WLAN – WLC

Napisane przez Igor Brzeżek on 3 listopada 2025
Napisane w: WLAN / WiFi.

Contents
  1. Idea i zasada działania WLC
  2. Od chaosu do porządku: Dlaczego potrzebujemy kontrolerów?
  3. Architektura Split-MAC i tunel CAPWAP
  4. Elementy składowe architektury WLC
  5. Realny przykład: Sieć Wi-Fi na kampusie uniwersyteckim
  6. Przykłady konfiguracji w Cisco Packet Tracer
  7. Przykład 1: Podstawowa konfiguracja WLC i dołączenie LAP
  8. Przykład 2: Tworzenie sieci WLAN dla Pracowników (WPA2-PSK) i Gości (bez zabezpieczeń)
  9. Przykład 3: Wdrożenie sieci z uwierzytelnianiem WPA2-Enterprise (RADIUS)

Idea i zasada działania WLC

Od chaosu do porządku: Dlaczego potrzebujemy kontrolerów?

W małych sieciach, takich jak domowe czy w niewielkich biurach, zarządzanie jednym lub dwoma autonomicznymi punktami dostępowymi (Fat AP) jest proste. Każde urządzenie jest konfigurowane indywidualnie. Problem pojawia się, gdy skala rośnie. Wyobraźmy sobie sieć uniwersytecką z 500 punktami dostępowymi. Ręczna konfiguracja, aktualizacja oprogramowania, zmiana hasła Wi-Fi czy monitorowanie stanu każdego AP z osobna staje się administracyjnym koszmarem. Co więcej, taka sieć nie działałaby jako spójny system – roaming klientów byłby nieefektywny, a polityki bezpieczeństwa niespójne.

Odpowiedzią na te wyzwania jest architektura scentralizowana, której sercem jest Kontroler Sieci Bezprzewodowej (Wireless LAN Controller, WLC). Idea jest prosta i genialna: przenieśmy całą inteligencję z punktów dostępowych do jednego, centralnego mózgu operacji. W tym modelu, punkty dostępowe stają się „odchudzonymi” urządzeniami (Lightweight AP, LAP), których jedynym zadaniem jest obsługa warstwy radiowej – wysyłanie i odbieranie sygnału. Cała reszta – konfiguracja, zarządzanie, uwierzytelnianie, roaming i polityki bezpieczeństwa – jest realizowana przez WLC.

Architektura Split-MAC i tunel CAPWAP

Fundamentalnym mechanizmem działania tej architektury jest koncepcja Split-MAC. Dzieli ona funkcje warstwy MAC (Media Access Control) standardu 802.11 na dwie części. Zadania wymagające precyzyjnego wyczucia czasu (real-time), takie jak wysyłanie ramek beacon, nasłuchiwanie kolizji (CSMA/CA) i potwierdzanie odbioru pakietów, pozostają na LAP. Natomiast wszystkie funkcje wyższego poziomu, takie jak uwierzytelnianie i asocjacja klientów, translacja ramek 802.11 na 802.3 i integracja z resztą sieci, są przeniesione na WLC.

Komunikacja między LAP a WLC odbywa się za pomocą standaryzowanego protokołu CAPWAP (Control and Provisioning of Wireless Access Points). Protokół ten tworzy dwa rodzaje tuneli między każdym LAP a kontrolerem:

  • Tunel kontrolny (Control Tunnel): Szyfrowany tunel (DTLS), którym przesyłane są wszystkie informacje zarządcze: konfiguracja dla AP, polecenia, statystyki, alarmy. To nim WLC „mówi” AP, co ma robić.
  • Tunel danych (Data Tunnel): Tunel, którym przesyłany jest cały ruch danych od użytkowników bezprzewodowych. Gdy klient wysyła dane, LAP enkapsuluje je w pakiet CAPWAP i wysyła tunelem do WLC. Dopiero WLC dekapsuluje oryginalny pakiet i przekazuje go do sieci przewodowej. Dzięki temu cały ruch z sieci Wi-Fi jest scentralizowany w jednym punkcie, co ułatwia stosowanie polityk bezpieczeństwa i QoS.

Elementy składowe architektury WLC

  • Wireless LAN Controller (WLC): Centralne urządzenie (fizyczne lub wirtualne), które zarządza wszystkimi LAP w sieci. Jest pojedynczym punktem konfiguracji i monitorowania. Odpowiada za takie funkcje jak Radio Resource Management (RRM), czyli dynamiczną optymalizację kanałów i mocy AP, oraz za bezpieczeństwo i roaming.
  • Lightweight Access Point (LAP): Punkt dostępowy bez lokalnej inteligencji. Po uruchomieniu, jego jedynym celem jest znalezienie WLC w sieci (proces discovery), dołączenie do niego (proces join) i pobranie pełnej konfiguracji. Nie posiada własnego interfejsu konfiguracyjnego.
  • Infrastruktura sieciowa (przełączniki, routery): Sieć przewodowa, która zapewnia łączność między LAP a WLC. Musi być odpowiednio skonfigurowana, np. z wykorzystaniem serwera DHCP (do przydzielania adresów IP dla AP i klientów) oraz VLAN-ów do segmentacji ruchu.
  • Serwery uwierzytelniania (np. RADIUS): W przypadku zaawansowanych zabezpieczeń (WPA2/WPA3-Enterprise), WLC integruje się z zewnętrznym serwerem RADIUS (np. Cisco ISE, Microsoft NPS) w celu weryfikacji tożsamości użytkowników.

Realny przykład: Sieć Wi-Fi na kampusie uniwersyteckim

Wyobraźmy sobie duży kampus uniwersytecki składający się z wielu budynków. Celem jest zapewnienie spójnej, bezpiecznej i wydajnej sieci bezprzewodowej dla studentów, wykładowców i gości.

W serwerowni głównej kampusu instalowany jest wydajny, fizyczny kontroler WLC (np. Cisco Catalyst 9800). W każdym budynku, na korytarzach, w salach wykładowych i bibliotekach, rozmieszczane są setki punktów dostępowych LAP. Wszystkie LAP są podłączone do przełączników sieciowych, które zapewniają im zasilanie (PoE) i łączność z siecią szkieletową.

Administrator sieci, logując się do interfejsu webowego jednego WLC, tworzy trzy sieci bezprzewodowe (WLAN):

  • EDUROAM: Sieć dla studentów i pracowników, zabezpieczona w standardzie WPA2-Enterprise. WLC jest skonfigurowany tak, aby zapytania o uwierzytelnienie kierować do uniwersyteckiego serwera RADIUS, który weryfikuje dane logowania w systemie dziekanatowym.
  • Uczelnia-Gosc: Otwarta sieć dla gości z portalem uwierzytelniającym (Web Authentication). Po połączeniu, użytkownik jest przekierowywany na stronę, gdzie musi zaakceptować regulamin. Ruch z tej sieci jest całkowicie odizolowany od sieci wewnętrznej.
  • Laboratorium-IoT: Ukryta sieć dla urządzeń laboratoryjnych, zabezpieczona unikalnymi kluczami PSK (Identity PSK) dla każdego urządzenia.

WLC automatycznie dystrybuuje konfigurację tych trzech sieci do wszystkich 500 LAP. Dodatkowo, mechanizm RRM kontrolera na bieżąco analizuje środowisko radiowe i dynamicznie dostosowuje kanały i moc nadawania każdego AP, aby minimalizować zakłócenia. Student przechodzący z jednego budynku do drugiego podczas rozmowy VoWiFi doświadcza płynnego roamingu, ponieważ WLC zarządza całym procesem, koordynując przekazanie klienta między punktami dostępowymi.

Przykłady konfiguracji w Cisco Packet Tracer

Przykład 1: Podstawowa konfiguracja WLC i dołączenie LAP

Cel: Zestawienie podstawowej topologii, w której Lightweight AP (LAP) odnajdzie kontroler WLC, dołączy do niego i pobierze konfigurację. Jest to fundamentalny krok, od którego zależy działanie całej scentralizowanej sieci WLAN.

+------------------+   +------------------+   +------------------+
|   Serwer DHCP    |   |      WLC         |   |       LAP        |
| 192.168.1.10/24  |   | 192.168.1.5/24   |   | (DHCP Client)    |
+------------------+   +------------------+   +------------------+
         |                    |                    |
         |                    |                    |
+-------------------------------------------------------------+
|                        Switch 2960                            |
|               (VLAN 1 - sieć zarządzania)                     |
+-------------------------------------------------------------+

Kroki konfiguracji:

  1. Konfiguracja serwera DHCP (Interfejs GUI):

    Serwer DHCP jest kluczowy, ponieważ to on poinformuje LAP, gdzie znajduje się kontroler. W Packet Tracerze konfigurujemy go przez GUI.

