Cấu hình Workgroup Bridge Mode cho AP Cisco 9100 series

- Cisco cho phép Workgroup Bridge Mode (WGB) hỗ trợ trên các dòng AP Catalyst 9100 series từ phiên bản IOS-XE 17.8.1 trở lên. Chỉ có 3 mã AP sau hỗ trợ trong bản software này: Cisco 9105 / 9115 / 9120.

- Chức năng WGB trong AP dòng C9100 có một số hạn chế khi triển khai thực tế:

• Lọc MAC không được hỗ trợ cho các Wired-client (Client được kết nối qua dây).
• Thời gian chờ khi không hoạt động không được hỗ trợ cho cả WGB và Wired-client.
• Session timeout không thể áp dụng cho các Wired-client.
• Không hỗ trợ xác thực qua Web.
• WGB chỉ hỗ trợ tối đa 20 client.
• Wired-client đã kết nối tới WGB không được xác thực để bảo mật. Thay vào đó, WGB được xác thực với Access Point mà nó có đường kết nối tới. Do đó, chúng ta phải có giải pháp bảo mật lớp vật lý phía kết nối dây của WGB.
• Những Wired-client đã kết nối tới WGB sẽ thừa hưởng các thuộc tính QoS và AAA của WGB.
• Để cho phép WGB AP giao tiếp với root AP, hãy tạo một WLAN và đảm bảo rằng Aironet IE đã được bật trong phần Advanced settings.

- Dưới đây là mô hình thử nghiệm cho bài viết này. (Ở đây chúng ta sẽ thấy cấu hình cơ bản của WGB).

​

- Để WGB hoạt độg được, bạn phải bật “Aironet-IE” bên trong phần Advanced của cấu hình WLAN profile trong giao diện GUI của WLC (hoặc EWC) 9800. Ở đây, SSID đã dược cấu hình với PSK (AKM 2) và FT+PSK (AKM 4) như hình dưới.

​

- Bản firmware ở đây là của Cisco C9115 (AP này đã được quản lý bởi C9800-CL với IOS-XE 17.8.1 giống một AP đầu tiên)

AP3-C9115#sh version
AP3-C9115 uptime is 0 days, 4 hours, 52 minutes
Last reload time : Sat Jul 9 07:05:22 UTC 2022

cisco C9115AXI-B ARMv8 Processor rev 0 (v8l) with 1971460/1186572K bytes of memory.
Processor board ID 0
AP Running Image : 17.8.0.144
Primary Boot Image : 17.8.0.144
Backup Boot Image : 8.10.121.0
.
.
1 Multigigabit Ethernet interfaces
2 802.11 Radios
Radio Driver version : Broadcom BCA: 17.20 RC10.0
Radio FW version : 1570.15656.r44417 44417​

- Bạn phải thực hiện đăng ký các AP C9105/9115/9120 vào C9800 đang chạy firmware 17.8.1 hoặc cao hơn để chuyển đổi AP đó thành WGB mode. Câu lệnh CLI để chuyển sang WGB mode là “ap-type workgroup-bridge”.

AP3-C9115#ap-type
capwap Switch to CAPWAP AP type
ewc-ap Switch to EWC AP type
workgroup-bridge Switch to Workgroup Bridge(WGB) AP type
AP3-C9115#ap-type workgroup-bridge

WGB is a wireless client that serve as nonroot ap for wired clients.
AP is the Master/CAPWAP AP, system will need a reboot when ap type is changed to
WGB. Do you want to proceed? (y/N): y​

- Khi AP trong WGB mode bạn có thể cấu hình bằng cách sử dụng lệnh “configure x” trong global exec mode. Sau đây là cấu hình của một SSID profile trong WGB.

AP3-C9115#configure
ap AP commands for IPv4/6 Configuration
boot Set boot parameters
clock Manage the system clock
crypto Encryption module
dot11Radio Dot11 radio interface
dot1x IEEE 802.1X global configuration commands
eap-profile EAP global configuration commands
ntp Configure NTP
qos Configure qos for wireless clients
radius Configure radius server
security security information
ssh Configure secure shell operation
ssid-profile Configure SSID profile information
wgb Workgroup-bridge configuration
AP3-C9115#configure ssid-profile
WORD <Enter SSID profile name>
AP3-C9115#configure ssid-profile WGB_PSK
delete Delete the SSID profile
ssid Configure radio service set parameters
AP3-C9115#configure ssid-profile WGB_PSK ssid WGB_PSK
authentication authentication method
dtim Configure DTIM period
qos QOS profile configured to ssid
AP3-C9115#configure ssid-profile WGB_PSK ssid WGB_PSK authentication
eap Dot1x method
open open method
psk Pre-shared key method
AP3-C9115#configure ssid-profile WGB_PSK ssid WGB_PSK authentication psk
WORD Enter pre-shared Key
AP3-C9115#configure ssid-profile WGB_PSK ssid WGB_PSK authentication psk Wgb@112233
key-management key management
AP3-C9115#configure ssid-profile WGB_PSK ssid WGB_PSK authentication psk Wgb@112233 key-management
dot11r 802.11r Fast BSS Transition
dot11w 11w PMF Client Configuration
wpa2 allow WPA Version 2 clients

AP3-C9115#configure ssid-profile WGB_PSK ssid WGB_PSK authentication psk Wgb@112233 key-management wpa2
​

- Cấu hình radio (kênh) dành cho “workgroup-bridge” và chọn SSID cho nó. Khi làm bước này bạn có thể bật radio interface lên.

AP3-C9115#configure dot11
<0-1> Dot11Radio interface number

AP3-C9115#configure dot11 1
antenna Configure dot11 radio antenna settings
beacon-period Configure periodic beacon interval
channel Configure root AP mode radio channel
disable Disabile the selected radio interface
enable Enable the selected radio interface
encryption Configure dot11 encryption parameters
mode Mode of the radio
wlan Configure WLAN at root AP mode radio
AP3-C9115#configure dot11 1 mode
root-ap Root access point or bridge
scan WGB passive scanning mode operation
wgb Workgroup-bridge
AP3-C9115#configure dot11 1 mode wgb
ssid-profile SSID Profile to be mapped
AP3-C9115#configure dot11 1 mode wgb ssid-profile
WORD <Enter the configured ssid profile name>

AP3-C9115#configure dot11 1 mode wgb ssid-profile WGB_PSK
AP3-C9115#configure dot11 1 enable
​

- Sau khi bạn đã bật "radio 1 interface" lên, bạn có thể thấy được client đang tham gia vào WLC 9800 đã cấu hình WLAN và nhận địa chỉ IP.

[*07/09/2022 22:26:44.6580] DOT11_CFG[1] Radio Mode is changed from Local to WGB Uplink
[*07/09/2022 22:26:44.6580] DOT11_UPLINK_DRIVER[1]: WGB uplink mode started
[*07/09/2022 22:26:44.9480] DOT11_UPLINK_DRIVER[1]: Disabled radar detection
[*07/09/2022 22:26:44.9620] DOT11_UPLINK_DRIVER[1]: Disabled DFS CAC timer
[*07/09/2022 22:26:45.0360] SSID-Profile WGB_PSK has been saved successfully
[*07/09/2022 22:26:45.0360]
[*07/09/2022 22:26:50.2370] DOT11-UPLINK_ESTABLISHED: Interface Dot11Radio1, Associated To AP AP2-C9130 2C:57:41:52:B0:CF [WPA2 PSK]
[*07/09/2022 22:26:50.2450] DOT11-UPLINK_ESTABLISHED: Interface Dot11Radio1, Associated To AP AP2-C9130 2C:57:41:52:B0:CF [WPA2 PSK]
[*07/09/2022 22:26:51.8890] chatter: DHCP-EVT: Sending DHCP discover packet length 346 bytes
[*07/09/2022 22:26:55.8900] chatter: DHCP-EVT: Sending DHCP discover packet length 346 bytes
[*07/09/2022 22:26:55.9130] chatter: DHCP-EVT: Received DHCP msg type: DHCP_OFFER from server: 192.168.200.1
[*07/09/2022 22:26:55.9130] chatter: DHCP-EVT: DHCP client machine state: init
[*07/09/2022 22:26:55.9130] chatter: DHCP-EVT: Sending DHCP request packet length 346 bytes
[*07/09/2022 22:26:55.9340] chatter: DHCP-EVT: Received DHCP msg type: DHCP_ACK from server: 192.168.200.1
[*07/09/2022 22:26:55.9340] chatter: DHCP-EVT: DHCP client machine state: requesting
[*07/09/2022 22:26:59.2920] odhcp6c[8301]: in timer_init.​

- Hãy sử dụng câu lệnh “show wgb dot11 x” để kiểm tra. Bạn có thể thấy được WGB đã kết nối được với chuẩn 11ax (WiFi 6) và nhận địa chỉ IP (như vd: 192.168.200.101). Lưu ý, thông số "Current Datarate" hiển thị là 2401Mbps, đó là tốc độ truyền tối đa mà bạn có thể nhận được với 4×4:4SS, 80MHz, 0.8us GI client.

AP3-C9115#show wgb
bridge Bridge Forwarding/Filtering Database [verbose]
dot11 IEEE 802.11 show information
dot11v 802.11v info
eap Shows EAP information
forwarding WGB Forwarding
mobile Current mobile station
qos Show QOS information
scan show passive scan details
ssid show configured and connected SSID details
statistic Packet statistics
wifi WGB frameware wifi0

AP3-C9115#show wgb dot11 associations
Uplink Radio ID : 1
Uplink Radio MAC : F8:0F:6F:15:27:2F
SSID Name : WGB_PSK
Parent AP Name : AP2-C9130
Parent AP MAC : 2C:57:41:52:B0:CF
Uplink State : CONNECTED
Auth Type : PSK
Key management Type : WPA2
Dot11 type : 11ax
Channel : 52
Bandwidth : 80 MHz
Current Datarate : 2401 Mbps
Max Datarate : 2401 Mbps
RSSI : 33
IP : 192.168.200.101/24
Default Gateway : 192.168.200.1
DNS Server1 : 192.168.100.101
Domain : mrn.local
IPV6 : ::/128
Assoc timeout : 5000 Msec
Auth timeout : 5000 Msec
Dhcp timeout : 60 Sec​

- Từ giao diện CLI của Cisco WLC 9800, bạn cũng có thể kiểm tra thông số sóng RSSI/SNR dành cho AP 9115 WGB client.

C9800-2#show wireless client mac-address f80f.6f15.272f detail | in Current|Sup|Client|dB|AP|For
Client MAC Address : f80f.6f15.272f
Client MAC Type : Universally Administered Address
Client DUID: NA
Client IPv4 Address : 192.168.200.101
Client IPv6 Addresses : fe80::524a:8c93:c330:7d60
Client Username: N/A
AP MAC Address : 2c57.4152.b0c0
AP Name: AP2-C9130
AP slot : 1
Client State : Associated
Client type : Workgroup Bridge
Wired Client count : 0
Connected For : 1806 seconds
Client IIF-ID : 0xa0000003
WMM Support : Enabled
U-APSD Support : Disabled
Fastlane Support : Disabled
Client Active State : Active
Current Rate : m11 ss4
Supported Rates : 6.0,9.0,12.0,18.0,24.0,36.0,48.0,54.0
Client Join Time:
Join Time Of Client : 07/10/2022 17:28:52 AEST
Client State Servers : None
Client ACLs : None
Client Entry Create Time : 1803 seconds
EAP Type : Not Applicable
Client Capabilities
Client Statistics:
Number of Bytes Received from Client : 63776
Number of Bytes Sent to Client : 15466
Number of Packets Received from Client : 445
Number of Packets Sent to Client : 137
Radio Signal Strength Indicator : -28 dBm
Signal to Noise Ratio : 71 dB
Client Scan Report Time : Timer not running
Client Scan Reports
Nearby AP Statistics:
Max Client Protocol Capability: Wi-Fi6 (802.11ax)​

- Ngoài ra, bạn thêm tùy chọn các cấu hình như: NTP, SSH, Mgt user…

AP3-C9115#configure ntp server 192.168.100.1
AP3-C9115#show ntp
Stratum Version Last Received Delay Offset Jitter NTP server
3 4 12sec ago 0.198ms -0.048ms 0.000ms
192.168.100.1
AP3-C9115#show clock
*15:46:49 AEST Sun Jul 10 2022

AP3-C9115#configure ssh enable

AP3-C9115#show ip int brief
Interface IP-Address Method Status
Protocol Speed Duplex
wired0 unassigned unset up up 1000 full
auxiliary-client 192.168.200.101 DHCP up up n/a n/a
apr0v0 n/a n/a administatively down down n/a n/a
apr1v0 n/a n/a up up n/a n/a

**** basic IP & Mgmt user ***

AP3-C9115#configure ap
address IPv4/6 address config
hostname Configure AP hostname
management Configure mgmt user credentials
!
AP3-C9115#configure ap management add username admin-wr password <password> secret <enable_secret>
****​

- Theo cấu hình SSID của bạn, và Session timeout (mặc định là 30 phút) bạn sẽ thấy WGB thực hiện xác thực và thiết lập lại kết nối với WLC và Root AP khi có syslog (disassociate & reassociate). Trên WLC 9800 bạn có thể tăng giá trị Timeout lên tối đa là "86400" giây (24h). Và không thể tắt Session timeout trong nền tảng này. Dưới đây là console log của WGB khi việc xác thực lại xảy ra.

AP3-C9115#[*07/10/2022 15:56:30.0867] Received disassociate (uplink)[F8:0F:6F:15:27:2F], (bssid)[2C:57:41:52:B0:CF] (252) unknown
[*07/10/2022 15:56:30.1347] Received deauthenticate (uplink)[F8:0F:6F:15:27:2F], (bssid)[2C:57:41:52:B0:CF] (252) unknown
[*07/10/2022 15:56:30.2997] wl: Not Ready
[*07/10/2022 15:56:30.3007] (Dot11UplinkBcm) (vendor_set_80211_systemcmd:1093) System cmd wl -i apr1v0 scan -c 36,40,44,48,52,56,60,64,100,104,108,112,116,120,124,128,132,136,140,144,149,153,157,161,165 -s WGB_PSK returned with status: 54016
[*07/10/2022 15:56:35.1607] wl: Scan Rejected
[*07/10/2022 15:56:35.1617] (Dot11UplinkBcm) (vendor_set_80211_systemcmd:1093) System cmd wl -i apr1v0 scan -c 36,40,44,48,52,56,60,64,100,104,108,112,116,120,124,128,132,136,140,144,149,153,157,161,165 -s WGB_PSK returned with status: 54016
[*07/10/2022 15:56:40.1687] wl: Scan Rejected
[*07/10/2022 15:56:40.1687] (Dot11UplinkBcm) (vendor_set_80211_systemcmd:1093) System cmd wl -i apr1v0 scan -c 36,40,44,48,52,56,60,64,100,104,108,112,116,120,124,128,132,136,140,144,149,153,157,161,165 -s WGB_PSK returned with status: 54016
[*07/10/2022 15:56:49.4918] DOT11-UPLINK_ESTABLISHED: Interface Dot11Radio1, Associated To AP AP2-C9130 2C:57:41:52:B0:CF [WPA2 PSK]
[*07/10/2022 15:56:49.4998] DOT11-UPLINK_ESTABLISHED: Interface Dot11Radio1, Associated To AP AP2-C9130 2C:57:41:52:B0:CF [WPA2 PSK]​

- Với bản firmware này, Cisco đã giới thiệu một cách để bạn có thể tải cấu hình WGB tới một AP khác một cách đơn giản. Đầu tiên, bạn có thể upload cấu hình WGB đang hoạt động tới một SFTP/TFTP server. Sau đó bạn có thể tải nó lên AP khác. Bạn có thể sử dụng lệnh “copy configuration upload {SFTP|TFTP}: <server_ip_addr> <dir> <filename>” để tải về. Mặc định tên file cấu hình sẽ giống như ví dụ “wgb_running_config.AP3-C9115”.

AP3-C9115#copy configuration upload tftp: 192.168.100.13

Starting upload of WGB config tftp://192.168.100.13 ...
It may take a few seconds. If longer, please cancel command, check network and try again.
######################################################################## 100.0%
Config upload completed.

--- steps to on Cisco Prime ---
cpi/admin# shell
Enter shell access password :
Starting bash shell ...
!
ade # cd /localdisk/tftp/
ade # cp wgb_running_config.AP3-C9115 /localdisk/defaultRepo/
!
ade # exit
cpi/admin# copy disk:defaultRepo/wgb_running_config.AP3-C9115 ftp://192.168.99.100/
Username: ftpuser
Password:​

- Khi đã tải về tftp server xong, bạn có thể xem bên trong file cấu hình này. Cấu hình WGB ở dưới đây, mặc định có một số hàng cấu hình mặc định. Những dòng in đậm là những cấu hình thủ công.

configure ap management add username admin-wr password $1$$aOSB4e1x4s0F7HGAARc5e0 secret $1$$aOSB4e1x4s0F7HGAARc5e0
configure ntp server 192.168.100.1
configure clock timezone AEST-10:0
configure ssid-profile WGB_PSK ssid WGB_PSK authentication psk U2FsdGVkX19dKErYKCCysjYrpLGUF2dhaCIFK61k7TI= key-management dot11r
configure ssid-profile WGB_PSK ssid WGB_PSK qos profile
configure wgb broadcast tagging disable
configure wgb packet retries 64 drop
configure ssh enable
configure dot11Radio 0 mode wgb ssid-profile WGB_PSK
configure dot11Radio 0 enable
configure dot11Radio 1 encryption mode ciphers aes-ccm
configure dot11Radio 1 mode wgb ssid-profile WGB_PSK
configure dot11Radio 1 enable
configure ap address ipv6 disable​

- Bây giờ bạn có thể tải cấu hình này đến WGB khác có cấu hình trắng. Bạn có thể sử dụng câu lệnh CLI “copy configuration download {SFTP|TFTP}: <server_ip_addr> <dir> <filename>”.

--- Cám ơn bạn đã xem bài viết này ---​