Catalyst 9800 en FlexConnect EAP Split-tunneling configureren

Downloadopties

  • PDF     (1.0 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (658.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (786.1 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:15 september 2021
Document-id:215967

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u een binnentoegangspunt (AP) kunt configureren als een FlexConnect Office Extend (OEAP) en hoe u gesplitste tunneling kunt inschakelen zodat u kunt definiëren welk verkeer lokaal kan worden geschakeld op het thuiskantoor en welk verkeer centraal moet worden geschakeld op de WLC.

    Voorwaarden

    Vereisten

    De configuratie op dit document veronderstelt dat WLC reeds in een DMZ met toegelaten NAT wordt gevormd en dat AP zich bij WLC van het huisbureau kan aansluiten.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Draadloze LAN-controllers 9800 met Cisco IOS-XE 17.3.1-software.
    • Wave1 APs: 1700/2700/3700.
    • Wave2 APs: 1800/2800/3800/4800 en Catalyst 9100 Series. 

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Overzicht

    Een Cisco Office Extended Access Point (Cisco EAP) biedt beveiligde communicatie van een Cisco WLC naar een Cisco AP op een externe locatie, waarbij het WLAN van het bedrijf naadloos wordt uitgebreid over het internet naar de woning van een werknemer. De ervaring van de gebruiker op het thuiskantoor is precies hetzelfde als op het hoofdkantoor. DTLS-codering (Datagram Transport Layer Security) tussen het toegangspunt en de controller zorgt ervoor dat alle communicatie het hoogste beveiligingsniveau heeft. Elk binnentoegangspunt in de FlexConnect-modus kan fungeren als een APEE.

    Achtergrondinformatie

    FlexConnect verwijst naar de mogelijkheid van een access point (AP) om draadloze clients te verwerken terwijl deze op externe locaties, bijvoorbeeld via een WAN, opereren. Ze kunnen ook beslissen of het verkeer van de draadloze clients direct op het netwerk op het AP-niveau wordt gezet (Local Switching) of of dat het verkeer is gecentraliseerd op de 9800-controller (Central Switching) en over het WAN wordt teruggestuurd, per WLAN.

    Controleer dit document Understand FlexConnect op Catalyst 9800 draadloze controller voor meer informatie over FlexConnect.

    OEAP-modus is een optie die beschikbaar is in een FlexConnect AP, om extra functionaliteit toe te staan, bijvoorbeeld een persoonlijke lokale SSID voor thuistoegang, en kan ook gesplitste tunnelfunctie bieden, voor een grotere granulatie om te bepalen welk verkeer lokaal moet worden geschakeld op het thuiskantoor en welk verkeer centraal moet worden geschakeld via de WLC, via één WLAN

    Configureren

    Netwerkdiagram

    FlexConnect OEAP with Split Tunneling - Network diagram

    Configuraties

    Een toegangscontrolelijst definiëren voor Split-tunneling

    Stap 1. Kies Configuratie > Beveiliging > ACL. Selecteer Toevoegen.

    Stap 2. In het dialoogvenster ACL-instellingen toevoegen voert u de ACL-naam in, kiest u het ACL-type in de vervolgkeuzelijst ACL-type en voert u onder de instellingen voor regels het volgnummer in. Kies vervolgens de Actie als toestemming of ontkennen.

    Stap 3. Kies het gewenste brontype in de vervolgkeuzelijst Bron Type.

    Als u het brontype als host kiest, moet u de hostnaam/IP invoeren.

    Als u het brontype als netwerk kiest, moet u het IP-bronadres en het masker met jokerteken opgeven.

    In dit voorbeeld, wordt al verkeer van om het even welke gastheer aan Subnet 192.168.1.0/24 centraal geschakeld (ontken) en al rest van het verkeer wordt plaatselijk geschakeld (vergunning).

    Configure AP as an OEAP-Home Offica Access control list configuration

    Stap 4. Schakel het aanvinkvakje Log in als u de logbestanden wilt weergeven en selecteer Toevoegen.

    Stap 5. Voeg de rest van de regels toe en selecteer Toepassen op apparaat.

    Configure AP as an OEAP-Apply ACL to device

    Een ACL-beleid koppelen aan de gedefinieerde ACL

    Stap 1. Een nieuw Flex-profiel maken. Ga naar Configuratie > Tags & profielen > Flex. selecteer Toevoegen.

    Stap 2. Voer een naam in en schakel APEE in. Zorg er ook voor dat de native VLAN-id die is in de AP-switchpoort.

    Configure AP as an OEAP-Policy Profile VLAN setting

    Opmerking: wanneer u Office-Extend Mode inschakelt, wordt de Link-Encryptie standaard ook ingeschakeld en kan deze niet worden gewijzigd, zelfs als u Link Encryption in het AP Join Profile uitschakelt. 

    Stap 3. Ga naar het tabblad Beleids-ACL en selecteer Toevoegen. Voeg hier de ACL toe aan het profiel en pas deze toe op apparaat.

    Configure AP as an OEAP-Flexprofile OEAP setting and ACL

    Een beleid voor draadloos profiel en een naam voor splitter MAC-toegangsrechten configureren

    Stap 1. Een WLAN-profiel maken. In dit voorbeeld werd een SSID met de naam HomeOffice gebruikt met WPA2-PSK-beveiliging.

    Stap 2. Maak een beleidsprofiel. Ga naar Configuratie > Tags > Beleid en selecteer Toevoegen. Zorg er onder General voor dat dit profiel centraal geswitched beleidsregels is zoals in dit voorbeeld:

    Configure AP as an OEAP - WLAN configuration - FlexConnect Local Switching option enabled or disabled

    Stap 3. Ga binnen het beleidsprofiel naar Toegangsbeleid en definieer het VLAN voor het verkeer dat centraal moet worden geschakeld. De clients krijgen een IP-adres in het subnetnetwerk dat aan dit VLAN is toegewezen. 

    Configure AP as an OEAP-Link WLAN and Policy profile

    Stap 4. Om lokale gesplitste tunneling op een AP te configureren, moet u ervoor zorgen dat u DCHP ingeschakeld hebt op het WLAN. Dit zorgt ervoor dat de client die is gekoppeld aan het gesplitste WLAN DHCP gebruikt. U kunt deze optie inschakelen in het tabblad Geavanceerd van het beleidsprofiel. Schakel het aankruisvakje IPv4 DHCP in vereist. Kies onder de WLAN Flex Policy-instellingen de gesplitste MAC-ACL die eerder is gemaakt, uit de vervolgkeuzelijst Split MAC ACL. Selecteer Toepassen op apparaat:

    Configure AP as an OEAPApply policy tag to access point

    Opmerking: voor Apple iOS-clients moet optie 6 (DNS) worden ingesteld in DHCP-aanbod voor gesplitste tunneling.

    Toewijzing van een WLAN aan een beleidsprofiel

    Stap 1. Kies Configuratie > Tags & profielen > Tags. Selecteer op het tabblad Beleid de optie Toevoegen.

    Stap 2. Voer de naam van het tagbeleid in en selecteer onder het tabblad WLAN-BELEIDSkaarten de optie Toevoegen.

    Stap 3. Kies het WLAN-profiel in de vervolgkeuzelijst WLAN-profiel en kies het beleidsprofiel in de vervolgkeuzelijst Beleidsprofiel. Selecteer het pictogram Tik en pas het vervolgens op apparaat toe.

    Configure AP as an OEAP-Flexprofile policy ACL and apply to device

    Een AP-Join-profiel configureren en een koppeling maken met de Site Tag

    Stap 1. Navigeer naar Configuration > Tags en profielen > AP Join en selecteer Add. Voer een naam in. Optioneel kunt u SSH inschakelen voor probleemoplossing en later uitschakelen als het niet nodig is.

    Stap 2. Kies Configuratie > Tags & profielen > Tags. Selecteer op het tabblad Site de optie Toevoegen.

    Stap 3. Voer de naam in van de sitetag, vink de optie Local Site inschakelen uit en selecteer vervolgens het profiel samenvoegen met het toegangspunt en Flex profiel (eerder gemaakt) in de vervolgkeuzelijsten. Toepassen op apparaat.

    Configure AP as an OEAPJoin Profile and Site tag configuration

    Een beleidslabel en sitetag aan een access point toevoegen

    Optie 1. Voor deze optie moet u 1 AP tegelijk configureren. Ga naar Configuratie > Draadloos > Access points. Selecteer het toegangspunt dat u naar het ministerie van Binnenlandse Zaken wilt verplaatsen en selecteer vervolgens de tags voor het thuiskantoor. Selecteer Bijwerken en toepassen op apparaat:

    Configure AP as an OEAP-Policy Profile Flexconnect settings example

    Het is ook aanbevolen om een Primaire controller te configureren zodat de AP de IP/naam van de WLC kent om te bereiken zodra het is geïmplementeerd in het Home Office. U kunt dit doen door de AP direct te bewerken naar het tabblad Hoge beschikbaarheid:

    Configure AP as an OEAP - Configure a primary WLC on High Availability tab

    Optie 2. Met deze optie kunt u meerdere AP’s tegelijkertijd configureren. Navigeer naar Configuratie > Draadloze Setup > Geavanceerd > Tag AP's. Selecteer de tags die eerder zijn gemaakt en selecteer Toepassen op apparaat.

    Configure AP as an OEAP-Policy Profile Split ACL setting

    De AP's herstarten en vervoegen de WLC met de nieuwe instellingen.

    Verifiëren

    U kunt de configuratie verifiëren via GUI of CLI. Dit is de resulterende configuratie in CLI:

    !
    ip access-list extended HomeOffice_ACL
    1 deny ip any 192.168.1.0 0.0.0.255 log
    2 permit ip any any log
    !
    wireless profile flex HomeOffice_FlexProfile
    acl-policy HomeOffice_ACL
    office-extend
    !
    wireless profile policy HomeOfficePolicy
    no central association
    aaa-override
    flex split-mac-acl HomeOffice_ACL
    flex vlan-central-switching
    ipv4 dhcp required
    vlan default
    no shutdown
    !
    wireless tag site HomeOficeSite
    flex-profile HomeOffice_FlexProfile
    no local-site
    !
    wireless tag policy HomeOfficePolicyTag
    wlan HomeOffice policy HomeOfficePolicy
    !
    wlan HomeOffice 5 HomeOffice
    security wpa psk set-key ascii 0 xxxxxxx
    no security wpa akm dot1x
    security wpa akm psk
    no shutdown
    !
    ap 70db.98e1.3eb8
    policy-tag HomeOfficePolicyTag
    site-tag HomeOficeSite
    !
    ap c4f7.d54c.e77c
    policy-tag HomeOfficePolicyTag
    site-tag HomeOficeSite
    !

    AP-configuratie controleren:

    eWLC-9800-01#show ap name AP3800_E1.3EB8 config general

    Cisco AP Name : AP3800_E1.3EB8
    =================================================

    Cisco AP Identifier : 0027.e336.5a60
    ...
    MAC Address : 70db.98e1.3eb8
    IP Address Configuration : DHCP
    IP Address : 192.168.1.99
    IP Netmask : 255.255.255.0
    Gateway IP Address : 192.168.1.254
    ...
    SSH State : Enabled
    Cisco AP Location : default location
    Site Tag Name : HomeOficeSite
    RF Tag Name : default-rf-tag
    Policy Tag Name : HomeOfficePolicyTag
    AP join Profile : HomeOfficeAP
    Flex Profile : HomeOffice_FlexProfile
    Primary Cisco Controller Name : eWLC-9800-01
    Primary Cisco Controller IP Address : 192.168.1.15
    ...
    AP Mode : FlexConnect
    AP VLAN tagging state : Disabled
    AP VLAN tag : 0
    CAPWAP Preferred mode : IPv4
    CAPWAP UDP-Lite : Not Configured
    AP Submode : Not Configured
    Office Extend Mode : Enabled
    ...

    U kunt rechtstreeks verbinding maken met het toegangspunt en ook de configuratie controleren:

    AP3800_E1.3EB8#show ip access-lists 
    Extended IP access list HomeOffice_ACL
    1 deny ip any 192.168.1.0 0.0.0.255
    2 permit ip any any
    AP3800_E1.3EB8#show capwap client detailrcb 
    SLOT 0 Config

    SSID : HomeOffice
    Vlan Id : 0
    Status : Enabled 
    ...
    otherFlags : DHCP_REQUIRED VLAN_CENTRAL_SW 
    ...
    Profile Name : HomeOffice
    ...

    AP3800_E1.3EB8#show capwap client config
    AdminState : ADMIN_ENABLED(1)
    Name : AP3800_E1.3EB8
    Location : default location
    Primary controller name : eWLC-9800-01
    Primary controller IP : 192.168.1.15
    ​‌Secondary controller name : c3504-01
    Secondary controller IP : 192.168.1.14
    Tertiary controller name :
    ssh status : Enabled
    ApMode : FlexConnect
    ApSubMode : Not Configured
    Link-Encryption : Enabled
    OfficeExtend AP : Enabled
    Discovery Timer : 10
    Heartbeat Timer : 30
    ...

    Hier is een voorbeeld van pakket vangt het tonen van verkeer dat plaatselijk wordt geschakeld. Hier was de test een "ping" van een client met IP 192.168.1.98 naar de Google DNS-server en vervolgens naar 192.168.1.254. U kunt zien dat de ICMP afkomstig is van het IP van het IP-adres 192.168.1.99 dat naar Google DNS wordt gestuurd vanwege het lokale verkeer van de AP NAT. Er is geen icmp naar 192.168.1.254 omdat het verkeer versleuteld wordt in de DTLS-tunnel en alleen Application Data Frames worden gezien.

    HomeOffice packet capture

    Opmerking: het verkeer dat lokaal is overgeschakeld, is NATed door het toegangspunt, omdat in normale scenario's het clientsubnet tot het Office-netwerk behoort en de lokale apparaten op het thuiskantoor niet weten hoe het clientsubnet moet worden bereikt. AP vertaalt het cliëntverkeer met behulp van het AP IP adres dat in het lokale huis kantoorSubnet is.

    U hebt toegang tot de APEE GUI door een browser te openen en de URL in te typen op het IP-adres van het toegangspunt. De standaardreferenties zijn admin/admin en u moet ze wijzigen bij de eerste aanmelding.

    Verify OEAP configuration-Home Office AP GUI login page

    Zodra u inlogt, hebt u toegang tot de GUI:

    Verify OEAP configuration -Home Office AP web UI dashboard

    U hebt toegang tot typische info in een APEE, zoals AP info, SSID's en verbonden Clients:

    Verify OEAP configuration -OEAP clients connected page

    Verwante documentatie

    Inzicht in FlexConnect op de Catalyst 9800 wireless controller

    Split-tunneling voor FlexConnect

    EAP en LAN op Catalyst 9800 WLC configureren

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    15-Sep-2021
    opmaakwijzigingen
    1.0
    07-Sep-2021
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Tiago Antunes
      Cisco TAC

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten