Comprendre FlexConnect sur le contrôleur sans fil Catalyst 9800

Introduction

Ce document décrit la fonctionnalité FlexConnect et sa configuration générale sur les contrôleurs sans fil 9800.

Informations générales

FlexConnect fait référence à la capacité d'un point d'accès (AP) à déterminer si le trafic provenant des clients sans fil est placé directement sur le réseau au niveau du point d'accès (commutation locale) ou si le trafic est centralisé vers le contrôleur 9800 (commutation centrale).

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Contrôleurs sans fil Cisco Catalyst 9800 avec Cisco IOS®-XE Gibraltar v17.9.x

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Diagramme du réseau

Le présent document se fonde sur la topologie suivante :

Configurations

Voici le schéma visuel de la configuration qui est nécessaire pour accomplir le scénario de ce document :

  

Pour configurer un SSID (Local Switching Service Set Identifier) FlexConnect, voici les étapes générales à suivre :

1. Créer/modifier un profil WLAN
2. Créer/modifier un profil de stratégie
3. Créer/modifier une balise de stratégie
4. Créer/modifier un profil flexible
5. Créer/modifier une balise de site
6. Affectation de balise de stratégie au point d'accès

Ces sections expliquent comment configurer chacun d'eux, étape par étape. 

Créer/modifier un profil WLAN

Vous pouvez utiliser ce guide pour créer les trois SSID suivants :

Créez votre SSID

Créer/modifier un profil de stratégie

Étape 1. Accédez àConfiguration > Tags & Profiles > Policy. Sélectionnez le nom d'un nom qui existe déjà ou cliquez sur + Ajouter pour en ajouter un nouveau.

ProfilFlex1

Lorsque vous désactivezCentral Switchingce message d'avertissement s'affiche, cliquez surYeset poursuivez la configuration.

Étape 2. Accédez à l'Access Policiesonglet et tapez le VLAN (Vous ne le voyez pas dans la liste déroulante parce que ce VLAN n'existe pas sur le WLC 9800). Après cela, cliquez surSave & Apply to Device.

Étape 3. Répétez la même procédure pour PolicyProfileFlex2.

ProfilFlex2

Étape 4. Pour le SSID à commutation centrale, assurez-vous que son VLAN nécessaire existe sur le WLC 9800 et sinon, créez-le.

Remarque : dans les points d'accès FlexConnect avec des WLAN commutés localement, le trafic est commuté au niveau du point d'accès et les requêtes DHCP du client vont directement dans le réseau câblé par l'interface du point d'accès. L'AP n'a pas d'interface SVI dans le sous-réseau client, il n'est donc pas en mesure d'effectuer le proxy DHCP ; et par conséquent, la configuration du relais DHCP (adresse IP du serveur DHCP), dans l'onglet Policy Profile > Advanced, n'a aucune signification pour les WLAN commutés localement. Dans ces scénarios, le port de commutation doit autoriser le VLAN client, puis, si le serveur DHCP se trouve dans un autre VLAN, configurer l'assistant IP dans l'interface SVI/passerelle par défaut du client afin qu'il sache où envoyer la requête DHCP du client.

Déclarer les VLAN clients

Étape 5. Créez un profil de stratégie pour le SSID central.

Accédez àConfiguration > Tags & Profiles > Policy. Sélectionnez le nom d'un nom qui existe déjà ou cliquez sur + Add pour en ajouter un nouveau.

ProfilCentral1

Par conséquent, il existe trois profils de stratégie.

CLI :

# config t

# vlan 2660
# exit

# wireless profile policy PolicyProfileFlex1
# no central switching
# vlan 2685
# no shutdown
# exit

# wireless profile policy PolicyProfileFlex2
# no central switching
# vlan 2686
# no shutdown
# exit

# wireless profile policy PolicyProfileCentral1
# vlan VLAN2660
# no shutdown
# end

Créer/modifier une balise de stratégie

La balise de stratégie est l'élément qui vous permet de spécifier quel SSID est lié à quel profil de stratégie. 

Étape 1. Accédez àConfiguration > Tags & Profiles > Tags > Policy. Sélectionnez le nom d'un nom qui existe déjà ou cliquez sur + Add pour en ajouter un nouveau. 

Étape 2. Dans la balise de stratégie, cliquez sur +Add, dans la liste déroulante, sélectionnez le WLAN Profile nom à ajouter à la balise de stratégie etPolicy Profileauquel vous souhaitez la lier. Ensuite, cliquez sur la coche.

Répétez l' pour les trois SSID, puis cliquez surSave & Apply to Device.

CLI :

# config t

# wireless tag policy PolicyTag1
# wlan Flex1 policy PolicyProfileFlex1
# wlan Flex2 policy PolicyProfileFlex2
# wlan Central1 policy PolicyProfileCentral1
# end

Créer/modifier un profil flexible

Dans la topologie utilisée pour ce document, notez qu'il y a deux SSID dans la commutation locale avec deux VLAN différents. À l'intérieur du profil Flex, vous spécifiez le VLAN des AP (VLAN natif) et tout autre VLAN dont le point d'accès doit avoir connaissance, dans ce cas, les VLAN utilisés par les SSID. 

Étape 1. Accédez àConfiguration > Tags & Profiles > Flexet créez-en un nouveau ou modifiez-en un qui existe déjà.

Étape 2. Définissez un nom pour le profil flexible et spécifiez le VLAN AP (ID de VLAN natif).

Étape 3. Accédez à l'VLANonglet et spécifiez le VLAN requis.

Dans ce scénario, il y a des clients sur les VLAN 2685 et 2686. Ces VLAN n'existent pas sur le WLC 9800, ajoutez-les au profil Flex afin qu'ils existent sur le point d'accès.

Remarque : lorsque vous avez créé le profil de stratégie, si vous avez sélectionné un nom de VLAN au lieu d'un ID de VLAN, assurez-vous que le nom de VLAN ici dans le profil flexible est exactement le même.

  

Répétez l' pour les VLAN nécessaires.

Notez que le VLAN utilisé pour la commutation centrale n'a pas été ajouté, car le point d'accès n'a pas besoin d'en être conscient.

CLI :

# config t

# wireless profile flex FlexProfileLab
# native-vlan-id 2601
# vlan-name VLAN2685
# vlan-id 2685
# vlan-name VLAN2686
# vlan-id 2686
# end

Créer/modifier une balise de site

La balise de site est l'élément qui vous permet de spécifier quelle jointure AP et/ou quel profil flexible est affecté aux AP. 

Étape 1. Accédez à Configuration > Tags & Profiles > Tags > Site. Sélectionnez le nom d'un nom qui existe déjà ou cliquez sur + Add pour en ajouter un nouveau. 

Étape 2. À l'intérieur de la balise de site, désactivez l'Enable Local Siteoption (tout point d'accès qui reçoit une balise de site avec l'Enable Local Siteoption désactivée est converti en mode FlexConnect). Une fois la fonction désactivée, vous pouvez également sélectionner laFlex Profile. Après cela, cliquez surSave & Apply to Device.

CLI :

# config t
# wireless tag site FlexSite1
# flex-profile FlexProfileLab
# no local-site

Affectation de balise de stratégie au point d'accès

Vous pouvez attribuer une balise de stratégie directement à un point d'accès ou attribuer la même balise de stratégie à un groupe de points d'accès en même temps. Choisissez celui qui vous convient.

Attribution de balise de stratégie par AP

Accédez àConfiguration > Wireless > Access Points > AP name > General > Tags. Dans la liste Site déroulante, sélectionnez les balises souhaitées, puis cliquez surUpdate & Apply to Device.

  

Remarque : sachez qu'après modification, la balise de stratégie sur un point d'accès perd son association avec les WLC 9800 et se reconnecte dans environ 1 minute.

Remarque : si l'AP est configuré en mode Local (ou tout autre mode) et qu'il obtient une balise de site avec l'Enable Local Siteoption désactivée, l'AP redémarre et revient en mode FlexConnect. 

 CLI :

# config t
# ap <ethernet-mac-addr>
# site-tag <site-tag-name>
# end

Attribution de balise de stratégie pour plusieurs points d'accès

Accédez à Configuration > Wireless Setup > Advanced > Start Now.

Cliquez sur l'icône Tag APs:=, après cela, sélectionnez la liste des AP auxquels vous voulez attribuer les balises (Vous pouvez cliquer sur la flèche pointant vers le bas à côté deAP name[ou tout autre champ] pour filtrer la liste des AP).

Une fois que vous avez sélectionné les AP désirés, cliquez sur + Tag APs.

  

Sélectionnez les balises que vous souhaitez attribuer aux points d'accès et cliquez surSave & Apply to Device.

Remarque : sachez qu'après avoir modifié la balise de stratégie sur un AP, il perd son association aux WLC 9800 et se reconnecte dans environ 1 minute.

Remarque : si l'AP est configuré en mode local (ou tout autre mode) et qu'il obtient une balise de site avec l'Enable Local Siteoption désactivée, l'AP redémarre et revient en mode FlexConnect. 

CLI :

Il n'y a pas d'option CLI pour attribuer la même balise à plusieurs AP. 

ACL Flexconnect

Lorsque vous disposez d’un réseau local sans fil commuté, il convient de réfléchir à la manière d’appliquer une liste de contrôle d’accès aux clients.

Dans le cas d'un WLAN à commutation centrale, tout le trafic est libéré au niveau du WLC, de sorte que la liste de contrôle d'accès n'a pas besoin d'être poussée vers le point d'accès. Cependant, lorsque le trafic est commuté localement (connexion flexible - commutation locale), la liste de contrôle d'accès (définie sur le contrôleur) doit être poussée vers le point d'accès, puisque le trafic est libéré au niveau du point d'accès. Cette opération est effectuée lorsque vous ajoutez la liste de contrôle d'accès au profil flexible. 

Les listes de contrôle d'accès FlexConnect sont appliquées en sortie et en entrée. Cela nécessite que vous soyez très explicite dans l'autorisation ou le refus du trafic dans le sous-réseau client. C'est une erreur courante que de bloquer les clients pour accéder à leur passerelle en n'ayant pas une ACL assez explicite. Pour plus de détails, reportez-vous aux notes de l'ID de bogue Cisco CSCuv93592 .

WLAN à commutation centrale

Pour appliquer une liste de contrôle d’accès aux clients connectés à un réseau local sans fil commuté de manière centralisée :

Étape 1 : appliquez la liste de contrôle d’accès au profil de stratégie. Accédez à Configuration > Tags & Profiles > Policy, sélectionnez le profil de stratégie associé au WLAN commuté de manière centrale. Dans la section "Access Policies" > "WLAN ACL", sélectionnez l'ACL que vous voulez appliquer aux clients.

Si vous configurez l'authentification Web centrale sur un WLAN à commutation centrale, vous pouvez créer une liste de contrôle d'accès de redirection sur le 9800, comme si l'AP était en mode local, puisque tout est géré de manière centrale sur le WLC dans ce cas.

WLAN commuté localement

Pour appliquer une liste de contrôle d’accès aux clients connectés à un réseau local sans fil commuté :

Étape 1 : appliquez la liste de contrôle d’accès au profil de stratégie. Accédez à Configuration > Tags & Profiles > Policy, sélectionnez le profil de stratégie associé au WLAN commuté localement. Dans la section "Access Policies" > "WLAN ACL", sélectionnez l'ACL que vous voulez appliquer aux clients.

Étape 2 : appliquez la liste de contrôle d’accès au profil flexible. Accédez à Configuration > Tags & Profiles > Flex, sélectionnez le profil flex attribué aux AP de connexion flex. Dans la section "Policy ACL", ajoutez l'ACL et cliquez sur "Save"

Vérifier si la liste de contrôle d’accès est appliquée

Vous pouvez vérifier si la liste de contrôle d'accès est appliquée à un client lorsque vous allez à Surveillance > Sans fil > Clients, sélectionnez le client que vous voulez vérifier. Dans la section General > Security Information, cochez dans la section «Server Policies» le nom du «Filter-ID» : il doit correspondre à la liste de contrôle d'accès appliquée.

Dans le cas des AP Flex Connect (commutation locale), vous pouvez vérifier si l'ACL est envoyée à l'AP en tapant la commande "#show ip access-lists" sur l'AP lui-même.

Vérification

Vous pouvez utiliser ces commandes pour vérifier la configuration.

Configuration des VLAN/interfaces

# show vlan brief
# show interfaces trunk
# show run interface <interface-id>

Configuration d’un réseau local sans fil (WLAN)

# show wlan summary
# show run wlan [wlan-name]
# show wlan { id <wlan-id> | name <wlan-name> | all }

Configuration de point d’accès

# show ap summary
# show ap tag summary
# show ap name <ap-name> tag { info | detail }

# show ap name <ap-name> tag detail

AP Name            : AP2802-01
AP Mac             : 0896.ad9d.143e

Tag Type             Tag Name
-----------------------------
Policy Tag           PT1
RF Tag               default-rf-tag
Site Tag             default-site-tag

Policy tag mapping
------------------
WLAN Profile Name                Policy Name                      VLAN                             Central Switching                IPv4 ACL                         IPv6 ACL
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
psk-pbl-ewlc                     ctrl-vl2602                      VLAN0210                         ENABLED                          Not Configured                   Not Configured

Site tag mapping
----------------
Flex Profile         : default-flex-profile
AP Profile           : default-ap-profile
Local-site           : Yes

RF tag mapping
--------------
5ghz RF Policy       : Global Config
2.4ghz RF Policy     : Global Config

Configuration des balises

# show wireless tag { policy | rf | site } summary
# show wireless tag { policy | rf | site } detailed <tag-name>

Configuration du profil

# show wireless profile { flex | policy } summary
# show wireless profile { flex | policy } detailed <profile-name>
# show ap profile <AP-join-profile-name> detailed