WLC-4025 -> WLC-1000: Wie Access Points übernehmen?

[Richie]

Hallo Forum,

wir betreiben mit unserem WLC-4025 etwa 50 Access Points. Aufgrund einer größeren Erweiterung wollen wir auf einen WLC-1000 wechseln.

Da eine komplette, modellübergreifende Übernahme der Konfiguration vermutlich nicht möglich/sinnvoll ist, würden wir zumindest gerne die Übernahme der derzeit aktiven Access Points realisieren. Die Frage dabei ist jedoch, welcher Weg der richtige ist.

Die sich im bisherigen WLC befindlichen APs dürften sich wohl eher nicht freiwillig mit dem neuen WLC verbinden wollen, da sie sich momentan ja noch in einer anderen/gemanagten WLC-Umgebung befinden. Das heißt, diese APs müssten wahrscheinlich via "do /other/reset" erst zurückgesetzt werden. Diesen Schritt würden wir aufgrund der Anzahl der Geräte gerne vermeiden, sofern möglich.

Idee 1: Wie können wir die APs zuvor aus dem alten WLC entfernen, ohne dass sie sich sofort wieder bei diesem alten WLC registrieren wollen, solange dieser noch in Betrieb ist?

Idee 2: Oder würde es stattdessen funktionieren, einfach das Zertifikat aus dem alten WLC zu exportieren und im neuen WLC einzuspielen?

Vielen Dank für euren Input!

[tstimper]

Idee 2: Oder würde es stattdessen funktionieren, einfach das Zertifikat aus dem alten WLC zu exportieren und im neuen WLC einzuspielen?

Das müsste gehen, wenn auch WLC Name und IP übernommen wird.

Aber: wir haben auch schon im Forum Fälle gehabt, wo die mit altem LCOS erzeugten Zertifikate im neuen LCOS Probleme machen.

Die Fragen wären:
- Mit welchem LCOS wurde die CA erzeugt?
- weclhes LCOS läuft aktuell auf dem WLC-4025?
- Wiele lange ist die CA überhaupt noch gültig?
- Welche APs mit welcher Firmware sind denn im Einsatz?

Ansonnsten könnten man da was scripten für den Umzug.

do /other/reset auf 50 APs geht in 5 Minuten, dann booten die APs neu und verbinden sich über den DNS Eintrag wlc-address mit dem neuen WLC.

Also der eigentliche Umzug dauert keine 10 Minuten.

Viele Grüße

ts

[Richie]

Das müsste gehen, wenn auch WLC Name und IP übernommen wird.

Aber: wir haben auch schon im Forum Fälle gehabt, wo die mit altem LCOS erzeugten Zertifikate im neuen LCOS Probleme machen.

Hallo ts und danke für deine Antwort!

Wir haben heute im Testbestrieb die Erfahrung gemacht, dass ältere Access Points (LANCOM LN-830acn) sich sofort und freiwillig beim neuen WLC angemeldet haben (übrigens trotz eines anderen WLC-Namens):

Die 830er APs waren kurz zuvor noch im alten WLC im Einsatz. Wir haben sie dort nicht entfernt und stattdessen einfach ins Netz des neuen WLCs gebracht. Dort haben sie sich automatisch in die Access Point Tabelle eingetragen. Mit aktuelleren APs (LANCOM LX-6400) klappte das allerdings wie erwartet nicht. Diese benötigen im Vorfeld tatsächlich den besagten Reset. Alle APs (sowohl 830er als auch 6400) haben die derzeit aktuellste Firmware aufgespielt.

Da die CA auf dem alten WLC schon vor langer Zeit erzeugt wurde, werden wir voraussichtlich lieber mit neuen Zertifikaten starten und die APs, die einen Reset benötigen, halt einmal zurücksetzen. Wie du schon geschrieben hast geht das ja recht flott und so haben wir die Gewissheit, mit einem frischen Zertifikat zu starten. Das klingt irgendwie nach der saubersten Variante.

Oder könnte es noch andere Probleme geben, an die wir bisher nicht gedacht haben? Im Endeffekt kommen im Zuge des WLC-Austausches nur zahlreiche zusätzliche APs dazu. Die WLAN Zugangsdaten sollen vorerst wie vorher bleiben und der Rest der Infrastruktur bleibt ebenfalls gleich; also z.B. auch alle Endgeräte (hauptsächlich iPads und Apple TVs). Bei unserem Test konnten wir heute schon mal beobachten, dass sich unsere Testgeräte automatisch bei einem AP am neuen WLC angemeldet haben; also ohne dass man das WLAN-Kennwort o.ä. noch mal neu eingeben müsste.

[tstimper]

Das müsste gehen, wenn auch WLC Name und IP übernommen wird.

Oder könnte es noch andere Probleme geben, an die wir bisher nicht gedacht haben? Im Endeffekt kommen im Zuge des WLC-Austausches nur zahlreiche zusätzliche APs dazu. Die WLAN Zugangsdaten sollen vorerst wie vorher bleiben und der Rest der Infrastruktur bleibt ebenfalls gleich; also z.B. auch alle Endgeräte (hauptsächlich iPads und Apple TVs). Bei unserem Test konnten wir heute schon mal beobachten, dass sich unsere Testgeräte automatisch bei einem AP am neuen WLC angemeldet haben; also ohne dass man das WLAN-Kennwort o.ä. noch mal neu eingeben müsste.

Wenn Du den Public Spot nutzt, musst Du natürlich auch die Radius User Tabelle übernehmen.
Wichtig ist noch, das älteren APs. also die noch eine 10.42.x haben, noch das Klartext Root Password brauchen.
Wenn Du Deinen neuem WLC frisch aufsetzt, ist das Root Klartext Password disabled
Unter anderem deshalb haben wir in unsere Config Backup Software den Password Change Prozess mit eingebaut.
Die APs bekommen das WLC Root Password aber auschlieslich beim Connect und dann erst wieder beim nächsten Connect zum WLC.
Ebenso wird nur beim Connect die Zeit auf dem AP gesetzt.

Also muss man das beides z.b. per SSH / CLI Script separat setzen.

Bei LCOS APs kannst die die WLC Scripte nutzen, bei LCOS-LX APs funtionieren die nur teilweise oder garnicht.
Den aktuellen Stand bei LCOS -LX kenne ich nicht, wie gesagt, dazu haben wir uns dann eigene Software geschrieben.
Die sichert dann auch die Zertifikate und die Public Spot HTML Seiten und Bilder vom WLC.

Viele Grüße

ts