配置Aironet 600系列OfficeExtend接入点

下载选项

PDF (1.7 MB)
在各种设备上使用 Adobe Reader 查看
ePub (1.8 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (2.2 MB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2012 年 5 月 25 日

文档 ID:113003

Bias-Free Language

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档提供有关配置思科无线局域网(WLAN)控制器以与Cisco Aironet® 600系列OfficeExtend接入点(OEAP)^一起使用的要求的信息。 Cisco Aironet 600系列OEAP支持分割模式操作，并具有需要通过WLAN控制器进行配置的设施以及可由最终用户本地配置的功能。本文档还提供有关正确连接和支持的功能集所需配置的信息。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于Cisco Aironet 600系列OfficeExtend接入点(OEAP)。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

背景信息

设置准则

以下控制器支持Cisco Aironet 600系列OEAP:Cisco 5508、WiSM-2和Cisco 2504。
支持Cisco Aironet 600系列OEAP的第一个控制器版本是7.0.116.0
控制器的管理接口需要位于可路由的IP网络中。
需要更改企业防火墙配置以允许UDP端口号为5246和5247的流量。

Office Extend解决方案概述

为用户提供一个以公司控制器的IP地址为前缀的接入点(AP)，或者用户可以从配置屏幕（设置HTML页面）输入控制器的IP地址。
用户将AP插入其家用路由器。
AP从其家庭路由器获取IP地址，加入主控制器并创建安全隧道。
然后，Cisco Aironet 600系列OEAP通告公司SSID，该SSID将相同的安全方法和服务扩展到整个广域网中的用户家中。
如果配置了远程LAN，则AP上的一个有线端口将通过隧道传回控制器。
然后，用户可以额外启用本地SSID供个人使用。

防火墙配置指南

防火墙的常规配置是允许CAPWAP控制和CAPWAP管理端口号通过防火墙。Cisco Aironet 600系列OEAP控制器可以放置在DMZ区域。

注：WLAN控制器与Cisco Aironet 600系列OEAP之间的防火墙上需要打开UDP 5246和5247端口。

下图显示DMZ上的Cisco Aironet 600系列OEAP控制器：

以下是防火墙配置示例：

interface Ethernet0/0
 nameif outside
 security-level 0
 ip address X.X.X.X 255.255.255.224

!--- X.X.X.X represents a public IP address
  
!
interface Ethernet0/2
 nameif dmz
 security-level 50
 ip address 172.16.1.2 255.255.255.0 
!
access-list Outside extended permit udp any host X.X.X.Y eq 5246 

!--- Public reachable IP of corporate controller

access-list Outside extended permit udp any host X.X.X.Y eq 5247 

!--- Public reachable IP of corporate controller

access-list Outside extended permit icmp any any 
!
global (outside) 1 interface
nat (dmz) 1 172.16.1.0 255.255.255.0
static (dmz,outside) X.X.X.Y 172.16.1.25 netmask 255.255.255.255
access-group Outside in interface outside

为了将内部AP-Manager IP地址作为CAPWAPP发现响应数据包的一部分传输到OfficeExtend AP，控制器管理员需要确保在AP-Manager接口中启用NAT，并将正确的NATed IP地址发送到AP。

注意：默认情况下，WLC在启用NAT时，仅在AP发现期间使用NAT IP地址进行响应。如果AP存在于NAT网关的内部和外部，请发出以下命令，以便将WLC设置为同时使用NAT IP地址和非NAT（内部）管理IP地址做出响应：

config network ap-discovery nat-ip-only disable

注意：仅当WLC具有NAT IP地址时，才需要执行此操作。

此图显示，假设WLC具有NAT IP地址，则NAT已启用：

注意：如果控制器配置了可路由的Internet IP地址，而不是防火墙后，则控制器中不需要此配置。

Office Extend AP-600配置步骤

Cisco Aironet 600系列OEAP将作为本地模式接入点连接到WLC。

注意： 600系列不支持监控、H-REAP、嗅探器、欺诈检测、网桥和SE-Connect模式，且不可配置。

注意：1040、1130、1140和3502i系列接入点中的Cisco Aironet 600系列OEAP功能需要为混合REAP(H-REAP)配置AP并将AP的子模式设置为CiscoAironet 600系列OEAP。600系列不会执行此操作，因为它使用本地模式且无法更改。

在初始加入过程中，MAC过滤可用于AP身份验证，以防止未授权的Cisco Aironet 600系列OEAP设备加入控制器。此图显示了在何处启用MAC过滤和配置AP安全策略：

此处输入以太网MAC（而非无线MAC地址）。此外，如果将MAC地址输入到Radius服务器，则必须使用小写。您可以检查AP事件日志，了解如何发现以太网MAC地址的信息（稍后将详细介绍）。

WLAN和远程LAN配置设置

Cisco Aironet 600系列OEAP上有一个物理远程LAN端口(黄色端口#4)。它与WLAN的配置方式非常相似。但是，由于它不是无线端口，而且AP背面有线LAN端口，因此它被调出并作为远程LAN端口进行管理。

虽然设备上只有一个物理端口，但如果使用集线器或交换机，则最多可连接四个有线客户端。

注意：远程LAN客户端限制支持将交换机或集线器连接到多个设备的远程LAN端口，或直接连接到连接到该端口的Cisco IP电话。

注意：只有前四台设备才能连接，直到其中一台设备空闲超过一分钟。如果使用802.1x身份验证，则尝试在有线端口上使用多个客户端时可能出现问题。

注意：此数字不影响对控制器WLAN施加的15个限制。

远程LAN的配置与控制器上配置的WLAN和访客LAN的配置类似。

WLAN是无线安全配置文件。这些是您的公司网络使用的配置文件。Cisco Aironet 600系列OEAP最多支持两个WLAN和一个远程LAN。

远程LAN类似于WLAN，但它映射到接入点背面的有线端口(黄色端口#4)，如下图所示：

注意：如果您有两个以上的WLAN或多个远程LAN，则所有WLAN都需要放入AP组。

此图显示WLAN和远程LAN的配置位置：

此图显示OEAP组名称示例：

下图显示WLAN SSID和RLAN配置：

如果Cisco Aironet 600系列OEAP输入到AP组中，则两个WLAN和一个远程LAN的相同限制适用于AP组的配置。此外，如果Cisco Aironet 600系列OEAP在默认组中（即它不在定义的AP组中），则WLAN/远程LAN ID需要设置为小于ID 8，因为此产品不支持更高ID集。

如下图所示，将ID设置保持在小于8:

注意：如果创建其他WLAN或远程LAN的目的是更改Cisco Aironet 600系列OEAP使用的WLAN或远程LAN，则在启用600上的新WLAN或远程LAN之前，请禁用要删除的当前WLAN或远程LAN系列。如果为AP组启用了多个远程LAN，请禁用所有远程LAN，然后仅启用一个。

如果为AP组启用了两个以上的WLAN，请禁用所有WLAN，然后仅启用两个。

WLAN安全设置

在WLAN中设置安全设置时，600系列不支持某些特定元素。

对于第2层安全，Cisco Aironet 600系列OEAP仅支持以下选项：

无
WPA+WPA2
静态WEP也可以使用，但不能用于。11n数据速率。

注意：应仅选择802.1x或PSK。

WPA和WPA2的TKIP和AES的安全加密设置必须相同，如下图所示：

以下映像提供了TKIP和AES不兼容设置的示例：

注意：请注意，安全设置允许不支持的功能。

这些映像提供了兼容设置的示例：

MAC 过滤

安全设置可以保持打开状态、设置为MAC过滤或设置为Web身份验证。默认使用MAC过滤。

下图显示第2层和第3层MAC过滤：

QoS设置受管：

还应管理高级设置：

注意：

不应启用覆盖盲区检测。
不应启用Aironet IE（信息元素），因为它们未使用。
管理帧保护(MFP)也不受支持，应禁用或配置为可选，如下图所示：
不支持客户端负载平衡和客户端频段选择，因此不应启用：

支持的用户计数

只有15个用户可以随时在600系列上提供的WLAN控制器WLAN上连接。在第一个客户端之一取消身份验证或控制器上出现超时之前，第十六个用户无法进行身份验证。

注意：此数字在600系列控制器WLAN中是累积的。

例如，如果配置了两个控制器WLAN，并且其中一个WLAN上有15个用户，则届时任何用户都无法加入600系列上的另一个WLAN。此限制不适用于最终用户在专为个人用途设计的600系列上配置的本地专用WLAN，并且这些专用WLAN或有线端口上连接的客户端不会影响这些限制。

通道管理和设置

600系列的无线电通过600系列上的本地GUI控制，而不是通过无线LAN控制器控制。

尝试通过控制器控制频谱信道、电源或禁用无线电将无法对600系列产生任何影响。

只要本地GUI上的默认设置在两个频谱中都保留为默认设置，600系列将在启动期间扫描并选择2.4 GHz和5.0 GHz的信道。

注意：如果用户在本地禁用一个或两个无线电（该无线电也为公司访问禁用），如前所述，RRM和监控器、H-REAP、嗅探器等高级功能超出了Cisco Aironet 600系列OEAP的功能范围，该系列定位用于家庭和远程工作人员使用。

5.0 GHz的信道选择和带宽在Cisco Aironet 600系列OEAP的本地GUI上配置。

注意：

5 GHz提供20和40 MHz宽设置。
不支持2.4 GHz宽40 MHz，并固定在20 MHz。
2.4 GHz不支持40 MHz宽（信道绑定）。

其他警告

Cisco Aironet 600系列OEAP专为单AP部署而设计。因此，不支持600系列之间的客户端漫游。

注意：禁用控制器上的802.11a/n或802.11b/g/n可能不会禁用Cisco Aironet 600系列OEAP上的这些频谱，因为本地SSID可能仍在工作。

最终用户对Cisco Aironet 600系列OEAP内的无线电启用/禁用控制。

有线端口支持802.1x

在此初始版本中，802.1x仅在命令行界面(CLI)上受支持。

注意：尚未添加GUI支持。

这是Cisco Aironet 600系列OEAP背面的有线端口(端口#4为黄色)，并与远程LAN关联（请参阅配置远程LAN的上一节）。

您可以随时使用show命令显示当前远程LAN配置：

show remote-lan <remote-lan-id>

要更改远程LAN配置，必须先禁用它：

 remote-lan disable <remote-lan-id>

为远程LAN启用802.1X身份验证：

 config remote-lan security 802.1X enable <remote-lan-id>

您可以使用以下命令撤消该操作：

 config remote-lan security 802.1X disable <remote-lan-id>

对于远程LAN，“加密”始终为“无”(如show remote-lan所示)，且不可配置。

如果要将本地EAP（在控制器中）用作身份验证服务器：

config remote-lan local-auth enable <profile-name> <remote-lan-id>

其中，配置文件通过控制器GUI(Security > Local EAP)或CLI(config local-auth)定义。有关此命令的详细信息，请参阅控制器指南。

您可以使用以下命令撤消它：

 config remote-lan local-auth disable <remote-lan-id>

或者，如果使用外部AAA身份验证服务器：

config remote-lan radius_server auth add/delete <remote-lan-id> <server-id>
config remote-lan radius_server auth enable/disable <remote-lan-id>

其中，通过控制器GUI(Security > RADIUS > Authentication)或CLI(config radius auth)配置服务器。有关此命令的详细信息，请参阅控制器指南。

完成配置后，启用远程LAN:

config remote-lan enable <remote-lan-id>

使用show remote-lan <remote-lan-id>命令以验证您的设置。

对于远程LAN客户端，您需要启用802.1X身份验证并相应配置。请参阅您的设备用户指南。

OEAP-600接入点配置

下图显示了Cisco Aironet 600系列OEAP的布线图：

Cisco Aironet 600系列OEAP的默认DHCP范围是10.0.0.x，因此您可以使用地址10.0.0.1浏览到端口1-3上的AP。默认用户名和密码为admin。

注意：这与AP1040、1130、1140和3502i（使用Cisco作为用户名和密码）不同。

如果无线电已打开且已配置个人SSID，则可以无线访问配置屏幕。否则，您需要使用本地以太网端口1-3。

要登录，默认用户名和密码为admin。

注意：黄色端口#4对于本地用途不活动。如果在控制器上配置了远程LAN，则此端口在AP成功加入控制器后隧道返回。要浏览设备，请本地使用端口1-3:

成功浏览到设备后，您会看到主状态屏幕。此屏幕提供无线电和MAC统计信息。如果未配置无线电，则配置屏幕允许用户启用无线电、设置信道和模式、配置本地SSID并启用WLAN设置。

在SSID屏幕中，用户可以配置个人WLAN网络。公司无线电SSID和安全参数从控制器设置并向下推送（在您使用控制器的IP配置WAN后），并且成功加入。

下图显示SSID本地MAC过滤配置：

用户配置个人SSID后，下面的屏幕允许用户设置私有家庭SSID的安全性、启用无线电，并配置MAC过滤（如果需要）。如果个人网络使用802.11n速率，建议用户选择身份验证类型、加密类型和启用WPA2-PSK和AES的密码。

注意：如果用户选择禁用其中一个或两个无线电（也禁用这两个无线电也供企业使用），则这些SSID设置与公司设置不同。

对管理员控制设置具有本地访问权限的用户可以控制核心功能，如无线电启用/禁用，除非设备受到管理员的密码保护和配置。因此，必须小心不要禁用两个无线电，因为即使设备成功加入控制器，也可能导致连接中断。

下图显示系统安全设置：

预计家庭远程工作人员会将Cisco Aironet 600系列OEAP安装在家庭路由器后面，因为此产品并非为取代家庭路由器的功能而设计。这是因为此产品的当前版本不支持防火墙、PPPoE支持或端口转发。这些功能是客户希望在家庭路由器中看到的功能。

虽然此产品无需家用路由器即可运行，但出于所述原因，建议不要这样定位。此外，直接连接到某些调制解调器时可能会出现兼容性问题。

鉴于大多数家庭路由器的DHCP范围在192.168.x.x范围内，此设备的默认DHCP范围为10.0.0.x，且可配置。

如果家庭路由器正巧使用10.0.0.x，则必须将Cisco Aironet 600系列OEAP配置为使用192.168.1.x或兼容IP地址以避免网络冲突。

下图显示DHCP范围配置：

caution 注意：如果Cisco Aironet 600系列OEAP未由IT管理员暂存或配置，则用户需要输入公司控制器的IP地址（请参阅下文），以便AP能够成功加入控制器。成功加入后，AP应从控制器下载最新映像和配置参数，如公司WLAN设置。此外，如果已配置，Cisco Aironet 600系列OEAP背面的远程LAN设置有线端口#4。

如果它未加入，请验证控制器的IP地址是否可通过Internet访问。如果MAC过滤已启用，请验证MAC地址是否已成功输入到控制器。

下图显示Cisco Aironet 600系列OEAP控制器的IP地址：

OEAP-600接入点硬件安装

此图显示Cisco Aironet 600系列OEAP的物理方面：

此AP设计为安装在桌子上，并有橡胶支脚。它也可以壁装，或者使用所提供的支架竖直坐着。尝试将AP定位到尽可能靠近目标用户的位置。避免出现金属表面较大的区域，例如将设备放在金属桌上或靠近大镜子。AP和用户之间的墙和对象越多，信号强度越低，性能也越低。

注意：此AP使用+12伏电源，不使用以太网供电(PoE)。此外，设备不提供PoE。确保AP使用正确的电源适配器。此外，请确保不要使用其他设备（如笔记本电脑和IP电话）的其他适配器，因为这些适配器可能会损坏AP。

该单元可以用塑料锚或木螺钉安装在墙壁上。

该单元可以使用所提供的支架竖直安装。

Cisco Aironet 600系列OEAP的天线位于AP的边缘。用户应注意不要将AP放置在金属物体或障碍物附近可能导致信号定向或衰减的区域。天线增益在两个频带中约为2 dBi，设计为以360度模式辐射。与灯泡（没有灯罩）类似，目标是向所有方向辐射。将AP想象成灯，并尝试将其放置在用户附近。

金属物体，如镜子，会像灯罩一样阻碍信号。如果信号必须穿透或穿过实体，则可能会遇到吞吐量或范围降低的情况。如果您期望连接（例如在三层住宅中），请避免将AP放在地下室，并尝试将AP安装在家中的中央位置。

接入点有六根天线（每个频段有三根）。

此图显示2.4 GHz天线辐射图（从左下角的天线拍摄）。

下图显示5 GHz天线辐射图（从右中间天线拍摄）：

排除OEAP-600故障

检验初始布线是否正确。这确认了Cisco Aironet 600系列OEAP上的WAN端口已连接到路由器，并且可以成功接收IP地址。如果AP似乎未加入控制器，请将PC连接到端口1-3（家庭客户端端口），并查看是否可以使用默认IP地址10.0.0.1浏览到AP。默认用户名和密码为admin。

验证是否已设置公司控制器的IP地址。否则，输入IP地址并重新启动Cisco Aironet 600系列OEAP，以便尝试建立到控制器的链路。

注意：公司端口#4（黄色）不能用于浏览到设备进行配置。除非配置了远程LAN，否则这实质上是“死端口”。然后，它将回传到企业（用于有线企业连接）

检查事件日志，查看关联的进展情况（稍后将对此进行详细说明）。

下图显示Cisco Aironet 600系列OEAP配线图：

下图显示Cisco Aironet 600系列OEAP连接端口：

如果Cisco Aironet 600系列OEAP无法加入控制器，建议您检查以下项目：

验证路由器是否正常工作并连接到Cisco Aironet 600系列OEAP的WAN端口。
将PC连接到Cisco Aironet 600系列OEAP上的端口1-3之一。它应该能看到互联网。
验证企业控制器的IP地址在AP中。
确认控制器位于DMZ上且可通过Internet访问。
验证加入并确认思科徽标LED为蓝色或紫色。
在AP需要加载新映像并重新启动时留出足够的时间。
如果防火墙正在使用，请验证UDP 5246和5247端口是否未被阻止。

此图显示Cisco Aironet 600系列OEAP徽标LED状态：

如果连接过程失败，LED会以颜色循环，或者闪烁橙色。如果发生这种情况，请检查事件日志以了解详细信息。要访问事件日志，请浏览到AP（使用个人SSID或有线端口1-3）并捕获此数据供IT管理员查看。

下图显示Cisco Aironet 600系列OEAP事件日志：

如果加入过程失败，并且这是Cisco Aironet 600系列OEAP首次尝试连接到控制器，请检查Cisco Aironet 600系列OEAP的AP加入统计信息。为此，您需要AP的基本无线电MAC。可以在事件日志中找到。以下是包含注释的事件日志示例，可帮助您解释此问题：

一旦知道此情况，您可以查看控制器监控器统计信息，以确定Cisco Aironet 600系列OEAP是已加入控制器还是已加入控制器。此外，这应能说明故障发生的原因或原因。

如果需要AP身份验证，请验证Cisco Aironet 600系列OEAP以太网MAC地址（而非无线电MAC地址）是否已输入到Radius服务器（小写）。您还可以从事件日志中确定以太网MAC地址。

在控制器上搜索Cisco Aironet 600系列OEAP

如果您确定可以从连接到本地以太网端口的PC访问Internet，但AP仍无法加入控制器，并且您确认控制器IP地址已在本地AP GUI中配置且可访问，则确认AP是否已成功加入。也许AP不在AAA服务器中。或者，如果DTLS握手失败，AP可能在控制器上出现错误的证书或日期/时间错误。

如果Cisco Aironet 600系列OEAP设备无法加入控制器，请验证控制器是否位于DMZ上且UDP端口5246和5247已打开。

如何调试客户端关联问题

AP正确加入控制器，但无线客户端无法与企业SSID关联。检查事件日志，查看关联消息是否到达AP。

下图显示了客户端与使用WPA或WPA2的公司SSID关联的正常事件。对于使用开放身份验证或静态WEP的SSID，只有一个ADD MOBILE事件。

事件日志 — 客户端关联

如果(Re)Assoc-Req事件不在日志中，请验证客户端是否具有正确的安全设置。

如果(Re)Assoc-Req事件显示在日志中，但客户端无法正确关联，请在控制器上为客户端启用debug client <MAC address>命令，并以与客户端使用其他Cisco非OEAP接入点时相同的方式调查问题。

如何解释事件日志

以下事件日志和注释可帮助您排除其他Cisco Aironet 600系列OEAP连接问题。

以下是从Cisco Aironet 600系列OEAP事件日志文件收集的一些示例，其中包含注释，以帮助解释事件日志：

当Internet连接不可靠时

当Internet连接失败或最终非常缓慢或间歇性时，可能会出现本节中的事件日志示例。这可能由ISP网络、ISP调制解调器或家庭路由器引起。有时来自ISP的连接会中断或变得不可靠。发生这种情况时，CAPWAP链路（隧道回企业）可能会失败或出现困难。

以下是事件日志中此类故障的示例：

其他调试命令

在酒店或其他付费使用场所中使用Cisco Aironet 600系列OEAP时，在Cisco Aironet 600系列OEAP能通过隧道回到控制器之前，您需要通过带围墙的花园。为此，请将笔记本电脑插入一个有线本地端口（端口1-3），或使用个人SSID登录酒店并满足闪屏要求。

从AP的主端连接Internet后，设备会建立DTLS隧道和您的公司SSID。然后，有线端口#4（假设配置了远程LAN）变为活动状态。

注意：这可能需要几分钟时间，请观察Cisco徽标LED的蓝色或紫色固色指示成功加入。此时，个人连接和公司连接都处于活动状态。

注意：当酒店或其他ISP断开连接时（通常为24小时），隧道会断开。然后，你必须重新开始同一过程。这是设计的，很正常。

此图显示了按使用付费配置的Office Extend:

此图显示了其他debug命令（无线电接口信息）：

已知问题/警告

将配置文件从控制器上传到TFTP/FTP服务器时，远程LAN配置将作为WLAN配置上传。有关详细信息，请参阅7.0.116.0版思科无线局域网控制器和轻量接入点的版本说明。

在OEAP-600上，如果CAPWAP连接因控制器上的身份验证失败而失败，则OEAP-600上的Cisco徽标LED可以在OEAP-600尝试重新启动CAPWAP尝试之前关闭一段时间。这是正常的，因此您应该知道，如果标志LED暂时关闭，AP不会死。

此OEAP-600产品与以前的OEAP接入点的登录名不同，为了与家用产品（如Linksys）保持一致，默认用户名为admin，密码为admin，而AP-1130和AP-1140等其他Cisco OEAP接入点则具有默认用户名为Cisco，口令为Cisco。

OEAP-600的第一版支持802.1x，但仅在CLI上支持。尝试更改GUI的用户可能会丢失其配置。

当您在酒店或其他付费使用场所使用OEAP-600时，在OEAP-600可以隧道回控制器之前，您需要穿过有围墙的花园。只需将笔记本电脑插入一个有线本地端口（端口1-3），或使用个人SSID登录酒店并满足闪屏要求。从AP的主端连接互联网后，设备会建立DTLS隧道以及公司SSID和有线端口#4（假设已配置远程LAN），然后变为活动状态。请注意，这可能需要几分钟时间，请观察Cisco徽标LED的蓝色或紫色固色指示成功加入。此时，个人连接和公司连接都处于活动状态。

注意：当酒店或其他ISP断开连接（通常为24小时）时，隧道可能会中断，您必须重新启动同一进程。这是设计的，很正常。

Office Extend（支付使用场所费用）

以下是Cisco 7.2版本中引入的一些附加增强功能：

在GUI中添加802.1x安全
能够从控制器禁用AP上的本地WLAN访问 — 禁用个人SSID，仅允许公司配置
信道分配可选选项
支持从2个企业SSID更改为3个SSID
支持双RLAN端口功能

在GUI中添加802.1x安全

802.1x现已添加到GUI

有关远程LAN端口身份验证的说明。

能够从控制器禁用AP上的本地WLAN访问 — 禁用个人SSID，仅允许公司配置

禁用本地WLAN访问

信道分配可选选项包括：

本地控制的AP
WLC控制

RF信道和功率分配现在由本地或WLC控制

支持双RLAN端口功能（仅CLI）

本说明适用于使用双RLAN端口功能的OEAP-600系列AP，该功能允许OEAP-600以太网端口3作为远程LAN运行。仅允许通过CLI进行配置，以下是示例：

Config network oeap-600 dual-rlan-ports enable|disable

如果未配置此功能，则单端口4远程LAN将继续运行。每个端口对每个端口使用唯一的远程LAN。远程LAN映射不同，这取决于是使用默认组还是AP组。

默认组

如果使用default-group，则具有偶数远程LAN ID的单个远程LAN映射到端口4。例如，具有remote-lan-id 2的远程LAN映射到端口4（在OEAP-600上）。具有奇数编号远程局域网ID的远程局域网映射到端口3（在OEAP-600上）。

例如，以下两个远程LAN:

(Cisco Controller) >show remote-lan summary

Number of Remote LANS............................ 2

RLAN ID  RLAN Profile Name    Status    Interface Name
-------  -------------------------------------  --------  --------------------
2        rlan2                                  Enabled   management
3        rlan3                                  Enabled   management

rlan2具有偶数远程LAN ID 2，因此映射到端口4。rlan3具有奇数远程LAN ID 3，因此映射到端口3。

AP组

如果使用AP组，则到OEAP-600端口的映射取决于AP组排序。要使用AP组，必须先从AP组中删除所有远程LAN和WLAN，并将其留空。然后将两个远程LAN添加到AP组。首先添加端口3 AP remote-LAN，然后添加端口4远程组，最后添加任何WLAN。

列表中第一个位置的远程局域网映射到端口3，列表中的第二个远程局域网映射到端口4，如本例所示：

RLAN ID  RLAN Profile Name      Status    Interface Name
-------  -------------------------------------  --------  --------------------
2        rlan2                                  Enabled   management
3        rlan3                                  Enabled   management