瞭解 Catalyst 9800 無線控制器上的 FlexConnect
簡介
本檔案將說明9800無線控制器上的FlexConnect功能及其一般組態。
背景資訊
FlexConnect是指存取點(AP)的能力,可判斷來自無線使用者端的流量是否直接在AP層級上傳到網路(本機交換),或是流量是否集中到9800控制器(中央交換)。
必要條件
需求
本文件沒有特定需求。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 採用Cisco IOS®-XE直布羅陀版v17.9.x的Cisco Catalyst 9800無線控制器
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
網路圖表
本文件以此拓撲為基礎:
組態
以下是完成本文檔所述方案所需的配置的視覺化方案:
要配置FlexConnect本地交換服務集識別符號(SSID),請按照以下常規步驟操作:
- 建立/修改WLAN設定檔
- 建立/修改策略配置檔案
- 建立/修改策略標籤
- 建立/修改Flex設定檔
- 建立/修改網站標籤
- 分配到AP的策略標籤
以下部分逐步說明了如何配置每個配置。
建立/修改WLAN設定檔
您可以使用本指南建立三個SSID:
建立/修改策略配置檔案
步驟 1.導航到Configuration > Tags & Profiles > Policy。選擇一個已有名稱或點選+增加以增加新名稱。
ProfileFlex1
當您停用Central Switching此警告消息時,按一下Yes並繼續配置。
步驟 2.轉到Access Policies頁籤並鍵入VLAN (您在下拉選單中看不到,因為此VLAN不存在於9800 WLC上)。之後,按一下Save & Apply to Device。
步驟 3.對PolicyProfileFlex2重複相同的操作。
ProfileFlex2
步驟 4.對於集中交換的SSID,請確保其所需的VLAN存在於9800 WLC上,否則請建立它。
步驟 5.建立中心SSID的策略配置檔案。
導航到Configuration > Tags & Profiles > Policy。選擇已存在的名稱,或點選+ Add以增加新名稱。
ProfileCentral1
因此,有三個策略配置檔案。
CLI:
# config t
# vlan 2660
# exit # wireless profile policy PolicyProfileFlex1 # no central switching # vlan 2685 # no shutdown # exit # wireless profile policy PolicyProfileFlex2 # no central switching # vlan 2686 # no shutdown # exit # wireless profile policy PolicyProfileCentral1 # vlan VLAN2660 # no shutdown # end
建立/修改策略標籤
策略標籤是允許您指定哪個SSID連結到哪個策略配置檔案的元素。
步驟 1.導航到Configuration > Tags & Profiles > Tags > Policy。 選擇已存在的名稱,或點選+ Add以增加新名稱。
步驟 2.在Policy Tag內,點選+Add,從下拉選單中選擇要增加到Policy Tag的WLAN Profile名稱和Policy Profile要將其連結到的。然後,按一下複選標籤。
對三個SSID重複上述操作,然後點選Save & Apply to Device。
CLI:
# config t # wireless tag policy PolicyTag1 # wlan Flex1 policy PolicyProfileFlex1 # wlan Flex2 policy PolicyProfileFlex2 # wlan Central1 policy PolicyProfileCentral1 # end
建立/修改Flex設定檔
在本文檔使用的拓撲中,請注意,本地交換中有兩個SSID具有兩個不同的VLAN。 在Flex Profile內部,您可在其中指定AP VLAN (本徵VLAN)以及任何AP需要注意的其他VLAN,在本例中為SSID所使用的VLAN。
步驟 1.導航到Configuration > Tags & Profiles > Flex,然後建立新路由器或修改已存在的路由器。
步驟 2.定義Flex配置檔案的名稱並指定AP的VLAN(本地VLAN ID)。
步驟 3.導航到VLAN頁籤,指定所需的VLAN。
在本場景中,VLAN 2685和2686上有客戶端。這些VLAN不存在於9800 WLC上,請將它們增加到Flex Profile中,以便它們存在於AP上。
對所需的VLAN重複上述步驟。
請注意,用於集中交換的VLAN未增加,因為AP無需知道它。
CLI:
# config t
# wireless profile flex FlexProfileLab # native-vlan-id 2601 # vlan-name VLAN2685 # vlan-id 2685 # vlan-name VLAN2686 # vlan-id 2686 # end
建立/修改網站標籤
Site Tag是允許您指定將哪個AP加入和/或Flex Profile分配給AP的元素。
步驟 1.導航到Configuration > Tags & Profiles > Tags > Site。 選擇已存在的名稱,或點選+ Add以增加新名稱。
步驟 2.在Site Tag內部,停用Enable Local Site選項(任何AP如果收到Enable Local Site停用的Site Tag,會轉換為FlexConnect模式)。停用後,您還可以選擇Flex Profile。然後,按一下Save & Apply to Device。
CLI:
# config t # wireless tag site FlexSite1
# flex-profile FlexProfileLab
# no local-site
分配到AP的策略標籤
您可以直接將策略標籤分配給AP,也可以同時將同一策略標籤分配給AP組。選擇適合您的產品。
每個AP的策略標籤分配
導航到Configuration > Wireless > Access Points > AP name > General > Tags。從Site下拉選單中,選擇所需的標籤並按一下Update & Apply to Device。
CLI:
# config t # ap <ethernet-mac-addr> # site-tag <site-tag-name> # end
為多個AP分配策略標籤
導航到Configuration > Wireless Setup > Advanced > Start Now。
點選Tag APs:=圖示,然後選擇您要分配標籤的AP清單(您可以點選AP name[或任何其它欄位]旁邊的向下箭頭,過濾AP清單)。
選擇完所需的AP後,按一下+標籤AP。
選擇要分配給AP的標籤,然後按一下Save & Apply to Device。
CLI:
沒有CLI選項可以將相同的標籤分配給多個AP。
Flexconnect ACL
當您具有本機交換的WLAN時,需要考慮的一件事是如何將ACL套用到使用者端。
在集中交換WLAN的情況下,所有流量都會在WLC上釋放,因此ACL不需要推送到AP。但是,如果流量是在本地交換的(flex connect -本地交換),則必須將ACL(在控制器上定義)推送到AP,因為流量是在AP上釋放的。當您將ACL增加到flex配置檔案時,即可完成此操作。
FlexConnect ACL同時應用於出口和入口方向。這要求您非常明確地允許或拒絕客戶端子網中的流量。如果客戶端的ACL不夠明確,從而阻止其訪問網關,這是很常見的錯誤。有關更多詳細資訊,請參閱思科漏洞ID CSCuv93592 
.
集中交換WLAN
要將ACL應用於連線到集中交換WLAN的客戶端,請執行以下操作:
步驟1 -將ACL應用於策略配置檔案。轉至Configuration > Tags & Profiles > Policy,選擇與集中交換WLAN關聯的策略配置檔案。在「Access Policies」>「WLAN ACL」部分下,選擇要應用於客戶端的ACL。
如果您在集中交換WLAN上配置中央Web驗證,則可在9800上建立重定向ACL,就像在AP處於本地模式中一樣,因為在這種情況下,所有內容都在WLC上集中處理。
本地交換的WLAN
要將ACL應用於連線到本地交換WLAN的客戶端,請執行以下操作:
步驟1 -將ACL應用於策略配置檔案。轉至Configuration > Tags & Profiles > Policy,選擇與本地交換WLAN關聯的策略配置檔案。在「Access Policies」>「WLAN ACL」部分下,選擇要應用於客戶端的ACL。
第2步- 將ACL應用到Flex配置檔案。轉至Configuration > Tags & Profiles > Flex,選擇分配給Flex Connect AP的Flex配置檔案。在「Policy ACL」部分下,增加該ACL並按一下「Save」
驗證ACL是否已應用
您可以轉到Monitoring > Wireless > Clients並選擇要驗證的客戶端,以驗證ACL是否已應用到客戶端。在常規>安全資訊部分,請檢查「伺服器策略」部分中「過濾器ID」的名稱:它必須與應用的ACL對應。
在使用Flex Connect(本地交換)AP的情況下,可以透過在AP自身上鍵入命令「#show ip access-lists」來驗證ACL是否已應用到AP。
驗證
您可以使用這些命令驗證配置。
VLAN/介面配置
# show vlan brief # show interfaces trunk
# show run interface <interface-id>
WLAN配置
# show wlan summary
# show run wlan [wlan-name] # show wlan { id <wlan-id> | name <wlan-name> | all }
AP配置
# show ap summary
# show ap tag summary
# show ap name <ap-name> tag { info | detail }
# show ap name <ap-name> tag detail
AP Name : AP2802-01 AP Mac : 0896.ad9d.143e Tag Type Tag Name ----------------------------- Policy Tag PT1 RF Tag default-rf-tag Site Tag default-site-tag Policy tag mapping ------------------ WLAN Profile Name Policy Name VLAN Central Switching IPv4 ACL IPv6 ACL ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- psk-pbl-ewlc ctrl-vl2602 VLAN0210 ENABLED Not Configured Not Configured Site tag mapping ---------------- Flex Profile : default-flex-profile AP Profile : default-ap-profile Local-site : Yes RF tag mapping -------------- 5ghz RF Policy : Global Config 2.4ghz RF Policy : Global Config
標籤配置
# show wireless tag { policy | rf | site } summary
# show wireless tag { policy | rf | site } detailed <tag-name>
設定檔設定
# show wireless profile { flex | policy } summary
# show wireless profile { flex | policy } detailed <profile-name>
# show ap profile <AP-join-profile-name> detailed
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
6.0 |
22-May-2024 |
已從熒幕擷取畫面移除中央關聯 |
5.0 |
22-May-2024 |
在Flex ACL上增加了一條關於應用方向的註釋 |
4.0 |
28-Feb-2023 |
增加了ACL部分 |
3.0 |
11-Aug-2022 |
本文經過重新認證並經過編輯和修訂,以符合當前的Cisco和CCW標準。 |
1.0 |
07-Dec-2018 |
初始版本 |
意見