Conversion de contrôleur sans fil intégré sur les points d'accès Catalyst 9100

Introduction

Cet article explique comment convertir un point d'accès léger de la gamme Cisco Catalyst 9000 (9115, 9117, 9120, 9130) en contrôleur sans fil intégré (EWC) et accéder à son interface Web. D'autres guides sont disponibles concernant l'application smartphone ou l'assistant Web UI pour déployer facilement Cisco EWC sur Catalyst AP, mais ce document se concentre principalement sur l'approche CLI ainsi que sur les conseils et astuces de conversion.

À propos du contrôleur sans fil intégré sur le point d'accès Catalyst

Le contrôleur sans fil intégré ^Cisco® sur ^{les points d'accès} Catalyst® offre une option pour votre réseau Wi-Fi 6 facile à déployer et à gérer. La fonction de contrôle est intégrée à Cisco Point d'accès Catalyst, aucune appliance physique supplémentaire n'est requise.

Cela signifie que vous bénéficiez dès le départ de fonctionnalités d'entreprise, notamment une sécurité robuste, la fiabilité de Cisco et la capacité et les performances du Wi-Fi 6. Le déploiement et la gestion de votre nouveau réseau sans fil nécessitent peu de connaissances sur le réseau ou d'assistance informatique, ce qui en fait la solution idéale pour les déploiements sur site unique ou multisite pour les entreprises disposant de ressources informatiques minimales. Mets-le et oublie-le.

Le contrôleur sans fil intégré Cisco sur les points d'accès Catalyst exécute un code Cisco IOS^® XE similaire aux contrôleurs sans fil de la gamme Cisco Catalyst 9800, ce qui le rend résilient, sécurisé et intelligent. Avec le contrôleur sans fil intégré, vous bénéficiez de fonctionnalités d'entreprise sans avoir à investir dans un appareil de contrôleur.

En outre, votre investissement dans les points d'accès Cisco Catalyst est protégé au fur et à mesure que vos besoins évoluent. Le contrôleur sans fil intégré peut être migré vers des déploiements basés sur le cloud ou le contrôleur physique selon les besoins.

EWC sur les limites des points d'accès Catalyst

• EWC ne peut pas configurer son interface Gig 0 comme trunk
• EWC ne prend pas en charge les interfaces SVI
• EWC n'est pas capable d'exécuter la commutation centralisée
• Le Gig 0 est la seule interface pouvant être utilisée comme gestion sans fil
• Tout le trafic EWC doit provenir de l'interface Gig 0 (rayon, contrôle capwap, trafic de licence, etc.).
• EWC ne peut pas effectuer de captures de paquets intégrées
• EWC ne prend pas en charge les points d'accès en mode renifleur
• L'image EWC ne démarre pas s'il y a un autre WLC EWC, AireOS ou 9800 dans le même domaine de diffusion. Le point d'accès continuera à fonctionner comme un point d'accès léger normal jusqu'à ce que les autres WLC soient supprimés du réseau.
• Lors de la conversion ou de la mise à niveau d'EWC dans un déploiement avec des modèles d'AP mixtes, il est nécessaire d'avoir un serveur TFTP fonctionnel

Conditions requises

Conditions préalables

Les étapes décrites dans cet article supposent que le point d'accès exécute une image de majuscule légère et qu'un serveur TFTP fonctionnel est accessible à ce point d'accès. Une connexion série au point d’accès est également requise. 

Components Used

• Point d'accès 9 120
• Image EWC version 17.1.1s
• serveur TFTP
• Câble console

Déployer

Configuration du commutateur

Le port auquel le point d'accès EWC est connecté doit être un port trunk avec le VLAN natif qui est celui du VLAN de gestion. 

Exemple de configuration de commutateur :

configure terminal
  interface gigabitEthernet 0/1
  switchport mode trunk
  switchport trunk native vlan 10

Réinitialisation en usine

Avant de convertir le point d'accès, il est recommandé d'effectuer une réinitialisation en usine, même si elle est toute nouvelle :

1. Débrancher le point d'accès de sa source d'alimentation
2. Branchez le câble de console et ouvrez une session série sur votre ordinateur.
3. Appuyez et maintenez le bouton Mode/Reset sur le point d'accès.
4. Rebranchez le point d'accès à sa source d'alimentation tout en maintenant le bouton Mode/Reset enfoncé
5. Maintenez le bouton enfoncé jusqu'à ce que l'invite de votre session série s'affiche

La session de console indique la durée pendant laquelle le bouton a été enfoncé. Au moins 20 secondes sont nécessaires pour un redémarrage complet. Le point d'accès démarre et les informations d'identification par défaut Cisco/Cisco peuvent être utilisées pour se connecter à la ligne de commande (les informations d'identification de l'interface Web sont webui/Cisco)

Topologie du réseau

Les images du contrôleur sans fil intégré sont fournies sous forme de fichier zip. Le fichier zip contient :

• Image .bin EWC (exemple : C9800-AP-iosxe-wlc.bin)
• Image AP pour tous les AP qui peuvent rejoindre EWC (exemple : ap1g4, ap1g7)
• Fichier Readme.txt qui spécifie quelle image correspond au modèle AP

Note: Assurez-vous d'extraire le contenu de l'archive zip vers votre serveur TFTP. Le point d'accès aura besoin d'accéder directement à ces fichiers, il ne pourra pas les obtenir s'ils sont toujours dans une archive.

Le tableau ci-dessous répertorie toutes les images et les modèles AP correspondants :

Modèle AP	Nom du fichier image
AP1815, AP154x	ap1g5
AP180x, AP183x, AP185x	ap1g4
C9115, C9120	ap1g7
C9117	ap1g6
C9130	ap1g6a
AP380x, AP280x, AP156x	ap3g3

Remarque : Seuls les points d'accès de la gamme Cisco Catalyst 9000 sont capables d'exécuter du code EWC. Tous les autres points d'accès de la table ci-dessus sont capables de rejoindre uniquement EWC.

Le contenu du fichier zip extrait doit être copié sur un serveur TFTP.

Avant de mettre à niveau l'image, nous allons renommer l'AP et lui assigner une adresse IP statique, un masque de réseau et une passerelle par défaut :

Username: Cisco
Password: Cisco
AP2CF8.9B5F.8628>enable
Password: Cisco
AP2CF8.9B5F.8628#capwap ap hostname AP1
Please note that if AP is already associated to WLC,
the new hostname will only reflect on WLC after AP
 dis-associates and rejoins.
AP1#capwap ap ip 192.168.1.14 255.255.255.0 192.168.1.1

Le serveur TFTP se trouve sur une adresse IP 192.168.1.25. Contrairement à Mobility Express, il est nécessaire de spécifier 2 images différentes : un pour le point d'accès et un pour le CEE. La conversion de l'image s'effectue à l'aide de la commande suivante :

AP1#ap-type ewc-ap tftp://192.168.1.25/ap1g7 tftp://192.168.1.25/C9800-AP-iosxe-wlc.bin
Starting download eWLC image tftp://192.168.1.25/C9800-AP-iosxe-wlc.bin ...
It may take a few minutes. If longer, please abort command, check network and try again.
It may take a few minutes. If longer, please abort command, check network and try again.
######################################################################## 100.0%
Upgrading ...

Les suggestions CLI du point d'accès (en utilisant ?) ne mentionnent que TFTP et SFTP comme protocoles pris en charge. Cependant, d'autres comme HTTP et HTTPS sont également pris en charge (et beaucoup plus rapidement que le TFTP le plus couramment utilisé). Au moment de l'écriture de cet article, la mise à niveau via FTP n'est pas possible. La commande d'amélioration « CSCvy36161 - 9100 APs ap-type ewc affiche uniquement tftp et sftp comme protocoles pris en charge » a été déposée pour modifier les suggestions CLI pour inclure HTTP et HTTPS.

AP-1#ap-type ewc-ap ?
WORD URL of AP image <tftp|sftp>://<server_ip>/<file_path>

Une fois l'image mise à niveau, le point d'accès redémarre. Connectez-vous à l'aide des informations d'identification par défaut Cisco/Cisco. Si la mise à niveau a réussi, le résultat de la commande SHOW VERSION contiendra :

AP1#show version
.
...
AP Image type    : EWC-AP IMAGE
AP Configuration : EWC-AP CAPABLE

La partie EWC du code démarre. Pour démarrer pour la première fois, vous pouvez prendre jusqu'à 15 minutes.

Important : Le processus EWC de l'AP ne démarrera jamais s'il existe un AireOS, 9800 ou un contrôleur Mobility Express ou EWC dans le même domaine de diffusion (VLAN).

Option 1 : Configuration CLI initiale

Une fois la partition EWC démarrée, une invite vous invite à démarrer un assistant de configuration initiale. Cet article porte sur la configuration manuelle à partir de zéro, sans l'utilisation de l'application Catalyst Wireless ni de l'assistant de navigateur Web :

--- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]: no

Would you like to terminate autoinstall? [yes]: no

WLC2CF8.9B5F.8628#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
WLC2CF8.9B5F.8628(config)#hostname EWC

######## Cteates local user admin ######## 
EWC(config)#user-name admin
EWC(config-user-name)#privilege 15
EWC(config-user-name)#password 0 Cisco123
EWC(config-user-name)#exit

######## Specifies credentials used to log into APs joined to this EWC ######## 
EWC(config)#ap profile default-ap-profile
EWC(config-ap-profile)#mgmtuser username admin password 0 Cisco123 secret 0 Cisco123
EWC(config-ap-profile)#exit

######## Configures management interface IP address and subnet######## 
EWC(config)#interface gigabitEthernet 0
EWC(config-if)#ip address 192.168.1.15 255.255.255.0
EWC(config-if)#exit

######## Default gateway IP address ######## 
EWC(config)#ip default-gateway 192.168.1.1

######## Enables web interface of EWC ######## 
EWC(config)#ip http server
EWC(config)#ip http secure-server

######## Write to memory ########
EWC(config)#end
EWC#write memory

Note: Vous devez faire "write memory" afin d'enregistrer la configuration et aussi pour effacer la configuration préinstallée day-zero. Si ce n'est pas le cas, l'interface utilisateur graphique de l'EWC deviendra inaccessible, comme expliqué plus loin dans ce guide. 

Contrairement à un contrôleur 9800, la mémoire Flash EWC n'a pas assez d'espace pour stocker toutes les images AP. Toutes les images AP doivent être hébergées sur un serveur TFTP ou SFTP externe. Lorsqu'un deuxième point d'accès tente de se joindre, EWC le pointe vers le serveur externe. Sans les commandes suivantes, aucun autre point d'accès ne pourra le joindre :

EWC(config)#wireless profile image-download default
EWC(config-wireless-image-download-profile)#image-download-mode tftp
EWC(config-wireless-image-download-profile-tftp)#tftp-image-server 192.168.1.25
EWC(config-wireless-image-download-profile-tftp)#tftp-image-path /

EWC#write memory
Building configuration...
[OK]

L'interface Web est désormais accessible à l'adresse https://<adresse IP de gestion du CEE>.

Remarque : Si les protocoles HTTP et HTTP sont activés, l'EWC servira toujours l'utilisateur avec son interface Web HTTPS. L'activation du protocole HTTP est essentielle pour certaines fonctionnalités telles que l'authentification Web et il est recommandé de l'activer.

Option 2 : Assistant Interface utilisateur Web

Une fois que le point d'accès a redémarré en mode EWC, il diffuse un SSID d'approvisionnement se terminant par les derniers chiffres de son adresse MAC. Vous pouvez vous y connecter en utilisant le mot de passe PSK.

Vous pouvez ensuite ouvrir votre navigateur et vous serez redirigé vers mywifi.cisco.com qui vous amènera à l'interface utilisateur Web du point d'accès. Connectez-vous avec l'utilisateur « webui » et le mot de passe « cisco ».

Note: La redirection Web vers le portail de configuration EWC ne fonctionne que si vous êtes connecté au SSID d'approvisionnement. Cela ne fonctionne pas si votre ordinateur portable est connecté à un autre réseau Wi-Fi ou au réseau câblé. Vous ne pouvez pas configurer le point d'accès à partir du réseau câblé même si vous entrez l'adresse IP EWC lorsqu'il est en mode d'approvisionnement de l'assistant day0.

Option 3 : Application Smartphone

Sur l'Apple Store et Android Play Store, vous trouverez l'application Cisco Catalyst Wireless. Installez-le, et l'application vous permettra de provisionner facilement votre contrôleur embarqué soit via une connexion manuelle, soit via un code QR.

Conseils et astuces

Rejoindre d'autres points d'accès à EWC

Jusqu'à 100 points d'accès peuvent être joints à EWC. Les points d'accès joints à EWC ne peuvent fonctionner que s'ils sont en mode FlexConnect. Comme il a été mentionné dans le chapitre précédent, EWC n'est pas capable d'héberger toutes les images AP dans sa mémoire flash et il est nécessaire d'avoir un serveur TFTP ou SFTP qui doit être spécifié avec image de profil sans fil-download default erasecat4000_flash:.

Si le site où se trouve EWC ne dispose pas d'infrastructure pour héberger un serveur TFTP permanent, un ordinateur portable ordinaire peut être utilisé temporairement. Le serveur TFTP avec des images AP ne doit être présent sur site que lors du déploiement initial et de la mise à niveau.

Accès à la console AP depuis EWC (ancien apciscoshell)

Lorsque le câble console est branché sur l'AP exécutant l'image EWC, une invite EWC s'affiche par défaut. Si, pour une raison quelconque, l'accès au shell AP sous-jacent est requis, il peut être effectué à l'aide des éléments suivants :

EWC#wireless ewc-ap ap shell username admin
admin@192.168.129.1's password: Cisco123

Pour revenir au shell EWC, utilisez :

AP1>logout
Connection to 192.168.129.1 closed.
EWC#

Note: Cette commande est équivalente à apciscoshell précédemment disponible dans les contrôleurs Mobility Express.

Conversion d'EWC en mode léger CAPWAP

Si le point d'accès exécuté en mode EWC doit être reconverti en mode léger capwap, il peut être effectué via :

AP1#ap-type capwap
AP is the Master AP, system will need a reboot when ap type is changed to CAPWAP
. Do you want to proceed? (y/N) y

Important : Cette commande effectue une réinitialisation complète en usine de la partition AP et EWC. Veillez à sauvegarder la configuration EWC existante avant la conversion.

Réinitialisation d'usine à partir de l'interface de ligne de commande EWC

Afin de rétablir les paramètres d'usine par défaut de l'EWC, vous pouvez utiliser cette commande à partir de l'invite CLI EWC :

EWC#wireless ewc-ap factory-reset

Accès au mode Expert

Par défaut, l'interface Web d'EWC n'affiche pas toutes ses fonctions avancées. Vous pouvez les activer en cliquant sur l'icône de rapport dans le coin supérieur droit et en activant le mode expert :

Génération du certificat et du point de confiance de l'interface de gestion

EWC utilise le certificat installé par le fabricant (MIC) pour toutes ses fonctions. À aucun moment un certificat auto-signé ne doit être généré. Toutes les commandes spécifiées dans cet article sont suffisantes pour que EWC soit opérationnel et que des points d'accès y soient associés.

Création de VLAN

Le CEE ne prend pas en charge la configuration de plusieurs SVI dans le code IOS-XE du CEE. Si vous souhaitez ajouter des VLAN à utiliser dans vos WLAN, vous devez les créer dans le profil flexible sur les AP membres et non sur la partie contrôleur.

Références

Page de renvoi de la documentation du contrôleur sans fil intégré