配置Catalyst 9800和FlexConnect OEAP拆分隧道

简介

本文档介绍如何将室内接入点(AP)配置为FlexConnect Office Extend(OEAP)，以及如何启用分割隧道，以便您可以定义哪些流量可以在家庭办公室本地交换，哪些流量必须在WLC集中交换。

先决条件

要求

本文档中的配置假设WLC已在启用NAT的DMZ中配置，并且AP能够从家庭办公室加入WLC。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 运行Cisco IOS-XE 17.3.1软件的无线局域网控制器9800。
• Wave1 AP:1700/2700/3700。
• Wave2 AP:1800/2800/3800/4800和Catalyst 9100系列。 

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

概述

Cisco OfficeExtend接入点(Cisco OEAP)提供从Cisco WLC到远程位置的Cisco AP的安全通信，从而通过互联网将公司WLAN无缝扩展到员工的住所。家庭办公室中的用户体验与公司办公室中的用户体验完全相同。接入点和控制器之间的数据报传输层安全(DTLS)加密可确保所有通信都具有最高级别的安全性。 FlexConnect模式下的任何室内AP都可以充当OEAP。

背景信息

FlexConnect是指接入点(AP)在远程位置（例如，通过WAN）工作时处理无线客户端的能力。他们还可以确定来自无线客户端的流量是直接放在AP级别的网络上（本地交换），还是集中到9800控制器（中央交换）并在每个WLAN上通过WAN发送回。

有关FlexConnect的详细信息，请查看本文档了解Catalyst 9800无线控制器上的FlexConnect。

OEAP模式是FlexConnect AP中可用的选项，用于允许其他功能，例如用于家庭接入的个人本地SSID，还可以提供分割隧道功能，以便更精细地定义必须在家庭办公室本地交换的流量和必须在单个WLAN上的WLC集中交换的流量

配置

网络图

配置

定义拆分隧道的访问控制列表

步骤1:选择Configuration > Security > ACL。选择Add。

第二步：在Add ACL Setup对话框中，输入ACL Name，从ACL Type下拉列表中选择ACL类型，并在Rules settings下，输入Sequence number。然后选择Action作为permit或deny。

第三步：从Source Type下拉列表中选择所需的源类型。

如果选择源类型为主机，则必须输入主机名/IP。

如果选择源类型为网络，则必须指定源IP地址和源通配符掩码。

在本示例中，从任何主机发往子网192.168.1.0/24的所有流量都集中交换（拒绝），其余所有流量都本地交换（允许）。

第四步：如果您需要日志，请选中日志(Log)复选框，并选择添加(Add)。

第五步：添加其余规则并选择Apply to Device。

将ACL策略链接到已定义的ACL

步骤1:创建新的Flex配置文件。转至Configuration > Tags & Profiles > Flex。选择Add。

第二步：输入名称并启用OEAP。此外，请确保本征VLAN ID是AP交换机端口中的VLAN ID。

注意：当您启用Office-Extend模式时，链路加密在默认情况下也处于启用状态，即使您在AP加入配置文件中禁用链路加密，也无法更改。 

第三步：转到Policy ACL选项卡并选择Add。此处将ACL添加到配置文件并应用到设备。

配置无线配置文件策略和拆分MAC ACL名称

步骤1:创建WLAN配置文件。在本示例中，它使用名为HomeOffice的SSID和WPA2-PSK安全性。

第二步：创建策略配置文件。转到Configuration > Tags > Policy并选择Add。 在General下，确保此配置文件是集中交换的策略，如下例所示：

第三步：在Policy Profile中，转至Access Policies并为要集中交换的流量定义VLAN。客户端在分配给此VLAN的子网中获得IP地址。 

第四步：要在AP上配置本地拆分隧道，需要确保在WLAN上启用了DCHP Required。这可确保与拆分WLAN关联的客户端执行DHCP。您可以在Advanced选项卡下的Policy Profile中启用此选项。启用复选框IPv4 DHCP Required。 在WLAN Flex Policy设置下，从Split MAC ACL下拉列表中选择之前创建的拆分MAC ACL。选择Apply to Device:

注意：Apple iOS客户端需要在DHCP提供中设置选项6(DNS)，分割隧道才能正常工作。

将WLAN映射到策略配置文件

步骤1:选择Configuration > Tags & Profiles > Tags。在Policy选项卡中，选择Add。

第二步：输入标记策略的名称，然后在WLAN-POLICY Maps选项卡下选择Add。

第三步：从WLAN Profile下拉列表中选择WLAN配置文件，然后从Policy Profile下拉列表中选择Policy profile。选择Tick图标，然后选择Apply to Device。

配置AP加入配置文件并与站点标记关联

步骤1:导航到Configuration > Tags & Profiles > AP Join并选择Add。输入名称。 或者，您可以启用SSH以允许进行故障排除，并在以后不需要时将其禁用。

第二步：选择Configuration > Tags & Profiles > Tags。在“站点”选项卡中，选择“添加”。

第三步：输入站点标签的名称，取消选中启用本地站点，然后从下拉列表中选择AP加入配置文件和Flex配置文件（之前创建）。然后应用到设备。

将策略标记和站点标记附加到接入点

第 1 项.此选项要求您一次配置1个AP。转至Configuration > Wireless > Access Points。选择要移动到家庭办公室的AP，然后选择家庭办公室标签。选择Update and Apply to Device:

还建议配置主控制器，以便AP知道在家庭办公室中部署后要访问的WLC的IP/名称。您可以对AP进行编辑，直接转到High Availability选项卡：

第 2 项.此选项允许您同时配置多个AP。导航到Configuration > Wireless Setup > Advanced > Tag APs。选择之前创建的标记，然后选择“应用到设备”。

AP重新启动并使用新设置重新加入WLC。

验证

您可以通过GUI或CLI验证配置。这是CLI中的结果配置：

!
ip access-list extended HomeOffice_ACL
1 deny ip any 192.168.1.0 0.0.0.255 log
2 permit ip any any log
!
wireless profile flex HomeOffice_FlexProfile
acl-policy HomeOffice_ACL
office-extend
!
wireless profile policy HomeOfficePolicy
no central association
aaa-override
flex split-mac-acl HomeOffice_ACL
flex vlan-central-switching
ipv4 dhcp required
vlan default
no shutdown
!
wireless tag site HomeOficeSite
flex-profile HomeOffice_FlexProfile
no local-site
!
wireless tag policy HomeOfficePolicyTag
wlan HomeOffice policy HomeOfficePolicy
!
wlan HomeOffice 5 HomeOffice
security wpa psk set-key ascii 0 xxxxxxx
no security wpa akm dot1x
security wpa akm psk
no shutdown
!
ap 70db.98e1.3eb8
policy-tag HomeOfficePolicyTag
site-tag HomeOficeSite
!
ap c4f7.d54c.e77c
policy-tag HomeOfficePolicyTag
site-tag HomeOficeSite
!

正在检查AP配置：

eWLC-9800-01#show ap name AP3800_E1.3EB8 config general

Cisco AP Name : AP3800_E1.3EB8
=================================================

Cisco AP Identifier : 0027.e336.5a60
...
MAC Address : 70db.98e1.3eb8
IP Address Configuration : DHCP
IP Address : 192.168.1.99
IP Netmask : 255.255.255.0
Gateway IP Address : 192.168.1.254
...
SSH State : Enabled
Cisco AP Location : default location
Site Tag Name : HomeOficeSite
RF Tag Name : default-rf-tag
Policy Tag Name : HomeOfficePolicyTag
AP join Profile : HomeOfficeAP
Flex Profile : HomeOffice_FlexProfile
Primary Cisco Controller Name : eWLC-9800-01
Primary Cisco Controller IP Address : 192.168.1.15
...
AP Mode : FlexConnect
AP VLAN tagging state : Disabled
AP VLAN tag : 0
CAPWAP Preferred mode : IPv4
CAPWAP UDP-Lite : Not Configured
AP Submode : Not Configured
Office Extend Mode : Enabled
...

您可以直接连接到AP，也可以验证配置：

AP3800_E1.3EB8#show ip access-lists 
Extended IP access list HomeOffice_ACL
1 deny ip any 192.168.1.0 0.0.0.255
2 permit ip any any

AP3800_E1.3EB8#show capwap client detailrcb 
SLOT 0 Config

SSID : HomeOffice
Vlan Id : 0
Status : Enabled 
...
otherFlags : DHCP_REQUIRED VLAN_CENTRAL_SW 
...
Profile Name : HomeOffice
...

AP3800_E1.3EB8#show capwap client config
AdminState : ADMIN_ENABLED(1)
Name : AP3800_E1.3EB8
Location : default location
Primary controller name : eWLC-9800-01
Primary controller IP : 192.168.1.15
​‌Secondary controller name : c3504-01
Secondary controller IP : 192.168.1.14
Tertiary controller name :
ssh status : Enabled
ApMode : FlexConnect
ApSubMode : Not Configured
Link-Encryption : Enabled
OfficeExtend AP : Enabled
Discovery Timer : 10
Heartbeat Timer : 30
...

以下是显示流量在本地交换的数据包捕获示例。此处完成的测试是从使用IP 192.168.1.98的客户端“ping”到Google DNS服务器，然后到192.168.1.254。由于AP在本地对流量执行NAT，您可以看到源自AP IP地址192.168.1.99的IP的ICMP发送到Google DNS。没有icmp到192.168.1.254，因为流量在DTLS隧道中加密，并且只看到应用数据帧。

注：本地交换的流量由AP进行NAT转换，因为在正常情况下，客户端子网属于办公室网络，而家庭办公室的本地设备不知道如何到达客户端子网。AP使用本地家庭办公室子网中的AP IP地址转换客户端流量。

您可以访问OEAP GUI，打开浏览器并输入URL中的AP IP地址。默认凭证为admin/admin，您必须在初始登录时更改这些凭证。

登录后，您即可访问GUI:

您可以访问OEAP中的典型信息，例如AP信息、SSID和连接的客户端：

相关文档

了解 Catalyst 9800 无线控制器上的 FlexConnect

用于FlexConnect的分割隧道

在Catalyst 9800 WLC上配置OEAP和RLAN