Archive for the ‘ Deploying ’ Category

Configurando o WLC para autenticação via TACACS+ (ACS)

Esse post foi movido para:

http://bartulihe.wordpress.com/2011/11/23/configurando-o-wlc-para-autenticacao-via-tacacs-acs/

Abs.,

Bartulihe

Anúncios

Voz sobre Wireless – Check list!

Pessoal,

Segue abaixo um rápido check-list para implementar Voz sobre Wireless.

Estes parâmetros, porém,  não incluem a parte de Site Survey Wireless, que deve ser realizada por um empresa especializada, de preferência!

CONFIGURAÇÃO NOS SWITCHES
GLOBAL LEVEL
“mls qos” ativo em todos switches.
map dscp-cos: mls qos map dscp-cos 0 8 16 24 32 46 48 56

INTERFACE LEVEL
## PORTA WLC ##
mls qos trust cos
srr band shape 10 0 0 0
srr band share 10 10 60 20
priori out
switchport trunk enc dot
switchport mode trunk
switchport trunk allowed vlan x-y
switchport trunk native vlan 999 # vlan não existente, pois dot1p só é marcado em vlans não nativas
spanning-tree portfast
spanning-tree bpduguard enable

## PORTA LWAP ##
mls qos trust dscp
srr band shape 10 0 0 0
srr band share 10 10 60 20
priori out
switchport mode access
switchport access vlan X
spanning-tree portfast
spanning-tree bpduguard enable

## PORTA AUTONOMOUS
mls qos trust dscp
srr band shape 10 0 0 0
srr band share 10 10 60 20
priori out
switchport trunk enc dot
switchport mode trunk
switchport trunk allowed vlan x-y
switchport trunk native vlan X # Para infrastructure-ssid, é mandatório usar native vlan.
spanning-tree portfast
spanning-tree bpduguard enable #Usar portfast somente se o AP não for root/non-root Bridge, repeater ou Workgroup-Bridge.

## PORTA HREAP ##
mls qos trust dscp
srr band shape 10 0 0 0
srr band share 10 10 60 20
priori out
switchport trunk enc dot
switchport mode trunk
switchport trunk allowed vlan x-y
switchport trunk native vlan 999 # vlan não existente, pois dot1p só é marcado em vlans não nativas
spanning-tree portfast
spanning-tree bpduguard enable

PORTA ENTRE SWITCHES
mls qos trust x #Siga a polítca, se for para DSCP, use mesmo em porta L2.
srr band shape 10 0 0 0
srr band share 10 10 60 20
priori out
switchport trunk enc dot
switchport mode trunk
switchport trunk allowed vlan x-y
switchport trunk native vlan 999 # vlan não existente, pois dot1p só é marcado em vlans não nativas
spanning-tree portfast
spanning-tree bpduguard enable

CONFIGURAÇÃO NO WLC
## PER RADIO CONFIG ##
Utilize somente velocidades superiores a 12Mbps (Configurando 12Mbps como Mandatory.
DTIM = 2
BEACON TIME=100ms
EDCA=Voice Optimized com Low Latency DISABLE (Low Latency modifica os retries e timeout para todos os SSIDs baseado no DSCP. O próprio telefone já realiza este controle.)

Dentro de MEDIA > Voice Parameter:
– Enable CAC
– Use Load Based CAC
– Enable Metric Collection
– Enable Expedited Bandwidth (Necessário CCX5 e 7921 é CCX4, mas se pedirem suporte a chamada de emergência habilite)
– Configure Max Bandwidth e reserved roaming, sendo que se você colocar Max = 50 e roaming de 5, a Max bandwith é 50, porém a disponível é 45 e 5 está reservado para roaming)

Configure DCA Sentivity para High (CLI config advanced 802.11a channel sens high)

## GLOBAL CONFIG ##
Verifique se Agressive Loadbalance e arpunicast estão desabilitados. ( Em versões de WLC novas, o AGGRESSIVE LOADBALANCE é configurado por WLAN, seu nome é CLIENT LOADBALANCE)

Configure o Profile QOS Platinium para marcação dot1p 6. ( O pessoal de voz fica em loop quando digo isto, mas a marcação no “mundo” wireless é diferente, quando configurado para 6, o WLC converte baseado na tabela UPxDSCPx802.1p e entrega cos 5 para o switch 😉

Se houver mais de um Controller com SSID de voz, configurar o mesmo mobility group, mesmo virtual address e mobility symmetric.

Configure o EAP Request para 20 segundos, igual ao timeout do ACS. ( CLI config advanced eap identity-request-timeout 20 e // request-timeout 20.

Global per SSID
Security: Se for usar CCKM para o 7921, com Firmare anterior a 1.3.1
– TSN: WPA +TKIP.

Security: Se for usar CCKM para o 7921, com Firmare superior a 1.3.1
– RSN: WPA2 + AES

Obs: Se usar WPA por qualquer uma das razões acima, não esqueça deste comando (config wlan security tkip hold-down 0)

QOS Platinium com WMM allowed. Nada de 7920 😉
Habilite AIRONET Extension
Deixe Client MFP Allowed
DHCP Assignmnet desabilitado.
Peer to Peer Blocking desabilitado.
Session timeout acima de 300 segundos.

%d blogueiros gostam disto: