Informationen zu FlexConnect auf dem Catalyst 9800 Wireless Controller

Einleitung

In diesem Dokument werden die FlexConnect-Funktion und ihre allgemeine Konfiguration auf Wireless-Controllern der Serie 9800 beschrieben.

Hintergrundinformationen

FlexConnect bezieht sich auf die Fähigkeit eines Access Points (AP), zu bestimmen, ob der Datenverkehr von den Wireless-Clients auf AP-Ebene direkt in das Netzwerk geleitet wird (lokales Switching) oder ob der Datenverkehr auf den 9800-Controller (zentrales Switching) zentralisiert wird.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Cisco Catalyst Wireless Controller der Serie 9800 mit Cisco IOS®-XE Gibraltar v17.3.x

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Netzwerkdiagramm

Dieses Dokument basiert auf folgender Topologie:

Konfigurationen

Dies ist das visuelle Schema der Konfiguration, die für das Szenario dieses Dokuments erforderlich ist:

  

Um einen FlexConnect Local Switching Service Set Identifier (SSID) zu konfigurieren, gehen Sie wie folgt vor:

1. Erstellen/Ändern eines WLAN-Profils
2. Erstellen/Ändern eines Richtlinienprofils
3. Erstellen/Ändern eines Policy Tags
4. Erstellen/Ändern eines Flex-Profils
5. Site-Tag erstellen/ändern
6. Richtlinien-Tag-Zuweisung zu AP

In diesen Abschnitten wird Schritt für Schritt erläutert, wie Sie diese konfigurieren. 

WLAN-Profil erstellen/ändern

Mit diesem Leitfaden können Sie die drei SSIDs erstellen:

SSID erstellen

Erstellen/Ändern eines Richtlinienprofils

Schritt 1: Navigieren Sie zuConfiguration > Tags & Profiles > Policy. Wählen Sie entweder den Namen einer bereits vorhandenen aus, oder klicken Sie auf + Hinzufügen, um eine neue hinzuzufügen.

Wenn SieCentral Switchingdiese Warnmeldung deaktivieren, klicken Sie auf,Yesund fahren Sie mit der Konfiguration fort.

Schritt 2: Wechseln Sie zurAccess PoliciesRegisterkarte, und geben Sie das VLAN ein (es wird in der Dropdown-Liste nicht angezeigt, da dieses VLAN auf dem 9800 WLC nicht vorhanden ist). Klicken Sie anschließend aufSave & Apply to Device.

Schritt 3: Wiederholen Sie den Vorgang für PolicyProfileFlex2.

Schritt 4: Vergewissern Sie sich für den zentral geswitchten SSID, dass das erforderliche VLAN auf dem 9800 WLC vorhanden ist, und erstellen Sie es, falls dies nicht der Fall ist.

Hinweis: Bei FlexConnect-APs mit lokal geschalteten WLANs wird der Datenverkehr am WAP vermittelt, und die DHCP-Anfragen vom Client gehen direkt über die WAP-Schnittstelle in das kabelgebundene Netzwerk. Der WAP hat keine SVI im Client-Subnetz und kann daher keinen DHCP-Proxy ausführen. Daher hat die DHCP-Relay-Konfiguration (DHCP-Server-IP-Adresse) auf der Registerkarte "Policy Profile" (Richtlinienprofil) > "Advanced" (Erweitert) keine Bedeutung für lokal geschaltete WLANs. In diesen Szenarien muss der Switch-Port das Client-VLAN zulassen und dann, wenn sich der DHCP-Server in einem anderen VLAN befindet, die IP-Hilfsadresse im SVI/Standard-Client-Gateway konfigurieren, damit dieser weiß, wohin die DHCP-Anfrage vom Client gesendet werden soll.

Client-VLANs deklarieren

Schritt 5: Erstellen Sie ein Richtlinienprofil für die zentrale SSID.

Navigieren Sie zuConfiguration > Tags & Profiles > Policy. Wählen Sie entweder den Namen eines bereits vorhandenen aus, oder klicken Sie + Add auf, um einen neuen hinzuzufügen.

Daher gibt es drei Richtlinienprofile.

CLI:

# config t

# vlan 2660
# exit

# wireless profile policy PolicyProfileFlex1
# no central switching
# vlan 2685
# no shutdown
# exit

# wireless profile policy PolicyProfileFlex2
# no central switching
# vlan 2686
# no shutdown
# exit

# wireless profile policy PolicyProfileCentral1
# vlan VLAN2660
# no shutdown
# end

Erstellen/Ändern eines Policy Tags

Das Policy Tag (Richtlinien-Tag) ist das Element, mit dem Sie angeben können, welche SSID mit welchem Richtlinienprofil verknüpft ist. 

Schritt 1: Navigieren Sie zuConfiguration > Tags & Profiles > Tags > Policy. Wählen Sie entweder den Namen eines bereits vorhandenen aus, oder klicken Sie + Add auf, um einen neuen hinzuzufügen. 

Schritt 2: Klicken Sie innerhalb des Richtlinien-Tags auf, +Addund wählen Sie in der Dropdown-Liste den WLAN Profile Namen aus, der dem Richtlinien-Tag hinzugefügt werden soll undPolicy Profilemit dem Sie ihn verknüpfen möchten. Klicken Sie anschließend auf das Kontrollkästchen.

Wiederholen Sie den Vorgang für die drei SSIDs, und klicken Sie anschließend aufSave & Apply to Device.

CLI:

# config t

# wireless tag policy PolicyTag1
# wlan Flex1 policy PolicyProfileFlex1
# wlan Flex2 policy PolicyProfileFlex2
# wlan Central1 policy PolicyProfileCentral1
# end

Erstellen/Ändern eines Flex-Profils

Beachten Sie in der für dieses Dokument verwendeten Topologie, dass es in Local Switching zwei SSIDs mit zwei verschiedenen VLANs gibt. Innerhalb des Flex Profile geben Sie das VLAN der APs (natives VLAN) und jedes andere VLAN an, das der AP kennen muss, in diesem Fall die von den SSIDs verwendeten VLANs. 

Schritt 1: Configuration > Tags & Profiles > FlexNavigieren Sie zu, und erstellen Sie eine neue, oder ändern Sie eine bereits vorhandene.

Schritt 2: Definieren Sie einen Namen für das Flex Profile, und geben Sie das APs-VLAN (Native VLAN ID) an.

Schritt 3: Navigieren Sie zurVLANRegisterkarte, und geben Sie das benötigte VLAN an.

In diesem Szenario befinden sich Clients in den VLANs 2685 und 2686. Diese VLANs sind auf dem 9800 WLC nicht vorhanden. Fügen Sie sie dem Flex Profile-System hinzu, sodass sie auf dem AP vorhanden sind.

Hinweis: Wenn Sie das Richtlinienprofil erstellt haben und einen VLAN-Namen anstelle einer VLAN-ID ausgewählt haben, stellen Sie sicher, dass der VLAN-Name hier im Flex Profile-Profil exakt derselbe ist.

  

Wiederholen Sie den Vorgang für die erforderlichen VLANs.

Beachten Sie, dass das für das zentrale Switching verwendete VLAN nicht hinzugefügt wurde, da der Access Point davon nichts wissen muss.

CLI:

# config t

# wireless profile flex FlexProfileLab
# native-vlan-id 2601
# vlan-name VLAN2685
# vlan-id 2685
# vlan-name VLAN2686
# vlan-id 2686
# end

Site-Tag erstellen/ändern

Das Site-Tag ist das Element, mit dem Sie angeben können, welcher Access Point-Teilnehmer und/oder welches Flex-Profil den Access Points zugewiesen wird. 

Schritt 1: Navigieren Sie zu Configuration > Tags & Profiles > Tags > Site. Wählen Sie entweder den Namen eines bereits vorhandenen aus, oder klicken Sie + Add auf, um einen neuen hinzuzufügen. 

Schritt 2: Deaktivieren Sie die Enable Local Site Option innerhalb des Site-Tags (jeder AP, der ein Site-Tag empfängt, während dieEnable Local SiteOption deaktiviert ist, wird in den FlexConnect-Modus umgewandelt). Sobald es deaktiviert ist, können Sie auch dieFlex Profileauswählen. Klicken Sie anschließend aufSave & Apply to Device.

CLI:

# config t
# wireless tag site FlexSite1
# flex-profile FlexProfileLab
# no local-site

Richtlinien-Tag-Zuweisung zu AP

Sie können einem Access Point direkt eine Policy Tag-Nummer zuweisen oder einer Gruppe von Access Points gleichzeitig dieselbe Policy Tag-Nummer zuweisen. Wählen Sie die passende Lösung aus.

Zuweisen von Richtlinien-Tags pro AP

Navigieren Sie zuConfiguration > Wireless > Access Points > AP name > General > Tags. Wählen Sie in der Site Dropdown-Liste die gewünschten Tags aus, und klicken Sie aufUpdate & Apply to Device.

  

Hinweis: Beachten Sie, dass nach der Änderung die Richtlinien-Tag-Nummer auf einem AP ihre Verknüpfung mit den 9800-WLCs verliert und innerhalb von etwa einer Minute wieder hinzugefügt wird.

Hinweis: Wenn der Access Point im lokalen Modus (oder einem anderen Modus) konfiguriert ist und dann eine Site-Tag-Nummer mitEnable Local Sitedeaktivierter Option erhält, startet der Access Point neu und kehrt im FlexConnect-Modus zurück. 

 CLI:

# config t
# ap <ethernet-mac-addr>
# site-tag <site-tag-name>
# end

Richtlinien-Tag-Zuweisung für mehrere APs

Navigieren Sie zu Configuration > Wireless Setup > Advanced > Start Now.

Klicken Sie auf das Symbol Tag APs:=, und wählen Sie anschließend die Liste der APs aus, denen Sie die Tags zuweisen möchten (Sie können auf den Pfeil nach unten nebenAP name[oder ein beliebiges anderes Feld] klicken, um die Liste der APs zu filtern).

Nachdem Sie die gewünschten APs ausgewählt haben, klicken Sie auf + Tag APs.

  

Wählen Sie die Tags aus, die Sie den APs zuweisen möchten, und klicken Sie aufSave & Apply to Device.

Hinweis: Beachten Sie, dass nach der Änderung des Richtlinien-Tags an einem AP die Verknüpfung mit den 9800-WLCs unterbrochen wird und die Anmeldung innerhalb von etwa einer Minute erfolgt.

Hinweis: Wenn der Access Point im lokalen Modus (oder einem anderen Modus) konfiguriert ist und dann eine Site-Tag-Nummer mitEnable Local Sitedeaktivierter Option erhält, startet der Access Point neu und kehrt im FlexConnect-Modus zurück. 

CLI:

Es gibt keine CLI-Option zum Zuweisen desselben Tags zu mehreren APs. 

Flexconnect-ACLs

Wenn Sie ein lokal geschaltetes WLAN verwenden, sollten Sie zunächst prüfen, wie eine ACL auf die Clients angewendet werden kann.

Bei einem zentral geschalteten WLAN wird der gesamte Datenverkehr am WLC freigegeben, sodass die ACL nicht an den WAP weitergeleitet werden muss. Wenn der Datenverkehr jedoch lokal vermittelt wird (Flex Connect - Lokales Switching), muss die ACL (definiert auf dem Controller) zum AP verschoben werden, da der Datenverkehr am AP freigegeben wird. Dies geschieht, wenn Sie die ACL dem Flex-Profil hinzufügen. 

Zentrales WLAN

So wenden Sie eine ACL auf Clients an, die an ein zentral geschaltetes WLAN angeschlossen sind:

Schritt 1 - Wenden Sie die ACL auf das Richtlinienprofil an. Gehen Sie zu Configuration > Tags & Profiles > Policy, und wählen Sie das Richtlinienprofil aus, das mit dem zentral geschalteten WLAN verknüpft ist. Wählen Sie im Abschnitt "Access Policies" (Zugriffsrichtlinien) > "WLAN ACL" (WLAN-Zugriffskontrollliste) die Zugriffskontrollliste aus, die Sie auf die Clients anwenden möchten.

Wenn Sie Central Web Authentication auf einem zentral geschalteten WLAN konfigurieren, können Sie auf dem 9800 eine Umleitungszugriffskontrollliste erstellen, so als ob sich der Access Point im lokalen Modus befinde, da in diesem Fall alles zentral auf dem WLC behandelt wird.

Lokal geschaltetes WLAN

So wenden Sie eine ACL auf Clients an, die mit einem lokal geschalteten WLAN verbunden sind:

Schritt 1 - Wenden Sie die ACL auf das Richtlinienprofil an. Gehen Sie zu Configuration > Tags & Profiles > Policy, und wählen Sie das Richtlinienprofil aus, das mit dem zentral geschalteten WLAN verknüpft ist. Wählen Sie im Abschnitt "Access Policies" (Zugriffsrichtlinien) > "WLAN ACL" (WLAN-Zugriffskontrollliste) die Zugriffskontrollliste aus, die Sie auf die Clients anwenden möchten.

Schritt 2: Wenden Sie die ACL auf das Flex-Profil an. Gehen Sie zu Configuration > Tags & Profiles > Flex, und wählen Sie das den Flex Connect-APs zugewiesene Flex-Profil aus. Fügen Sie im Abschnitt "Policy ACL" (Richtlinien-ACL) die ACL hinzu, und klicken Sie auf "Save" (Speichern).

Überprüfen Sie, ob die ACL angewendet wurde.

Sie können überprüfen, ob die ACL auf einen Client angewendet wird, wenn Sie zu Überwachung > Wireless > Clients wechseln. Wählen Sie den Client aus, den Sie überprüfen möchten. Aktivieren Sie im Abschnitt Allgemein > Sicherheitsinformationen im Abschnitt "Serverrichtlinien" den Namen der Filter-ID: diese muss mit der angewendeten ACL übereinstimmen.

Bei Flex Connect-APs (lokale Switching-APs) können Sie überprüfen, ob die ACL an den AP angeschlossen ist, indem Sie den Befehl "#show ip access-lists" auf dem AP selbst eingeben.

Verifizierung

Sie können diese Befehle verwenden, um die Konfiguration zu überprüfen.

Konfiguration von VLANs/Schnittstellen

# show vlan brief
# show interfaces trunk
# show run interface <interface-id>

WLAN-Konfiguration

# show wlan summary
# show run wlan [wlan-name]
# show wlan { id <wlan-id> | name <wlan-name> | all }

AP-Konfiguration

# show ap summary
# show ap tag summary
# show ap name <ap-name> tag { info | detail }

# show ap name <ap-name> tag detail

AP Name            : AP2802-01
AP Mac             : 0896.ad9d.143e

Tag Type             Tag Name
-----------------------------
Policy Tag           PT1
RF Tag               default-rf-tag
Site Tag             default-site-tag

Policy tag mapping
------------------
WLAN Profile Name                Policy Name                      VLAN                             Central Switching                IPv4 ACL                         IPv6 ACL
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
psk-pbl-ewlc                     ctrl-vl2602                      VLAN0210                         ENABLED                          Not Configured                   Not Configured

Site tag mapping
----------------
Flex Profile         : default-flex-profile
AP Profile           : default-ap-profile
Local-site           : Yes

RF tag mapping
--------------
5ghz RF Policy       : Global Config
2.4ghz RF Policy     : Global Config

Tag-Konfiguration

# show wireless tag { policy | rf | site } summary
# show wireless tag { policy | rf | site } detailed <tag-name>

Profilkonfiguration

# show wireless profile { flex | policy } summary
# show wireless profile { flex | policy } detailed <profile-name>
# show ap profile <AP-join-profile-name> detailed