Einleitung
In diesem Dokument werden die FlexConnect-Funktion und ihre allgemeine Konfiguration auf Wireless-Controllern der Serie 9800 beschrieben.
Hintergrundinformationen
FlexConnect bezieht sich auf die Fähigkeit eines Access Points (AP), zu bestimmen, ob der Datenverkehr von den Wireless-Clients auf AP-Ebene direkt in das Netzwerk geleitet wird (lokales Switching) oder ob der Datenverkehr auf den 9800-Controller (zentrales Switching) zentralisiert wird.
Voraussetzungen
Anforderungen
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Cisco Catalyst Wireless Controller der Serie 9800 mit Cisco IOS®-XE Gibraltar v17.3.x
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Netzwerkdiagramm
Dieses Dokument basiert auf folgender Topologie:
Konfigurationen
Dies ist das visuelle Schema der Konfiguration, die für das Szenario dieses Dokuments erforderlich ist:
Um einen FlexConnect Local Switching Service Set Identifier (SSID) zu konfigurieren, gehen Sie wie folgt vor:
- Erstellen/Ändern eines WLAN-Profils
- Erstellen/Ändern eines Richtlinienprofils
- Erstellen/Ändern eines Policy Tags
- Erstellen/Ändern eines Flex-Profils
- Site-Tag erstellen/ändern
- Richtlinien-Tag-Zuweisung zu AP
In diesen Abschnitten wird Schritt für Schritt erläutert, wie Sie diese konfigurieren.
WLAN-Profil erstellen/ändern
Mit diesem Leitfaden können Sie die drei SSIDs erstellen:
SSID erstellen
Erstellen/Ändern eines Richtlinienprofils
Schritt 1: Navigieren Sie zuConfiguration > Tags & Profiles > Policy
. Wählen Sie entweder den Namen einer bereits vorhandenen aus, oder klicken Sie auf + Hinzufügen, um eine neue hinzuzufügen.
Wenn SieCentral Switching
diese Warnmeldung deaktivieren, klicken Sie auf,Yes
und fahren Sie mit der Konfiguration fort.
Schritt 2: Wechseln Sie zurAccess Policies
Registerkarte, und geben Sie das VLAN ein (es wird in der Dropdown-Liste nicht angezeigt, da dieses VLAN auf dem 9800 WLC nicht vorhanden ist). Klicken Sie anschließend aufSave & Apply to Device
.
Schritt 3: Wiederholen Sie den Vorgang für PolicyProfileFlex2.
Schritt 4: Vergewissern Sie sich für den zentral geswitchten SSID, dass das erforderliche VLAN auf dem 9800 WLC vorhanden ist, und erstellen Sie es, falls dies nicht der Fall ist.
Hinweis: Bei FlexConnect-APs mit lokal geschalteten WLANs wird der Datenverkehr am WAP vermittelt, und die DHCP-Anfragen vom Client gehen direkt über die WAP-Schnittstelle in das kabelgebundene Netzwerk. Der WAP hat keine SVI im Client-Subnetz und kann daher keinen DHCP-Proxy ausführen. Daher hat die DHCP-Relay-Konfiguration (DHCP-Server-IP-Adresse) auf der Registerkarte "Policy Profile" (Richtlinienprofil) > "Advanced" (Erweitert) keine Bedeutung für lokal geschaltete WLANs. In diesen Szenarien muss der Switch-Port das Client-VLAN zulassen und dann, wenn sich der DHCP-Server in einem anderen VLAN befindet, die IP-Hilfsadresse im SVI/Standard-Client-Gateway konfigurieren, damit dieser weiß, wohin die DHCP-Anfrage vom Client gesendet werden soll.
Client-VLANs deklarieren
Schritt 5: Erstellen Sie ein Richtlinienprofil für die zentrale SSID.
Navigieren Sie zuConfiguration > Tags & Profiles > Policy
. Wählen Sie entweder den Namen eines bereits vorhandenen aus, oder klicken Sie + Add
auf, um einen neuen hinzuzufügen.
Daher gibt es drei Richtlinienprofile.
CLI:
# config t
# vlan 2660
# exit
# wireless profile policy PolicyProfileFlex1
# no central switching
# vlan 2685
# no shutdown
# exit
# wireless profile policy PolicyProfileFlex2
# no central switching
# vlan 2686
# no shutdown
# exit
# wireless profile policy PolicyProfileCentral1
# vlan VLAN2660
# no shutdown
# end
Erstellen/Ändern eines Policy Tags
Das Policy Tag (Richtlinien-Tag) ist das Element, mit dem Sie angeben können, welche SSID mit welchem Richtlinienprofil verknüpft ist.
Schritt 1: Navigieren Sie zuConfiguration > Tags & Profiles > Tags > Policy
. Wählen Sie entweder den Namen eines bereits vorhandenen aus, oder klicken Sie + Add
auf, um einen neuen hinzuzufügen.
Schritt 2: Klicken Sie innerhalb des Richtlinien-Tags auf, +Add
und wählen Sie in der Dropdown-Liste den WLAN Profile
Namen aus, der dem Richtlinien-Tag hinzugefügt werden soll undPolicy Profile
mit dem Sie ihn verknüpfen möchten. Klicken Sie anschließend auf das Kontrollkästchen.
Wiederholen Sie den Vorgang für die drei SSIDs, und klicken Sie anschließend aufSave & Apply to Device
.
CLI:
# config t
# wireless tag policy PolicyTag1
# wlan Flex1 policy PolicyProfileFlex1
# wlan Flex2 policy PolicyProfileFlex2
# wlan Central1 policy PolicyProfileCentral1
# end
Erstellen/Ändern eines Flex-Profils
Beachten Sie in der für dieses Dokument verwendeten Topologie, dass es in Local Switching zwei SSIDs mit zwei verschiedenen VLANs gibt. Innerhalb des Flex Profile geben Sie das VLAN der APs (natives VLAN) und jedes andere VLAN an, das der AP kennen muss, in diesem Fall die von den SSIDs verwendeten VLANs.
Schritt 1: Configuration > Tags & Profiles > Flex
Navigieren Sie zu, und erstellen Sie eine neue, oder ändern Sie eine bereits vorhandene.
Schritt 2: Definieren Sie einen Namen für das Flex Profile, und geben Sie das APs-VLAN (Native VLAN ID) an.
Schritt 3: Navigieren Sie zurVLAN
Registerkarte, und geben Sie das benötigte VLAN an.
In diesem Szenario befinden sich Clients in den VLANs 2685 und 2686. Diese VLANs sind auf dem 9800 WLC nicht vorhanden. Fügen Sie sie dem Flex Profile-System hinzu, sodass sie auf dem AP vorhanden sind.
Hinweis: Wenn Sie das Richtlinienprofil erstellt haben und einen VLAN-Namen anstelle einer VLAN-ID ausgewählt haben, stellen Sie sicher, dass der VLAN-Name hier im Flex Profile-Profil exakt derselbe ist.
Wiederholen Sie den Vorgang für die erforderlichen VLANs.
Beachten Sie, dass das für das zentrale Switching verwendete VLAN nicht hinzugefügt wurde, da der Access Point davon nichts wissen muss.
CLI:
# config t
# wireless profile flex FlexProfileLab
# native-vlan-id 2601
# vlan-name VLAN2685
# vlan-id 2685
# vlan-name VLAN2686
# vlan-id 2686
# end
Site-Tag erstellen/ändern
Das Site-Tag ist das Element, mit dem Sie angeben können, welcher Access Point-Teilnehmer und/oder welches Flex-Profil den Access Points zugewiesen wird.
Schritt 1: Navigieren Sie zu Configuration > Tags & Profiles > Tags > Site
. Wählen Sie entweder den Namen eines bereits vorhandenen aus, oder klicken Sie + Add
auf, um einen neuen hinzuzufügen.
Schritt 2: Deaktivieren Sie die Enable Local Site
Option innerhalb des Site-Tags (jeder AP, der ein Site-Tag empfängt, während dieEnable Local Site
Option deaktiviert ist, wird in den FlexConnect-Modus umgewandelt). Sobald es deaktiviert ist, können Sie auch dieFlex Profile
auswählen. Klicken Sie anschließend aufSave & Apply to Device
.
CLI:
# config t
# wireless tag site FlexSite1
# flex-profile FlexProfileLab
# no local-site
Richtlinien-Tag-Zuweisung zu AP
Sie können einem Access Point direkt eine Policy Tag-Nummer zuweisen oder einer Gruppe von Access Points gleichzeitig dieselbe Policy Tag-Nummer zuweisen. Wählen Sie die passende Lösung aus.
Zuweisen von Richtlinien-Tags pro AP
Navigieren Sie zuConfiguration > Wireless > Access Points > AP name > General > Tags
. Wählen Sie in der Site
Dropdown-Liste die gewünschten Tags aus, und klicken Sie aufUpdate & Apply to Device
.
Hinweis: Beachten Sie, dass nach der Änderung die Richtlinien-Tag-Nummer auf einem AP ihre Verknüpfung mit den 9800-WLCs verliert und innerhalb von etwa einer Minute wieder hinzugefügt wird.
Hinweis: Wenn der Access Point im lokalen Modus (oder einem anderen Modus) konfiguriert ist und dann eine Site-Tag-Nummer mitEnable Local Site
deaktivierter Option erhält, startet der Access Point neu und kehrt im FlexConnect-Modus zurück.
CLI:
# config t
# ap <ethernet-mac-addr>
# site-tag <site-tag-name>
# end
Richtlinien-Tag-Zuweisung für mehrere APs
Navigieren Sie zu Configuration > Wireless Setup > Advanced > Start Now
.
Klicken Sie auf das Symbol Tag APs
:=, und wählen Sie anschließend die Liste der APs aus, denen Sie die Tags zuweisen möchten (Sie können auf den Pfeil nach unten nebenAP name
[oder ein beliebiges anderes Feld] klicken, um die Liste der APs zu filtern).
Nachdem Sie die gewünschten APs ausgewählt haben, klicken Sie auf + Tag APs.
Wählen Sie die Tags aus, die Sie den APs zuweisen möchten, und klicken Sie aufSave & Apply to Device
.
Hinweis: Beachten Sie, dass nach der Änderung des Richtlinien-Tags an einem AP die Verknüpfung mit den 9800-WLCs unterbrochen wird und die Anmeldung innerhalb von etwa einer Minute erfolgt.
Hinweis: Wenn der Access Point im lokalen Modus (oder einem anderen Modus) konfiguriert ist und dann eine Site-Tag-Nummer mitEnable Local Site
deaktivierter Option erhält, startet der Access Point neu und kehrt im FlexConnect-Modus zurück.
CLI:
Es gibt keine CLI-Option zum Zuweisen desselben Tags zu mehreren APs.
Flexconnect-ACLs
Wenn Sie ein lokal geschaltetes WLAN verwenden, sollten Sie zunächst prüfen, wie eine ACL auf die Clients angewendet werden kann.
Bei einem zentral geschalteten WLAN wird der gesamte Datenverkehr am WLC freigegeben, sodass die ACL nicht an den WAP weitergeleitet werden muss. Wenn der Datenverkehr jedoch lokal vermittelt wird (Flex Connect - Lokales Switching), muss die ACL (definiert auf dem Controller) zum AP verschoben werden, da der Datenverkehr am AP freigegeben wird. Dies geschieht, wenn Sie die ACL dem Flex-Profil hinzufügen.
Zentrales WLAN
So wenden Sie eine ACL auf Clients an, die an ein zentral geschaltetes WLAN angeschlossen sind:
Schritt 1 - Wenden Sie die ACL auf das Richtlinienprofil an. Gehen Sie zu Configuration > Tags & Profiles > Policy, und wählen Sie das Richtlinienprofil aus, das mit dem zentral geschalteten WLAN verknüpft ist. Wählen Sie im Abschnitt "Access Policies" (Zugriffsrichtlinien) > "WLAN ACL" (WLAN-Zugriffskontrollliste) die Zugriffskontrollliste aus, die Sie auf die Clients anwenden möchten.
Wenn Sie Central Web Authentication auf einem zentral geschalteten WLAN konfigurieren, können Sie auf dem 9800 eine Umleitungszugriffskontrollliste erstellen, so als ob sich der Access Point im lokalen Modus befinde, da in diesem Fall alles zentral auf dem WLC behandelt wird.
Lokal geschaltetes WLAN
So wenden Sie eine ACL auf Clients an, die mit einem lokal geschalteten WLAN verbunden sind:
Schritt 1 - Wenden Sie die ACL auf das Richtlinienprofil an. Gehen Sie zu Configuration > Tags & Profiles > Policy, und wählen Sie das Richtlinienprofil aus, das mit dem zentral geschalteten WLAN verknüpft ist. Wählen Sie im Abschnitt "Access Policies" (Zugriffsrichtlinien) > "WLAN ACL" (WLAN-Zugriffskontrollliste) die Zugriffskontrollliste aus, die Sie auf die Clients anwenden möchten.
Schritt 2: Wenden Sie die ACL auf das Flex-Profil an. Gehen Sie zu Configuration > Tags & Profiles > Flex, und wählen Sie das den Flex Connect-APs zugewiesene Flex-Profil aus. Fügen Sie im Abschnitt "Policy ACL" (Richtlinien-ACL) die ACL hinzu, und klicken Sie auf "Save" (Speichern).
Überprüfen Sie, ob die ACL angewendet wurde.
Sie können überprüfen, ob die ACL auf einen Client angewendet wird, wenn Sie zu Überwachung > Wireless > Clients wechseln. Wählen Sie den Client aus, den Sie überprüfen möchten. Aktivieren Sie im Abschnitt Allgemein > Sicherheitsinformationen im Abschnitt "Serverrichtlinien" den Namen der Filter-ID: diese muss mit der angewendeten ACL übereinstimmen.
Bei Flex Connect-APs (lokale Switching-APs) können Sie überprüfen, ob die ACL an den AP angeschlossen ist, indem Sie den Befehl "#show ip access-lists" auf dem AP selbst eingeben.
Verifizierung
Sie können diese Befehle verwenden, um die Konfiguration zu überprüfen.
Konfiguration von VLANs/Schnittstellen
# show vlan brief
# show interfaces trunk
# show run interface <interface-id>
WLAN-Konfiguration
# show wlan summary
# show run wlan [wlan-name]
# show wlan { id <wlan-id> | name <wlan-name> | all }
AP-Konfiguration
# show ap summary
# show ap tag summary
# show ap name <ap-name> tag { info | detail }
# show ap name <ap-name> tag detail
AP Name : AP2802-01
AP Mac : 0896.ad9d.143e
Tag Type Tag Name
-----------------------------
Policy Tag PT1
RF Tag default-rf-tag
Site Tag default-site-tag
Policy tag mapping
------------------
WLAN Profile Name Policy Name VLAN Central Switching IPv4 ACL IPv6 ACL
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
psk-pbl-ewlc ctrl-vl2602 VLAN0210 ENABLED Not Configured Not Configured
Site tag mapping
----------------
Flex Profile : default-flex-profile
AP Profile : default-ap-profile
Local-site : Yes
RF tag mapping
--------------
5ghz RF Policy : Global Config
2.4ghz RF Policy : Global Config
Tag-Konfiguration
# show wireless tag { policy | rf | site } summary
# show wireless tag { policy | rf | site } detailed <tag-name>
Profilkonfiguration
# show wireless profile { flex | policy } summary
# show wireless profile { flex | policy } detailed <profile-name>
# show ap profile <AP-join-profile-name> detailed