    • Adresacja IP: Wejdź w Server > Desktop > IP Configuration. Ustaw statyczny adres IP: 192.168.1.10, Maska: 255.255.255.0.
    • Usługa DHCP: Przejdź do Server > Services > DHCP. Włącz usługę (Service On). Skonfiguruj pulę adresów:
      • Default Gateway: 192.168.1.1 (adres routera, jeśli istnieje)
      • Start IP Address: 192.168.1.20
      • Subnet Mask: 255.255.255.0
      • WLC Address (Option 43): To najważniejszy krok. W polu WLC Address wpisz adres IP kontrolera: 192.168.1.5. Packet Tracer automatycznie skonwertuje to na odpowiednią opcję 43.
    • Zapisz konfigurację puli przyciskiem Save.
  2. Konfiguracja przełącznika (Interfejs CLI):

    Przełącznik musi zapewniać łączność w ramach sieci zarządzania (VLAN 1). Nie jest wymagana skomplikowana konfiguracja, ale upewniamy się, że porty są aktywne.

    Switch> enable
Switch# configure terminal
Switch(config)# interface range FastEthernet0/1 - 3
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 1
Switch(config-if-range)# no shutdown
Switch(config-if-range)# end
  3. Konfiguracja WLC (Interfejs GUI):

    W Packet Tracerze, podstawową konfigurację WLC wykonuje się w zakładce Config.

    • Wejdź w WLC > Config > Interface > Management.
    • Skonfiguruj adresację:
      • IP Address: 192.168.1.5
      • Subnet Mask: 255.255.255.0
      • Default Gateway: 192.168.1.1
      • DHCP Server: 192.168.1.10
  4. Weryfikacja:

    Po kilku chwilach (proces może potrwać minutę), LAP powinien otrzymać adres IP z DHCP, a następnie zarejestrować się w WLC. Aby to sprawdzić, z dowolnego komputera w tej samej podsieci otwórz przeglądarkę i wejdź na adres https://192.168.1.5. Po zalogowaniu (domyślne dane w PT to admin/admin), przejdź do zakładki MONITOR > AP Summary. Twój LAP powinien być widoczny na liście.

Przykład 2: Tworzenie sieci WLAN dla Pracowników (WPA2-PSK) i Gości (bez zabezpieczeń)

Cel: Stworzenie dwóch odseparowanych sieci bezprzewodowych, jednej dla pracowników (zabezpieczonej), drugiej dla gości (otwartej). Ruch z każdej sieci będzie przypisany do osobnego VLANu, co zapewni segmentację i bezpieczeństwo.

Kroki konfiguracji:

  1. Konfiguracja przełącznika (Interfejs CLI):

    Musimy stworzyć odpowiednie VLANy i skonfigurować port podłączony do WLC jako trunk, aby mógł przenosić ruch z wielu VLANów.

    Switch# configure terminal
; Tworzenie VLANów
Switch(config)# vlan 10
Switch(config-vlan)# name Pracownicy
Switch(config-vlan)# exit
Switch(config)# vlan 20
Switch(config-vlan)# name Goscie
Switch(config-vlan)# exit
; Konfiguracja portu trunk do WLC (załóżmy, że to Gi0/1)
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 1,10,20
Switch(config-if)# end
  2. Konfiguracja WLC (Interfejs Web GUI):

    Wszystkie dalsze kroki wykonujemy w przeglądarce internetowej, po zalogowaniu się do WLC.

    1. Utwórz interfejsy dynamiczne (VLAN): Każdy WLAN musi być powiązany z interfejsem, który jest zmapowany na VLAN.
      • Przejdź do CONTROLLER > Interfaces > New.
      • Stwórz interfejs dla pracowników: Interface Name: vlan10_pracownicy, VLAN ID: 10. Zastosuj (Apply).
      • Skonfiguruj adresację: IP Address: 192.168.10.1, Netmask: 255.255.255.0, Gateway: 192.168.10.254. Wskaż też adres serwera DHCP dla tej podsieci. Zapisz.
      • Powtórz proces dla gości: Interface Name: vlan20_goscie, VLAN ID: 20, IP Address: 192.168.20.1, itd.
    2. Utwórz sieci WLAN:
      • Przejdź do WLANS > Create New > Go.
      • Sieć dla pracowników:
        • Profile Name: Pracownicy, SSID: Pracownicy-WiFi. Zastosuj.
        • W edycji nowego WLANu, w zakładce General, jako Interface/Interface Group wybierz vlan10_pracownicy.
        • W zakładce Security > Layer 2, wybierz WPA+WPA2, zaznacz WPA2 Policy i PSK. Wpisz hasło, np. BardzoSilneHaslo123!.
        • Włącz sieć (Status: Enabled) i zapisz.
      • Sieć dla gości:
        • Ponownie przejdź do WLANS > Create New > Go.
        • Profile Name: Goscie, SSID: Goscie-WiFi. Zastosuj.
        • W zakładce General, jako interfejs wybierz vlan20_goscie.
        • W zakładce Security > Layer 2, wybierz None, aby sieć była otwarta.
        • Włącz sieć i zapisz.
  3. Weryfikacja:

    Dodaj do topologii dwa laptopy. Połącz jeden z siecią Pracownicy-WiFi (podając hasło), a drugi z Goscie-WiFi. Sprawdź w zakładce Desktop > IP Configuration, czy otrzymały adresy IP z odpowiednich pul (192.168.10.x dla pracownika, 192.168.20.x dla gościa).

Przykład 3: Wdrożenie sieci z uwierzytelnianiem WPA2-Enterprise (RADIUS)

Cel: Zwiększenie bezpieczeństwa sieci dla pracowników poprzez wdrożenie uwierzytelniania 802.1X. Każdy użytkownik będzie logował się swoimi indywidualnymi danymi (login i hasło), weryfikowanymi przez centralny serwer RADIUS.

  1. Konfiguracja serwera RADIUS (Interfejs GUI):

    W Packet Tracerze użyjemy urządzenia Server-PT, na którym włączymy usługę AAA (Authentication, Authorization, Accounting).

    • Ustaw statyczny adres IP serwera, np. 192.168.1.11/24.
    • Przejdź do Server > Services > AAA. Włącz usługę (Service On).
    • Dodaj klienta sieciowego (WLC): W sekcji Client Setup dodaj wpis dla WLC:
      • Client Name: WLC1
      • Client IP: 192.168.1.5 (adres interfejsu management WLC)
      • Secret: Cisco123 (to hasło będzie współdzielone między WLC a serwerem)
      • Server Type: RADIUS
      • Kliknij Add.
    • Dodaj użytkowników: W sekcji User Setup dodaj użytkowników, którzy będą mogli logować się do sieci:
      • Username: jkowalski, Password: Student1. Kliknij Add.
      • Username: anowak, Password: Wykładowca1. Kliknij Add.
  2. Konfiguracja WLC (Interfejs Web GUI):

    Musimy „nauczyć” WLC, jak komunikować się z serwerem RADIUS, a następnie stworzyć WLAN, który będzie z niego korzystał.

    1. Dodaj serwer RADIUS:
      • Przejdź do SECURITY > AAA > RADIUS > Authentication > New.
      • Wypełnij dane serwera: Server IP Address: 192.168.1.11, Shared Secret: Cisco123. Zastosuj.
    2. Utwórz nowy WLAN Enterprise:
      • Przejdź do WLANS > Create New > Go.
      • Profile Name: EDU-Enterprise, SSID: EDUROAM. Zastosuj.
      • W zakładce General, przypisz interfejs (np. vlan10_pracownicy).
      • W zakładce Security > Layer 2, wybierz WPA+WPA2. W sekcji 802.1X zaznacz 802.1X.
      • W zakładce Security > AAA Servers, z listy rozwijanej dla Authentication Servers wybierz adres IP swojego serwera RADIUS (192.168.1.11).
      • Włącz sieć i zapisz.
  3. Weryfikacja:

    Weź laptopa, przejdź do Desktop > PC Wireless. W zakładce Profiles stwórz nowy profil. Wprowadź nazwę, a następnie w ustawieniach zaawansowanych wybierz sieć EDUROAM. W ustawieniach bezpieczeństwa wybierz WPA2-Enterprise. Wpisz login i hasło jednego z utworzonych użytkowników (np. jkowalski / Student1). Po zapisaniu profilu i połączeniu, laptop powinien zostać uwierzytelniony przez serwer RADIUS i uzyskać dostęp do sieci.