Redundanttisuus kontrolleripohjaisessa langattomassa lähiverkossa Hakkarainen, Joni Vanhala, Pasi
Työn tavoite Rakentaa Kymenlaakson ammattikorkeakoulun tiloihin vikasietoinen eli redundanttinen kontrolleripohjainen langaton lähiverkko Saavuttaa riittävä redundanttisuus, jotta toisen kontrollerin vikaantuminen ei aiheuta pitkää katkosta Tärkeää, ettei käyttäjältä vaadita toimenpiteitä yhteyden palauttamiseksi Osa SimuNet-hanketta Tutkittu ja testattu laitteisto kytketään myöhemmin osaksi SimuNetlaboratoriota
Kontrolleriteoria Kontrollerien käyttö mahdollistaa tukiasemien, eli LAP-yksiköiden sijoittamisen maantieteellisesti hyvinkin laajalle alueelle Tukiasemat muodostavat tunneloidun yhteyden kontrolleriin ja kaikki konfigurointi suoritetaan keskitetysti kontrollerin kautta Tarvittaessa tukiasemat lataavat kontrollerilta uudemman ohjelmiston
Tukiaseman ja kontrollerin yhteys Kun tukiasema kytketään verkkoon, seuraa monivaiheinen prosessi jossa tukiasema pyrkii löytämään kontrollerin 1. Tukiasema lähettää DHCP-palvelimelle IP-osoitepyynnön, mikäli osoitetta ei ole ennestään määritetty 2. Osoitteen saamisen jälkeen tukiasema aloittaa kontrollerin etsinnän lähettämällä LWAPP-kyselyn 3. Kyselyn vastaanottavat kontrollerit vastaavat LWAPP-vastauksella 4. Tukiasema valitsee LWAPP-vastausten perusteella kontrollerin johon liittyy ja lähettää sopivalle kontrollerille liittymispyynnön 5. Kontrollerit vastaavat pyyntöön liittymisvahvistuksella 6. Tukiasema ja kontrolleri suorittavat vahvistusoperaation jossa verrataan autentikointi- ja salausavaimia 7. Tukiasema rekisteröityy kontrollerille
Ongelmana se, mistä tukiasema tietää mihin lähettää ensimmäisen LWAPP-kyselyn Cisco ratkaissut ongelman käyttämällä erityistä hakuprosessia ja tiettyjä algoritmeja Hakuprosessin vaiheet 1. Hakuprosessi alkaa kun tukiasema saa DHCP-palvelimelta IP-osoitteen (tai se on ennalta määritelty) 2. Mikäli on tukiasema on Layer 2 -tilassa, lähettää se LWAPP-kyselyn sisällytettynä Layer 2 LWAPP kehykseen 3. Kaikki kyselyn vastaanottavat Layer 2-kontrollerit vastaavat LWAPPvastauksella 4. Mikäli jompikumpi ei saa LWAPP-viestejä, siirtyy tukiasema Layer 3-tilaan 5. Tukiasema lähettää Layer 3 LWAPP WLC-pyyntöjä. 6. Layer 3 LWAPP-kysely alkaa kyselyviestillä samassa aliverkossa oleville kontrollereille 7. Layer 3-kontrollerit vastaavat tukiasemalle LWAPP-kyselyn unicastvastauksella 8. Jos tämäkin epäonnistuu, alkaa prosessi alusta IP-osoitteen pyytämisellä.
Tukiaseman rekisteröityminen kontrollerille (Layer 3)
Option-valinnat On mahdollista käyttää erityisiä Option-valintoja DHCP-konfiguraatiossa Työssä käytettiin Option 43-valintaa joka mahdollistaa kontrollerin osoitteen antamisen tukiasemalle DHCP-palvelin lähettää kontrollerin osoitteen tukiasemalle sisällytettynä DHCP-vastaukseen Toinen vaihtoehto on Option 15, jonka avulla tukiasemat saavat tiedon verkon Toinen vaihtoehto on Option 15, jonka avulla tukiasemat saavat tiedon verkon nimestä sekä DNS-palvelimen IP-osoitteen DHCP-vastaukseen sisällytettynä Tukiasemat lähettävät DNS-palvelimelle nimikyselyn CISCO-LWAPP- CONTROLLER.verkonnimi (esim..ictlab.kyamk.fi) Vastauksena kyselyyn DNS-palvelin antaa tukiasemille kontrollerin osoitteen Tukiasema lähettää kontrollerille Layer 3 unicast-lwapp-kyselyn Kontrolleri vastaa unicast-löytymisviestillä
*Mar 1 00:00:10.890: %CAPWAP-5-CHANGED: CAPWAP changed state to DISCOVERY *Mar 1 00:00:19.839: %DHCP-6-ADDRESS_ASSIGN: Interface FastEthernet0 assigned DHCP address 172.16.10.59, mask 255.255.255.0, hostname LWAP2 *Mar 1 00:01:10.793: %CAPWAP-3-ERRORLOG: Go join a capwap controller *Apr 5 08:34:29.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent peer_ip: 172.16.10.10 peer_port: 5246 *Apr 5 08:34:31.927: %CAPWAP-5-DTLSREQSUCC: DTLS connection created sucessfully peer_ip: 172.16.10.10 peer_port: 5246 *Apr 5 08:34:31.929: %CAPWAP-5-SENDJOIN: sending Join Request to 172.16.10.10 *Apr 5 08:34:31.929: %CAPWAP-5-CHANGED: CAPWAP changed state to JOIN *Apr 5 08:34:32.019: %CAPWAP-5-CHANGED: CAPWAP changed state to CFG *Apr 5 08:34:32.233: %CAPWAP-5-CHANGED: CAPWAP changed state to UP *Apr 5 08:34:32.242: %CAPWAP-5-JOINEDCONTROLLER: AP has joined controller Primary
Kontrolleritekniikan hyödyt Levityskustannusten pienentäminen Site-survey Kaapelointi Hallinnan yksinkertaistaminen Itsekonfiguroituvat ja itsekorjaantuvat verkot Turvallisuus Yritysverkko vs. vierailijaverkko
Operaattorinäkökulma Kontrollerit voivat sijaita maantieteellisesti eri paikassa, kuin tukiasemat Hyöty? Miten?
Työn suorittaminen Koululla ei oikeita kontrollereita Miten sen aiheuttamat ongelmat ratkaistaan? Siltaus No ip routing Bridge irb Bridge-group Interface BVI
Valmis kytkentä
Kontrollerien konfiguroiminen Asetusvelho läpi Lähes oletuksin ja Ciscon harjoitusta mukaillen Web-hallinta End-user liitännän luominen Aiheuttaa virheilmoituksen End-user liitännän yhdistäminen SSID:hen Turva-asetukset
Redundanttisuuden konfiguroiminen Toisen kontrollerin lisääminen kytkentään Mobility groupin konfigurointi Kontrollerien nähtävä toisensa Virtuaalinen IP-osoite Varmistus Ensisijaisen ja toissijaisen tukiaseman määrittäminen tukiasemille Konfiguroidaan ristiin Tukiasemien palaaminen ensisijaiselle kontrollerille Riittää vain ensisijaiselle kontrollerille
Ongelmat ja ratkaisut Tukiasemat eivät siirtyneet varakontrollerille Päivitettiin laiteohjelmisto versiosta 5.2 versioon 6.0 Koekytkentä, jolloin molemmilla kontrollereilla oli eri osoiteavaruudet Tukiasemat osasivat siirtyä, mutta loppukäyttäjä ei saanut uutta osoitetta ilman uudelleenyhdistämistä. Tämä ratkaistiin lopulliseen kytkentään reitittimien siltauksella Lopullisessa kytkennässä huomattiin, ettei web-hallintaan päässyt kirjautumaan Muutettiin kontrollereiden yhdyskäytävät Intenet-reitittimen f0/0- aliliityntäporttien IP-osoitteiksi Tukiasemat eivät saaneet yhteyttä kontrolleriin - Kytkimeltä asetettiin tarvittavat portit VLAN 10:n access-porteiksi
Jatkokehitys Rakennettua verkkoa voi ja on tarkoitus jatkokehittää SimuNetin tarpeisiin SimuNetillä voidaan simuloida Internetiä ja kontrollereiden toimintaa eri maantieteellisissä sijainneissa huomattavasti paremmin kuin mihin työssä käytetty yhden reitittimen "Internet" kykenee
SimuNet-verkon topologia kontrollerien osalta
Yhteenveto Laitteistorajoituksista huolimatta tavoite saavutettiin Rajoitusten kiertämiseen ja ongelmien selvitykseen kului huomattavan paljon aikaa Lopullisessa kytkennässä kontrollerit toimivat redundanttisesti ja verkko kestää toisen kontrollerin vikaantumisen Käyttäjille näkyvä katkos noin puoli minuuttia Kontrollerin vikaantuminen ei normaalitilanteissa kovinkaan yleistä