Configuration de la tunnellisation fractionnée OEAP Catalyst 9800 et FlexConnect

Options de téléchargement

  • PDF     (882.1 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (643.4 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (837.5 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:15 septembre 2021
ID du document:215967

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer un point d'accès intérieur (AP) en tant que FlexConnect Office Extend (OEAP) et comment activer la transmission tunnel partagée afin que vous puissiez définir quel trafic peut être commuté localement au bureau à domicile et quel trafic doit être commuté centralement au WLC.

    Conditions préalables

    Conditions requises

    La configuration de ce document suppose que le WLC est déjà configuré dans une DMZ avec NAT activé et que l'AP est capable de rejoindre le WLC depuis le bureau à domicile.

    Components Used

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Contrôleurs LAN sans fil 9800 exécutant le logiciel Cisco IOS-XE 17.3.1.
    • Points d'accès Wave1 : 1700/2700/3700 .
    • Points d'accès Wave2 : Gammes 1800/2800/3800/4800 et Catalyst 9100. 

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Aperçu

    Un point d'accès Cisco OfficeExtend (Cisco OEAP) fournit des communications sécurisées d'un WLC Cisco à un point d'accès Cisco sur un site distant, étendant de manière transparente le WLAN d'entreprise via Internet à la résidence d'un employé. L'expérience de l'utilisateur au bureau à domicile est exactement la même que celle du bureau de l'entreprise. Le chiffrement DTLS (Datagram Transport Layer Security) entre le point d'accès et le contrôleur garantit que toutes les communications ont le niveau de sécurité le plus élevé. Tout point d'accès intérieur en mode FlexConnect peut agir en tant qu'OEAP.

    Informations générales

    FlexConnect désigne la capacité d'un point d'accès (AP) à gérer des clients sans fil lorsqu'ils fonctionnent sur des sites distants, par exemple, sur un WAN. Ils peuvent également décider si le trafic des clients sans fil est directement placé sur le réseau au niveau du point d'accès (commutation locale) ou si le trafic est centralisé sur le contrôleur 9800 (commutation centrale) et renvoyé sur le WAN, par WLAN.

    Consultez ce document Comprendre FlexConnect sur le contrôleur sans fil Catalyst 9800 pour obtenir des informations détaillées sur FlexConnect.

    Le mode OEAP est une option disponible dans un point d'accès FlexConnect, pour permettre des fonctionnalités supplémentaires, par exemple, un SSID local personnel pour l'accès domestique, et peut également fournir une fonctionnalité de tunnellisation partagée, pour une granularité plus grande pour définir le trafic devant être commuté localement au bureau à domicile et le trafic devant être commuté centralement au WLC, sur un seul WLAN

    Configuration

    Diagramme du réseau

    FlexConnect OEAP with Split Tunneling - Network diagram

    Configurations

    Définition d'une liste de contrôle d'accès pour la transmission tunnel partagée

    Étape 1. Choisissez Configuration > Security > ACL. Sélectionnez Ajouter.

    Étape 2. Dans la boîte de dialogue Ajouter une configuration de liste de contrôle d'accès, saisissez le nom de la liste de contrôle d'accès, sélectionnez le type de liste dans la liste déroulante Type de liste de contrôle d'accès et, sous les paramètres Règles, saisissez le numéro de séquence. Choisissez ensuite l'action comme autorisation ou refus.

    Étape 3. Choisissez le type de source requis dans la liste déroulante Type de source.

    Si vous choisissez le type source comme Hôte, vous devez entrer le nom d'hôte/l'adresse IP.

    Si vous choisissez le type de source comme Réseau, vous devez spécifier l'adresse IP source et le masque générique source.

    Dans cet exemple, tout le trafic de n'importe quel hôte vers le sous-réseau 192.168.1.0/24 est commuté de manière centralisée (deny) et tout le reste du trafic est commuté localement (permit).

    Configure AP as an OEAP-Home Offica Access control list configuration

    Étape 4. Cochez la case Log (Journal) si vous souhaitez afficher les journaux, puis sélectionnez Add (Ajouter).

    Étape 5. Ajoutez le reste des règles et sélectionnez Appliquer au périphérique.

    Configure AP as an OEAP-Apply ACL to device

    Liaison d’une stratégie de liste de contrôle d’accès à la liste de contrôle d’accès définie

    Étape 1. Créez un profil flexible. Accédez à Configuration > Tags & Profiles > Flex. sélectionnez Ajouter.

    Étape 2. Entrez un nom et activez OEAP. Vérifiez également que l'ID de VLAN natif est celui du port de commutation AP.

    Configure AP as an OEAP-Policy Profile VLAN setting

    Note: Lorsque vous activez le mode Office-Extend, le chiffrement de liaison est également activé par défaut et ne peut pas être modifié même si vous désactivez le chiffrement de liaison dans le profil de jointure AP. 

    Étape 3. Accédez à l'onglet Liste de contrôle d'accès de stratégie et sélectionnez Ajouter. Ajoutez la liste de contrôle d'accès au profil et appliquez-la au périphérique.

