Configurazione di FlexConnect OEAP con split tunneling

Opzioni per il download

  • PDF     (1.5 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.5 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (950.7 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:21 settembre 2021
ID documento:215928

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive come configurare un access point interno (AP) come modalità FlexConnect Office Extend AP (OEAP) e come abilitare il tunneling suddiviso in modo da poter definire quale traffico deve essere commutato localmente nell'ufficio di casa e quale traffico deve essere commutato centralmente sul controller WLC.

    Contributo di Tiago Antunes, Nicolas Darchis Cisco TAC Engineers.

    Prerequisiti

    Requisiti

    Nella configurazione di questo documento si presume che il WLC sia già configurato in una zona demilitarizzata (DMZ) con Network Address Translation (NAT) abilitato e che l'AP sia in grado di collegarsi al WLC dall'ufficio di casa.

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • WLC con software AireOS 8.10(130.0).
    • AP Wave1: 1700/2700/3700 .
    • AP Wave2: 1800/2800/3800/4800 e Catalyst serie 9100. 

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Panoramica

    Un OEAP consente di comunicare in modo sicuro da un WLC Cisco a un AP Cisco in una posizione remota, in modo da estendere la WLAN aziendale tramite Internet alla residenza di un dipendente. L'esperienza dell'utente al suo domicilio è esattamente la stessa che si avrebbe al suo ufficio aziendale. La crittografia Datagram Transport Layer Security (DTLS) tra l'access point e il controller assicura che tutte le comunicazioni abbiano il massimo livello di sicurezza. Qualsiasi access point interno in modalità FlexConnect può funzionare come OEAP.

    Fatti importanti

    • I Cisco OEAP sono progettati per funzionare dietro un router o un altro dispositivo gateway che usa NAT. Il protocollo NAT consente a un dispositivo, ad esempio un router, di fungere da agente tra Internet (pubblico) e una rete personale (privata), consentendo a un intero gruppo di computer di essere rappresentato da un unico indirizzo IP. Non ci sono limiti al numero di Cisco OEAP che è possibile distribuire dietro un dispositivo NAT.

    • Tutti i modelli di punti di accesso interni supportati con antenna integrata possono essere configurati come OEAP, ad eccezione dei punti di accesso serie AP-700I, AP-700W e AP802.

    • Tutti gli OEAP devono trovarsi nello stesso gruppo di access point e tale gruppo non deve contenere più di 15 LAN wireless. Un controller con OEAP in un gruppo AP pubblica solo fino a 15 WLAN su ciascun OEAP connesso perché riserva una WLAN per l'SSID (Personal Service Set Identifier).

    Configurazione

    Esempio di rete

    FlexConnect OEAP with Split Tunneling - Network diagram

    Configurazioni

    Configurazione della WLAN

    Passaggio 1. Creare una WLAN da assegnare al gruppo AP. non è necessario abilitare l'opzione di switching locale FlexConnect per questa WLAN.

    Configure AP as an OEAP - WLAN configuration - FlexConnect Local Switching option enabled or disabled

    Passaggio 2. Creare un gruppo PA. Nella scheda WLAN, selezionare il SSID della WLAN, quindi fare clic su Add (Aggiungi) per aggiungere la WLAN. Andare alla scheda AP e aggiungere il protocollo OEAP FlexConnect.

    Configure AP as an OEAP - Add the WLAN and FlexConnect OEAP - WLANs tab

    Configure AP as an OEAP - Add the WLAN and FlexConnect OEAP - APs tab

    Configurazione AP

    Dopo che l'access point è stato associato al controller in modalità FlexConnect, è possibile configurarlo come OEAP.

    Passaggio 1. Dopo che l'access point si è unito al WLC, modificare la modalità AP in FlexConnect e fare clic su Apply.

    Configure AP as an OEAP - Change AP Mode to FlexConnect

    Passaggio 2. Verificare che nella scheda Alta disponibilità sia configurato almeno un WLC primario:

    Configure AP as an OEAP - Configure a primary WLC on High Availability tab

    Passaggio 3. Andare alla scheda FlexConnect e selezionare la casella di controllo Abilita OfficeExtend AP

    Configure AP as an OEAP - Select Enable OfficeExtend AP mode

    La crittografia dei dati DTLS viene attivata automaticamente quando si attiva la modalità OfficeExtend per un access point. Tuttavia, è possibile abilitare o disabilitare la crittografia dei dati DTLS per un punto di accesso specifico. A tale scopo, selezionare (abilitare) o deselezionare (disabilitare) la casella di controllo Crittografia dati nella scheda Tutti i punti di accesso > Dettagli per [punto di accesso selezionato] > Avanzate: 

    Configure AP as an OEAP - Enable or disable DTLS data encryption

    Nota: L'accesso Telnet e SSH vengono disabilitati automaticamente quando si abilita la modalità OfficeExtend per un access point. Tuttavia, è possibile abilitare o disabilitare l'accesso Telnet o SSH per un access point specifico. A tale scopo, selezionare (abilitare) o deselezionare (disabilitare) la casella di controllo Telnet o SSH nella scheda Tutti gli access point > Dettagli per [access point selezionato] > Avanzate.

    Nota: La latenza del collegamento viene attivata automaticamente quando si attiva la modalità OfficeExtend per un punto di accesso. Tuttavia, è possibile abilitare o disabilitare la latenza del collegamento per un access point specifico. A tale scopo, selezionare (abilitare) o deselezionare (disabilitare) la casella di controllo Abilita latenza collegamento nella scheda Tutti gli access point > Dettagli per [access point selezionato] > Avanzate.

    Passaggio 3. Selezionare Applica. Dopo aver selezionato Applica, l'access point viene ricaricato.

    Passaggio 4. Dopo che l'access point si è unito nuovamente al WLC, è in modalità OEAP.

    Nota: Si consiglia di configurare la sicurezza dell'join AP (comunemente definita nei criteri AP) in modo che solo gli AP autorizzati possano unirsi al WLC. È inoltre possibile utilizzare il provisioning AP LSC (Locally Significant Certificate).

    Passaggio 5. Creare un elenco di controllo di accesso (ACL) FlexConnect per definire il traffico da commutare a livello centrale (Nega) e locale (Autorizza).

    In questo caso, l'obiettivo è passare localmente tutto il traffico alla subnet 192.168.1.0/24.

    Configure AP as an OEAP - Create a FlexConnect ACL to define switching

    Passaggio 6. Creare un gruppo FlexConnect, andare su Mapping ACL, quindi su Mapping WLAN-ACL. In "Local Split ACL Mapping", immettere l'ID WLAN e scegliere l'ACL FlexConnect. Quindi fare clic su Aggiungi.

    Configure AP as an OEAP - Define Local Split ACL mapping

    Passaggio 7. Aggiungere l'access point al gruppo FlexConnect:

    Configure AP as an OEAP - Add the AP to the FlexConnect group

    Verifica

    1. Verificare lo stato e la definizione dell'ACL di FlexConnect:

    c3504-01) >show flexconnect acl summary

    ACL Name                         Status
    -------------------------------- -------
    Flex_OEAP_ACL                    Applied
    (c3504-01) >show flexconnect acl detailed Flex_OEAP_ACL

    Source Destination Source Port Dest Port
    Index IP Address/Netmask IP Address/Netmask Prot Range Range DSCP Action
    ------ ------------------------------- ------------------------------- ---- ----------- ----------- ----- -------
    1 0.0.0.0/0.0.0.0 192.168.1.0/255.255.255.0 Any 0-65535 0-65535 Any Permit
    2 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0 Any 0-65535 0-65535 Any Deny

    2. Verificare che la commutazione locale di FlexConnect sia disabilitata:

    (c3504-01) >show wlan 17


    WLAN Identifier.................................. 17
    Profile Name..................................... FlexOEAP_TEST
    Network Name (SSID).............................. FlexOEAP_TEST
    Status........................................... Enabled
    ...
    Interface........................................ management
    ...
    FlexConnect Local Switching................... Disabled
    FlexConnect Central Association............... Disabled
    flexconnect Central Dhcp Flag................. Disabled
    flexconnect nat-pat Flag...................... Disabled
    flexconnect Dns Override Flag................. Disabled
    flexconnect PPPoE pass-through................ Disabled
    flexconnect local-switching IP-source-guar.... Disabled
    FlexConnect Vlan based Central Switching ..... Disabled
    FlexConnect Local Authentication.............. Disabled
    FlexConnect Learn IP Address.................. Enabled
    Flexconnect Post-Auth IPv4 ACL................ Unconfigured
    Flexconnect Post-Auth IPv6 ACL................ Unconfigured
    ...
    Split Tunnel Configuration
    Split Tunnel................................. Disabled
    Call Snooping.................................... Disabled
    Roamed Call Re-Anchor Policy..................... Disabled
    ...

    3. Verificare la configurazione del gruppo FlexConnect:

    (c3504-01) >show flexconnect group summary

    FlexConnect Group Summary: Count: 2
    Group Name           # Aps
    -------------------- --------

    FlexConnect_OEAP_Group 2 
    default-flex-group     0

    (c3504-01) >show flexconnect group detail FlexConnect_OEAP_Group

    Number of AP's in Group: 2

    AP Ethernet MAC Name Status Mode Type Conflict with PnP
    -------------------- -------------------- --------------- -------------- ---------- ------------------

    70:db:98:e1:3e:b8 AP3800_E1.3EB8 Joined Flexconnect Manual No 
    c4:f7:d5:4c:e7:7c AP9120_4C.E77C Joined Flexconnect Manual No

    Efficient AP Image Upgrade ..... Disabled

    Efficient AP Image Join ........ Disabled

    Auto ApType Conversion........ Disabled

    Master-AP-Mac Master-AP-Name Model Manual

    Group Radius Servers Settings:
    Type Server Address Port 
    ------------- ---------------- -------
    Primary Unconfigured Unconfigured
    Secondary Unconfigured Unconfigured

    Group Radius/Local Auth Parameters :
    Radius Retransmit Count......................... 3 (default)
    Active Radius Timeout........................... 5 (default)

    Group Radius AP Settings:
    AP RADIUS server............ Disabled
    EAP-FAST Auth............... Disabled
    LEAP Auth................... Disabled
    EAP-TLS Auth................ Disabled
    EAP-TLS CERT Download....... Disabled
    PEAP Auth................... Disabled
    Server Key Auto Generated... No
    Server Key.................. <hidden> 
    Authority ID................ 436973636f0000000000000000000000
    Authority Info.............. Cisco A_ID
    PAC Timeout................. 0
    HTTP-Proxy Ip Address....... 
    HTTP-Proxy Port............. 0
    Multicast on Overridden interface config: Disabled
    DHCP Broadcast Overridden interface config: Disabled
    Number of User's in Group: 0
    FlexConnect Vlan-name to Id Template name: none
    Group-Specific FlexConnect Local-Split ACLs :

    WLAN ID SSID ACL 
    -------- -------------------- ----- 
    17 FlexOEAP_TEST Flex_OEAP_ACL 
    Group-Specific Vlan Config:
    Vlan Mode.................... Enabled 
    Native Vlan.................. 100 
    Override AP Config........... Disabled 
    Group-Specific FlexConnect Wlan-Vlan Mapping:

    WLAN ID Vlan ID 
    -------- --------------------

    WLAN ID SSID Central-Dhcp Dns-Override Nat-Pat

    È possibile acquisire il traffico sull'interfaccia dell'access point per verificare che venga suddiviso sull'access point.

    Suggerimento: per risolvere il problema, è possibile disabilitare la crittografia DTLS per visualizzare il traffico di dati incapsulato in capwap.

    Nell'esempio di acquisizione di pacchetti viene mostrato il traffico di dati che corrisponde alle istruzioni "deny" dell'ACL dirette al WLC e il traffico di dati che corrisponde alle istruzioni "allow" dell'ACL commutate localmente all'access point:

    Verify OEAP configuration - Data traffic that matches ACL ‘deny’ statements goes to WLC

    Verify OEAP configuration - Data traffic that matches ACL ‘permit’ statements is switched at AP

    Nota: In scenari normali, l'access point converte gli indirizzi di rete per il traffico commutato localmente perché la subnet client appartiene alla rete aziendale e i dispositivi locali dell'ufficio domestico non sanno come raggiungere la subnet client. L'access point utilizza l'indirizzo IP definito nella subnet dell'ufficio domestico locale per convertire il traffico client.

    Per verificare che l'access point abbia eseguito il NAT, è possibile connettersi al terminale dell'access point e usare il comando "show ip nat translation" . Esempio:

    AP3800_E1.3EB8#show ip nat translations

    TCP NAT upstream translations: 
    (192.168.1.139, 1223, 192.168.1.2, 5000) => (192.168.1.99, 1223, 192.168.1.2, 5000) [*0 gw_h/nat/from_inet_tcp:0] i0 exp42949165
    (192.168.1.139, 1095, 192.168.1.2, 5000) => (192.168.1.99, 1095, 192.168.1.2, 5000) [*0 gw_h/nat/from_inet_tcp:0] i0 exp85699
    ...

    TCP NAT downstream translations: 
    (192.168.1.2, 5000, 192.168.1.99, 1223) => (192.168.1.2, 5000, 192.168.1.139, 1223) [gw_h/nat/to_inet_tcp:0 *0] i0 exp42949165
    (192.168.1.2, 5000, 192.168.1.99, 1207) => (192.168.1.2, 5000, 192.168.1.139, 1207) [gw_h/nat/to_inet_tcp:0 *0] i0 exp85654

    Se si rimuove il tunneling suddiviso, tutto il traffico viene commutato centralmente sul WLC. Nell'esempio viene mostrato il protocollo ICMP (Internet Control Message Protocol) sulla destinazione 192.168.1.2, all'interno del tunnel capwap:

    Example - All traffic is switched at WLC when split tunneling is removed

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    21-Sep-2021
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Tiago Antunes
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti