Conexión del puerto de servicio 5508/WiSM a la red

Introducción

Este documento describe la configuración y la teoría de funcionamiento de los puertos de servicio en Cisco Unified Wireless Network Controllers (CUWN) y proporciona directrices generales para su implementación.El objetivo de este documento es:

• Proporcione una descripción general y directrices de prácticas recomendadas para conectar los controladores independientes de Cisco (55000/8500) a la red
• Proporcione una descripción general, prácticas recomendadas y comandos para solucionar problemas de puertos de servicio en Wireless Service Module/Controllers (WiSM)

Prerequisites

Requirements

Cisco recomienda que conozca los controladores de LAN inalámbrica de Cisco

Componentes Utilizados

La información de este documento se basa en los controladores independientes inalámbricos de Cisco y los módulos WiSM.

La información de este documento se crea a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Descripción general del puerto de servicio

Controladores independientes

El puerto de servicio de los controladores independientes se reserva para la administración fuera de banda del controlador y la recuperación y el mantenimiento del sistema en caso de un fallo de red. Es también el único puerto que es activo cuando el controlador está en el modo de arranque. La interfaz de puerto de servicio utiliza la dirección MAC de puerto de servicio establecida de fábrica del controlador.

Características del puerto de servicio

• El puerto de servicio se conecta directamente con el plano de control del 5508 y, por lo tanto, apunta directamente a la CPU. Los otros puertos de datos físicos se conectan a través del plano de datos

• El puerto de servicio no puede llevar etiquetas 802.1Q, por lo que debe estar conectado a un puerto de acceso en el switch vecino

• El controlador utiliza las rutas estáticas para garantizar que el puerto de servicio pueda alcanzar fuera de los destinos de subred (subredes diferentes a las suyas propias).  Cualquier tráfico que coincida con una ruta estática en el controlador de LAN inalámbrica (WLC) sale del controlador a través del puerto de servicio, incluso si el tráfico entrante vino a través de la interfaz de administración (puertos de datos) que incluye la GUI del controlador, el tráfico de autenticación RADIUS, etc

       

Alcance de la misma subred (puerto de servicio vlan)

• El puerto de servicio no tiene ninguna puerta de enlace y está conectado al puerto de acceso del switch vecino. Por lo tanto, en circunstancias normales, debe poder acceder al puerto de servicio conectando el PC en la misma vlan de acceso en el switch vecino. Aquí no necesita ninguna ruta estática en el WLC ya que su PC está conectado al puerto de servicio vlan en el switch vecino y se comunica con en la misma vlan
• No configure los clientes cableados en la misma vlan o subred del puerto de servicio en el switch vecino. Dado que el puerto de servicio apunta directamente al plano de CPU/control , es posible que vea un nivel alto de CPU si el puerto de servicio vlan tiene mucho tráfico de multicast/broadcast
• El acceso a la GUI a través de la dirección ip de administración no es posible desde esta vlan

Alcance de subred remota (distinto de vlan de puerto de servicio)

 Si necesita administrar el puerto de servicio desde una subred remota , debe agregar las rutas estáticas para comunicarse con las subredes remotas . Los puntos de esta configuración son:

• Si desea alcanzar el puerto de servicio desde cualquier parte de la red y dar una ruta estática para el destino 10.0.0.0/8 que apunta al gateway de subred del puerto de servicio que ya está presente en el lado del switch. Esta subred grande puede cubrir todas las subredes utilizadas en la red, incluidos los servidores Radius y los servidores Tacacs. Los siguientes pueden ser los resultados de esta configuración

                    - No se puede acceder a la GUI del WLC a través de la dirección IP de administración desde todas las subredes incluidas en 10.0.0.0/8. Tendrá que utilizar la dirección IP del puerto de servicio para obtener el acceso GUI del WLC. Esto se deriva del hecho de que todo el tráfico que coincide con la ruta estática se enruta a través del puerto de servicio, incluso si el tráfico de administración entra a través de la interfaz de administración

                     - Las autenticaciones Radius fallan ya que puede haber agregado la dirección IP de administración del WLC como cliente AAA. Para autenticaciones exitosas, debe agregar el WLC como un cliente AAA usando la dirección IP de la interfaz del puerto de servicio ya que el tráfico se enruta a través del puerto de servicio con la dirección de origen de la dirección IP del puerto de servicio

             

                       - Si la dirección IP del puerto de servicio se vuelve inalcanzable debido a cualquier razón durante algún tiempo, todas las autenticaciones de radio subsiguientes podrían fallar durante ese período de tiempo

• Es posible que observe una CPU/caídas altas si tiene una gran cantidad de multidifusión/difusión que golpea el puerto de servicio

• Intente asignar rutas específicas como estáticas, pueden ser para una o dos subredes remotas y tener una estación de trabajo de administración remota

   en esa subred. Incluso en este caso, el acceso GUI al WLC no estará disponible usando la dirección IP de administración del controlador desde los PC de esta subred. Si tiene una subred de servidor Radius cubierta por esta ruta específica,la solicitud de autenticación que llegue al servidor Radius se originará con la dirección IP del puerto de servicio 

Configurar

Configuración del puerto de servicio WLC

La configuración asume que el controlador inalámbrico ya está configurado y que desea configurar

el puerto de servicio.

Para configurar la interfaz de servicio para el DHCP ingrese el comando config interface dhcp service-port enable.

Para inhabilitar el servidor DHCP, ingrese el comando config interface dhcp service-port disable

Para configurar la dirección IPv4, ingrese el comando config interface address service-port ip-addr ip-netmask.

Para administrar el puerto de servicio desde una subred remota , necesita agregar las rutas estáticas para comunicarse con las subredes remotas

Ingrese el comando config route add network-ip-addr ip-netmask gateway.

Verificación

Para verificar la configuración del puerto de servicio, utilice el comando show interface detailed service-port.

Obtiene este resultado:

 
 Interface Name................................... service-port
 MAC Address...................................... 50:57:a8:bc:4b:01
 IP Address....................................... 192.168.20.1
 IP Netmask....................................... 255.255.255.0
 Link Local IPv6 Address.......................... fe80::5257:a8ff:febc:4b01/64
 STATE ........................................... REACHABLE
 IPv6 Address..................................... ::/128
 STATE ........................................... NONE
 SLAAC............................................ Disabled
 DHCP Protocol.................................... Disabled
 AP Manager....................................... No
 Guest Interface.................................. No
 Speed ........................................... 10Mbps
 Duplex .......................................... Half
 Auto Negotiation ................................ Enabled

Link Status...................................... Up

Puerto de servicio en modo AP SSO

• Cada unidad (activa y en espera) tiene una IP única para el puerto de servicio. Ambas direcciones de puerto de servicio deben estar presentes en la misma subred. Esto se debe a que, si el puerto de servicio del controlador en espera está en una subred diferente, debe agregar nuevas rutas. Esto conlleva diferencias en las configuraciones en activo y en espera que no se esperan.

Comando para configurar la dirección IP del puerto de servicio de peer y la máscara de red del controlador de peer/standby:

      (Cisco Controller) >config redundancy interface address peer-service-port ?
      (Cisco Controller) >config redundancy peer-route ?

Controladores WiSM

El módulo WiSM dentro de 6500 es un caso especial en el que el puerto de servicio se utiliza para la comunicación entre el controlador WiSM y el supervisor. La configuración del puerto de servicio es obligatoria para configurar los controladores WiSM.

• El protocolo de controlador WLAN (WCP) es el pegado de software entre el supervisor y el controlador WiSM-2. WCP se ejecuta en UDP/IP, puerto 10000 a través de la interfaz de servicio. Una vez que el controlador WiSM está activo, hay latidos de software o señales de mantenimiento entre el supervisor y el controlador WiSM. El controlador solicita al supervisor su información de ranura/procesador.WCP se ejecuta en UDP/IP, puerto 10000 sobre la interfaz de servicio

• La vlan del puerto de servicio es local en el chasis y debe tener una interfaz de capa 3 en el IOS del switch. El puerto de servicio se puede asignar a DHCP o a una dirección IP estática según la configuración del puerto del switch en el controlador. La dirección IP del puerto de servicio debe estar en la subred diferente de las interfaces de administración del controlador. Si no se mantiene la VLAN de servicio local, pueden producirse problemas, por ejemplo, que algún otro switch de la red se convierta en el switch raíz de la VLAN de servicio.

• No se admite VRF en el puerto de servicio

• La dirección IP del puerto de servicio debe estar en una subred diferente de las interfaces de administración del controlador.

• La VLAN de servicio es local en el chasis y se utiliza para la comunicación entre Cisco WiSM y Catalyst Supervisor 720 o 2T a través de una interfaz Gigabit en el supervisor y el puerto de servicio en Cisco WiSM.

Configurar

Configuración del puerto del servicio WiSM

Para obtener información sobre cómo configurar el módulo WiSM en el switch 6500, consulte estos enlaces:

Troubleshooting y Configuración de Instalación Inicial del Módulo de Servicios de Red Inalámbrica (WiSM)

Guía de implementación de WiSM-2 2DP

Verificación

Utilice esta sección para confirmar su configuración de puerto de servicio, utilice el comando show wism status.

Service Vlan : 213, Service IP Subnet : 8.8.8.1/255.255.255.0
      WLAN
Slot  Controller  Service IP       Management IP    SW Version    Controller Type    Status
----+-----------+----------------+----------------+------------+------------------+---------------
7           1              8.8.8.2             10.105.98.13     7.0.252.0     WS-SVC-WISM-1-K9   Oper-Up

Troubleshoot

Utilice estos comandos para ver los mensajes de depuración que muestran la comunicación entre el controlador WiSM y el supervisor

• En el controlador WiSm

(WiSM-slot7-1) >debug wcp events enable

*wcpTask: May 03 02:42:29.830: Received WCP_MSG_TYPE_REQUEST
*wcpTask: May 03 02:42:29.830: Received WCP_MSG_TYPE_REQUEST,of type WCP_TLV_KEEP_ALIVE
*wcpTask: May 03 02:42:29.830: Sent WCP_MSG_TYPE_RESPONSE,of type WCP_TLV_KEEP_ALIVE
*wcpTask: May 03 02:42:49.830: Received WCP_MSG_TYPE_REQUEST
*wcpTask: May 03 02:42:49.830: Received WCP_MSG_TYPE_REQUEST,of type WCP_TLV_KEEP_ALIVE
*wcpTask: May 03 02:42:49.830: Sent WCP_MSG_TYPE_RESPONSE,of type WCP_TLV_KEEP_ALIVE
*wcpTask: May 03 02:43:09.830: Received WCP_MSG_TYPE_REQUEST
*wcpTask: May 03 02:43:09.830: Received WCP_MSG_TYPE_REQUEST,of type WCP_TLV_KEEP_ALIVE
*wcpTask: May 03 02:43:09.830: Sent WCP_MSG_TYPE_RESPONSE,of type WCP_TLV_KEEP_ALIVE

• En el lado del switch/router

6500#debug wism events

dman_proc_service_tmr_handler Service Port Timer fired for slot/port: 7/2
May  3 04:39:18: WiSM-Evt:returning, rc 0, num_entries 0 for slot/port/vlan 7/10/213
May  3 04:39:19: WiSM-Evt:dman_cntrl_db_search_by_mac: Found mac 0019.30fb.ccc2 for slot/port 7/1
May  3 04:39:19: WiSM-Evt:dman_reg_arp_added: cntrl 7/1 got an ip 8.8.8.2 0019.30fb.ccc2/0019.30fb.ccc2
May  3 04:39:20: WiSM-Evt: dman_proc_service_tmr_handler Service Port Timer fired for slot/port: 7/2 

Para ver el WCP transmitir y recibir paquetes intercambiados entre el controlador WiSM y el supervisor:

6500#debug wism wcp data

May  3 04:32:54: WiSM-Evt:dman_proc_keepalive_tmr_handler: keepalive timer expired for 7/1
May  3 04:32:54: wcp-tx: src/dst:8.8.8.1/8.8.8.2 ver:1 sap2/1
May  3 04:32:54: typ:req len:61 seq:1079591 flg:0 sts:1
May  3 04:32:54: 00 00 00 01 00 00 00 18 00 00 00 04 08 08 08 01
May  3 04:32:54: 00 00 00 00 00 00 D5 20 00 00 00 00 00 00 00 05
May  3 04:32:54: wcp-rx: src/dst:8.8.8.2/8.8.8.1 ver:1 sap0/0
May  3 04:32:54: typ:rsp len:45 seq:1079591 flg:0 sts:1
May  3 04:32:54: 00 00 00 01 00 00 00 08 00 00 00 01 58 5F 60 11