Søk:

Standardoppsett for Cisco Aironet 1200

Oppsett av AP

Reset, flashing og config (alt på én gang!)

Dersom AP-et ikke er confet fra før, og du ikke kan logge deg inn over web/ssh, kjør full reset.

Sett opp laptop

Finn frem config og sw-image fra hhv. denne noden og cirkus:/tftpboot/cisco/c1200-k9w7-tar.123-8.JEE.tar, rename firmwaren til å hete c1200-k9w7-tar.default. Installér også dnsmasq på maskinen din (ligger i pakkebrønnene til ca. alt).

Koble opp nettverket

Du kan bare boote én Aironet i flashings-modus av gangen, da de tar IP-en 10.0.0.1. Det er likevel ofte greit å bruke en switch slik at ditt grensesnitt er oppe hele tiden og du kan koble opp neste AP mens du venter. Dette er selvsagt kun relevant hvis du skal confe flere AP i slengen.

Gi deg selv en IP i området 10.0.0.2-10.0.0.30

F.eks ifconfig eth0 10.0.0.2/24 up

Start dnsmasq med TFTP-root i mappen med configen og firmwaren

dnsmasq -a 10.0.0.2 -d -F 10.0.0.31,10.0.0.200,3600 -i eth0 -K --enable-tftp -M config.txt --bootp-dynamic --tftp-root=$PWD

For hvert AP

Endre config.txt til å passe AP-et. Hold inn mode-knappen i det du setter inn strømmen. En LED lyser oransje. Når den blir rød (20-ish sekunder?), slipp knappen.

Vent litt

Når du ser at AP-et har lastet ned firmware, bootet, bedt om IP på DHCP, lastet ned config, og kjørt DHCPRELEASE, skal det være confet. Du ser alle disse hendelsene på konsoll-output fra dnsmasq etter hvert. Det kommer gjerne en feilmelding om at nedlasting av firmware har feilet, denne kan ignoreres.

Lagre config

Nevnte config er dog ikke lagret. For å lagre, logg inn via SSH og kjør write memory. Merk at den bruker minst 30 sekunder på å generere ny RSA-nøkkel (og derfor ikke har SSH helt med én gang).

Sette ut AP

1. Pakk ut APet, gi det strøm, stapp det i rett port osv.
2. ssh inn til APet fra altersex som admin med lavsikkerhetspassord for å finne MAC-adresser. Du finner dem i de øverste linjene av show int fa0 og show int Dot11radio0 (evt. også Dot11Radio1 om den har to trådløsgrensesnitt).
3. Rediger /var/www/samfundet.no/wlan/whitelist på altersex, og legg inn den nye MAC-adressen, sjekk inn endringen i bzr.
4. Kjør /usr/local/sbin/iptables-setup for å åpne for trafikk fra APet til omverdenen.
5. På APet, skriv archive download-sw /reload tftp://193.35.52.30/cisco/c1130-k9w7-tar.124-25d.JA2.tar for å oppgradere IOS.
6. Rediger /etc/bind/pz/samfundet.no på cirkus, og legg til ny forward og reverse for APet. Husk å restarte (ikke reloade!) BIND med /etc/init.d/bind9 restart for å aktivere endringene.
7. Ferdig!

Konfigurere over cssh

Sidan alle aksesspunkta er nogonlunde like, og køyrer nogonlunde lik firmware er det enkelt å konfigurere dei over cssh. cssh er eit verktøy for å ssh-e til ein kluster av servere (i dette tilfellet aksesspunkt), og finnes i apt. Kjør f.eks. "cssh admin@fjerde-ap.wlan.samfundet.no admin@strossa-ap.wlan.samfundet.no admin@ osv." med alle aksesspunktene du vil konfigurere, og så kan du gjøre resten derfra.

Bytte passord

1. Ssh til AP-et som admin
2. Kjør enable
3. Sjekk nåværende innstillinger med show run om ønskelig
4. Kjør conf t og tast in enable secret 0 <nytt-passord>
5. Og deretter: username admin privilege 15 secret 0 <nytt-passord>
6. Kjør evt show run igjen
7. Kjør wr for å lagre endringer

Om du ikke er for feig kan du gjøre dette på alle i parallell med cssh :)

Bytte kanal

Du ser hvilken kanal AP-et bruker ved å kjøre litt show controllers | inc Channel

Å bytte kanal er ganske enkelt:

• enable
• conf t
• int dot11radio0
• channel X

Så skriver du exit til du er ute av configure igjen. Du vil nok avslutte med wr så AP-et husker endringen til neste gang.

Config-mal

En del parametre må endres i configen:

• Erstatt <passord> med gjeldende lavsikkerhetspassord (i klartekst), begge steder.
• Erstatt <mal-ap> med f.eks. itkserverrom-ap.
• Erstatt <.xx> med rett (gjerne neste ledige, sjekk DNS og ping) IP-adresse.
• Dersom AP-et allerede har en kjørende SSH-tjeneste, kan du fjerne crypto-linjen.

!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname <mal-ap>
!
enable secret 0 <passord>
!
ip subnet-zero
ip domain name wlan.samfundet.no
ip name-server 2001:67C:29F4::30
ip name-server 2001:4860:4860::8888
!
!
no aaa new-model
!
dot11 ssid Samfundet
   authentication open 
   guest-mode
!
!
!
no username cisco
username admin privilege 15 secret 0 <passord>
!
bridge irb
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 ssid Samfundet
 !
 world-mode dot11d country-code NO indoor
 speed throughput
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
 bridge-group 1 spanning-disabled
 no shutdown
!
interface Dot11Radio1
 ssid Samfundet
 no shutdown
!
interface FastEthernet0
 no ip address
 no ip route-cache
 speed auto
 full-duplex
 bridge-group 1
 no bridge-group 1 source-learning
 bridge-group 1 spanning-disabled
!
interface BVI1
 ip address 193.35.54.<.xx> 255.255.254.0
 no ip route-cache
!
ip default-gateway 193.35.54.1
no ip http server
no ip http secure-server
crypto key generate rsa general-keys modulus 2048
!
bridge 1 route ip
!
!
!
line con 0
 transport output all
line vty 0 15
 login local
 privilege level 15
 transport preferred ssh
 transport input ssh
 transport output ssh
!
no sntp broadcast client
sntp server 193.35.52.29
snmp-server view V3Read iso included
snmp-server group V3Group v3 auth read V3Read
snmp-server group V3Group v3 auth context vlan- match prefix read V3Read
snmp-server user admin V3Group v3 auth sha <passord1> priv des <passord2>
end

Config-mal 1600-APer

Disse har noen små endringer, fordi de er 5GHz-kapable og har Gi0 i stedet for Fa0. Ellers helt analogt.

!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname <mal-ap>
!
!
logging rate-limit console 9
enable secret 0 <passord>
!
no aaa new-model
ip cef
ip domain name wlan.samfundet.no
ip name-server 193.35.52.30
ip name-server 8.8.8.8
!         
!
!
dot11 syslog
!
dot11 ssid Samfundet
   authentication open 
   guest-mode
!
!
crypto pki token default removal timeout 0
!
!
no username cisco
username admin privilege 15 secret 0 <passord>
!
!
bridge irb
!
!
!
interface Dot11Radio0
 no ip address
 no ip route-cache
 !
 ssid Samfundet
 !
 antenna gain 0
 world-mode dot11d country-code NO indoor
 stbc
 beamform ofdm
 speed throughput
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
 no shutdown
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !
 ssid Samfundet
 !        
 antenna gain 0
 world-mode dot11d country-code NO indoor
 no dfs band block
 stbc
 beamform ofdm
 speed throughput
 channel dfs
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
 no shutdown
!
interface GigabitEthernet0
 no ip address
 no ip route-cache
 duplex auto
 speed auto
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface BVI1
 ipv6 address 2001:67c:29f4:1::20xx/64
 no ip route-cache
!
ip forward-protocol nd
no ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
snmp-server view V3Read iso included
snmp-server group V3Group v3 auth read V3Read
snmp-server group V3Group v3 auth context vlan- match prefix read V3Read
snmp-server user admin V3Group v3 auth sha <passord1> priv aes 128 <passord2>
bridge 1 route ip
!
!
!
line con 0
 transport output all
line vty 0 4
 privilege level 15
 transport preferred ssh
 transport input ssh
 transport output ssh
line vty 5 15
 privilege level 15
 login local
 transport preferred ssh
 transport input ssh
 transport output ssh
!
sntp server 193.35.52.29
end

Config-mal for 1200-APer til hjemmebruk

Her er en eksempelconfig som er helt ok til hjemmebruk. Det som er annerledes med denne er at APet henter ip fra DHCP og har passord på trådløsnettet. Pass på at det ikke henger igjen gammel config etter at du har lagt inn denne.

no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname <hostnavn>
!
enable secret 0 <passord>.
!
ip subnet-zero
ip name-server 8.8.8.8
!
!
no aaa new-model
dot11 syslog
!
dot11 ssid <navn på trådløsnettet>
 authentication open 
 authentication key-management wpa
 guest-mode
 wpa-psk ascii <passord for trådløsnett>
!
no username cisco
username admin privilege 15 secret 0 <passord>
!
bridge irb
!         
!         
interface Dot11Radio0
 no ip address
 no ip route-cache
 !        
 encryption mode ciphers aes-ccm 
 !        
 ssid <navn på trådløsnettet>
 !        
 world-mode dot11d country-code NO indoor
 speed throughput
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
 bridge-group 1 spanning-disabled
 no shutdown
!
interface Dot11Radio1
 no ip address
 no ip route-cache
 !        
 encryption mode ciphers aes-ccm 
 !        
 ssid <navn på trådløsnettet>
 !        
 world-mode dot11d country-code NO indoor
 speed throughput
 station-role root
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
 bridge-group 1 spanning-disabled
 no shutdown
!
interface FastEthernet0
 no ip address
 no ip route-cache
 speed auto
 full-duplex
 bridge-group 1
 no bridge-group 1 source-learning
 bridge-group 1 spanning-disabled
!
!         
interface BVI1
 ip address dhcp client-id FastEthernet0
 no ip route-cache
!         
no ip http server
no ip http secure-server
!         
bridge 1 route ip
!         
line con 0
line vty 0 4
 privilege level 15
 login local
 transport preferred ssh
 transport input ssh
 transport output ssh
line vty 5 15
 privilege level 15
 login local
 transport preferred ssh
 transport input ssh
 transport output ssh
no sntp broadcast client

Lenker: Start

Epost: itk@samfundet.no | Telefon: 992 15 925 | Sist endret: 2015-11-23 22:51 | Revisjon: 54 (historie, blame) | Totalt: 1880 kB | Rediger