+----------------+------------+------------------+---------------
7           1              8.8.8.2             10.105.98.13     7.0.252.0     WS-SVC-WISM-1-K9   Oper-Up

Troubleshooting

Use estes comandos para ver as mensagens de depuração que mostram a comunicação entre o controlador WiSM e o supervisor

• Na controladora WiSm

(WiSM-slot7-1) >debug wcp events enable

*wcpTask: May 03 02:42:29.830: Received WCP_MSG_TYPE_REQUEST
*wcpTask: May 03 02:42:29.830: Received WCP_MSG_TYPE_REQUEST,of type WCP_TLV_KEEP_ALIVE
*wcpTask: May 03 02:42:29.830: Sent WCP_MSG_TYPE_RESPONSE,of type WCP_TLV_KEEP_ALIVE
*wcpTask: May 03 02:42:49.830: Received WCP_MSG_TYPE_REQUEST
*wcpTask: May 03 02:42:49.830: Received WCP_MSG_TYPE_REQUEST,of type WCP_TLV_KEEP_ALIVE
*wcpTask: May 03 02:42:49.830: Sent WCP_MSG_TYPE_RESPONSE,of type WCP_TLV_KEEP_ALIVE
*wcpTask: May 03 02:43:09.830: Received WCP_MSG_TYPE_REQUEST
*wcpTask: May 03 02:43:09.830: Received WCP_MSG_TYPE_REQUEST,of type WCP_TLV_KEEP_ALIVE
*wcpTask: May 03 02:43:09.830: Sent WCP_MSG_TYPE_RESPONSE,of type WCP_TLV_KEEP_ALIVE

• No lado do switch/roteador

6500#debug wism events

dman_proc_service_tmr_handler Service Port Timer fired for slot/port: 7/2
May  3 04:39:18: WiSM-Evt:returning, rc 0, num_entries 0 for slot/port/vlan 7/10/213
May  3 04:39:19: WiSM-Evt:dman_cntrl_db_search_by_mac: Found mac 0019.30fb.ccc2 for slot/port 7/1
May  3 04:39:19: WiSM-Evt:dman_reg_arp_added: cntrl 7/1 got an ip 8.8.8.2 0019.30fb.ccc2/0019.30fb.ccc2
May  3 04:39:20: WiSM-Evt: dman_proc_service_tmr_handler Service Port Timer fired for slot/port: 7/2 

Para ver o WCP transmitir e receber pacotes trocados entre o controlador WiSM e o supervisor:

6500#debug wism wcp data

May  3 04:32:54: WiSM-Evt:dman_proc_keepalive_tmr_handler: keepalive timer expired for 7/1
May  3 04:32:54: wcp-tx: src/dst:8.8.8.1/8.8.8.2 ver:1 sap2/1
May  3 04:32:54: typ:req len:61 seq:1079591 flg:0 sts:1
May  3 04:32:54: 00 00 00 01 00 00 00 18 00 00 00 04 08 08 08 01
May  3 04:32:54: 00 00 00 00 00 00 D5 20 00 00 00 00 00 00 00 05
May  3 04:32:54: wcp-rx: src/dst:8.8.8.2/8.8.8.1 ver:1 sap0/0
May  3 04:32:54: typ:rsp len:45 seq:1079591 flg:0 sts:1
May  3 04:32:54: 00 00 00 01 00 00 00 08 00 00 00 01 58 5F 60 11