تكوين الاتصال النفقي لانقسام Catalyst 9800 و FlexConnect OEAP

خيارات التنزيل

  • PDF     (1.0 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (658.1 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (788.2 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١٥ سبتمبر ٢٠٢١
معرّف المستند:215967

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا وثيقة كيف أن يشكل داخلي منفذ نقطة (ap) ك FlexConnect Office Extend (OEAP) وكيف أن يمكن تقسيم tunneling so that أنت يستطيع عينت ما حركة مرور يستطيع كنت حولت محليا في المنزل وما حركة مرور ينبغي كنت حولت مركزيا في ال WLC.

    المتطلبات الأساسية

    المتطلبات

    يفترض التكوين في هذا المستند أن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) تم تكوينه بالفعل في منطقة بيانات مجدولة (DMZ) مع تمكين NAT وأن نقطة الوصول قادرة على الانضمام إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) من المكتب المنزلي.

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • وحدات التحكم في الشبكة المحلية (LAN) اللاسلكية 9800 التي تشغل برنامج Cisco IOS-XE 17.3.1.
    • نقاط الوصول من الموجة 1: 1700/2700/3700.
    • نقاط الوصول من السلسلة Wave2: 1800/2800/3800/4800 و Catalyst 9100 Series. 

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    نظرة عامة

    توفر نقطة الوصول Cisco OfficeExtend (Cisco OEAP) إتصالات آمنة من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) من Cisco إلى نقطة وصول Cisco AP في موقع بعيد، مما يعمل على توسيع شبكة WLAN الخاصة بالشركة عبر الإنترنت إلى مكان إقامة الموظف بسلاسة. تجربة المستخدم في المكتب المنزلي هي نفسها تماما كما لو كانت في مكتب الشركة. يضمن تشفير طبقة نقل البيانات (DTLS) بين نقطة الوصول ووحدة التحكم توفر أعلى مستوى من الأمان لجميع الاتصالات. يمكن أن تعمل أي نقطة وصول داخلية في وضع FlexConnect كنقطة وصول OEAP.

    معلومات أساسية

    يشير FlexConnect إلى قدرة نقطة الوصول (AP) على التعامل مع العملاء اللاسلكيين أثناء العمل في مواقع بعيدة، على سبيل المثال، على شبكة WAN. كما يمكنهم تحديد ما إذا كان يتم وضع حركة المرور من العملاء اللاسلكيين على الشبكة مباشرة على مستوى نقطة الوصول (التحويل المحلي) أو ما إذا كانت حركة المرور مركزية إلى وحدة التحكم 9800 (التحويل المركزي) وإعادتها عبر شبكة WAN، على أساس كل شبكة محلية لاسلكية (WLAN).

    يرجى التحقق من هذا المستند فهم FlexConnect على وحدة التحكم اللاسلكية Catalyst 9800 للحصول على معلومات تفصيلية حول FlexConnect.

    وضع OEAP هو خيار متاح في نقطة وصول FlexConnect، للسماح بوظائف إضافية، على سبيل المثال، معرف SSID شخصي محلي للوصول إلى المنزل، ويمكن أيضا توفير ميزة تقسيم الاتصال النفقي، للحصول على بنية أكبر لتحديد حركة المرور التي يجب تحويلها محليا في المكتب المنزلي وما حركة المرور التي يجب تحويلها مركزيا في عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، عبر شبكة محلية لاسلكية (WLAN) واحدة

    التكوين

    الرسم التخطيطي للشبكة

    FlexConnect OEAP with Split Tunneling - Network diagram

    التكوينات

    تحديد قائمة التحكم في الوصول للاتصال النفقي المنقسم

    الخطوة 1. أختر التكوين > التأمين > قائمة التحكم في الوصول (ACL). حدد إضافة.

    الخطوة 2. في شاشة إضافة إعداد قائمة التحكم في الوصول (ACL)، أدخل اسم قائمة التحكم في الوصول (ACL)، واختر نوع قائمة التحكم في الوصول (ACL) من القائمة المنسدلة نوع قائمة التحكم في الوصول (ACL) وتحت إعدادات القواعد، أدخل رقم التسلسل. ثم أختر الإجراء كالسماح أو الرفض.

    الخطوة 3. أختر نوع المصدر المطلوب من القائمة المنسدلة نوع المصدر.

    إذا أخترت نوع المصدر كمضيف، فيجب عليك إدخال اسم المضيف/IP.

    إذا أخترت نوع المصدر كشبكة، فيجب عليك تحديد عنوان IP المصدر وقناع حرف بدل المصدر.

    في هذا المثال، يتم تحويل جميع حركات المرور من أي مضيف إلى الشبكة الفرعية 192.168.1.0/24 مركزيا (رفض) ويتم تحويل جميع باقي حركة المرور محليا (السماح).

    Configure AP as an OEAP-Home Offica Access control list configuration

    الخطوة 4. حدد خانة الاختيار سجل إذا كنت تريد السجلات، وحدد إضافة.

    الخطوة 5. قم بإضافة بقية القواعد وحدد تطبيق على الجهاز.

    Configure AP as an OEAP-Apply ACL to device

    ربط سياسة قائمة التحكم في الوصول (ACL) بقوائم التحكم في الوصول (ACL) المحددة

    الخطوة 1. إنشاء ملف تعريف مرن جديد. انتقل إلى التهيئة > العلامات وملفات التعريف > Flex. حدد إضافة.

    الخطوة 2. أدخل اسما وقم بتمكين OEAP. تأكدت أيضا، ال VLAN أهلي طبيعي id الواحد في ال ap switchport.

    Configure AP as an OEAP-Policy Profile VLAN setting

    ملاحظة: عند تمكين وضع Office-Extend، يتم تمكين تشفير الارتباط أيضا بشكل افتراضي ولا يمكن تغييره حتى إذا قمت بتعطيل تشفير الارتباط في ملف تعريف ربط نقطة الوصول. 

    الخطوة 3. انتقل إلى علامة التبويب قائمة التحكم بالوصول (ACL) للنهج وحدد إضافة. أضف قائمة التحكم في الوصول (ACL) هنا إلى ملف التعريف وقم بالتطبيق على الجهاز.

    Configure AP as an OEAP-Flexprofile OEAP setting and ACL

    تكوين سياسة توصيف لاسلكي واسم قائمة التحكم بالوصول إلى MAC المقسم

    الخطوة 1. إنشاء ملف تعريف WLAN. في هذا المثال، تم إستخدام SSID باسم HomeOffice مع تأمين WPA2-PSK.

    الخطوة 2. إنشاء ملف تعريف نهج. انتقل إلى التكوين > علامات التمييز > النهج وحدد إضافة. تحت عام، تأكد من أن هذا التوصيف محولة مركزيا نهج كما هو موضح في هذا المثال:

    Configure AP as an OEAP - WLAN configuration - FlexConnect Local Switching option enabled or disabled

    الخطوة 3. داخل ملف تعريف السياسة، انتقل إلى سياسات الوصول وحدد شبكة VLAN لحركة المرور التي سيتم تحويلها مركزيا. يحصل العملاء على عنوان IP في الشبكة الفرعية المعينة إلى شبكة VLAN هذه. 

    Configure AP as an OEAP-Link WLAN and Policy profile

    الخطوة 4. لتكوين أنفاق التقسيم المحلي على نقطة وصول، يلزمك التأكد من تمكين DCHP المطلوب على شبكة WLAN. وهذا يضمن أن العميل الذي يرتبط بشبكة WLAN المقسمة يقوم ب DHCP. يمكنك تمكين هذا الخيار في ملف تعريف السياسة ضمن علامة التبويب خيارات متقدمة. قم بتمكين خانة الاختيار IPv4 DHCP المطلوبة. تحت إعدادات نهج WLAN Flex، أختر قائمة التحكم في الوصول (ACL) الخاصة بالتحكم في الوصول (MAC) التي تم إنشاؤها من قبل، من القائمة المنسدلة انقسام قائمة التحكم في الوصول (ACL) إلى MAC. حدد تطبيق على الجهاز:

    Configure AP as an OEAPApply policy tag to access point

    ملاحظة: يحتاج عملاء Apple iOS إلى تعيين الخيار 6 (DNS) في عرض DHCP للعمل بنفقي منقسم.

    تخطيط شبكة WLAN إلى ملف تعريف نهج

    الخطوة 1. أختر تشكيل > علامات تمييز وتوصيفات > علامات تمييز. في علامة التبويب النهج حدد إضافة.

    الخطوة 2. أدخل اسم نهج العلامة وتحت علامة التبويب خرائط WLAN-POLICY، حدد إضافة.

