Trần Mỹ Phúc tranmyphuc1988@gmail.

com

Cấu hình Mô hình mạng có dùng thêm

Wlan Controller
I./ Mạng không dây phát triển nhờ vào nhu cầu của con người !!!
Yêu cầu của doanh nghiệp dành cho 1 nhà triển khai và thiềt kế mạng như sau :
1) Anh ta rất ghét sự bề bộn và vướng víu của mạng có dây và quan trọng hơn hết , anh ấy muốn mọi lúc
mọi nơi đều có thể truy cập dữ liệu của công ty và vào được internet. (lưu ý là trong phạm vi tối đa có
thể được )

1.1 ) Nếu như doanh nghiệp ấy nhỏ , không yêu cầu nhiều lắm về tốc độ và khoảng cách quản trị
không xa lắm , ta có thể triển khai một mạng Adhoc (Có 2 cách làm , chúng ta sẽ thảo luận ở bài
sau). Yêu cầu tối thiếu và duy nhất : chỉ cần 1 máy có 2 card mạng : “card Lan đi internet và
Wireless Card.”+ hệ thống mạng gồm các PC có Wireless Card.
1.2 ) Doanh nghiệp ấy vừa và nhu cầu mở rộng , chính sách quản trị hệ thống không cao lắm , ta có thể
giới thiệu cho họ , mô hình đơn giản sau : gồm 1 Access Point (AP) + hệ thống máy tính có card
wireless (tối đa nên dùng là 15 máy) +( một sever ACS gắn vào cổng fa0 của AP để bảo mật ).
Ngoài ra , ta cũng có thể dùng những phương pháp bảo mật như Filter Mac, Wep,Wap ….ngay
trên AP. (Chúng ta sẽ nói về vần đề này ở bài sau). Hạn chế :”Chúng ta phải biết cấu hình AP”.

2) Tuy nhiên , nếu như anh ta có một vài yêu cầu thêm:

2.1) Tôi rất ghét sự bề bộn và phức tạp, doanh nghiệp của tôi là một doanh nghiệp lớn rất cần một
mạng Wireless đảm bảo được tính hệ thống + dễ quản lí + dễ mở rộng + Chính sách bảo mật thật tốt!!!
2.2) Quan trọng hơn hết là chúng ta làm sao thiết kế 1 mạng như thế nào mà bất cứ ai (kể cả anh ta ) ,
không biết gì về Wireless cũng có thể , mở rộng thêm một mạng mới bằng cách rất đơn giản :”Gắn AP
vào một port của Switch !!!”

Cuối cùng để giải quyết vấn đề trên , nhất là nguyên nhân 2.2 , tưởng như không thể nhưng vẫn có cách !!!
Đó là mô hình chủ yếu gồm các LightWeight Access Point (LAP) + Wireless Lan Controller (WLC) .
Như vậy , AP mà ta nói đến ở 2.2 ) chính là LAP (nó không cần phải cấu hình chỉ cấm dây vào mạng
là tự chạy)

Một điểm lưu ý : Ta có thể thuyết phục khách hàng rằng , để đảm bảo yêu cầu 2 ở trên , nhất là 2.2) (cái
này ai cũng biết lí do tại sao nó tồn tại!!!), rằng anh có thể cho chúng tôi làm người cung cấp LAP( tức
nhiên nó sẽ cao giá hơn AP bình thường rồi) nếu như công ty cần mở rộng thêm.

Trang 1
Trần Mỹ Phúc tranmyphuc1988@gmail.com

II./ Topo mạng đơn giản nhất về mạng có Wireless Lan Controller (WLC):

Sau đây , tôi xin giới thiệu về Topo mạng đơn giản nhất về mạng có WLC, mà qua đó mọi người có thể
triển khai thêm cho phù hợp với yêu cầu của mình . Ví dụ như ta có thể gắn thêm Switch ở giữa Router
và LAP dưới đây để đáp ứng nhu cầu 2.2 ở trên , …..

Về phần gắn thêm Module cho thiết bị để tạo thành 2 trong 1 này có rất nhiều phương án . Ví dụ như ta có
thể gắn thêm module WLC vào Switch 6500 _khi đó Switch này sẽ đảm nhận nhiều việc : Định tuyến cho
Vlan thường và Wlan … hay gắn vào Router 2811 trở lên , như thiết bị dùng trong Topo Lab này!!!

Trang 2
Trần Mỹ Phúc tranmyphuc1988@gmail.com

Sau đây sẽ là mô hình , ta sẽ triển khai trong bài này

Trang 3
Trần Mỹ Phúc tranmyphuc1988@gmail.com
Một số chú thích trước khi bắt đầu bài Lab:
Để mọi người dễ hình dung sau đây là hình ảnh của Wireless Lan Module:

Khi dùng câu lệnh :show ip interface brief trong mode priviledge của Router 2811, ta sẽ thấy
interdace dùng để giao tiếp của WLCModule là :interface Wlan-controller 1/0

Để hiểu thêm về địa chỉ quản trị (IP manager + IP Ap-manager ) ta có thể tham khảo trong giáo trình
về Wireless của BCMSN. Đây là 2 interface mặc định (static) cần phải có cho WLC. Nhiệm
vụ chủ yếu 2 interface ấy là :

1. IP manager :dùng để quản trị toàn bộ WLC , cần phải có để cấu hình WLC bằng
giao diện Web. Ở bài Lab này là 192.168.1.24

2. IP AP-manager dùng để quản trị các LAP ở bài Lab này là 192.168.1.25

Trang 4
Trần Mỹ Phúc tranmyphuc1988@gmail.com
Ngoài những chú thích liên quan đến Topo mạng, tôi xin bổ sung thêm về các kiến thức
của :
1) DHCP

Trang 5
Trần Mỹ Phúc tranmyphuc1988@gmail.com

2) NAT
DHCP (Dynamic Host Control Protocol ) : Một giao thức dùng để cấp phát động địa chỉ
Ip cho một host.

NAT : (Network Address Translate): Dùng để chuyển đổi địa chỉ mạng nội bộ thành dịa
chỉ bên ngoài , nhắm mục đích giúp cho mạng nội bộ có thể truyền thông được với
Internet hay thế giới bên ngoài của mạng.

Trang 6
Trần Mỹ Phúc tranmyphuc1988@gmail.com
Bây giờ chúng ta bắt đầu cấu hình cho bài Lab

O1.) Bước dùng chung cho cả 2 cách cấu hình bằng “câu lệnh” và “bằng giao diện
Web”:
Bước 1 : Ta xóa hết tất cả cấu hình của các thiết bị (không cấn xóa cấu hình LAP)

1.) Đối với Router, ta vào mode privilege đánh câu lệnh : #erase start .Sau đó đánh tiếp
#reload
2.) Sau khi router đã khởi động trở lại ta cấu hình địa chỉ Ip cho interface wlan-
controller1/0 bằng câu lệnh :

(config-if)#ip address 192.168.1.1 255.255.255.0

(config-if)#no shut

3.)Sau đó , ta nhấn Ctrl+Z để trở vể mode priviledge và đánh tiếp câu lệnh
:#service wlan-controller 1/0 session
4..) Ta đã telnet vào WCLModule (để kết thúc phiên telnet ta nhấn kết hợp 3 phím Ctrl + Shilf + 6
, sau đó nhấn “x”, muốn vào lại WCL , ở mode priviledge của Router ta nhấn Enter 2 lần . Tiếp
theo ,khi vào cấu hình khởi động ,ta đánh user: cisco password :cisco . Sau đó ta sẽ vào dấu
nhắc như sau :“(Cisco Controller) >”.Gõ như hướng dẫn để xóa cấu hình của WLCModule.:

(Cisco Controller) >clear config

Are you sure you want to clear the configuration? (y/n) y
Configuration Cleared!
(Cisco Controller) >reset system
The system has unsaved changes.
Would you like to save them now? (y/N) n
Configuration Not Saved!
Are you sure you would like to reset the system? (y/N) y

Trang 7
Trần Mỹ Phúc tranmyphuc1988@gmail.com
Bước 2 : Cài đặt các thông số khởi tạo ban đầu của WCLModule:

Enter Administrative User Name (24 characters max): phuc # tạo username

Enter Administrative Password (24 characters max): *****# tạo password

Management Interface IP Address: 192.168.1.24 # Tạo ip manager

Management Interface Netmask: 255.255.255.0 #Subnetmask

Management Interface Default Router: 192.168.1.1 # địa chỉ của intface WLC 1/0

Management Interface VLAN Identifier (0 = untagged): 0

Management Interface Port Num [1]:

Management Interface DHCP Server IP Address: 192.168.1.24# Ip manager

AP Manager Interface IP Address: 192.168.1.25 # Ip Ap-manager
AP-Manager is on Management subnet, using same values
AP Manager Interface DHCP Server (192.168.1.24): # press Enter

Virtual Gateway IP Address: 1.1.1.1 # Nó sẽ là địa chỉ DHCP server cho user

Mobility/RF Group Name: vnpro

Network Name (SSID): vlan1# Đây là tên của Vlan1 dùng để quản trị SSID

Allow Static IP Addresses [YES][no]: no #cấu hình Ip động

Configure a RADIUS Server now? [YES][no]: no

Warning! The default WLAN security policy requires a RADIUS server.
Please see documentation for more details.
Enter Country Code (enter 'help' for a list of countries) [US]: no
Enable 802.11b Network [YES][no]: yes

Enable 802.11a Network [YES][no]: yes

Enable 802.11g Network [YES][no]: yes
Enable Auto-RF [YES][no]: no

Configure a NTP server now? [YES][no]: no

Configure the system time now? [YES][no]: no
Warning! No AP will come up unless the time is set.

Please see documentation for more details.

Configuration correct? If yes, system will save it and reset. [yes][NO]: yes

Trang 8
 Trần Mỹ Phúc tranmyphuc1988@gmail.com
Bước 3 : Cấu hình cho Router 2811

interface FastEthernet0/0
ip address 192.168.4.1 255.255.255.0# gán ip address cho fa0/0
ip nat inside # Áp chiều vào cho quá trình NAT

interface FastEthernet0/1
ip address 10.215.219.10 255.255.255.0#có thể gán động bằng câu lệnh ip address dhcp
ip nat outside # Áp chiều ra của quá trình NAT

ip dhcp pool lap # Pool địa chỉ động gán cho cổng fa0 của LAP
network 192.168.4.0 255.255.255.0
default-router 192.168.4.1 # địa chỉ cỗng fa0/0
option 43 hex f104.c0a8.0119 # Tham khảo thêm chú thích cuối bài
option 60 ascii "Cisco AP c1130"# Tham khảo thêm chú thích cuối bài
!
ip dhcp pool vlan2
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
dns-server 203.162.4.190
!
ip dhcp pool vlan3
network 192.168.3.0 255.255.255.0
default-router 192.168.3.1
dns-server 203.162.4.190

interface wlan-controller1/0.2 # Tạo Sub interface WLC1/0

encapsulation dot1Q 2 # chuẩn đóng gói
ip address 192.168.2.1 255.255.255.0 # Ip add = Ip add của default-router tương ứng
ip nat inside # Câu lệnh rất quan trọng thường hay quên
!
interface wlan-controller1/0.3
encapsulation dot1Q 3
ip address 192.168.3.1 255.255.255.0
ip nat inside
# ip route 0.0.0.0 0.0.0.0 10.215.219.254# Câu lệnh thường hay quên khi
NAT , nó dùng để tạo default route đến ADSL router cho toàn mạng , để
ta có thể đi Internet. Nếu mà thiếu câu lệnh này , ta chỉ có thể PING
đến nó mà không thể ra Internet!!!

Bước cuối cùng :

Ta cấu hình NAT như hướng dẫn ở trên !!!!# Xem phần bổ sung
bên trên

Tóm lược những cái quan trọng trong cấu hình Router mà ta thường hay quên :
1) Địa chỉ intface đối nối ra ngoài mạng (Fa0/1) nên để cho Server DHCP cấp địa chỉ động cho nó tránh trường
hợp trùng địa chỉ.
2) option 43 hex f104.c0a8.0119# c0a8.0119 phải là địa chỉ IP AP-Manager
3) Đó là câu lệnh “Ip nat inside” # Mọi người thường quên không đặt nó vào các
II./ Hai cách cấuWLC
Subinterface hình cho Wireless Lan Controller Module :
4) Cuối cùng là “ip route 0.0.0.0 0.0.0.0 <default-gateway router ADSL hay
intface router kế cận>”
Trang 9
Trần Mỹ Phúc tranmyphuc1988@gmail.com
O2.)Cả hai cách theo tôi đều hay :
Giao diện Web Giao diện Command Line :
Ưu điểm : Nhanh, tiện lợi Ưu điểm : Mỗi câu lệnh ta đánh ,
và rất trực quan đều yêu cầu bản thận phải nắm rõ
vấn đề mà mình cần cấu hình

Nhược điểm: Sẽ không Nhược điểm : không trực quan,

hiểu rõ bản chất của vấn khó nhớ và phức tạp hơn giao
đề bằng giao diện diện Web
Command Line được .

Nhưng để có thể cấu hình cho những trường hợp tương tự một cách nhanh chóng bằng giao diện Web.
Theo tôi , chúng ta nên tham khảo và cấu hình theo giao diện Command line trước :

C1 :Giao diện command Line:

Bước 1 : Tạo 2 dynamic interface có tên là Vlan 2 và Vlan3

(Cisco Controller)config > interface create vlan2 2 # 2 là Vlan ID

(Cisco Controller)config > interface create vlan3 3

Bước 2 : Đặt Ip address , Subnet-mask, và Default Gateway cho những interface trên:
Cisco Controller) config >interface address vlan2 92.168.2.254 255.255.255.0 192.168.2.1
(Cisco Controller) config> interface address vlan3 192.168.3.254 255.255.255.0 192.168.3.1

Default gateway phải là ip address của Subinterface Wlan-Controller tương ứng trên Router .

Bước 3 :Tạo Wlan 2, 3 tương ứng với SSID vlan2 và vlan3

(Cisco Controller)config >wlan create 2 vlan2 # 2 là Wlan ID, vlan2 là SSID

(Cisco Controller)config >wlan create 3 vlan3

Bước 4: Ràng buộc Wlan vào Dynamic inteface tương ứng vừa mới tạo ở trên:
(Cisco Controller)config >wlan interface 2 vlan2 #2 là WlanID, vlan2 là dynamic interface
(Cisco Controller)config >wlan interface 3 vlan3

Bước 5 : Cấu hình dynamic interface vừa tạo với IP address DHCP server tương ứng , để ta có thể
forward IP khi DHCP client yêu cầu. IP address DHCP server được cấu hình trên Router , nó cũng chính
là địa chỉ của Sub interface WLC tương ứng.

(Cisco Controller) config>interface dhcp vlan2 192.168.2.1

(Cisco Controller) config >interface dhcp vlan3 192.168.3.1

Trang 10
 Trần Mỹ Phúc tranmyphuc1988@gmail.com
Bước 6 : Mặc định thì chứng thực Dot1X được bật lên , do đó để đưa về chế độ open authentication
(không cần chứng thực) , ta dùng câu lệnh sau để tắt chức năng chứng thực Dot1X:

(Cisco Controller)config >wlan security 802.1X disable 2

(Cisco Controller)config >wlan security 802.1X disable 3

Đây là điều quan trọng mà trong giáo trình Cisco không có ghi :Rất dễ bị hiều nhầm :
1) Khi cấu hình khởi tạo , WLC hỏi : Network Name (SSID):=> đây
chính là tên của Wlan1, Wlan1 thường có chức năng để quản trị mà
thôi. Do đó nếu bạn đánh vào đó Vlan2 , thì giả sử trong mô hình lab
này , bạn sẽ bị lỗi
2) Mặc định trong WCL . Wlan luôn ở chế độ Disable trừ Wlan quản trị
luôn Enable. Vì thề ta dùng lệnh
(Cisco controller)>show wlan summary
=>Bạn sẽ thấy tình trạng của các Wlan
(Cisco controller)config> Wlan enable <vlan ID>
=> Bạn enable những Wlan cần thiết
3) Điều lưu ý nhỏ nữa : Bạn có thể đứng từ PC ping đến các
địa chỉ khác nhưng không thể ping đến IP Ap-manager
4) Tôi đã thử và thấy rằng dù triển khai access-list trên
router , ta vẫn không cần dùng đến nhóm lệnh:
ip helper-address (mode interface)
ip forward-protocol udp port

