Informationen zu FlexConnect auf dem Catalyst 9800 Wireless Controller

Einleitung

Dieses Dokument enthält eine Beschreibung der FlexConnect-Funktion und ihrer allgemeinen Konfiguration auf 9800 Wireless Controllern.

Hintergrundinformationen

FlexConnect bezieht sich auf die Fähigkeit eines Access Point (AP), zu bestimmen, ob der Datenverkehr von den Wireless-Clients direkt auf AP-Ebene in das Netzwerk geleitet wird (lokales Switching) oder ob er zentral zum 9800-Controller geleitet wird (zentrales Switching).

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Cisco Catalyst 9800 Wireless Controller mitCisco IOS®-XE Gibraltar v 17.9.x

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Netzwerkdiagramm

Dieses Dokument basiert auf folgender Topologie:

Konfigurationen

Dies ist das visuelle Schema der Konfiguration, die erforderlich ist, um das Szenario in diesem Dokument zu erreichen:

Zur Konfiguration eines Secure Set Identifier (SSID) für das lokale Switching müssen die folgenden allgemeinen Schritte ausgeführt werden:

1. WLAN-Profil erstellen/ändern
2. Richtlinienprofil erstellen/ändern
3. Richtlinien-Tag erstellen/ändern
4. Flex-Profil erstellen/ändern
5. Standort-Tag erstellen/ändern
6. Richtlinien-Tag-Zuweisung zu AP

In diesen Abschnitten wird die Konfiguration der einzelnen Elemente Schritt für Schritt erläutert. 

WLAN-Profil erstellen/ändern

Mithilfe der Informationen in diesem Leitfaden können Sie die drei SSIDs erstellen:

Ihre SSID erstellen

Richtlinienprofil erstellen/ändern

Schritt 1. Navigieren Sie zuConfiguration > Tags & Profiles > Policy. Wählen Sie entweder den Namen eines bereits vorhandenen Eintrags aus oder klicken Sie auf+ Add (+ Hinzufügen), um einen neuen Eintrag hinzuzufügen.

ProfileFlex1

Wenn Sie  deaktivieren, wird diese Warnmeldung angezeigt. Klicken Sie auf  und fahren Sie mit der Konfiguration fort.Central SwitchingYes

Schritt 2: Wechseln Sie zurAccess PoliciesRegisterkarte, und geben Sie das VLAN ein (es wird in der Dropdown-Liste nicht angezeigt, da dieses VLAN auf dem 9800 WLC nicht vorhanden ist). Klicken Sie anschließend auf  .Save & Apply to Device

Schritt 3: Wiederholen Sie den Vorgang für PolicyProfileFlex2.

ProfileFlex2

Schritt 4: Stellen Sie sicher, dass das erforderliche VLAN für die zentral geswitchte SSID auf dem 9800 WLC vorhanden ist, und falls nicht, erstellen Sie es.

Anmerkung: Bei FlexConnect-APs mit lokal geschalteten WLANs wird der Datenverkehr am WAP geswitcht, und die DHCP-Anfragen vom Client gehen direkt über die WAP-Schnittstelle in das kabelgebundene Netzwerk. Der Access Point verfügt im Client-Subnetz über keine SVI und kann daher keinen DHCP-Proxy verwenden. Daher hat die DHCP-Relay-Konfiguration (DHCP Server IP Address) auf der Registerkarte Policy Profile > Advanced (Richtlinienprofil > Erweitert) keine Bedeutung für lokal geschaltete WLANs. In diesen Szenarien muss der Switch-Port das Client-VLAN zulassen. Wenn sich der DHCP-Server in einem anderen VLAN befindet, konfigurieren Sie den IP-Helper in der Client-SVI/dem Standardgateway, damit er weiß, wohin er die DHCP-Anfrage vom Client senden soll.

Client-VLANs deklarieren

Schritt 5: Erstellen Sie ein Richtlinienprofil für die zentrale SSID.

Navigieren Sie zu .Configuration > Tags & Profiles > Policy Wählen Sie entweder den Namen eines bereits vorhandenen Eintrags aus oder klicken Sie auf , um einen neuen Eintrag hinzuzufügen.+ Add

ProfileCentral1

Jetzt gibt es drei Richtlinienprofile.

CLI:

# config t

# vlan 2660
# exit

# wireless profile policy PolicyProfileFlex1
# no central switching
# vlan 2685
# no shutdown
# exit

# wireless profile policy PolicyProfileFlex2
# no central switching
# vlan 2686
# no shutdown
# exit

# wireless profile policy PolicyProfileCentral1
# vlan VLAN2660
# no shutdown
# end

Richtlinien-Tag erstellen/ändern

Das Richtlinien-Tag ist das Element, mit dem Sie angeben können, welche SSID mit welchem Richtlinienprofil verknüpft wird. 

Schritt 1. Navigieren Sie zuConfiguration > Tags & Profiles > Tags > Policy+ Add. Wählen Sie entweder den Namen eines bereits vorhandenen aus, oder klicken Sie auf, um einen neuen hinzuzufügen. 

Schritt 2: Klicken Sie innerhalb des Policy Tags auf +Add, wählen Sie aus der Dropdown-Liste den WLAN Profile Namen aus, der dem Policy Tag hinzugefügt werden soll undPolicy Profilemit dem Sie ihn verknüpfen möchten. Klicken Sie anschließend auf das Häkchen.

Wiederholen Sie den Vorgang für die drei SSIDs und klicken Sie anschließend auf .Save & Apply to Device

CLI:

# config t

# wireless tag policy PolicyTag1
# wlan Flex1 policy PolicyProfileFlex1
# wlan Flex2 policy PolicyProfileFlex2
# wlan Central1 policy PolicyProfileCentral1
# end

Flex-Profil erstellen/ändern

Beachten Sie in der für dieses Dokument verwendeten Topologie, dass es in Local Switching zwei SSIDs mit zwei verschiedenen VLANs gibt. Innerhalb des Flex-Profils geben Sie das VLAN der APs (natives VLAN) und jedes andere VLAN an, das der WAP kennen muss. In diesem Fall sind es die von den SSIDs verwendeten VLANs. 

Schritt 1: Navigieren Sie zu einer bereits vorhandenen Ressource,Configuration > Tags & Profiles > Flexund erstellen Sie eine neue, oder ändern Sie eine vorhandene.

Schritt 2: Definieren Sie einen Namen für das Flex Profile, und geben Sie die VLANs der APs (native VLAN-ID) an.

Schritt 3: Navigieren Sie zurVLANRegisterkarte, und geben Sie das benötigte VLAN an.

In diesem Szenario befinden sich Clients in den VLANs 2685 und 2686. Diese VLANs sind auf dem 9800 WLC nicht vorhanden. Fügen Sie sie zum Flex-Profil hinzu, damit sie auf dem AP vorhanden sind.

Anmerkung: Wenn Sie das Richtlinienprofil erstellt haben und einen VLAN-Namen anstelle einer VLAN-ID ausgewählt haben, stellen Sie sicher, dass der VLAN-Name hier im Flex Profile-Objekt exakt derselbe ist.

Wiederholen Sie den Vorgang für die erforderlichen VLANs.

Beachten Sie, dass das für das zentrale Switching (Central Switching) verwendete VLAN nicht hinzugefügt wurde, da der AP es nicht kennen muss.

CLI:

# config t

# wireless profile flex FlexProfileLab
# native-vlan-id 2601
# vlan-name VLAN2685
# vlan-id 2685
# vlan-name VLAN2686
# vlan-id 2686
# end

Standort-Tag erstellen/ändern

Der Standort-Tag ist das Element, mit dem Sie angeben können, welcher AP-Beitritt und/oder welches Flex-Profil den APs zugewiesen wird. 

Schritt 1. Navigieren Sie zu Configuration > Tags & Profiles > Tags > Site+ Add. Wählen Sie entweder den Namen einer bereits vorhandenen aus, oder klicken Sie auf, um eine neue hinzuzufügen. 

Schritt 2: Deaktivieren Sie die Enable Local Site Option innerhalb des Site-Tags (jeder Access Point, der ein Site-Tag empfängt, während dieEnable Local SiteOption deaktiviert ist, wird in den FlexConnect-Modus umgewandelt). Sobald diese Option deaktiviert ist, können Sie auch das auswählen.Flex Profile Klicken Sie anschließend auf .Save & Apply to Device

CLI:

# config t
# wireless tag site FlexSite1
# flex-profile FlexProfileLab
# no local-site

Richtlinien-Tag-Zuweisung zu AP

Sie können ein Richtlinien-Tag direkt einem AP oder dasselbe Richtlinien-Tag gleichzeitig einer Gruppe von APs zuweisen. Wählen Sie den Eintrag, der für Sie geeignet ist.

Richtlinien-Tag-Zuweisung per AP

Navigieren Sie zu .Configuration > Wireless > Access Points > AP name > General > Tags Wählen Sie in der Dropdown-Liste die gewünschten Tags aus und klicken Sie auf .Site Update & Apply to Device

Anmerkung: Beachten Sie, dass nach der Änderung die Richtlinien-Tag-Nummer auf einem AP ihre Verknüpfung mit den 9800-WLCs verliert und innerhalb von etwa einer Minute wieder hinzugefügt wird.

Anmerkung: Wenn der Access Point im lokalen Modus (oder einem anderen Modus) konfiguriert ist und dann eine Site-Tag-Nummer mitEnable Local Sitedeaktivierter Option erhält, startet der Access Point neu und kehrt im FlexConnect-Modus zurück. 

 CLI:

# config t
# ap <ethernet-mac-addr>
# site-tag <site-tag-name>
# end

Richtlinien-Tag-Zuweisung für mehrere APs

Navigieren Sie zu .Configuration > Wireless Setup > Advanced > Start Now

Klicken Sie auf das Symbol  := und wählen Sie anschließend die Liste der APs aus, denen Sie die Tags zuweisen möchten. (Sie können auf den Abwärtspfeil neben  [oder einem anderen Feld] klicken, um die Liste der APs zu filtern.)Tag APsAP name

Wenn Sie die gewünschten APs ausgewählt haben, klicken Sie auf + Tag APs (+ APs taggen).

Wählen Sie die Tags aus, die Sie den APs zuweisen möchten, und klicken Sie auf .Save & Apply to Device

Anmerkung: Beachten Sie, dass nach dem Ändern des Richtlinien-Tags auf einem AP die Verknüpfung mit den 9800-WLCs unterbrochen wird und die Anmeldung innerhalb von etwa einer Minute erfolgt.

Hinweis: Wenn der AP im lokalen Modus (oder einem anderen Modus) konfiguriert ist und dann ein Standort-Tag mit deaktivierter Option  erhält, startet der AP neu und kehrt in den FlexConnect-Modus zurück.Enable Local Site 

CLI:

Es gibt keine CLI-Option, um mehreren APs dasselbe Tag zuzuweisen. 

FlexConnect-ACLs

Bei einem lokal geschalteten WLAN müssen Sie beachten, wie eine ACL auf die Clients angewendet wird.

Bei einem zentral geschalteten WLAN wird der gesamte Datenverkehr im WLC freigegeben, sodass die ACL nicht an den AP übertragen werden muss. Wenn der Datenverkehr jedoch lokal geschaltet wird (FlexConnect – lokales Switching), muss die ACL (auf dem Controller definiert) an den AP übertragen werden, da der Datenverkehr am AP freigegeben wird. Dies geschieht, wenn Sie die ACL zum Flex-Profil hinzufügen. 

FlexConnect-ACLs werden sowohl in Ausgangs- als auch in Eingangsrichtung angewendet. Daher müssen Sie den Datenverkehr im Client-Subnetz explizit zulassen oder ablehnen. Ein häufiger Fehler ist, dass Clients der Zugang zu ihrem Gateway verwehrt wird, weil die ACL nicht explizit genug ist. Weitere Details finden Sie in den Hinweisen zur Cisco Bug-ID CSCuv93592 .

Zentral geschaltetes WLAN

So wenden Sie eine ACL auf die Clients an, die mit einem zentral geschalteten WLAN verbunden sind:

Schritt 1: Wenden Sie die ACL auf das Richtlinienprofil an. Rufen Sie nacheinander Configuration > Tags & Profiles > Policy (Konfiguration > Tags und Profile > Richtlinie) auf. Wählen Sie das Richtlinienprofil aus, das dem zentral geschalteten WLAN zugeordnet ist. Wählen Sie im Abschnitt „Access Policies > WLAN ACL“ (Zugriffsrichtlinien > WLAN-ACL) die ACL aus, die Sie auf die Clients anwenden möchten.

Wenn Sie Central Web Authentication in einem zentral geschalteten WLAN konfigurieren, können Sie eine Umleitungs-ACL auf dem 9800 erstellen, als würde sich der AP im lokalen Modus befinden, da in diesem Fall alles zentral auf dem WLC verarbeitet wird.

Lokal geschaltetes WLAN

So wenden Sie eine ACL auf die Clients an, die mit einem lokal geschalteten WLAN verbunden sind:

Schritt 1: Wenden Sie die ACL auf das Richtlinienprofil an. Gehen Sie zu Configuration > Tags & Profiles > Policy, und wählen Sie das Richtlinienprofil aus, das mit dem lokal geschalteten WLAN verknüpft ist. Wählen Sie im Abschnitt „Access Policies > WLAN ACL“ (Zugriffsrichtlinien > WLAN-ACL) die ACL aus, die Sie auf die Clients anwenden möchten.

Schritt 2 : Wenden Sie die ACL auf das Flex-Profil an. Rufen Sie nacheinander Configuration > Tags & Profiles > Flex (Konfiguration > Tags und Profile > Flex) auf. Wählen Sie das Flex-Profil aus, das den FlexConnect-APs zugewiesen ist. Fügen Sie im Abschnitt „Policy ACL“ (Richtlinien-ACL) die ACL hinzu und klicken Sie auf „Save“ (Speichern).

Anwendung der ACL überprüfen

Sie können überprüfen, ob die ACL auf einen Client angewendet wird, indem Sie zu Monitoring > Wireless > Clients navigieren. Wählen Sie dann den Client aus, den Sie überprüfen möchten. Aktivieren Sie im Abschnitt Allgemein > Sicherheitsinformationen im Abschnitt "Serverrichtlinien" den Namen der Filter-ID: Sie muss der angewendeten ACL entsprechen.

Bei FlexConnect-APs (lokales Switching) können Sie überprüfen, ob die ACL an den AP übertragen wird, indem Sie auf dem AP selbst den Befehl „#show ip access-lists“ eingeben.

Verifizierung

Mit diesen Befehlen können Sie die Konfiguration überprüfen.

VLANs/Schnittstellenkonfiguration

# show vlan brief
# show interfaces trunk
# show run interface <interface-id>

WLAN-Konfiguration

# show wlan summary
# show run wlan [wlan-name]
# show wlan { id <wlan-id> | name <wlan-name> | all }

AP-Konfiguration

# show ap summary
# show ap tag summary
# show ap name <ap-name> tag { info | detail }

# show ap name <ap-name> tag detail

AP Name            : AP2802-01
AP Mac             : 0896.ad9d.143e

Tag Type             Tag Name
-----------------------------
Policy Tag           PT1
RF Tag               default-rf-tag
Site Tag             default-site-tag

Policy tag mapping
------------------
WLAN Profile Name                Policy Name                      VLAN                             Central Switching                IPv4 ACL                         IPv6 ACL
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
psk-pbl-ewlc                     ctrl-vl2602                      VLAN0210                         ENABLED                          Not Configured                   Not Configured

Site tag mapping
----------------
Flex Profile         : default-flex-profile
AP Profile           : default-ap-profile
Local-site           : Yes

RF tag mapping
--------------
5ghz RF Policy       : Global Config
2.4ghz RF Policy     : Global Config

Tag-Konfiguration

# show wireless tag { policy | rf | site } summary
# show wireless tag { policy | rf | site } detailed <tag-name>

Profilkonfiguration

# show wireless profile { flex | policy } summary
# show wireless profile { flex | policy } detailed <profile-name>
# show ap profile <AP-join-profile-name> detailed