将 Catalyst 9100 无线接入点转换为嵌入式无线控制器

简介

本文档介绍如何将轻型Cisco Catalyst 9000系列接入点(AP)转换为嵌入式无线控制器(EWC)

先决条件

要求

本文中概述的步骤假设AP运行轻量CAPWAP映像，并且此AP可访问正常运行的TFTP服务器。 另一项要求是与 AP 的串行连接。 

使用的组件

智能手机应用或Web UI向导中还提供了其他指南，说明如何轻松在Catalyst AP上部署Cisco EWC。本文档重点介绍CLI方法以及转换提示和技巧。

注意：Cisco 9105AXW和所有Wi-Fi 6E接入点不支持EWC

使用的组件:

• 9120 AP
• EWC 映像版本 17.1.1s
• TFTP 服务器
• 控制台电缆

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

关于Catalyst AP上的EWC

Catalyst AP上的Cisco EWC为您的Wi-Fi 6网络提供易于部署和管理的一个选项。控制功能内置在Cisco Catalyst AP中，因此不需要添加物理设备。

这意味着您将获得开箱即用的企业级功能，包括强大的安全性、思科可靠性以及Wi-Fi 6容量和性能。您新无线网络的部署和管理几乎不需要网络知识或IT支持，因此非常适合IT资源最少的组织进行单站点或多站点部署。一次性设置为您免除后顾之忧。

Catalyst AP上的Cisco EWC运行与Cisco Catalyst 9800系列无线控制器类似的Cisco IOS^® XE代码，这使它具备恢复能力、安全性和智能性。借助EWC，您可以获得企业功能的优势，而无需投资购买控制器设备。

此外，随着需求的发展，您对Cisco Catalyst AP的投资也会得到保护。EWC可以根据需要迁移到基于云的部署或基于物理控制器的部署。

Catalyst AP 上的 EWC 的相关限制

• EWC不能将其Gig 0接口配置为中继。
• EWC不支持交换机虚拟接口(SVI)。
• EWC无法执行集中交换。
• Gig 0是唯一可用作Wireless Manager的接口。
• 所有EWC流量必须来自Gig 0接口(包括RADIUS、无线接入点控制和调配(CAPWAP)控制、许可流量等)。
• EWC无法执行嵌入式数据包捕获。
• EWC不支持嗅探器模式下的AP。
• 如果同一广播域中有另一个EWC、AireOS或9800无线局域网控制器(WLC)，则EWC映像无法启动。AP继续充当正常的轻量CAPWAP AP，直到其他WLC从网络中移除。
• 当您在使用混合AP型号的部署中转换或升级EWC时，需要有一个正常运行的TFTP服务器。
• EWC无法对数据包进行分段(请参阅思科漏洞ID CSCwc95321 影响。

部署

交换机配置

EWC AP 连接的端口必须是中继端口，而且其本地 VLAN 是管理 VLAN。 

交换机配置示例：

configure terminal
  interface gigabitEthernet 0/1
  switchport mode trunk
  switchport trunk native vlan 10

重置工厂默认值

在转换AP之前，最佳做法是执行出厂重置，即使它是全新的：

1. 拔下AP的电源线。
2. 插入控制台电缆并打开PC上的串行会话。
3. 按住AP上的Mode/Reset按钮。
4. 按住Mode/Reset按钮的同时，将AP重新插入其电源。
5. 继续按住Mode/Reset按钮，直到串行会话上的提示符显示出来。

控制台会话写出Mode/Reset按钮被按了多长时间。 完全重新启动至少需要 20 秒。AP启动，默认凭证Cisco/Cisco可用于登录CLI（Web界面凭证为webui/Cisco）。

网络拓扑

EWC映像以zip文件的形式提供。 该 zip 文件包含：

• EWC .bin映像（示例：C9800-AP-iosxe-wlc.bin）
• 可加入EWC的所有AP的AP映像（例如：ap1g4、ap1g7）
• Readme.txt 文件，用于指定哪个映像对应于哪个 AP 型号

注意：请确保将zip存档的内容解压缩到TFTP服务器。AP需要直接访问这些文件，因为如果这些文件仍在存档中，则无法获取。

下表列出了所有图像和相应的AP型号：

AP 型号	映像文件名称
AP1815、AP154x	ap1g5
AP180x、AP183x、AP185x	ap1g4
C9115、C9120	ap1g7
C9117	ap1g6
C9130、C9124	ap1g6a
AP380x、AP280x、AP156x	ap3g3

注意：只有Cisco Catalyst 9000系列AP可以运行EWC代码。上表中所有其他AP只能连接EWC。

必须将提取的zip文件的内容复制到TFTP服务器。

在您升级映像之前，会重命名映像并为其分配静态IP地址、子网掩码和默认网关：

Username: Cisco
Password: Cisco
AP2CF8.9B5F.8628>enable
Password: Cisco
AP2CF8.9B5F.8628#capwap ap hostname AP1
Please note that if AP is already associated to WLC,
the new hostname will only reflect on WLC after AP
 dis-associates and rejoins.
AP1#capwap ap ip 192.168.1.14 255.255.255.0 192.168.1.1

TFTP服务器位于IP地址192.168.1.25上。与Mobility Express不同，需要指定两个不同的映像：一个用于AP，另一个用于EWC。使用以下命令完成映像的转换：

AP1#ap-type ewc-ap tftp://192.168.1.25/ap1g7 tftp://192.168.1.25/C9800-AP-iosxe-wlc.bin
Starting download eWLC image tftp://192.168.1.25/C9800-AP-iosxe-wlc.bin ...
It may take a few minutes. If longer, please abort command, check network and try again.
It may take a few minutes. If longer, please abort command, check network and try again.
######################################################################## 100.0%
Upgrading ...

AP CLI建议（使用？）仅提及TFTP和SFTP作为受支持的协议。但是，也支持HTTP和HTTPS等其他协议（比最常用的TFTP快得多）。在撰写本文档时，无法通过FTP进行升级。思科漏洞ID CSCvy36161 - “9100 APs ap-type ewc command only show tftp and sftp as supported protocols”（9100 APap-type ewc命令仅将tftp和sftp显示为支持的协议）已归档以更改CLI建议以包括HTTP和HTTPS。

AP-1#ap-type ewc-ap ?
WORD URL of AP image <tftp|sftp>://<server_ip>/<file_path>

升级映像后，AP将重新启动。使用默认凭证Cisco/Cisco登录。如果升级成功，则show version命令的输出包括：

AP1#show version
.
...
AP Image type    : EWC-AP IMAGE
AP Configuration : EWC-AP CAPABLE

代码的EWC部分启动。第一次启动最多可能需要15分钟。

重要信息：如果同一广播域(VLAN)中存在现有的AireOS、9800或Mobility Express或EWC控制器，则AP的EWC进程从不启动。

第 1 项. 初始 CLI 配置

一旦EWC分区启动，就会出现启动初始配置向导的提示。这篇文章介绍无需使用Catalyst Wireless app或Web浏览器向导从头开始进行手动配置：

--- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]: no

Would you like to terminate autoinstall? [yes]: no

WLC2CF8.9B5F.8628#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
WLC2CF8.9B5F.8628(config)#hostname EWC

######## Cteates local user admin ######## 
EWC(config)#user-name admin
EWC(config-user-name)#privilege 15
EWC(config-user-name)#password 0 Cisco123
EWC(config-user-name)#exit

######## Specifies credentials used to log into APs joined to this EWC ######## 
EWC(config)#ap profile default-ap-profile
EWC(config-ap-profile)#mgmtuser username admin password 0 Cisco123 secret 0 Cisco123
EWC(config-ap-profile)#exit

######## Configures management interface IP address and subnet######## 
EWC(config)#interface gigabitEthernet 0
EWC(config-if)#ip address 192.168.1.15 255.255.255.0
EWC(config-if)#exit

######## Default gateway IP address ######## 
EWC(config)#ip default-gateway 192.168.1.1

######## Enables web interface of EWC ######## 
EWC(config)#ip http server
EWC(config)#ip http secure-server

######## Write to memory ########
EWC(config)#end
EWC#write memory

注意：您必须输入write memory命令以保存配置，并清除预安装的零日配置。如果不这样做，则EWC的GUI将无法访问，如本指南后面部分所述。

与9800控制器不同，EWC闪存没有足够的空间来存储所有AP映像。 所有 AP 映像都需要托管在外部 TFTP 或 SFTP 服务器上。当第二个AP尝试加入时，EWC会将其指向外部服务器。没有这些命令，其他AP无法加入它：

EWC(config)#wireless profile image-download default
EWC(config-wireless-image-download-profile)#image-download-mode tftp
EWC(config-wireless-image-download-profile-tftp)#tftp-image-server 192.168.1.25
EWC(config-wireless-image-download-profile-tftp)#tftp-image-path /

EWC#write memory
Building configuration...
[OK]

Web 界面现在可以通过 https://<EWC management IP address> 访问。

注意：如果HTTP和HTTP均启用，EWC将始终使用其HTTPS Web界面为用户提供服务。对某些功能（例如Web身份验证）启用HTTP至关重要，建议将其启用。

第 2 项. Web UI 向导

AP在EWC模式下重新启动后，它将广播以其MAC地址的最后一位数字结尾的调配服务集标识符(SSID)。您可以使用PSK“密码”连接到它。

然后，您可以打开浏览器，并重定向到mywifi.cisco.com，这会将您引导至AP Web UI。使用用户“webui”和密码“cisco”进行连接。

注意：只有连接到调配SSID时，网络重定向到EWC配置门户才会运行。如果您的笔记本电脑连接到另一个 WiFi 网络或有线网络，则无法正常工作。即使在day0向导设置模式下输入EWC IP地址，也无法配置来自有线网络的AP。

选项 3. 智能手机应用

在Apple Store和Android Play Store中，您可以找到Cisco Catalyst Wireless应用。安装该应用，您可以通过手动连接或QR代码轻松调配嵌入式控制器。

提示和技巧

将其他AP加入EWC

最多可将100个AP加入EWC。只有处于FlexConnect模式时，加入EWC的AP才能正常工作。EWC不能在其闪存中托管所有AP映像，因此需要使用wireless profile image-download default命令指定TFTP或SFTP服务器。

如果EWC所在的站点没有托管永久TFTP服务器的基础设施，可以临时使用普通笔记本电脑。在初始部署和升级期间，仅需要在现场提供具有AP映像的TFTP服务器。

从EWC（以前的apciscoshell）访问AP控制台

当控制台电缆插入运行EWC映像的AP时，默认情况下显示EWC提示。如果出于任何原因需要访问基础AP外壳，可以使用以下命令完成此操作：

EWC#wireless ewc-ap ap shell username admin
admin@192.168.129.1's password: Cisco123

注意：如果AP配置文件中未指定AP管理用户名和密码，请使用默认用户名Cisco和密码Cisco。

此命令与以前在Mobility Express控制器中可用的apciscoshell命令相同。

要返回到EWC shell，请输入：

AP1>logout
Connection to 192.168.129.1 closed.
EWC#

将EWC转换回轻量CAPWAP模式

如果需要将运行在EWC模式下的AP转换回轻量CAPWAP模式，可通过以下方式完成：

AP1#ap-type capwap
AP is the Master AP, system will need a reboot when ap type is changed to CAPWAP
. Do you want to proceed? (y/N) y

重要信息：此命令执行AP和EWC分区的完全出厂重置。确保在转换之前备份当前EWC配置。

使用选项43将EWC转换为CAPWAP

DHCP选项43是特定于供应商的选项，用于为接入点提供WLC IP地址。使用带有特定子类型选项的选项43，可以将EWC转换为CAPWAP并加入WLC装置或虚拟控制器。在AP启动时收到DHCP选项43和子类型0xF2后，AP类型将转换为CAPWAP，并且AP将遵循常规加入过程。

交换机上的DHCP配置如下所示。

Switch(dhcp-config)#option 43 hex F2056464645801

从 EWC CLI 恢复出厂设置

要将 EWC 重置为出厂默认设置，您可以在 EWC CLI 提示符后使用以下命令：

EWC#wireless ewc-ap factory-reset

访问专家模式

默认情况下，EWC的Web界面不显示其所有高级功能。要启用高级功能，请单击右上角的齿轮图标，然后打开“专家”模式：

生成管理接口证书和信任点

EWC的所有功能都使用制造商安装证书(MIC)。在任何时候都不必须生成自签名证书。本文中指定的所有命令足以启动并运行EWC，并且将AP连接到此EWC。

创建 VLAN

EWC不支持在EWC的Cisco IOS XE代码中配置多个SVI。如果需要添加VLAN以用于WLAN，请在成员AP上的flex配置文件中而不是在控制器部分创建它们。

相关信息

• Catalyst接入点上的思科嵌入式无线控制器配置指南
• 技术支持和文档 - Cisco Systems