Convert heavy AP to lightweight

Le réseau évolue, se complexifiant et se centralisant, aux moyens de contrôleurs. Le WiFi est une des premières technologies à avoir évoluer afin de centraliser son intelligence autour d’un contrôleur.

Chez CISCO on retrouve une gamme de contrôleurs WLC 55XX destinés à gérer un ensemble de bornes légères.

Dans ce tutoriel nous allons migrer des bornes WiFi 1242AG de 2006 en bornes légères et les relier à un contrôleur WLC 5500 (version 7) de 2013

Différences bornes lourdes et légères

La principale différence entre bornes lourdes et légères, hormis l’autonomie vs la centralisation de l’intelligence, est au niveau réseau.

Les bornes lourdes CISCO se basent sur des agrégats de VLAN en 802.1Q avec un VLAN d’administration et autant de VLAN tagués que de SSID (voire plus si les VLANs sont dynamiques via Radius).

Les bornes légères montent un tunnel (CAPWAP) entre la borne et le contrôleur, faisant transiter l’ensemble du trafic par celui-ci, que ce soit le trafic administratif ou celui des clients.

Prérequis: DHCP

Si vos bornes sont configurées en IP statiques, vous devez configurer votre réseau afin de distribuer des IP via DHCP.

Configurez donc un réseau en IP dynamiques afin de provisionner vos bornes.

Prérequis: configuration de la découverte de contrôleur via DHCP ou DNS

Afin de permettre à vos bornes de trouver le contrôleur vous devez générer une chaîne et l’ajouter à l’option 43 de votre DHCP. Vous trouverez de la documentation sur cette chaîne ici.

Attention: il se peut que cette option ne fonctionne pas correctement sur certains DHCP UNIX. CISCO prévoit une méthode de découverte alternative via un enregistrement DNS.

Pour utiliser cette méthode, ajoutez simplement un enregistrement DNS de type A nommé CISCO-CAPWAP-CONTROLLER dans la zone DNS associée à votre subnet DHCP, par exemple CISCO-CAPWAP-CONTROLLER.example.org si le subnet DHCP définit example.org comme suffixe DNS.

nsupdate
> update add CISCO-CAPWAP-CONTROLLER.example.org. 86400 A 10.0.0.1
> send
> quit

Prérequis: pare-feux

Les bornes légères montant un tunnel CAPWAP avec le contrôleur, n’oubliez pas d’autoriser les flux.

Migration

Etape 1: changement d’IOS

L’IOS d’une borne lourde ne peut pas se connecter à un contrôleur WiFi. Il vous faudra le changer pour utiliser un IOS de borne légère.

Afin d’identifier si un IOS est utilisé pour une borne légère ou lourde, il faut regarder le nom du fichier et sa taille:

-rw-r--r--   1 root      wheel  5570560 Sep 17 17:43 c1240-k9w7-tar.124-10b.JDA3.tar
-rw-r--r--   1 root      wheel  2631680 Sep 17 18:11 c1240-rcvk9w8-tar.124-21a.JA2.tar

Dans l’exemple ci-dessus, l’IOS original de la borne lourde est le plus gros. De plus, la chaîne rcvk9w8 définit que l’IOS est dédié à une borne légère, a contrario de k9w7.

Note: vous n’êtes pas obligé d’utiliser un IOS de borne légère légal pour effectuer votre migration, le WLC remplacera l’IOS par un plus récent et original, adapté à la borne lorsque la borne le contactera. Néanmoins, si possible, utilisez un IOS original pour votre migration.

On va maintenant changer l’IOS de la borne (évitez les coupures électriques pendant cette manipulation !!!) et supprimer la startup-config de la borne lourde (ce fichier de configuration n’est pas utilisée par les bornes légères)

delete /recursive /force flash:c1240-k9w7-tar.124-10b.JDA3
archive download-sw /overwrite /reload tftp://10.0.0.50/c1240-rcvk9w8-tar.124-21a.JA2.tar
erase startup-config

Vous pouvez désormais redémarrer votre borne.

reload

Etape 2: configuration du port du commutateur

Reconfigurons maintenant le port du commutateur.

switch(configure-if)# no switchport trunk allowed vlan
switch(configure-if)# no switchport trunk native vlan
switch(configure-if)# no switchport trunk encapsulation dot1q
switch(configure-if)# switchport mode access
switch(configure-if)# switchport access vlan 18
switch(configure-if)# shutdown
switch(configure-if)# no shutdown

On retire l’encapsulation et on déclare le VLAN 18, correspondant à notre réseau de bornes légères en DHCP. Enfin on redémarre le port afin d’être certain que la borne est dans le nouveau réseau.

C’est tout, votre borne devrait désormais demander une IP puis contacter le contrôleur.

Les étapes suivantes sont habituelles lors de l’installation de bornes légères: mise à jour de l’IOS local, redémarrage et configuration de la borne.

Il ne vous reste plus qu’à ajouter la borne dans le bon groupe sur le WLC afin de la provisionner.

Erreurs possibles après migration

J’ai eu quelques cas étranges où la borne utilisait l’IOS temporaire de bornes légères mais refusait d’utiliser le DHCP. Afin de l’obliger à se reconfigurer en DHCP, tapez simplement les commandes suivantes:

clear lwapp private-config
clear lwapp ap ip address
clear lwapp ap ip default-gateway

Conclusion

Lorsque j’ai fait ce test j’étais sceptique quant au fonctionnement du système, au vu de l’écart d’âge entre les 1242 et le WLC. Néanmoins ce fût une bonne surprise de voir que CISCO n’a pas choisi l’obsolescence programmée de son matériel, bien qu’une voire deux générations de bornes WiFi soient passées.

En terme de fonctionnalités, la borne garde un niveau fonctionnel équivalent, pour une résilience légèrement moindre, mais un fonctionnement global de l’infrastructure meilleur (roaming, authentification, gestion des logs et des configurations…). Si vous utilisez des bornes lourdes, peut être est-il temps de vous orienter vers une solution légère ?