Conversion des points d’accès de Catalyst 9100 en un contrôleur sans fil intégré

Introduction

Ce document décrit comment convertir un point d'accès léger de la gamme Cisco Catalyst 9000 en contrôleur sans fil intégré (EWC)

Conditions préalables

Exigences

Les étapes décrites dans cet article supposent que l'AP exécute une image CAPWAP légère et qu'un serveur TFTP fonctionnel est accessible à cet AP. Un port série au point d’accès est également requis.

Composants utilisés

D'autres guides sont disponibles sur l'application smartphone ou l'assistant de l'interface utilisateur Web qui expliquent comment déployer facilement Cisco EWC sur les points d'accès Catalyst. Ce document se concentre principalement sur l'approche CLI ainsi que sur les astuces et astuces de conversion.

Remarque : EWC n'est pas pris en charge sur le Cisco 9105AXW et tous les points d'accès Wi-Fi 6E

Composants utilisés:

• Point d'accès 9120
• Image de l'EWC version 17.1.1s
• Serveur TFTP
• Câble de console

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

À propos d'un EWC sur un point d'accès Catalyst

Le Cisco EWC sur les points d'accès Catalyst offre une option facile à déployer et à gérer pour votre réseau Wi-Fi 6. La fonction de contrôle est intégrée au point d'accès Cisco Catalyst, de sorte qu'aucune appliance physique supplémentaire n'est requise.

Cela signifie que vous bénéficiez de fonctionnalités professionnelles, notamment d'une sécurité robuste, de la fiabilité de Cisco, ainsi que de capacités et de performances Wi-Fi 6 prêtes à l'emploi. Le déploiement et la gestion de votre nouveau réseau sans fil nécessitent peu de connaissances réseau ou d'assistance informatique, ce qui en fait la solution idéale pour les déploiements sur un ou plusieurs sites pour les entreprises disposant de ressources informatiques minimales. Il suffit de le configurer et vous pouvez l’oublier.

Le Cisco EWC sur les points d'accès Catalyst exécute un code Cisco IOS^® XE similaire au contrôleur sans fil Cisco Catalyst 9800, qui le rend résilient, sécurisé et intelligent. Avec le CEE, vous bénéficiez de fonctionnalités d'entreprise sans avoir à investir dans un contrôleur.

En outre, votre investissement dans les points d'accès Cisco Catalyst est protégé à mesure que vos besoins évoluent. Le CEE peut être migré vers des déploiements basés sur le cloud ou sur des contrôleurs physiques, selon les besoins.

Limites de l'EWC sur le point d'accès Catalyst

• L'interface Gig 0 du CEE ne peut pas être configurée comme agrégation.
• Le CEE ne prend pas en charge les interfaces virtuelles de commutateur (SVI).
• Le CEE ne peut pas effectuer de commutation centrale.
• Gig 0 est la seule interface qui peut être utilisée comme gestionnaire sans fil.
• Tout le trafic EWC doit provenir de l'interface Gig 0 (qui inclut le contrôle RADIUS, le contrôle et le provisionnement des points d'accès sans fil (CAPWAP), le trafic de licence, etc.).
• Le CEE ne peut pas effectuer de captures de paquets intégrées.
• Le CEE ne prend pas en charge les points d'accès en mode renifleur.
• L'image EWC ne démarre pas s'il y a un autre EWC, AireOS ou contrôleur LAN sans fil (WLC) 9800 dans le même domaine de diffusion. Le point d'accès continue à fonctionner comme un point d'accès CAPWAP léger normal jusqu'à ce que les autres WLC soient retirés du réseau.
• Lorsque vous convertissez ou mettez à niveau le CEE dans un déploiement avec des modèles AP mixtes, il est nécessaire d'avoir un serveur TFTP fonctionnel.
• EWC ne peut pas fragmenter les paquets (voir ID de bogue Cisco CSCwc95321) .

Déploiement

Configuration du commutateur

Le port auquel le point d’accès EWC est connecté doit être un port réseau avec le VLAN natif, celui du VLAN de gestion.

Exemple de configuration de commutateur :

configure terminal
  interface gigabitEthernet 0/1
  switchport mode trunk
  switchport trunk native vlan 10

Réinitialisation aux valeurs d’usine

Avant de convertir le point d'accès, il est recommandé d'effectuer une réinitialisation en usine, même s'il est flambant neuf :

1. Débranchez l'AP de sa source d'alimentation.
2. Branchez le câble de console et ouvrez une session série sur votre PC.
3. Maintenez enfoncé le Mode/Reset bouton du point d'accès.
4. Rebranchez le point d'accès à sa source d'alimentation tout en maintenant le Mode/Reset bouton enfoncé.
5. Maintenez le bouton Mode/Reset enfoncé jusqu'à ce que l'invite de votre session série s'affiche.

La session en mode console indique la durée pendant laquelle vous avez appuyé sur le Mode/Reset bouton. Au moins 20 secondes sont nécessaires pour un redémarrage complet. L'AP démarre et les identifiants par défaut Cisco/Cisco peuvent être utilisés pour se connecter à l'interface de ligne de commande (les identifiants de l'interface Web sont webui/Cisco).

Topologie du réseau

Les images EWC sont fournies sous la forme d'un fichier zip. Le fichier compressé contient :

• EWC .bin image (exemple : C9800-AP-iosxe-wlc.bin)
• Image AP pour tous les AP qui peuvent rejoindre EWC (exemple : ap1g4, ap1g7)
• Fichier Readme.txt qui spécifie quelle image correspond à quel modèle de point d’accès

Remarque : assurez-vous d'extraire le contenu de l'archive zip sur votre serveur TFTP. L'AP a besoin d'accéder à ces fichiers directement, car il ne peut pas les obtenir s'ils sont toujours dans une archive.

Ce tableau répertorie toutes les images et les modèles de points d'accès correspondants :

Modèle de point d’accès	Nom de fichier de l'image
AP1815, AP154x	ap1g5
AP180x, AP183x, AP185x	ap1g4
C9115, C9120	ap1g7
C9117	ap1g6
C9130, C9124	ap1g6a
AP380x, AP280x, AP156x	ap3g3

Remarque : seuls les points d'accès Cisco Catalyst 9000 peuvent exécuter le code EWC. Tous les autres points d'accès du tableau précédent peuvent uniquement rejoindre le CEE.

Le contenu du fichier zip extrait doit être copié sur un serveur TFTP.

Avant de mettre à niveau l'image, celle-ci est renommée et reçoit une adresse IP statique, un masque de réseau et une passerelle par défaut :

Username: Cisco
Password: Cisco
AP2CF8.9B5F.8628>enable
Password: Cisco
AP2CF8.9B5F.8628#capwap ap hostname AP1
Please note that if AP is already associated to WLC,
the new hostname will only reflect on WLC after AP
 dis-associates and rejoins.
AP1#capwap ap ip 192.168.1.14 255.255.255.0 192.168.1.1

Le serveur TFTP se trouve sur l’adresse IP 192.168.1.25. Contrairement à Mobility Express, il est nécessaire de spécifier deux images différentes : une pour le point d'accès et une pour le CEE. La conversion de l'image s'effectue avec cette commande :

AP1#ap-type ewc-ap tftp://192.168.1.25/ap1g7 tftp://192.168.1.25/C9800-AP-iosxe-wlc.bin
Starting download eWLC image tftp://192.168.1.25/C9800-AP-iosxe-wlc.bin ...
It may take a few minutes. If longer, please abort command, check network and try again.
It may take a few minutes. If longer, please abort command, check network and try again.
######################################################################## 100.0%
Upgrading ...

Les suggestions de l'AP CLI (l'utilisation de ?) mentionnent seulement TFTP et SFTP comme protocoles supportés. Cependant, d'autres comme HTTP et HTTPS sont également pris en charge (et beaucoup plus rapidement que le protocole TFTP le plus couramment utilisé). Au moment de l'écriture de ce document, une mise à niveau via FTP n'est pas possible. ID de bogue Cisco CSCvy36161 - La commande « 9100 AP ap-type ewc montre uniquement tftp et sftp comme protocoles pris en charge » a été refusée pour modifier les suggestions CLI afin d'inclure HTTP et HTTPS.

AP-1#ap-type ewc-ap ?
WORD URL of AP image <tftp|sftp>://<server_ip>/<file_path>

Une fois l'image mise à niveau, l'AP redémarre. Connectez-vous avec les identifiants par défaut Cisco/Cisco. Si la mise à niveau a réussi, le résultat de la show version commande contient :

AP1#show version
.
...
AP Image type    : EWC-AP IMAGE
AP Configuration : EWC-AP CAPABLE

La partie EWC du code démarre. Le premier démarrage peut prendre jusqu'à 15 minutes.

Important : le processus EWC de l'AP ne démarre jamais s'il y a un AireOS, 9800 ou Mobility Express ou un contrôleur EWC existant dans le même domaine de diffusion (VLAN).

Option 1. Configuration initiale de la CLI

Une fois la partition EWC démarrée, une invite vous invite à démarrer un assistant de configuration initiale. Cet article traite de la configuration manuelle à partir de zéro, sans l'utilisation de l'application Catalyst Wireless ou de l'assistant du navigateur Web :

--- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]: no

Would you like to terminate autoinstall? [yes]: no

WLC2CF8.9B5F.8628#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
WLC2CF8.9B5F.8628(config)#hostname EWC

######## Cteates local user admin ######## 
EWC(config)#user-name admin
EWC(config-user-name)#privilege 15
EWC(config-user-name)#password 0 Cisco123
EWC(config-user-name)#exit

######## Specifies credentials used to log into APs joined to this EWC ######## 
EWC(config)#ap profile default-ap-profile
EWC(config-ap-profile)#mgmtuser username admin password 0 Cisco123 secret 0 Cisco123
EWC(config-ap-profile)#exit

######## Configures management interface IP address and subnet######## 
EWC(config)#interface gigabitEthernet 0
EWC(config-if)#ip address 192.168.1.15 255.255.255.0
EWC(config-if)#exit

######## Default gateway IP address ######## 
EWC(config)#ip default-gateway 192.168.1.1

######## Enables web interface of EWC ######## 
EWC(config)#ip http server
EWC(config)#ip http secure-server

######## Write to memory ########
EWC(config)#end
EWC#write memory

Remarque : vous devez entrer la write memory commande afin d'enregistrer la configuration et également pour effacer la configuration jour zéro préinstallée. Si ce n'est pas le cas, l'interface utilisateur graphique du CEE devient inaccessible, comme expliqué plus loin dans ce guide.

Contrairement à un contrôleur 9800, la mémoire flash EWC n'a pas assez d'espace pour stocker toutes les images AP. Toutes les images du point d’accès doivent être hébergées sur un serveur TFTP ou SFTP externe. Lorsqu'un deuxième AP tente de se joindre, le CEE le dirige vers le serveur externe. Sans ces commandes, aucun autre AP ne peut y accéder :

EWC(config)#wireless profile image-download default
EWC(config-wireless-image-download-profile)#image-download-mode tftp
EWC(config-wireless-image-download-profile-tftp)#tftp-image-server 192.168.1.25
EWC(config-wireless-image-download-profile-tftp)#tftp-image-path /

EWC#write memory
Building configuration...
[OK]

L’interface Web est désormais accessible à l’adresse https://<EWC management IP address>.

Remarque : si les protocoles HTTP et HTTP sont tous deux activés, le CEE sert toujours l'utilisateur avec son interface Web HTTPS. Il est essentiel d'activer HTTP pour certaines fonctionnalités telles que l'authentification Web et il est recommandé de l'activer.

Option 2. Assistant de l’interface utilisateur Web

Une fois que le point d'accès a redémarré en mode EWC, il diffuse un SSID (Service Set Identifier) de mise en service qui se termine par les derniers chiffres de son adresse MAC. Vous pouvez vous y connecter avec le PSK "mot de passe".

Vous pouvez alors ouvrir votre navigateur et vous êtes redirigé vers mywifi.cisco.com qui vous emmène à l'interface utilisateur Web de l'AP. Connectez-vous avec le nom d’utilisateur « webui » et le mot de passe « cisco ».

Remarque : la redirection Web vers le portail de configuration EWC ne fonctionne que si vous êtes connecté au SSID d'approvisionnement. Cela ne fonctionne pas si votre ordinateur portable est connecté à un autre réseau Wi-Fi ou au réseau filaire. Vous ne pouvez pas configurer le point d'accès à partir du réseau câblé même si vous entrez l'adresse IP EWC lorsqu'il est en mode de mise en service de l'assistant day0.

Option 3. Application pour téléphone intelligent

Sur l'Apple Store et sur Android Play Store, vous trouverez l'application Cisco Catalyst Wireless. Installez-le, et l'application vous permet de provisionner facilement votre contrôleur intégré soit par connexion manuelle ou code QR.

Conseils et astuces

Joindre d'autres points d'accès au CEE

Jusqu'à 100 points d'accès peuvent être joints au CEE. Les points d'accès joints au CEE ne peuvent fonctionner que s'ils sont en mode FlexConnect. EWC ne peut pas héberger toutes les images AP dans sa mémoire flash et il est nécessaire d'avoir un serveur TFTP ou SFTP qui doit être spécifié avec la wireless profile image-download default commande.

Si le site où se trouve le CEE n'a pas d'infrastructure pour héberger un serveur TFTP permanent, un ordinateur portable normal peut être utilisé temporairement. Un serveur TFTP avec des images AP doit uniquement être présent sur site pendant le déploiement initial et la mise à niveau.

Accéder à la console AP à partir du EWC (ancien apciscoshell)

Lorsque le câble de console est branché au point d'accès qui exécute l'image EWC, une invite EWC s'affiche par défaut. Si, pour une raison quelconque, l'accès au shell AP sous-jacent est requis, il peut être complété avec cette commande :

EWC#wireless ewc-ap ap shell username admin
admin@192.168.129.1's password: Cisco123

Remarque : si le nom d'utilisateur et le mot de passe de gestion AP ne sont pas spécifiés dans le profil AP, utilisez le nom d'utilisateur par défaut Cisco et le mot de passe Cisco à la place.

Cette commande est équivalente à celle apciscoshell qui était précédemment disponible dans les contrôleurs Mobility Express.

Pour revenir à l'interpréteur de commandes EWC, saisissez :

AP1>logout
Connection to 192.168.129.1 closed.
EWC#

Convertir EWC en mode CAPWAP léger

Si le point d'accès exécuté en mode EWC doit être reconverti en mode CAPWAP léger, il peut être effectué via :

AP1#ap-type capwap
AP is the Master AP, system will need a reboot when ap type is changed to CAPWAP
. Do you want to proceed? (y/N) y

Important : cette commande effectue une réinitialisation complète de la partition AP et EWC. Assurez-vous de sauvegarder la configuration EWC actuelle avant la conversion.

Réinitialisation aux valeurs d’usine à partir de la CLI de l'EWC

Afin de réinitialiser l'EWC aux valeurs d’usine par défaut, vous pouvez utiliser cette commande à partir de l’invite de la CLI de l'EWC :

EWC#wireless ewc-ap factory-reset

Accéder au mode Expert

Par défaut, l'interface Web du CEE n'affiche pas toutes ses fonctions avancées. Afin d'activer la fonction avancée, cliquez sur l'icône d'engrenage dans le coin supérieur droit et activez le mode Expert :

Générer le certificat et le point de confiance de l'interface de gestion

Le CEE utilise un certificat installé par le fabricant (MIC) pour toutes ses fonctions. À aucun moment, un certificat auto-signé ne doit être généré. Toutes les commandes spécifiées dans cet article sont suffisantes pour que le CEE soit opérationnel et que des points d'accès y soient joints.

Créer des VLAN

Le CEE ne prend pas en charge la configuration de plus d'une interface SVI dans le code Cisco IOS XE du CEE. Si vous devez ajouter des VLAN à utiliser dans vos WLAN, créez-les dans le profil flexible sur les AP membres et non sur la partie contrôleur.

Informations connexes

• Guides de configuration du contrôleur sans fil intégré Cisco sur les points d'accès Catalyst
• Assistance et documentation techniques - Cisco Systems