Heute nehme ich meinen Cisco AIR-AP2702I-UXK9 Access Point in Betrieb, welchen ich auf eBay für schmales Geld ergattert habe. Genau das richtige für mein Cisco Wireless Home Lab, um das Thema Regulatory Domains noch besser zu verstehen. Cisco Universal APs sind zwar Auslaufmodelle, können aber unter verschiedenen Regulatory Domains eingesetzt werden. Und das möchte ich ausprobieren.
Zur Erinnerung: Jeder WLAN Access Point muss sich an das rechtlich zugewiesene lizenzfreie Spektrum des jeweiligen Landes halten, in dem er in Betrieb genommen wird. Wo welche Frequenzen nutzbar sind, bestimmt die sogenannte Regulatory Domain. Im privaten WLAN-Umfeld kommen daher nur diejenigen Access Points auf den Markt, die im jeweiligen Land auch legal betrieben werden können. Im Profi-Segment müssen die eingesetzten WLAN APs immer zu den Vorgaben des jeweiligen Landes passen. In Anbetracht des physischen Einsatzortes müssen die passenden Access Points bestellt werden, ein Modell für die USA darf zum Beispiel nicht in Deutschland verwendet werden.
Bei der Bestellung von WLAN Access Points muss daher immer auf die benötigte Regulatory Domain geachtet werden. Ein bürokratischer Aufwand! Cisco adressierte dieses Problem durch sogenannte Universal APs, die sich manuell auf die entsprechende Regulatory Domain auf Grundlage ihres geographischen Standortes anpassen ließen, erkennbar an dem -UX im Produktnamen. Leider wurde das Konzept der Universal APs ab den WLAN 5 Wave 2 Modellen aber nicht mehr weitergeführt.
Cisco NPD geht nur, wenn bereits ein Universal AP im eigenen WLAN hängt
Die Inbetriebnahme eines Universal APs, also zum Beispiel mein AIR-AP2702I-UXK9, ist im Jahr 2022 nicht mehr ganz einfach möglich. Grundsätzlich gibt es zwei Möglichkeiten. Am einfachsten ist es, wenn ihr bereits einen -UX-AP an eurem WLAN-Controller hängen habt. Dann erkennt ein Universal AP über das Cisco Neighbor Discovery Protocol (NDP) over the Air, dass bereits ein anderer einsatzfähiger Universal AP im WLAN hängt und passt seine eigene Regulatory Domain entsprechend an. Das funktioniert aber nur, wenn bereits ein Universal AP betriebsbereit eingesetzt wird, welcher dann die entsprechenden Infos zur Regulatory Domain über seine Beacon Frames verteilt.
Gibt es noch keinen einsatzbereiten Universal AP im eigenen WLAN, muss dieser zunächst geprimed werden. Als Priming bezeichnet Cisco die Einrichtung der Regulatory Domain auf einem Universal AP. Ist ein Universal AP noch nicht geprimed, dann sendet er seine Signale nur im 2,4 GHz mit begrenzter Sendeleistung aus, sodass er garantiert unter allen Regulatory Domains weltweit rechtlich legal genutzt werden darf. Erst wenn der AP geprimed wird, erhält er volle Sendeleistung und alle seine zulässigen Kanäle.
Übrigens: Setzt man den AP auf Werkseinstellungen zurück, muss er neu geprimed werden!
AirProvisioning-APP nicht mehr verfügbar
Bis vor kurzem bot Cisco noch eine App für Windows Phone, Android und iOS an. Die sogenannte AirProvisioning-App baut dann eine Verbindung zum 2,4-Band eines noch nicht geprimten Universal AP auf, prüft dann anhand GPS-Position und Internetverbindung des Smartphones den Standort des -UX-APs und legt dann die Regulatory Domain am Access Point fest. So war der Vorgang kinderleicht.
Leider ist die App nirgends mehr legal zu haben. Wer also keine bestehenden Universal APs in seinem WLAN nutzt, kann keine Access Points des entsprechenden Typs mit universaler Regulatory Domain einsetzen. Schlecht für mich, habe ich doch einen gebrauchten Universal AP ergattert, mit dem ich mehr über die Regulatory Domains lernen möchte.
Universal AP Priming ohne App und ohne Cisco NDP
Im Internet gibt es zum Glück eine Anleitung, wie man das Priming ohne App hinbekommen soll. Mit dem Catalyst 9800 bin ich daran aber kläglich wochenlang gescheitert, denn die Anleitung war für die älteren AirOS-WLAN-Controller. Endlich hat es aber auch bei mir funktioniert und ich habe folgende Anleitung für den Catalyst 9800 im Gepäck. Getestet habe ich das Priming meines Universal AP AIR-AP2702I-UXK9 auf der Software-Version 17.3.4c.
Vorbereitung
Zunächst müsst ihr euren Universal AP in euer WLAN-Netzwerk einbinden. Verbindet den Access Point im korrekten Subnetz, sodass er auch zum WLC durchkommt. Dort konfiguriert ihr den WLAN Access Point genauso, wie ihr auch die anderen Access Points konfiguriert habt. Vergebt also ein passendes Site-Tag, Policy-Tag sowie RF-Tag.
Schritt 1: IP-Adresse des Access Points
Notiert euch zu Beginn die IP-Adresse, die euer UX-AP erhalten hat. In meinem Beispiel ist das die 192.168.8.159. Prüft zudem, welche Tags am AP zugewiesen sind. Die IP-Adresse wird später benötigt, um die Regulatory Domain zu ändern. Anhand der Tags stellt ihr fest, in welchem WLAN und in welchem AP-Join-Profil später Änderungen vorgenommen werden müssen.
Schritt 2: Konfiguration des AP Join Profiles
Damit der Zugriff auf den Universal AP später einwandfrei funktioniert, müsst ihr im vom Access Point verwendeten AP Join Profile festlegen, mit welchen Zugangsdaten der Datenaustausch funktionieren soll. Das AP Join Profile ist ein Teil des Site Tags, welches wir in Schritt 1 identifiziert haben.
Unter „Configuration -> Tags & Profiles -> AP Join“ wählt ihr also das entsprechende AP Join Profile aus, dann legt ihr im Reiter „Management -> User“ die Zugangsdaten fest, welche später an allen Access Points gelten, die das AP Join Profile verwenden. Der Universal AP bekommt so seine Zugangsdaten, die wir später benötigen. Legt also sowohl Username, Passwort und Secret fest.
Schritt 3: Universal Admin auf der SSID aktivieren
Unter „Configuration -> Tags & Profiles -> WLANs“ wählt ihr nun ein WLAN aus, welches im Policy Tag des APs (Schritt 1) tatsächlich verwendet wird. Aktiviert dort im Reiter „Advanced“ die Option Universal Admin. Das ist wichtig, um später auf den AP zugreifen zu können und ihm die Regulatory Domain mitzuteilen.
Schritt 4: Verbindung mit WLAN aufbauen, das vom Universal AP ausgestrahlt wird
Verbindet euch nun mit dem WLAN, welches der Universal AP ausstrahlt und in dem ihr in Schritt 3 die Option Universal Admin aktiviert habt. Die BSSID mit der ihr euch verbindet muss zum Universal AP und besagtem WLAN gehören. Am besten schaltet ihr alle anderen APs in eurem Netzwerk ab. Wenn sich euer WLAN in einem unterschiedlichen VLAN bzw. Subnetz befindet, solltet ihr zudem die Firewall-Einstellungen überprüfen. Stellt sicher, dass ihr den Universal AP mit der IP-Adresse aus Schritt 1 anpingen könnt!
Schritt 5: Universal AP Regulatory Domain Konfiguration einsehen
Nachdem ihr mit dem korrekten WLAN verbunden seid, ruft ihr im Webbrowser folgende URL auf, um auf das Interface des Universal APs zu kommen. Passt die IP-Adresse entsprechend Schritt 1 an:
http://192.168.8.159/get_universal_ap_reg_domain.xmlDer AP wird euch die aktuelle Konfiguration seiner Regulatory Domain anzeigen. Damit ihr die Seite anzeigen dürft, müsst ihr die in Schritt 2 definierten Zugangsdaten eingeben.
Hinweis: Sollte euch die aktuelle Regulatory Domain nicht angezeigt werden, bitte nicht aufgeben. Auch mir ist das wiederholt passiert und ich war am Verzweifeln, einen Grund suche ich bisher vergeblich. Startet dann einfach erneut bei Schritt 3.
Schritt 6: Besser als CLI: Curl-POST absetzen
Über WLAN müsst ihr nun ein Kommando an den Universal AP übermitteln, welches dessen Regulatory Domain korrekt einstellt. Die eingangs erwähnte, nicht mehr verfügbare AirProvisioning-App von Cisco macht im Grunde nichts anderes, prüft aber noch per GPS nach der physischen Position des Access Points, um die korrekte Regulatory Domain festzustellen.
Deshalb legen wir die Regulatory Domain anhand der rechtlichen Vorgaben für Deutschland mit folgenden Parametern wie folgt fest:
Land: DE
Regulatory Domain 5 GHz: -E
Regulatory Domain 2,4 GHz: -EDie Angaben müsst ihr nun in Form eines POST-Request an den Access Point übermitteln. Am einfachsten funktioniert dies unter Linux mit dem Kommandozeilen-Tool Curl. Ich verwende wie immer Kali Linux.
Nutzt folgenden Befehl, um in der Linux-Kommandozeile den Universal AP zu primen, d.h. seine Regulatory Domain festzulegen. Ersetzt eure IP-Adresse am Anfang sowie eure Zugangsdaten am Ende des folgenden Kommandos:
curl -v -X POST "http://192.168.8.159/set_universal_ap_reg_domain.shtml?configMode=1&location=DE®Domain5=-E®Domain24=-E" -u "admin:passwd"
Schritt 7: Überprüfen des Universal AP Status und Regulatory Domain
Geschafft! Der Universal AP sollte nun mit der korrekten Regulatory Domain für Deutschland eingestellt sein. Überprüft die Konfiguration wie in Schritt 5 beschrieben. Schaut zudem im WLAN-Controller unter „Configuration -> Wireless -> Access Points“ nach, ob der AP den Prime-Zustand korrekt anzeigt. (Reiter „Advanced“). Hier findet ihr nun den korrekten Country Code sowie den Vermerk Web App beim Universal Prime Status.
Ihr könnt nun den Universal AP in vollem Umfang nutzen. Habt ihr weitere Universal APs, werden sie sich automatisch per Cisco NDP auf die gleiche Regulatory Domain einstellen. Wartet dazu etwa 60 Sekunden, nachdem die weiteren Universal APs am WLC gejoined sind. Die Universal APs werden nach einem automatischen Neustart ebenfalls vollumfänglich nutzbar sein.
