Einleitung
Dieses Dokument enthält eine Beschreibung der FlexConnect-Funktion und ihrer allgemeinen Konfiguration auf 9800 Wireless Controllern.
Hintergrundinformationen
FlexConnect bezieht sich auf die Fähigkeit eines Access Point (AP), zu bestimmen, ob der Datenverkehr von den Wireless-Clients direkt auf AP-Ebene in das Netzwerk geleitet wird (lokales Switching) oder ob er zentral zum 9800-Controller geleitet wird (zentrales Switching).

Voraussetzungen
Anforderungen
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Cisco Catalyst 9800 Wireless Controller mitCisco IOS®-XE Gibraltar v 17.9.x
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Netzwerkdiagramm
Dieses Dokument basiert auf folgender Topologie:

Konfigurationen
Dies ist das visuelle Schema der Konfiguration, die erforderlich ist, um das Szenario in diesem Dokument zu erreichen:
Zur Konfiguration eines Secure Set Identifier (SSID) für das lokale Switching müssen die folgenden allgemeinen Schritte ausgeführt werden:
- WLAN-Profil erstellen/ändern
- Richtlinienprofil erstellen/ändern
- Richtlinien-Tag erstellen/ändern
- Flex-Profil erstellen/ändern
- Standort-Tag erstellen/ändern
- Richtlinien-Tag-Zuweisung zu AP
In diesen Abschnitten wird die Konfiguration der einzelnen Elemente Schritt für Schritt erläutert.
WLAN-Profil erstellen/ändern
Mithilfe der Informationen in diesem Leitfaden können Sie die drei SSIDs erstellen:
Ihre SSID erstellen

Richtlinienprofil erstellen/ändern
Schritt 1. Navigieren Sie zuConfiguration > Tags & Profiles > Policy
. Wählen Sie entweder den Namen eines bereits vorhandenen Eintrags aus oder klicken Sie auf+ Add (+ Hinzufügen), um einen neuen Eintrag hinzuzufügen.
ProfileFlex1
Wenn Sie deaktivieren, wird diese Warnmeldung angezeigt. Klicken Sie auf und fahren Sie mit der Konfiguration fort.Central Switching
Yes

Schritt 2: Wechseln Sie zurAccess Policies
Registerkarte, und geben Sie das VLAN ein (es wird in der Dropdown-Liste nicht angezeigt, da dieses VLAN auf dem 9800 WLC nicht vorhanden ist). Klicken Sie anschließend auf .Save & Apply to Device

Schritt 3: Wiederholen Sie den Vorgang für PolicyProfileFlex2.
ProfileFlex2

Schritt 4: Stellen Sie sicher, dass das erforderliche VLAN für die zentral geswitchte SSID auf dem 9800 WLC vorhanden ist, und falls nicht, erstellen Sie es.
Anmerkung: Bei FlexConnect-APs mit lokal geschalteten WLANs wird der Datenverkehr am WAP geswitcht, und die DHCP-Anfragen vom Client gehen direkt über die WAP-Schnittstelle in das kabelgebundene Netzwerk. Der Access Point verfügt im Client-Subnetz über keine SVI und kann daher keinen DHCP-Proxy verwenden. Daher hat die DHCP-Relay-Konfiguration (DHCP Server IP Address) auf der Registerkarte Policy Profile > Advanced (Richtlinienprofil > Erweitert) keine Bedeutung für lokal geschaltete WLANs. In diesen Szenarien muss der Switch-Port das Client-VLAN zulassen. Wenn sich der DHCP-Server in einem anderen VLAN befindet, konfigurieren Sie den IP-Helper in der Client-SVI/dem Standardgateway, damit er weiß, wohin er die DHCP-Anfrage vom Client senden soll.
Client-VLANs deklarieren
Schritt 5: Erstellen Sie ein Richtlinienprofil für die zentrale SSID.
Navigieren Sie zu .Configuration > Tags & Profiles > Policy
Wählen Sie entweder den Namen eines bereits vorhandenen Eintrags aus oder klicken Sie auf , um einen neuen Eintrag hinzuzufügen.+ Add
ProfileCentral1

Jetzt gibt es drei Richtlinienprofile.

CLI:
# config t
# vlan 2660
# exit
# wireless profile policy PolicyProfileFlex1
# no central switching
# vlan 2685
# no shutdown
# exit
# wireless profile policy PolicyProfileFlex2
# no central switching
# vlan 2686
# no shutdown
# exit
# wireless profile policy PolicyProfileCentral1
# vlan VLAN2660
# no shutdown
# end
Richtlinien-Tag erstellen/ändern
Das Richtlinien-Tag ist das Element, mit dem Sie angeben können, welche SSID mit welchem Richtlinienprofil verknüpft wird.
Schritt 1. Navigieren Sie zuConfiguration > Tags & Profiles > Tags > Policy
+ Add
. Wählen Sie entweder den Namen eines bereits vorhandenen aus, oder klicken Sie auf, um einen neuen hinzuzufügen.

Schritt 2: Klicken Sie innerhalb des Policy Tags auf +Add
, wählen Sie aus der Dropdown-Liste den WLAN Profile
Namen aus, der dem Policy Tag hinzugefügt werden soll undPolicy Profile
mit dem Sie ihn verknüpfen möchten. Klicken Sie anschließend auf das Häkchen.


Wiederholen Sie den Vorgang für die drei SSIDs und klicken Sie anschließend auf .Save & Apply to Device

CLI:
# config t
# wireless tag policy PolicyTag1
# wlan Flex1 policy PolicyProfileFlex1
# wlan Flex2 policy PolicyProfileFlex2
# wlan Central1 policy PolicyProfileCentral1
# end
Flex-Profil erstellen/ändern
Beachten Sie in der für dieses Dokument verwendeten Topologie, dass es in Local Switching zwei SSIDs mit zwei verschiedenen VLANs gibt. Innerhalb des Flex-Profils geben Sie das VLAN der APs (natives VLAN) und jedes andere VLAN an, das der WAP kennen muss. In diesem Fall sind es die von den SSIDs verwendeten VLANs.
Schritt 1: Navigieren Sie zu einer bereits vorhandenen Ressource,Configuration > Tags & Profiles > Flex
und erstellen Sie eine neue, oder ändern Sie eine vorhandene.

Schritt 2: Definieren Sie einen Namen für das Flex Profile, und geben Sie die VLANs der APs (native VLAN-ID) an.

Schritt 3: Navigieren Sie zurVLAN
Registerkarte, und geben Sie das benötigte VLAN an.
In diesem Szenario befinden sich Clients in den VLANs 2685 und 2686. Diese VLANs sind auf dem 9800 WLC nicht vorhanden. Fügen Sie sie zum Flex-Profil hinzu, damit sie auf dem AP vorhanden sind.


Anmerkung: Wenn Sie das Richtlinienprofil erstellt haben und einen VLAN-Namen anstelle einer VLAN-ID ausgewählt haben, stellen Sie sicher, dass der VLAN-Name hier im Flex Profile-Objekt exakt derselbe ist.
Wiederholen Sie den Vorgang für die erforderlichen VLANs.

Beachten Sie, dass das für das zentrale Switching (Central Switching) verwendete VLAN nicht hinzugefügt wurde, da der AP es nicht kennen muss.
CLI:
# config t
# wireless profile flex FlexProfileLab
# native-vlan-id 2601
# vlan-name VLAN2685
# vlan-id 2685
# vlan-name VLAN2686
# vlan-id 2686
# end
Standort-Tag erstellen/ändern
Der Standort-Tag ist das Element, mit dem Sie angeben können, welcher AP-Beitritt und/oder welches Flex-Profil den APs zugewiesen wird.
Schritt 1. Navigieren Sie zu Configuration > Tags & Profiles > Tags > Site
+ Add
. Wählen Sie entweder den Namen einer bereits vorhandenen aus, oder klicken Sie auf, um eine neue hinzuzufügen.

Schritt 2: Deaktivieren Sie die Enable Local Site
Option innerhalb des Site-Tags (jeder Access Point, der ein Site-Tag empfängt, während dieEnable Local Site
Option deaktiviert ist, wird in den FlexConnect-Modus umgewandelt). Sobald diese Option deaktiviert ist, können Sie auch das auswählen.Flex Profile
Klicken Sie anschließend auf .Save & Apply to Device

CLI:
# config t
# wireless tag site FlexSite1
# flex-profile FlexProfileLab
# no local-site
Richtlinien-Tag-Zuweisung zu AP
Sie können ein Richtlinien-Tag direkt einem AP oder dasselbe Richtlinien-Tag gleichzeitig einer Gruppe von APs zuweisen. Wählen Sie den Eintrag, der für Sie geeignet ist.
Richtlinien-Tag-Zuweisung per AP
Navigieren Sie zu .Configuration > Wireless > Access Points > AP name > General > Tags
Wählen Sie in der Dropdown-Liste die gewünschten Tags aus und klicken Sie auf .Site
Update & Apply to Device

Anmerkung: Beachten Sie, dass nach der Änderung die Richtlinien-Tag-Nummer auf einem AP ihre Verknüpfung mit den 9800-WLCs verliert und innerhalb von etwa einer Minute wieder hinzugefügt wird.
Anmerkung: Wenn der Access Point im lokalen Modus (oder einem anderen Modus) konfiguriert ist und dann eine Site-Tag-Nummer mitEnable Local Site
deaktivierter Option erhält, startet der Access Point neu und kehrt im FlexConnect-Modus zurück.
CLI:
# config t
# ap <ethernet-mac-addr>
# site-tag <site-tag-name>
# end
Richtlinien-Tag-Zuweisung für mehrere APs
Navigieren Sie zu .Configuration > Wireless Setup > Advanced > Start Now
Klicken Sie auf das Symbol := und wählen Sie anschließend die Liste der APs aus, denen Sie die Tags zuweisen möchten. (Sie können auf den Abwärtspfeil neben [oder einem anderen Feld] klicken, um die Liste der APs zu filtern.)Tag APs
AP name

Wenn Sie die gewünschten APs ausgewählt haben, klicken Sie auf + Tag APs (+ APs taggen).

Wählen Sie die Tags aus, die Sie den APs zuweisen möchten, und klicken Sie auf .Save & Apply to Device

Anmerkung: Beachten Sie, dass nach dem Ändern des Richtlinien-Tags auf einem AP die Verknüpfung mit den 9800-WLCs unterbrochen wird und die Anmeldung innerhalb von etwa einer Minute erfolgt.
Hinweis: Wenn der AP im lokalen Modus (oder einem anderen Modus) konfiguriert ist und dann ein Standort-Tag mit deaktivierter Option erhält, startet der AP neu und kehrt in den FlexConnect-Modus zurück.Enable Local Site
CLI:
Es gibt keine CLI-Option, um mehreren APs dasselbe Tag zuzuweisen.
FlexConnect-ACLs
Bei einem lokal geschalteten WLAN müssen Sie beachten, wie eine ACL auf die Clients angewendet wird.
Bei einem zentral geschalteten WLAN wird der gesamte Datenverkehr im WLC freigegeben, sodass die ACL nicht an den AP übertragen werden muss. Wenn der Datenverkehr jedoch lokal geschaltet wird (FlexConnect – lokales Switching), muss die ACL (auf dem Controller definiert) an den AP übertragen werden, da der Datenverkehr am AP freigegeben wird. Dies geschieht, wenn Sie die ACL zum Flex-Profil hinzufügen.
FlexConnect-ACLs werden sowohl in Ausgangs- als auch in Eingangsrichtung angewendet. Daher müssen Sie den Datenverkehr im Client-Subnetz explizit zulassen oder ablehnen. Ein häufiger Fehler ist, dass Clients der Zugang zu ihrem Gateway verwehrt wird, weil die ACL nicht explizit genug ist. Weitere Details finden Sie in den Hinweisen zur Cisco Bug-ID CSCuv93592
.
Zentral geschaltetes WLAN
So wenden Sie eine ACL auf die Clients an, die mit einem zentral geschalteten WLAN verbunden sind:
Schritt 1: Wenden Sie die ACL auf das Richtlinienprofil an. Rufen Sie nacheinander Configuration > Tags & Profiles > Policy (Konfiguration > Tags und Profile > Richtlinie) auf. Wählen Sie das Richtlinienprofil aus, das dem zentral geschalteten WLAN zugeordnet ist. Wählen Sie im Abschnitt „Access Policies > WLAN ACL“ (Zugriffsrichtlinien > WLAN-ACL) die ACL aus, die Sie auf die Clients anwenden möchten.

Wenn Sie Central Web Authentication in einem zentral geschalteten WLAN konfigurieren, können Sie eine Umleitungs-ACL auf dem 9800 erstellen, als würde sich der AP im lokalen Modus befinden, da in diesem Fall alles zentral auf dem WLC verarbeitet wird.
Lokal geschaltetes WLAN
So wenden Sie eine ACL auf die Clients an, die mit einem lokal geschalteten WLAN verbunden sind:
Schritt 1: Wenden Sie die ACL auf das Richtlinienprofil an. Gehen Sie zu Configuration > Tags & Profiles > Policy, und wählen Sie das Richtlinienprofil aus, das mit dem lokal geschalteten WLAN verknüpft ist. Wählen Sie im Abschnitt „Access Policies > WLAN ACL“ (Zugriffsrichtlinien > WLAN-ACL) die ACL aus, die Sie auf die Clients anwenden möchten.

Schritt 2 : Wenden Sie die ACL auf das Flex-Profil an. Rufen Sie nacheinander Configuration > Tags & Profiles > Flex (Konfiguration > Tags und Profile > Flex) auf. Wählen Sie das Flex-Profil aus, das den FlexConnect-APs zugewiesen ist. Fügen Sie im Abschnitt „Policy ACL“ (Richtlinien-ACL) die ACL hinzu und klicken Sie auf „Save“ (Speichern).

Anwendung der ACL überprüfen
Sie können überprüfen, ob die ACL auf einen Client angewendet wird, indem Sie zu Monitoring > Wireless > Clients navigieren. Wählen Sie dann den Client aus, den Sie überprüfen möchten. Aktivieren Sie im Abschnitt Allgemein > Sicherheitsinformationen im Abschnitt "Serverrichtlinien" den Namen der Filter-ID: Sie muss der angewendeten ACL entsprechen.

Bei FlexConnect-APs (lokales Switching) können Sie überprüfen, ob die ACL an den AP übertragen wird, indem Sie auf dem AP selbst den Befehl „#show ip access-lists“ eingeben.
Verifizierung
Mit diesen Befehlen können Sie die Konfiguration überprüfen.
VLANs/Schnittstellenkonfiguration
# show vlan brief
# show interfaces trunk
# show run interface <interface-id>
WLAN-Konfiguration
# show wlan summary
# show run wlan [wlan-name]
# show wlan { id <wlan-id> | name <wlan-name> | all }
AP-Konfiguration
# show ap summary
# show ap tag summary
# show ap name <ap-name> tag { info | detail }
# show ap name <ap-name> tag detail
AP Name : AP2802-01
AP Mac : 0896.ad9d.143e
Tag Type Tag Name
-----------------------------
Policy Tag PT1
RF Tag default-rf-tag
Site Tag default-site-tag
Policy tag mapping
------------------
WLAN Profile Name Policy Name VLAN Central Switching IPv4 ACL IPv6 ACL
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
psk-pbl-ewlc ctrl-vl2602 VLAN0210 ENABLED Not Configured Not Configured
Site tag mapping
----------------
Flex Profile : default-flex-profile
AP Profile : default-ap-profile
Local-site : Yes
RF tag mapping
--------------
5ghz RF Policy : Global Config
2.4ghz RF Policy : Global Config
Tag-Konfiguration
# show wireless tag { policy | rf | site } summary
# show wireless tag { policy | rf | site } detailed <tag-name>
Profilkonfiguration
# show wireless profile { flex | policy } summary
# show wireless profile { flex | policy } detailed <profile-name>
# show ap profile <AP-join-profile-name> detailed