简介
本文档介绍 Catalyst 9800 系列无线控制器上新的标签和配置文件配置模型。
背景信息
本文档介绍多种 GUI 选项(包括向导式和菜单式选项),这些选项可用于设计和部署 9800 WLC 以为多个站点的 SSID 提供服务。
如果您熟悉 AireOS LAN 控制器 (WLC),那么对无线接入点 (AP) 和 FlexConnect 组一定会有所了解。
这些组允许您控制哪些功能(例如:根据无线局域网[WLAN]或射频[RF]配置文件的AP组关联,可为每个AP提供哪些无线局域网[WLAN]或射频[RF]配置文件。
在 9800 WLC 上,可以使用标签来控制每个 AP 的可用功能。标签会分配给每个 AP,并且在每个标签中,您都可以找到已应用于 AP 的所有设置。
共有三类标签:
AP 配置方案图示:

策略标签
策略标签用于关联 WLAN 配置文件 [服务集标识符 (SSID)] 与策略配置文件。

在策略配置文件中,您可以指定虚拟局域网 (VLAN) ID、流量是集中交换还是本地交换、移动锚点、服务质量 (QoS)、计时器等设置。
在 SSID 中,您可以指定 WLAN 名称、WLAN 的安全类型、802.11k 等高级协议以及其他设置。
站点标签
站点标签用于定义 AP 是处于本地模式还是 Flexconnect 模式。其他 AP 模式(例如嗅探器、传感器、监控、网桥)可直接在 AP 上进行配置。
站点标签还包含应用于 AP 的 AP 加入配置文件和 Flex 配置文件。
注意:只有在本地站点设置被禁用时,Flex配置文件设置才可用。

在 AP 加入配置文件中,您可以指定无线接入点控制和调配 (CAPWAP) 计时器、对 AP 的远程访问(Telnet/安全外壳 [SSH])、备份控制器配置等设置。
Flex 配置文件包含地址解析协议 (ARP) 缓存、VLAN/ACL 映射等设置。
射频标签
在射频标签中,您可以选择任何射频配置文件,也可以选择使用全局射频配置。

通过该配置文件,您可以定义要使用的特定数据速率、传输功率控制 (TPC) 设置、动态信道分配 (DCA) 以及 2.4GHz 频段的一些其他无线电资源管理 (RRM) 设置。
通过该配置文件,您可以定义要使用的特定数据速率、传输功率控制 (TPC) 设置、动态信道分配 (DCA) 以及 5GHz 频段的一些其他无线电资源管理 (RRM) 设置。
默认情况下,系统会为 AP 分配默认标签(默认策略标签、默认站点标签、默认射频标签),并为默认标签分配默认配置文件(默认策略配置文件、默认 AP 加入配置文件、默认 Flex 配置文件)。
注意:您可以修改除Default Policy Tag以外的所有默认设置。“默认策略标签”会自动将任何 WLAN ID 在 1 到 16 之间的 SSID 关联到默认策略配置文件,并且这些关联不可修改。
每类配置文件的设置列表
如果您熟悉 AireOS,则可以在 WLAN 配置下配置 SSID 的所有特性。在 9800 WLC 上,这些设置分为 WLAN 配置文件和策略配置文件。此外,在 AireOS GUI 上,“全局 AP 配置”页面下的一些配置已移至 AP 加入配置文件。以下提供了可在每类配置文件下配置的所有设置的列表。
WLAN 配置文件
- 802.11k
- 频段选择
- 广播 SSID
- 802.11v(BSS、DMS、TFS、WNM)
- CCX
- 信道外扫描推迟
- 覆盖盲区检测 (CHD)
- 客户端关联限制
- 诊断信道功能
- 传递流量指示消息 (DTIM)
- 访问控制列表 (ACL)
- 负载平衡
- 本地身份验证设置
- 安全设置(PSK、802.1x、WebAuth)
- 媒体流设置
- 管理帧保护 (MFP)
- 单个 WLAN 的 802.11ac 设置
- 点对点阻止
- 无线电策略
- 漫游语音客户端重新锚定
- 静态 IP 客户端支持
- 适用于 WLAN 的非调度自动节能传输 (U-APSD)
- 工作组网桥 (WGB) 支持
- 通用 AP
- Wi-Fi Direct
- Wi-Fi 多媒体 (WMM)
- 身份验证列表(远程身份验证拨入用户服务 [RADIUS] 服务器)
策略配置文件
- 身份验证、授权和记账 (AAA) 覆盖
- AAA 策略
- 记账列表
- 自动 QoS
- 呼叫侦听
- 集中/本地交换
- CiscoTrustSec (CTS) 安全组访问控制列表 (SGACL)
- 数据链路 ACL
- 描述
- 类型-长度-值 (TLV) 缓存(动态主机配置协议 [DHCP]、超文本传输协议 [HTTP])
- 空闲超时
- 空闲阈值
- 交换矩阵配置文件
- Flex 网络地址转换/端口地址转换 (NAT/PAT)
- Flex 拆分 MAC ACL
- 基于 Flex VLAN 的集中交换
- 基于 IP 网络的应用识别 (NBAR) 协议发现
- IPv4/v6 ACL
- IPv4 DHCP
- IPv4/IPv6 Flexible Netflow 监控器
- 移动锚点
- 组播 VLAN
- 网络访问控制 (NAC)
- 被动客户端
- RADIUS 分析
- 重新锚定
- 服务策略
- 会话超时
- 会话初始协议 (SIP) 呼叫准入控制 (CAC)
- 静态 IP 移动性
- 用户策略名称
- Umbrella 参数映射
- 统一资源定位符 (URL) 过滤
- VLAN
- WGB VLAN
- WGB 广播标记
AP 加入配置文件
- CAPWAP 备份
- CAPWAP 回退
- CAPWAP 重新传输
- CAPWAP 计时器
- CAPWAP 窗口
- 适用于 AP 的思科发现协议 (CDP)
- 核心转储简单文件传输协议 (TFTP)
- 国家代码
- 描述
- 2.4GHz/5GHz 客户端报告间隔
- 用作请求方的 AP 的 802.1x 凭证
- 扩展模块支持
- Hyperlocation
- 互联网内容适配协议 (ICAP)
- 巨型最大传输单元 (MTU) 状态
- AP 的链路汇聚 (LAG)
- 合法拦截
- 发光二极管 (LED) 状态
- 链路加密
- 链路延迟
- 网状网配置文件
- AP 管理用户
- 网络时间协议 (NTP)
- 数据包捕获配置文件
- 以太网供电 (PoE)
- AP 首选模式 (IPv4/IPv6)
- 欺诈检测设置(遏制、最小接收信号强度指示 [RSSI]、最小瞬态时间、报告间隔)
- SSH/Telnet
- 持久 SSID
- 统计计时器
- 系统日志
- 传输控制协议 - 最大分段大小 (TCP MSS) 调整
- TFTP 降级
- AP 跟踪配置文件
- 通用串行总线 (USB) 启用
Flex 配置文件
- ACL 策略
- ARP 缓存
- CTS
- 描述
- 备用无线电接口关闭
- HTTP 客户端代理
- Flex AP 的最小加入延迟
- 本地身份验证参数
- Flex AP 的组播参数
- 本地 VLAN ID
- OfficeExtended AP 模式
- 预下载
- 弹性(适用于 Flex+桥接 AP)
- VLAN 名称映射
射频配置文件
- 信道占用时间公平性
- 频段选择设置(仅适用于 2.4GHz 配置文件)
- 通道
- 客户端网络首选项
- 覆盖盲区检测 (CHD) 设置
- 描述
- 仅 802.11n 模式
- 高密度自动设置
- 高速漫游 (HSR)
- 负载均衡设置
- 速率
- traps
- 发射功率级别
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 运行 Cisco IOS® XE Gilbraltar v16.10 的 Cisco Catalyst 9800 无线控制器
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
网络图
本文档基于以下拓扑:

配置
声明客户端 VLAN
在开始任何配置之前,您需要添加所需的 VLAN(分配给无线客户端的 VLAN)。
步骤1.导航到Configuration > Layer2 > VLAN > VLAN > + Add。

步骤2.输入所需信息。

注意:如果不指定名称,VLAN会自动分配名称VLANXXXX,其中XXXX是其VLAN ID。
对所有需要的 VLAN 重复执行步骤 1 和 2。完成后,您可以继续执行步骤 3。
步骤3.检验数据接口中是否允许VLAN。
如果使用的是端口通道,请导航到配置>接口>逻辑> PortChannel名称>常规。如果看到它被配置为允许Vlan =全部,则完成配置。如果显示的配置为“允许的 VLAN”-“VLAN ID”,请添加所需的 VLAN,然后点击更新并应用到设备。
如果未使用端口通道,请导航到配置>接口>以太网>接口名称>常规。如果看到它被配置为允许Vlan =全部,则配置已完成。如果显示的配置为“允许的 VLAN”-“VLAN ID”,请添加所需的 VLAN,然后点击更新并应用到设备。
无需进行更改:

需要添加 VLAN ID:

CLI:
# config t
# vlan <vlan-id>
# exit
# interface <interface-id>
# switchport trunk allowed vlan add <vlan-id>
# end
向导式配置 - 建议用于新的 9800 WLC 部署
对于 Catalyst 9800 WLC 安装,您可以使用提供的配置向导来引导您完成配置过程。
如果需要在部署中使用 RADIUS 服务器,可以先使用 AAA 向导,然后选择“基本无线设置”或“高级无线设置”。
如果不需要在部署中使用 RADIUS 服务器,可以直接转至“基本无线设置”或“高级无线设置”。
AAA 向导
步骤1.导航到配置>安全> AAA > + AAA向导。

步骤2.启用所需的服务器类型并输入服务器名称(可以是IP地址或任何其他字符串)、服务器IP和共享密钥。之后,点击下一步。

步骤3.输入信息以创建服务器组。确保将上一步中指定的服务器添加到分配的服务器中。

步骤4.启用身份验证并创建身份验证方法。
导航至身份验证选项卡,然后输入所需的信息。完成后,点击保存并应用到设备。

基本无线设置
此向导将引导您完成基本无线设置,让您可以轻松地划分 AP 功能。
使用基本无线设置向导进行部署的示例。

步骤1.创建新位置。
导航至配置> 无线设置> 基本 > + 添加。

步骤2.在“常规”选项卡上输入所需信息。

位置名称:新位置的名称
说明:相应位置的可选说明
位置类型:本地(本地模式 AP)、Flex(FlexConnect 模式 AP)
客户端密度:根据指定的客户端密度调整射频配置。
步骤3.添加所需的WLAN。
导航至无线网络选项卡,然后点击 + 添加。

您可以选择新定义以从头开始创建新的 WLAN,也可以从 WLAN* 下拉列表中选择已有 WLAN。

如果选择新定义,系统将显示如下菜单,您可以在其中选择 SSID 名称、安全类型和其他 SSID 相关设置。完成新 SSID 的配置后,点击保存并应用到设备。

步骤4.选择要应用于该SSID的VLAN(以及任何其他配置)。完成后,点击对钩按钮。


对所有需要的 WLAN 重复执行步骤 3 和 4。
步骤5.将配置分配给所需的AP。
导航至 AP 调配选项卡,然后选择要应用当前配置的 AP。选定后,将其从添加/选择 AP 移到此位置的 AP。

步骤6.要将配置应用到AP,请单击Apply。

点击应用后,系统会显示已创建的新位置。开始时,系统会显示 0 个已加入的 AP,这是因为当配置应用到 AP 时,AP 会重新启动与控制器的关联(AP 会重新启动 CAPWAP 隧道)。

对此 9800 WLC 提供服务的所有位置重复执行上述所有步骤。
如果需要将更多 AP 或 WLAN 添加到已有位置,可以点击相应位置,并导航至相关选项卡以进行所需更改。
高级无线设置
此向导将引导您完成高级无线设置,让您可以更细致地划分 AP 功能。

步骤1.启动高级无线设置。
导航至配置 > 无线设置 > 高级 > 立即开始。

步骤2.确定要创建的配置文件和标记。
要创建任何配置文件或标签,请点击 + 图标。
要查看或编辑已有标签和配置文件,请点击 := 图标 转至列表视图。

步骤3. AP标记分配。
根据网络设计创建所有必要的配置文件和标签后,将标签分配给所需 AP。点击为 AP 添加标签的 := 图标,然后选择要为其分配标签的 AP 列表。
点击 AP 名称旁边的向下箭头 [或任何其他字段] 来过滤 AP 列表。

选择所需 AP 后,点击 + 为 AP 添加标签。

选择要分配给 AP 的标签,然后点击保存并应用到设备。

注意:请注意,更改AP上的策略标记后,它将失去与9800 WLC的关联并在大约1分钟内重新加入。
菜单式配置 - 建议用于已有 9800 WLC 部署
选择需要创建或修改的特定元素,而不选择使用向导。
元素配置图示。

9800 WLC 上的 AAA
建议的配置流程:
- 添加 RADIUS 服务器
- 创建 RADIUS 组
- 创建 AAA 方法
添加 RADIUS 服务器
步骤1.导航到Configuration > Security > AAA > Servers/Groups > Servers > RADIUS > + Add。

步骤2.输入所有所需信息。完成后,点击保存并应用到设备。


CLI:
# config t
# radius server server-name
# address ipv4 172.16.0.12 auth-port 1812 acct-port 1813
# key <shared-key>
# exit
# aaa server radius dynamic-author
# client 172.16.0.12 server-key cisco123
# end
创建 RADIUS 组
步骤1.导航到配置>安全> AAA >服务器/组>服务器> RADIUS > + Add。

步骤2.输入所需信息,并确保将最近创建的服务器移至Assigned Servers部分。


CLI:
# config t
# aaa group server radius server-group
# server name server-name
# end
创建 AAA 方法
步骤1.导航到配置>安全> AAA > AAA方法列表>身份验证> + Add。
您可以根据 SSID 上所需的安全类型选择身份验证类型。
- dot1x 类型:用于 802.1x SSID
- 登录类型:用于 WebAuth SSID
通过“组类型”设置,您可以选择是必须将身份验证发送到已创建的外部 RADIUS 服务器还是进行本地身份验证。
- 组类型 - 组:外部 RADIUS 服务器
- 组类型 - 本地:本地身份验证

步骤 2: (可选)根据需要创建授权/记帐方法。
# config t
# aaa authentication login <login-method-name> group server-group
# aaa authentication dot1x <dot1x-method-name> group server-group
9800 WLC 上的 WLAN
建议的配置流程:
- 创建 SSID
- 创建/修改策略配置文件
- 创建/修改策略标签(将 SSID 关联到所需的策略配置文件)
- 根据需要将策略标签分配给 AP
创建 SSID
步骤1.导航到配置>无线> WLANs > + Add。

步骤2.输入所有所需信息(SSID名称、安全类型等),完成后,单击保存并应用到设备。

CLI:
# config t
# wlan <profile-name> <wlan-id> <ssid-name>
# ----desired settings----
# no shutdown
创建/修改策略配置文件
步骤1.导航到配置>标记和配置文件>策略。选择已建立的名称或单击+ Add添加新名称。确保策略配置文件已启用,设置所需的 VLAN 和要自定义的任何其他参数。

步骤2.完成后,点击保存并应用到设备。

CLI:
# wireless profile policy new-policy-profile
# vlan <vlan-id_or_vlan-name>
# ------any other desired setting------
# no shutdown
创建/修改策略标签
通过策略标签设置,您可以指定要进行关联的 SSID 与策略配置文件。
步骤1.导航到配置>标记和配置文件>标记>策略。选择已建立的名称,或单击+添加以添加新的名称。

第2步:在Policy Tag内,点击+Add,从下拉列表中选择要添加到要链接到的策略标记和策略配置文件中的WLAN配置文件名称。之后,点击对钩按钮。

步骤3.对要添加的所有WLAN重复步骤2。完成后,单击Save & Apply to Device。不要忘记为新的策略标记指定名称。

CLI:
# config t
# wireless tag policy <policy-tag-name>
# wlan <ssid-name> policy <policy-profile-name>
# end
策略标签分配
您可以将策略标签直接分配给单个 AP,也可以同时将同一策略标签分配给一组 AP。可根据需要任选一种方式。
单个 AP 的策略标签分配
导航到配置>无线>接入点> AP名称>常规>标记。从“策略”下拉列表中选择所需的策略标记,然后单击更新并应用到设备。

注意:请注意,更改AP上的策略标记后,它将失去与9800 WLC的关联并在大约1分钟内重新加入。
CLI:
# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end
多个 AP 的策略标签分配
导航至配置 > 无线设置 > 高级 > 立即开始。
单击标记AP :=图标。选择要为其分配标记的AP列表(可以单击AP名称[或其他任何字段]旁边的向下箭头以过滤AP列表)。

选择所需 AP 后,点击 + 为 AP 添加标签。

选择要分配给 AP 的标签,然后点击保存并应用到设备。

注意:请注意,当AP上的策略标记更改时,它将失去与9800 WLC的关联并在大约一(1)分钟内重新加入。
CLI:
没有可将同一标签分配给多个 AP 的 CLI 选项。
9800 WLC 上的 AP 加入设置
建议的配置流程:
- 创建/修改 AP 加入配置文件
- (可选)创建/修改 Flex 配置文件(如果 AP 处于 Flex 模式)
- 创建/修改站点标签
- 根据需要将站点标签分配给 AP
创建/修改 AP 加入配置文件
步骤1.导航到配置>标记和配置文件> AP加入。
选择已有 AP 加入配置文件名,或点击 + 添加以添加新 AP 加入配置文件。

步骤2.根据需要修改配置文件。完成后,点击保存并应用到设备。

CLI:
# config t
# ap profile <ap-join-profile-name>
# -------desired settings------
# end
创建/修改 Flex 配置文件(如果 AP 处于 Flex 模式)
步骤1.导航到配置>标记和配置文件> Flex。
选择已有 Flex 配置文件名,或点击 + 添加以添加新 Flex 配置文件。

步骤2.根据需要修改配置文件。完成后,点击保存并应用到设备。

CLI:
# config t
# wireless profile flex <name-flex-profile>
# ------desired settings------
# end
创建/修改站点标签
通过站点标签设置,您可以指定分配给 AP 的 AP 加入和/或 Flex 配置文件。
步骤1.导航到配置>标签和配置文件>标签>站点。选择已建立站点名称或单击+ Add添加新站点。

步骤2.在“站点标记”内,选择要添加到“站点标记”中的AP加入配置文件。
如果您想要将接收此标签的 AP 转换为 FlexConnect 模式,请禁用启用本地站点 选项。
禁用后,您还可以选择Flex配置文件。然后,单击保存并应用到设备。

如果计划在本地模式下使用 AP,请记住保持启用“启用本地站点”。
CLI:
# config t
# wireless tag site <site-tag-name>
# ap-profile <AP-join-profile-name>
# flex-profile <flex-profile-name>
# [no] local-site
# end
策略标签分配
您可以将策略标签直接分配给单个 AP,也可以同时将同一策略标签分配给一组 AP。可根据需要任选一种方式。
单个 AP 的策略标签分配
导航到配置>无线>接入点> AP名称>常规>标记。从“站点”下拉列表中,选择所需的站点标记,然后单击更新并应用到设备。

注意:请注意,更改AP上的策略标记后,它将失去与9800 WLC的关联并在大约1分钟内重新加入。
CLI:
# config t
# ap <ethernet-mac-addr>
# site-tag <site-tag-name>
# end
多个 AP 的策略标签分配
导航至配置 > 无线设置 > 高级 > 立即开始。
点击为 AP 添加标签 := 图标。选择要为其分配标签的 AP 列表(您可以点击 AP 名称旁边的向下箭头[或任何其他字段] 来过滤 AP 列表)。

选择所需 AP 后,点击 + 为 AP 添加标签。

选择要分配给 AP 的标签,然后点击保存并应用到设备。

注意:请注意,更改AP上的策略标记后,它将失去与9800 WLC的关联并在大约1分钟内重新加入。
CLI:
没有可将同一标签分配给多个 AP 的 CLI 选项。
9800 WLC 上的射频配置文件
建议的配置流程:
- 创建/修改 2.4GHz/5GHz 的射频配置文件
- 创建/修改射频标签
- 根据需要将射频标签分配给 AP
创建/修改 2.4GHz/5GHz 的射频配置文件
步骤1.导航到配置>标记和配置文件> RF。
选择已有 Flex 配置文件名,或点击 + 添加以添加新 Flex 配置文件。

步骤2.根据需要修改配置文件,每个频段(802.11a/802.11b)一个。 完成后,点击保存并应用到设备。

# config t
# ap dot11 { 5ghz | 24ghz} rf-profile <rf-profile-name>
# ------desired settings-----
# end
创建/修改射频标签
通过射频标签设置,您可以指定要分配给 AP 的射频配置文件。
步骤1.导航到配置>标签和配置文件>标签> RF。选择已建立的名称,或单击+添加以添加新名称。

步骤2.在RF标记内,选择要添加的RF配置文件。点击保存并应用到设备。

CLI:
# config t
# wireless tag rf <rf-tag-name>
# 5ghz-rf-policy <11a-rf-prof>
# 24ghz-rf-policy <11b-rf-prof>
# end
策略标签分配
您可以将射频标签直接分配给单个 AP,也可以同时将同一射频标签分配给一组 AP。可根据需要任选一种方式。
单个 AP 的策略标签分配
导航到配置>无线>接入点> AP名称>常规>标记。从“站点”下拉列表中,选择所需的RF标记,然后单击更新并应用到设备。

注意:请注意,更改AP上的策略标记后,它将失去与9800 WLC的关联并在大约1分钟内重新加入。
CLI:
# config t
# ap <ethernet-mac-addr>
# rf-tag <rf-tag-name>
# end
多个 AP 的策略标签分配
导航至配置 > 无线设置 > 高级 > 立即开始。
单击标记AP :=图标。选择要为其分配标记的AP列表(可以单击AP名称[或其他任何字段]旁边的向下箭头以过滤AP列表)。

选择所需 AP 后,点击 + 为 AP 添加标签。

选择要分配给 AP 的标签,然后点击保存并应用到设备。

注意:请注意,更改AP上的策略标记后,它将失去与9800 WLC的关联并在大约1分钟内重新加入。
CLI:
没有可将同一标签分配给多个 AP 的 CLI 选项。
确认
您可以使用下列命令验证配置。
VLAN/接口配置
# show vlan brief
# show interfaces trunk
# show run interface <interface-id>
AAA 配置
# show run aaa
# show aaa servers
WLAN 配置
# show wlan summary
# show run wlan [wlan-name]
# show wlan { id <wlan-id> | name <wlan-name> | all }
无线接入点配置
# show ap summary
# show ap tag summary
# show ap name <ap-name> tag { info | detail }
# show ap name <ap-name> tag detail
AP Name : AP2802-01
AP Mac : 0896.ad9d.143e
Tag Type Tag Name
-----------------------------
Policy Tag PT1
RF Tag default-rf-tag
Site Tag default-site-tag
Policy tag mapping
------------------
WLAN Profile Name Policy Name VLAN Central Switching IPv4 ACL IPv6 ACL
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
psk-pbl-ewlc ctrl-vl2602 VLAN0210 ENABLED Not Configured Not Configured
Site tag mapping
----------------
Flex Profile : default-flex-profile
AP Profile : default-ap-profile
Local-site : Yes
RF tag mapping
--------------
5ghz RF Policy : Global Config
2.4ghz RF Policy : Global Config
标签配置
# show wireless tag { policy | rf | site } summary
# show wireless tag { policy | rf | site } detailed <tag-name>
配置文件配置
# show wireless profile { flex | policy } summary
# show wireless profile { flex | policy } detailed <profile-name>
# show ap profile <AP-join-profile-name> detailed
常见问题解答
1. 是否可以将同一策略配置文件用于不同的 SSID?
答:可以。
2. 是否可以在不同的策略标签中使用同一 SSID?
答:可以。
3. 是否可以在不同的策略标签中使用同一策略配置文件?
答:可以。
4. 策略标签中最多可以包含多少个 SSID?
答:16 个
5. 是否需要修改 AP 上的三类标签?
答:不需要,您可以创建一类新标签并将其分配给 AP,并在其他设置中使用默认标签,或者保持另外两类标签不变。