Inzicht in FlexConnect op de Catalyst 9800 wireless controller

Inleiding

In dit document worden de FlexConnect-functie en de algemene configuratie op de 9800 draadloze controllers beschreven.

Achtergrondinformatie

FlexConnect verwijst naar de mogelijkheid van een toegangspunt (AP) om te bepalen of het verkeer van de draadloze clients rechtstreeks op het netwerk wordt gezet op het niveau van het toegangspunt (Local Switching) of dat het verkeer is gecentraliseerd op de 9800-controller (Central Switching).

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Cisco Catalyst 9800 draadloze controllers met Cisco IOS®-XE Gibraltar v17.9.x

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Netwerkdiagram

Dit document is gebaseerd op deze topologie:

Configuraties

Dit is het visuele schema van de configuratie die nodig is om het scenario van dit document te bereiken:

Om een FlexConnect Local Switching Service Set Identifier (SSID) te configureren, volgen hier de algemene stappen:

1. Een WLAN-profiel maken/wijzigen
2. Een beleidsprofiel maken/wijzigen
3. Een beleidstag maken/wijzigen
4. Een Flex-profiel maken/wijzigen
5. Een sitetag maken/wijzigen
6. Toewijzing van beleidslabels aan AP

In deze secties wordt uitgelegd hoe u ze stap voor stap kunt configureren. 

Een WLAN-profiel maken/wijzigen

U kunt deze handleiding gebruiken om de drie SSID's te maken:

Uw SSID maken

Een beleidsprofiel maken/wijzigen

Stap 1. Navigeer naarConfiguration > Tags & Profiles > PolicyEuropa. Selecteer de naam van een bestaande naam of klik op + Toevoegen om een nieuwe toe te voegen.

ProfielFlex1

Wanneer uCentral Switchingdeze waarschuwing uitschakelt, klikt u opYesen gaat u verder met de configuratie.

Stap 2. Ga naar hetAccess Policiestabblad en typ het VLAN (U ziet het niet in de vervolgkeuzelijst omdat dit VLAN niet bestaat op de 9800 WLC). Klik daarna opSave & Apply to DeviceVertaling.

Stap 3. Herhaal hetzelfde voor PolicyProfileFlex2.

ProfielFlex2

Stap 4. Voor de centraal geschakelde SSID moet u ervoor zorgen dat het benodigde VLAN aanwezig is op de 9800 WLC en zo niet, deze maken.

Opmerking: in FlexConnect-toegangspunten met lokaal geschakelde WLAN's wordt het verkeer op het toegangspunt geschakeld en gaan de DHCP-verzoeken van de client rechtstreeks via de AP-interface naar het bekabelde netwerk. Het toegangspunt heeft geen SVI in het clientsubnet, dus kan het geen DHCP-proxy uitvoeren. De DHCP-relaisconfiguratie (DHCP Server IP-adres), in het tabblad Beleidsprofiel > Geavanceerd, heeft dus geen betekenis voor lokaal geschakelde WLAN's. In deze scenario's moet de switchport de client-VLAN toestaan en vervolgens, als de DHCP-server zich in een ander VLAN bevindt, de IP-helper configureren in de client-SVI/standaardgateway, zodat deze weet waar het DHCP-verzoek van de client moet worden verzonden.

Client-VLAN's declareren

Stap 5. Maak een beleidsprofiel voor de centrale SSID.

Navigeer naarConfiguration > Tags & Profiles > PolicyEuropa. Selecteer de naam van een bestaande naam of klik + Add om een nieuwe naam toe te voegen.

ProfileCentral1

Als gevolg hiervan zijn er drie beleidsprofielen.

CLI:

# config t

# vlan 2660
# exit

# wireless profile policy PolicyProfileFlex1
# no central switching
# vlan 2685
# no shutdown
# exit

# wireless profile policy PolicyProfileFlex2
# no central switching
# vlan 2686
# no shutdown
# exit

# wireless profile policy PolicyProfileCentral1
# vlan VLAN2660
# no shutdown
# end

Een beleidstag maken/wijzigen

De beleidstag is het element waarmee u kunt opgeven welke SSID is gekoppeld aan welk beleidsprofiel. 

Stap 1. Navigeer naarConfiguration > Tags & Profiles > Tags > PolicyEuropa. Selecteer de naam van een bestaande naam of klik + Add om een nieuwe naam toe te voegen. 

Stap 2. Klik in de Beleidstag op +Adden selecteer in de vervolgkeuzelijst de WLAN Profile naam die u aan de Beleidstag wilt toevoegen enPolicy Profilewaaraan u deze wilt koppelen. Klik daarna op het vinkje.

Herhaal dit voor de drie SSID's en klik daarnaSave & Apply to Device.

CLI:

# config t

# wireless tag policy PolicyTag1
# wlan Flex1 policy PolicyProfileFlex1
# wlan Flex2 policy PolicyProfileFlex2
# wlan Central1 policy PolicyProfileCentral1
# end

Een Flex-profiel maken/wijzigen

In de topologie die voor dit document wordt gebruikt, ziet u dat er twee SSID's zijn in Local Switching met twee verschillende VLAN's. In het Flex-profiel kunt u de toegangspunten VLAN (Native VLAN) en andere VLAN's opgeven waarvan het toegangspunt op de hoogte moet zijn, in dit geval de VLAN's die door de SSID's worden gebruikt. 

Stap 1. Navigeer naar enConfiguration > Tags & Profiles > Flexmaak een nieuwe of wijzig een bestaande.

Stap 2. Definieer een naam voor het Flex-profiel en geef de VLAN-toegangspunten (Native VLAN ID) op.

Stap 3. Navigeer naar hetVLANtabblad en geef het benodigde VLAN op.

In dit scenario zijn er clients op VLAN's 2685 en 2686. Deze VLAN's bestaan niet op de 9800 WLC, voeg ze toe aan het Flex-profiel, zodat ze bestaan op het toegangspunt.

Opmerking: Als u bij het maken van het beleidsprofiel een VLAN-naam hebt geselecteerd in plaats van een VLAN-ID, moet u ervoor zorgen dat de VLAN-naam hier in het Flex-profiel exact dezelfde is.

Herhaal dit voor de benodigde VLAN's.

Merk op dat het VLAN dat wordt gebruikt voor centrale switching niet is toegevoegd, omdat het toegangspunt zich daar niet van bewust hoeft te zijn.

CLI:

# config t

# wireless profile flex FlexProfileLab
# native-vlan-id 2601
# vlan-name VLAN2685
# vlan-id 2685
# vlan-name VLAN2686
# vlan-id 2686
# end

Een sitetag maken/wijzigen

De sitetag is het element waarmee u kunt opgeven aan welke toegangspunt en/of welk flexprofiel aan de toegangspunten is toegewezen. 

Stap 1. Navigeer naar Configuration > Tags & Profiles > Tags > Sitede. Selecteer de naam van een bestaande naam of klik + Add om een nieuwe naam toe te voegen. 

Stap 2. Schakel in de sitetag de Enable Local Site optie uit (elk toegangspunt dat een sitetag ontvangt met deEnable Local Siteoptie uitgeschakeld, wordt omgezet in de FlexConnect-modus). Zodra het is uitgeschakeld, kunt u ook deFlex Profileoptie selecteren. Na deze klikSave & Apply to Deviceis.

CLI:

# config t
# wireless tag site FlexSite1
# flex-profile FlexProfileLab
# no local-site

Toewijzing van beleidslabels aan AP

U kunt een beleidstag rechtstreeks aan een toegangspunt toewijzen of dezelfde beleidstag tegelijkertijd aan een groep toegangspunten toewijzen. Kies degene die bij je past.

Toewijzing van beleidslabels per toegangspunt

Navigeer naarConfiguration > Wireless > Access Points > AP name > General > TagsEuropa. Selecteer de gewenste tags in de Site vervolgkeuzelijst en klik opUpdate & Apply to Device.

Opmerking: houd er rekening mee dat de Policy Tag op een toegangspunt na wijziging zijn associatie met de 9800 WLC's verliest en binnen ongeveer 1 minuut weer wordt aangesloten.

Opmerking: als het toegangspunt is geconfigureerd in de lokale modus (of een andere modus) en vervolgens een sitetag wordt opgehaald waarvan deEnable Local Siteoptie is uitgeschakeld, wordt het toegangspunt opnieuw opgestart en komt het terug in de FlexConnect-modus. 

 CLI:

# config t
# ap <ethernet-mac-addr>
# site-tag <site-tag-name>
# end

Toewijzing van beleidslabels voor meerdere toegangspunten

Navigeer naar Configuration > Wireless Setup > Advanced > Start Nowde.

Klik op het pictogram Tag APs:=, selecteer vervolgens de lijst met toegangspunten waaraan u de tags wilt toewijzen (U kunt klikken op de pijl-omlaag naastAP name[of een ander veld] om de lijst met toegangspunten te filteren).

Nadat u de gewenste toegangspunten hebt geselecteerd, klikt u op + Tag-toegangspunten.

Selecteer de tags die u aan de toegangspunten wilt toewijzen en klik opSave & Apply to Device.

Opmerking: houd er rekening mee dat na het wijzigen van de beleidstag op een toegangspunt, de koppeling met de 9800 WLC's verloren gaat en u binnen ongeveer 1 minuut weer kunt aansluiten.

Opmerking: als het toegangspunt is geconfigureerd in de lokale modus (of een andere modus) en vervolgens een sitetag wordt weergegeven waarvan deEnable Local Siteoptie is uitgeschakeld, wordt het toegangspunt opnieuw opgestart en komt het terug in de FlexConnect-modus. 

CLI:

Er is geen CLI-optie om dezelfde tag aan meerdere toegangspunten toe te wijzen. 

FlexConnect ACL's

Een ding om te overwegen wanneer u een lokaal geschakelde WLAN is hoe u een ACL toe te passen op de clients.

In het geval van een centraal geschakeld WLAN wordt al het verkeer vrijgegeven via de WLC, zodat de ACL niet naar het toegangspunt hoeft te worden geduwd. Wanneer het verkeer echter lokaal is geschakeld (flex connect - lokale switching), moet de ACL (gedefinieerd op de controller) naar het toegangspunt worden geduwd, omdat het verkeer wordt vrijgegeven op het toegangspunt. Dit wordt gedaan wanneer u de ACL toevoegt aan het flexprofiel. 

FlexConnect-ACL's worden zowel in de richting van de uitgang als in de richting van de ingang toegepast. Dit vereist dat u zeer expliciet bent in het toestaan of weigeren van verkeer in het clientsubnet. Het is een veel voorkomende fout om klanten te blokkeren van de toegang tot hun gateway door het niet hebben van een ACL expliciet genoeg. Zie meer details in de notities van Cisco Bug ID CSCuv93592 .

Centraal geschakeld WLAN

Een ACL toepassen op clients die zijn aangesloten op een centraal geschakeld WLAN:

Stap 1 - De ACL toepassen op het beleidsprofiel. Ga naar Configuratie > Tags en profielen > Beleid, selecteer het beleidsprofiel dat is gekoppeld aan het centraal geschakelde WLAN. Selecteer in het gedeelte "Toegangsbeleid" > "WLAN ACL" de ACL die u op de clients wilt toepassen.

Als u Central Web Authentication configureert op een centraal geschakeld WLAN, kunt u een ACL-omleiding maken op de 9800, net alsof het toegangspunt zich in de lokale modus bevond, omdat alles in dat geval centraal wordt afgehandeld op de WLC.

Lokaal geschakeld WLAN

Een ACL toepassen op de clients die zijn aangesloten op een lokaal geschakeld WLAN:

Stap 1 - De ACL toepassen op het beleidsprofiel. Ga naar Configuratie > Tags en profielen > Beleid, selecteer het beleidsprofiel dat is gekoppeld aan het lokaal geschakelde WLAN. Selecteer in het gedeelte "Toegangsbeleid" > "WLAN ACL" de ACL die u op de clients wilt toepassen.

Stap 2 - Pas de ACL toe op het flexprofiel. Ga naar Configuratie > Tags en profielen > Flex, selecteer het flexprofiel dat is toegewezen aan de Flex Connect-toegangspunten. Voeg onder de sectie "ACL-beleid" de ACL toe en klik op "Opslaan"

Controleer of de ACL is toegepast

U kunt controleren of de ACL is toegepast op een client wanneer u naar Controle > Draadloos > Cliënten gaat, selecteert u de client die u wilt controleren. In de sectie Algemeen > Beveiligingsinformatie vinkt u in de "Serverbeleid" de naam van de "Filter-ID" aan: deze moet overeenkomen met de toegepaste ACL.

In het geval van Flex Connect-toegangspunten (lokale switching) kunt u controleren of de ACL op het toegangspunt wordt gepusht door de opdracht "#show ip access-lists" op het toegangspunt zelf te typen.

Verificatie

U kunt deze opdrachten gebruiken om de configuratie te controleren.

Configuratie van VLAN's/interfaces

# show vlan brief
# show interfaces trunk
# show run interface <interface-id>

WLAN-configuratie

# show wlan summary
# show run wlan [wlan-name]
# show wlan { id <wlan-id> | name <wlan-name> | all }

AP-configuratie

# show ap summary
# show ap tag summary
# show ap name <ap-name> tag { info | detail }

# show ap name <ap-name> tag detail

AP Name            : AP2802-01
AP Mac             : 0896.ad9d.143e

Tag Type             Tag Name
-----------------------------
Policy Tag           PT1
RF Tag               default-rf-tag
Site Tag             default-site-tag

Policy tag mapping
------------------
WLAN Profile Name                Policy Name                      VLAN                             Central Switching                IPv4 ACL                         IPv6 ACL
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
psk-pbl-ewlc                     ctrl-vl2602                      VLAN0210                         ENABLED                          Not Configured                   Not Configured

Site tag mapping
----------------
Flex Profile         : default-flex-profile
AP Profile           : default-ap-profile
Local-site           : Yes

RF tag mapping
--------------
5ghz RF Policy       : Global Config
2.4ghz RF Policy     : Global Config

tagconfiguratie

# show wireless tag { policy | rf | site } summary
# show wireless tag { policy | rf | site } detailed <tag-name>

Profielconfiguratie

# show wireless profile { flex | policy } summary
# show wireless profile { flex | policy } detailed <profile-name>
# show ap profile <AP-join-profile-name> detailed