Sie sind hier

HP Unified WLAN Controller Konfiguration: Lokales VLAN Auskoppeln am Access-Point

Die 800er Unified WLAN Controller von HP sind eine skalierbare und flexible WLAN Lösung für Unternehmen jeder Größenordnung. In der Standardkonfiguration wird sämtlicher WLAN Datenverkehr zum Controller getunnelt. In diesem Blogeintrag möchten wir zeigen, wie man Datenverkehr direkt am Access Point auskoppelt – in der HP Terminologie wird von „remote-forwarding“ gesprochen. Der Controller dient dann lediglich zur Authentifizierung der Clients.

Lab Aufbau

Unser Labaufbau zeigt folgende Abbildung. Das WLAN Profil soll so konfiguriert werden, dass ein Benutzer sich mit der SSID „Mitarbeiter“ verbinden und bei erfolgreicher Authentifizierung in das VLAN 100 gelangen kann, ohne den Weg über den Controller zu nehmen.

Nachfolgende Abbildung zeigt die physikalische Anbindung des Access Points und die VLAN Konfiguration auf der Verbindung.

Verwendete Hardware

Wir verwenden für unseren Testaufbau folgende Hardware:

  • HP WLAN Controller: HP 850 Unified Wired-WLAN Appliance, JG722A, Version 5.20.109, Release 2607P26

  • HP Routing Switch: HP Switch 2915-8G-PoE, J9562A A.15.15.0008

  • AccessPoint: HP 560 J9846A

  • DHCP Server: Windows 2008 DHCP Server

Voraussetzung

Voraussetzung für nachfolgende Konfiguration ist, dass alle Access Points bereits eine bestehende Management Verbindung zum Controller besitzen. In unserem Fall ist der ap01 im Status „Run“ und kann vom Controller verwaltet werden:

<HP>display wlan ap all
Total Number of APs configured           : 1
Total Number of configured APs connected : 1
Total Number of auto APs connected       : 0
Total Number of APs connected            : 1
Maximum AP capacity                      : 64
Remaining AP capacity                    : 63
                                  AP Profiles
State : I = Idle,   J = Join, JA = JoinAck,   IL = ImageLoad
         C = Config, R = Run,  KU = KeyUpdate, KC = KeyCfm
         M = Master, B = Backup
--------------------------------------------------------------------------------
AP Name                          State Model              Serial-ID
--------------------------------------------------------------------------------
ap01                             R/M   560-WW             CN47G8xxx
-------------------------------------------------------------------------------
<HP>

Konfiguration

Im ersten Schritt werden alle benötigten VLANs angelegt:

vlan 1
#
vlan 20
#
vlan 100
description Mitarbeiter
#

Danach legen wir ein Service Template an, in dem u.a. die SSID konfiguriert wird. Mit dem Kommando „client forwarding-mode local” lässt sich festlegen, dass der Datenstrom nicht zum Controller getunnelt wird, sondern am AP ausgekoppelt:

wlan service-template 1 crypto
description Mitarbeiter WLAN
ssid mitarbeiter
bind WLAN-ESS 1
cipher-suite ccmp
security-ie rsn
client forwarding-mode local
remote-ap keep-client-online
service-template enable

Mit dem Kommando „bind WLAN-ESS 1“ wird auf ein ESS Interface referenziert, was im Folgenden angelegt wird. Hier wird als Security Mode ein Preshared Key festgelegt. Ebenso wird festgelegt, dass dieses Interface Mitglied in VLAN 100 werden soll:

interface WLAN-ESS1
port access vlan 100
port-security port-mode psk
port-security tx-key-type 11key
port-security preshared-key pass-phrase cipher $c$3$/+HNSLLu9ARYudaaTdkAU5TKMr=
#

Wichtig ist, dass in der Konfiguration des Access Points die Provisionierung vorgenommen wird. VLAN 1 (das VLAN über das der Access-Point vom Controller verwaltet wird) wird üblicherweise „untagged“ konfiguriert. Alle weiteren VLANs werden „getagged“ – hier das VLAN 100. Mit dem Kommando „hybrid-remote-ap enable“ wird ermöglicht, dass sowohl getaggte also auch ungetaggte Frames transportiert werden können:

wlan ap-group default_group
ap ap01
#
#
wlan ap ap01 model 560-WW id 1
serial-id CN47G8xxxx
hybrid-remote-ap enable
provision
  vlan tagged 100
  vlan untagged 1
country-code DE
radio 1 type dot11an
  service-template 1
  service-template 2
  radio enable
radio 2
  service-template 1
  service-template 2
  radio enable

