Introducción
Este documento describe la función FlexConnect y su configuración general en los controladores inalámbricos 9800.
Antecedentes
FlexConnect se refiere a la capacidad de un punto de acceso (AP) para determinar si el tráfico de los clientes inalámbricos se coloca directamente en la red a nivel del AP (switching local) o si el tráfico está centralizado en el controlador 9800 (switching central).

Prerequisites
Requirements
No hay requisitos específicos para este documento.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Controladores inalámbricos Cisco Catalyst 9800 con Cisco IOS®-XE Gibraltar v17.9.x
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Diagrama de la red
Este documento se basa en esta topología:

Configuraciones
Este es el esquema visual de la configuración que se necesita para lograr la situación de este documento:
Para configurar un identificador de conjunto de servicios (SSID) de switching local de FlexConnect, estos son los pasos generales que se deben seguir:
- Crear/modificar un perfil de WLAN
- Crear/modificar un perfil de políticas
- Crear/modificar una etiqueta de políticas
- Crear/modificar un perfil de Flex
- Crear/modificar una etiqueta de sitio
- Asignación de etiquetas de políticas para AP
Estas secciones explican cómo configurar cada uno de ellos, paso a paso.
Crear/modificar un perfil de WLAN
Puede usar esta guía para crear los tres SSID:
Cree su SSID

Crear/modificar un perfil de políticas
Paso 1. Desplácese hastaConfiguration > Tags & Profiles > Policy
. Seleccione el nombre de uno que ya exista o haga clic en + Add para agregar uno nuevo.
ProfileFlex1
Cuando desactiva , aparece este mensaje de advertencia; haga clic en y continúe con la configuración.Central Switching
Yes

Paso 2. Vaya a laAccess Policies
pestaña y escriba la VLAN (No la ve en la lista desplegable porque esta VLAN no existe en el WLC 9800). Después de eso, haga clic en .Save & Apply to Device

Paso 3. Repita el mismo procedimiento para PolicyProfileFlex2.
ProfileFlex2

Paso 4. Para el SSID conmutado centralmente, asegúrese de que su VLAN necesaria exista en el WLC 9800 y, si no, créelo.
Nota: En los AP de FlexConnect con WLAN conmutadas localmente, el tráfico se conmuta en el AP y las solicitudes DHCP del cliente entran en la red cableada por la interfaz AP directamente. El AP no tiene ninguna SVI en la subred del cliente, así que no puede hacer el proxy DHCP; y, por lo tanto, la configuración de retransmisión DHCP (dirección IP del servidor DHCP), en la ficha Perfil de directiva > Avanzado, no tiene ningún significado para las WLAN conmutadas localmente. En estas situaciones, el puerto del switch debe permitir la VLAN del cliente y, luego, si el servidor DHCP está en una VLAN diferente, configurar el ayudante de IP en la SVI/gateway predeterminado del cliente para que sepa dónde enviar la solicitud de DHCP del cliente.
Declarar las VLAN del cliente
Paso 5. Crear un perfil de política para el SSID central.
Vaya a .Configuration > Tags & Profiles > Policy
Seleccione el nombre de uno que ya existe o haga clic en para agregar uno nuevo.+ Add
ProfileCentral1

Como resultado, hay tres perfiles de políticas.

CLI:
# config t
# vlan 2660
# exit
# wireless profile policy PolicyProfileFlex1
# no central switching
# vlan 2685
# no shutdown
# exit
# wireless profile policy PolicyProfileFlex2
# no central switching
# vlan 2686
# no shutdown
# exit
# wireless profile policy PolicyProfileCentral1
# vlan VLAN2660
# no shutdown
# end
Crear/modificar una etiqueta de políticas
La etiqueta de políticas es el elemento que le permite especificar qué SSID está vinculado a qué perfil de políticas.
Paso 1. Navegue hastaConfiguration > Tags & Profiles > Tags > Policy
. Seleccione el nombre de uno que ya existe o haga clic en + Add
para agregar uno nuevo.

Paso 2. Dentro de la etiqueta de directiva, haga clic en +Add
, en la lista desplegable seleccione el WLAN Profile
nombre que desea agregar a la etiqueta de directiva yPolicy Profile
al que desea vincularla. Después de eso, haga clic en la marca de verificación.


Repita para los tres SSID y, a continuación, haga clic en .Save & Apply to Device

CLI:
# config t
# wireless tag policy PolicyTag1
# wlan Flex1 policy PolicyProfileFlex1
# wlan Flex2 policy PolicyProfileFlex2
# wlan Central1 policy PolicyProfileCentral1
# end
Crear/modificar un perfil de Flex
En la topología utilizada para este documento, observe que hay dos SSID en el switching local con dos VLAN diferentes. Dentro del perfil de Flex es donde se especifica la VLAN de AP (VLAN nativa) y cualquier otra VLAN que el AP necesita conocer, en este caso, las VLAN utilizadas por los SSID.
Configuration > Tags & Profiles > Flex
Paso 1. Desplácese hasta y cree uno nuevo o modifique uno que ya exista.

Paso 2. Defina un nombre para el perfil Flex y especifique la VLAN de AP (ID de VLAN nativa).

Paso 3. Navegue hasta laVLAN
pestaña y especifique la VLAN necesaria.
En esta situación, hay clientes en las VLAN 2685 y 2686. Estas VLAN no existen en el WLC 9800, agréguelas al perfil de Flex para que existan en el AP.


Nota: Cuando creó el perfil de política, si seleccionó un nombre de VLAN en lugar de un ID de VLAN, asegúrese de que el nombre de VLAN aquí en el perfil de Flex sea exactamente el mismo.
Repita esto para las VLAN necesarias.

Observe que no se agregó la VLAN usada para el switch central, ya que el AP no necesita ser consciente de ello.
CLI:
# config t
# wireless profile flex FlexProfileLab
# native-vlan-id 2601
# vlan-name VLAN2685
# vlan-id 2685
# vlan-name VLAN2686
# vlan-id 2686
# end
Crear/modificar una etiqueta de sitio
La etiqueta de sitio es el elemento que le permite especificar qué unión de AP o perfil de Flex se asigna a los AP.
Paso 1. Navegue hasta Configuration > Tags & Profiles > Tags > Site
. Seleccione el nombre de uno que ya existe o haga clic + Add
para agregar uno nuevo.

Paso 2. Dentro de la etiqueta del sitio, inhabilite la Enable Local Site
opción (cualquier AP que reciba una etiqueta del sitio con laEnable Local Site
opción inhabilitada se convierte en el modo FlexConnect). Una vez que está deshabilitada, también puede seleccionar .Flex Profile
Después, haga clic en .Save & Apply to Device

CLI:
# config t
# wireless tag site FlexSite1
# flex-profile FlexProfileLab
# no local-site
Asignación de etiquetas de políticas para AP
Puede asignar una etiqueta de políticas directamente a un AP o asignar la misma etiqueta de políticas a un grupo de AP al mismo tiempo. Elija lo que más le convenga.
Asignación de etiquetas de políticas según AP
Vaya a .Configuration > Wireless > Access Points > AP name > General > Tags
En la lista desplegable , seleccione las etiquetas deseadas y haga clic en .Site
Update & Apply to Device

Nota: Tenga en cuenta que después del cambio, la etiqueta de la política en un AP, pierde su asociación a los WLC 9800 y se une de nuevo dentro de aproximadamente 1 minuto.
Nota: Si el AP se configura en el modo local (o en cualquier otro modo) y luego obtiene una etiqueta del sitio con laEnable Local Site
opción inhabilitada, el AP se reinicia y vuelve al modo FlexConnect.
CLI:
# config t
# ap <ethernet-mac-addr>
# site-tag <site-tag-name>
# end
Asignación de etiquetas de políticas para varios AP
Vaya a .Configuration > Wireless Setup > Advanced > Start Now
Haga clic en el icono :=, luego seleccione la lista de AP a los que desea asignar las etiquetas (puede hacer clic en la flecha hacia abajo junto a [o cualquier otro campo] para filtrar la lista de AP).Tag APs
AP name

Una vez que haya seleccionado los AP deseados, haga clic en + Tag APs.

Seleccione las etiquetas que desea asignar a los AP y haga clic en .Save & Apply to Device

Nota: Tenga en cuenta que después de cambiar la etiqueta de la política en un AP, pierde su asociación a los WLC 9800 y se une de nuevo dentro de aproximadamente 1 minuto.
Nota: Si el AP está configurado en modo local (o cualquier otro modo) y obtiene una etiqueta de sitio con la opción desactivada, el AP se reinicia y vuelve al modo FlexConnect.Enable Local Site
CLI:
No hay ninguna opción de CLI para asignar la misma etiqueta a varios AP.
ACL de FlexConnect
Una cosa que se debe tener en cuenta cuando se tiene una WLAN con switch local es cómo aplicar una ACL a los clientes.
En el caso de una WLAN con switch central, todo el tráfico se libera en el WLC, por lo que no es necesario enviar la ACL al AP. Sin embargo, cuando el tráfico se conmuta localmente (FlexConnect, switch local), la ACL (definida en el controlador) debe enviarse al AP, ya que el tráfico se libera en el AP. Esto se hace cuando agrega la ACL al perfil de Flex.
Las ACL de FlexConnect se aplican en las direcciones de entrada y salida. Esto requiere que sea muy explícito al permitir o denegar el tráfico en la subred del cliente. Es un error común bloquear el acceso de los clientes a su gateway por no tener una ACL lo suficientemente explícita. Vea más detalles en las notas del ID de error de Cisco CSCuv93592
.
WLAN con switch central
Para aplicar una ACL a los clientes conectados a una WLAN con switch central:
Paso 1: aplique la ACL al perfil de políticas. Vaya a Configuration > Tags & Profiles > Policy y seleccione el perfil de políticas asociado a la WLAN con switch central. En la sección "Access Policies" > "WLAN ACL", seleccione la ACL que desea aplicar a los clientes.

Si está configurando la autenticación web central en una WLAN con switch central, puede crear una ACL de redireccionamiento en el 9800, como si el AP estuviera en modo local, ya que en ese caso todo se maneja de manera centralizada en el WLC.
WLAN con switch local
Para aplicar una ACL a los clientes conectados a una WLAN con switch local:
Paso 1: aplique la ACL al perfil de políticas. Vaya a Configuration > Tags & Profiles > Policy, seleccione el perfil de política asociado con la WLAN conmutada localmente. En la sección "Access Policies" > "WLAN ACL", seleccione la ACL que desea aplicar a los clientes.

Paso 2: aplique la ACL al perfil de Flex. Vaya a Configuration > Tags & Profiles > Flex, seleccione el perfil de Flex asignado a los AP FlexConnect. En la sección "Policy ACL", agregue la ACL y haga clic en "Save"

Verificar si se aplica la ACL
Puede verificar si la ACL se aplica a un cliente cuando vaya a Monitoring > Wireless > Clients y seleccione el cliente que desea verificar. En la sección General > Security Information, verifique en la sección "Server Policies" el nombre del "Filter-ID" : debe corresponder a la ACL aplicada.

En el caso de los AP Flex Connect (switching local), puede verificar si la ACL está conectada al AP escribiendo el comando "#show ip access-list" en el AP.
Verificación
Puede usar estos comandos para verificar la configuración.
Configuración de interfaces/VLAN
# show vlan brief
# show interfaces trunk
# show run interface <interface-id>
Configuración de WLAN
# show wlan summary
# show run wlan [wlan-name]
# show wlan { id <wlan-id> | name <wlan-name> | all }
Configuración de AP
# show ap summary
# show ap tag summary
# show ap name <ap-name> tag { info | detail }
# show ap name <ap-name> tag detail
AP Name : AP2802-01
AP Mac : 0896.ad9d.143e
Tag Type Tag Name
-----------------------------
Policy Tag PT1
RF Tag default-rf-tag
Site Tag default-site-tag
Policy tag mapping
------------------
WLAN Profile Name Policy Name VLAN Central Switching IPv4 ACL IPv6 ACL
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
psk-pbl-ewlc ctrl-vl2602 VLAN0210 ENABLED Not Configured Not Configured
Site tag mapping
----------------
Flex Profile : default-flex-profile
AP Profile : default-ap-profile
Local-site : Yes
RF tag mapping
--------------
5ghz RF Policy : Global Config
2.4ghz RF Policy : Global Config
Configuración de etiquetas
# show wireless tag { policy | rf | site } summary
# show wireless tag { policy | rf | site } detailed <tag-name>
Configuración de perfiles
# show wireless profile { flex | policy } summary
# show wireless profile { flex | policy } detailed <profile-name>
# show ap profile <AP-join-profile-name> detailed