Entender o FlexConnect no Catalyst 9800 Wireless Controller

Introdução

Este documento descreve o recurso FlexConnect e sua configuração geral em controladores sem fio 9800.

Informações de Apoio

O FlexConnect se refere à capacidade de um ponto de acesso (AP) para determinar se o tráfego dos clientes sem fio é colocado diretamente na rede no nível do AP (switching local) ou se o tráfego é centralizado no controlador 9800 (switching central).

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Controladores sem fio Cisco Catalyst 9800 com Cisco IOS®-XE Gibraltar v17.3.x

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Diagrama de Rede

Este documento é baseado nesta topologia:

Configurações

Este é o esquema visual da configuração necessária para realizar o cenário deste documento:

  

Para configurar um identificador do conjunto de serviços (SSID) de switching local FlexConnect, siga estas etapas gerais:

1. Criar/Modificar um perfil de WLAN
2. Criar/Modificar um Perfil de Diretiva
3. Criar/Modificar uma tag de política
4. Criar/Modificar um Perfil Flex
5. Criar/Modificar uma Marca de Site
6. Atribuição de marcação de política ao AP

Estas seções explicam como configurar cada um deles, passo a passo. 

Criar/Modificar um Perfil de WLAN

Você pode usar este guia para criar os três SSIDs:

Crie seu SSID

Criar/Modificar um Perfil de Diretiva

Etapa 1. Navegue até Configuration > Tags & Profiles > Policy. Selecione o nome de um que já existe ou clique em + Adicionar para adicionar um novo.

Quando você desabilita Central Switching esta mensagem de aviso for exibida, clique em Yes e continue com a configuração.

Etapa 2. Vá para a página Access Policies e digite a VLAN (você não a vê na lista suspensa porque essa VLAN não existe na WLC 9800). Depois disso, clique em Save & Apply to Device.

Etapa 3. Repita o mesmo procedimento para PolicyProfileFlex2.

Etapa 4. Para o SSID comutado centralmente, verifique se a VLAN necessária existe na WLC 9800 e, caso não exista, crie-a.

Observação: nos APs FlexConnect com WLANs comutadas localmente, o tráfego é comutado no AP e as solicitações DHCP do cliente entram diretamente na rede com fio pela interface do AP. O AP não tem nenhum SVI na sub-rede do cliente, portanto, ele não pode fazer proxy DHCP e, portanto, a configuração de retransmissão de DHCP (endereço IP do servidor DHCP), na guia Perfil de política > Avançado, não tem significado para WLANs comutadas localmente. Nesses cenários, a porta do switch precisa permitir a VLAN do cliente e, em seguida, se o servidor DHCP estiver em uma VLAN diferente, configurar o IP helper no gateway padrão/SVI do cliente para que ele saiba para onde enviar a solicitação DHCP do cliente.

Declarar VLANs de clientes

Etapa 5. Crie um perfil de política para o SSID Central.

Navegue até Configuration > Tags & Profiles > Policy. Selecione o nome de um que já existe ou clique em + Add para adicionar um novo.

Como resultado, há três perfis de política.

CLI:

# config t

# vlan 2660
# exit

# wireless profile policy PolicyProfileFlex1
# no central switching
# vlan 2685
# no shutdown
# exit

# wireless profile policy PolicyProfileFlex2
# no central switching
# vlan 2686
# no shutdown
# exit

# wireless profile policy PolicyProfileCentral1
# vlan VLAN2660
# no shutdown
# end

Criar/Modificar uma tag de política

A tag de política é o elemento que permite especificar qual SSID está vinculado a qual perfil de política. 

Etapa 1. Navegue até Configuration > Tags & Profiles > Tags > Policy. Selecione o nome de um que já existe ou clique em + Add para adicionar um novo. 

Etapa 2. Dentro da tag de política, clique em +Add, na lista suspensa, selecione a opção WLAN Profile para adicionar à tag de política e Policy Profile ao qual você deseja vinculá-lo. Depois disso, clique na marca de seleção.

Repita o procedimento para os três SSIDs e depois clique em Save & Apply to Device.

CLI:

# config t

# wireless tag policy PolicyTag1
# wlan Flex1 policy PolicyProfileFlex1
# wlan Flex2 policy PolicyProfileFlex2
# wlan Central1 policy PolicyProfileCentral1
# end

Criar/Modificar um Perfil Flex

Na topologia usada para este documento, observe que há dois SSIDs em Switching Local com duas VLANs diferentes. Dentro do perfil Flex, você especifica a VLAN dos APs (VLAN nativa) e qualquer outra VLAN que o AP precise conhecer, nesse caso, as VLANs usadas pelos SSIDs. 

Etapa 1. Navegue até Configuration > Tags & Profiles > Flex e criar um novo ou modificar um que já exista.

Etapa 2. Defina um nome para o perfil Flex e especifique a VLAN de APs (ID da VLAN nativa).

Etapa 3. Navegue até a página VLAN e especifique a VLAN necessária.

Neste cenário, há clientes nas VLANs 2685 e 2686. Essas VLANs não existem na WLC 9800, adicione-as ao perfil Flex para que elas existam no AP.

Observação: ao criar o perfil de política, se você selecionou um nome de VLAN em vez de ID de VLAN, certifique-se de que o nome da VLAN aqui no perfil Flex seja exatamente o mesmo.

  

Repita o procedimento para as VLANs necessárias.

Observe que a VLAN usada para switching central não foi adicionada, pois o AP não precisa estar ciente disso.

CLI:

# config t

# wireless profile flex FlexProfileLab
# native-vlan-id 2601
# vlan-name VLAN2685
# vlan-id 2685
# vlan-name VLAN2686
# vlan-id 2686
# end

Criar/Modificar uma Marca de Site

A tag Site é o elemento que permite especificar qual junção de AP e/ou perfil Flex é atribuído aos APs. 

Etapa 1. Navegue até Configuration > Tags & Profiles > Tags > Site. Selecione o nome de um que já existe ou clique em + Add para adicionar um novo. 

Etapa 2. Dentro da tag Site, desative o Enable Local Site (Qualquer AP que receba uma etiqueta de site com a Enable Local Site opção desativada é convertida em modo FlexConnect). Depois de desabilitado, você também pode selecionar a opção  Flex Profile. Depois disso, clique em Save & Apply to Device.

CLI:

# config t
# wireless tag site FlexSite1
# flex-profile FlexProfileLab
# no local-site

Atribuição de marcação de política ao AP

Você pode atribuir uma Policy Tag diretamente a um AP ou atribuir a mesma Policy Tag a um grupo de APs ao mesmo tempo. Escolha aquele que lhe serve.

Atribuição de marcação de política por AP

Navegue até Configuration > Wireless > Access Points > AP name > General > Tags. Nos Site , selecione as Marcas desejadas e clique em Update & Apply to Device.

  

Observação: lembre-se de que, após a alteração, a etiqueta de política em um AP, ele perde sua associação com as 9800 WLCs e se junta novamente em cerca de 1 minuto.

Observação: se o AP estiver configurado no modo Local (ou em qualquer outro modo) e, em seguida, receber uma tag Site com Enable Local Site desativada, o AP é reinicializado e volta no modo FlexConnect. 

 CLI:

# config t
# ap <ethernet-mac-addr>
# site-tag <site-tag-name>
# end

Atribuição de marcação de política para vários APs

Navegue até Configuration > Wireless Setup > Advanced > Start Now.

Clique no botão Tag APs := , depois selecione a lista de APs aos quais você deseja atribuir as tags (Você pode clicar na seta apontando para baixo ao lado de AP name [ou qualquer outro campo] para filtrar a lista de APs).

Depois de selecionar os APs desejados, clique em + Tag APs.

  

Selecione as tags que deseja atribuir aos APs e clique em Save & Apply to Device.

Observação: lembre-se de que, depois de alterar a tag de política em um AP, ele perde sua associação com as 9800 WLCs e se junta novamente em cerca de 1 minuto.

Nota:Se o AP estiver configurado no modo Local (ou em qualquer outro modo) e, em seguida, receber uma tag Site com Enable Local Site desativada, o AP é reinicializado e volta no modo FlexConnect. 

CLI:

Não há opção de CLI para atribuir a mesma Tag a vários APs. 

ACLs Flexconnect

Uma coisa a considerar quando você tem uma WLAN comutada localmente é como aplicar uma ACL aos clientes.

No caso de uma WLAN comutada centralmente, todo o tráfego é liberado na WLC, de modo que a ACL não precisa ser enviada para o AP. No entanto, quando o tráfego é comutado localmente (conexão flexível - comutação local), a ACL (definida no controlador) deve ser enviada para o AP, já que o tráfego é liberado no AP. Isso é feito quando você adiciona a ACL ao perfil flex. 

WLAN comutada centralmente

Para aplicar uma ACL aos clientes conectados a uma WLAN comutada centralmente:

Etapa 1 - Aplicar a ACL ao perfil de política. Vá para Configuration > Tags & Profiles > Policy, selecione o perfil de política associado à WLAN comutada centralmente. Na seção "Access Policies" > "WLAN ACL", selecione a ACL que deseja aplicar aos clientes.

Se você estiver configurando a Central Web Authentication em uma WLAN comutada centralmente, poderá criar uma ACL de redirecionamento no 9800, como se o AP estivesse no modo local, pois nesse caso tudo será tratado centralmente na WLC.

WLAN comutada localmente

Para aplicar uma ACL aos clientes conectados a uma WLAN comutada localmente:

Etapa 1 - Aplicar a ACL ao perfil de política. Vá para Configuration > Tags & Profiles > Policy, selecione o perfil de política associado à WLAN comutada centralmente. Na seção "Access Policies" > "WLAN ACL", selecione a ACL que deseja aplicar aos clientes.

Etapa 2 - Aplicar a ACL ao perfil flex. Vá para Configuration > Tags & Profiles > Flex, selecione o perfil flex atribuído aos APs de conexão flexível. Na seção "ACL de política", adicione a ACL e clique em "Salvar"

Verifique se a ACL está aplicada

Você pode verificar se a ACL está aplicada a um cliente quando for para Monitoring > Wireless > Clients, selecione o cliente que deseja verificar. Na seção General > Security Information, verifique na seção "Server Policies" o nome do "Filter-ID" : ele deve corresponder à ACL aplicada.

No caso dos APs Flex Connect (switching local), você pode verificar se a ACL está colocada no AP digitando o comando "#show ip access-lists" no próprio AP.

Verificação

Você pode usar esses comandos para verificar a configuração.

Configuração de VLANs/interfaces

# show vlan brief
# show interfaces trunk
# show run interface <interface-id>

Configuração de WLAN

# show wlan summary
# show run wlan [wlan-name]
# show wlan { id <wlan-id> | name <wlan-name> | all }

Configuração de AP

# show ap summary
# show ap tag summary
# show ap name <ap-name> tag { info | detail }

# show ap name <ap-name> tag detail

AP Name            : AP2802-01
AP Mac             : 0896.ad9d.143e

Tag Type             Tag Name
-----------------------------
Policy Tag           PT1
RF Tag               default-rf-tag
Site Tag             default-site-tag

Policy tag mapping
------------------
WLAN Profile Name                Policy Name                      VLAN                             Central Switching                IPv4 ACL                         IPv6 ACL
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
psk-pbl-ewlc                     ctrl-vl2602                      VLAN0210                         ENABLED                          Not Configured                   Not Configured

Site tag mapping
----------------
Flex Profile         : default-flex-profile
AP Profile           : default-ap-profile
Local-site           : Yes

RF tag mapping
--------------
5ghz RF Policy       : Global Config
2.4ghz RF Policy     : Global Config

Configuração da tag

# show wireless tag { policy | rf | site } summary
# show wireless tag { policy | rf | site } detailed <tag-name>

Configuração do perfil

# show wireless profile { flex | policy } summary
# show wireless profile { flex | policy } detailed <profile-name>
# show ap profile <AP-join-profile-name> detailed