Informazioni su FlexConnect sui dispositivi Catalyst 9800 Wireless Controller

Introduzione

Questo documento descrive la funzione FlexConnect e la sua configurazione generale sui controller wireless 9800.

Premesse

FlexConnect si riferisce alla funzionalità di un punto di accesso (AP) per determinare se il traffico proveniente dai client wireless viene immesso direttamente sulla rete a livello di AP (switching locale) o se il traffico viene centralizzato sul controller 9800 (switching centrale).

Prerequisiti

Requisiti

Nessun requisito specifico previsto per questo documento.

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• Cisco Catalyst 9800 Wireless Controller con Cisco IOS®-XE Gibraltar v17.9.x

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Esempio di rete

Supponiamo di avere questa topologia:

Configurazioni

Questo è lo schema visivo della configurazione necessario per completare lo scenario di questo documento:

  

Per configurare un SSID (FlexConnect Local Switching Service Set Identifier), attenersi alla seguente procedura generale:

1. Creazione/modifica di un profilo WLAN
2. Crea/Modifica profilo criteri
3. Crea/Modifica tag criteri
4. Creazione/modifica di un profilo Flex
5. Creazione/modifica di un tag del sito
6. Assegnazione tag criteri al punto di accesso

In queste sezioni viene illustrato come configurare ogni singola configurazione, passo dopo passo. 

Creazione/modifica di un profilo WLAN

È possibile utilizzare questa guida per creare i tre SSID seguenti:

Crea il tuo SSID

Crea/Modifica profilo criteri

Passaggio 1. Passare aConfiguration > Tags & Profiles > Policy. Selezionare il nome di un file già esistente oppure fare clic su + Aggiungi per aggiungerne uno nuovo.

ProfiloFlex1

Quando viene visualizzatoCentral Switchingquesto messaggio di avviso, fare clic suYese continuare la configurazione.

Passaggio 2. Andare allaAccess Policiesscheda e digitare la VLAN (la VLAN non viene visualizzata nell'elenco a discesa perché la VLAN non esiste sul WLC 9800). Quindi fare clic suSave & Apply to Device.

Passaggio 3. Ripetere la stessa procedura per PolicyProfileFlex2.

ProfiloFlex2

Passaggio 4. Per l'SSID a commutazione centrale, verificare che la VLAN richiesta esista sul WLC 9800 e, in caso contrario, crearla.

Nota: nei punti di accesso FlexConnect con WLAN a commutazione locale, il traffico viene commutato sul punto di accesso e le richieste DHCP del client vengono inviate alla rete cablata direttamente dall'interfaccia del punto di accesso. L'access point non ha alcuna SVI nella subnet del client, quindi non è in grado di eseguire il proxy DHCP; quindi, la configurazione dell'inoltro DHCP (indirizzo IP del server DHCP), nella scheda Profilo criterio > Avanzate, non ha alcun significato per le WLAN commutate localmente. In questi scenari, la porta dello switch deve consentire la VLAN del client e quindi, se il server DHCP si trova in una VLAN diversa, configurare l'helper IP nel gateway SVI/predefinito del client in modo che sappia a chi inviare la richiesta DHCP dal client.

Dichiarazione delle VLAN client

Passaggio 5. Creare un profilo criteri per il SSID centrale.

Passare aConfiguration > Tags & Profiles > Policy. Selezionare il nome di un file già esistente oppure fare clic su + Add per aggiungerne uno nuovo.

ProfiloCentrale1

Ne consegue che esistono tre profili strategici.

CLI:

# config t

# vlan 2660
# exit

# wireless profile policy PolicyProfileFlex1
# no central switching
# vlan 2685
# no shutdown
# exit

# wireless profile policy PolicyProfileFlex2
# no central switching
# vlan 2686
# no shutdown
# exit

# wireless profile policy PolicyProfileCentral1
# vlan VLAN2660
# no shutdown
# end

Crea/Modifica tag criteri

Il tag dei criteri è l'elemento che consente di specificare quale SSID è collegato a quale profilo dei criteri. 

Passaggio 1. Passare aConfiguration > Tags & Profiles > Tags > Policy. Selezionare il nome di un file già esistente oppure fare clic su + Add per aggiungerne uno nuovo. 

Passaggio 2. All'interno del tag di criterio, fare clic su +Add, dall'elenco a discesa selezionare il WLAN Profile nome da aggiungere al tag di criterio ePolicy Profilea cui si desidera collegarlo. Quindi fare clic sul segno di spunta.

Ripetere l'operazione per i tre SSID e quindi fare clic suSave & Apply to Device.

CLI:

# config t

# wireless tag policy PolicyTag1
# wlan Flex1 policy PolicyProfileFlex1
# wlan Flex2 policy PolicyProfileFlex2
# wlan Central1 policy PolicyProfileCentral1
# end

Creazione/modifica di un profilo Flex

Nella topologia utilizzata per questo documento, si noti che nello switching locale sono presenti due SSID con due VLAN diverse. All'interno del profilo Flex, è possibile specificare la VLAN (VLAN nativa) degli access point e qualsiasi altra VLAN di cui l'access point deve essere a conoscenza, in questo caso, le VLAN usate dagli SSID. 

Passaggio 1. Passare aConfiguration > Tags & Profiles > Flexe crearne uno nuovo o modificarne uno già esistente.

Passaggio 2. Assegnare un nome al profilo Flex e specificare l'ID della VLAN (VLAN nativa) dell'access point.

Passaggio 3. Passare allaVLANscheda e specificare la VLAN richiesta.

Questo scenario prevede la presenza di client sulle VLAN 2685 e 2686. Queste VLAN non esistono sul WLC 9800. Aggiungerle al profilo Flex in modo che esistano sull'access point.

Nota: quando è stato creato il profilo della policy, se è stato selezionato un nome VLAN anziché un ID VLAN, verificare che il nome della VLAN nel profilo Flex sia esattamente lo stesso.

  

Ripetere l'operazione per le VLAN necessarie.

Si noti che la VLAN utilizzata per la commutazione centrale non è stata aggiunta, in quanto l'access point non deve esserne a conoscenza.

CLI:

# config t

# wireless profile flex FlexProfileLab
# native-vlan-id 2601
# vlan-name VLAN2685
# vlan-id 2685
# vlan-name VLAN2686
# vlan-id 2686
# end

Creazione/modifica di un tag del sito

Il tag del sito è l'elemento che consente di specificare il join AP e/o il profilo Flex assegnato agli access point. 

Passaggio 1. Passare a Configuration > Tags & Profiles > Tags > Site. Selezionare il nome di un file già esistente oppure fare clic su + Add per aggiungerne uno nuovo. 

Passaggio 2. All'interno del tag del sito, disattivare l'Enable Local Siteopzione (qualsiasi access point che riceve un tag del sito con l'Enable Local Siteopzione disattivata viene convertito in modalità FlexConnect). Una volta disattivato, è possibile selezionare anche ilFlex Profile. Quindi fare clic suSave & Apply to Device.

CLI:

# config t
# wireless tag site FlexSite1
# flex-profile FlexProfileLab
# no local-site

Assegnazione tag criteri al punto di accesso

È possibile assegnare un tag di criterio direttamente a un punto di accesso oppure assegnare lo stesso tag di criterio a un gruppo di punti di accesso contemporaneamente. Scegliete quello che vi sta bene.

Assegnazione tag criteri per punto di accesso

Passare aConfiguration > Wireless > Access Points > AP name > General > Tags. Dall'elenco a discesa, Site selezionare i tag desiderati e fare clic suUpdate & Apply to Device.

  

Nota: dopo la modifica, il Policy Tag su un access point perde la sua associazione ai WLC 9800 e si unisce nuovamente entro circa 1 minuto.

Nota: se l'access point è configurato in modalità locale (o in qualsiasi altra modalità) e poi ottiene un tag del sito conEnable Local Sitel'opzione disabilitata, l'access point si riavvia e torna in modalità FlexConnect. 

 CLI:

# config t
# ap <ethernet-mac-addr>
# site-tag <site-tag-name>
# end

Assegnazione di tag ai criteri per più access point

Passare a Configuration > Wireless Setup > Advanced > Start Now.

Fare clic sull'iconaTag APs:=, quindi selezionare l'elenco di access point a cui si desidera assegnare i tag (è possibile fare clic sulla freccia verso il basso accanto aAP name[o qualsiasi altro campo] per filtrare l'elenco di access point).

Dopo aver selezionato gli access point desiderati, fare clic su + Tag AP.

  

Selezionare i tag da assegnare agli access point e fare clic suSave & Apply to Device.

Nota: dopo la modifica del tag di policy su un access point, l'associazione ai WLC 9800 viene persa e il dispositivo torna indietro entro 1 minuto.

Nota:se l'access point è configurato in modalità locale (o in qualsiasi altra modalità) e poi ottiene un tag del sito con l'Enable Local Siteopzione disabilitata, l'access point si riavvia e torna in modalità FlexConnect. 

CLI:

Non è disponibile un'opzione CLI per assegnare lo stesso tag a più access point. 

ACL Flexconnect

Quando si usa una WLAN a commutazione locale, occorre valutare come applicare un ACL ai client.

Nel caso di una WLAN a commutazione centrale, tutto il traffico viene rilasciato sul WLC, quindi non è necessario spingere l'ACL sull'access point. Tuttavia, quando il traffico è commutato localmente (connessione flessibile - commutazione locale), è necessario eseguire il PUSH dell'ACL (definito sul controller) nell'access point, in quanto il traffico viene rilasciato nell'access point. A tale scopo, è necessario aggiungere l'ACL al profilo flessibile. 

Gli ACL FlexConnect vengono applicati sia in uscita che in entrata. È quindi necessario essere molto espliciti nell'autorizzare o negare il traffico nella subnet del client. È un errore comune bloccare i client dall'accedere al gateway non avendo un ACL sufficientemente esplicito. Per ulteriori informazioni, consultare le note dell'ID bug Cisco CSCuv93592 .

WLAN a commutazione centrale

Per applicare un ACL ai client connessi a una WLAN a commutazione centrale:

Passaggio 1 - Applicare l'ACL al profilo del criterio. Selezionare Configurazione > Tag e profili > Criteri, quindi selezionare il profilo dei criteri associato alla WLAN a commutazione centrale. Nella sezione "Access Policies" > "WLAN ACL" (Policy di accesso), selezionare l'ACL che si desidera applicare ai client.

Se si configura l'autenticazione Web centrale su una WLAN a commutazione centrale, è possibile creare un ACL di reindirizzamento sullo switch 9800, come se l'access point fosse in modalità locale, poiché in questo caso tutto viene gestito a livello centrale sul WLC.

WLAN commutata localmente

Per applicare un ACL ai client connessi a una WLAN a commutazione locale:

Passaggio 1 - Applicare l'ACL al profilo del criterio. Selezionare Configurazione > Tag e profili > Criterio, quindi selezionare il profilo della policy associato alla WLAN a commutazione locale. Nella sezione "Access Policies" > "WLAN ACL" (Policy di accesso), selezionare l'ACL che si desidera applicare ai client.

2. Applicare l'ACL al profilo flessibile. Selezionare Configurazione > Tag e profili > Flex, quindi selezionare il profilo flessibile assegnato agli access point flex connect. Nella sezione "Policy ACL", aggiungere l'ACL e fare clic su "Save"

Verificare che l'ACL sia applicato

È possibile verificare se l'ACL è applicato a un client quando si passa a Monitoraggio > Wireless > Client, selezionare il client da verificare. Nella sezione Generale > Informazioni sulla sicurezza, controllare nella sezione "Criteri server" il nome del "Filter-ID": deve corrispondere all'ACL applicato.

In caso di access point Flex Connect (switching locale), è possibile verificare se l'ACL è stato sospeso nell'access point, digitando il comando "#show ip access-lists" sull'access point stesso.

Verifica

È possibile utilizzare questi comandi per verificare la configurazione.

Configurazione di VLAN/interfacce

# show vlan brief
# show interfaces trunk
# show run interface <interface-id>

Configurazione della WLAN

# show wlan summary
# show run wlan [wlan-name]
# show wlan { id <wlan-id> | name <wlan-name> | all }

Configurazione AP

# show ap summary
# show ap tag summary
# show ap name <ap-name> tag { info | detail }

# show ap name <ap-name> tag detail

AP Name            : AP2802-01
AP Mac             : 0896.ad9d.143e

Tag Type             Tag Name
-----------------------------
Policy Tag           PT1
RF Tag               default-rf-tag
Site Tag             default-site-tag

Policy tag mapping
------------------
WLAN Profile Name                Policy Name                      VLAN                             Central Switching                IPv4 ACL                         IPv6 ACL
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
psk-pbl-ewlc                     ctrl-vl2602                      VLAN0210                         ENABLED                          Not Configured                   Not Configured

Site tag mapping
----------------
Flex Profile         : default-flex-profile
AP Profile           : default-ap-profile
Local-site           : Yes

RF tag mapping
--------------
5ghz RF Policy       : Global Config
2.4ghz RF Policy     : Global Config

Configurazione tag

# show wireless tag { policy | rf | site } summary
# show wireless tag { policy | rf | site } detailed <tag-name>

Configurazione profilo

# show wireless profile { flex | policy } summary
# show wireless profile { flex | policy } detailed <profile-name>
# show ap profile <AP-join-profile-name> detailed