    Configure AP as an OEAP-Flexprofile OEAP setting and ACL

    Configuration d'une stratégie de profil sans fil et d'un nom de liste de contrôle d'accès MAC partagée

    Étape 1. Créez un profil WLAN. Dans cet exemple, il a utilisé un SSID nommé HomeOffice avec la sécurité WPA2-PSK.

    Étape 2. Créez un profil de stratégie. Accédez à Configuration > Tags > Policy et sélectionnez Add. Sous Général, assurez-vous que ce profil est des stratégies commutées de manière centralisée comme indiqué dans cet exemple :

    Configure AP as an OEAP - WLAN configuration - FlexConnect Local Switching option enabled or disabled

    Étape 3. Dans le profil de stratégie, accédez à Politiques d'accès et définissez le VLAN pour le trafic à commuter de manière centralisée. Les clients obtiennent une adresse IP dans le sous-réseau attribué à ce VLAN. 

    Configure AP as an OEAP-Link WLAN and Policy profile

    Étape 4. Pour configurer la transmission tunnel partagée locale sur un point d'accès, vous devez vous assurer que vous avez activé DCHP Required sur le WLAN. Cela garantit que le client associé au WLAN partagé fait le DHCP. Vous pouvez activer cette option dans le profil de stratégie sous l'onglet Avancé. Activez la case à cocher IPv4 DHCP Required. Sous Paramètres de stratégie flexible WLAN, sélectionnez la liste de contrôle d'accès MAC fractionnée créée précédemment dans la liste déroulante Liste de contrôle d'accès MAC fractionnée. Sélectionnez Appliquer au périphérique :

    Configure AP as an OEAPApply policy tag to access point

    Note: Les clients Apple iOS ont besoin de l'option 6 (DNS) à définir dans l'offre DHCP pour que la tunnellisation partagée fonctionne.

    Mappage d'un WLAN à un profil de stratégie

    Étape 1. Choisissez Configuration > Tags & Profiles > Tags. Dans l'onglet Stratégie, sélectionnez Ajouter.

    Étape 2. Saisissez le nom de la stratégie de balise et sous l'onglet WLAN-POLICY Maps, sélectionnez Ajouter.

    Étape 3. Choisissez le profil WLAN dans la liste déroulante WLAN Profile et choisissez le profil Policy dans la liste déroulante Policy Profile. Sélectionnez l'icône de sélection, puis Appliquer au périphérique.

    Configure AP as an OEAP-Flexprofile policy ACL and apply to device

    Configuration d'un profil de jointure AP et association avec la balise de site

    Étape 1. Naviguez jusqu'à Configuration > Tags & Profiles > AP Join et sélectionnez Add. Saisissez un nom. Vous pouvez éventuellement activer SSH pour autoriser le dépannage et, ultérieurement, le désactiver si nécessaire.

    Étape 2. Choisissez Configuration > Tags & Profiles > Tags. Dans l'onglet Site, sélectionnez Ajouter.

    Étape 3. Entrez le nom de la balise de site, décochez Activer le site local, puis sélectionnez le profil de jointure AP et le profil flexible (créés avant) dans les listes déroulantes. Appliquez ensuite au périphérique.

    Configure AP as an OEAPJoin Profile and Site tag configuration

    Fixation d'une balise de stratégie et d'une balise de site à un point d'accès

    Option 1. Cette option nécessite que vous configuriez 1 point d'accès à la fois. Accédez à Configuration > Wireless > Access Points. Sélectionnez le point d'accès à déplacer vers le bureau à domicile, puis sélectionnez les balises du bureau à domicile. Sélectionnez Mettre à jour et appliquer au périphérique :

    Configure AP as an OEAP-Policy Profile Flexconnect settings example

    Il est également recommandé de configurer un contrôleur principal de sorte que le point d'accès connaisse l'adresse IP/nom du WLC à atteindre une fois qu'il est déployé dans le bureau à domicile. Vous pouvez modifier le point d'accès directement en accédant à l'onglet Haute disponibilité :

    Configure AP as an OEAP - Configure a primary WLC on High Availability tab

    Option 2. Cette option vous permet de configurer plusieurs points d'accès simultanément. Accédez à Configuration > Wireless Setup > Advanced > Tag APs. Sélectionnez les balises créées précédemment et sélectionnez Appliquer au périphérique.

    Configure AP as an OEAP-Policy Profile Split ACL setting

    Les AP redémarrent et rerejoignent le WLC avec les nouveaux paramètres.

    Vérification

    Vous pouvez vérifier la configuration via l'interface utilisateur graphique ou l'interface de ligne de commande. Voici la configuration résultante dans l'interface de ligne de commande :

    !
    ip access-list extended HomeOffice_ACL
    1 deny ip any 192.168.1.0 0.0.0.255 log
    2 permit ip any any log
    !
    wireless profile flex HomeOffice_FlexProfile
    acl-policy HomeOffice_ACL
    office-extend
    !
    wireless profile policy HomeOfficePolicy
    no central association
    aaa-override
    flex split-mac-acl HomeOffice_ACL
    flex vlan-central-switching
    ipv4 dhcp required
    vlan default
    no shutdown
    !
    wireless tag site HomeOficeSite
    flex-profile HomeOffice_FlexProfile
    no local-site
    !
    wireless tag policy HomeOfficePolicyTag
    wlan HomeOffice policy HomeOfficePolicy
    !
    wlan HomeOffice 5 HomeOffice
    security wpa psk set-key ascii 0 xxxxxxx
    no security wpa akm dot1x
    security wpa akm psk
    no shutdown
    !
    ap 70db.98e1.3eb8
    policy-tag HomeOfficePolicyTag
    site-tag HomeOficeSite
    !
    ap c4f7.d54c.e77c
    policy-tag HomeOfficePolicyTag
    site-tag HomeOficeSite
    !

    Vérification de la configuration du point d'accès :

    eWLC-9800-01#show ap name AP3800_E1.3EB8 config general

    Cisco AP Name : AP3800_E1.3EB8
    =================================================

    Cisco AP Identifier : 0027.e336.5a60
    ...
    MAC Address : 70db.98e1.3eb8
    IP Address Configuration : DHCP
    IP Address : 192.168.1.99
    IP Netmask : 255.255.255.0
    Gateway IP Address : 192.168.1.254
    ...
    SSH State : Enabled
    Cisco AP Location : default location
    Site Tag Name : HomeOficeSite
    RF Tag Name : default-rf-tag
    Policy Tag Name : HomeOfficePolicyTag
    AP join Profile : HomeOfficeAP
    Flex Profile : HomeOffice_FlexProfile
    Primary Cisco Controller Name : eWLC-9800-01
    Primary Cisco Controller IP Address : 192.168.1.15
    ...
    AP Mode : FlexConnect
    AP VLAN tagging state : Disabled
    AP VLAN tag : 0
    CAPWAP Preferred mode : IPv4
    CAPWAP UDP-Lite : Not Configured
    AP Submode : Not Configured
    Office Extend Mode : Enabled
    ...

    Vous pouvez vous connecter directement au point d'accès et vérifier également la configuration :

    AP3800_E1.3EB8#show ip access-lists 
    Extended IP access list HomeOffice_ACL
    1 deny ip any 192.168.1.0 0.0.0.255
    2 permit ip any any
    AP3800_E1.3EB8#show capwap client detailrcb 
    SLOT 0 Config

    SSID : HomeOffice
    Vlan Id : 0
    Status : Enabled 
    ...
    otherFlags : DHCP_REQUIRED VLAN_CENTRAL_SW 
    ...
    Profile Name : HomeOffice
    ...

    AP3800_E1.3EB8#show capwap client config
    AdminState : ADMIN_ENABLED(1)
    Name : AP3800_E1.3EB8
    Location : default location
    Primary controller name : eWLC-9800-01
    Primary controller IP : 192.168.1.15
    ​‌Secondary controller name : c3504-01
    Secondary controller IP : 192.168.1.14
    Tertiary controller name :
    ssh status : Enabled
    ApMode : FlexConnect
    ApSubMode : Not Configured
    Link-Encryption : Enabled
    OfficeExtend AP : Enabled
    Discovery Timer : 10
    Heartbeat Timer : 30
    ...

    Voici un exemple de capture de paquets montrant le trafic commuté localement. Ici, le test effectué était un ping d'un client avec IP 192.168.1.98 vers le serveur DNS de Google, puis vers 192.168.1.254. Vous pouvez voir l'ICMP provenant de l'adresse IP de l'AP 192.168.1.99 envoyée au DNS Google en raison de la NAT de l'AP qui effectue le trafic localement. Il n'y a pas de icmp vers 192.168.1.254, car le trafic est chiffré dans le tunnel DTLS et seules les trames de données d'application sont vues.

    HomeOffice packet capture

    Note: Le trafic qui est commuté localement est NATed par le point d'accès, car dans des scénarios normaux, le sous-réseau du client appartient au réseau Office et les périphériques locaux du bureau à domicile ne savent pas comment atteindre le sous-réseau du client. Le point d’accès traduit le trafic client à l’aide de l’adresse IP du point d’accès qui se trouve dans le sous-réseau du bureau à domicile local.

    Vous pouvez accéder à l'interface utilisateur graphique OEAP en ouvrant un navigateur et en tapant l'URL de l'adresse IP AP. Les informations d'identification par défaut sont admin/admin et vous devez les modifier lors de la connexion initiale.

    Verify OEAP configuration-Home Office AP GUI login page

    Une fois connecté, vous avez accès à l'interface utilisateur graphique :

    Verify OEAP configuration -Home Office AP web UI dashboard

    Vous avez accès aux informations standard d'un OEAP, telles que les informations de point d'accès, les SSID et les clients connectés :

    Verify OEAP configuration -OEAP clients connected page

    Documentation associée

    Comprendre FlexConnect sur le contrôleur sans fil Catalyst 9800

    Fractionnement de la transmission tunnel pour FlexConnect

    Configurer OEAP et RLAN sur le WLC Catalyst 9800

    Historique de révision

    Révision Date de publication Commentaires
    2.0
    15-Sep-2021
    modifications de mise en forme
    1.0
    07-Sep-2021
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Tiago Antunes
      Cisco TAC

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits