了解 Catalyst 9800 无线控制器配置模型

简介

本文档介绍Catalyst 9800系列无线控制器上可用的标签和配置文件的新配置模型。

背景信息

本文档介绍各种GUI选项-基于向导和菜单，可用于在多个站点设计和部署9800 WLC以服务SSID。 

如果您熟悉AireOS无线局域网控制器(WLC)，则了解接入点(AP)和FlexConnect组。

这些组允许您根据各个AP的组关联来控制可用于每个AP的功能（例如：哪些无线局域网[WLAN]或射频[RF]配置文件）。

在9800 WLC上，标签用于控制每个AP可用的功能。标签将分配给每个AP，在每个标签内部，您可以找到已应用于AP的所有设置。

有三个标记：

• 策略标记
• 站点标签
• RF标记

AP配置的可视化方案：

策略标记

Policy Tag是WLAN配置文件[服务集标识符(SSID)]和策略配置文件之间的链路。

• 策略配置文件

在策略配置文件中，您可以指定虚拟局域网(VLAN) ID（如果流量是中心或本地交换）、移动锚点、服务质量(QoS)、计时器等设置。

• SSID

在SSID内，您可以指定WLAN名称、WLAN的安全类型、高级协议（如802.11k）以及其他设置。

站点标签

站点标签定义AP是处于本地模式还是Flexconnect模式。其他AP模式（如嗅探器、传感器、监控器和网桥）可以直接在AP上配置。

站点标签还包含应用于AP的AP加入配置文件和Flex配置文件。

•  AP加入配置文件

在AP加入配置文件中，您可以指定设置，例如无线接入点的控制和调配(CAPWAP)计时器、对AP的远程访问(Telnet/Secure Shell [SSH])、备用控制器配置等。

• Flex配置文件

在Flex Profile上，您有地址解析协议(ARP)缓存、VLAN/ACL映射等设置。

RF标记

在RF标记内，您可以选择任何RF配置文件或选择使用全局RF配置。

•  2.4 GHz配置文件

允许您为2.4GHz频段定义要使用的特定数据速率、传输功率控制(TPC)设置、动态信道分配(DCA)和某些其他无线电资源管理(RRM)设置。

• 5GHz配置文件

允许您为5GHz频段定义要使用的特定数据速率、传输功率控制(TPC)设置、动态信道分配(DCA)和某些其他无线电资源管理(RRM)设置。

默认情况下，系统会为AP分配默认标记(Default Policy Tag、Default Site Tag、Default RF Tag)，为默认标记分配默认配置文件(Default Policy Profile、Default AP Join Profile、Default Flex Profile)。

每个配置文件的设置列表

如果您熟悉AireOS，您将用于在WLAN配置下配置SSID的所有特征。在9800 WLC上，这些设置在WLAN配置文件和策略配置文件之间拆分。此外，在AireOS GUI上的Global AP Configuration页面下看到的一些配置已移至AP Join Profile。您可以在此处找到可在每个配置文件中配置的所有设置的列表。

WLAN配置文件

• 802.11k
• 频段选择
• 广播 SSID
• 802.11v(BSS、DMS、TFS、WNM)
• CCX
• 关闭信道扫描延迟
• 覆盖盲区检测(CHD)
• 客户端关联限制
• 诊断通道功能
• 传输流量指示消息(DTIM)
• 访问控制列表(ACL)
• 负载平衡
• 本地身份验证设置
• 安全设置（PSK、802.1x、网络身份验证）
• 媒体流设置
• 管理帧保护(MFP)
• 每个WLAN的802.11ac设置
• 点对点阻塞
• 无线电策略
• 漫游语音客户端重新锚点
• 静态IP客户端支持
• WLAN的非计划自动节能传输(U-APSD)
• 工作组网桥(WGB)支持
• 通用AP
• Wifi直通
• Wi-Fi多媒体(WMM)
• 身份验证列表（远程身份验证拨入用户服务[RADIUS]服务器）

策略配置文件

• 身份验证、授权和记帐(AAA)覆盖
• AAA策略
• 记帐列表
• 自动Qos
• 呼叫监听
• 中心/本地交换
• CiscoTrustSec (CTS)安全组访问控制列表(SGACL) 
• 数据链路ACL
• 描述
• 类型长度值(TLV)缓存（动态主机配置协议[DHCP]，超文本传输协议[HTTP]）
• 空闲超时
• 空闲阈值
• 交换矩阵配置文件
• Flex Network Address Translation / Port Address Translation (NAT/PAT) 
• Flex拆分MAC ACL
• 基于Flex VLAN的集中交换
• IP网络应用识别(NBAR)协议发现
• IPv4/v6 ACL
• IPv4 DHCP
• IPv4/IPv6 Flexible Netflow监控器
• 移动锚点
• 组播VLAN
• 网络访问控制 (NAC)
• 被动客户端
• RADIUS分析
• 重新锚定
• 服务策略
• 会话超时
• 会话发起协议(SIP)呼叫准入控制(CAC)
• 静态IP移动性
• 用户策略名称
• Umbrella参数映射
• 统一资源定位符(URL)过滤器
• VLAN
• WGB VLAN
• WGB广播标记

AP加入配置文件

• CAPWAP备份
• CAPWAP回退
• CAPWAP重传
• CAPWAP计时器
• CAPWAP窗口
• 适用于AP的思科发现协议(CDP)
• 核心转储简单文件传输协议(TFTP)
• 国家代码
• 描述
• 2.4GHz / 5GHz客户端报告间隔
• 充当请求方的AP的802.1x凭证
• 扩展模块支持
• Hyperlocation
• 互联网内容修改协议(ICAP)
• 超巨型最大传输单元(MTU)状态
• AP的链路聚合(LAG)
• 合法拦截
• 发光二极管(LED)状态
• 链路加密
• 链路延迟
• 网格剖面
• AP管理用户
• 网络时间协议 (NTP)
• 数据包捕获配置文件
• 以太网供电 (PoE)
• AP首选模式(IPv4/IPv6)
• 恶意检测设置（遏制、最小接收信号强度指示器[RSSI]、最小临时时间、报告间隔） 
• SSH/Telnet
• 保留SSID
• 统计计时器
• 系统日志
• 传输控制协议-最大数据段大小(TCP MSS)调整
• TFTP降级
• AP跟踪配置文件
• 通用串行总线(USB)启用

Flex配置文件

•  ACL策略
• ARP缓存
• CTS
• 描述
• 回退无线电接口关闭
• HTTP客户端代理
• Flex AP的最小延迟连接
• 本地身份验证参数
• Flex AP的组播参数
• 本地VLAN ID
• OfficeExtended AP模式
• 预下载
• 弹性（适用于Flex+Bridge AP）
• VLAN名称映射

RF配置文件

•  通话时间公平性
• 频段选择设置（仅在2.4GHz配置文件上）
• 通道
• 客户端网络首选项
• 覆盖盲区检测(CHD)设置
• 描述
• 仅限802.11n的模式
• 高密度自动设置
• 高速漫游(HSR)
• 负载平衡设置
• 速率
• traps
• TX功率水平

  

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 运行Cisco IOS® XE、Gilbraltar v16.10的Cisco Catalyst 9800无线控制器

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

网络图

本文档基于以下拓扑：

配置

声明客户端VLAN

在开始任何配置之前，需要添加所需的VLAN（分配无线客户端的VLAN）。 

步骤1:导航到Configuration > Layer2 > VLAN > VLAN > + Add。

第二步：输入所需信息。

对所有需要的VLAN重复步骤1和2。完成后，您可以继续进行步骤3。

第三步：验证数据接口中是否允许VLAN。

如果使用端口信道，请导航到Configuration > Interface > Logical > PortChannel name > General。 如果您看到它配置为Allowed Vlan = All，则配置已完成。如果显示Allowed VLAN = Vlans IDs，请添加所需的VLAN，然后点击Update & Apply to Device。

如果未使用端口信道，请导航到Configuration > Interface > Ethernet > Interface Name > General。 如果您看到它配置为Allowed Vlan = All，则配置已完成。如果显示Allowed VLAN = Vlans IDs，请添加所需的VLAN，然后点击Update & Apply to Device。

无需进行更改:

需要添加VLAN ID：

 CLI：

# config t
# vlan <vlan-id>
# exit

# interface <interface-id>
# switchport trunk allowed vlan add <vlan-id>
# end

基于向导的配置-建议用于新的9800 WLC部署

对于Catalyst 9800 WLC的安装，您可以使用可用的配置向导指导您完成配置过程。

如果您需要在部署中使用RADIUS服务器，可以首先使用AAA向导，然后选择基本或高级无线设置。

如果在部署中未使用RADIUS服务器，则可以直接转到基本或高级无线设置。

AAA向导

步骤1:导航到Configuration > Security > AAA > + AAA Wizard。

第二步：启用所需的服务器类型并输入服务器名称（可以是IP地址或任何其他字符串）、服务器IP和共享密钥。之后，单击Next。

第三步：输入信息以创建服务器组。请确保将上一步中指定的服务器添加到分配的服务器。

第四步：启用身份验证并创建身份验证方法。

导航到身份验证选项卡并输入所需信息。完成后，单击Save & Apply to Device。

基本无线设置

此向导将引导您完成基本无线设置。它允许您对AP功能进行分段。

使用基本无线设置向导的部署示例。

步骤1:创建新位置。

导航到配置>无线设置>基本> +Add。

第二步：在General选项卡上输入所需信息。

Location Name =新位置的名称

Description =位置的可选说明

位置类型=本地（本地模式AP）、Flex（FlexConnect模式AP）

客户端密度=调整指定客户端密度的RF配置。 

第三步：添加所需的WLAN。 

导航到无线网络选项卡并单击+添加。

可以选择Define new从头开始创建新的WLAN，或从WLAN*下拉列表中选择已建立的WLAN。

如果选择Define new，则显示如下所示的菜单，您可以在其中选择SSID名称、安全类型及其他SSID相关设置。完成新SSID的配置后，点击保存并应用到设备。

第四步：选择要应用到该SSID的VLAN（和任何其他配置）。完成后，点击复选标记。

对所有需要的WLAN重复步骤3和4。

第五步：将配置分配给所需的AP。

导航到AP Provisioning选项卡，然后选择要应用当前配置的AP。选择后，将其从添加/选择AP移到此位置上的AP。

第六步：要将配置应用到AP，请单击Apply。

单击Apply后，您可以看到创建了新的位置。开始时，您会看到0个加入的AP，因为当配置应用到AP时，它们会重新启动与控制器的关联（它们会重新启动CAPWAP隧道）。

为此9800 WLC所服务的所有位置重复到目前为止介绍的所有步骤。

如果需要向已建立的位置添加更多AP或WLAN，可以点击该位置并导航到相关选项卡进行所需的更改。

高级无线设置

此向导将引导您完成高级无线设置。它允许您对AP功能进行更详细的划分。

步骤1:启动高级无线设置。

导航到配置>无线设置>高级>立即启动。

第二步：确定要创建的配置文件和标记。

要创建任何配置文件或标记，请单击+图标。

要查看或编辑已建立的标记和配置文件，请点击：=图标以转至“列表视图”。

第三步：AP标记分配。

根据网络设计创建所有必要的配置文件和标记后，将标记分配到所需的AP。单击Tag APs ：=图标，然后选择您要分配标签的AP列表。

点击AP名称[或任何其它字段]旁边的向下箭头，过滤AP列表。

选择所需的AP之后，单击+ Tag APs。

选择要分配给AP的标记，然后单击Save & Apply to Device。 

基于菜单的配置-建议用于已建立的9800 WLC部署

选择需要创建或修改的特定元素，而不是向导。

配置元素的可视化表示。

9800 WLC上的AAA

建议的配置流程：

1. 添加RADIUS服务器
2. 创建RADIUS组
3. 创建AAA方法

添加RADIUS服务器

步骤1:导航到Configuration > Security > AAA > Servers/Groups > Servers > RADIUS > + Add。

第二步：输入所有需要的信息。完成后，单击Save & Apply to Device。

CLI：

# config t
# radius server server-name
# address ipv4 172.16.0.12 auth-port 1812 acct-port 1813
# key <shared-key>
# exit

# aaa server radius dynamic-author
# client 172.16.0.12 server-key cisco123
# end

创建RADIUS组

步骤1:导航到Configuration > Security > AAA > Servers/Groups > Servers > RADIUS > + Add。

第二步：输入所需信息并确保将最近创建的服务器移动到Assigned Servers部分。

CLI：

# config t
# aaa group server radius server-group
# server name server-name
# end

创建AAA方法

步骤1: 导航到Configuration > Security > AAA > AAA Method List > Authentication > + Add。

根据您的SSID所需的安全类型，您可以选择身份验证类型。

• 类型dot1x =用于802.1x SSID
• Type login =用于WebAuth SSID

Group Type设置允许您选择身份验证必须发送到创建的外部RADIUS服务器还是本地。

• 组类型组=外部RADIUS服务器
• 组类型local =本地身份验证

第2步：（可选）根据需要创建授权/会计方法。

# config t
# aaa authentication login <login-method-name> group server-group
# aaa authentication dot1x <dot1x-method-name> group server-group

9800 WLC上的WLAN

建议的配置流程：

1. 创建您的SSID
2. 创建/修改策略配置文件
3. 创建/修改策略标记（将SSID链接到所需的策略配置文件）
4. 如果需要，请为AP分配策略标记

创建您的SSID

步骤1:导航到Configuration > Wireless > WLANs > + Add。

第二步：输入所有需要的信息（SSID名称、安全类型等）完成之后，单击Save & Apply to Device。

CLI：

# config t
# wlan <profile-name> <wlan-id> <ssid-name>
# ----desired settings----
# no shutdown

创建/修改策略配置文件

步骤1:导航到配置>标签和配置文件>策略。 选择一个已建立的名称或单击+ Add添加新名称。确保已启用，设置需要的VLAN和要自定义的任何其他参数。

第二步： 完成后，单击Save & Apply to Device。

CLI：

# wireless profile policy new-policy-profile
# vlan <vlan-id_or_vlan-name>
# ------any other desired setting------
# no shutdown

创建/修改策略标签

Policy标记是允许您指定哪个SSID链接到哪个策略配置文件的设置。 

步骤1:导航到配置>标签和配置文件>标签>策略。 选择一个已建立的名称或单击+ Add添加新名称。 

第二步：在策略标记中，单击+添加，从下拉列表中选择要添加到要链接到的策略标记和策略配置文件中的WLAN配置文件名称。之后，单击复选标记。

第三步：对要添加的所有WLAN重复步骤2。完成后，单击Save & Apply to Device。 不要忘记为新策略标签指定名称。

CLI：

# config t
# wireless tag policy <policy-tag-name>
# wlan <ssid-name> policy <policy-profile-name>
# end

策略标记分配

您可以将策略标签直接分配给AP，也可以将同一策略标签同时分配给一组AP。选择适合您的产品。

每个AP的策略标记分配

导航到配置>无线>无线接入点> AP名称>常规>标签。 从Policy下拉列表中，选择所需的Policy Tag，然后单击Update & Apply to Device。

 CLI：

# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

多个AP的策略标记分配

导航到配置>无线设置>高级>立即启动。

点击Tag APs ：=图标。 选择要为其分配标记的AP列表（可以点击AP名称[或任何其它字段]旁边的向下箭头，过滤AP列表）。

选择所需的AP之后，单击+ Tag APs。

  

选择要分配给AP的标记，然后单击Save & Apply to Device。 

CLI：

没有CLI选项可将相同的标记分配给多个AP。 

9800 WLC上的AP加入设置

建议的配置流程：

1. 创建/修改AP加入配置文件
2. （可选）创建/修改Flex配置文件（如果AP处于Flex模式）
3. 创建/修改站点标签
4. 如果需要，请为AP分配站点标记

  

创建/修改AP加入配置文件

步骤1:导航到配置>标签和配置文件> AP加入。

选择一个已建立的名称或单击+ Add添加一个新名称。

第二步：根据需要修改配置文件。完成后，单击Save & Apply to Device。

CLI：

# config t
# ap profile <ap-join-profile-name>
# -------desired settings------
# end

创建/修改Flex配置文件（如果AP处于Flex模式）

步骤1:导航到配置>标签和配置文件> Flex。

选择一个已建立的名称或单击+ Add添加新名称。

第二步：根据需要修改配置文件。完成后，单击Save & Apply to Device。

CLI：

# config t
# wireless profile flex <name-flex-profile>
# ------desired settings------
# end

创建/修改站点标签

Site tag是允许您指定将哪个AP加入和/或Flex Profile分配给AP的设置。 

步骤1:导航到配置>标签和配置文件>标签>站点。 选择一个已建立的名称或单击+ Add添加新名称。 

第二步：在“站点标记”内，选择要添加到站点标记的AP加入配置文件。

如果要将AP转换为无线接入点，则将收到此标签转换为Flexconnect模式，并禁用启用本地站点选项。

禁用后，您还可以选择Flex Profile。 之后，单击Save & Apply to Device。

如果计划在本地模式下使用AP，请记住保持启用本地站点。

CLI：

# config t
# wireless tag site <site-tag-name>
# ap-profile <AP-join-profile-name>
# flex-profile <flex-profile-name>
# [no] local-site
# end

策略标记分配

您可以将策略标签直接分配给AP，也可以将同一策略标签同时分配给一组AP。选择适合您的产品。

每个AP的策略标记分配

导航到配置>无线>无线接入点> AP名称>常规>标签。 从Site下拉列表中，选择所需的Site Tag，然后单击Update & Apply to Device。

 CLI：

# config t
# ap <ethernet-mac-addr>
# site-tag <site-tag-name>
# end

多个AP的策略标记分配

导航到配置>无线设置>高级>立即启动。

点击Tag APs ：=图标。选择要为其分配标记的AP列表（可以点击AP名称[或任何其它字段]旁边的向下箭头，过滤AP列表）。

选择所需的AP之后，单击+ Tag APs。

  

选择要分配给AP的标记，然后单击Save & Apply to Device。 

CLI：

没有CLI选项可将相同的标记分配给多个AP。 

9800 WLC上的RF配置文件

建议的配置流程：

1. 创建/修改2.4GHz/5GHz的射频配置文件
2. 创建/修改RF标签 
3. 如果需要，请为AP分配RF标记

创建/修改2.4GHz/5GHz的射频配置文件

步骤1:导航到配置>标签和配置文件> RF。

选择一个已建立的名称或单击+ Add添加新名称。

第二步：根据需要修改配置文件，每个频段(802.11a/802.11b)修改一个配置文件。完成后，单击Save & Apply to Device。

# config t
# ap dot11 { 5ghz | 24ghz} rf-profile <rf-profile-name>
# ------desired settings-----
# end

创建/修改RF标签 

 RF标记是允许您指定将哪些RF配置文件分配给AP的设置。 

步骤1:导航到配置>标签和配置文件>标签> RF。 选择一个已建立的名称或单击+ Add添加新名称。 

第二步：在RF标记内，选择要添加的RF配置文件。单击Save & Apply to Device。

 CLI：

# config t
# wireless tag rf <rf-tag-name>
# 5ghz-rf-policy <11a-rf-prof>
# 24ghz-rf-policy <11b-rf-prof>
# end

策略标记分配

您可以将RF标签直接分配给AP，也可以将相同的RF标签同时分配给一组AP。选择适合您的产品。

每个AP的策略标记分配

导航到配置>无线>无线接入点> AP名称>常规>标签。 从Site下拉列表中，选择所需的RF标记，然后单击Update & Apply to Device。

 CLI：

# config t
# ap <ethernet-mac-addr>
# rf-tag <rf-tag-name>
# end

多个AP的策略标记分配

导航到配置>无线设置>高级>立即启动。

点击Tag APs ：=图标。 选择要为其分配标记的AP列表（可以点击AP名称[或任何其它字段]旁边的向下箭头，过滤AP列表）。

选择所需的AP之后，单击+ Tag APs。

  

选择要分配给AP的标记，然后单击Save & Apply to Device。 

CLI：

没有CLI选项可将相同的标记分配给多个AP。 

确认

您可以使用这些命令验证配置。

VLAN/接口配置

# show vlan brief
# show interfaces trunk
# show run interface <interface-id>

AAA配置

# show run aaa
# show aaa servers

WLAN 配置

# show wlan summary
# show run wlan [wlan-name]
# show wlan { id <wlan-id> | name <wlan-name> | all }

无线接入点配置

# show ap summary
# show ap tag summary
# show ap name <ap-name> tag { info | detail }

# show ap name <ap-name> tag detail

AP Name            : AP2802-01
AP Mac             : 0896.ad9d.143e

Tag Type             Tag Name
-----------------------------
Policy Tag           PT1
RF Tag               default-rf-tag
Site Tag             default-site-tag

Policy tag mapping
------------------
WLAN Profile Name                Policy Name                      VLAN                             Central Switching                IPv4 ACL                         IPv6 ACL
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
psk-pbl-ewlc                     ctrl-vl2602                      VLAN0210                         ENABLED                          Not Configured                   Not Configured

Site tag mapping
----------------
Flex Profile         : default-flex-profile
AP Profile           : default-ap-profile
Local-site           : Yes

RF tag mapping
--------------
5ghz RF Policy       : Global Config
2.4ghz RF Policy     : Global Config

标记配置

# show wireless tag { policy | rf | site } summary
# show wireless tag { policy | rf | site } detailed <tag-name>

配置文件配置

# show wireless profile { flex | policy } summary
# show wireless profile { flex | policy } detailed <profile-name>
# show ap profile <AP-join-profile-name> detailed

常见问题解答

1. 能否为不同的SSID使用相同的策略配置文件？

R=是

2. 是否可以在不同的策略标记上使用相同的SSID？

R=是

3. 是否可以在不同的策略标签上使用相同的策略配置文件？

R=是

4. 策略标记内最多可以有多少个SSID？

R= 16

5. 是否需要修改AP上的三个标签？

R=否，您可以创建一个新标签并将其分配给AP并使用其他设置的默认标签，或者保持其他两个标签不变。