تكوين FlexConnect OEAP باستخدام الاتصال النفقي المنقسم
المحتويات
المقدمة
يصف هذا وثيقة كيف أن يشكل داخلي منفذ نقطة (AP) ك FlexConnect Office Extend AP (OEAP) أسلوب وكيف أن يمكن تقسيم tunneling so that أنت يستطيع عينت ما حركة مرور ينبغي كنت حولت محليا في المكتب المنزلي وما حركة مرور ينبغي كنت حولت مركزيا في ال لاسلكي lan جهاز تحكم (WLC).
ساهم في ذلك تياغو أنتونيس، نيكولاس داركيس، مهندسو TAC من Cisco.
المتطلبات الأساسية
المتطلبات
يفترض التكوين هناك في هذا المستند أن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) تم تكوينه بالفعل في منطقة منزوعة السلاح (DMZ) مع تمكين ترجمة عنوان الشبكة (NAT) وأن نقطة الوصول قادرة على الانضمام إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) من المكتب المنزلي.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- WLCs مع الإصدار AireOS 8.10(130.0) Software.
- نقاط الوصول من الموجة 1: 1700/2700/3700.
- نقاط الوصول من السلسلة Wave2: 1800/2800/3800/4800 و Catalyst 9100 Series.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
نظرة عامة
يوفر OEAP إتصالات آمنة من Cisco WLC إلى نقطة وصول Cisco AP في موقع بعيد، in order to مددت WLAN للشركة عبر الإنترنت إلى مكان إقامة الموظف. تجربة المستخدم في المكتب المنزلي هي نفسها تماما كما لو كانت في مكتب الشركة. يضمن تشفير طبقة نقل البيانات (DTLS) بين نقطة الوصول ووحدة التحكم توفر أعلى مستوى من الأمان لجميع الاتصالات. يمكن أن تعمل أي نقطة وصول داخلية في وضع FlexConnect كنقطة وصول OEAP.
حقائق مهمة
-
تم تصميم نقاط الوصول من Cisco OEAPs للعمل خلف موجه أو جهاز بوابة آخر يستخدم NAT. nat يسمح أداة، مثل مسحاج تخديد، أن يعمل كعميل بين الإنترنت (عام) وشبكة شخصية (خاص)، أي يمكن مجموعة كاملة من الحواسيب أن يتم تمثيلها بعنوان IP وحيد. لا يوجد حد لعدد نقاط الوصول من Cisco OEAPs التي يمكنك نشرها خلف جهاز nat.
-
يمكن تكوين جميع نماذج نقاط الوصول الداخلية المدعومة بهوائي مدمج على هيئة OEAP باستثناء نقاط الوصول من السلسلة AP-700i و AP-700W وAP من السلسلة AP802.
-
يجب أن تكون جميع نقاط الوصول OEAP في مجموعة نقاط الوصول نفسها، ويجب ألا تحتوي تلك المجموعة على أكثر من 15 شبكة محلية لاسلكية. يقوم جهاز تحكم به OEAPs في مجموعة AP بنشر ما يصل إلى 15 شبكة محلية لاسلكية (WLAN) فقط لكل OEAP متصل لأنه يحتفظ بشبكة محلية لاسلكية (WLAN) لمعرف مجموعة الخدمة الشخصية (SSID).
التكوين
الرسم التخطيطي للشبكة
التكوينات
تكوين شبكة WLAN
الخطوة 1. قم بإنشاء شبكة WLAN لتعيينها إلى مجموعة AP. لا تحتاج إلى تمكين خيار التحويل المحلي ل FlexConnect لشبكة WLAN هذه.
الخطوة 2. إنشاء مجموعة نقاط وصول (AP). على علامة التبويب شبكات WLAN، أختر معرف SSID لشبكة WLAN ثم انقر إضافة لإضافة شبكة WLAN. انتقل إلى علامة التبويب APs وأضف نقطة الوصول FlexConnect OEAP.
تكوين نقطة الوصول
بعد أن تكون نقطة الوصول مرتبطة بوحدة التحكم في وضع FlexConnect، يمكنك تكوينها كبروتوكول OEAP.
الخطوة 1. بعد أن تنضم نقطة الوصول إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، قم بتغيير وضع نقطة الوصول إلى FlexConnect وانقر فوق تطبيق.
الخطوة 2. تأكد من أن لديك على الأقل عنصر تحكم في الشبكة المحلية اللاسلكية (WLC) أساسي تم تكوينه في علامة التبويب "الإتاحة العالية":
الخطوة 3. انتقل إلى علامة التبويب FlexConnect وحدد خانة الاختيار تمكين OfficeExtend AP.
يتم تمكين تشفير بيانات DTLS تلقائيا عند تمكين وضع OfficeExtend لنقطة الوصول. ومع ذلك، يمكنك تمكين تشفير بيانات DTLS أو تعطيله لنقطة وصول معينة. للقيام بذلك، حدد (تمكين) أو قم بإلغاء تحديد (تعطيل) خانة الاختيار تشفير البيانات في جميع نقاط الوصول > تفاصيل ل [نقطة الوصول المحددة] > علامة التبويب متقدمة:
الخطوة 3. حدد تطبيق. بعد تحديد تطبيق، تعيد تحميل نقطة الوصول.
الخطوة 4. بعد إعادة انضمام نقطة الوصول إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، تكون نقطة الوصول في وضع OEAP.
الخطوة 5. قم بإنشاء قائمة التحكم في الوصول (ACL) تدعم تقنية FlexConnect لتحديد حركة المرور التي سيتم تحويلها مركزيا (رفض) ومحليا (السماح).
هنا، لديك هدف تحويل حركة مرور البيانات بالكامل محليا إلى الشبكة الفرعية 192.168.1.0/24.
الخطوة 6. قم بإنشاء مجموعة FlexConnect، وانتقل إلى تعيين قائمة التحكم في الوصول، ثم انتقل إلى تعيين قائمة التحكم في الوصول إلى الشبكة المحلية اللاسلكية (WLAN). تحت "تخطيط قائمة التحكم في الوصول (ACL) للتقسيم المحلي"، أدخل معرف الشبكة المحلية اللاسلكية (WLAN) واختر قائمة التحكم في الوصول (ACL) ل FlexConnect. ثم انقر فوق إضافة.
الخطوة 7. إضافة نقطة الوصول إلى مجموعة FlexConnect:
التحقق من الصحة
1. التحقق من حالة قائمة التحكم في الوصول (ACL) لنظام FlexConnect وتعريفها:
c3504-01) >show flexconnect acl summary
ACL Name Status
-------------------------------- -------
Flex_OEAP_ACL Applied
(c3504-01) >show flexconnect acl detailed Flex_OEAP_ACL
Source Destination Source Port Dest Port
Index IP Address/Netmask IP Address/Netmask Prot Range Range DSCP Action
------ ------------------------------- ------------------------------- ---- ----------- ----------- ----- -------
1 0.0.0.0/0.0.0.0 192.168.1.0/255.255.255.0 Any 0-65535 0-65535 Any Permit
2 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0 Any 0-65535 0-65535 Any Deny
2. التحقق من تعطيل التحويل المحلي ل FlexConnect:
(c3504-01) >show wlan 17
WLAN Identifier.................................. 17
Profile Name..................................... FlexOEAP_TEST
Network Name (SSID).............................. FlexOEAP_TEST
Status........................................... Enabled
...
Interface........................................ management
...
FlexConnect Local Switching................... Disabled
FlexConnect Central Association............... Disabled
flexconnect Central Dhcp Flag................. Disabled
flexconnect nat-pat Flag...................... Disabled
flexconnect Dns Override Flag................. Disabled
flexconnect PPPoE pass-through................ Disabled
flexconnect local-switching IP-source-guar.... Disabled
FlexConnect Vlan based Central Switching ..... Disabled
FlexConnect Local Authentication.............. Disabled
FlexConnect Learn IP Address.................. Enabled
Flexconnect Post-Auth IPv4 ACL................ Unconfigured
Flexconnect Post-Auth IPv6 ACL................ Unconfigured
...
Split Tunnel Configuration
Split Tunnel................................. Disabled
Call Snooping.................................... Disabled
Roamed Call Re-Anchor Policy..................... Disabled
...
3. التحقق من تكوين مجموعة FlexConnect:
(c3504-01) >show flexconnect group summary
FlexConnect Group Summary: Count: 2
Group Name # Aps
-------------------- --------
FlexConnect_OEAP_Group 2
default-flex-group 0
(c3504-01) >show flexconnect group detail FlexConnect_OEAP_Group
Number of AP's in Group: 2
AP Ethernet MAC Name Status Mode Type Conflict with PnP
-------------------- -------------------- --------------- -------------- ---------- ------------------
70:db:98:e1:3e:b8 AP3800_E1.3EB8 Joined Flexconnect Manual No
c4:f7:d5:4c:e7:7c AP9120_4C.E77C Joined Flexconnect Manual No
Efficient AP Image Upgrade ..... Disabled
Efficient AP Image Join ........ Disabled
Auto ApType Conversion........ Disabled
Master-AP-Mac Master-AP-Name Model Manual
Group Radius Servers Settings:
Type Server Address Port
------------- ---------------- -------
Primary Unconfigured Unconfigured
Secondary Unconfigured Unconfigured
Group Radius/Local Auth Parameters :
Radius Retransmit Count......................... 3 (default)
Active Radius Timeout........................... 5 (default)
Group Radius AP Settings:
AP RADIUS server............ Disabled
EAP-FAST Auth............... Disabled
LEAP Auth................... Disabled
EAP-TLS Auth................ Disabled
EAP-TLS CERT Download....... Disabled
PEAP Auth................... Disabled
Server Key Auto Generated... No
Server Key.................. <hidden>
Authority ID................ 436973636f0000000000000000000000
Authority Info.............. Cisco A_ID
PAC Timeout................. 0
HTTP-Proxy Ip Address.......
HTTP-Proxy Port............. 0
Multicast on Overridden interface config: Disabled
DHCP Broadcast Overridden interface config: Disabled
Number of User's in Group: 0
FlexConnect Vlan-name to Id Template name: none
Group-Specific FlexConnect Local-Split ACLs :
WLAN ID SSID ACL
-------- -------------------- -----
17 FlexOEAP_TEST Flex_OEAP_ACL
Group-Specific Vlan Config:
Vlan Mode.................... Enabled
Native Vlan.................. 100
Override AP Config........... Disabled
Group-Specific FlexConnect Wlan-Vlan Mapping:
WLAN ID Vlan ID
-------- --------------------
WLAN ID SSID Central-Dhcp Dns-Override Nat-Pat
أنت يستطيع قبض الحركة مرور في ال ap قارن in order to دققت أن الحركة مرور يكون انقسمت على ال ap.
يوضح مثال التقاط الحزمة هذا حركة مرور البيانات التي تطابق عبارات "الرفض" لقائمة التحكم في الوصول الموجهة إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، وحركة مرور البيانات التي تطابق عبارات "السماح" لقائمة التحكم في الوصول التي تم تحويلها محليا في نقطة الوصول:
in order to دققت أن ال ap أنجزت ال nat، أنت يستطيع ربطت إلى ال ap انتهائية وأصدرت العرض ip nat ترجمة" أمر. مثال:
AP3800_E1.3EB8#show ip nat translations
TCP NAT upstream translations:
(192.168.1.139, 1223, 192.168.1.2, 5000) => (192.168.1.99, 1223, 192.168.1.2, 5000) [*0 gw_h/nat/from_inet_tcp:0] i0 exp42949165
(192.168.1.139, 1095, 192.168.1.2, 5000) => (192.168.1.99, 1095, 192.168.1.2, 5000) [*0 gw_h/nat/from_inet_tcp:0] i0 exp85699
...
TCP NAT downstream translations:
(192.168.1.2, 5000, 192.168.1.99, 1223) => (192.168.1.2, 5000, 192.168.1.139, 1223) [gw_h/nat/to_inet_tcp:0 *0] i0 exp42949165
(192.168.1.2, 5000, 192.168.1.99, 1207) => (192.168.1.2, 5000, 192.168.1.139, 1207) [gw_h/nat/to_inet_tcp:0 *0] i0 exp85654
إن يزيل أنت انقسام tunneling، بعد ذلك كل حركة مرور يحول مركزيا في ال WLC. يوضح هذا المثال بروتوكول رسائل التحكم في الإنترنت (ICMP) إلى الوجهة 192.168.1.2، داخل نفق Capwap:
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
21-Sep-2021 |
الإصدار الأولي |
التعليقات