5) Nếu như bạn cấu hình trong câu lệnh Option 43 là địa chỉ
khác Ip AP-manager nó sẽ khiến cho LAP, khi kết nối sẽ
khởi động lại liên tục vì nó không xin được cấu hình từ
WLC.(Nó khởi động lại với mục đích là xin lại lần nữa)
00:1a:6c:8e:f3:78 Received LWAPP DISCOVERY REQUEST from AP 00:1a:6c:8e:f3:78 to
00:1b:53:bd:4e:c0 on port '1'
00:19:aa:00:23:d8 Successful transmission of LWAPP Discovery-Response to AP
00:1a:6c:8e:f3:78 on Port 1
00:1a:6c:8e:f3:78 Received LWAPP JOIN REQUEST from AP 00:1a:6c:8e:f3:78 to
00:1b:53:bd:4e:c0 on port '1'
00:1a:6c:8e:f3:78 LWAPP Join-Request has invalid certificate in CERTIFICATE_PAYLOAD
from AP 00:1a:6c:8e:f3:78. Make sure controller time is set!
00:1a:6c:8e:f3:78 Unable to free public key for AP 00:1A:6C:8E:F3:78
spamDeleteLCB: stats timer not initialized for AP 00:1a:6c:8e:f3:78
spamDeleteLCB: stats timer not initialized for AP 00:1a:6c:8e:f3:78

Đoạn Debug trên tôi đã đánh trên WLC :

(Cisco-controller)>debug Wlan events
Ngoài ra bạn có thể đặt tên cho WLC bằng câu lệnh
(Cisco-controller)config>

Trang 11
Trần Mỹ Phúc tranmyphuc1988@gmail.com

C2 Cấu hình bằng giao diện Web

Bước 1 : Ta dùng cáp chéo nối từ port fa0/0 trên Router đến PC. Sau đó ta đặt IP cho card LAN như sau :

Ta bặt buộc phải gán default Gateway cho PC chính là Ip của cổng fa0/0. Sau đó :

Ta sẽ vào giao diện sau :

Trang 12
Trần Mỹ Phúc tranmyphuc1988@gmail.com

Bước 2 : Ta cấu hình WLCModule trong cửa sổ CONTROLLER:

Trang 13
Trần Mỹ Phúc tranmyphuc1988@gmail.com

Bước 3: Ta cấu hình WLCModule trong cửa sổ WLANS

Trang 14
Trần Mỹ Phúc tranmyphuc1988@gmail.com

Trang 15
Trần Mỹ Phúc tranmyphuc1988@gmail.com

III./ Những thao tác cuối cùng và sự mở rộng mô hình mạng này theo một số
nhu cầu cơ bản của nhà quản trị và khách hàng :
O1.) Những thao tác cuối cùng:
Nói cho vui là thao tác cuối cùng , chứ nó rất đơn giản , một BABY cũng có thể làm được đó là nói cáp từ
port fa0/0 đến port fa0 trên LAP. Như vậy là ta đã có một hệ thống mạng mới dành cho 1 văn phòng nhỏ đi
Internet và “giao lưu dữ liệu với nhau”

Cuối cùng chúng ta sẽ sướng tay với thao tác Click . click và click
Bước 1: Đặt Cisco Aironet 802.11 a/b/g Wireless Adapter vào NIC slot trên Laptop

Bước 2:

Bạn hãy Double Click vào biểu tượng này , sau đó ta sẽ vào cửa sổ sau :

Trang 16
Trần Mỹ Phúc tranmyphuc1988@gmail.com

Trang 17
Trần Mỹ Phúc tranmyphuc1988@gmail.com

Trang 18
Trần Mỹ Phúc tranmyphuc1988@gmail.com

Bước 3 : Coi như phần Cài đặt đã :OK . Giờ đến phần nối PC vào mạng Wireless ta vừa tạo ở trên KEKKE

Trang 19
Trần Mỹ Phúc tranmyphuc1988@gmail.com

Trang 20
Trần Mỹ Phúc tranmyphuc1988@gmail.com

Trang 21
Trần Mỹ Phúc tranmyphuc1988@gmail.com

Trang 22
Trần Mỹ Phúc tranmyphuc1988@gmail.com

O2.) Nói về sự mở rộng có thể của mô hình mạng này :

2.1) Đơn giản và thực tế nhất:
1) Ta có thể thay thế Router 2811 là một Switch 6500, vừa điều khiển Vlan thường và cả Wlan!!!
Tuy nhiên , nó sẽ không kinh tế bằng Router rùi!!!
2) Kết nối giữa Router và LAP , ta có thể thêm một Switch bình thường thôi , để tạo môi trường .
3) Có thể gắn thêm Server cài ACS hoặc thực thi chức thực WAP.
2.2) Đòi hỏi kinh tế và kĩ thuật:
1) Có thể Loadbalancing giữa 2 Wireless LAN Controller .
2) Có thể Redundancy giữa 2 Wireless LAN Controller, cái này bị die thì cái kia thế chỗ !!

Trang 23