เพื่อนๆคงเคยเจอปัญหา WLC9800-CL ของทาง Cisco เช่น เปิดหน้า manage ไม่ได้, ปิงไม่เจอ WLC, ปล่อย SSID ไม่ได้, ปล่อย SSID แล้ว เชื่อมต่อไม่ได้ เป็นต้นครับ ซึ่งอาจเกิดจาการ initial ที่ผิด step ถึงขึ้นทำให้ต้อง Deploy ใหม่กันเลยทีเดียว
ในบทความนี้ จะพูดถึงวิธีการ Initial Configuration Cisco WLC 9800-CL ผ่าน CLI เพื่อนๆสามารถทำตามเป็น Step-By-Step ได้ เพื่อเข้าไปสามารถ Configure WLC 9800-CL เพื่อ Join AP, สร้าง Policy, SSID ต่อไป ได้อย่างมีประสิทธิภาพครับ
Prerequisite
1.) ไฟล์ .ova สำหรับติดตั้ง WLC 9800-CL วิธีการเลือกไฟล์ และติตตั้งบน ESXi สามารถทำตามได้ในบทความนี้ได้เลยครับ https://www.ablenet.co.th/2023/05/02/install_c9800cl/
2.) Hypervisor เช่น ESXi, Nutanix, Hyper-V เป็นต้น
โดย Step จะมีดังนี้ครับ
1.) เปลี่ยนชื่อ + สร้าง admin Account
2.) configure line vty เพื่อ SSH
3.) configure IP address บน interface Gi1 (OOB management)
4.) configure Static Route
5.) Disable การใช้งานคลื่น 2.4Ghz และ 5Ghz
6.) Configure Country code
7.) Configure management port
8.) Generate Self-Signed Certificate (SSC) บน WLC
9.) Trunk port
10.) Enable การใช้งานคลื่น 2.4Ghz และ 5Ghz
11.) Configure NTP server
12.) Save configuration
1.) สร้าง admin account
เมื่อเข้าไปที่ VM ของ C9800-CL ให้ทำการเปลี่ยนชื่อของ vWLC เพื่อให้ง่ายต่อความเข้าใจ ในที่นี้จะใช้เป็นชื่อ C9800-Demo โดยพิมพ์คำสั่ง
en conf t hostname C9800-CL-Demo
สร้าง admin account โดยใช้คำสั่ง (เนื่องจากเป็นการ Demo จะใช้ username/password ง่ายๆ ต่อการใช้งานนะครับ เพื่อนๆสามารถไปเปลี่ยนได้ตามต้องการครับ)
username admin privilege 15 secret P@ssw0rd
2.) Configure Line VTY เพื่อใช้งาน SSH
พิมพ์คำสั่ง
line vty 0 4 login local transport input all (อาจใช้เป็น transport input ssh เพื่อความ secure)
3.) configure IP address บน interface Gi1 (OOB management)
การ config management เราสามารถ สร้าง interface vlan –> นำ ip ไปใส่ ภายใต้ interface vlan –> คอนฟิก switchport access vlan ตามที่สร้างได้ครับ แต่ในที่นี้ จะใช้เป็นการใส่ ip เข้าไปใน interface ตรงๆ ครับ
พิมพ์คำสั่ง
interface gigabitEthernet 1 no switchport ip adddress 10.10.88.7 255.255.255.0 shutdown no shutdown exit
4.) configure Static Route
คอนฟิก static route ชี้ไปยัง gateway ของวง management เพื่อทำให้ admin ที่นั่งอยู่วงอื่น สามารถเข้าใช้งาน WLC ได้ครับ โดยพิมพ์คำสั่ง
ip route 0.0.0.0 0.0.0.0 10.10.88.1
ทดลอง Ping ไปยัง IP ของ vWLC ที่เราได้คอนฟิกไว้ บน interface gi1 จะเห็นว่า สามารถ Ping ได้
5.) Disable การใช้งานคลื่น 2.4Ghz และ 5Ghz
Disable การใช้งานคลื่น 2.4Ghz และ 5Ghz ไปก่อน เพื่อคอนฟิก country code TH เพื่อให้ AP ปล่อยคลื่นความถี่ที่ใช้ในประเทศไทย
ap dot11 5ghz shutdown Disabling the 802.11a network may stand mesh APs Are you sure you want to continue? (y/n)[y]: y ap dot11 24ghz shutdown Disabling the 802.11b network may stand mesh APs Are you sure you want to continue? (y/n)[y]: y
6.) Configure Country code
คอนฟิก country code TH เพื่อให้ AP ปล่อยคลื่นความถี่ของประเทศไทย โดยใช้คำสั่ง
ap country TH
7.) Configure management port
ในที่นี้ จะใช้ port Gi1 ในการทำให้เป็น management port นะครับ เนื่องจาก config ip บน port ตรงๆเลย แต่ถ้าหากใครสร้าง interface vlan ไว้ ก็สามารถ configure management เป็น interface vlan นั้น ได้เช่นกันครับ โดยพิมพ์คำสั่ง
wireless management interface gigabitEthernet 1 หรือ wireless management interface vlan xx ตามที่ได้ config ไว้ก่อนหน้าได้ครับ exit
8.) Generate Self-Signed Certificate (SSC) บน vWLC
ต้องอธิบายก่อนครับ ว่าทำไมเราถึงต้องสร้าง SSC บน vWLC ด้วย
การคุยกับระหว่าง WLC และ AP ของผลิตภัณท์ wireless ที่ได้มาตรฐาน จะใช้ protocol ที่เรียกว่า CAPWAP (Control and Provisioning of Wireless Access Points) โดยจะมี Protocol ที่ใช้ในการเข้ารหัส CAPWAP คือ DTLS (Datagram Transport Layer Security)
ทีนี้ ทั้งตัวของ WLC และ AP เอง ก็จะต้องมีสิ่งที่เรียกว่า DTLS Certificate เพื่อใช้ในการ trusted กัน ซึ่ง Certificate นี้เป็นส่วนหนึ่งของ Public Key Infrastructure (PKI) ที่ใช้ Digital Certificate ในการพิสูจน์ตัวตนระหว่างอุปกรณ์เครือข่าย
โดย Default WLC และ AP จะใช้ Manufacturing Installed Certificate (MIC) ซึ่งออกโดย Cisco Manufacturing CA ซึ่งเป็น Certificate Authority (CA) ที่น่าเชื่อถือ ใช้ในการคุยกัน
แต่เนื่องจาก vWLC 9800-CL ไม่มี Manufacturing Installed Certificate (MIC) ที่ออกโดย Cisco เองตั้งแต่โรงงาน (เหมือนรุ่น Appliance เช่น 9800-40, 9800-80 อ้างอิงจาก Link ครับ) จึงจำเป็นต้องสร้าง DTLS Certificate เองผ่านกระบวนการ Self-Signed Certificate (SSC)
ตอนนี้จึงกลายเป็น WLC ใช้ SSC หรือ Self-Signed Certificate (SSC) ที่สร้างโดยตัวเอง เป็น DTLS Certificate และ AP จะสามารถตรวจสอบและเชื่อถือได้ โดยอัตโนมัติ เพราะ AP มี Cisco Root CA ติดตั้งมาตั้งแต่โรงงาน อ้างอิงจาก Link นี้ครับ ซึ่งช่วยให้ AP สามารถ Validate MIC หรือ SSC ได้ทันที จึงทำให้ AP สามารถ Join WLC ได้นั่นเอง
สร้าง SSC โดยใช้คำสั่ง
exit wireless config vwlc-ssc key-size 2048 signature-algo sha256 password 0 P@ssw0rd
และสามารถเช็คว่า WLC ของเรา มี DTLS Certificate แล้วหรือยัง โดยใช้คำสั่ง
wireless management trustpoint
จะเห็นว่า Certificate Type เป็น SSC นั่นเองครับ
9.) ทำ Trunk Port บน interface gi2
เราจะ config trunk port บน interface gi2 ที่เป็น wireless management interface (management ทั้งหมด เช่น วง AP วง Data (ssid, vlan) จะวิ่งผ่านทาง port นี้ครับ) โดยพิมพ์คำสั่ง
int gi2 switchport mode trunk switchport trunk allow vlan all (ใน Production จริงๆ ควร allow เฉพาะ VLAN ที่ใช้งานจริงๆนะครับ)
10.) Enable การใช้งานคลื่น 2.4Ghz และ 5Ghz
ทำการ Browse ไปที่ IP ที่ได้เซตไว้ที่ interface gi1 หรือ interface vlan management และทำการ login username password ที่ได้ตั้งค่าไว้ในข้อ 1
เมื่อมาถึงหน้า Dashboard จะเห็นว่า คลื่น 2.4Ghz และ 5Ghz ปิดการใช้งานอยู่ จากข้อที่ 6 ให้คลิกไปที่ปุ่มสีแดง
จากนั้น คลิกไปที่ 5 GHz Band –> ติ๊กถูกตรง network status –> Apply
ทำซ้ำกับคลื่น 2.4GHz เช่นกัน
11.) Configure NTP server
เราจำเป็นต้อง Sync NTP server ก่อนการนำ AP มา Join เนื่องจากจะมีปัญหา PKI ไม่สามารถ trusted ได้ครับ
คลิกไปที่ administration –> Time
คลิก Add
ใส่ Hostname (NTP server) ที่เราต้องการได้เลยครับ และติ๊ก prefer –> Apply to Device
จะเห็นว่า Status peer เรียบร้อยแล้วครับ จากนั้น แก้ไข Time zone โดยไปที่ Change date and time
เลือก Time Zone เป็น UTC + 7 –> Apply to Device
จากนั้น จะเห็นว่า เวลาของ WLC จะตรงกันกับ เวลาปัจจุบันแล้วครับผม
12.) อย่างสุดท้าย Save Configuration ครับ
เมื่อเพื่อนๆ ทำตามครบ Step ทั้งหมดนี้แล้ว มั่นใจได้เลยว่า จะไม่มีปัญหาจุกจิกกวนใจ ในการ configuration ต่อๆไป เช่น Policy tags, Site tags, RF tags หรือปัญหา AP ไม่สามารถ Join Controller ได้ อย่างแน่นอนครับ
#C9800-CL #CiscoWLC #vWLC #Initial_configuration_c9800-cl