Um die Einstellungen auf allen APs zu speichern wird folgendes Kommando verwendet:

<HP>save wlan ap provision all
Are you sure that the provision configurations of all APs are correct? [Y/N]:y
Info: The operation takes effect only on APs in the running state.
<HP>

Die Switchports, an denen die Access Points angeschlossen sind, müssen natürlich auch noch passend konfiguriert werden. Dazu wird auf dem 2915 E-Serien Switch folgende Konfiguration durchgeführt:

vlan 10
   untagged 1
vlan 100
   tagged 1

Überprüfung der Konfiguration

Zur Überprüfung der Konfiguration empfehlen sich folgenden Kommandos:

<HP>display wlan service-template 1
                          Service Template Parameters
-------------------------------------------------------------------------------
Service Template Number      : 1
SSID                         : mitarbeiter
Description                  : Mitarbeiter WLAN
Binding Interface            : WLAN-ESS1
Hotspot policy               : Not Configured
Service Template Type        : Crypto
Security IE                  : WPA2(RSN)
Authentication Method        : Open System
Authentication Mode          : Central
SSID-hide                    : Disable
Cipher Suite                 : AES-CCMP
TKIP Countermeasure Time(s)  : 0
PTK Life Time(s)             : 43200
GTK Rekey                    : Enable
GTK Rekey Method             : Time-based
GTK Rekey Time(s)            : 86400
Forwarding Method            : Local forwarding (VLAN:1-4094)
Packet Format                : Dot11
PMF Status                   : Disable
Service Template Status      : Enable
Maximum clients per BSS      : 64
IP Verify Source             : Disable
IPv6 Verify Source           : Disable
Bonjour Policy               : Not Configured
-------------------------------------------------------------------------------
<HP>

Wenn die Konfiguration erfolgreich war, sollte der Client über DHCP eine IP Adresse erhalten. Die MAC-Adresse des Clients ist bc05-4304-5859:

<HP>display wlan client verbose
Total Number of Clients           : 1
                              Client Information
--------------------------------------------------------------------------------
MAC Address                       : bc05-4304-5859
User Name                         :
IP Address                        : 192.168.100.2
AID                               : 1
AP Name                           : ap01
Radio Id                          : 2
Antenna Id                        : 0
Service Template Number           : 1
SSID                              : mitarbeiter
BSSID                             : 1458-d034-4590
Port                              : WLAN-DBSS1:12
VLAN                              : 100
State                             : Running
Power Save Mode                   : Active
Wireless Mode                     : 11gn
Channel Band-width                : 20MHz
SM Power Save Enable              : Disabled
Short GI for 20MHz                : Supported
Short GI for 40MHz                : Not Supported
LDPC                              : Not Supported
STBC TX capability                : Not Supported
STBC RX capability                : Supported
Support MCS Set                   : 0,1,2,3,4,5,6,7
BLOCK ACK-TID 0                   : BOTH
BLOCK ACK-TID 7                   : OUT
QoS Mode                          : WMM
Listen Interval (Beacon Interval) : 1
RSSI                              : 31
Rx/Tx Rate                        : 65/72.2
Client Type                       : WPA2(RSN)
Authentication Method             : Open System
Authentication Mode               : Central
AKM Method                        : PSK
Key Derivation                    : SHA1
4-Way Handshake State             : PTKINITDONE
Group Key State                   : IDLE
Encryption Cipher                 : AES-CCMP
PMF Status                        : -NA-
Roam Status                       : Normal
Roam Count                        : 0
Up Time (hh:mm:ss)                : 01:20:56
Bonjour Records :

Auf dem Switch sollte nun die MAC Adresse des Client an dem Port gelernt werden, wo der Access-Point angeschlossen ist:

HP# sh mac-address vlan 100

Status and Counters - Address Table - VLAN 100

  MAC Address   Port
  ------------- ----
  bc0543-045859 1

HP# sh lldp info remote-device 1

LLDP Remote Device Information Detail

  Local Port   : 1
  ChassisType  : mac-address
  ChassisId    : d4 c9 ef e3 05 ec
  PortType     : interface-name
  PortId       : GigabitEthernet1/0/1
  SysName      : ap01
  System Descr : HP Comware Platform Software HP 560-WW. Product Version R...
  PortDescr    : GigabitEthernet1/0/1 Interface
  Pvid         : 1

  System Capabilities Supported  : bridge, router
  System Capabilities Enabled    : bridge, router

  Remote Management Address
     Type    : ipv4
     Address : 192.168.10.1


HP#

Sollten Sie noch Fragen haben, können Sie uns gerne ansprechen. Schulungen zu diesem Thema finden Sie hier.