QoS Basics: AF/DSCP to CoS

QoS Basics: AF/DSCP to CoS Ausgangslage:

  • SSID QOS3 / VLAN13 
  • Stelle sicher, dass Clients TSPEC unterstützen
  • Optimiere Verbindung von 792xG Phones

SSID UND VLAN

AAP2(config)#dot11 ssid QOS3
AAP2(config-ssid)#authentication open 
AAP2(config-ssid)#vlan 13

AAP2(config-ssid)#interface dot11Radio 1
AAP2(config-if)#ssid QOS3

AAP2(config-if)#interface dot11Radio 1.13
AAP2(config-subif)#encapsulation dot1Q 13
AAP2(config-subif)#bridge-group 13

AAP2(config-if)#interface FastEthernet 1.13
AAP2(config-subif)#encapsulation dot1Q 13
AAP2(config-subif)#bridge-group 13

Stelle sicher, dass Clients TSPEC unterstützen

Allgemeine Einstellungen bezüglich COS Wire/Wireless mapping, diese werden hier genauer erläutert.

AAP2(config)#dot11 arp-cache
AAP2(config)#dot11 phone dot11e
AAP2(config)#dot11 priority-map avvid 

Zunächst legt man eine  Class-Map an, welche „EF“ für den Voicestream bzw. „cs3“ für die Signalisierung matched. 

AAP2(config)#class-map match-all RTP
AAP2(config-cmap)#match ip dscp ef
AAP2(config)#class-map match-all SCCP
AAP2(config-cmap)#match ip dscp cs3

Danach setzt man eine Action via Policy Map. RTP soll in COS6 und SCCP in COS4 übersetzt werden

AAP2(config-cmap)#policy-map Voice
AAP2(config-pmap)# class RTP
AAP2(config-pmap-c)#  set cos 6
AAP2(config-pmap)# class SCCP
AAP2(config-pmap-c)#  set cos 4

Visuell dargestellt passiert folgendes:

Auf dem Radio Interface wird die Policy in beide Richtungen angezogen

AAP2(config)#interface dot11Radio 0.13
AAP2(config-subif)#service-policy input Voice
AAP2(config-subif)#service-policy output Voice

Auf dem Ethernet Interface reicht ausgehende Richtung 

AAP2(config)#int fa0.13
AAP2(config-subif)#service-policy output Voice

Warum wird auf dem Radio Interface in beide Richtungen angezogen?
 Damit Traffic, welcher von einer anderen SSID (zb. dot0.20) kommt, ebenfalls matched.

 

 

QOS BASICS: Simple ViWLAN Priorisierung mit MQC

QOS BASICS: SIMPLE Video over WLAN PRIORISIERUNG mit MQC

Ausgangslage:

  • SSID QOS2 / VLAN14 soll für Video Conferencing
  • Konfiguriere den AP, dass er sämtliche unmarkierten Pakete auf dieser SSID mit UP5 tagged
  • Pakete mit UP5 dürfen nur die Datenraten 12,18 und 24MBits/s benutzen, andere Pakete (auf dem selben Radio Interface) dürfen sämtliche Datenraten benutzen.
  • Wenn ein UP5 Paket mehr als 4 mal retried, soll es gedropped werden

SSID und VLAN

AAP2(config)#dot11 ssid QOS2
AAP2(config-ssid)#authentication open 
AAP2(config-ssid)#vlan 14

AAP2(config-ssid)#interface dot11Radio 1
AAP2(config-if)#ssid QOS2

AAP2(config-if)#interface dot11Radio 1.14
AAP2(config-subif)#encapsulation dot1Q 14
AAP2(config-subif)#bridge-group 14

AAP2(config-if)#interface FastEthernet 1.14
AAP2(config-subif)#encapsulation dot1Q 14
AAP2(config-subif)#bridge-group 14

sämtliche unmarkierten Pakete auf SSID QOS2 mit UP5 tagged

AAP2(config)#policy-map QOS-PM
AAP2(config-pmap)#class class-default
AAP2(config-pmap-c)#set cos 5

