In diesem Beispiel kann der Access Point den WLAN-Controller per IP-Adresse ansprechen. Image Added In diesem Beispiel schlägt die DNS-Auflösung fehl, da der DNS-Name auf dem verwendeten DNS-Server nicht bekannt ist. → In diesem Fall muss der DNS-Name WLC-Address auf dem lokalen DNS-Server bekanntgegeben werden. Image Added
Die Kommunikation zwischen Access Point und WLAN-Controller wird durch eine Firewall blockiert:Zur Kommunikation zwischen Access Points und dem WLAN-Controller wird CAPWAP (UDP-Port 1027) und für den Zertifikatsbezug HTTP (TCP-Port 80) verwendet. Zu Diagnosezwecken sind zusätzlich die Protokolle ICMP (Ping), SSH (TCP-Port 22) und Telnet über SSL (TCP-Port 992) erforderlich. Wenn ein Access Point sich in einem entfernten Netzwerk befindet (etwa per VPN angebunden) und eine Firewall die Kommunikation regelt, kann es vorkommen, dass die Kommunikation über CAPWAP und HTTP nicht erlaubt ist. In diesem Fall kann der Access Point nicht mit dem WLAN-Controller kommunizieren! Daher muss sichergestellt werden, dass CAPWAP und HTTP in der Firewall für die Kommunikation zwischen Access Point und WLAN-Controller erlaubt werden. Info |
---|
Bei Verwendung einer Firewall eines Fremdherstellers konsultieren Sie bitte die Dokumentation oder wenden sich an den jeweiligen Hersteller. |
Einrichtung der notwendigen Firewall-Regeln auf einer LANCOM R&S®Unified Firewall: In diesem Beispiel sollen Access Points in einem per VPN angebundenen Netzwerk (Außenstelle) mit der Zentrale kommunizieren können. Die Konfiguration wird dabei anhand der Unified Firewall in der Außenstelle beschrieben. Die Konfiguration der Zentrale gestaltet sich analog. Dort kann bei Bedarf statt des Netzwerk-Objekts ein Host-Objekt für den WLAN-Controller verwendet werden. 1. Öffnen Sie die Konfiguration der Unified Firewall im Browser, wechseln in das Menü Desktop → Dienste → Benutzerdef. Dienste und klicken auf das "Plus-Symbol", um einen benutzerdefinierten Dienst zu erstellen. Image Added 2. Erstellen Sie zuerst einen benutzerdefinierten Dienst für das Protokoll CAPWAP. Vergeben Sie dazu einen aussagekräftigen Namen und klicken auf das "Plus-Zeichen", um in das Menü Ports und Protokolle zu gelangen. Image Added 3. Passen Sie die folgenden Parameter an und klicken auf OK: - Tragen Sie bei Port von und Bis jeweils den Port 1027 ein.
- Wählen Sie das Protokoll UDP (User Datagram Protocol) aus.
Image Added 4. Klicken Sie auf Erstellen. Image Added 5. Erstellen Sie anschließend einen weiteren benutzerdefinierten Dienst für das Protokoll Telnet über SSL. Vergeben Sie dazu einen aussagekräftigen Namen und klicken auf das "Plus-Zeichen", um in das Menü Ports und Protokolle zu gelangen. Image Added 6. Passen Sie die folgenden Parameter an und klicken auf OK :- Tragen Sie bei Port von und Bis jeweils den Port 992 ein.
- Wählen Sie das Protokoll TCP (Transmission Control Protocol) aus.
Image Added 7. Klicken Sie auf Erstellen. Image Added 8. Klicken Sie auf dem Desktop auf das VPN-Netzwerk, wählen das Verbindungswerkzeug aus und klicken auf das Netzwerk-Objekt, in dem sich die Access Points befinden. Image Added 6. Wählen Sie auf der rechten Seite über die "Plus-Zeichen" folgende Protokolle und Dienste aus: - Für den Betrieb erforderlich:
- CAPWAP (siehe Schritt 2 - 4)
- HTTP
- Für die Fehler-Analyse erforderlich:
- Telnet-SSL (siehe Schritt 5 - 7)
- Ping
- SSH
Image Added Image Added 7. Klicken Sie auf Erstellen, um die Firewall-Regel anzulegen. Image Added 8. Klicken Sie auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden. Image Added 9. Wiederholen Sie die Schritte gegebenenfalls für die Unified Firewall in der Zentrale.
Die Übertragung des Zertifikats ist aufgrund unterschiedlicher Paketgrößen nicht möglich:Das Zertifikat, welches der Access Point vom WLAN-Controller bezieht, muss als Ganzes übertragen werden und darf nicht fragmentiert werden. Dazu wird auf dem WLAN-Controller das don't fragment Bit gesetzt. Wird das Zertifikat bei der Übertragung von einem anderen Router doch fragmentiert, ist das Zertifikat nicht mehr funktionsfähig und der Access Point kann nicht verwaltet werden. Ebenso kann der Access Points nicht verwaltet werden, wenn das Zertifikat nicht übertragen wird. Werden Access Points in einem entfernten Netzwerk per VPN an den WLAN-Controller angebunden, kann es aufgrund unterschiedlicher Maximum Segment Sizes (MSS) dazu kommen, dass das Zertifikat nicht oder nur fehlerhaft übertragen werden kann. In diesem Fall muss auf den VPN-Routern die Funktion MSS Clamping aktiviert werden. Info |
---|
Ein solches Verhalten kann ausschließlich mit Geräten eines Fremdherstellers auftreten. Auf LANCOM Routern ist die Aktivierung des MSS Clamping nicht erforderlich. |
Weiterführende Schritte: Erstellen von TracesSollte der Access Point nach Prüfung der oben beschriebenen Schritte und gegebenenfalls vorgenommenen Änderungen weiterhin keine WLAN-Konfiguration vom WLAN-Controller beziehen, müssen zur weiteren Analyse Traces auf einem betroffenen Access Point sowie dem WLAN-Controller erstellt werden. Bei der Erstellung der Traces ist zu beachten, dass diese zeitgleich auf dem WLAN-Controller und einem betroffenen Access Point im Fehlerfall erstellt werden müssen.
Trace auf dem WLAN-Controller: View file |
---|
name | WLC-Analyse.lcg |
---|
height | 250 |
---|
|
Tragen Sie bei dem CAPWAP-CTRL Trace im Feld Filter die IP-Adresse eines betroffenen Access Points ein (in diesem Beispiel 192.168.100.25), damit die Trace-Ausgaben auf diesen Access Point beschränkt werden. Image Added
Trace auf einem Access Point mit LCOS: View file |
---|
name | AP-Analyse.lcg |
---|
height | 250 |
---|
|
Trace auf einem Access Point mit LCOS LX: Verbinden Sie sich per Konsole (SSH) mit dem Access Point und geben die folgenden Befehle ein. Speichern Sie die Konsolen-Ausgaben anschließend als Text-Datei ab. |