    الخطوة 3. أختر ملف تعريف WLAN من القائمة المنسدلة ملف تعريف WLAN واختر ملف تعريف النهج من القائمة المنسدلة ملف تعريف النهج. حدد أيقونة التأشير ثم قم بتطبيق على الجهاز.

    Configure AP as an OEAP-Flexprofile policy ACL and apply to device

    تكوين ملف تعريف انضمام نقطة وصول واقتران بعلامة الموقع

    الخطوة 1. انتقل إلى تكوين > علامات وتوصيفات > ربط نقطة الوصول وحدد إضافة. أدخل اسما. إختياريا، يمكنك تمكين SSH للسماح باستكشاف الأخطاء وإصلاحها ثم تعطيله لاحقا إذا لم تكن هناك حاجة إليه.

    الخطوة 2. أختر تشكيل > علامات تمييز وتوصيفات > علامات تمييز. في علامة التبويب الموقع حدد إضافة.

    الخطوة 3. أدخل اسم علامة الموقع، ثم قم بإلغاء تحديد تمكين الموقع المحلي، ثم حدد ملف تعريف ربط نقطة الوصول وتوصيف Flex (الذي تم إنشاؤه قبل ذلك) من القوائم المنسدلة. ثم تطبيق على الجهاز.

    Configure AP as an OEAPJoin Profile and Site tag configuration

    إرفاق علامة نهج وعلامة الموقع بنقطة وصول

    الخيار 1. يتطلب هذا خيار أنت أن يشكل 1 ap في وقت واحد. انتقل إلى التهيئة > لاسلكي > نقاط الوصول. حدد نقطة الوصول التي تريد نقلها إلى المكتب المنزلي ثم حدد علامات المكتب المنزلي. حدد تحديث وتطبيق على الجهاز:

    Configure AP as an OEAP-Policy Profile Flexconnect settings example

    كما يطلب تكوين وحدة تحكم أساسية حتى تعرف نقطة الوصول على IP/اسم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) للوصول إليه بمجرد نشره في المكتب المنزلي. يمكنك تنفيذ هذا الإجراء لتحرير نقطة الوصول مباشرة إلى علامة التبويب عالي التوافر:

    Configure AP as an OEAP - Configure a primary WLC on High Availability tab

    الخيار 2. يتيح لك هذا الخيار تكوين نقاط وصول متعددة في وقت واحد. انتقل إلى التكوين > إعداد لاسلكي > متقدم > نقاط الوصول لوضع علامات. حدد علامات التمييز التي تم إنشائها مسبقا وحدد تطبيق على الجهاز.

    Configure AP as an OEAP-Policy Profile Split ACL setting

    يعيد ال APs والانضمام إلى ال WLC مع العملية إعداد جديد.

    التحقق من الصحة

    أنت يستطيع دققت التشكيل عن طريق GUI أو CLI. هذا التكوين الناتج في CLI:

    !
    ip access-list extended HomeOffice_ACL
    1 deny ip any 192.168.1.0 0.0.0.255 log
    2 permit ip any any log
    !
    wireless profile flex HomeOffice_FlexProfile
    acl-policy HomeOffice_ACL
    office-extend
    !
    wireless profile policy HomeOfficePolicy
    no central association
    aaa-override
    flex split-mac-acl HomeOffice_ACL
    flex vlan-central-switching
    ipv4 dhcp required
    vlan default
    no shutdown
    !
    wireless tag site HomeOficeSite
    flex-profile HomeOffice_FlexProfile
    no local-site
    !
    wireless tag policy HomeOfficePolicyTag
    wlan HomeOffice policy HomeOfficePolicy
    !
    wlan HomeOffice 5 HomeOffice
    security wpa psk set-key ascii 0 xxxxxxx
    no security wpa akm dot1x
    security wpa akm psk
    no shutdown
    !
    ap 70db.98e1.3eb8
    policy-tag HomeOfficePolicyTag
    site-tag HomeOficeSite
    !
    ap c4f7.d54c.e77c
    policy-tag HomeOfficePolicyTag
    site-tag HomeOficeSite
    !

    التحقق من تكوين نقطة الوصول:

    eWLC-9800-01#show ap name AP3800_E1.3EB8 config general

    Cisco AP Name : AP3800_E1.3EB8
    =================================================

    Cisco AP Identifier : 0027.e336.5a60
    ...
    MAC Address : 70db.98e1.3eb8
    IP Address Configuration : DHCP
    IP Address : 192.168.1.99
    IP Netmask : 255.255.255.0
    Gateway IP Address : 192.168.1.254
    ...
    SSH State : Enabled
    Cisco AP Location : default location
    Site Tag Name : HomeOficeSite
    RF Tag Name : default-rf-tag
    Policy Tag Name : HomeOfficePolicyTag
    AP join Profile : HomeOfficeAP
    Flex Profile : HomeOffice_FlexProfile
    Primary Cisco Controller Name : eWLC-9800-01
    Primary Cisco Controller IP Address : 192.168.1.15
    ...
    AP Mode : FlexConnect
    AP VLAN tagging state : Disabled
    AP VLAN tag : 0
    CAPWAP Preferred mode : IPv4
    CAPWAP UDP-Lite : Not Configured
    AP Submode : Not Configured
    Office Extend Mode : Enabled
    ...

    أنت يستطيع ربطت إلى ال ap مباشرة وأيضا دققت التشكيل:

    AP3800_E1.3EB8#show ip access-lists 
    Extended IP access list HomeOffice_ACL
    1 deny ip any 192.168.1.0 0.0.0.255
    2 permit ip any any
    AP3800_E1.3EB8#show capwap client detailrcb 
    SLOT 0 Config

    SSID : HomeOffice
    Vlan Id : 0
    Status : Enabled 
    ...
    otherFlags : DHCP_REQUIRED VLAN_CENTRAL_SW 
    ...
    Profile Name : HomeOffice
    ...

    AP3800_E1.3EB8#show capwap client config
    AdminState : ADMIN_ENABLED(1)
    Name : AP3800_E1.3EB8
    Location : default location
    Primary controller name : eWLC-9800-01
    Primary controller IP : 192.168.1.15
    ​‌Secondary controller name : c3504-01
    Secondary controller IP : 192.168.1.14
    Tertiary controller name :
    ssh status : Enabled
    ApMode : FlexConnect
    ApSubMode : Not Configured
    Link-Encryption : Enabled
    OfficeExtend AP : Enabled
    Discovery Timer : 10
    Heartbeat Timer : 30
    ...

    هنا مثال من ربط على يظهر حركة مرور يحول محليا. وفيما يلي الاختبار الذي تم إجراؤه هو إختبار "ping" من عميل مزود ب IP 192.168.1.98 إلى خادم Google DNS ثم إلى 192.168.1.254. أنت يستطيع رأيت ال ICMP مصدر مع ال ip من ال ap عنوان 192.168.1.99 يرسل إلى Google DNS بسبب ال AP يحدد الحركة مرور محليا. لا يوجد بروتوكول ICMP إلى 192.168.1.254 لأن حركة المرور يتم تشفيرها في نفق DTLS ويتم عرض إطارات بيانات التطبيق فقط.

    HomeOffice packet capture

    ملاحظة: يتم تحويل حركة المرور التي يتم تحويلها محليا بواسطة نقطة الوصول (AP) لأنه في السيناريوهات العادية، تنتمي الشبكة الفرعية للعميل إلى شبكة Office ولا تعرف الأجهزة المحلية في المكتب المنزلي كيفية الوصول إلى الشبكة الفرعية للعميل. تترجم نقطة الوصول حركة مرور العميل باستخدام عنوان AP IP الموجود في الشبكة الفرعية للمكاتب المنزلية المحلية.

    يمكنك الوصول إلى واجهة المستخدم الرسومية OEAP التي تفتح متصفح وتكتب في عنوان URL عنوان AP. بيانات الاعتماد الافتراضية هي admin/admin ويجب عليك تغييرها عند تسجيل الدخول الأولي.

    Verify OEAP configuration-Home Office AP GUI login page

    بمجرد تسجيل الدخول، يمكنك الوصول إلى واجهة المستخدم الرسومية:

    Verify OEAP configuration -Home Office AP web UI dashboard

    لديك إمكانية الوصول إلى معلومات نموذجية في OEAP، مثل معلومات AP و SSIDs والعملاء المتصلين:

    Verify OEAP configuration -OEAP clients connected page

    الوثائق ذات الصلة

    استيعاب طريقة FlexConnect على وحدة التحكم اللاسلكية Catalyst 9800 Wireless Controller

    تقسيم الاتصال النفقي ل FlexConnect

    شكلت OEAP و RLAN على مادة حفازة 9800 WLC

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    2.0
    15-Sep-2021
    تغييرات التنسيق
    1.0
    07-Sep-2021
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Tiago Antunes
      Cisco TAC

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات