简介

本文档介绍Catalyst 9800系列无线控制器上可用的标签和配置文件的新配置模型。

背景信息

本文档介绍各种GUI选项 — 基于向导和菜单，可用于在多个站点设计和部署9800 WLC以服务SSID。 

如果您熟悉AireOS无线局域网控制器(WLC)，则了解接入点(AP)和FlexConnect组。

这些组允许您根据每个AP的组关联来控制可用于每个AP的功能（例如：哪些无线局域网[WLAN]或射频[RF]配置文件）。

在9800 WLC上，标签用于控制每个AP可用的功能。标签会分配给每个AP，在每个标签内部，您可以找到已应用于AP的所有设置。

有三个标记：

• 策略标记
• 站点标记
• RF标记

AP配置的可视化方案：

策略标记

Policy Tag是WLAN配置文件[服务集标识符(SSID)]和策略配置文件之间的链路。

• 策略配置文件

在策略配置文件中，您可以指定虚拟局域网(VLAN)ID，如果流量是中心或本地交换、移动锚点、服务质量(QoS)、计时器等设置。

• SSID

在SSID内，您可以指定WLAN名称、WLAN的安全类型、高级协议（如802.11k）以及其他设置。

站点标记

站点标记定义AP是处于本地模式还是Flexconnect模式（AP处于本地模式）。其他AP模式（如嗅探器、传感器、监控器和网桥）可以直接在AP上配置。

站点标签还包含应用于AP的AP加入配置文件和Flex配置文件。

注意：只有在本地站点设置被禁用时，弹性配置文件设置才可用。

•  AP加入配置文件

在AP加入配置文件中，您可以指定设置，例如无线接入点的控制和调配(CAPWAP)计时器、对AP的远程访问(Telnet/Secure Shell [SSH])、备用控制器配置等。

• Flex配置文件

在Flex配置文件中，您有地址解析协议(ARP)缓存、VLAN/ACL映射等设置。

RF标记

在RF标记内，您可以选择任何RF配置文件或选择使用全局RF配置。

•  2.4 GHz配置文件

允许您为2.4GHz频段定义要使用的特定数据速率、传输功率控制(TPC)设置、动态信道分配(DCA)和某些其他无线电资源管理(RRM)设置。

• 5GHz配置文件

允许您为5GHz频段定义要使用的特定数据速率、传输功率控制(TPC)设置、动态信道分配(DCA)和某些其他无线电资源管理(RRM)设置。

默认情况下，为AP分配默认标记(Default Policy Tag、Default Site Tag、Default RF Tag)，为默认标记分配默认配置文件(Default Policy Profile、Default AP Join Profile、Default Flex Profile)。

注意：您可以修改除Default Policy Tag以外的所有默认设置。Default Policy Tag自动将WLAN ID为1至16的任何SSID链接到默认策略配置文件，并且无法修改这些链路。

每个配置文件的设置列表

如果您熟悉AireOS，则在WLAN配置下用于配置SSID的所有特征。在9800 WLC上，这些设置在WLAN配置文件和策略配置文件之间拆分。此外，在AireOS GUI上的Global AP Configuration Page下看到的一些配置已移至AP Join Profile。您可以在此处找到可在每个配置文件下配置的所有设置的列表。

WLAN配置文件

• 802.11k
• 频段选择
• 广播 SSID
• 802.11v(BSS、DMS、TFS、WNM)
• CCX
• Off Channel扫描延迟
• 覆盖盲区检测(CHD)
• 客户端关联限制
• 诊断通道功能
• 传送流量指示消息(DTIM)
• 访问控制列表(ACL)
• 负载平衡
• 本地身份验证设置
• 安全设置（PSK、802.1x、网络身份验证）
• 媒体流设置
• 管理帧保护(MFP)
• 每个WLAN的802.11ac设置
• 点对点阻塞
• 无线电策略
• 漫游语音客户端重新锚点
• 静态IP客户端支持
• WLAN的非计划自动节能传输(U-APSD)
• 工作组网桥(WGB)支持
• 通用AP
• Wifi直拨
• Wi-Fi多媒体(WMM)
• 身份验证列表（远程身份验证拨入用户服务[RADIUS]服务器）

策略配置文件

• 身份验证、授权和记帐(AAA)覆盖
• AAA策略
• 记帐列表
• 自动QoS
• 呼叫监听
• 中央/本地交换
• CiscoTrustSec(CTS)安全组访问控制列表(SGACL) 
• 数据链路ACL
• 描述
• 类型长度值(TLV)缓存（动态主机配置协议[DHCP]、超文本传输协议[HTTP]）
• 空闲超时
• 空闲阈值
• 交换矩阵配置文件
• Flex网络地址转换/端口地址转换(NAT/PAT) 
• 灵活拆分MAC ACL
• 基于Flex VLAN的中央交换
• IP网络应用识别(NBAR)协议发现
• IPv4/v6 ACL
• IPv4 DHCP
• IPv4/IPv6 Flexible Netflow监控器
• 移动锚点
• 组播VLAN
• 网络访问控制 (NAC)
• 被动客户端
• RADIUS分析
• 重新锚定
• 服务策略
• 会话超时
• 会话发起协议(SIP)呼叫准入控制(CAC)
• 静态IP移动性
• 用户策略名称
• Umbrella参数映射
• 统一资源定位符(URL)过滤器
• VLAN
• WGB VLAN
• WGB广播标记

AP加入配置文件

• CAPWAP备份
• CAPWAP回退
• CAPWAP重传
• CAPWAP计时器
• CAPWAP窗口
• 适用于AP的思科发现协议(CDP)
• 核心转储简单文件传输协议(TFTP)
• 国家代码
• 描述
• 2.4GHz / 5GHz客户端报告间隔
• 用作请求方的AP的802.1x凭证
• 扩展模块支持
• Hyperlocation
• 互联网内容适配协议(ICAP)
• 巨型最大传输单位(MTU)状态
• AP的链路聚合(LAG)
• 合法拦截
• 发光二极管(LED)状态
• 链路加密
• 链路延迟
• 网格剖面
• AP管理用户
• 网络时间协议 (NTP)
• 数据包捕获配置文件
• 以太网供电 (PoE)
• AP首选模式(IPv4/IPv6)
• 欺诈检测设置（遏制、最小接收信号强度指示器[RSSI]、最小瞬时时间、报告间隔） 
• SSH/Telnet
• 保留SSID
• 统计计时器
• 系统日志
• 传输控制协议 — 调整最大分段大小(TCP MSS)
• TFTP降级
• AP跟踪配置文件
• 启用通用串行总线(USB)

Flex配置文件

•  ACL策略
• ARP缓存
• CTS
• 描述
• 回退无线电接口关闭
• HTTP客户端代理
• Flex AP的最小延迟加入
• 本地身份验证参数
• Flex AP的组播参数
• 本征VLAN ID
• OfficeExtended AP模式
• 预下载
• 弹性（适用于Flex+网桥AP）
• VLAN名称映射

RF配置文件

•  通话时间公平性
• 频段选择设置（仅在2.4GHz配置文件上）
• 通道
• 客户端网络首选项
• 覆盖盲区检测(CHD)设置
• 描述
• 仅802.11n模式
• 高密度自动设置
• 高速漫游(HSR)
• 负载平衡设置
• 速率
• traps
• TX功率水平

  

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 运行Cisco IOS® XE、Gilbraltar v16.10的Cisco Catalyst 9800无线控制器

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

网络图

本文档基于以下拓扑：

配置

声明客户端VLAN

开始任何配置之前，您需要添加所需的VLAN（分配无线客户端的VLAN）。 

步骤1:导航到Configuration > Layer2 > VLAN > VLAN > + Add。

第二步：输入所需信息。

注意：如果不指定名称，VLAN会自动分配名称VLANXXXX，其中XXXX是其VLAN ID。

对所有需要的VLAN重复步骤1和步骤2，完成后，您可以继续步骤3。

第三步：验证数据接口中是否允许VLAN。

如果使用端口通道，请导航到Configuration > Interface > Logical > PortChannel name > General。 如果您看到它被配置为Allowed Vlan = All you are done with the configuration。如果看到Allowed VLAN = Vlan IDs，请添加所需的VLAN，然后点击Update & Apply to Device。

如果未使用端口通道，请导航到Configuration > Interface > Ethernet > Interface Name > General。 如果您看到它被配置为Allowed Vlan = All you are done with the configuration。如果看到Allowed VLAN = Vlan IDs，请添加所需的VLAN，然后点击Update & Apply to Device。

无需进行更改:

需要添加VLAN ID:

 CLI：

# config t
# vlan <vlan-id>
# exit

# interface <interface-id>
# switchport trunk allowed vlan add <vlan-id>
# end

基于向导的配置 — 建议用于新的9800 WLC部署

对于Catalyst 9800 WLC安装，您可以使用提供的配置向导指导您完成配置过程。

如果您需要在部署中使用RADIUS服务器，可以先使用AAA向导，然后选择基本或高级无线设置。

如果您在部署中不使用RADIUS服务器，您可以直接转到“基本无线设置”或“高级无线设置”。

AAA向导

步骤1:导航到Configuration > Security > AAA > + AAA Wizard。

第二步：启用所需的服务器类型并输入服务器名称（可以是IP地址或任何其他字符串）、服务器IP和共享密钥。之后，点击 Next （下一步）。

第三步：输入信息以创建服务器组。确保将上一步中指定的服务器添加到分配的服务器。

第四步：启用身份验证并创建身份验证方法。

导航到Authentication选项卡并输入所需信息，完成后，点击Save & Apply to Device。

基本无线设置

此向导将引导您完成基本无线设置。它允许您将AP功能细分。

使用基本无线设置向导的部署示例。

步骤1:创建新位置。

导航到Configuration > Wireless Setup > Basic > +Add。

第二步：在General选项卡中输入所需信息。

位置名称=新位置的名称

Description =位置的可选说明

位置类型=本地（本地模式AP）、Flex（FlexConnect模式AP）

客户端密度=调整指定客户端密度的RF配置。 

第三步：添加所需的WLAN。 

导航到Wireless Networks（无线网络）选项卡，然后单击Add（添加）。

您可以选择Define new从头开始创建新的WLAN，也可以从WLAN*下拉列表中选择已建立的WLAN。

如果选择Define new，则会出现类似此的菜单，您可以在其中选择SSID名称、安全类型及其他SSID相关设置。完成新SSID的配置后，点击Save & Apply to Device。

第四步：选择要应用于该SSID的VLAN（以及任何其他配置）。完成后，单击复选标记。

对所有需要的WLAN重复步骤3和4。

第五步：将配置分配给所需的AP。

导航到AP调配选项卡，选择要应用当前配置的AP。选中后，会将它们从“添加/选择AP”移动到此位置上的AP。

第六步：要将配置应用到AP，请点击Apply。

点击Apply后，您可以看到新位置已创建。开始时，您会看到0个加入的AP，因为当配置应用到AP时，它们会重新启动与控制器的关联（它们会重新启动CAPWAP隧道）。

对此9800 WLC所服务的所有位置重复上述所有步骤。

如果需要向已建立的位置添加更多AP或WLAN，可以点击该位置并导航到相关选项卡进行所需的更改。

高级无线设置

此向导将引导您完成高级无线设置。它允许您对AP功能进行更详细的划分。

步骤1:启动高级无线设置。

导航到Configuration > Wireless Setup > Advanced > Start Now

步骤2.确定要创建的配置文件和标记。

要创建任何配置文件或标记，请点击+图标。

要查看或编辑已建立的标记和配置文件，请点击：=图标以转至“列表视图”。

第三步：AP标记分配。

根据网络设计创建所有必要的配置文件和标记后，将标记分配到所需的AP。点击Tag APs :=图标，然后选择要为其分配标记的AP列表。

点击AP名称[或任何其他字段]旁边的向下点箭头以过滤AP列表。

选择所需的AP后，点击+标记AP。

选择要分配给AP的标记，然后点击Save & Apply to Device。 

注：请注意，更改AP上的策略标记后，它将失去与9800 WLC的关联并在大约1分钟内重新加入。

基于菜单的配置 — 建议用于已建立的9800 WLC部署

您无需使用向导，而是选择需要创建或修改的特定元素。

配置元素的可视化表示。

9800 WLC上的AAA

建议的配置流程：

1. 添加RADIUS服务器
2. 创建RADIUS组
3. 创建AAA方法

添加RADIUS服务器

步骤1:导航到Configuration > Security > AAA > Servers/Groups > Servers > RADIUS > + Add

第二步：输入所有所需信息。完成后，点击Save & Apply to Device。

CLI：

# config t
# radius server server-name
# address ipv4 172.16.0.12 auth-port 1812 acct-port 1813
# key <shared-key>
# exit

# aaa server radius dynamic-author
# client 172.16.0.12 server-key cisco123
# end

创建RADIUS组

步骤1:导航到Configuration > Security > AAA > Servers/Groups > Servers > RADIUS > + Add。

第二步：输入所需信息，并确保将最近创建的服务器移到Assigned Servers部分。

CLI：

# config t
# aaa group server radius server-group
# server name server-name
# end

创建AAA方法

步骤1: 导航到Configuration > Security > AAA > AAA Method List > Authentication > + Add。

根据您的SSID所需的安全类型，您可以选择身份验证类型。

• 类型dot1x =用于802.1x SSID
• Type login =用于WebAuth SSID

Group Type设置允许您选择必须将身份验证发送到创建的外部RADIUS服务器还是本地服务器。

• 组类型组=外部RADIUS服务器
• 组类型本地=本地身份验证

步骤2.（可选）根据需要创建授权/记帐方法。

# config t
# aaa authentication login <login-method-name> group server-group
# aaa authentication dot1x <dot1x-method-name> group server-group

9800 WLC上的WLAN

建议的配置流程：

1. 创建您的SSID
2. 创建/修改策略配置文件
3. 创建/修改策略标记（将SSID链接到所需的策略配置文件）
4. 如果需要，请为AP分配策略标记

创建您的SSID

步骤1:导航到Configuration > Wireless > WLANs > + Add。

第二步：输入所有需要的信息（SSID名称、安全类型等），完成后，点击Save & Apply to Device。

CLI：

# config t
# wlan <profile-name> <wlan-id> <ssid-name>
# ----desired settings----
# no shutdown

创建/修改策略配置文件

步骤1:导航到Configuration > Tags & Profiles > Policy。 选择已建立的名称或点击+添加以添加新名称。确保已启用，设置需要的VLAN以及要自定义的任何其他参数。

第二步： 完成后，点击Save & Apply to Device。

CLI：

# wireless profile policy new-policy-profile
# vlan <vlan-id_or_vlan-name>
# ------any other desired setting------
# no shutdown

创建/修改策略标记

Policy标记是允许您指定哪个SSID链接到哪个策略配置文件的设置。 

步骤1:导航到Configuration > Tags & Profiles > Tags > Policy。 选择已建立的名称或点击+添加以添加新名称。 

第二步：在Policy Tag中，点击+Add，从下拉列表中选择要添加到要链接到的策略标记和策略配置文件中的WLAN配置文件名称。然后，点击复选标记。

第三步：对要添加的所有WLAN重复步骤2。完成后，点击Save & Apply to Device。 不要忘记为新策略标记指定名称。

CLI：

# config t
# wireless tag policy <policy-tag-name>
# wlan <ssid-name> policy <policy-profile-name>
# end

策略标记分配

您可以直接将策略标记分配给AP，或同时将相同的策略标记分配给AP组。选择适合您的产品。

每个AP的策略标记分配

导航到Configuration > Wireless > Access Points > AP name > General > Tags。 从Policy下拉列表中，选择所需的Policy Tag，然后点击Update & Apply to Device。

注：请注意，更改AP上的策略标记后，它将失去与9800 WLC的关联并在大约1分钟内重新加入。

 CLI：

# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

为多个AP分配策略标记

导航到Configuration > Wireless Setup > Advanced > Start Now

点击Tag APs :=图标，然后选择要为其分配标记的AP列表（您可以点击AP名称[或其他任何字段]旁边的向下箭头以过滤AP列表）。

选择所需的AP后，点击+标记AP。

  

选择要分配给AP的标记，然后点击Save & Apply to Device。 

注意：请注意，当AP上的策略标记更改时，它将失去与9800 WLC的关联并在大约一(1)分钟内重新加入。

CLI：

没有CLI选项可将相同的标记分配给多个AP。 

9800 WLC上的AP加入设置

建议的配置流程：

1. 创建/修改AP加入配置文件
2. （可选）创建/修改Flex配置文件（如果AP处于Flex模式）
3. 创建/修改站点标记
4. 如果需要，为AP分配站点标记

  

创建/修改AP加入配置文件

步骤1:导航到Configuration > Tags & Profiles > AP Join。

选择已建立的名称或点击+添加以添加新名称。

第二步：根据需要修改配置文件。完成后，点击Save & Apply to Device。

CLI：

# config t
# ap profile <ap-join-profile-name>
# -------desired settings------
# end

创建/修改Flex配置文件（如果AP处于Flex模式）

步骤1:导航到Configuration > Tags & Profiles > Flex。

选择已建立的名称或点击+添加以添加新名称。

第二步：根据需要修改配置文件。完成后，点击Save & Apply to Device。

CLI：

# config t
# wireless profile flex <name-flex-profile>
# ------desired settings------
# end

创建/修改站点标记

Site标签是允许您指定将哪个AP加入和/或Flex Profile分配给AP的设置。 

步骤1:导航到Configuration > Tags & Profiles > Tags > Site。 选择已建立的名称或点击+添加以添加新名称。 

第二步：在“站点标记”内，选择要添加到站点标记的AP加入配置文件。

如果您希望将AP转换为无线接入点，则将收到此标记转换为flexconnect模式，并禁用“启用本地站点”选项。

禁用后，您还可以选择一个Flex配置文件。 然后，点击Save & Apply to Device。

如果计划在本地模式下使用AP，请记住保持启用本地站点。

CLI：

# config t
# wireless tag site <site-tag-name>
# ap-profile <AP-join-profile-name>
# flex-profile <flex-profile-name>
# [no] local-site
# end

策略标记分配

您可以直接将策略标记分配给AP，或同时将相同的策略标记分配给AP组。选择适合您的产品。

每个AP的策略标记分配

导航到Configuration > Wireless > Access Points > AP name > General > Tags。 从Site下拉列表中，选择所需的Site Tag，然后点击Update & Apply to Device。

注：请注意，更改AP上的策略标记后，它将失去与9800 WLC的关联并在大约1分钟内重新加入。

 CLI：

# config t
# ap <ethernet-mac-addr>
# site-tag <site-tag-name>
# end

为多个AP分配策略标记

导航到Configuration > Wireless Setup > Advanced > Start Now

点击Tag APs :=图标，然后选择要为其分配标记的AP列表（您可以点击AP名称[或其他任何字段]旁边的向下箭头以过滤AP列表）。

选择所需的AP后，点击+标记AP。

  

选择要分配给AP的标记，然后点击Save & Apply to Device。 

注：请注意，更改AP上的策略标记后，它将失去与9800 WLC的关联并在大约1分钟内重新加入。

CLI：

没有CLI选项可将相同的标记分配给多个AP。 

9800 WLC上的RF配置文件

建议的配置流程：

1. 创建/修改2.4GHz/5GHz的射频配置文件
2. 创建/修改RF标记 
3. 如果需要，将RF标记分配给AP

创建/修改2.4GHz/5GHz的射频配置文件

步骤1:导航到Configuration > Tags & Profiles > RF。

选择已建立的名称或点击+添加以添加新名称。

第二步：根据需要修改配置文件，每个频段(802.11a/802.11b)一个。完成后，点击Save & Apply to Device。

# config t
# ap dot11 { 5ghz | 24ghz} rf-profile <rf-profile-name>
# ------desired settings-----
# end

创建/修改RF标记 

 RF标记是允许您指定将哪些RF配置文件分配给AP的设置。 

步骤1:导航到Configuration > Tags & Profiles > Tags > RF。 选择已建立的名称或点击+添加以添加新名称。 

第二步：在RF标记内，选择要添加的RF配置文件。然后，点击Save & Apply to Device。

 CLI：

# config t
# wireless tag rf <rf-tag-name>
# 5ghz-rf-policy <11a-rf-prof>
# 24ghz-rf-policy <11b-rf-prof>
# end

策略标记分配

您可以将RF标签直接分配给AP，或同时将相同的RF标签分配给AP组。选择适合您的产品。

每个AP的策略标记分配

导航到Configuration > Wireless > Access Points > AP name > General > Tags。 从Site（站点）下拉列表中，选择所需的RF Tag（RF标签），然后点击Update & Apply to Device（更新并应用到设备）。

注：请注意，更改AP上的策略标记后，它将失去与9800 WLC的关联并在大约1分钟内重新加入。

 CLI：

# config t
# ap <ethernet-mac-addr>
# rf-tag <rf-tag-name>
# end

为多个AP分配策略标记

导航到Configuration > Wireless Setup > Advanced > Start Now

点击Tag APs :=图标，然后选择要为其分配标记的AP列表（您可以点击AP名称[或其他任何字段]旁边的向下箭头以过滤AP列表）。

选择所需的AP后，点击+标记AP。

  

选择要分配给AP的标记，然后点击Save & Apply to Device。 

注：请注意，更改AP上的策略标记后，它将失去与9800 WLC的关联并在大约1分钟内重新加入。

CLI：

没有CLI选项可将相同的标记分配给多个AP。 

确认

您可以使用这些命令验证配置。

VLAN/接口配置

# show vlan brief
# show interfaces trunk
# show run interface <interface-id>

AAA配置

# show run aaa
# show aaa servers

WLAN 配置

# show wlan summary
# show run wlan [wlan-name]
# show wlan { id <wlan-id> | name <wlan-name> | all }

无线接入点配置

# show ap summary
# show ap tag summary
# show ap name <ap-name> tag { info | detail }

# show ap name <ap-name> tag detail

AP Name            : AP2802-01
AP Mac             : 0896.ad9d.143e

Tag Type             Tag Name
-----------------------------
Policy Tag           PT1
RF Tag               default-rf-tag
Site Tag             default-site-tag

Policy tag mapping
------------------
WLAN Profile Name                Policy Name                      VLAN                             Central Switching                IPv4 ACL                         IPv6 ACL
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
psk-pbl-ewlc                     ctrl-vl2602                      VLAN0210                         ENABLED                          Not Configured                   Not Configured

Site tag mapping
----------------
Flex Profile         : default-flex-profile
AP Profile           : default-ap-profile
Local-site           : Yes

RF tag mapping
--------------
5ghz RF Policy       : Global Config
2.4ghz RF Policy     : Global Config

标记配置

# show wireless tag { policy | rf | site } summary
# show wireless tag { policy | rf | site } detailed <tag-name>

配置文件配置

# show wireless profile { flex | policy } summary
# show wireless profile { flex | policy } detailed <profile-name>
# show ap profile <AP-join-profile-name> detailed

常见问题解答

1.能否对不同的SSID使用相同的策略配置文件？

R=是

2.是否可以在不同的策略标记上使用相同的SSID?

R=是

3.是否可以在不同的策略标记上使用相同的策略配置文件？

R=是

4.策略标记中最多可以有多少个SSID?

R= 16

5.是否需要修改AP上的三个标签？

R=否，您可以创建一个新标签并将其分配给AP，并使用其他设置的默认标签，或者保持其他两个标签不变。