Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Exemple de configuration du 9800 avec FlexConnect OEAP avec fractionnement de tunnellisation

Options de téléchargement

  • PDF     (868.9 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (633.4 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (825.9 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:16 octobre 2020
ID du document:215967
À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document montre comment configurer le WLC 9800 avec des points d'accès intérieurs en mode FlexConnect Office Extend et activer la tunnellisation fractionnée afin que vous puissiez définir quel trafic doit être commuté localement au bureau à domicile et quel trafic doit être commuté centralement au WLC.

    Conditions préalables

    Conditions requises

    La configuration de ce document suppose que le WLC est déjà configuré dans une DMZ avec NAT activé et que l'AP est capable de rejoindre le WLC depuis le bureau à domicile.

    Components Used

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Contrôleurs LAN sans fil 9800 exécutant le logiciel IOS-XE 17.3.1.
    • Points d'accès Wave1 : 1700/2700/3700.
    • Points d'accès Wave2 : Gammes 1800/2800/3800/4800 et Catalyst 9100. 

    Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique.

    All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

    Aperçu

    Un point d'accès Cisco OfficeExtend (Cisco OEAP) fournit des communications sécurisées d'un WLC Cisco à un point d'accès Cisco sur un site distant, étendant de manière transparente le WLAN d'entreprise via Internet à la résidence d'un employé. L'expérience de l'utilisateur au bureau à domicile est exactement la même que celle du bureau de l'entreprise. Le chiffrement DTLS (Datagram Transport Layer Security) entre le point d'accès et le contrôleur garantit que toutes les communications ont le niveau de sécurité le plus élevé. Tout AP intérieur en mode FlexConnect peut agir en tant qu'AP Office Extend.

    Informations générales

    FlexConnect désigne la capacité d'un point d'accès (AP) à décider si le trafic des clients sans fil est placé directement sur le réseau au niveau du point d'accès (commutation locale) ou si le trafic est centralisé vers le contrôleur 9800 (commutation centrale). Consultez ce document Comprendre FlexConnect sur le contrôleur sans fil Catalyst 9800 pour obtenir des informations détaillées sur FlexConnect.

    Le mode Office Extend est une option disponible dans un point d'accès FlexConnect et avec la transmission tunnel partagée vous permet de définir le trafic qui doit être commuté localement au bureau à domicile et le trafic qui doit être commuté centralement au WLC.

    Configuration

    Diagramme du réseau

    Configurations

    Définition d'une liste de contrôle d'accès pour la transmission tunnel partagée

    Étape 1. Choisissez Configuration > Security > ACL. Cliquez sur Add.

    Étape 2. Dans la boîte de dialogue Ajouter une configuration de liste de contrôle d'accès, saisissez le nom de la liste de contrôle d'accès, choisissez le type de liste dans la liste déroulante Type de liste de contrôle d'accès et, sous les paramètres Règles, saisissez le numéro de séquence. Choisissez ensuite l'action comme permit ou deny.

    Étape 3. Choisissez le type de source requis dans la liste déroulante Type de source.

    Si vous choisissez le type source comme Hôte, vous devez entrer le nom d'hôte/l'adresse IP.

    Si vous choisissez le type de source comme Réseau, vous devez spécifier l'adresse IP source et le masque générique source.

    Dans cet exemple, nous commuterons (refuserons) de manière centralisée tout le trafic de n'importe quel hôte vers le sous-réseau 192.168.1.0/24 et tout le reste du trafic sera commuté localement (permit).

    Étape 4. Cochez la case Journal si vous voulez les journaux, puis cliquez sur Ajouter.

    Étape 5. Ajoutez le reste des règles et cliquez sur Appliquer au périphérique.

    Liaison d’une stratégie de liste de contrôle d’accès à la liste de contrôle d’accès définie

    Étape 1. Créez un profil flexible. Accédez à Configuration > Balises et profils > Flex. Cliquez sur Add.

    Étape 2. Entrez un nom et activez Office Extend AP. Assurez-vous également que l'ID VLAN natif est celui du port de commutation AP.

    Remarque: Lorsque vous activez le mode Office-Extend, le chiffrement de liaison est également activé par défaut et ne peut pas être modifié même si vous désactivez le chiffrement de liaison dans le profil de jointure AP. 

    Étape 3. Accédez à l'onglet Liste de contrôle d'accès de stratégie et cliquez sur Ajouter. Ajoutez la liste de contrôle d'accès au profil et appliquez-la au périphérique.

    Configuration d'une stratégie de profil sans fil et d'un nom de liste de contrôle d'accès MAC partagée

    Étape 1. Créez un WLAN. Dans cet exemple, il a utilisé un SSID nommé HomeOffice avec la sécurité WPA2-PSK.

    Étape 2. Créer un profil de stratégie. Accédez à Configuration > Tags > Policy et cliquez sur Add. Sous Général, assurez-vous que ce profil aura des politiques de commutation centralisée comme indiqué dans cet exemple :

    Étape 3. Dans le profil de stratégie, accédez à Politiques d'accès et définissez le VLAN pour le trafic à commuter de manière centralisée. Les clients obtiennent l’adresse IP dans le sous-réseau attribué à ce VLAN. 

    Étape 4. Pour configurer la transmission tunnel partagée locale sur un point d'accès, vous devez vous assurer que vous avez activé DCHP Required sur le WLAN. Cela garantit que le client associé au WLAN divisé fait DHCP. Vous pouvez activer cette option dans le profil de stratégie sous l'onglet Avancé. Activez la case à cocher DHCP IPv4 Obligatoire. Sous les paramètres WLAN Flex Policy, sélectionnez la liste de contrôle d'accès MAC fractionnée créée auparavant dans la liste déroulante Split MAC ACL. Cliquez sur Appliquer au périphérique :

    Remarque: Les clients Apple iOS ont besoin de l'option 6 (DNS) à définir dans l'offre DHCP pour que la tunnellisation partagée fonctionne.

    Mappage d'un WLAN à un profil de stratégie

    Étape 1. Choisissez Configuration > Tags & Profiles > Tags. Dans l'onglet Stratégie, cliquez sur Ajouter.

    Étape 2. Entrez le nom de la stratégie de balise et sous l'onglet WLAN-POLICY Maps, cliquez sur Ajouter.

    Étape 3. Choisissez le profil WLAN dans la liste déroulante WLAN Profile et choisissez le profil Policy dans la liste déroulante Policy Profile. Cliquez sur l'icône Tic, puis Appliquer au périphérique.

    Configuration d'un profil de jointure AP et association avec la balise de site

    Étape 1. Accédez à Configuration > Tags & Profiles > AP Join et cliquez sur Add. Entrez un nom. Vous pouvez éventuellement activer SSH pour autoriser le dépannage et, ultérieurement, le désactiver si nécessaire.

    Étape 2. Choisissez Configuration > Tags & Profiles > Tags. Dans l'onglet Site, cliquez sur Ajouter.

    Étape 3. Entrez le nom de la balise de site, décochez Activer le site local, puis sélectionnez le profil de connexion et le profil paramétrable (créés précédemment) dans les listes déroulantes. Puis appliquer au périphérique.

    Fixation d'une balise de stratégie et d'une balise de site à un point d'accès

    Option 1. Cette option nécessite que vous configuriez 1 point d'accès à la fois. Accédez à Configuration > Wireless > Access Points. Sélectionnez le point d'accès à déplacer vers le bureau à domicile, puis sélectionnez les balises du bureau à domicile. Cliquez sur Mettre à jour et appliquer au périphérique :

    Il est également recommandé de configurer un contrôleur principal afin que le point d'accès connaisse l'adresse IP/nom du WLC à atteindre une fois qu'il est déployé dans le bureau à domicile. Vous pouvez modifier l'AP directement en accédant à l'onglet Haute disponibilité :

    Option 2. Cette option vous permet de configurer plusieurs points d'accès simultanément. Accédez à Configuration > Wireless Setup > Advanced > Tag AP. Sélectionnez les balises créées précédemment et cliquez sur Appliquer au périphérique.

    Les AP redémarrent et rerejoignent le WLC avec les nouveaux paramètres.

    Vérification

    Vous pouvez vérifier la configuration via l'interface utilisateur graphique ou l'interface de ligne de commande. Voici la configuration résultante dans l'interface de ligne de commande :

    !
    ip access-list extended HomeOffice_ACL
    1 deny ip any 192.168.1.0 0.0.0.255 log
    2 permit ip any any log
    !
    wireless profile flex HomeOffice_FlexProfile
    acl-policy HomeOffice_ACL
    office-extend
    !
    wireless profile policy HomeOfficePolicy
    no central association
    aaa-override
    flex split-mac-acl HomeOffice_ACL
    flex vlan-central-switching
    ipv4 dhcp required
    vlan default
    no shutdown
    !
    wireless tag site HomeOficeSite
    flex-profile HomeOffice_FlexProfile
    no local-site
    !
    wireless tag policy HomeOfficePolicyTag
    wlan HomeOffice policy HomeOfficePolicy
    !
    wlan HomeOffice 5 HomeOffice
    security wpa psk set-key ascii 0 xxxxxxx
    no security wpa akm dot1x
    security wpa akm psk
    no shutdown
    !
    ap 70db.98e1.3eb8
    policy-tag HomeOfficePolicyTag
    site-tag HomeOficeSite
    !
    ap c4f7.d54c.e77c
    policy-tag HomeOfficePolicyTag
    site-tag HomeOficeSite
    !

    Vérification de la configuration du point d'accès :

    eWLC-9800-01#show ap name AP3800_E1.3EB8 config general

    Cisco AP Name : AP3800_E1.3EB8
    =================================================

    Cisco AP Identifier : 0027.e336.5a60
    ...
    MAC Address : 70db.98e1.3eb8
    IP Address Configuration : DHCP
    IP Address : 192.168.1.99
    IP Netmask : 255.255.255.0
    Gateway IP Address : 192.168.1.254
    ...
    SSH State : Enabled
    Cisco AP Location : default location
    Site Tag Name : HomeOficeSite
    RF Tag Name : default-rf-tag
    Policy Tag Name : HomeOfficePolicyTag
    AP join Profile : HomeOfficeAP
    Flex Profile : HomeOffice_FlexProfile
    Primary Cisco Controller Name : eWLC-9800-01
    Primary Cisco Controller IP Address : 192.168.1.15
    ...
    AP Mode : FlexConnect
    AP VLAN tagging state : Disabled
    AP VLAN tag : 0
    CAPWAP Preferred mode : IPv4
    CAPWAP UDP-Lite : Not Configured
    AP Submode : Not Configured
    Office Extend Mode : Enabled
    ...

    Vous pouvez vous connecter directement au point d'accès et vérifier également la configuration :

    AP3800_E1.3EB8#show ip access-lists 
    Extended IP access list HomeOffice_ACL
    1 deny ip any 192.168.1.0 0.0.0.255
    2 permit ip any any
    AP3800_E1.3EB8#show capwap client detailrcb 
    SLOT 0 Config

    SSID : HomeOffice
    Vlan Id : 0
    Status : Enabled 
    ...
    otherFlags : DHCP_REQUIRED VLAN_CENTRAL_SW 
    ...
    Profile Name : HomeOffice
    ...

    AP3800_E1.3EB8#show capwap client config
    AdminState : ADMIN_ENABLED(1)
    Name : AP3800_E1.3EB8
    Location : default location
    Primary controller name : eWLC-9800-01
    Primary controller IP : 192.168.1.15
    ​‌Secondary controller name : c3504-01
    Secondary controller IP : 192.168.1.14
    Tertiary controller name :
    ssh status : Enabled
    ApMode : FlexConnect
    ApSubMode : Not Configured
    Link-Encryption : Enabled
    OfficeExtend AP : Enabled
    Discovery Timer : 10
    Heartbeat Timer : 30
    ...

    Voici un exemple de capture de paquets montrant le trafic commuté localement. Ici, le test effectué était un ping d'un client avec IP 192.168.1.98 à 8.8.8.8, puis à 192.168.1.254. Vous pouvez voir l'ICMP provenant de l'IP de l'adresse IP AP 192.168.1.99 envoyée à 8.8.8.8 en raison de la NAT AP qui effectue le trafic localement. Il n'y a pas de icmp vers 192.168.1.254, car le trafic est chiffré dans le tunnel DTLS et seules les trames de données d'application sont vues.

    Remarque: Le trafic qui est commuté localement sera NAT par le point d'accès, car dans des scénarios normaux, le sous-réseau du client appartient au réseau Office et les périphériques locaux du bureau à domicile ne sauront pas comment atteindre le sous-réseau du client. Le point d’accès traduira le trafic client à l’aide de l’adresse IP du point d’accès qui se trouve dans le sous-réseau du bureau à domicile local.

    Vous pouvez accéder à l'interface utilisateur graphique du point d'accès Office Extend en ouvrant un navigateur et en tapant l'URL de l'adresse IP du point d'accès. Les informations d'identification par défaut sont admin/admin et vous serez invité à les modifier lors de la connexion initiale.

    Une fois connecté, vous avez accès à l'interface utilisateur graphique :

    Vous avez accès aux informations standard d'un point d'accès Office Extend, telles que les informations de point d'accès, les SSID et les clients connectés :

    Documentation associée

    Comprendre FlexConnect sur le contrôleur sans fil Catalyst 9800

    Fractionnement de la transmission tunnel pour FlexConnect

    Configurer OEAP et RLAN sur le WLC Catalyst 9800

    TAC Authored

    Contribution d’experts de Cisco

    • Tiago Antunes
      TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Discussions connexes de communautés de Cisco

    Ce document s’applique à ces produits

    Suivez-nous
    Salle de presseÉvénementsBloguesCommunauté
    À propos de nous
    Communiquer Avec Nous
    Travailler Avec Nous