 

AAP2(config-if)#interface dot11Radio 1.14
AAP2(config-subif)#service-policy input QOS-PM
AAP2(config-subif)#service-policy outout QOS-PM 

 

Pakete mit UP5 dürfen nur mit den Datenraten 12, 18 und 24 Mbits gesendet werden:

Low latency Packet rates can also be defined at the interface level, using the following command which defines the nominal rates and the allowed rates to use: traffic-stream priority value sta-rates {[nominal rates] | [rates]}

AAP2(config)#interface dot11Radio 1
AAP2(config-if)#traffic-stream priority 5 sta-rates ?
 12.0 Allow 12.0 Mb/s rate
 18.0 Allow 18.0 Mb/s rate
 24.0 Allow 24.0 Mb/s rate
 36.0 Allow 36.0 Mb/s rate
 48.0 Allow 48.0 Mb/s rate
 54.0 Allow 54.0 Mb/s rate
 6.0 Allow 6.0 Mb/s rate
 9.0 Allow 9.0 Mb/s rate
 nom-12.0 Allow Nominal 12.0 Mb/s rate
 nom-18.0 Allow Nominal 18.0 Mb/s rate
 nom-24.0 Allow Nominal 24.0 Mb/s rate
 nom-36.0 Allow Nominal 36.0 Mb/s rate
 nom-48.0 Allow Nominal 48.0 Mb/s rate
 nom-54.0 Allow Nominal 54.0 Mb/s rate
 nom-6.0 Allow Nominal 6.0 Mb/s rate
 nom-9.0 Allow Nominal 9.0 Mb/s rate
 <cr>

AAP2(config-if)#traffic-stream priority 5 sta-rates nom-12.0 nom-18.0 nom-24

Unterschied nominal non-nominal:

  • Nominal—The AP will try to use this rate to send the Low Latency Packets (using the faster rate first, and depending on the client signal level).
  • Non-nominal—The AP will try not to use that rate, but will revert to it if no nominal rate is possible.
  • Disabled—The AP will not try to use that rate.

Bei mehr als 4 Retry sollen UP5 Pakete gedropped werden:

AAP2(config-if)#packet max-retries 4 0 fail-threshold 100 500 priority 5 drop-packet 

AAP2(config-if)#packet max-retries 4 0?
 <0-128> # packet retries before dropping pkt if 2nd fail-threshold not
 reached

AAP2(config-if)#packet max-retries 4 0 fail-threshold 100?
 <0-1000> # consecutive dropped packets before switching max-retries
 thresholds

AAP2(config-if)#packet max-retries 4 0 fail-threshold 100 500?
 <0-1000> number of consecutive dropped packets before disassociating client

 

 

 

QoS Basics: Simple VoWLAN Priorisierung ohne MQC

QoS Basics: Simple VoWLAN Priorisierung ohne MQC

Ausgangslage:

  • SSID QOS1 / VLAN12 soll für Phones und Laptop benutz werden
  • Stelle sicher, dass 792xG Phones auf dieser SSID die Radio Utilisation mitgeteilt bekommen
  • Stelle sicher, dass RTP Pakete die richtige Queue benutzen. (Ohne Accessliste)
  • Stelle sicher, dass Voice Pakete von Wired to Wireless mit dem richtigen QoS Wert übersetzt werden.

SSID und VLAN Definieren:

AAP1(config)#dot11 ssid QOS1
AAP1(config-ssid)#authentication open 
AAP1(config-ssid)#vlan 12

AAP1(config-ssid)#interface dot11Radio 1
AAP1(config-if)#ssid QOS1

AAP1(config-if)#interface dot11Radio 1.12
AAP1(config-subif)#encapsulation dot1Q 12
AAP1(config-subif)#bridge-group 12

AAP1(config-if)#interface FastEthernet 1.12
AAP1(config-subif)#encapsulation dot1Q 12
AAP1(config-subif)#bridge-group 12

Radio Utilization dem Client mitteilen:

Dies wird über CDP mitgeteilt. Standardmässig aktiviert. Sollte es deaktiviert sein

AAP1(config)#interface dot11Radio 1
AAP1(config-if)#cdp enable 

Sicherstellen, dass RTP Pakete die richtige Queue benutzen:

AAP1(config)#interface dot11Radio 1
AAP1(config-if)#dot11 qos mode wmm 

Erklärung:

When you enable QoS, the access point uses Wi-Fi Multimedia (WMM) mode by default. WMM provides these enhancements over basic QoS mode:

  • The access point adds each packet’s class of service to the packet’s 802.11 header to be passed to the receiving station.
  • Each access class has its own 802.11 sequence number. The sequence number allows a high-priority packet to interrupt the retries of a lower-priority packet without overflowing the duplicate checking buffer on the receiving side.
  • For access classes that are configured to allow it, transmitters that are qualified to transmit through the normal backoff procedure are allowed to send a set of pending packets during the configured transmit opportunity (a specific number of microseconds). Sending a set of pending packets improves throughput because each packet does not have to wait for a backoff to gain access; instead, the packets can be transmitted immediately one after the other.
  • The access point uses WMM enhancements in packets sent to client devices that support WMM. The access point applies basic QoS policies to packets sent to clients that do not support WMM.
AAP1(config)#Dot11 phone

When you enable QoS Elements for wireless phones, the AP give top priority to voice packets even if you do not enable QoS. This settings operate independently from the QoS policies that you configure.

Stelle sicher, dass Voice Pakete von Wired to Wireless mit dem richtigen QoS Wert übersetzt werden.

AAP1(config)#dot11 priority-map avvid

Erklärung:

Dieses Feature ist per Default ausgeschaltet. Es sorgt dafür, dass COS5 Ethernet Pakete zu COS6 getagged werden.

This maps ethernet packets tagged as CoS 5 to CoS6. This feature enables the AP to apply correct priority to voice packets for compatibility with Cisco AVVID networks.

 

 

IOS Basics: AAA mit TACACS+

IOS Basisc: AAA mit TACACS+

Ausgangslage:

  • Für den Management Zugriff auf den Accesspoint soll TACACS verwendet werden
  • Es soll nur SSH und HTTPS möglich sein
  • HTTPS Server soll auf Port 8443 laufen
  • Es sollen nur Clients aus dem Range 10.10.10.0/24 und 10.10.11.0/24 Zugriff Management Zugriff haben

Dieser Artikel beschreibt die AAA Konfiguration auf dem Accesspoint. Wie man den ACS konfiguriert, kann man hier nachlesen:

ACS Level 15 Access für Autonomous APs

AAA Aktivieren und TACACS Server definieren:

Zu definiert man die IP des TACACS Server und das Passwort, danach verlinkt man den Server mit einer Gruppe „TAC_SERVERS“

AAP1(config)#aaa new-model
AAP1(config)#tacacs-server host 10.10.210.5 key 0 TAC_PASSWORD

AAP1(config)#aaa group server tacacs+ TAC_SERVERS 
AAP1(config-sg-tacacs+)#server 10.10.210.5

Jetzt kann man die verschiedenen AAA Methoden auf die TACACS Gruppe referenzieren, hier kann man als Platzhalter ebenfalls eine Gruppe definieren „AAA_LOGIN„. Als Fallback Action kann man optional „local“ wählen.

AAP1(config)#aaa authentication login ? 
 WORD Named authentication list.
 default The default authentication list.

AAP1(config)#aaa authentication login AAA_LOGIN group TAC_SERVERS local
AAP1(config)#aaa authorization exec AAA_LOGIN group TAC_SERVERS local 

Wenn man möchte, dass Level15 User direkt im Enable modus sind, kann man folgendes konfigurieren:

AAP1(config)#aaa authentication enable default group TAC_SERVERS enable

Https und SSH Server konfigurieren für TACACS Login:

AAP1(config)#no ip http server
AAP1(config)#ip http secure-server 
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

AAP1(config)#
AAP1(config)#ip http secure-port 8443

Referenzieren des HTTPs Login auf die AAA Liste:

AAP1(config)#ip http authentication aaa login-authentication AAA_LOGIN
AAP1(config)#ip http authentication aaa exec-authorization AAA_LOGIN

Das gleiche macht man nun für SSH:

AAP1(config)#line vty 0 4
AAP1(config-line)#transport input ssh 
AAP1(config-line)#login authentication AAA_LOGIN

Management Access Einschränken:

Zu erst ACL definieren:

AAP1(config)#do sh run int bvi1
interface BVI1
 ip address 10.10.110.100 255.255.255.0
 no ip route-cache
ip access-list extended Management
permit tcp 10.10.10.0 0.0.0.254 host 10.10.110.100 eq 22
permit tcp 10.10.10.0 0.0.0.254 host 10.10.110.100 eq 8443
permit tcp host 10.10.210.5 eq tacacs host 10.10.110.100
deny ip any any log

ACL auf BVI anziehen:

AAP1(config)#interface bvI 1
AAP1(config-if)#ip access-group Management in 

 

 

Radio Settings: Daten Raten und Antennen Optionen

Radio Settings: Daten Raten und Antennen Optionen

Ausgangslage:

  • Es soll nur die Linke Antenne verwendet werden (1241 AP) auf dem 2.4GHz Band
  • Multicast soll auf dem 2.4 GHz Band mit (mindestens) 11 Mbit/s senden können. Alle OFDM Daterates sollen auf dem 2.4 GHz Band erlaubt sein
  • Broadcast Traffic auf dem 5 GHz Band soll mit 12 MBit/s senden können. Aktiviere zusätzlich sämtliche für VoWLAN empfohlenen Datenraten auf dem 5 GHz Band
  • Gewährleiste maximale Performance für 802.11g Clients

 

Sende und Empfangsantenne definieren:

Die Antenne definieren ist ziemlich staight forward, da nur das 2.4GHz Band verlang ist, macht man dies auf dem DotRadio 0 Interface. Man unterscheidet dabei zwischen Send und Transmit. Theoretisch wäre es also möglich auf der linken Antenne zu senden und auf der rechten Antenne zu empfangen.

AAP1(config)#int d0
AAP1(config-if)#antenna ?
 gain Configure Resultant Antenna Gain
 receive receive antenna usage setting
 transmit transmit antenna usage setting


AAP1(config-if)#antenna receive ?
 diversity use all antennas
 left use left antenna
 right use right right antenna
 <cr>

AAP1(config-if)#antenna receive left 
AAP1(config-if)#
*Mar 14 05:40:28.097: %LINK-5-CHANGED: Interface Dot11Radio0, changed state to reset
*Mar 14 05:40:28.127: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to up

AAP1(config-if)#antenna transmit left 

*Mar 14 05:40:44.161: %LINK-5-CHANGED: Interface Dot11Radio0, changed state to reset
AAP1(config-if)#
*Mar 14 05:40:44.191: %LINK-3-UPDOWN: Interface Dot11Radio0, changed state to up

Multicast soll mit 11 MBit/s versendet werden und alle OFDM Datenraten erlaubt:

Multicast wird jeweils mit der „highest mandatory“ Datarate versendet, diese muss also auf 11 Mbits/s definiert werden.  (mehr …)

IOS Basics: EAP / MAC Authentication

IOS Basics: EAP / MAC Authentication

Ausgangslage:

  • EAP Clients sollen sich alle zwei Stunden re-autentifizieren
  • Clients sollen während dem Connecten innerhalb 10 Sekunden den EAP Request durchführen.
  • Nur die MAC Adresse DEAD.BEEF.DEAD darf auf VLAN17 connecten.

EAP Reauthentifizierung anfordern:

AAP1(config)#dot1x timeout ?
 reauth-period reauthentication interval in seconds
 supp-response Number of seconds to wait for the supplicant to respond 

AAP1(config)#dot1x timeout re
AAP1(config)#dot1x timeout reauth-period ?
 <1-65535> Seconds
 server use server provided reauthentication interval

AAP1(config)#dot1x timeout reauth-period 7200 

EAP Request timer konfigurieren:

AAP1(config)#dot1 timeout supp-response ?
 <1-120> Seconds

AAP1(config)#dot1 timeout supp-response 120

MAC Accessliste auf VLAN17: (mehr …)

IOS Basics: Time Based ACL

IOS Basics: Time Based ACL

Ausgangslage:

  • Der WiFI Zugriff von VLAN13 / SSID13 soll nur zwischen 08:00 und 17:00 möglich sein.

Time Range definieren:

AAP1(config)#time-range 8to5

AAP1(config-time-range)#periodic ?
 Friday Friday
 Monday Monday
 Saturday Saturday
 Sunday Sunday
 Thursday Thursday
 Tuesday Tuesday
 Wednesday Wednesday
 daily Every day of the week
 weekdays Monday thru Friday
 weekend Saturday and Sunday


AAP1(config-time-range)#periodic daily ?
 hh:mm Starting time
AAP1(config-time-range)#periodic daily 08:00 ?
 to ending day and time
AAP1(config-time-range)#periodic daily 08:00 to 17:00 

Time Based ACL Anlegen:

AAP1(config)#ip access-list extended 8to5ACL
 AAP1(config-ext-nacl)#permit IP ANy Any TIme-range 8to5

ACL auf Interface Anziehen:

AAP1(config)#int do0.13
 AAP1(config-subif)#ip access-group ACL8to5 in 

 

IOS Basics: Lokaler Radius

SSID BASICS: Lokaler Radius Server

Ausgangslage:

  • Der Autonomous AP soll als Radius Server dienen
  • WDS benutzt „wds“ als User und „wdspass“ als Passwort
  • Benutze „RADPASS“ als Radius Passwort zwischen den AP’s
  • User „leap“ Passwort „leap“
  • User „eapfast“ PAsswort „eapfast“
  • Lediglich LEAP und EAP-FAST soll erlaubt sein
  • PACs sollen nach 14 Tagen verfallen
  • Zum Schutz for BruteForce sollen LEAP User nach 5 Versuchen für 120 Sekunden geblocked werden.

AAA + Radius aktivieren:

aaa new-model
radius-server host 1.1.1.1 auth-port 1812 acct-port 1813 key RADPASS

Lokal Radius konfigurieren und lokale User anlegen:

Radius-server local
 no authentication mac
 eapfast server-key primary auto-generate
 nas 1.1.1.1 key RADPASS
 nas 1.1.1.2 key RADPASS

 user wds password wds
 user leap password leap group LEAP
 user eapfast password eapfast group EAPFAST

 group EAPFAST
  eapfast pac expiry 14
 group LEAP
  block count 5 time 120

 

 

SSID Basics: EAP-TLS mit WPA Verschlüsselung

SSID BASICS: EAP-TLS mit WPA Verschlüsselung

Ausgangslage:

  • EAP-TLS mit WPA
  • Authentifizierung über ACS_LIST2
  • WPA1 + WPA2 Support
  • 5  GHz only
  • VLAN14 / SSID14 

VLAN Anlegen und SSID konfigurieren:

dot11 vlan-name SSID14 vlan 14

dot11 ssid SSID14
 authentication open ACS_LIST1
 authentication key-management wpa

Radio Interface konfigurieren:

Interface Dot11Radio 1
 encryption vlan SSID14 mode ciphers aes-ccm tkip
 ssid SSID14

VLAN tagging und Interface mapping:

Auf Radio Interface:

Interface Dot11Radio 1.14
 Encapsulation Dot1q 14
 Bridge-group 14

Auf Ethernet Interface:

Interface FastEthernet 1.14
 Encapsulation Dot1q 14
 Bridge-group 14