Inleiding
Dit document beschrijft de FlexConnect-functie en de algemene configuratie op de 9800 draadloze controllers.
Achtergrondinformatie
FlexConnect verwijst naar de mogelijkheid van een access point (AP) om te bepalen of het verkeer van de draadloze clients rechtstreeks op het netwerk op AP-niveau wordt gezet (Local Switching) of of dat het verkeer is gecentraliseerd op de 9800-controller (Central Switching).
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco Catalyst 9800 draadloze controllers met Cisco IOS®-XE Gibraltar v17.9.x
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Netwerkdiagram
Dit document is gebaseerd op deze topologie:
Configuraties
Dit is het visuele schema van de configuratie die nodig is om het scenario van dit document te realiseren:
Hier volgen de algemene stappen voor het configureren van een FlexConnect Local Switching Service Set Identifier (SSID):
- Een WLAN-profiel maken/wijzigen
- Een beleidsprofiel maken/wijzigen
- Een beleidstag maken/wijzigen
- Een Flex-profiel maken/wijzigen
- Een sitetag maken/wijzigen
- Toewijzing van beleidstags aan AP
Deze secties verklaren hoe u ze stap voor stap kunt configureren.
Een WLAN-profiel maken/wijzigen
U kunt deze gids gebruiken om de drie SSIDs te creëren:
Maak uw SSID
Een beleidsprofiel maken/wijzigen
Stap 1. Navigeer naarConfiguration > Tags & Profiles > Policy
. Selecteer de naam van een reeds bestaand document of klik op + Add om een nieuw document toe te voegen.
ProfielFlex1
Central Switching
Wanneer u dit waarschuwingsbericht uitschakelt, klikt u op de configuratieYes
en gaat u verder met de configuratie.
Stap 2. Ga naar hetAccess Policies
tabblad en typ het VLAN (u ziet het niet in de vervolgkeuzelijst omdat dit VLAN niet bestaat op de 9800 WLC). Klik vervolgens opSave & Apply to Device
.
Stap 3. Herhaal hetzelfde voor PolicyProfile Flex2.
ProfielFlex2
Stap 4. Zorg er voor dat het gewenste VLAN op de 9800 WLC bestaat voor de centraal switched SSID en creëer deze als dat niet het geval is.
Opmerking: in FlexConnect AP’s met lokaal switched WLAN’s wordt het verkeer op de AP geschakeld en de DHCP-verzoeken van de client gaan rechtstreeks naar het bekabelde netwerk via de AP-interface. AP heeft geen SVI in het clientsubnetje, zodat het geen DHCP-proxy kan uitvoeren; en dus heeft de DHCP Relay-configuratie (DHCP Server IP Address) in het tabblad Policy Profile > Advanced geen betekenis voor lokaal switched WLAN’s. In deze scenario's moet de switchpoort de client VLAN toestaan en vervolgens, als de DHCP-server zich in een ander VLAN bevindt, de IP-helper in de client SVI/default-gateway configureren zodat deze weet waar het DHCP-verzoek van de client moet worden verzonden.
ClientVLAN’s declareren
Stap 5. Maak een beleidsprofiel voor de centrale SSID.
Navigeer naarConfiguration > Tags & Profiles > Policy
. Selecteer de naam van een reeds bestaand document of klik op + Add
om een nieuw document toe te voegen.
ProfielCentral1
Er zijn dus drie beleidsprofielen.
CLI:
# config t
# vlan 2660
# exit
# wireless profile policy PolicyProfileFlex1
# no central switching
# vlan 2685
# no shutdown
# exit
# wireless profile policy PolicyProfileFlex2
# no central switching
# vlan 2686
# no shutdown
# exit
# wireless profile policy PolicyProfileCentral1
# vlan VLAN2660
# no shutdown
# end
Een beleidstag maken/wijzigen
De Policy Tag is het element waarmee u kunt specificeren welke SSID is gekoppeld aan welk beleidsprofiel.
Stap 1. Navigeer naarConfiguration > Tags & Profiles > Tags > Policy
. Selecteer de naam van een reeds bestaand document of klik op + Add
om een nieuw document toe te voegen.
Stap 2. Klik in de Beleidsmarkering +Add
, selecteer in de vervolgkeuzelijst de naam die u wilt toevoegen aan de WLAN Profile
Beleidstag en waaraan u dezePolicy Profile
wilt koppelen. Klik vervolgens op het vinkje.
Herhaal dit voor de drie SSID's en klik vervolgens opSave & Apply to Device
.
CLI:
# config t
# wireless tag policy PolicyTag1
# wlan Flex1 policy PolicyProfileFlex1
# wlan Flex2 policy PolicyProfileFlex2
# wlan Central1 policy PolicyProfileCentral1
# end
Een Flex-profiel maken/wijzigen
In de topologie die voor dit document wordt gebruikt, merk op dat er twee SSID's in Local Switching met twee verschillende VLAN's zijn. Binnen het Flex Profiel is waar u APs VLAN (Inheems VLAN) en een ander VLAN specificeert dat AP zich van moet bewust zijn, in dit geval, VLANs die door SSIDs worden gebruikt.
Stap 1. Navigeer naarConfiguration > Tags & Profiles > Flex
en maak een nieuwe of wijzig een bestaande.
Stap 2. Definieer een naam voor het Flex Profile en specificeer de APs VLAN (Native VLAN-id).
Stap 3. Navigeer naar hetVLAN
tabblad en specificeer het gewenste VLAN.
In dit scenario zijn er clients op VLAN’s 2685 en 2686. Deze VLAN’s bestaan niet op de 9800 WLC, voeg ze toe aan het Flex Profile zodat ze op de AP bestaan.
Opmerking: wanneer u het beleidsprofiel hebt gemaakt, als u een VLAN-naam hebt geselecteerd in plaats van een VLAN-id, moet u ervoor zorgen dat de VLAN-naam hier in het Flex-profiel exact dezelfde is.
Herhaal dit voor de benodigde VLAN’s.
Bericht dat VLAN dat voor Centrale omschakeling wordt gebruikt niet werd toegevoegd, aangezien AP niet om zich over het moet bewust zijn.
CLI:
# config t
# wireless profile flex FlexProfileLab
# native-vlan-id 2601
# vlan-name VLAN2685
# vlan-id 2685
# vlan-name VLAN2686
# vlan-id 2686
# end
Een sitetag maken/wijzigen
De Site Tag is het element waarmee u kunt specificeren welke AP-leden en/of Flex-profiel is toegewezen aan de AP's.
Stap 1. Navigeer naar Configuration > Tags & Profiles > Tags > Site
. Selecteer de naam van een reeds bestaand document of klik op + Add
om een nieuw document toe te voegen.
Stap 2. Schakel binnen de Site Tag de Enable Local Site
optie uit (alle toegangspunten die een Site Tag ontvangen terwijl deEnable Local Site
optie uitgeschakeld is, worden geconverteerd naar de FlexConnect-modus). Zodra het uitgeschakeld is, kunt u ook hetFlex Profile
selecteren. Klik vervolgens opSave & Apply to Device
.
CLI:
# config t
# wireless tag site FlexSite1
# flex-profile FlexProfileLab
# no local-site
Toewijzing van beleidstags aan AP
U kunt een Policy Tag rechtstreeks aan een AP toewijzen of dezelfde Policy Tag tegelijkertijd toewijzen aan een groep van AP's. Kies degene die bij je past.
Toewijzing van beleidstags per AP
Navigeer naarConfiguration > Wireless > Access Points > AP name > General > Tags
. Selecteer de gewenste tags in de Site
vervolgkeuzelijst en klik vervolgens opUpdate & Apply to Device
.
Opmerking: Houd er rekening mee dat de Policy Tag op een AP na de wijziging zijn associatie met de 9800 WLCs verliest en zich binnen ongeveer 1 minuut weer aansluit.
Opmerking: als het toegangspunt is geconfigureerd in de lokale modus (of een andere modus) en vervolgens een sitetag krijgt met deEnable Local Site
optie uitgeschakeld, wordt het toegangspunt opnieuw opgestart en komt het terug in FlexConnect-modus.
CLI:
# config t
# ap <ethernet-mac-addr>
# site-tag <site-tag-name>
# end
Policy Tag-toewijzing voor meerdere AP’s
Navigeer naar Configuration > Wireless Setup > Advanced > Start Now
.
Klik op hetTag APs
:=pictogram, waarna u de lijst selecteert van AP's waaraan u de tags wilt toewijzen (U kunt op het pijltje naar beneden klikken naastAP name
[of een ander veld] om de lijst met AP's te filteren).
Nadat u de gewenste AP's hebt geselecteerd, klikt u op + Tag AP's.
Selecteer de tags die u aan de AP's wilt toewijzen en klik opSave & Apply to Device
.
Opmerking: Houd er rekening mee dat na het wijzigen van de Policy Tag op een AP, het zijn associatie met de 9800 WLCs verliest en zich binnen ongeveer 1 minuut opnieuw bij u aansluit.
Opmerking:Als het toegangspunt is geconfigureerd in de lokale modus (of een andere modus) en vervolgens een sitetag krijgt terwijl deEnable Local Site
optie is uitgeschakeld, wordt het toegangspunt opnieuw opgestart en komt het terug in de FlexConnect-modus.
CLI:
Er is geen CLI-optie om dezelfde Tag toe te wijzen aan meerdere AP's.
Flexconnect ACL’s
Één ding om te overwegen wanneer u lokaal switched WLAN hebt is hoe te om ACL op de cliënten toe te passen.
In het geval van een centraal geschakeld WLAN, wordt al het verkeer vrijgegeven bij de WLC, zodat de ACL niet naar de AP hoeft te worden gedrukt. Wanneer het verkeer echter lokaal wordt geschakeld (flex connect - lokale switching), moet de ACL (gedefinieerd op de controller) worden ingedrukt op het AP, omdat het verkeer op het AP wordt vrijgegeven. Dit gebeurt wanneer u de ACL aan het flex-profiel toevoegt.
FlexConnect ACL’s worden zowel in uitgangs- als toegangsrichtingen toegepast. Dit vereist dat u zeer expliciet te zijn in het toestaan of ontkennen van verkeer in het clientsubnet. Het is een veel voorkomende fout om clients te blokkeren van toegang tot hun gateway door niet expliciet genoeg een ACL te hebben. Zie meer informatie in de opmerkingen van Cisco Bug ID CSCuv93592 .
Centraal switched WLAN
U kunt als volgt een ACL toepassen op de clients die zijn aangesloten op een centraal geschakeld WLAN:
Stap 1 - Pas de ACL op het beleidsprofiel toe. Ga naar Configuration > Tags & profielen > Policy en selecteer het beleidsprofiel dat is gekoppeld aan het centraal switched WLAN. Selecteer onder het gedeelte "Toegangsbeleid" > "WLAN-toegangsrechten" de ACL die u op de clients wilt toepassen.
Als u de Central Web Verification configureert op een centraal geschakeld WLAN, kunt u een omleidingsACL maken op de 9800, net alsof het toegangspunt in de lokale modus stond, omdat alles in dat geval centraal wordt verwerkt via de WLC.
Lokaal switched WLAN
U kunt als volgt een ACL toepassen op de clients die zijn aangesloten op een lokaal switched WLAN:
Stap 1 - Pas de ACL op het beleidsprofiel toe. Ga naar Configuration > Tags & profielen > Policy, selecteer het beleidsprofiel dat is gekoppeld aan het lokaal switched WLAN. Selecteer onder het gedeelte "Toegangsbeleid" > "WLAN-toegangsrechten" de ACL die u op de clients wilt toepassen.
Stap 2 - Pas de ACL toe op het flex-profiel. Ga naar Configuration > Tags & profielen > Flex, selecteer het flex-profiel dat is toegewezen aan de flex connect AP's. Voeg onder de sectie "Beleids-ACL" de ACL toe en klik op "Opslaan"
Controleer of de ACL wordt toegepast
U kunt controleren of de ACL op een client wordt toegepast wanneer u naar Bewaking > Draadloos > Clients gaat, en de client selecteren die u wilt verifiëren. In de sectie Algemeen > Beveiligingsinformatie, controleer in de sectie "Serverbeleid" de naam van de "Filter-ID": dit moet corresponderen met de toegepaste ACL.
In het geval van Flex Connect (lokale switching) AP’s kunt u verifiëren of de ACL wordt gepauzeerd naar het AP door de opdracht "#show IP-toegangslijsten" op het AP zelf te typen.
Verificatie
U kunt deze opdrachten gebruiken om de configuratie te verifiëren.
Configuratie van VLAN’s/interfaces
# show vlan brief
# show interfaces trunk
# show run interface <interface-id>
WLAN-configuratie
# show wlan summary
# show run wlan [wlan-name]
# show wlan { id <wlan-id> | name <wlan-name> | all }
Configuratie AP
# show ap summary
# show ap tag summary
# show ap name <ap-name> tag { info | detail }
# show ap name <ap-name> tag detail
AP Name : AP2802-01
AP Mac : 0896.ad9d.143e
Tag Type Tag Name
-----------------------------
Policy Tag PT1
RF Tag default-rf-tag
Site Tag default-site-tag
Policy tag mapping
------------------
WLAN Profile Name Policy Name VLAN Central Switching IPv4 ACL IPv6 ACL
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
psk-pbl-ewlc ctrl-vl2602 VLAN0210 ENABLED Not Configured Not Configured
Site tag mapping
----------------
Flex Profile : default-flex-profile
AP Profile : default-ap-profile
Local-site : Yes
RF tag mapping
--------------
5ghz RF Policy : Global Config
2.4ghz RF Policy : Global Config
Tabelconfiguratie
# show wireless tag { policy | rf | site } summary
# show wireless tag { policy | rf | site } detailed <tag-name>
Profielconfiguratie
# show wireless profile { flex | policy } summary
# show wireless profile { flex | policy } detailed <profile-name>
# show ap profile <AP-join-profile-name> detailed