Inleiding
In dit document worden de FlexConnect-functie en de algemene configuratie op de 9800 draadloze controllers beschreven.
Achtergrondinformatie
FlexConnect verwijst naar de mogelijkheid van een toegangspunt (AP) om te bepalen of het verkeer van de draadloze clients rechtstreeks op het netwerk wordt gezet op het niveau van het toegangspunt (Local Switching) of dat het verkeer is gecentraliseerd op de 9800-controller (Central Switching).

Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco Catalyst 9800 draadloze controllers met Cisco IOS®-XE Gibraltar v17.9.x
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Netwerkdiagram
Dit document is gebaseerd op deze topologie:

Configuraties
Dit is het visuele schema van de configuratie die nodig is om het scenario van dit document te bereiken:
Om een FlexConnect Local Switching Service Set Identifier (SSID) te configureren, volgen hier de algemene stappen:
- Een WLAN-profiel maken/wijzigen
- Een beleidsprofiel maken/wijzigen
- Een beleidstag maken/wijzigen
- Een Flex-profiel maken/wijzigen
- Een sitetag maken/wijzigen
- Toewijzing van beleidslabels aan AP
In deze secties wordt uitgelegd hoe u ze stap voor stap kunt configureren.
Een WLAN-profiel maken/wijzigen
U kunt deze handleiding gebruiken om de drie SSID's te maken:
Uw SSID maken

Een beleidsprofiel maken/wijzigen
Stap 1. Navigeer naarConfiguration > Tags & Profiles > Policy
Europa. Selecteer de naam van een bestaande naam of klik op + Toevoegen om een nieuwe toe te voegen.
ProfielFlex1
Wanneer uCentral Switching
deze waarschuwing uitschakelt, klikt u opYes
en gaat u verder met de configuratie.

Stap 2. Ga naar hetAccess Policies
tabblad en typ het VLAN (U ziet het niet in de vervolgkeuzelijst omdat dit VLAN niet bestaat op de 9800 WLC). Klik daarna opSave & Apply to Device
Vertaling.

Stap 3. Herhaal hetzelfde voor PolicyProfileFlex2.
ProfielFlex2

Stap 4. Voor de centraal geschakelde SSID moet u ervoor zorgen dat het benodigde VLAN aanwezig is op de 9800 WLC en zo niet, deze maken.
Opmerking: in FlexConnect-toegangspunten met lokaal geschakelde WLAN's wordt het verkeer op het toegangspunt geschakeld en gaan de DHCP-verzoeken van de client rechtstreeks via de AP-interface naar het bekabelde netwerk. Het toegangspunt heeft geen SVI in het clientsubnet, dus kan het geen DHCP-proxy uitvoeren. De DHCP-relaisconfiguratie (DHCP Server IP-adres), in het tabblad Beleidsprofiel > Geavanceerd, heeft dus geen betekenis voor lokaal geschakelde WLAN's. In deze scenario's moet de switchport de client-VLAN toestaan en vervolgens, als de DHCP-server zich in een ander VLAN bevindt, de IP-helper configureren in de client-SVI/standaardgateway, zodat deze weet waar het DHCP-verzoek van de client moet worden verzonden.
Client-VLAN's declareren
Stap 5. Maak een beleidsprofiel voor de centrale SSID.
Navigeer naarConfiguration > Tags & Profiles > Policy
Europa. Selecteer de naam van een bestaande naam of klik + Add
om een nieuwe naam toe te voegen.
ProfileCentral1

Als gevolg hiervan zijn er drie beleidsprofielen.

CLI:
# config t
# vlan 2660
# exit
# wireless profile policy PolicyProfileFlex1
# no central switching
# vlan 2685
# no shutdown
# exit
# wireless profile policy PolicyProfileFlex2
# no central switching
# vlan 2686
# no shutdown
# exit
# wireless profile policy PolicyProfileCentral1
# vlan VLAN2660
# no shutdown
# end
Een beleidstag maken/wijzigen
De beleidstag is het element waarmee u kunt opgeven welke SSID is gekoppeld aan welk beleidsprofiel.
Stap 1. Navigeer naarConfiguration > Tags & Profiles > Tags > Policy
Europa. Selecteer de naam van een bestaande naam of klik + Add
om een nieuwe naam toe te voegen.

Stap 2. Klik in de Beleidstag op +Add
en selecteer in de vervolgkeuzelijst de WLAN Profile
naam die u aan de Beleidstag wilt toevoegen enPolicy Profile
waaraan u deze wilt koppelen. Klik daarna op het vinkje.


Herhaal dit voor de drie SSID's en klik daarnaSave & Apply to Device
.

CLI:
# config t
# wireless tag policy PolicyTag1
# wlan Flex1 policy PolicyProfileFlex1
# wlan Flex2 policy PolicyProfileFlex2
# wlan Central1 policy PolicyProfileCentral1
# end
Een Flex-profiel maken/wijzigen
In de topologie die voor dit document wordt gebruikt, ziet u dat er twee SSID's zijn in Local Switching met twee verschillende VLAN's. In het Flex-profiel kunt u de toegangspunten VLAN (Native VLAN) en andere VLAN's opgeven waarvan het toegangspunt op de hoogte moet zijn, in dit geval de VLAN's die door de SSID's worden gebruikt.
Stap 1. Navigeer naar enConfiguration > Tags & Profiles > Flex
maak een nieuwe of wijzig een bestaande.

Stap 2. Definieer een naam voor het Flex-profiel en geef de VLAN-toegangspunten (Native VLAN ID) op.

Stap 3. Navigeer naar hetVLAN
tabblad en geef het benodigde VLAN op.
In dit scenario zijn er clients op VLAN's 2685 en 2686. Deze VLAN's bestaan niet op de 9800 WLC, voeg ze toe aan het Flex-profiel, zodat ze bestaan op het toegangspunt.


Opmerking: Als u bij het maken van het beleidsprofiel een VLAN-naam hebt geselecteerd in plaats van een VLAN-ID, moet u ervoor zorgen dat de VLAN-naam hier in het Flex-profiel exact dezelfde is.
Herhaal dit voor de benodigde VLAN's.

Merk op dat het VLAN dat wordt gebruikt voor centrale switching niet is toegevoegd, omdat het toegangspunt zich daar niet van bewust hoeft te zijn.
CLI:
# config t
# wireless profile flex FlexProfileLab
# native-vlan-id 2601
# vlan-name VLAN2685
# vlan-id 2685
# vlan-name VLAN2686
# vlan-id 2686
# end
Een sitetag maken/wijzigen
De sitetag is het element waarmee u kunt opgeven aan welke toegangspunt en/of welk flexprofiel aan de toegangspunten is toegewezen.
Stap 1. Navigeer naar Configuration > Tags & Profiles > Tags > Site
de. Selecteer de naam van een bestaande naam of klik + Add
om een nieuwe naam toe te voegen.

Stap 2. Schakel in de sitetag de Enable Local Site
optie uit (elk toegangspunt dat een sitetag ontvangt met deEnable Local Site
optie uitgeschakeld, wordt omgezet in de FlexConnect-modus). Zodra het is uitgeschakeld, kunt u ook deFlex Profile
optie selecteren. Na deze klikSave & Apply to Device
is.

CLI:
# config t
# wireless tag site FlexSite1
# flex-profile FlexProfileLab
# no local-site
Toewijzing van beleidslabels aan AP
U kunt een beleidstag rechtstreeks aan een toegangspunt toewijzen of dezelfde beleidstag tegelijkertijd aan een groep toegangspunten toewijzen. Kies degene die bij je past.
Toewijzing van beleidslabels per toegangspunt
Navigeer naarConfiguration > Wireless > Access Points > AP name > General > Tags
Europa. Selecteer de gewenste tags in de Site
vervolgkeuzelijst en klik opUpdate & Apply to Device
.

Opmerking: houd er rekening mee dat de Policy Tag op een toegangspunt na wijziging zijn associatie met de 9800 WLC's verliest en binnen ongeveer 1 minuut weer wordt aangesloten.
Opmerking: als het toegangspunt is geconfigureerd in de lokale modus (of een andere modus) en vervolgens een sitetag wordt opgehaald waarvan deEnable Local Site
optie is uitgeschakeld, wordt het toegangspunt opnieuw opgestart en komt het terug in de FlexConnect-modus.
CLI:
# config t
# ap <ethernet-mac-addr>
# site-tag <site-tag-name>
# end
Toewijzing van beleidslabels voor meerdere toegangspunten
Navigeer naar Configuration > Wireless Setup > Advanced > Start Now
de.
Klik op het pictogram Tag APs
:=, selecteer vervolgens de lijst met toegangspunten waaraan u de tags wilt toewijzen (U kunt klikken op de pijl-omlaag naastAP name
[of een ander veld] om de lijst met toegangspunten te filteren).

Nadat u de gewenste toegangspunten hebt geselecteerd, klikt u op + Tag-toegangspunten.

Selecteer de tags die u aan de toegangspunten wilt toewijzen en klik opSave & Apply to Device
.

Opmerking: houd er rekening mee dat na het wijzigen van de beleidstag op een toegangspunt, de koppeling met de 9800 WLC's verloren gaat en u binnen ongeveer 1 minuut weer kunt aansluiten.
Opmerking: als het toegangspunt is geconfigureerd in de lokale modus (of een andere modus) en vervolgens een sitetag wordt weergegeven waarvan deEnable Local Site
optie is uitgeschakeld, wordt het toegangspunt opnieuw opgestart en komt het terug in de FlexConnect-modus.
CLI:
Er is geen CLI-optie om dezelfde tag aan meerdere toegangspunten toe te wijzen.
FlexConnect ACL's
Een ding om te overwegen wanneer u een lokaal geschakelde WLAN is hoe u een ACL toe te passen op de clients.
In het geval van een centraal geschakeld WLAN wordt al het verkeer vrijgegeven via de WLC, zodat de ACL niet naar het toegangspunt hoeft te worden geduwd. Wanneer het verkeer echter lokaal is geschakeld (flex connect - lokale switching), moet de ACL (gedefinieerd op de controller) naar het toegangspunt worden geduwd, omdat het verkeer wordt vrijgegeven op het toegangspunt. Dit wordt gedaan wanneer u de ACL toevoegt aan het flexprofiel.
FlexConnect-ACL's worden zowel in de richting van de uitgang als in de richting van de ingang toegepast. Dit vereist dat u zeer expliciet bent in het toestaan of weigeren van verkeer in het clientsubnet. Het is een veel voorkomende fout om klanten te blokkeren van de toegang tot hun gateway door het niet hebben van een ACL expliciet genoeg. Zie meer details in de notities van Cisco Bug ID CSCuv93592
.
Centraal geschakeld WLAN
Een ACL toepassen op clients die zijn aangesloten op een centraal geschakeld WLAN:
Stap 1 - De ACL toepassen op het beleidsprofiel. Ga naar Configuratie > Tags en profielen > Beleid, selecteer het beleidsprofiel dat is gekoppeld aan het centraal geschakelde WLAN. Selecteer in het gedeelte "Toegangsbeleid" > "WLAN ACL" de ACL die u op de clients wilt toepassen.

Als u Central Web Authentication configureert op een centraal geschakeld WLAN, kunt u een ACL-omleiding maken op de 9800, net alsof het toegangspunt zich in de lokale modus bevond, omdat alles in dat geval centraal wordt afgehandeld op de WLC.
Lokaal geschakeld WLAN
Een ACL toepassen op de clients die zijn aangesloten op een lokaal geschakeld WLAN:
Stap 1 - De ACL toepassen op het beleidsprofiel. Ga naar Configuratie > Tags en profielen > Beleid, selecteer het beleidsprofiel dat is gekoppeld aan het lokaal geschakelde WLAN. Selecteer in het gedeelte "Toegangsbeleid" > "WLAN ACL" de ACL die u op de clients wilt toepassen.

Stap 2 - Pas de ACL toe op het flexprofiel. Ga naar Configuratie > Tags en profielen > Flex, selecteer het flexprofiel dat is toegewezen aan de Flex Connect-toegangspunten. Voeg onder de sectie "ACL-beleid" de ACL toe en klik op "Opslaan"

Controleer of de ACL is toegepast
U kunt controleren of de ACL is toegepast op een client wanneer u naar Controle > Draadloos > Cliënten gaat, selecteert u de client die u wilt controleren. In de sectie Algemeen > Beveiligingsinformatie vinkt u in de "Serverbeleid" de naam van de "Filter-ID" aan: deze moet overeenkomen met de toegepaste ACL.

In het geval van Flex Connect-toegangspunten (lokale switching) kunt u controleren of de ACL op het toegangspunt wordt gepusht door de opdracht "#show ip access-lists" op het toegangspunt zelf te typen.
Verificatie
U kunt deze opdrachten gebruiken om de configuratie te controleren.
Configuratie van VLAN's/interfaces
# show vlan brief
# show interfaces trunk
# show run interface <interface-id>
WLAN-configuratie
# show wlan summary
# show run wlan [wlan-name]
# show wlan { id <wlan-id> | name <wlan-name> | all }
AP-configuratie
# show ap summary
# show ap tag summary
# show ap name <ap-name> tag { info | detail }
# show ap name <ap-name> tag detail
AP Name : AP2802-01
AP Mac : 0896.ad9d.143e
Tag Type Tag Name
-----------------------------
Policy Tag PT1
RF Tag default-rf-tag
Site Tag default-site-tag
Policy tag mapping
------------------
WLAN Profile Name Policy Name VLAN Central Switching IPv4 ACL IPv6 ACL
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
psk-pbl-ewlc ctrl-vl2602 VLAN0210 ENABLED Not Configured Not Configured
Site tag mapping
----------------
Flex Profile : default-flex-profile
AP Profile : default-ap-profile
Local-site : Yes
RF tag mapping
--------------
5ghz RF Policy : Global Config
2.4ghz RF Policy : Global Config
tagconfiguratie
# show wireless tag { policy | rf | site } summary
# show wireless tag { policy | rf | site } detailed <tag-name>
Profielconfiguratie
# show wireless profile { flex | policy } summary
# show wireless profile { flex | policy } detailed <profile-name>
# show ap profile <AP-join-profile-name> detailed