Introduzione
In questo documento viene descritto come convertire un access point Cisco Catalyst serie 9000 Lightweight Access Point (AP) in un controller wireless integrato (EWC)
Prerequisiti
Requisiti
La procedura descritta in questo articolo presuppone che l'access point esegua un'immagine CAPWAP leggera e che sia raggiungibile un server TFTP funzionale. È richiesta anche una connessione seriale all'access point.
Componenti usati
Altre guide sono disponibili sull'app per smartphone o sulla procedura guidata dell'interfaccia utente Web che spiegano come distribuire facilmente Cisco EWC sugli access point Catalyst. Questo documento si concentra principalmente sull'approccio della CLI e su suggerimenti e trucchi di conversione.
Nota: EWC non è supportato su Cisco 9105AXW e su tutti i punti di accesso Wi-Fi 6E
Componenti usati:
- Access point 9120
- Immagine EWC versione 17.1.1s
- Server TFTP
- Cavo console
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Informazioni su un EWC in un access point Catalyst
L'EWC di Cisco sugli access point Catalyst offre un'opzione semplice da installare e gestire per la rete Wi-Fi 6. La funzione di controllo è integrata nell'access point Cisco Catalyst, quindi non è necessario aggiungere alcun accessorio fisico.
Ciò significa che è possibile usufruire di funzionalità di classe enterprise, tra cui sicurezza elevata, affidabilità Cisco, capacità e prestazioni Wi-Fi 6 immediatamente disponibili. L'installazione e la gestione della nuova rete wireless richiedono una conoscenza limitata della rete o un supporto IT limitato, il che la rende ideale per installazioni in un unico sito o multisito per organizzazioni con risorse IT minime. Tutto quello che occorre fare e configurarla.
Il CAE di Cisco sugli access point Catalyst esegue un codice Cisco IOS® XE simile al controller wireless Cisco Catalyst serie 9800, che lo rende resistente, sicuro e intelligente. Il kit EWC offre tutti i vantaggi delle funzioni aziendali senza la necessità di investire in un'appliance per controller.
Inoltre, l'investimento in Cisco Catalyst AP è protetto in base alle esigenze. Il CAE può essere migrato in installazioni basate su cloud o controller fisici in base alle esigenze.
Limitazioni dell'EWC on Catalyst AP
- L'interfaccia Gig 0 di EWC non può essere configurata come trunk.
- Il CAE non supporta interfacce virtuali di switch (SVI).
- Il CAE non è in grado di eseguire la commutazione centrale.
- Gig 0 è l'unica interfaccia utilizzabile come Wireless Manager.
- Tutto il traffico EWC deve provenire dall'interfaccia Gig 0 (che include RADIUS, controllo e provisioning del controllo CAPWAP (Wireless Access Point), traffico di licenze e così via).
- EWC: impossibile eseguire acquisizioni di pacchetti incorporate.
- Il CAE non supporta i punti di accesso in modalità sniffer.
- L'immagine EWC non si avvia se nello stesso dominio di broadcast è presente un altro controller WLC (Wireless LAN Controller), AireOS o 9800. L'access point continua a funzionare come un normale Lightweight CAPWAP finché gli altri WLC non vengono rimossi dalla rete.
- Quando si converte o si aggiorna il CAE in una distribuzione con modelli AP misti, è necessario che il server TFTP sia funzionante.
- EWC non è in grado di frammentare i pacchetti (vedere l'ID bug Cisco CSCwc95321) ).
Implementazione
Configurazione degli switch
La porta a cui è connesso l'EWC AP deve essere una porta trunk e la VLAN nativa deve essere la VLAN di gestione.
Esempio di configurazione dello switch:
configure terminal
interface gigabitEthernet 0/1
switchport mode trunk
switchport trunk native vlan 10
Ripristino delle impostazioni di fabbrica
Prima di convertire l'access point, è buona norma eseguire un reset di fabbrica, anche se è nuovo:
- Scollegare l'access point dalla fonte di alimentazione.
- Collegare il cavo della console e aprire una sessione seriale sul PC.
- Tenere premuto il
Mode/Reset
pulsante sull'access point.
- Ricollegare il punto di accesso alla fonte di alimentazione mentre si tiene premuto il
Mode/Reset
pulsante.
- Continuare a tenere premuto il
Mode/Reset
pulsante fino a visualizzare il prompt sulla sessione seriale.
La sessione della console indica per quanto tempo è stato premuto il Mode/Reset
pulsante. Sono necessari almeno 20 secondi per un riavvio completo. L'access point si avvia e le credenziali predefinite Cisco/Cisco possono essere usate per accedere alla CLI (le credenziali dell'interfaccia Web sono webui/Cisco).
Topologia della rete
Le immagini EWC vengono fornite sotto forma di file zip. Il file zip contiene:
- Immagine EWC .bin (esempio: C9800-AP-iosxe-wlc.bin)
- Immagine AP per tutti i punti di accesso che possono essere collegati a EWC (esempio: ap1g4, ap1g7)
- File Readme.txt con le corrispondenze tra immagine e modello di access point
Nota: assicurarsi di estrarre il contenuto dell'archivio zip sul server TFTP. L'access point deve accedere direttamente a questi file, poiché non è in grado di ottenerli se si trovano ancora in un archivio.
Nella tabella seguente vengono elencate tutte le immagini e i modelli PA corrispondenti:
Modello di access point |
Nome del file immagine |
AP1815, AP154x |
ap1g5 |
AP180x, AP183x, AP185x |
ap1g4 |
C9115, C9120 |
ap1g7 |
C9117 |
ap1g6 |
C9130, C9124 |
ap1g6a |
AP380x, AP280x, AP156x |
ap3g3 |
Nota: solo i Cisco Catalyst serie 9000 AP possono eseguire il codice EWC. Tutti gli altri access point indicati nella tabella precedente possono solo unire EWC.
Il contenuto del file zip estratto deve essere copiato su un server TFTP.
Prima di aggiornare l'immagine, questa viene rinominata e assegnata a un indirizzo IP statico, a una netmask e a un gateway predefinito:
Username: Cisco
Password: Cisco
AP2CF8.9B5F.8628>enable
Password: Cisco
AP2CF8.9B5F.8628#capwap ap hostname AP1
Please note that if AP is already associated to WLC,
the new hostname will only reflect on WLC after AP
dis-associates and rejoins.
AP1#capwap ap ip 192.168.1.14 255.255.255.0 192.168.1.1
Il server TFTP si trova sull'indirizzo IP 192.168.1.25. A differenza di Mobility Express, è necessario specificare due immagini diverse: una per l'access point e una per l'EWC. La conversione dell'immagine viene eseguita con questo comando:
AP1#ap-type ewc-ap tftp://192.168.1.25/ap1g7 tftp://192.168.1.25/C9800-AP-iosxe-wlc.bin
Starting download eWLC image tftp://192.168.1.25/C9800-AP-iosxe-wlc.bin ...
It may take a few minutes. If longer, please abort command, check network and try again.
It may take a few minutes. If longer, please abort command, check network and try again.
######################################################################## 100.0%
Upgrading ...
I suggerimenti AP CLI (l'uso di ?) menzionano solo TFTP e SFTP come protocolli supportati. Tuttavia, altri come HTTP e HTTPS sono supportati (e molto più velocemente del TFTP più comunemente usato). Al momento della scrittura del documento, non è possibile effettuare un aggiornamento tramite FTP. ID bug Cisco CSCvy36161 - Per modificare i suggerimenti della CLI in modo da includere HTTP e HTTPS, è stato archiviato il comando "9100 AP-type ewc mostra solo tftp e sftp come protocolli supportati".
AP-1#ap-type ewc-ap ?
WORD URL of AP image <tftp|sftp>://<server_ip>/<file_path>
Una volta aggiornata l'immagine, l'access point si riavvia. Accedere con le credenziali predefinite di Cisco/Cisco. Se l'aggiornamento è riuscito, l'output del show version
comando contiene:
AP1#show version
.
...
AP Image type : EWC-AP IMAGE
AP Configuration : EWC-AP CAPABLE
Viene avviata la parte EWC del codice. Il primo avvio può richiedere fino a 15 minuti.
Importante: il processo EWC dell'access point non si avvia mai se è presente un controller AireOS, 9800 o Mobility Express o EWC nello stesso dominio di broadcast (VLAN).
Opzione 1. configurazione iniziale dalla CLI
Una volta avviata la partizione EWC, viene richiesto di avviare una configurazione guidata iniziale. In questo articolo viene illustrata la configurazione manuale senza utilizzare l'app Catalyst Wireless o la procedura guidata del browser Web:
--- System Configuration Dialog ---
Would you like to enter the initial configuration dialog? [yes/no]: no
Would you like to terminate autoinstall? [yes]: no
WLC2CF8.9B5F.8628#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
WLC2CF8.9B5F.8628(config)#hostname EWC
######## Cteates local user admin ########
EWC(config)#user-name admin
EWC(config-user-name)#privilege 15
EWC(config-user-name)#password 0 Cisco123
EWC(config-user-name)#exit
######## Specifies credentials used to log into APs joined to this EWC ########
EWC(config)#ap profile default-ap-profile
EWC(config-ap-profile)#mgmtuser username admin password 0 Cisco123 secret 0 Cisco123
EWC(config-ap-profile)#exit
######## Configures management interface IP address and subnet########
EWC(config)#interface gigabitEthernet 0
EWC(config-if)#ip address 192.168.1.15 255.255.255.0
EWC(config-if)#exit
######## Default gateway IP address ########
EWC(config)#ip default-gateway 192.168.1.1
######## Enables web interface of EWC ########
EWC(config)#ip http server
EWC(config)#ip http secure-server
######## Write to memory ########
EWC(config)#end
EWC#write memory
Nota: è necessario immettere il comando write memory
per salvare la configurazione e anche per cancellare la configurazione day-zero preinstallata. In caso contrario, la GUI del CAE diventa inaccessibile come spiegato più avanti in questa guida.
A differenza di un controller 9800, la memoria flash EWC non dispone di spazio sufficiente per memorizzare tutte le immagini AP. Le immagini di tutti gli access point devono essere ospitate su un server TFTP o SFTP esterno. Quando un secondo punto di accesso tenta di unirsi, il CAE lo indirizza al server esterno. Senza questi comandi, nessun altro access point è in grado di unirsi a esso:
EWC(config)#wireless profile image-download default
EWC(config-wireless-image-download-profile)#image-download-mode tftp
EWC(config-wireless-image-download-profile-tftp)#tftp-image-server 192.168.1.25
EWC(config-wireless-image-download-profile-tftp)#tftp-image-path /
EWC#write memory
Building configuration...
[OK]
È ora possibile accedere all'interfaccia Web all'indirizzo https://<EWC management IP address>.
Nota: se sono abilitati sia HTTP che HTTP, il CAE fornisce sempre all'utente l'interfaccia Web HTTPS. È fondamentale che il protocollo HTTP sia abilitato per alcune funzionalità, ad esempio l'autenticazione Web, pertanto è consigliabile abilitarlo.
Opzione 2. procedura guidata dall'interfaccia utente Web
Una volta riavviato in modalità EWC, l'access point invia un SSID (Service Set Identifier) di provisioning che termina con le ultime cifre dell'indirizzo MAC. È possibile collegarsi ad esso con la "password" PSK.
È quindi possibile aprire il browser e reindirizzarsi a mywifi.cisco.com, che consente di accedere all'interfaccia utente Web AP. Connettersi con l'ID utente "webui" e la password "cisco".
Nota: il reindirizzamento Web al portale di configurazione EWC funziona solo se si è connessi al SSID di provisioning. Non funziona se il laptop è connesso a un'altra rete Wi-Fi o alla rete cablata. Non è possibile configurare l'access point dalla rete cablata anche se si immette l'indirizzo IP di EWC in modalità day0 di provisioning guidato.
Opzione 3. applicazione per smartphone
Sia su Apple Store che su Android Play Store è possibile trovare l'applicazione Cisco Catalyst Wireless. Installarlo e l'app consente di eseguire facilmente il provisioning del controller incorporato tramite una connessione manuale o codice a matrice.
Suggerimenti
Aggiunta di altri punti di accesso al CAE
Al CAE si possono aggiungere fino a 100 punti di accesso. I punti di accesso aggiunti al CAE possono funzionare solo se sono in modalità FlexConnect. EWC non è in grado di ospitare tutte le immagini AP nella sua memoria flash ed è necessario disporre di un server TFTP o SFTP che deve essere specificato con il wireless profile image-download default
comando.
Se il sito in cui si trova il CAE non dispone di un'infrastruttura per ospitare un server TFTP permanente, è possibile utilizzare temporaneamente un notebook standard. Un server TFTP con immagini AP deve essere presente sul sito solo durante la distribuzione e l'aggiornamento iniziali.
Nota: in modalità EWC, l'access point interno non si unisce ad altri controller nella rete. EWC ha la priorità su qualsiasi altro WLC primario configurato.
Accedere alla console AP dall'EWC (in precedenza apciscoshell)
Quando il cavo console è collegato all'access point che esegue l'immagine EWC, per impostazione predefinita viene visualizzato un prompt EWC. Se, per qualsiasi motivo, è necessario accedere alla shell dell'access point sottostante, è possibile completarla con questo comando:
EWC#wireless ewc-ap ap shell username admin
admin@192.168.129.1's password: Cisco123
Nota: se il nome utente e la password per la gestione dell'access point non sono specificati nel profilo dell'access point, usare invece il nome utente predefinito Cisco e la password Cisco.
Questo comando equivale a apciscoshell
quello disponibile in precedenza nei controller Mobility Express.
Per uscire dalla shell EWC, immettere:
AP1>logout
Connection to 192.168.129.1 closed.
EWC#
Riconverti EWC In Modalità CAPWAP Lightweight
Se l'access point in esecuzione in modalità EWC deve essere riconvertito in modalità CAPWAP lightweight, è possibile eseguire la conversione tramite:
AP1#ap-type capwap
AP is the Master AP, system will need a reboot when ap type is changed to CAPWAP
. Do you want to proceed? (y/N) y
Importante: questo comando esegue un reset completo di fabbrica sia della partizione AP che di quella EWC. Assicurarsi di eseguire il backup della configurazione EWC corrente prima della conversione.
Conversione di EWC in CAPWAP utilizzando l'opzione 43
L'opzione DHCP 43 è un'opzione specifica del fornitore e viene usata per fornire gli indirizzi IP del WLC al punto di accesso. Utilizzando l'opzione 43 con un sottotipo specifico, è possibile convertire il WLC in CAPWAP e collegarlo a un accessorio WLC o a un controller virtuale. Dopo che l'access point ha ricevuto l'opzione DHCP 43 e il sottotipo 0xF2 all'avvio, il tipo di access point verrà convertito in CAPWAP e l'access point seguirà il normale processo di join.
La configurazione DHCP sullo switch è mostrata di seguito.
Switch(dhcp-config)#option 43 hex F20564645801
Ripristino delle impostazioni di fabbrica dalla CLI dell'EWC
Per ripristinare le impostazioni predefinite di fabbrica dell'EWC, usare questo comando dal prompt CLI dell'EWC:
EWC#wireless ewc-ap factory-reset
Modalità Access Expert
Per impostazione predefinita, nell'interfaccia Web del CAE non vengono visualizzate tutte le funzioni avanzate. Per abilitare la funzione avanzata, fare clic sull'icona di ingranaggio nell'angolo superiore destro e attivare la modalità Expert:
Genera il certificato dell'interfaccia di gestione e il trust point
Il CAE utilizza un certificato di installazione del produttore (MIC) per tutte le sue funzioni. Non è necessario generare un certificato autofirmato. Tutti i comandi specificati in questo articolo sono sufficienti per consentire l'attivazione e l'esecuzione di EWC e l'aggiunta di AP.
Creazione di VLAN
Il CAE non supporta la configurazione di più di una SVI nel codice Cisco IOS XE del CAE. Se è necessario aggiungere VLAN da utilizzare nelle WLAN, crearle nel profilo flessibile sugli access point membri e non sulla parte controller.
Informazioni correlate