Category: Cisco Wireless

Bạn có Cisco Catalyst 9800 Wireless LAN Controller (WLC) không có kết nối internet và cần cập nhật license ? Phương pháp offline licensing là phương pháp dễ nhất trong tất cả các phương pháp vì:

• • Không yêu cầu truy cập internet
  • Không yêu cầu máy chủ cấp phép hoặc VM bổ sung
  • Nhanh nhất
  • Chỉ phải thực hiện một lần

Xin lưu ý, phương pháp cấp phép này chỉ khả dụng từ phiên bản 17.3.2.

Tổng quan

Phương pháp offline licensing hoạt động bằng cách tạo báo cáo Resource Utilization Measurement (RUM) trên WLC. Đây là một basic text file chứa thông tin chi tiết về WLC và các AP được kết nối với nó (số SN, model, v.v.).

File này cần được upload lên Cisco’s licensing portal (called CSSM — Cisco Smart Software Manager). Sau khi tải lên, CSSM sẽ tạo một ACK text file cần được add lên WLC và kích hoạt. Vậy là xong !

Chọn cấp độ giấy phép (License Level)

Cisco 9800 có 2 cấp độ license: Essential & Advantage.

Mỗi AP được kết nối với 9800 WLC sẽ sử dụng 2 giấy phép:
– 1x License Aironet DNA Term
– 1x License AP Perpetual Networkstack

Điều này có nghĩa là nếu bạn thiết lập License Advantage trên WLC của mình, mỗi AP sẽ sử dụng 1x License có thời hạn Aironet DNA Advantage & 1x License AP Perpetual Networkstack Advantage.

Tùy thuộc vào license level bạn đã mua và deposited vào Smart Licensing account, bạn cần chọn cùng license level mà WLC đang sử dụng. Trong tab Licensing của WLC WebUI, bạn có thể xem những gì hiện đang được sử dụng:

Việc thay đổi license level yêu cầu phải khởi động lại.

WLC chỉ có thể sử dụng một loại license tại một thời điểm. Có thể là Essential hoặc Advantage. Bạn không thể để một phần AP sử dụng Essential và một phần AP sử dụng Advantage.

Quy trình chi tiết

Trước hết, hãy đặt WLC ở chế độ offline licensing mode:

9800-L-F# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
9800-L-F(config)# license smart transport off

Trên WLC, hãy đảm bảo rằng tất cả các AP đều được joined vào WLC.

WLC bắt đầu báo cáo việc sử dụng license sau mỗi 8 giờ. Điều này có nghĩa là bạn có thể phải đợi đến 8 giờ để thấy số lượng giấy phép thay đổi sau khi AP mới tham gia. (Không có cách nào để thay đổi)

Bạn có thể kiểm tra số lượng license đã sử dụng trong Licensing tab trên WLC WebUI hoặc bằng cách chạy lệnh “show license summary”. Đảm bảo số lượng license khớp với số lượng AP đã tham gia.

Số lượng phải bằng số AP đã tham gia — Nếu không, hãy đợi tối đa 8 giờ

9800-L-F#show license summary 
Account Information:
 Smart Account: <none>
 Virtual Account: <none>

License Usage:
 License Entitlement Tag Count Status
 -----------------------------------------------------------------------------
 lic_c9800l_perf (LIC_C9800L_PERF) 1 IN USE
 air-network-essentials (DNA_NWSTACK_E) 1 IN USE
 air-dna-essentials (AIR-DNA-E) 1 IN USE

Hãy tạo report RUM. Việc này có thể mất khoảng 10–15 giây, tùy thuộc vào số AP:

9800-L-F# license smart save usage all file bootflash:RUM_report.txt

Đến Administration > File Manager  à Download RUM_report.txt:

Mở smart licensing account and Navigate to Reports > Usage Data Files. Click on Upload Usage Data

upload the RUM_report.txt file:

Bạn sẽ được nhắc chọn Virtual account mà bạn muốn sử dụng:

Có thể mất vài phút để xử lý RUM. Sau khi hoàn tất, bạn sẽ có thể tải xuống file xác nhận:

File ACK sẽ có tên là ACK_RUM_report.txt. File này cần được upload lên WLC, cách dễ nhất là thông qua webUI:

Để kích hoạt license, hãy chạy lệnh import. Đầu ra sẽ hiển thị thông báo thành công:

9800-L-F#license smart import bootflash:ACK_RUM_report.txt
Import Data Successful

WLC được coi là đã có license sau khi file ACK được upload thành công. Đầu ra của lệnh “show license status” sẽ hiển thị thời gian được xác nhận gần nhất.

9800-L-F#show license status
.
..
Usage Reporting:
  Last ACK received: Apr 19 10:47:11 2025 UTC
  Next ACK deadline: Jul 18 10:47:11 2025 UTC

Bạn cũng sẽ thấy thời hạn ACK tiếp theo. Tuy nhiên, WLC vẫn sẽ tiếp tục hoạt động bình thường ngay cả khi thời hạn này kết thúc. Nó chỉ cần tải lên một tệp ACK duy nhất một lần.

Trên CSSM portal của bạn, bạn sẽ thấy các license đang được sử dụng. Trong ví dụ này, WLC được cấu hình để sử dụng license cấp độ Advantage, nghĩa là nó sẽ sử dụng 1 license cấp độ Advantage:

Freeing Up license

Trong trường hợp cần giải phóng license hoặc cần di chuyển AP sang WLC khác, bạn có thể giải phóng các license đã sử dụng.

Trên licensing account, Inventory > Product instances. Chọn đúng Virtual Account, tìm  tên WLC và remove:

Sau khi instance bị xóa, lượng license sử dụng sẽ biến mất.

Về phía WLC, bạn không cần phải làm gì cả. Nếu bạn vẫn muốn dọn dẹp WLC, bạn có thể khôi phục cài đặt gốc cấp phép

9800-L-F#license smart factory reset
%Warning: reload required after "license smart factory reset" command

Tính năng Aggressive Client Load balancing đã có trên các WLC của Cisco trong hơn một thập kỷ, kể từ những ngày đầu của AireOS 6.x. Mục đích của tính năng này là phân bổ đều Client giữa nhiều AP được kết nối với một WLC. Trên thực tế, tôi thấy tính năng này gây ra không ít phiền toái khi bật nó, đặc biệt là trong môi trường mật độ cao (mà tính năng này chủ yếu được thiết kế để sử dụng ☹).

Cân bằng tải hoạt động như thế nào?

Ví dụ bạn có một văn phòng được triển khai tốt với 2 AP và tổng cộng 6 thiết bị client. Lý tưởng nhất là bạn muốn phân bổ đều số lượng client trên 2 AP này, mỗi AP 3 thiết bị.

Vì một lý do nào đó, tất cả Client đều ưu tiên AP-2, để AP-1 trống. Bằng cách bật tính năng Aggressive Client Load balancing, bạn có thể ngăn chặn điều này xảy ra và từ chối Client tham gia AP-2 cho đến khi số lượng Client trên 2 AP này cân bằng.

• • Tính năng này được bật cho mỗi WLAN
  • Bạn có thể cấu hình AP để từ chối Client nếu nó có nhiều Client hơn X so với Client lân cận (X có thể là 1–20)
  • Bạn có thể cấu hình AP để từ chối Client tối đa 10 lần (sau đó Client mới được phép tham gia)

Ví dụ thực tế

• • Cân bằng tải tích cực đã được bật trong WLAN:

• • Cấu hình Global Aggressive Client Load Balancing đã được giữ nguyên giá trị mặc định (nếu AP-2 có nhiều hơn AP1 5 Client, nó sẽ từ chối Client tối đa 3 lần)

• • AP2 có 5 khách hàng tham gia
  • AP1 có 0
  • Nếu Client cố gắng tham gia AP2 3 lần và cả 3 lần đều bị từ chối, thì lần thử thứ 4 sẽ thành công

Bạn có nên bật Client Load Balancing không ?

Thiết bị luôn là người quyết định AP nào sẽ kết nối. Client sẽ lắng nghe các khung beacon đến từ AP và sau đó, dựa trên các thông số được cấu hình, quyết định nơi gửi yêu cầu kết nối.

Điều duy nhất bạn có thể làm là từ chối nó và hy vọng client sẽ kết nối đến một AP khác. AP khả dụng có thể không đáp ứng được ngưỡng của Client và Client có khả năng sẽ không bao giờ thử kết nối đến AP đó. Nếu Client liên tục gửi kết nối tính năng Load Balancing sẽ khiến Client này offline.

Trong điều kiện hoàn hảo, nếu AP2 đang bận, Client sẽ nhận được thông báo từ chối và ngay lập tức kết nối đến AP1. Tôi chưa bao giờ thấy điều này xảy ra. Client dường như luôn cố gắng kết nối lại cùng một AP nhiều lần trước khi thử kết nối khác.

Điều quan trọng nhất cần nhớ:

• • Client rất cứng đầu và bạn gần như không thể kiểm soát. client sẽ cố gắng tham gia cùng một AP ngay cả khi liên tục bị từ chối.
  • Sau khi bị từ chối, client thường đợi một chút trước khi thử tham gia ở AP khác
  • Mỗi lần từ chối đều gây ra độ trễ và thời gian offline. Điều này không thể chấp nhận được trong các mạng có voice và video real time

Cá nhân tôi thường tắt tính năng này và sử dụng RF planning phù hợp để phân bổ đều lượng client giữa các AP.

Phần bổ sung

• • Nếu Client bị từ chối do Load Balancing, file log sẽ hiển thị lý do xóa CO_CLIENT_DELETE_REASON_DOT11_MAX_STA
  • Bạn có thể theo dõi số lượng lý do do Load Balancing bằng lệnh:

v9800-CL#sh wireless stats client delete reasons | in DOT11 max

• • Các AP phải nằm trên cùng một site tag và các AP không thể nằm trên default-site-tag
  • Đối với băng tần 2,4 GHz và 5 GHz, các thông số cân bằng tải của Client có thể được cấu hình trong mục Configuration > Wireless > Advanced hoặc trong mục RF profile. Đối với băng tần 6 GHz, các thông số load balancing của Client chỉ có thể được cấu hình trong mục RF profile.
  • Bạn có thể theo dõi số liệu thống kê Client Load Balancing trong menu Configuration > Wireless > Advanced menu

H: Catalyst 9800 WLC sử dụng loại licensing nào?

A: Các phiên bản mã dưới 17.3.2 sử dụng chính sách licensing truyền thống. Các bản phát hành bắt đầu từ 17.3.2 sử dụng Chính sách licensing sử dụng (SLUP). Về cơ bản, chúng hoạt động theo cùng một cách, chỉ khác biệt rất nhỏ và có các lệnh khác nhau. Chỉ cần làm theo hướng dẫn licensing cho bản phát hành bạn đang chạy. Bài viết này chỉ đề cập đến SLUP.

H: 9800 WLC có cần license không ?

A: Không. Bản thân WLC không yêu cầu license. Chỉ các Access Points được kết nối vào WLC mới cần license.

Tuy nhiên, đối với các mẫu 9800-L, có optional performance license giúp tăng số lượng AP được phép tham gia, tăng maximum throughput và số lượng clients tối đa được phép trên WLC.

H: Có sự khác biệt nào giữa việc licensing cho 9800-L, 9800–40, 9800–80, 9800-CL, CW9800M, CW9800H1, CW9800H2 và Embedded Wireless Controller trên AP 91xx không?

A: Không. Chức năng license  có cùng chức năng trên tất cả các mẫu WLC.

Sự khác biệt duy nhất là các mẫu 9800-L cung cấp license performance giúp tăng số lượng AP, số lượng client và throughput tối đa.

Embedded Wireless Controller chạy trên AP 91xx không cần license trừ khi được tích hợp với Catalyst Center (trước đây gọi là DNA Center)

H: Có license thực thi nào đối với Catalyst 9800 WLC không?

A: Trong các phiên bản dưới 17.7.1, không có quy định bắt buộc về license, nghĩa là bạn có thể tham gia bao nhiêu AP tùy thích và WLC vẫn sẽ tiếp tục hoạt động bình thường.

Trong các phiên bản mới hơn, bắt đầu từ 17.7.1, WLC 9800 sẽ thực hiện việc thực thi license. Nếu bạn kết nối hơn 50 AP vào một WLC duy nhất mà không license  đúng cách sau khi hết thời gian đánh giá (evaluation period), WLC sẽ tạo thông báo syslog và không cho phép thêm AP nào tham gia. Nếu khởi động lại, WLC sẽ chỉ cho phép tối đa 50 AP tham gia.

Về mặt pháp lý, bạn cần license cho WLC của mình và Cisco có quyền thực hiện audit.

H: Thời gian đánh giá license (license evaluation) cho Catalyst 9800 WLC là bao lâu?

A: Thời gian đánh giá là 90 ngày. Sau khi thời hạn này kết thúc, WLC sẽ bắt đầu áp dụng các hạn chế license đối với các phiên bản 17.7.1 trở lên.

Đối với các phiên bản trước 17.7.1, WLC sẽ tạo thông báo syslog nhắc nhở bạn add license cho WLC của mình.

H: Có những cấp độ license nào trên 9800 WLC?

A: WLC có thể được cấu hình với hai cấp độ license mang lại những tính năng khác nhau:

• • Essential
  • Advanced

License level có thể được cấu hình trong phần mềm và không bị ràng buộc với phần cứng. Bất kỳ 9800 nào cũng có thể được cấu hình với bất kỳ license level nào.

H: Tôi cần mua loại license nào cho mỗi AP được kết nối vào WLC của tôi ?

A: Mỗi AP được kết nối với 9800 WLC sẽ tiêu tốn một license AIR Network và một license AIR DNA. Tùy thuộc vào license level được thiết lập, cả hai license này có thể là cấp độ Essential hoặc Advantage.

Ví dụ về WLC với license cấp độ Advantage được cấu hình

H: Những tính năng nào được bao gồm trong license Essential và Advantage ?

H: License Network và DNA hết hạn khi nào?

License Network Essential/Advantage là vĩnh viễn, nghĩa là không bao giờ hết hạn.

License DNA Essential và DNA Advantage có thể được mua với thời hạn 3, 5 và 7 năm.

H: Tôi có thể chỉ mua license Perpetual Network mà không mua license DNA không?

A: Khi mua license lần đầu, bạn cần mua cả license Network và license DNA (Essential or Advantage leve, tùy bạn chọn) cho mỗi AP. Sau khi license DNA hết hạn, bạn không cần phải gia hạn. Vì license Network là vĩnh viễn.

H: Làm thế nào để thay đổi license level ?

A: Có thể thay đổi level license trong menu License  ở giao diện web WLC bằng cách sử dụng nút “Change Wireless License Level” hoặc sử dụng lệnh “ license air level air-network-essentials ” hoặc “ license air level air-network-advantage ”.

Để thay đổi level license, bạn cần phải khởi động lại WLC.

H: Trên WLC 9800, một phần AP có thể chạy level Essential và một phần AP có thể chạy level Advanced không ?

A: Không. Tất cả các AP được kết nối vào cùng một WLC phải chạy cùng một level license. Không thể tách chúng ra.

H: Tôi có thể sử dụng lại license từ WLC AireOS cũ (2504/3504/5520/8540) của mình không?

A: Không. Bạn sẽ phải mua license mới cho 9800 WLC của mình.

H: License có thể được sử dụng lại hoặc di chuyển giữa hai WLC 9800 không?

A: License có thể được sử dụng lại hoặc di chuyển giữa bất kỳ hai WLC 9800 nào, bất kể mô hình của chúng.

H: Tôi có thể tải xuống file .lic license ở đâu?

A: Không giống như các WLC AireOS cũ (5520, 8540), WLC 9800 không có/không hỗ trợ file license. Nó hoạt động hoàn toàn thông qua smart license, nghĩa là tất cả license đều được lưu trữ online.

H: License của tôi được lưu trữ ở đâu và CSSM là gì?

Tất cả các license đã mua đều được lưu trữ trên trang web Cisco Smart Software Manager (CSSM). Nếu license bạn đã mua không hiển thị, bạn phải liên hệ với quản lý tài khoản hoặc nhóm TAC license của Cisco và cung cấp cho họ phiếu order.

H: Phải mất bao lâu để cập nhật license trên trang web CSSM?

A: Có thể mất đến 8 giờ để cập nhật số lượng license. WLC cập nhật mức sử dụng license lên đám mây sau mỗi 8 giờ, và ngay cả khi cố gắng ép cập nhật cũng không có tác dụng.

H: license diễn ra như thế nào khi bộ điều khiển ở chế độ HA SSO High Availability?

A: HA SSO là chế độ dự phòng trong đó 2 bộ điều khiển nằm trong một cluster hoạt động như một bộ điều khiển duy nhất.

Trong trường hợp này, chỉ cần cấu hình cluster HA và thiết lập license  giống như cách bạn làm trên một WLC đơn lẻ. Mọi thông tin sẽ được tự động đồng bộ hóa giữa chúng. Không cần phải mua license cho mỗi AP hai lần.

Trong trường hợp performance license trên 9800-L WLC, bạn sẽ cần phải mua riêng cho từng WLC.

H: Performance license làm việc như thế nào khi bộ điều khiển ở trạng thái HA N+1 High Availability?

A: Tính khả dụng cao HA N+1 đề cập đến việc triển khai trong đó một WLC là chính và tất cả các điểm truy cập đều được kết nối với nó, trong khi các WLC khác đang ở trạng thái chờ, chờ WLC chính ngừng hoạt động và các AP chuyển sang WLC đó khi cần thiết.

Trong trường hợp này, chỉ cần đảm bảo cả hai WLC đều có license. Không cần phải mua license cho mỗi AP hai lần.

Vì các WLC dự phòng sẽ không có bất kỳ AP nào, nên việc license hiển thị là “không sử dụng” là điều bình thường. Khi các AP chuyển đổi dự phòng, license cuối cùng sẽ bị sử dụng hết.

Trong trường hợp license performance trên 9800-L WLC, bạn sẽ cần phải mua riêng cho từng WLC.

H: License performance cho 9800-L WLC hoạt động như thế nào ?

A: Theo mặc định, bộ điều khiển 9800-LC và 9800-LF cho phép tối đa 250 AP, throughput hai chiều 5Gbps và 5000 client. Khi cài đặt license performance, con số tối đa có thể tăng lên 500 AP, throughput 10Gbps và 10000 client.

Nếu bạn đang chạy 9800-L ở chế độ high availability,, bạn sẽ cần phải mua riêng license performance cho từng WLC

H: Làm thế nào để tôi có thể get license cho 9800 WLC ?

A: Có nhiều cách để get license cho WLC:

• • Offline licensing Air Gapped (cách dễ nhất)
  • Licensing sử dụng Catalyst Center (trước đây gọi là DNA Center)
  • Direct connect licensing
  • Licensing using Smart Software Manager On-Prem
  • License sử dụng ứng dụng Cisco Smart Licensing Utility trên Windows/Linux

H: License offline Air Gapped hoạt động như thế nào?

A: Bạn có thể đọc chi tiết về phương pháp này trong bài viết License  Offline trên Cisco 9800 WLC.

License offline là phương pháp dễ nhất để add license  cho WLC của bạn. Phương pháp này yêu cầu máy tính xách tay có kết nối Internet và truy cập được vào WLC. Bản thân WLC có thể bị chặn bởi tường lửa nếu không có kết nối Internet. Nhược điểm duy nhất của phương pháp này là sau khi thêm AP bổ sung, bạn phải lặp lại quy trình (về mặt kỹ thuật là không bắt buộc). Sau khi được add license, WLC không bao giờ cần phải add license lại nữa.

Quá trình này diễn ra như sau:

• • Generate a Resource Utilization Map (RUM) Report
  • Download it from WLC to your PC
  • Upload from PC to the smart licensing cloud portal (CSSM)
  • Download the RUM Acknowledgement file to your PC from CSSM
  • Upload the RUM Acknowledgement file to the WLC

H: Việc add license thông qua Catalyst/DNA Center diễn ra như thế nào ?

A: Phương pháp này yêu cầu DNA Center phải có kết nối internet. WLC không yêu cầu kết nối internet, nhưng cần được thêm vào kho dữ liệu của DNA Center.

Trong trường hợp này, DNA Center đóng vai trò là proxy giữa WLC và smart licensing cloud portal. DNA center sẽ định kỳ kết nối SSH vào WLC và thu thập báo cáo sử dụng license từ WLC, sau đó tải thông tin chi tiết lên cloud.

H: Việc add license thông qua kết nối trực tiếp license portal hoạt động như thế nào ?

A: Đây là một trong những phương thức license được sử dụng phổ biến nhất. Phương thức này yêu cầu WLC phải có kết nối internet qua HTTPS (cổng TCP 443). Quy trình khá đơn giản:

• Tạo mã thông báo trên trang web Cisco CSSM
• Dán mã thông báo vào WLC
• WLC sẽ liên hệ với CSSM và báo cáo số lượng license (sử dụng mã thông báo làm hình thức xác thực)

H: Add License thông qua máy ảo Smart Software Manager On-Prem hoạt động như thế nào ?

A: Việc add license sử dụng máy ảo Smart Software Manager On-Prem tương tự như license qua DNA Center. Máy ảo Smart Software Manager cần có khả năng giao tiếp với WLC và Internet. Bản thân WLC có thể nằm sau tường lửa mà không cần kết nối Internet.

Phương pháp này cho phép WLC đẩy số lượng license sử dụng lên on-prem hoặc để on-prem lấy số lượng license sử dụng từ WLC theo định kỳ, sau đó gửi báo cáo lên CSSM Cloud.

H: Việc add license sử dụng ứng dụng Cisco Smart Licensing Utility trên Windows/Linux hoạt động như thế nào?

A: Việc add license sử dụng ứng dụng Windows khá đơn giản và không yêu cầu bất kỳ phần cứng bổ sung nào để triển khai.

Chỉ cần cài đặt ứng dụng trên máy tính xách tay Windows/Debian/RHEL hoặc máy ảo (VM), nhập thông tin đăng nhập Cisco và chi tiết WLC. Ứng dụng sẽ kết nối SSH vào WLC, thu thập thông tin sử dụng license và tải lên cloud. Quy trình này không cần lặp lại trong tương lai.

H: Specific License Reservation là gì?

A: Specific License Reservation cụ thể là phiên bản license offline  cũ được cung cấp trên các phiên bản phần mềm trước 17.3. Có lẽ bạn không nên sử dụng tính năng này.

Gần đây tôi phải xử lý một vài trường hợp client tự động mất kết nối trong hệ thống mạng wireless cisco và sự cố này khá phổ biến. Bài viết này sẽ đề cập đến cách khắc phục một số sự cố thường gặp nhất trên Cisco 9800 Wireless LAN Controller. Hầu hết các sự cố được đề cập ở đây cũng áp dụng cho các AireOS WLCs.

Session Timeout

Recommendation:

Session timeout = 3600 seconds

Session timeout là khoảng thời gian mà sau đó client sẽ bị kicked out khỏi mạng và buộc phải xác thực lại. Trên các phiên bản Catalyst 9800 WLC cũ hơn, giá trị này theo mặc định được đặt thành 1800 giây (30 phút), điều này rất nghiêm trọng và gây ra nhiều lần ngắt kết nối không mong muốn. Các phiên bản mới hơn đã tăng giá trị mặc định lên 43200 giây (12 giờ).

Đặt giá trị thành 0 không có nghĩa là thời gian chờ là vô hạn và không được khuyến khích vì nó có thể ngăn client thực hiện roaming nhanh trên một số bản phát hành 9800.

Tuy nhiên, bạn nên tăng giá trị này lên 1 ngày (86400 giây ). Có thể thực hiện việc này thông qua CLI theo cấu hình policy profile:

configure terminal
wireless profile policy <Policy-profile-name>
 session-timeout 3600

webUI

2. Idle Timeout

Recommendation:

Idle timeout = 3600 seconds

Thời gian Idle Timeout thể hiện khoảng thời gian mà sau đó client sẽ bị loại khỏi mạng nếu không gửi bất kỳ dữ liệu nào. Theo mặc định, giá trị này được đặt là 300 giây (5 phút), một con số quá cao. Nhiều thiết bị client, đặc biệt là điện thoại IP, có xu hướng chuyển sang chế độ ngủ lâu hơn 5 phút, dẫn đến tình trạng hết thời gian chờ..

Khi client vô tình rời khỏi mạng, dữ liệu cũ có thể vẫn nằm trên WLC trong suốt thời gian Timeout, do đó không nên tăng giá trị này quá nhiều. Nên tăng giá trị này lên 3600 giây (1 giờ).

Có thể thay đổi theo cấu hình chính sách bằng cách sử dụng các lệnh:

conf t
wireless profile policy <Policy-profile-name>
 idle-timeout 3600

webUI

Fast Roaming (802.11r) & OKC

Recommendation:

FT = Enabled
Over the DS = Disabled

Auth Key Mgmt = 802.1x & FT+802.1x
OKC = Enabled

Nếu không có giao thức fast roaming, việc di chuyển giữa 2 access points sẽ khiến thiết bị client phải thực hiện lại quy trình xác thực đầy đủ. Đối với các mạng open và bảo mật PSK, điều này không sao cả, vì các loại xác thực này thường nhanh. Tuy nhiên, đối với các mạng bảo mật dạng dot1x, quá trình xác thực đầy đủ có thể mất tới hơn 1 giây. Điều này có nghĩa là mỗi khi client của bạn thay đổi AP, bạn sẽ gặp phải khoảng cách 1 giây trở lên, điều này có thể rất dễ nhận thấy nếu người dùng đang thực hiện cuộc gọi thoại/video.

Giao thức fast roaming 802.11r cho phép client roaming trong vòng vài mili giây. Giao thức này có thể được đặt thành chế độ tắt, bật, thích ứng và được gọi là “chế độ hỗn hợp”, có hoặc không có chế độ Over the DS. Tùy chọn Over the DS không được nhiều thiết bị client hỗ trợ, vì vậy nên tắt nó và sử dụng chế độ mặc định, over the air mode

Adaptive mode là chế độ đặc biệt được hỗ trợ chủ yếu bởi điện thoại thông minh Apple và Samsung, cho phép chỉ những điện thoại này roaming nhanh.

Chỉ cần đặt FT thành Bật sẽ chỉ cho phép các thiết bị khách hỗ trợ FT tham gia mạng. Các thiết bị không hỗ trợ FT sẽ không được phép tham gia.

Tuy nhiên, việc đặt FT thành Bật và thay đổi tùy chọn Quản lý Khóa Xác thực thành 802.1x & FT+802.1X sẽ đặt nó ở chế độ được gọi là “mixed” mode, trong đó cả client hỗ trợ và không hỗ trợ Fast Roaming đều có thể tham gia. Đây là chế độ được khuyến nghị và tương thích với nhiều thiết bị client nhất.

Để thiết lập Mixed mode FT, hãy chạy lệnh trong cấu hình WLAN:

conf t
wlan <Profile-Name> 1 <SSID-name>
 security ft
 security wpa akm ft dot1x

webUI:

Một giải pháp thay thế cho các thiết bị không hỗ trợ 802.11r là thuật toán  OKC. Thuật toán này chậm hơn một chút so với 802.11r Fast Roaming và được bật theo mặc định, vì vậy bạn nên giữ nguyên chế độ này.

DCA Algorithm Interval

Recommendation:

2.4 GHz DCA interval = 4 hours

5 GHz DCA interval = 8 or 12 hours

6 GHz DCA Interval = 8 or 12 hours

Thuật toán Dynamic Channel Assignment là một quy trình chịu trách nhiệm gán kênh cho tất cả các AP và chạy theo mặc định cứ sau 10 phút. Điều này có nghĩa là kênh AP có thể thay đổi sau mỗi 10 phút, làm tăng khả năng  khả năng client  bị ngắt kết nối.

Cấu hình khoảng thời gian cho thuật toán DCA bằng lệnh:

configure terminal
ap dot11 24ghz rrm channel dca interval 4
ap dot11 5ghz rrm channel dca interval 12
ap dot11 6ghz rrm channel dca interval 12

WebUI – Configuration > RRM > 2.4/5/6 GHz > DCA

DCA Channel Width

Recommendation:

On 5 GHz — Static 20/40 MHz

On 6 GHz — Static 20/40/80 MHz

Việc thiết lập độ rộng kênh giúp client dễ dàng quét toàn bộ mạng. Nếu client đã kết nối với kênh 20 MHz, trước tiên nó sẽ quét tất cả các kênh 20 MHz trước khi bắt đầu quét các kênh 40 MHz. Việc thiết lập độ rộng kênh thành “Best” cho phép kết hợp các kênh có độ rộng 20/40/80 MHz trong mạng, giúp làm chậm quá trình chuyển vùng.

Để đảm bảo roaming đáng tin cậy hơn, chúng tôi khuyến nghị giữ nguyên độ rộng kênh trên tất cả các AP. Do số lượng kênh khả dụng trên băng tần 5GHz khá lớn và không nên bật kênh rộng 80 MHz trong môi trường văn phòng thông thường.

Có thể thực hiện thay đổi theo cấu hình RF bằng cách sử dụng lệnh:

configure terminal
 ap dot11 5ghz rrm channel dca chan-width 20
ap dot11 5ghz rf-profile <RF-Profile-Name>
 channel chan-width 20
ap dot11 6ghz rf-profile <RF-Profile-Name>
 channel chan-width 20

webUI

Global config — value set to Best

EAP Broadcast Key Interval

Recommendation:

EAP-Broadcast Key Interval = 86400

Theo mặc định, AP và tất cả các clients được kết nối sẽ thương lượng lại khóa phát sóng sau mỗi 1 giờ. Điều này có nghĩa là người dùng văn phòng trung bình phải thực hiện trao đổi này 8 lần mỗi ngày, làm tăng khả năng xảy ra sự cố.

Rất thường xảy ra trường hợp clients đang ở chế độ ngủ và không phản hồi gói tin M5 đến từ AP yêu cầu trao đổi khóa phát sóng, dẫn đến client bị xóa do lý do xóa

CO_CLIENT_DELETE_REASON_GROUP_KEY_UPDATE_TIMEOUT.

Nên tăng giá trị này lên 1 ngày (86400 giây)

wireless security dot1x group-key interval 86400

hoặc trong webUI tại mục Configuration > EAP

EAP Request & EAP Identity Request Timeout And Retries

Recommendation:

EAP-Identity-Request Timeout = 1s
EAP-Identity-Request Max Retries = 10

EAP-Request Timeout = 1s
EAP-Request Max Retries = 10

Client driver upgrade

Khi các client dot1x không hỗ trợ Fast Roaming và phải di chuyển từ AP này sang AP khác, chúng phải thực hiện xác thực dot1x đầy đủ, bao gồm toàn bộ quá trình trao đổi EAP.

Trong quá trình trao đổi này, WLC gửi 2 gói tin quan trọng: yêu cầu Nhận dạng EAP và yêu cầu EAP, mà client được kỳ vọng sẽ phản hồi. Nếu client không phản hồi, WLC sẽ đợi 30 giây để truyền lại gói tin. Nó thử tổng cộng 2 lần trước khi từ bỏ và loại client ra. Điều này có nghĩa là nếu client không phản hồi, toàn bộ quá trình có thể mất đến một phút để thất bại.

Thông thường, do lỗi phía trình điều khiển, thiết bị không phản hồi gói tin yêu cầu Danh tính. Sự cố này thường đi kèm với lỗi CO_CLIENT_DELETE_REASON_CLIENT_EAP_TIMEOUT_FAILURE và lỗi CO_CLIENT_DELETE_REASON_CLIENT_EAP_ID_TIMEOUT, cùng lỗi 5440 Endpoint đã hủy phiên EAP và bắt đầu lại trên Cisco ISE.

Việc đặt giá trị này thành 10 lần thử lại mỗi 1 giây sẽ đảm bảo WLC cố gắng kết nối với client mạnh mẽ hơn. Việc thay đổi các giá trị này không đảm bảo sự cố sẽ được giải quyết. Cách duy nhất để khắc phục là nâng cấp trình điều khiển của thiết bị và hy vọng thiết bị client sẽ bắt đầu phản hồi các gói tin yêu cầu EAP (nhận dạng).

Timers có thể được cấu hình bằng cách sử dụng

conf t
wireless security dot1x identity-request retries 10
wireless security dot1x identity-request timeout 1
wireless security dot1x request retries 10
wireless security dot1x request timeout 1

webUI under Configuration > Advanced EAP

WPA3 & PMF

Recommendation:

WPA3 Policy = Disabled

PMF = Disabled

WPA3 và Protected Management Frame (PMF) đã ra mắt được một vài năm, nhưng vẫn còn rất nhiều vấn đề cần giải quyết với nhiều thiết bị client cũ.

Bạn nên tắt WPA3 và Protected Management Frame (PMF), đặc biệt là trên mạng mà bạn không có quyền kiểm soát client. Bạn có thể thực hiện việc này thông qua giao diện webUI trong phần cấu hình WLAN

DHCP Required

Recommendation:

DHCP Required = Disabled

Khi bật tính năng này, các thiết bị client được yêu cầu thực hiện DHCP mỗi khi tham gia mạng. Tất cả các máy khách đều thực hiện việc này theo mặc định. Tuy nhiên, vấn đề sẽ phát sinh khi chúng bắt đầu chuyển vùng.

Hầu hết thời gian, các thiết bị sẽ chỉ thực hiện một phần của quy trình DHCP DORA (Khám phá — Đề nghị — Yêu cầu — Xác nhận) khi di chuyển từ AP này sang AP khác bằng cách chỉ trao đổi Request + ACK để tăng tốc độ chuyển vùng. Tuy nhiên, một số thiết bị, sau khi di chuyển từ AP này sang AP khác, sẽ quyết định không thực hiện DHCP nữa và chỉ sử dụng lại địa chỉ cũ — về cơ bản hoạt động như một client với địa chỉ IP tĩnh.

Khi tùy chọn DHCP Required được bật, những thiết bị không thực hiện DHCP sau khi roaming sẽ không được phép tham gia và cuối cùng sẽ bị kick out. Thông thường, chúng sẽ tự động phục hồi sau khi bị kick out bằng cách thực hiện lại toàn bộ quy trình DHCP DORA, nhưng điều này vẫn sẽ gây ra khoảng cách kết nối đáng kể. Những sự cố này thường đi kèm với lý do CO_CLIENT_DELETE_REASON_IPLEARN_CONNECT_TIMEOUT hoặc CO_CLIENT_DELETE_REASON_MN_AP_IPLEARN_TIMEOUT trong trường hợp triển khai flex connect.

Tùy chọn này chỉ áp dụng cho các client thực hiện roaming chậm 802.11i (về cơ bản là xác thực đầy đủ khi roaming từ AP này sang AP khác). Tùy chọn này không áp dụng cho các máy khách thực hiện OKC hoặc Roaming nhanh 802.11. Lưu ý rằng các máy khách hỗ trợ Roaming nhanh 802.11 đôi khi có thể không thực hiện roaming nhanh và chọn không thực hiện roaming chậm, xác thực đầy đủ.

Bạn nên tắt tính năng này trong policy profile bằng lệnh:

configure terminal
wireless profile policy <Policy-profile-name>
 ipv4 dhcp required

WebUI

RX-SOP

Recommendation:

RX-SOP = Auto (disabled)

RX-SOP là một tính năng cho phép AP loại bỏ tất cả các gói tin được nhận ở cường độ tín hiệu yếu hơn cường độ tín hiệu được cấu hình. Mục đích của tính năng này là để AP loại bỏ các gói tin được gửi bởi các client ở rất xa AP, với hy vọng rằng client sẽ nhận ra rằng AP không phản hồi và cố gắng chuyển đến một AP mới.

Nó cung cấp 4 giá trị. 3 giá trị được xác định trước và một giá trị tùy chỉnh:

Cao = -79 dBm trên 2,4 GHz và -76 dBm trên 5 GHz

Trung bình = -82 dBm trên 2,4 GHz và -78 dBm trên 5 GHz

Thấp = -85 dBm trên 2,4 GHz và -80 dBm trên 5 GHz

Tùy chỉnh = được xác định bởi người dùng

Trên thực tế, tính năng này hầu như không ảnh hưởng đến quyết định roaming của client. Các thử nghiệm của tôi với MacBook và điện thoại Android cho thấy các client cố định (sticky client) sẽ liên tục cố gắng kết nối với một AP ở xa và việc bật RX-SOP hầu như không ảnh hưởng gì đến quyết định roaming. Kết quả duy nhất của việc bật RX-SOP là thay vì kết nối/tín hiệu kém khi cố gắng kết nối với một AP ở xa, client sẽ không có kết nối nào cả do các gói tin bị loại bỏ bởi RX-SOP.

Tính năng này phải được tắt (đặt thành Auto) trên globally hoặc trong cấu hình RF, tùy thuộc vào mục.

configure terminal
 ap dot11 5ghz rx-sop threshold auth
 ap dot11 24ghz rx-sop threshold auth

 ap dot11 24ghz rf-profile <24GHz-RF-profile-name>
  high-density rx-sop threshold auto
 ap dot11 5ghz rf-profile <5GHz-RF-profile-name>
  high-density rx-sop threshold auto

WebUI: