Configuration de la tunnellisation partagée OEAP Catalyst 9800 et FlexConnect

Options de téléchargement

  • PDF     (1.0 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (661.0 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (790.1 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:15 septembre 2021
ID du document:215967

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer un point d'accès intérieur (AP) en tant que FlexConnect Office Extend (OEAP) et comment activer le split tunneling afin que vous puissiez définir quel trafic pourrait être commuté localement au bureau à domicile et quel trafic doit être commuté de manière centralisée au WLC.

    Conditions préalables

    Exigences

    La configuration de ce document suppose que le WLC est déjà configuré dans une DMZ avec NAT activé et que l'AP peut joindre le WLC depuis le bureau à domicile.

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Contrôleurs LAN sans fil 9800 exécutant le logiciel Cisco IOS-XE 17.3.1.
    • Points d'accès Wave1 : 1 700/2 700/3 700.
    • Points d'accès Wave2 : gammes 1800/2800/3800/4800 et Catalyst 9100. 

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Aperçu

    Un point d'accès Cisco OfficeExtend (Cisco OEAP) fournit des communications sécurisées entre un WLC Cisco et un point d'accès Cisco sur un site distant, étendant de manière transparente le WLAN d'entreprise sur Internet à la résidence d'un employé. L'expérience de l'utilisateur au bureau à domicile est exactement la même que dans le bureau de l'entreprise. Le cryptage DTLS (Datagram Transport Layer Security) entre le point d'accès et le contrôleur garantit que toutes les communications disposent du niveau de sécurité le plus élevé. Tout point d'accès intérieur en mode FlexConnect peut agir comme un point d'accès OEAP.

    Informations générales

    FlexConnect fait référence à la capacité d'un point d'accès (AP) à gérer des clients sans fil lorsqu'il fonctionne sur des sites distants, par exemple, sur un WAN. Ils peuvent également décider si le trafic provenant des clients sans fil est placé directement sur le réseau au niveau du point d'accès (commutation locale) ou si le trafic est centralisé sur le contrôleur 9800 (commutation centrale) et renvoyé sur le WAN, sur une base WLAN.

    Consultez ce document Comprendre FlexConnect sur le contrôleur sans fil Catalyst 9800 pour des informations détaillées sur FlexConnect.

    Le mode OEAP est une option disponible dans un point d'accès FlexConnect, pour permettre une fonctionnalité supplémentaire, par exemple, un SSID local personnel pour l'accès à domicile, et peut également fournir une fonctionnalité de tunnellisation partagée, pour une plus grande granularité afin de définir quel trafic doit être commuté localement au bureau à domicile et quel trafic doit être commuté centralement au WLC, sur un seul WLAN

    Configurer

    Diagramme du réseau

    FlexConnect OEAP with Split Tunneling - Network diagram

    Configurations

    Définition d'une liste de contrôle d'accès pour le split tunneling

    Étape 1. Choisissez Configuration > Security > ACL. Sélectionnez Ajouter.

    Étape 2. Dans la boîte de dialogue Add ACL Setup, entrez le nom de la liste de contrôle d'accès, choisissez le type de liste dans la liste déroulante ACL Type et, sous les paramètres Rules, entrez le numéro de séquence. Sélectionnez ensuite l'action autoriser ou refuser.

    Étape 3. Sélectionnez le type de source requis dans la liste déroulante Type de source.

    Si vous choisissez le type de source Hôte, vous devez entrer le nom d'hôte/IP.

    Si vous choisissez le type de source Réseau, vous devez spécifier l'adresse IP source et le masque générique source.

    Dans cet exemple, tout le trafic provenant d’un hôte vers le sous-réseau 192.168.1.0/24 est commuté de manière centrale (deny) et tout le reste du trafic est commuté localement (permit).

    Configure AP as an OEAP-Home Offica Access control list configuration

    Étape 4. Cochez la case Log (Journal) si vous souhaitez que les journaux soient enregistrés, puis sélectionnez Add (Ajouter).

    Étape 5. Ajoutez le reste des règles et sélectionnez Apply to Device (Appliquer au périphérique).

    Configure AP as an OEAP-Apply ACL to device

    Liaison d'une stratégie ACL à la liste de contrôle d'accès définie

    Étape 1. Créez un nouveau profil flexible. Accédez à Configuration > Tags & Profiles > Flex. sélectionnez Add.

    Étape 2. Saisissez un nom et activez OEAP. Assurez-vous également que l'ID de VLAN natif est celui du port de commutation AP.

    Configure AP as an OEAP-Policy Profile VLAN setting

    Remarque : lorsque vous activez le mode Office-Extend, le chiffrement de liens est également activé par défaut et ne peut pas être modifié, même si vous désactivez le chiffrement de liens dans le profil de jointure AP. 

    Étape 3. Accédez à l'onglet Policy ACL et sélectionnez Add. Ajoutez la liste de contrôle d'accès au profil et appliquez-la au périphérique.

    Configure AP as an OEAP-Flexprofile OEAP setting and ACL

    Configuration d'une stratégie de profil sans fil et d'un nom ACL MAC partagé

    Étape 1. Créez un profil WLAN. Dans cet exemple, il utilisait un SSID nommé HomeOffice avec la sécurité WPA2-PSK.

    Étape 2. Créer un profil de stratégie. Accédez à Configuration > Tags > Policy et sélectionnez Add. Sous Général, assurez-vous que ce profil est basé sur des stratégies à commutation centrale, comme illustré dans cet exemple :

    Configure AP as an OEAP - WLAN configuration - FlexConnect Local Switching option enabled or disabled

    Étape 3. Dans le profil de stratégie, accédez à Access Policies et définissez le VLAN pour le trafic à commuter de manière centralisée. Les clients obtiennent une adresse IP dans le sous-réseau attribué à ce VLAN. 

    Configure AP as an OEAP-Link WLAN and Policy profile

    Étape 4. Pour configurer la transmission tunnel partagée locale sur un point d'accès, vous devez vous assurer que vous avez activé le protocole DHCP requis sur le WLAN. Cela permet de s'assurer que le client qui s'associe au WLAN divisé effectue le protocole DHCP. Vous pouvez activer cette option dans le profil de stratégie sous l'onglet Avancé. Cochez la case IPv4 DHCP Required. Sous les paramètres WLAN Flex Policy, choisissez la liste de contrôle d'accès MAC partagée créée précédemment dans la liste déroulante Split MAC ACL. Sélectionnez Appliquer au périphérique :

    Configure AP as an OEAPApply policy tag to access point

    Remarque : les clients Apple iOS ont besoin de l'option 6 (DNS) pour être définis dans l'offre DHCP pour que la transmission tunnel partagée fonctionne.

    Mappage d'un WLAN à un profil de stratégie

    Étape 1. Choisissez Configuration > Tags & Profiles > Tags. Dans l'onglet Stratégie, sélectionnez Ajouter.

    Étape 2. Saisissez le nom de la stratégie de balise et, sous l'onglet Mappages WLAN-POLICY, sélectionnez Ajouter.

    Étape 3. Sélectionnez le profil WLAN dans la liste déroulante Profil WLAN, puis choisissez le profil Policy dans la liste déroulante Profil Policy. Sélectionnez l'icône de coche, puis Appliquer au périphérique.

    Configure AP as an OEAP-Flexprofile policy ACL and apply to device

    Configuration d'un profil de jointure AP et association avec une balise de site

    Étape 1. Accédez à Configuration > Tags & Profiles > AP Join et sélectionnez Add. Saisissez un nom. Vous pouvez éventuellement activer SSH pour permettre le dépannage et le désactiver ultérieurement si cela n'est pas nécessaire.

    Étape 2. Choisissez Configuration > Tags & Profiles > Tags. Dans l'onglet Site, sélectionnez Ajouter.

    Étape 3. Entrez le nom de la balise de site, décochez Activer le site local, puis sélectionnez le profil de connexion AP et le profil flexible (créés avant) dans les listes déroulantes. Appliquez ensuite sur le périphérique.

    Configure AP as an OEAPJoin Profile and Site tag configuration

    Association d'une balise de stratégie et d'une balise de site à un point d'accès

    Option 1. Cette option vous demande de configurer 1 point d'accès à la fois. Accédez à Configuration > Wireless > Access Points. Sélectionnez le point d'accès à déplacer vers le bureau à domicile, puis sélectionnez les balises du bureau à domicile. Sélectionnez Mettre à jour et appliquer au périphérique :

    Configure AP as an OEAP-Policy Profile Flexconnect settings example

    Il est également recommandé de configurer un contrôleur principal de sorte que le point d'accès connaisse l'IP/nom du WLC à atteindre une fois qu'il est déployé dans le bureau à domicile. Vous pouvez modifier l'AP directement en accédant à l'onglet Haute disponibilité :

    Configure AP as an OEAP - Configure a primary WLC on High Availability tab

    Option 2. Cette option vous permet de configurer plusieurs points d'accès simultanément. Accédez à Configuration > Wireless Setup > Advanced > Tag APs. Sélectionnez les balises créées précédemment, puis sélectionnez Appliquer au périphérique.

    Configure AP as an OEAP-Policy Profile Split ACL setting

    Les AP redémarrent et rejoignent le WLC avec les nouveaux paramètres.

    Vérifier

    Vous pouvez vérifier la configuration via l'interface utilisateur graphique ou l'interface de ligne de commande. Voici la configuration obtenue dans l’interface de ligne de commande :

    !
    ip access-list extended HomeOffice_ACL
    1 deny ip any 192.168.1.0 0.0.0.255 log
    2 permit ip any any log
    !
    wireless profile flex HomeOffice_FlexProfile
    acl-policy HomeOffice_ACL
    office-extend
    !
    wireless profile policy HomeOfficePolicy
    no central association
    aaa-override
    flex split-mac-acl HomeOffice_ACL
    flex vlan-central-switching
    ipv4 dhcp required
    vlan default
    no shutdown
    !
    wireless tag site HomeOficeSite
    flex-profile HomeOffice_FlexProfile
    no local-site
    !
    wireless tag policy HomeOfficePolicyTag
    wlan HomeOffice policy HomeOfficePolicy
    !
    wlan HomeOffice 5 HomeOffice
    security wpa psk set-key ascii 0 xxxxxxx
    no security wpa akm dot1x
    security wpa akm psk
    no shutdown
    !
    ap 70db.98e1.3eb8
    policy-tag HomeOfficePolicyTag
    site-tag HomeOficeSite
    !
    ap c4f7.d54c.e77c
    policy-tag HomeOfficePolicyTag
    site-tag HomeOficeSite
    !

    Vérification de la configuration AP :

    eWLC-9800-01#show ap name AP3800_E1.3EB8 config general

    Cisco AP Name : AP3800_E1.3EB8
    =================================================

    Cisco AP Identifier : 0027.e336.5a60
    ...
    MAC Address : 70db.98e1.3eb8
    IP Address Configuration : DHCP
    IP Address : 192.168.1.99
    IP Netmask : 255.255.255.0
    Gateway IP Address : 192.168.1.254
    ...
    SSH State : Enabled
    Cisco AP Location : default location
    Site Tag Name : HomeOficeSite
    RF Tag Name : default-rf-tag
    Policy Tag Name : HomeOfficePolicyTag
    AP join Profile : HomeOfficeAP
    Flex Profile : HomeOffice_FlexProfile
    Primary Cisco Controller Name : eWLC-9800-01
    Primary Cisco Controller IP Address : 192.168.1.15
    ...
    AP Mode : FlexConnect
    AP VLAN tagging state : Disabled
    AP VLAN tag : 0
    CAPWAP Preferred mode : IPv4
    CAPWAP UDP-Lite : Not Configured
    AP Submode : Not Configured
    Office Extend Mode : Enabled
    ...

    Vous pouvez vous connecter directement au point d'accès et vérifier également la configuration :

    AP3800_E1.3EB8#show ip access-lists 
    Extended IP access list HomeOffice_ACL
    1 deny ip any 192.168.1.0 0.0.0.255
    2 permit ip any any
    AP3800_E1.3EB8#show capwap client detailrcb 
    SLOT 0 Config

    SSID : HomeOffice
    Vlan Id : 0
    Status : Enabled 
    ...
    otherFlags : DHCP_REQUIRED VLAN_CENTRAL_SW 
    ...
    Profile Name : HomeOffice
    ...

    AP3800_E1.3EB8#show capwap client config
    AdminState : ADMIN_ENABLED(1)
    Name : AP3800_E1.3EB8
    Location : default location
    Primary controller name : eWLC-9800-01
    Primary controller IP : 192.168.1.15
    ​‌Secondary controller name : c3504-01
    Secondary controller IP : 192.168.1.14
    Tertiary controller name :
    ssh status : Enabled
    ApMode : FlexConnect
    ApSubMode : Not Configured
    Link-Encryption : Enabled
    OfficeExtend AP : Enabled
    Discovery Timer : 10
    Heartbeat Timer : 30
    ...

    Voici un exemple de capture de paquets montrant le trafic commuté localement. Ici, le test effectué était une « requête ping » d’un client avec l’adresse IP 192.168.1.98 vers le serveur DNS de Google, puis vers 192.168.1.254. Vous pouvez voir l'ICMP source avec l'IP de l'adresse IP AP 192.168.1.99 envoyée au DNS Google en raison de la NAT AP du trafic localement. Il n'y a pas d'icmp vers 192.168.1.254 car le trafic est chiffré dans le tunnel DTLS et seules les trames de données d'application sont vues.

    HomeOffice packet capture

    Remarque : le trafic commuté localement est traité NAT par le point d'accès, car dans des scénarios normaux, le sous-réseau client appartient au réseau Office et les périphériques locaux du bureau à domicile ne savent pas comment atteindre le sous-réseau client. Le point d’accès traduit le trafic client en utilisant l’adresse IP du point d’accès qui se trouve dans le sous-réseau local du bureau à domicile.

    Vous pouvez accéder à l'interface utilisateur graphique OEAP en ouvrant un navigateur et en tapant l'adresse IP AP dans l'URL. Les informations d'identification par défaut sont admin/admin et vous devez les modifier lors de la connexion initiale.

    Verify OEAP configuration-Home Office AP GUI login page

    Une fois connecté, vous avez accès à l'interface utilisateur graphique :

    Verify OEAP configuration -Home Office AP web UI dashboard

    Vous avez accès à des informations typiques dans un OEAP, comme les informations d'AP, les SSID et les clients connectés :

    Verify OEAP configuration -OEAP clients connected page

    Documentation connexe

    Comprendre FlexConnect sur le contrôleur sans fil Catalyst 9800

    Fractionnement en canaux pour FlexConnect

    Configurer OEAP et RLAN sur le WLC Catalyst 9800

    Historique de révision

    Révision Date de publication Commentaires
    2.0
    15-Sep-2021
    modifications de formatage
    1.0
    07-Sep-2021
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Tiago Antunes
      TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits