استيعاب طريقة FlexConnect على وحدة التحكم اللاسلكية Catalyst 9800 Wireless Controller

المقدمة

يوضح هذا المستند ميزة FlexConnect والتكوين العام لها على وحدات التحكم اللاسلكية 9800.

معلومات أساسية

يشير FlexConnect إلى قدرة نقطة وصول (AP) لتحديد ما إذا كان يتم وضع حركة مرور البيانات من العملاء اللاسلكيين مباشرة على الشبكة في مستوى نقطة الوصول (تحويل محلي) أو إذا كانت حركة مرور البيانات مركزية إلى وحدة التحكم 9800 (تحويل مركزي).

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• وحدات التحكم اللاسلكية Cisco Catalyst 9800 مع برنامج Cisco IOS®-XE Gibraltar الإصدار 17.9.x

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الرسم التخطيطي للشبكة

يعتمد هذا المستند على هذا المخطط:

التكوينات

هذا هو المخطط المرئي للتكوين المطلوب لتنفيذ سيناريو هذا المستند:

  

لتكوين معرف مجموعة خدمات التحويل المحلية من FlexConnect (SSID)، فيما يلي الخطوات العامة التي يجب اتباعها:

1. إنشاء/تعديل ملف تعريف WLAN
2. إنشاء/تعديل ملف تعريف نهج
3. إنشاء/تعديل علامة النهج
4. إنشاء/تعديل ملف تعريف مرن
5. إنشاء/تعديل علامة موقع
6. تعيين علامة النهج إلى AP

توضح هذه الأقسام كيفية تكوين كل منها، خطوة بخطوة. 

إنشاء/تعديل ملف تعريف WLAN

يمكنك إستخدام هذا الدليل لإنشاء ثلاثة SSIDs:

إنشاء SSID

إنشاء/تعديل ملف تعريف نهج

الخطوة 1. انتقل إلىConfiguration > Tags & Profiles > Policy. إما أن تحدد اسم اسم اسم موجود بالفعل أو انقر فوق + إضافة لإضافة اسم جديد.

ProfileFlex1

عندما تقوم بتعطيلCentral Switchingظهور رسالة التحذير هذه، انقر فوقYesومتابعة التكوين.

الخطوة 2. انتقل إلىAccess Policiesعلامة التبويب واكتب شبكة VLAN (لا ترونها في القائمة المنسدلة لأن شبكة VLAN هذه غير موجودة على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800). بعد ذلك، انقرSave & Apply to Device.

الخطوة 3. كرر نفس الإجراء ل PolicyProfileFlex2.

ProfileFlex2

الخطوة 4. بالنسبة ل SSID المحولة مركزيا، تأكد من وجود شبكة VLAN المطلوبة على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800، وإذا لم تكن موجودة، فقم بإنشائها.

ملاحظة: في نقاط الوصول FlexConnect باستخدام شبكات محلية لاسلكية (WLAN) محولة محليا، يتم تحويل حركة مرور البيانات في نقطة الوصول وطلبات DHCP من العميل تنتقل إلى الشبكة السلكية بواسطة واجهة AP مباشرة. لا تحتوي نقطة الوصول على أي SVI في الشبكة الفرعية للعميل، لذلك لا يمكنها القيام بوكيل DHCP؛ وبالتالي، فإن تكوين ترحيل DHCP (عنوان IP لخادم DHCP)، في ملف تعريف السياسة > علامة التبويب المتقدمة، ليس له معنى لشبكات WLAN المحولة محليا. في هذه السيناريوهات، يحتاج switchport إلى السماح بشبكة VLAN الخاصة بالعميل ثم، إذا كان خادم DHCP في شبكة VLAN مختلفة، قم بتكوين مساعد IP في البوابة الافتراضية/SVI الخاصة بالعميل حتى يعرف مكان إرسال طلب DHCP من العميل.

إعلان شبكات VLAN الخاصة بالعميل

الخطوة 5. إنشاء ملف تعريف نهج ل SSID المركزي.

انتقل إلىConfiguration > Tags & Profiles > Policy. إما تحديد اسم اسم موجود بالفعل أو النقر + Add لإضافة اسم جديد.

ProfileCentral1

ونتيجة لذلك، توجد ثلاثة ملفات تعريف للنهج.

CLI:

# config t

# vlan 2660
# exit

# wireless profile policy PolicyProfileFlex1
# no central switching
# vlan 2685
# no shutdown
# exit

# wireless profile policy PolicyProfileFlex2
# no central switching
# vlan 2686
# no shutdown
# exit

# wireless profile policy PolicyProfileCentral1
# vlan VLAN2660
# no shutdown
# end

إنشاء/تعديل علامة النهج

"علامة النهج" هي العنصر الذي يسمح لك بتحديد SSID المرتبطة بملف تعريف النهج. 

الخطوة 1. انتقل إلىConfiguration > Tags & Profiles > Tags > Policy. إما تحديد اسم اسم موجود بالفعل أو النقر + Add لإضافة اسم جديد. 

الخطوة 2. من داخل علامة النهج، انقر +Add، من القائمة المنسدلة حدد WLAN Profile الاسم الذي تريد إضافته إلى علامة النهجPolicy Profileوالذي تريد ربطه به. بعد ذلك انقر على علامة التأشير.

كرر عناوين SSID الثلاثة، ثم انقرSave & Apply to Deviceبعد ذلك.

CLI:

# config t

# wireless tag policy PolicyTag1
# wlan Flex1 policy PolicyProfileFlex1
# wlan Flex2 policy PolicyProfileFlex2
# wlan Central1 policy PolicyProfileCentral1
# end

إنشاء/تعديل ملف تعريف مرن

في المخطط المستخدم لهذا المستند، لاحظ وجود نوعين من SSID في التحويل المحلي مع شبكتي VLAN مختلفتين. داخل ملف التعريف المرن حيث أنت تعين ال APs VLAN (VLAN أهلي طبيعي) وأي VLAN آخر أن ال ap يحتاج أن يكون على علم، في هذه الحالة، VLANs يستعمل ب SSIDs. 

الخطوة 1. انتقل إلى إنشاءConfiguration > Tags & Profiles > Flexجديد أو قم بتعديل موجود بالفعل.

الخطوة 2. عينت اسم لملف تعريف Flex وعينت ال APs VLAN (أهلي طبيعي VLAN id).

الخطوة 3. انتقل إلىVLANعلامة التبويب وحدد شبكة VLAN المطلوبة.

في هذا السيناريو، هناك عملاء على شبكات VLAN أرقام 2685 و 2686. لا توجد شبكات VLAN هذه على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800، وإضافتها إلى ملف تعريف Flex حتى تكون موجودة على نقطة الوصول.

ملاحظة: عند إنشاء ملف تعريف السياسة، إذا قمت بتحديد اسم شبكة VLAN بدلا من معرف شبكة VLAN، فتأكد من أن اسم شبكة VLAN هنا في ملف تعريف Flex هو نفسه تماما.

  

كرر لشبكات VLAN المطلوبة.

لاحظ أنه لم تتم إضافة شبكة VLAN المستخدمة للتحويل المركزي، لأن نقطة الوصول لا تحتاج إلى أن تكون على دراية بها.

CLI:

# config t

# wireless profile flex FlexProfileLab
# native-vlan-id 2601
# vlan-name VLAN2685
# vlan-id 2685
# vlan-name VLAN2686
# vlan-id 2686
# end

إنشاء/تعديل علامة موقع

علامة الموقع هي العنصر الذي يتيح لك تحديد ربط AP و/أو ملف تعريف Flex الذي يتم تعيينه إلى نقاط الوصول. 

الخطوة 1. انتقل إلى Configuration > Tags & Profiles > Tags > Site. إما تحديد اسم اسم موجود بالفعل أو النقر + Add لإضافة اسم جديد. 

الخطوة 2. داخل علامة الموقع، قم بتعطيل الخيار Enable Local Site (أي نقطة وصول تستقبل علامة موقع مع تعطيلEnable Local Siteالخيار يتم تحويلها إلى وضع FlexConnect). وبمجرد تعطيله، يمكنك أيضا تحديدFlex Profile. بعد ذلك النقرSave & Apply to Device.

CLI:

# config t
# wireless tag site FlexSite1
# flex-profile FlexProfileLab
# no local-site

تعيين علامة النهج إلى AP

يمكنك تعيين علامة نهج مباشرة إلى نقطة وصول أو تعيين نفس علامة النهج إلى مجموعة من نقاط الوصول في نفس الوقت. أختر النوع الذي يناسبك.

تعيين علامة النهج لكل نقطة وصول

انتقل إلىConfiguration > Wireless > Access Points > AP name > General > Tags. من القائمة Site المنسدلة، حدد علامات التمييز المرغوبة وانقرUpdate & Apply to Device.

  

ملاحظة: تنبه إلى أنه بعد إجراء التغيير، تفقد علامة النهج الخاصة بنقطة الوصول إرتباطها بمجموعات التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800، ثم تعود للانضمام في غضون دقيقة واحدة تقريبا.

ملاحظة: إذا تم تكوين نقطة الوصول في الوضع المحلي (أو أي وضع آخر) ثم تحصل على علامة موقع مع تعطيل الخيارEnable Local Site، تقوم نقطة الوصول بإعادة التشغيل وتعود إلى وضع FlexConnect. 

 CLI:

# config t
# ap <ethernet-mac-addr>
# site-tag <site-tag-name>
# end

تعيين علامة النهج لنقاط الوصول المتعددة

انتقل إلى Configuration > Wireless Setup > Advanced > Start Now.

انقر على Tag APsأيقونة :=، ثم حدد قائمة نقاط الوصول التي تريد تعيين علامات التمييز لها (يمكنك النقر على سهم نقطة إلى أسفل المجاورAP name[أو أي حقل آخر] لتصفية قائمة نقاط الوصول).

بمجرد أن تقوم بتحديد نقاط الوصول المرغوبة، انقر على + نقاط الوصول للعلامات.

  

حدد علامات التمييز التي تريد تعيينها على نقاط الوصول وانقرSave & Apply to Device.

ملاحظة: تنبه إلى أنه بعد تغيير علامة النهج لنقطة الوصول، تفقد إرتباطها بمجموعات التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800 والانضمام في غضون دقيقة واحدة تقريبا.

ملاحظة:إذا تم تكوين نقطة الوصول في الوضع المحلي (أو أي وضع آخر) ثم تحصل على علامة موقع مع تعطيل الخيارEnable Local Site، فإن نقطة الوصول تعيد التمهيد وتعود إلى وضع FlexConnect. 

CLI:

لا يوجد خيار واجهة سطر الأوامر (CLI) لتعيين نفس علامة التمييز إلى نقاط وصول متعددة. 

قوائم التحكم في الوصول (ACL) طراز FlexConnect

أحد الأشياء التي يجب أخذها بعين الاعتبار عند توفر شبكة WLAN محولة محليا هي كيفية تطبيق قائمة التحكم في الوصول (ACL) على العملاء.

في حال وجود شبكة WLAN محولة مركزيا، يتم إصدار حركة مرور البيانات بالكامل في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، لذلك لا يلزم دفع قائمة التحكم في الوصول (ACL) إلى نقطة الوصول. ومع ذلك، عندما يتم تحويل حركة المرور محليا (الاتصال المرن - التحويل المحلي)، يجب دفع قائمة التحكم في الوصول (المحددة على وحدة التحكم) إلى نقطة الوصول، نظرا لأنه يتم إصدار حركة المرور في نقطة الوصول. يتم ذلك عند إضافة قائمة التحكم في الوصول (ACL) إلى ملف التعريف المرن. 

يتم تطبيق قوائم التحكم في الوصول (ACL) إلى FlexConnect في كل من أتجاهات الخروج والمدخل. وهذا يتطلب منك أن تكون صريحا للغاية في السماح بحركة المرور في الشبكة الفرعية للعميل أو رفضها. من الأخطاء الشائعة منع العملاء من الوصول إلى بوابة العملاء من خلال عدم وجود قائمة تحكم في الوصول (ACL) واضحة بشكل كاف. رأيت كثير تفاصيل في الملاحظات من cisco بق id CSCuv93592 .

شبكة WLAN المحولة مركزيا

لتطبيق قائمة تحكم في الوصول (ACL) على العملاء المتصلين بشبكة WLAN محولة مركزيا :

الخطوة 1 - تطبيق قائمة التحكم في الوصول (ACL) على ملف تعريف السياسة. انتقل إلى التكوين > العلامات وملفات التعريف > السياسة، حدد ملف تعريف السياسة المرتبط بشبكة WLAN المحولة مركزيا. تحت قسم "سياسات الوصول" > "قائمة التحكم في الوصول إلى الشبكة المحلية اللاسلكية (WLAN)"، حدد قائمة التحكم في الوصول (ACL) التي تريد تطبيقها على العملاء.

إذا كنت تقوم بتكوين المصادقة المركزية للويب على شبكة WLAN محولة مركزيا، فيمكنك إنشاء قائمة تحكم في الوصول (ACL) لإعادة التوجيه على 9800، تماما كما لو كانت نقطة الوصول في الوضع المحلي، نظرا لأنه يتم معالجة كل شيء مركزيا على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) في هذه الحالة.

شبكة WLAN محولة محليا

لتطبيق قائمة تحكم في الوصول (ACL) على العملاء المتصلين بشبكة WLAN محولة محليا :

الخطوة 1 - تطبيق قائمة التحكم في الوصول (ACL) على ملف تعريف السياسة. انتقل إلى التكوين > العلامات وملفات التعريف > السياسة، حدد ملف تعريف السياسة المرتبط بشبكة WLAN المحولة محليا. تحت قسم "سياسات الوصول" > "قائمة التحكم في الوصول إلى الشبكة المحلية اللاسلكية (WLAN)"، حدد قائمة التحكم في الوصول (ACL) التي تريد تطبيقها على العملاء.

الخطوة 2 - تطبيق قائمة التحكم في الوصول (ACL) على ملف التعريف المرن. انتقل إلى التكوين > علامات وتوصيفات > Flex، حدد ملف التعريف المرن المعين لنقاط الوصول Flex Connect APs. ضمن قسم "قائمة التحكم بالوصول (ACL) الخاصة بالسياسة، أضف قائمة التحكم بالوصول (ACL) وانقر فوق "حفظ"

التحقق من تطبيق قائمة التحكم في الوصول (ACL)

يمكنك التحقق من تطبيق قائمة التحكم في الوصول (ACL) على عميل عند الانتقال إلى المراقبة > الشبكة اللاسلكية > العملاء، حدد العميل الذي تريد التحقق منه. في القسم عام > معلومات التأمين، تحقق من قسم "سياسات الخادم" اسم "معرف عامل التصفية": يجب أن يتوافق مع قائمة التحكم بالوصول (ACL) المطبقة.

في حالة نقاط الوصول (AP) ذات الاتصال المرن (المحولات المحلية)، يمكنك التحقق مما إذا كانت قائمة التحكم في الوصول (ACL) قد تم ضغطها على نقطة الوصول عن طريق كتابة الأمر "#show ip access-lists" على نقطة الوصول نفسها.

التحقق

أنت يستطيع استعملت هذا أمر أن يدقق التشكيل.

تكوين شبكات VLAN/الواجهات

# show vlan brief
# show interfaces trunk
# show run interface <interface-id>

تكوين شبكة WLAN

# show wlan summary
# show run wlan [wlan-name]
# show wlan { id <wlan-id> | name <wlan-name> | all }

تكوين نقطة الوصول

# show ap summary
# show ap tag summary
# show ap name <ap-name> tag { info | detail }

# show ap name <ap-name> tag detail

AP Name            : AP2802-01
AP Mac             : 0896.ad9d.143e

Tag Type             Tag Name
-----------------------------
Policy Tag           PT1
RF Tag               default-rf-tag
Site Tag             default-site-tag

Policy tag mapping
------------------
WLAN Profile Name                Policy Name                      VLAN                             Central Switching                IPv4 ACL                         IPv6 ACL
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
psk-pbl-ewlc                     ctrl-vl2602                      VLAN0210                         ENABLED                          Not Configured                   Not Configured

Site tag mapping
----------------
Flex Profile         : default-flex-profile
AP Profile           : default-ap-profile
Local-site           : Yes

RF tag mapping
--------------
5ghz RF Policy       : Global Config
2.4ghz RF Policy     : Global Config

تشكيل العلامة

# show wireless tag { policy | rf | site } summary
# show wireless tag { policy | rf | site } detailed <tag-name>

تشكيل ملف التعريف

# show wireless profile { flex | policy } summary
# show wireless profile { flex | policy } detailed <profile-name>
# show ap profile <AP-join-profile-name> detailed