Bu Yazıda Cisco WLC (Wireless LAN Controller) Kullanarak Wireless LAN Yapılandırması, WLC'nin İlk Kurulumu ve GUI'ye Bağlanma, WLC Port ve WLC Interface Arasındaki Fark, WLC Port Türleri (Service Port, Distribution System Port, Console Port, Redundancy Port), WLC Interface Türleri (Management Interface, Redundancy Management Interface, Virtual Interface, Service Port Interface, Dynamic Interface), WLC Interface ve WLAN Yapılandırması, Ek WLC Özellikleri (Wireless AP Mode Configuration, CPU Access Control List) Hakkında Bilgi Edineceğiz.
Şimdiye Kadar Cihazları Yapılandırmak için Yalnızca CLI Kullandık. WLC'yi CLI Aracılığıyla da Yapılandırabilirsiniz. Ancak GUI Kullanmak Çok Daha Yaygındır ve Cisco'nun CCNA Sınavı için Beklediği de Budur.
Tüm Cihazları Tek Bir Merkezi Switch'e Bağlayacağımız için Gerekli Switch Yapılandırmalarını da ele Alacağız.
Bu Yazıdan önce Wireless Fundamentals, Wireless Architectures ve Wireless Security Yazılarını okumanızı Tavsiye Ederim.
Network Topology
Bu Eğitimde İlk Kez Fiziksel LAB Kullanacağız. Yalnızca Sanal Cihazlar ile Wireless LAB Oluşturamazsınız. Bununla Birlikte Kısmen Sanal LAB Mümkündür. Örneğin Fiziksel WLC Yerine Sanal WLC Kullanılabilir.
Packet Tracer Simulator, Bazı Temel WLC ve AP İşlevleri Sunar. Sınırlıdır, Ancak CCNA Sınavı için İhtiyacınız olanı Uygulamak için Yeterince İyidir.
Bu Topolojide Bir Switch, Bir WLC ve İki adet Wireless AP Var.
Wireless AP'lere Herhangi Bir Güç Kablosu Bağlamadım, Ancak Hala Güç Alıyorlar. Özel Bir Güç Kablosu olmadan Nasıl Güç Aldıklarını Tahmin Edebilir Misiniz? PoE, Power over Ethernet. Hem Veri İletimi Hem de Cihaza Güç Sağlamak için Tek Bir Ethernet Kablosu Kullanılmaktadır. Switch Portlarının PoE Özellikli olduğunu Aşağıdaki Resimde Görebilirsiniz.
Bu LAB'da Kullanmamama Rağmen WLC'nin Kendisinde de PoE Özellikli Portlar Var. Böylece Bir Wireless AP Doğrudan WLC'nin Kendisine Bağlanabilir ve PoE Aracılığıyla Güç Alabilir.
WLC, LAG (Link Aggregation Group), Yani EtherChannel Aracılığıyla Switch'e Bağlanır.
WLC Yalnızca Static LAG Destekler, PAgP veya LACP Desteklemez.
Switch Portlarını (F0/1 - 2) Static LAG Oluşturacak Şekilde Yapılandırma Komutu:
- channel-group 1 mode on
Bu Ağda Üç adet VLAN / Subnet Kullanacağım:
- VLAN10, Management VLAN, Subnet 192.168.1.0/24
- VLAN100, Internal VLAN, Subnet 10.0.0.0/24
- VLAN200, Guest VLAN, Subnet 10.1.0.0/24
VLAN10; WLC, Switch ve Wireless AP'lere Bağlanmak ve Bunları Yönetmek için Kullanılacaktır.
VLAN100, Wireless AP'lerin Reklamını Yapacağı ve Cihazların Bağlanabileceği Internal SSID ile Eşleştirilecektir.
VLAN200, Wireless AP'lerin Reklamını Yapacağı ve Cihazların Bağlanabileceği Guest SSID ile Eşleştirilecektir.
Trafiği Kontrol Etmek için Herhangi Bir Politika Uygulamayacağım, Ancak Gerçek Dünyada Guest SSID'yi Yalnızca İnternet Erişimiyle Sınırlayabilirsiniz.
Switch'de Her VLAN için SVI olacaktır, Her Subnet'in .1 Adresi.
WLC'nin Her VLAN'da Bir IP Adresi olacaktır, Her Subnet'in .100 Adresi.
Wireless AP'lerin WLC ile İletişim Kurabilmeleri için Management VLAN'da IP Adresine İhtiyaçları olacak, Ancak IP Adreslerini DHCP Aracılığıyla Alacaklar. Peki DHCP Server Nerede?
WLC, DHCP Server olabilir, Ancak Switch'i Bu Ağ için Hem DHCP Server Hem de NTP Server olarak Yapılandıracağız.
Bu Ağda Split-MAC Architecture Kullandığımızdan Switch'in Wireless AP'lere Bağlanan Portları (F0/7 - 8) Access Porttur.
Tüm VLAN Trafiğinin Taşındığı Switch'in WLC'ye Bağlanan Portları Trunk Port olmalıdır.
Wireless AP'ler WLC'ye CAPWAP Tunnel oluşturacaktır.
Örnek olarak Internal WLAN ile İlişkili Cihaz, Default Gateway (SW1 VLAN100 SVI) ile İletişim Kurmak İstiyor.
Trafik, CAPWAP Tunnel Üzerinden WLC'ye Gönderilir. WLC'de Internal WLAN, VLAN100 ile Eşlendiğinden Dolayı SW1'e VLAN100 Trafiği İletilir. SW1 Daha Sonra Aynı Yoldan Cihaza Cevap Verir.
Internal WLAN ile İlişkili Cihaz, Guest WLAN ile İlişkili Cihaza Trafik Göndermek İsterse Ne olur?
Trafik, Önceki Örnek ile Aynı Yolu İzleyerek Default Gateway SW1'e Gelir. SW1 Trafiği VLAN200'e Yönlendirerek WLC'ye İletir. WLC, CAPWAP Tunnel ve Wireless AP Aracılığıyla Trafiği Hedef Cihaza İletir.
Yapılandırmalara Başlayalım.
SW1
Önce 10, 100 ve 200 olmak Üzere Üç adet VLAN oluşturdum ve Onlara Uygun Adlar Verdim.
Sonra F0/6, 7 ve 8 Portlarını VLAN10'da Access Port olarak Yapılandırdım. F0/7 - 8 Portları Wireless AP'lere Bağlanıyor, Peki Neden F0/6 Portunu da Yapılandırdığımı Düşünüyorsunuz? Bunun Nedeni Daha Sonra WLC1'in GUI'sine Erişmek için Bilgisayarımı F0/6 Portuna Bağlayacağım. WLC CLI'ya Doğrudan Console Port Üzerinden veya Telnet / SSH Kullanarak Ağ Üzerinden Bağlanabiliriz. Ancak WLC GUI'ye Console Port/Telnet/SSH Üzerinden Erişilemez. HTTP/HTTPS Kullanarak Bağlanmalısınız. WLC Yapılandırmaya Geçtiğimde Size Bunu Nasıl Yapacağınızı Göstereceğim.
SW1 F0/1 - 2 Portlarını Static LAG, Static EtherChannel olarak Yapılandırdım. WLC'nin Yalnızca Static LAG Desteklediğini, PAgP veya LACP Desteklemediğini Unutmayın.
Son olarak port-channel 1 Portunu Trunk olarak Yapılandırdım ve VLAN10, 100, 200'e İzin Verdim.
Her VLAN için SVI Yapılandırdım. Bunlar Subnet'ler için Default Gateway olarak Kullanılacaktır.
Ardından Her VLAN için DHCP Pool Yapılandırdım ve default-router Komutunu Kullanarak Her Subnet için Default Gateway olarak SW1'in SVI IP Adreslerini Belirttim.
Wireless AP'ler, WLC ile İletişim Kurmak için IP Adreslerini VLAN10 DHCP Pool ile Alacaktır. VLAN10 DHCP Pool Yapılandırırken Ek Bir Komut Kullandık: option 43 ip 192.168.1.100
DHCP Option 43, Wireless AP'lere WLC'nin IP Adresini Söylemek için Kullanılır.
Wireless AP, SW1'den IP Adres Aldığında Option 43 Sayesinde WLC'nin 192.168.1.100 Adresinde Olduğunu Bilecek ve WLC ile İletişim Kurmaya, CAPWAP Tunnel Oluşturmaya Çalışacaktır. Bu Durum Aslında Gerekli Değil, Çünkü Wireless AP ve WLC Aynı Subnet / VLAN'dadır.
Wireless AP, Subnet İçinde Herhangi Bir WLC olup olmadığını Kontrol Etmek için Broadcast CAPWAP Discovery Mesajları Gönderir. WLC, Bu Broadcast Mesajları Duyacaktır, Böylece Wireless AP'ler WLC'ye Katılabilecektir.
Ancak WLC, Wireless AP'lerden Broadcast CAPWAP Discovery Mesajlarını Duyamayacağı Bir Yerde Bulunuyorsa DHCP Option 43 Gerekli olabilir. CCNA Sınavı için DHCP Option 43'ü Unutmayın.
VLAN100 ve VLAN200 DHCP Pool, Internal ve Guest WLAN'a Bağlı olan Kablosuz Cihazlar Tarafından Kullanılacaktır.
Switch'de Kullandığım Son Komut: ntp master
Bu Komut Switch'i NTP Server Yapacaktır ve Daha Sonra WLC'de SW1'i NTP Server olarak Yapılandıracağız.
WLC Initial Setup
Şimdi WLC'yi Yapılandıralım.
WLC'nin Henüz GUI'sine Bağlanamıyorum. Önce Console Portuna Bağlanıp CLI'de Bazı Temel Kurulumlar Yapılması Gerekiyor.
WLC İlk Açıldığında Yapılandırma Sihirbazı ile Karşılaşacaksınız.
WLC Temel Kurulumunun Yapılması için Aslında Herhangi Bir CLI Komutunu Bilmenize Gerek Yoktur, Sihirbaz Size Yol Gösterecektir.
İlk olarak Otomatik Yüklemeyi Sonlandırmak İsteyip İstemediğimi Soruyor. Autoinstall, WLC Yapılandırmasını TFTP Server'dan Otomatik olarak İndirmek için Kullanılabilir. Bunu Yapmayacağım, Bu Yüzden Atlamak için Enter Tuşuna Basıyorum. Köşeli Parantez İçindeki Değer Varsayılandır. 'Yes' Yazmanıza Gerek yok, Sadece Enter'a Basarsanız Kabul Edilecektir.
Ardından WLC System Name (Host Name) ve Daha Sonra Cihaza Giriş Yapmak için Kullanacağım Username / Password Girdim.
Ardından LAG Etkinleştirmek İsteyip İstemediğimi Soruyor. Köşeli Parantez İçinde 'yes' ve 'NO' olmak Üzere İki Seçenek olduğuna Dikkat Edin. Ancak 'NO' Büyük Harflerle Yazılmış, Bu Nedenle Varsayılandır. Enter'a Basarsam Cihaz 'NO' Demek İstediğimi Varsayar. Switch'e Bağlanmak için bir LAG Kullanacağım, Bu Yüzden 'yes' Yazarak Devam Ettim.
Ardından Management Interface için Bazı Değerler Giriyorum. Bu Fiziksel Port Değildir. WLC'deki Sanal Porttur. 192.168.1.100 IP Adresi, /24 Subnet Mask ve Default Gateway (SW1 VLAN10 SVI) IP Adresini (192.168.1.1) Verdim. VLAN Identifier: 10 ve DHCP Server için SW1'in IP Adresini (192.168.1.1) Verdim.
WLC'nin Temel Kurulumuna Devam Edelim.
En Üstteki Üç Seçenek, CCNA Sınavı için Bilmeniz Gerekenlerin Biraz Ötesinde, Ama Kısaca Açıklayalım.
Virtual Gateway IP Address, WLC, Kablosuz Cihazlar ile Doğrudan İletişim Kurduğunda Kullanılır.
Multicast IP Address, WLC, Trafiği Wireless AP'lerine Yönlendirirken Kullanılır. Multicast Adresler için Ayrılmış Class D Aralığından Bir IP Adres Seçtim.
Mobility/RF Group Name, Birden Fazla WLC Olduğunda ve Bunların Birlikte Çalışması Gerektiğinde Kullanılır.
Kurulumda Bir Sonraki Adımda SSID'den Başlayarak Wireless LAN Yapılandırmanızı İster.
Bunun GUI'de Nasıl Yapılacağını Yakında Göreceğiz, Ancak Önce Bu Yapılandırma Sihirbazında Bir Tane Yapılandırmamız Gerekiyor.
SSID: Internal ve Ardından DHCP Bridge Modunu Devre Dışı Bırakarak ([NO]) İlerliyorum.
Kablosuz Cihazların DHCP İstek Mesajları DHCP Server'a, SW1'e Ulaşması için Önce WLC'den Geçmesi Gerekir. DHCP Bridge Modu Etkinleştirilirse WLC, Kablosuz Cihazlar için Tamamen Şeffaf Hale Gelir. Kablosuz Cihazlar Doğrudan DHCP Server ile İletişim Kuruyorlarmış gibi Görünecektir. Ancak Burada Bu Gerekli Değil, Bu Yüzden Devre Dışı Bıraktım.
Sonraki Ayar için Varsayılanı Kabul Ediyorum ([YES]), Static IP Adreslerine İzin Veriyorum. Bu, Kablosuz Cihazların İsterlerse Static IP Adres Kullanmalarına İzin Verildiği Anlamına Gelir. DHCP Kullanmak Zorunda Değiller.
Son olarak RADIUS Server Yapılandırmamayı Seçiyorum ve Bana Bir Uyarı Veriyor:
Default WLAN security policy required a RADIUS server (Default WLAN Güvenlik Politikası, bir RADIUS Server gerektirir).
WLAN Güvenlik Politikasını Pre-Shared Key (PSK) ile Değiştireceğiz, Bu Nedenle RADIUS Server Yapılandırmamız Gerekmiyor.
Daha Sonra Ülke Kodu veya Ülke Kodları Listesi Girmeniz Gerekir. Bu Durumda Fransa için FR Girdim. Türkiye için TR Yazmanız Gerekir.
Not: Avrupa Bölgesinden Bir Ülke Kodu Girecekseniz Wireless AP Model Numarasının -E ile Bittiğine Dikkat Edin, Aksi Halde Wireless AP WLC'ye Katılamaz. -E, Regulatory Domain Anlamına Gelir. Örneğin Kanada veya Amerika için Wireless AP Model Numarası -A ile Biter. Bu Nedenle Model Numarası -A ile Biten Wireless AP'lerde Avrupa Bölgesinden Ülke Kodu Girerseniz Wireless AP, WLC'ye Katılamaz. Cihaz Modellerine göre Ülkelerin Regulatory Domain Bilgisine Ulaşmak için Tıklayın.
Temel WLC Kurulumunun Son Bölümü:
Auto-RF, WLC'nin Hangi Kanalları ve Ne Kadar Transmit Power Kullanacağını Otomatik olarak Belirlemesini Sağlar. Auto-RF ve 802.11b, a, g Etkinleştiriyorum.
Daha Sonra NTP Ayarlarını Yapılandırdım, Böylece WLC Doğru Zamana Sahip olacaktır.
Ayarları Kaydediyorum ve Cihaz Resetleniyor.
WLC'nin İlk Kurulumu Tamamlandı ve WLC, Management VLAN'da (VLAN10) IP Adrese Sahip. Bu Nedenle Bilgisayarımı WLC'nin Console Portuna Bağlayıp CLI Kullanmak Yerine Switch'in F0/6 Portuna Bağlayacağım.
SW1 F0/6 Portunu Management VLAN olan VLAN10'da Yapılandırmıştık. Artık Web Tarayıcısında WLC'nin GUI'sine Erişmek için HTTP veya HTTPS Kullanabiliriz.
Accessing the WLC GUI
Web Tarayıcısına WLC1'in IP Adresini (192.168.1.100) Giriyorum. Ancak Bağlantının Gizli olmadığına Dair Bir Uyarı Alıyorum.
Bu Uyarı, PC'nin WLC'deki Sertifikaya Güvenmediği Anlamına Geliyor. Ama Bu Bir Sorun Değil. Advanced Butonuna Tıklayın ve 192.168.1.100'e Gitme Seçeneğini Seçin. Bir Web Sitesini Ziyaret Ederken Tarayıcınız Size Böyle Bir Uyarı Veriyorsa Dikkatli olmalısınız, Ancak LAN İçindeki WLC'ye Bağlanıyoruz, Bu Nedenle Burada Bir Sorun Yok.
Cisco WLC Giriş Ekranı:
Login Butonuna Tıklıyorum.
Daha Önce İlk Kurulumda Yapılandırdığım Username / Password Bilgilerini Giriyorum.
WLC Dashboard
WLC'nin Hangi Portlarının Açık (Yeşil), Hangilerinin Kapalı (Kırmızı) olduğunu Görebilirsiniz. İki Yeşil Port Bir LAG oluşturuyor ve Switch'e Bağlı.
Controller Summary Bölümünde Management IP, Software Version, System Name, Up Time, Sıcaklık, CPU ve RAM Kullanımı gibi WLC ile İlgili Bilgilerin Özeti Bulunmaktadır.
Access Point Summary Bölümünde WLC'ye Katılan Wireless AP'lerin Özeti Bulunmaktadır. Her İki Wireless AP'nin de Katıldığını Görüyoruz.
Şimdi WLC Üzerinde Bazı Yapılandırmalar Yapalım.
WLC Interface'lerini Görüntülemek ve Yapılandırmak için CONTROLLER / Interfaces Sekmesine Tıklayın.
Çoğu Yerde Port ve Interface Terimlerini Birbirlerinin Yerine Kullanabiliriz.
WLC Yapılandırmasında Port Terimi, Kabloların Bağlandığı Fiziksel Port ve Interface Terimi, Cihaz İçindeki Mantıksal / Sanal Interface Anlamına Gelir. (Switch'deki SVI gibi).
WLC Port / Interface
WLC Port Types
Service Port
- Management Trafiğini Normal Veri Trafiğinden Tamamen Ayrı Tutmak için Kullanılan Fiziksel Porttur (Bant Dışı Yönetim). Kullandığımız WLC'de Service Port Yoktur. Bu Nedenle Management Trafiği, Normal Veri Trafiği ile Aynı Fiziksel Portları Kullanıyor.
- Service Port, Yalnızca Bir VLAN Desteklediğinden Switch Access Porta Bağlanmalıdır. Service Port; Önyükleme Yapmak (Booting), Sistem Kurtarma gibi İşlemleri Gerçekleştirmek için de Kullanılabilir.
Distribution System Port
- Kablolu Ağa (Distribution System) Bağlanan ve Veri Trafiği için Kullanılan Standart Portlardır.
- Bu Portlar Genellikle Switch Trunk Portlara Bağlanır ve Birden Fazla Distribution System Port Kullanılıyorsa Ağımızda olduğu gibi LAG Oluşturulabilir.
Console Port
- Standart Console Portudur, RJ45 veya USB olabilir.
Redundancy Port
- Yüksek Kullanılabilirlik (High Availability (HA)) Oluşturmak Üzere Başka Bir WLC'ye Bağlanmak için Kullanılan Porttur. WLC'lerin Birinde Sorun oluşursa Diğeri Ağı Desteklemeye Devam Eder.
Kullandığımız WLC Biraz Eski, Bu Yüzden Sadece Bir adet RJ45 Console Port ve Dört adet Distribution System Porta Sahip.
Soldaki Kırmızı Bölüm Console Port, Ortadaki Kırmızı Bölüm ise Distribution System Portlarıdır. Mor Bölümde Reset Düğmesi ve Bazı Durum LED'leri Var. Diğer Portları Göstermek için Daha Modern Bir Cisco WLC'ye Bakalım.
WLC Pair
1. Service Port.
2. Console Port (RJ45).
3. Console Port (USB).
4. USB. Dosyaları WLC'ye Aktarmak için Kullanılır (Örneğin İşletim Sistemini Güncellemek için).
5. Distribution System Port (Multi-Gigabit). 1-Gig ve Üstündeki Hızları Destekler.
6. Distribution System Ports (1-Gig). Normal 1 Gig Portlarıdır.
7. Reset Button
8. Status LEDs
9. Redundancy Port. İki WLC'yi Redundancy Port ile Bağlayabilirsiniz ve Bunlar Yedekli olarak Çalışabilirler.
WLC Interface Types
Management Interface
- CLI'ya Erişmek için Telnet / SSH Bağlantıları, GUI'ye Erişmek için HTTP/HTTPS Bağlantıları, RADIUS Authentication, Syslog gibi Management Trafiği için Kullanılır. CAPWAP Tunnel, Management Interface ile Oluşturulur.
- WLC'nin GUI'sine 192.168.1.100 Management IP Adresi ile Eriştik.
Redundancy Management Interface
- İki WLC'yi Redundancy Portlar ile Birbirine Bağladığımızda Biri Active, Diğeri Standby Durumuna Geçer.
- Active WLC'yi Yönetmek için Management Interface, Standby WLC'yi Yönetmek için ise Redundancy Management Interface Kullanılır.
Virtual Interface
- WLC'nin İlk Kurulumunu Yaparken Virtual Gateway IP Address (172.16.1.1) Yapılandırmıştık. Bu Interface, Doğrudan Kablosuz Cihazlar ile İletişim Kurmak için Kullanılır.
Service Port Interface
- WLC'nin Servis Portu Kullanılıyorsa Bu Interface Ona Bağlanır ve Management Interface Yerine Kullanılır.
Dynamic Interface
- Wireless LAN'ı Bir VLAN'a Eşlemek için Kullanılan Interface'dir. Örneğin Internal WLAN'dan Gelen Trafik, WLC'nin Internal Dynamic Interface'inden (VLAN 100) Kablolu Ağa Gönderilecektir.
WLC Configuration
GUI'ye Geri Dönelim ve Wireless LAN'larımız için Kullanılacak İki adet Dynamic Interface Yapılandıralım.
Aşağıdaki Resimde Yine CONTROLLER / Interfaces Ekranı Var.
Yeni Bir Interface oluşturmak için New Butonuna Tıkladım.
İlk Önce Internal WLAN için Dynamic Interface oluşturacağım ve Onu VLAN100 ile Eşleştireceğim. Daha Sonra Apply Butonuna Tıkladım ve Daha Fazla Ayrıntı Girebileceğim Aşağı Resimdeki Ekrana Getirildim.
VLAN Identifier, Önceki Ekranda Zaten 100 olarak Ayarlanmıştı. IP Address, Netmask, Gateway ve DHCP Server Adres Bilgilerini de Girdim. Buraya Girmem Gereken Bilgiler Sadece Bunlar, Bu Nedenle Apply Butonuna Tıkladım.
Böylece artık 'Internal' Adlı Dynamic Interface oluşturuldu. Daha Sonra Bu Dynamic Interface'i Internal WLAN ile Eşleyeceğim.
Şimdi Guest WLAN için Dynamic Interface oluşturacağım ve Onu VLAN200 ile Eşleştireceğim. Yeniden New Butonuna Tıkladım.
WLAN'ları Görüntülemek ve Yapılandırmak için WLANs Sekmesine Tıklayın.
Burada Zaten Mevcut olan Bir WLAN Var, Internal WLAN. WLC'nin İlk Kurulumunda Internal WLAN'ı Yapılandırmıştık. Ancak Yine de Bu WLAN'da Bazı Değişiklikler Yapmamız Gerekiyor.
En Sağdaki Security Policies Sütununa Bakın. 802.1X Authentication (WPA Enterprise Mode) olarak Yapılandırılmış. Ancak CCNA Sınavı için PSK (Pre-Shared Key) Authentication (WPA Personal Mode) olarak Yapılandırmamız Gerekiyor.
Soldaki 1 Numaralı WLAN ID'ye Tıklarsam Bu WLAN'ı Düzenleyebilirim.
Profile Name: Internal, Type: WLAN, SSID: Internal, Status: Enabled. Hepsi İyi Görünüyor.
Security Policies: [WPA2][Auth(802.1X)]. Bunu Değiştirmem Gerekecek, Ama Bu Security Sekmesinde Yapılır, Burada Değil.
Interface/Interface Group(G): management. Şu anda Internal WLAN, Management Interface ile Eşlenmiştir. Bu Doğru Değil, Internal Dynamic Interface ile Eşlenmelidir.
Şimdi Security Sekmesine Gitme ve Güvenlik Politikasını 802.1X Yerine PSK Kullanacak Şekilde Değiştirme Zamanı. İşte Security Sekmesi:
İlk olarak Layer 2 Security Ayarına Dikkat Edin. CCNA Sınavı için WPA+WPA2 Seçmemiz Gerekiyor.
Referans olması için WLC'de Bulunan Layer 2 Security Seçenekleri Burada:
WPA3 Desteklenmediğine Dikkat Edin. Sorun Değil, CCNA Sınavı için WPA2 Kullanmamız Gerekiyor.
Security Sekmesindeki Authentication Key Management Bölümüne Bakın. 802.1X Seçili. Değiştirmek İstediğimiz Bu, PSK olmalı. Bu Nedenle 802.1X Seçimini Kaldırdım ve Bunun Yerine PSK Seçtim.
PSK Formatının ASCII veya HEX olarak Belirtilebileceğine Dikkat Edin.
- HEX, MAC Adresleri ve IPv6 Adresleri için Öğrendiğimiz Sayı Sistemi olan Hexadecimal Anlamına Gelir.
- ASCII, Normal Harfler, Sayılar ve Semboller Kullanarak Şifrenizi Girebileceğiniz Anlamına Gelir.
ASCII Seçtim ve Bir Şifre Girip Apply Butonuna Tıkladım.
Herhangi Bir Layer 3 Security Yapılandırmayacağız, Ancak Referans olması için Layer 3 Sekmesini Kontrol ettim ve WLC'nin Web Policy Adlı Bir Şeyi Desteklediğini Görebilirsiniz.
Web Authentication: Kablosuz Cihaz IP Adres Aldıktan Sonra İnternete Erişmeye Çalıştığında Kimliğini Doğrulamak için Kullanıcı Adı / Parola Girmesi Gerekir.
Web Passthrough: Yukarıdakine Benzer, Ancak Kullanıcı Adı / Parola Gerekmez. Bunun Yerine Uyarı veya İfade Görüntülenir ve Kullanıcının İnternete Erişmeyi Kabul Etmesi Yeterlidir.
Bu Layer 3 Authentication Yöntemlerinin Herhangi Birinde Layer 2 Authentication Sadece Open Authentication olabilir. Bu, Örneğin Bir Kafede Halka Açık Wi-Fi için Yaygındır.
Bunların Hiç Birini Yapılandırmayacağız, Bu Nedenle Web Policy Etkinleştirmeden Devam Edelim.
AAA Server Sekmesi var, Ancak PSK Authentication Kullandığımız için RADIUS Server gibi Bir şey Kurmaya Gerek Yok.
Şimdi QoS Sekmesine Geçelim.
Varsayılan QoS Ayarı: Silver (Best Effort)
Mevcut Seçenekler:
Voice Trafiği için Platinum Kullanılmalıdır (Örnek: Wi-Fi IP Phone).
Video Trafiği için Gold Kullanılmalıdır.
Bronze = Background (En Düşük Öncelik)
Kablosuz Cihazlara Hangi QoS Ayarının Sağlanacağını Bu Şekilde Kontrol Edebilirsiniz. Bu Durumda Silver'da Bırakacağım, Ancak CCNA Sınavı için Bu Dört QoS Ayarını Kesinlikle Bilin.
Şimdi Advanced Sekmesine Göz Atalım.
Bu Sekmede Birçok Farklı Ayar Vardır. Örneğin İzin Verilen Maksimum Cihaz Sayısını (Maximum Allowed Clients) Yapılandırabilirsiniz. Ayrıca FlexConnect Özelliğini de Etkinleştirebilirsiniz.
Bu Gelişmiş Ayarlara Dokunmayacağım, Bu Yüzden WLAN'ı Düzenlemeyi Bitirmek için Apply Butonuna Tıkladım.
Internal WLAN Tamamlandı. Guest WLAN oluşturmak için Go Butonuna Tıkladım.
Bu Sefer Yeni Bir WLAN oluşturduğumuz için Önce Profile Name, SSID ve ID Belirtmemiz Gerekir.
Profile Name, WLC'de WLAN'ı Tanımlamak için Kullanılır ve Genellikle SSID ile Aynı Yaparsınız. Yine de Profile Name ve SSID'nin Aynı olması Gerekmez.
ID, WLAN'ı Tanımlayan Benzersiz Numaradır. Internal WLAN ID 1'di, Bu Yüzden Bunu 2 Yapacağım. Apply Butonuna Tıklayarak İlerleyelim.
Internal WLAN'ı Düzenlerken Tüm Ayarlarını Zaten Gösterdiğim için Bunu Hızlıca Geçeceğim. General Sekmesinde Değiştirmeniz Gereken İki şey Var.
İlk olarak Status. WLAN'ı Etkinleştirmeliyiz. İkinci olarak Guest WLAN'ı Daha Önce Oluşturduğumuz guest Adındaki Dynamic Interface ile Eşleştirmeliyiz.
Şimdi Yapmamız Gereken Diğer Tek Değişiklik, Security Sekmesinde PSK Kullanmak için Güvenlik Politikasını Değiştirmek. Bunu Önceden Gösterdim, O Yüzden Zaman Kaybetmeden Bunu Geçelim.
İki Adet WLAN'ımız Var, Internal WLAN ve Guest WLAN.
MONITOR Sekmesinden Dashboard Bölümüne Geri Dönelim ve Farklı Bir şey olup olmadığına Bakalım.
Client Summary Bölümünde Wireless AP'lerle İlişkili 0 Adet Client olduğunu Görebilirsiniz. Öyleyse Bunu Değiştirelim.
Guest ve Internal WLAN, IPhone Telefonumda Görünür Durumda. Bu Nedenle Birkaç Cihaz ile Bu WLAN'lara Katılacağım.
Şimdi Wireless AP'lerle İlişkili 3 adet Client olduğunu Görebilirsiniz.
Wireless AP'ler ile İlişkili Client'lerin Listesi için MONITOR / Clients Sekmesine Tıklayın.
Client'in IP Adresini, Hangi Wireless AP ile İlişkili olduğunu, Hangi SSID'yi Kullandığı gibi Bilgileri Görebilirsiniz.
WLC'ye Katılan Wireless AP'leri Görüntülemek ve Ayarlarını Yapılandırmak için WIRELESS Sekmesine Tıklayabilirsiniz.
Wireless AP'nin IP Adresi, Model Numarası, MAC Adresi gibi Bilgileri Görebilirsiniz.
Wireless AP İsmine Tıklayıp Ayarları Kontrol Edelim.
Burada Wireless AP Hakkında Birçok Bilgi ve Ayar Görebilirsiniz.
Kırmızı Bölüme Bakın, AP Mode: local
Yukarıdaki Resimde Gördüğümüz AP Modlarından daha önceki yazıda Bahsetmiştik. Varsayılan Ayar olan Local Modunda Bırakacağım.
Yönetim Ayarlarını (SNMP, Syslog, HTTP / HTTPS, Telnet / SSH, vb.) Görüntülemek ve Yapılandırmak için MANAGEMENT Sekmesine Tıklayabilirsiniz.
İlk olarak Yönetim Ayarlarının Özetini Görebilirsiniz. Örneğin SNMPv1 Devre Dışı Bırakılmış, Ancak SNMPv2 ve SNMPv3 Etkin. Syslog Devre Dışı. HTTP/HTTPS Bağlantıları Etkin. Telnet Bağlantıları Devre Dışı. Bunu Kanıtlamak için Bilgisayarımdan WLC'ye Telnet Denedim, Fakat Başarısız oldu.
Telnet Güvenli Bir Protokol Değildir, Bu Nedenle Devre Dışı Bırakmak En İyisidir.
SSH Etkin.
Management via Wireless is Disabled. Kablosuz Cihazın WLC'ye Bağlanıp Onu Yönetemeyeceği Anlamına Gelir. Yalnızca Kablolu Ağa Bağlı Bir Cihaz WLC'ye Bağlanıp Yönetebilir. Kenar Çubuğundaki Mgmt via Wireless Sekmesine Tıklayarak Bu Ayarı Değiştirebilirsiniz.
Bu Ayarı Kırmızı Bölümdeki Kutuyu İşaretleyerek ve Ardından Apply Butonuna Tıklayarak Değiştirdim. Kablosuz Cihaz, Örneğin Wi-Fi Kullanan Laptop, WLC'ye Bağlanabilecek ve Yapılandırma Değişiklikleri Yapabilecektir.
ACL Yapılandırmak için SECURITY / Access Control List Sekmesine Tıklayabilirsiniz.
WLC'ye Erişilmesini Sınırlamak için ACL Yapılandıralım. Şuanda Hiç ACL Yok, Bu Yüzden Yeni Bir Tane oluşturmak için New Butonuna Tıkladım.
ACL İsmini 'MANAGEMENT_ACL' olarak Belirledim ve Türünü Varsayılan olarak IPv4 olarak Bıraktım. İlerlemek için Apply Butonuna Tıkladım.
ACL oluşturuldu, Ancak Gördüğünüz gibi Bir Kuralı Yok. Yeni Bir Kural Eklemek için Add New Rule Butonuna Tıklayın.
Sequnce Number, Source and Destination IP Address, Protocol, DSCP Marking, Direction gibi Bilgileri Belirletebilirsiniz. Sequnce Number, Source / Destination IP Address Belirttim ve Ardından Kuralı Eklemek için Apply Butonuna Tıkladım. İki adet Kural Daha Eklemek için Bu İşlemi Tekrar Ettim ve Şimdi Bu ACL'de Üç adet Kural Var.
Sadece 192.168.1.0/24 (VLAN 10) ve 10.0.0.0/24 (VLAN 100) Subnet'lerine İzin Verdim. Bu Subnet'lerin Dışından Gelen Herhangi Bir Yönetim Trafiği Kabul Edilmeyecektir.
Yapılandırılan ACL'yi Uygulamak için SECURITY / CPU Access Control List Sekmesine Tıklayın.
WLC'ye Doğru Olan Yönetim Trafiğini Sınırlamak için ACL'yi Uygulayalım.
ACL'yi Uygulamak için Enable CPU ACL Seçeneğini İşaretledim ve Listeden Uygun ACL'yi Seçtim. Sonrasında İşlemleri Kaydetmek için Apply Butonuna Tıkladım.
CPU ACL Nedir?
- WLC'nin İşlemcisine (CPU) Erişimi Sınırlamak için Kullanılır. Örnek: Hangi Cihazların Telnet/SSH, HTTP/HTTPS Aracılığıyla WLC'ye Bağlanabileceğini, WLC'den SNMP Bilgilerini Alabileceğini, vb. Sınırlamak.
- CPU ACL, WLC'den Geçen Trafiği Etkilemez, Yalnızca Doğrudan WLC'ye Giden Trafiği Etkiler.
WLC'de Daha Çok Fazla şey Var, Ancak CCNA için İhtiyacımız olanı Aldık.
CCNA için Pratik yapmak için Packet Tracer'daki WLC ve Wireless AP'leri Kullanabilirsiniz. Ancak WLC ile Neler Yapabileceğinizi Gerçekten Keşfetmekle İlgileniyorsanız Muhtemelen Benim Yaptığım gibi Fiziksel LAB Kullanabilirsiniz.
Ele Aldığımız Konular (Özet)
İlk olarak Bu Yazı için Kullandığımız Ağ Topolojisini Tanıttım.
Ardından Switch Üzerinde Yapılandırdığım IP Adresleri, Port Ayarları, DHCP Pools gibi Yapılandırmaları Gösterdim.
GUI'ye Erişmek için Gerekli olan Temel WLC Kurulumunu Gösterdim. Ardından WLC Interface'lerinin Nasıl Yapılandırılacağını Gösterdim.
Fiziksel Port ve Mantıksal Interface Arasındaki Farkı Gösterdim. Şimdiye Kadar Her Zaman Port ve Interface Terimlerini Birbirlerinin Yerine Kullandık, Ancak WLC'den Bahsederken Spesifik olmalısınız.
Daha Sonra WLC'de WLAN'ların Nasıl Yapılandırılacağını Gösterdim. Internal ve Guest WLAN'ı Yapılandırdık.
Son olarak WLC'ye Doğru olan Management Trafiğini Sınırlamak için CPU ACL'nin Nasıl Yapılandırılacağı gibi Bazı Ek Özelliklere Baktık.
Quizs
Cevaplar (Sırası ile):
- b
- a
- d -> Web Authentication, WLAN'ın Layer 3 Security Sekmesi Altında Yapılandırılabilir. Kullanıcıların İnternet'e Erişmelerine İzin Verilmeden Önce Kullanıcı Adı / Parola ile Kimlik Doğrulama Yapmasını Gerektirir.
- b
- b
){kind=link}
Yorum Gönder
Yorum Gönder