Introduction
Ce document explique comment configurer le point d'accès Cisco OfficeExtend (OEAP) et le réseau local distant (RLAN) sur le WLC 9800.
Un point d'accès Cisco OfficeExtend (OEAP) fournit des communications sécurisées entre un contrôleur et un point d'accès Cisco sur un site distant, étendant ainsi de manière transparente le réseau local sans fil de l'entreprise via Internet à la résidence d'un employé. L'expérience d'un utilisateur au bureau à domicile est exactement la même que dans le bureau de l'entreprise. Le cryptage DTLS (Datagram Transport Layer Security) entre un point d'accès et le contrôleur garantit que toutes les communications disposent du niveau de sécurité le plus élevé.
Un réseau local distant (RLAN) est utilisé pour authentifier les clients câblés à l’aide du contrôleur. Une fois que le client filaire a réussi à joindre le contrôleur, les ports LAN commutent le trafic entre les modes de commutation central ou local. Le trafic provenant des clients filaires est traité comme du trafic client sans fil. Le RLAN du point d'accès (AP) envoie la demande d'authentification pour authentifier le client filaire. L'authentification des clients filaires dans un réseau local sans fil est similaire à celle du client sans fil authentifié central.
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- 9800 WLC
- Accès aux contrôleurs et aux points d'accès sans fil via l'interface de ligne de commande (CLI)
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- WLC du Catalyst 9800 version 17.02.01
- Points d'accès 1815/1810
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Configurer
Diagramme du réseau

Joindre AP derrière la NAT
Dans les codes 16.12.x, vous devez configurer l'adresse IP NAT à partir de l'interface de ligne de commande. Aucune option d'interface utilisateur graphique n'est disponible. Vous pouvez également sélectionner la découverte CAPWAP via une adresse IP publique ou privée.
(config)#wireless management interface vlan 1114 nat public-ip x.x.x.x
(config-nat-interface)#capwap-discovery ?
private Include private IP in CAPWAP Discovery Response
public Include public IP in CAPWAP Discovery Response
Dans les codes 17.x, naviguez vers Configuration > Interface > Wireless et cliquez sur Wireless Management Interface, pour configurer NAT IP et CAPWAP-discovery type à partir de l'interface graphique utilisateur.

Configuration
1. Afin de créer un profil Flex, activez Office Extend AP et naviguez vers Configuration > Tags & Profiles > Flex.

2. Afin de créer une balise de site et de mapper le profil flexible, naviguez jusqu'à Configuration > Tags & Profiles > Tags.

3. Naviguez jusqu'à marquer le point d'accès 1815 avec la balise de site créée par Configuration > Wireless Setup > Advanced > Tag APs.

Vérifier
Une fois que l'AP 1815 rejoint le WLC, vérifiez ce résultat :
vk-9800-1#show ap name AP1815 config general
Cisco AP Name : AP1815
=================================================
Cisco AP Identifier : 002c.c8de.3460
Country Code : Multiple Countries : IN,US
Regulatory Domain Allowed by Country : 802.11bg:-A 802.11a:-ABDN
AP Country Code : US - United States
Site Tag Name : Home-Office
RF Tag Name : default-rf-tag
Policy Tag Name : default-policy-tag
AP join Profile : default-ap-profile
Flex Profile : OEAP-FLEX
Administrative State : Enabled
Operation State : Registered
AP Mode : FlexConnect
AP VLAN tagging state : Disabled
AP VLAN tag : 0
CAPWAP Preferred mode : IPv4
CAPWAP UDP-Lite : Not Configured
AP Submode : Not Configured
Office Extend Mode : Enabled
Dhcp Server : Disabled
Remote AP Debug : Disabled
vk-9800-1#show ap link-encryption
Encryption Dnstream Upstream Last
AP Name State Count Count Update
--------------------------------------------------------------------------
N2 Disabled 0 0 06/08/20 00:47:33
AP1815 Enabled 43 865 06/08/20 00:46:56
when you enable the OfficeExtend mode for an access point DTLS data encryption is enabled automatically.
AP1815#show capwap client config
AdminState : ADMIN_ENABLED(1)
Name : AP1815
Location : default location
Primary controller name : vk-9800-1
ssh status : Enabled
ApMode : FlexConnect
ApSubMode : Not Configured
Link-Encryption : Enabled
OfficeExtend AP : Enabled
Discovery Timer : 10
Heartbeat Timer : 30
Syslog server : 255.255.255.255
Syslog Facility : 0
Syslog level : informational
Remarque : vous pouvez activer ou désactiver le cryptage des données DTLS pour un point d'accès spécifique ou pour tous les points d'accès à l'aide de la commande ap link-encryption
vk-9800-1(config)#ap profile default-ap-profile
vk-9800-1(config-ap-profile)#no link-encryption
Disabling link-encryption globally will reboot the APs with link-encryption.
Are you sure you want to continue? (y/n)[y]:y
Connectez-vous à OEAP et configurez le SSID personnel
1. Vous pouvez accéder à l’interface Web du protocole OEAP avec son adresse IP. Les informations d'identification par défaut pour se connecter sont admin et admin.
2. Il est recommandé de modifier les informations d'identification par défaut pour des raisons de sécurité.

3. Accédez à Configuration> SSID> 2,4 GHz/5 GHz pour configurer le SSID personnel.

4. Activez l'interface radio.
5. Saisissez le SSID et activez la diffusion
6. Pour le cryptage, choisissez WPA-PSK ou WPA2-PSK et entrez la phrase de passe pour le type de sécurité correspondant.
7. Cliquez sur Apply pour que les paramètres prennent effet.
8. Les clients qui se connectent au SSID personnel obtiennent l’adresse IP du réseau 10.0.0.1/24 par défaut.
9. Les utilisateurs à domicile peuvent utiliser le même point d’accès pour se connecter pour leur usage à domicile et ce trafic n’est pas transmis via le tunnel DTLS.
10. Pour vérifier les associations de clients sur le PAEO, accédez à Accueil > Client. Vous pouvez voir les clients locaux et les clients d'entreprise associés au PAEO.

To clear personal ssidfrom office-extend ap
ewlc#ap name cisco-ap clear-personalssid-config
clear-personalssid-config Clears the Personal SSID config on an OfficeExtend AP
Configuration du RLAN sur le WLC 9800
Un réseau local distant (RLAN) est utilisé pour authentifier les clients câblés à l’aide du contrôleur. Une fois que le client filaire a réussi à joindre le contrôleur, les ports LAN commutent le trafic entre les modes de commutation central ou local. Le trafic provenant des clients filaires est traité comme du trafic client sans fil. Le RLAN du point d'accès (AP) envoie la demande d'authentification pour authentifier le client filaire. Les
L'authentification des clients filaires dans un réseau local sans fil est similaire à celle du client sans fil authentifié central.
Remarque : dans cet exemple, le protocole EAP local est utilisé pour l'authentification du client RLAN. La configuration EAP locale doit être présente sur le WLC pour configurer les étapes ci-dessous. Il inclut les méthodes d'authentification et d'autorisation aaa, le profil EAP local et les informations d'identification locales.
Exemple de configuration de l'authentification EAP locale sur le WLC Catalyst 9800
- Afin de créer un profil RLAN, accédez à Configuration > Wireless > Remote LAN et entrez un nom et un ID RLAN pour le profil RLAN, comme illustré dans cette image.

2. Accédez à Security > Layer2, afin d'activer 802.1x pour un RLAN, définissez l'état 802.1x sur Enabled, comme indiqué dans cette image.

3. Accédez à Security > AAA, définissez l'authentification EAP locale sur enabled, et choisissez le nom de profil EAP requis dans la liste déroulante, comme illustré dans cette image.

4. Afin de créer une politique de RLAN, naviguez à Configuration > Wireless > Remote LAN et sur la page Remote LAN, cliquez sur RLAN Policy tab, comme montré dans cette image.

Accédez à Access Policies et configurez le VLAN et le mode hôte, puis appliquez les paramètres.

5. Afin de créer une balise de stratégie et de mapper le profil RLAN à la stratégie RLAN, accédez à Configuration > Tags & Profiles > Tags.


6. Activez le port LAN et appliquez le marqueur de stratégie sur le point d'accès. Accédez à Configuration > Wireless > Access Points et cliquez sur le point d'accès.

Appliquez le paramètre et l'AP rejoint à nouveau le WLC. Cliquez sur l'AP, puis sélectionnez Interfaces et activez le port LAN.

Appliquez les paramètres et vérifiez l'état.

7. Connectez un PC au port LAN3 du point d’accès. Le PC sera authentifié via 802.1x et obtiendra une adresse IP du VLAN configuré.
Accédez à Monitoring > Wireless > Clients pour vérifier l'état du client.


vk-9800-1#show wireless client summary
Number of Clients: 2
MAC Address AP Name Type ID State Protocol Method Role
-------------------------------------------------------------------------------------------------------------------------
503e.aab7.0ff4 AP1815 WLAN 3 Run 11n(2.4) None Local
b496.9126.dd6c AP1810 RLAN 1 Run Ethernet Dot1x Local
Number of Excluded Clients: 0
Dépannage
Problèmes courants:
- Seul le SSID local fonctionne, les SSID configurés sur le WLC ne sont pas diffusés : Vérifiez si AP a rejoint le contrôleur correctement.
- Impossible d'accéder à l'interface utilisateur graphique OEAP : vérifiez si l'application possède une adresse IP et vérifiez l'accessibilité (pare-feu, ACL, etc. sur le réseau)
- Clients filaires ou sans fil à commutation centrale ne pouvant pas s'authentifier ou obtenir l'adresse IP : prendre des traces RA, toujours sur traces, etc.
Exemple de traces Always on pour le client 802.1x filaire :
[client-orch-sm] [18950]: (note): MAC: <client-mac> Association received. BSSID 00b0.e187.cfc0, old BSSID 0000.0000.0000, WLAN test_rlan, Slot 2 AP 00b0.e187.cfc0, Ap_1810
[client-orch-state] [18950]: (note): MAC: <client-mac> Client state transition: S_CO_INIT -> S_CO_ASSOCIATING
[dot11-validate] [18950]: (ERR): MAC: <client-mac> Failed to dot11 determine ms physical radio type. Invalid radio type :0 of the client.
[dot11] [18950]: (ERR): MAC: <client-mac> Failed to dot11 send association response. Encoding of assoc response failed for client reason code: 14.
[dot11] [18950]: (note): MAC: <client-mac> Association success. AID 1, Roaming = False, WGB = False, 11r = False, 11w = False AID list: 0x1| 0x0| 0x0| 0x0
[client-orch-state] [18950]: (note): MAC: <client-mac> Client state transition: S_CO_ASSOCIATING -> S_CO_L2_AUTH_IN_PROGRESS
[client-auth] [18950]: (note): MAC: <client-mac> ADD MOBILE sent. Client state flags: 0x71 BSSID: MAC: 00b0.e187.cfc0 capwap IFID: 0x90000012
[client-auth] [18950]: (note): MAC: <client-mac> L2 Authentication initiated. method DOT1X, Policy VLAN 1119,AAA override = 0 , NAC = 0
[ewlc-infra-evq] [18950]: (note): Authentication Success. Resolved Policy bitmap:11 for client <client-mac>
[client-orch-sm] [18950]: (note): MAC: <client-mac> Mobility discovery triggered. Client mode: Local
[client-orch-state] [18950]: (note): MAC: <client-mac> Client state transition: S_CO_L2_AUTH_IN_PROGRESS -> S_CO_MOBILITY_DISCOVERY_IN_PROGRESS
[mm-client] [18950]: (note): MAC: <client-mac> Mobility Successful. Roam Type None, Sub Roam Type MM_SUB_ROAM_TYPE_NONE, Previous BSSID MAC: 0000.0000.0000 Client IFID: 0xa0000003, Client Role: Local PoA: 0x90000012 PoP: 0x0
[client-auth] [18950]: (note): MAC: <client-mac> ADD MOBILE sent. Client state flags: 0x72 BSSID: MAC: 00b0.e187.cfc0 capwap IFID: 0x90000012
[client-orch-state] [18950]: (note): MAC: <client-mac> Client state transition: S_CO_MOBILITY_DISCOVERY_IN_PROGRESS -> S_CO_DPATH_PLUMB_IN_PROGRESS
[dot11] [18950]: (note): MAC: <client-mac> Client datapath entry params - ssid:test_rlan,slot_id:2 bssid ifid: 0x0, radio_ifid: 0x90000006, wlan_ifid: 0xf0404001
[dpath_svc] [18950]: (note): MAC: <client-mac> Client datapath entry created for ifid 0xa0000003
[client-orch-state] [18950]: (note): MAC: <client-mac> Client state transition: S_CO_DPATH_PLUMB_IN_PROGRESS -> S_CO_IP_LEARN_IN_PROGRESS
[client-iplearn] [18950]: (note): MAC: <client-mac> Client IP learn successful. Method: DHCP IP: <Cliet-IP>
[apmgr-db] [18950]: (ERR): 00b0.e187.cfc0 Get ATF policy name from WLAN profile:: Failed to get wlan profile. Searched wlan profile test_rlan
[apmgr-db] [18950]: (ERR): 00b0.e187.cfc0 Failed to get ATF policy name
[apmgr-bssid] [18950]: (ERR): 00b0.e187.cfc0 Failed to get ATF policy name from WLAN profile name: No such file or directory
[client-orch-sm] [18950]: (ERR): Failed to get client ATF policy name: No such file or directory
[client-orch-state] [18950]: (note): MAC: <client-mac> Client state transition: S_CO_IP_LEARN_IN_PROGRESS -> S_CO_RUN