简介
本文档介绍9800无线控制器上的FlexConnect功能及其常规配置。
背景信息
FlexConnect是指接入点(AP)的能力,用于确定来自无线客户端的流量是直接放在AP级别的网络上(本地交换)还是集中到9800控制器(中央交换)。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- Cisco Catalyst 9800无线控制器,带Cisco IOS®-XE Gibraltar v17.3.x
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
网络图
本文档基于以下拓扑:
配置
以下是完成本文档场景所需的配置的可视方案:
要配置FlexConnect本地交换服务集标识符(SSID),请按照以下常规步骤操作:
- 创建/修改WLAN配置文件
- 创建/修改策略配置文件
- 创建/修改策略标记
- 创建/修改Flex配置文件
- 创建/修改站点标记
- 分配到AP的策略标记
以下各节介绍如何逐步配置每个模块。
创建/修改WLAN配置文件
您可以使用此指南创建三个SSID:
创建您的SSID
创建/修改策略配置文件
步骤1:导航至Configuration > Tags & Profiles > Policy
。选择已存在的名称,或者单击+ Add添加一个新名称。
当您禁用此Central Switching
警告消息出现时,Yes
点击并继续配置。
第二步:转到Access Policies
选项卡并键入VLAN(由于此VLAN在9800 WLC上不存在,因此您在下拉列表中看不到该VLAN)。然后,单击Save & Apply to Device
。
第三步:对PolicyProfileFlex2重复相同的操作。
第四步:对于集中交换SSID,请确保其所需的VLAN存在于9800 WLC上,如果不存在,请创建该VLAN。
注意:在具有本地交换WLAN的FlexConnect AP中,流量在AP处交换,来自客户端的DHCP请求通过AP接口直接进入有线网络。AP在客户端子网中没有任何SVI,因此它无法执行DHCP代理;因此,Policy Profile > Advanced选项卡中的DHCP中继配置(DHCP服务器IP地址)对本地交换WLAN没有意义。在这些情况下,交换机端口需要允许客户端VLAN,然后,如果DHCP服务器位于不同的VLAN中,在客户端SVI/默认网关中配置IP帮助程序,使其知道从客户端发送DHCP请求的位置。
声明客户端VLAN
第五步:为中心SSID创建策略配置文件。
导航至Configuration > Tags & Profiles > Policy
。选择已存在的名称,或者点击+ Add
,添加新名称。
因此,有三个策略配置文件。
CLI:
# config t
# vlan 2660
# exit
# wireless profile policy PolicyProfileFlex1
# no central switching
# vlan 2685
# no shutdown
# exit
# wireless profile policy PolicyProfileFlex2
# no central switching
# vlan 2686
# no shutdown
# exit
# wireless profile policy PolicyProfileCentral1
# vlan VLAN2660
# no shutdown
# end
创建/修改策略标记
Policy Tag是允许您指定哪个SSID链接到哪个策略配置文件的元素。
步骤1:导航至Configuration > Tags & Profiles > Tags > Policy
。 选择已存在的名称,或者点击+ Add
,添加新名称。
第二步:在Policy Tag内+Add
WLAN Profile
部,从下拉列表中选择要添加到Policy Tag的名称以及要Policy Profile
将其链接到的名称。然后,点击复选标记。
对三个SSID重复上述步骤,然后点击Save & Apply to Device
。
CLI:
# config t
# wireless tag policy PolicyTag1
# wlan Flex1 policy PolicyProfileFlex1
# wlan Flex2 policy PolicyProfileFlex2
# wlan Central1 policy PolicyProfileCentral1
# end
创建/修改Flex配置文件
在本文档使用的拓扑中,请注意,本地交换中有两个SSID,具有两个不同的VLAN。 在Flex Profile中,您可以在其中指定AP的VLAN(本地VLAN)以及AP需要了解的任何其他VLAN(在本例中为SSID使用的VLAN)。
步骤1:导航到Configuration > Tags & Profiles > Flex
并创建新的或修改已存在的项目。
第二步:定义Flex配置文件的名称并指定AP的VLAN(本地VLAN ID)。
第三步:导航到VLAN
选项卡并指定所需的VLAN。
在本场景中,VLAN 2685和2686上存在客户端。这些VLAN在9800 WLC上不存在,请将其添加到Flex Profile中,以便它们在AP上存在。
注意:创建策略配置文件时,如果您选择了VLAN名称而不是VLAN ID,请确保此处的弹性配置文件中的VLAN名称与之前完全相同。
对所需的VLAN重复上述步骤。
请注意,用于中央交换的VLAN未添加,因为AP不需要知道它。
CLI:
# config t
# wireless profile flex FlexProfileLab
# native-vlan-id 2601
# vlan-name VLAN2685
# vlan-id 2685
# vlan-name VLAN2686
# vlan-id 2686
# end
创建/修改站点标记
Site Tag是允许您指定将哪个AP加入和/或Flex Profile分配给AP的元素。
步骤1:导航至Configuration > Tags & Profiles > Tags > Site
中。 选择已存在的名称,或者点击+ Add
,添加新名称。
第二步:在Site Tag内,禁用该选Enable Local Site
项(接收禁用该选项的Site Tag的任Enable Local Site
何AP将转换为FlexConnect模式)。禁用后,您还可以选择Flex Profile
。然后点击Save & Apply to Device
。
CLI:
# config t
# wireless tag site FlexSite1
# flex-profile FlexProfileLab
# no local-site
分配到AP的策略标记
您可以直接将策略标记分配给AP,或同时将相同的策略标记分配给AP组。选择适合您的产品。
每个AP的策略标记分配
导航至Configuration > Wireless > Access Points > AP name > General > Tags
。从下拉Site
列表中,选择所需的Tags(标签),然后点击Update & Apply to Device
。
注意:请注意,更改后,AP上的策略标签会丢失与9800 WLC的关联并在大约1分钟内重新加入。
注:如果AP配置为本地模式(或任何其他模式),然后获取禁用了选项的Site Tag,则AP将重新启动,并返回FlexConnect模Enable Local Site
式。
CLI:
# config t
# ap <ethernet-mac-addr>
# site-tag <site-tag-name>
# end
为多个AP分配策略标记
导航至Configuration > Wireless Setup > Advanced > Start Now
中。
点击Tag APs
:=图标,之后选择要为其分配标记的AP列表(您可以点击[或其他任何字段]旁边的向下箭头AP name
以过滤AP列表)。
选择所需的AP后,点击+标记AP。
选择要分配给AP的标记,然后点击Save & Apply to Device
。
注意:请注意,更改AP上的策略标记后,它将失去与9800 WLC的关联并在大约1分钟内重新加入。
注:如果AP配置为本地模式(或任何其他模式),然后获取禁用了选项的站点标签,则AP将重新启动,并返回到FlexConnect模Enable Local Site
式。
CLI:
没有CLI选项可将相同的标记分配给多个AP。
Flexconnect ACL
当您拥有本地交换WLAN时,需要考虑的一件事是如何将ACL应用到客户端。
在集中交换WLAN中,所有流量都会在WLC上释放,因此ACL不需要推送到AP。但是,当流量在本地交换(flex connect — 本地交换)时,ACL(在控制器上定义)必须推送到AP,因为流量在AP上释放。当您将ACL添加到flex配置文件时,即可完成此操作。
集中交换WLAN
要将ACL应用于连接到集中交换WLAN的客户端,请执行以下操作:
第1步 — 将ACL应用于策略配置文件。转至Configuration > Tags & Profiles > Policy,选择与集中交换WLAN关联的策略配置文件。在“访问策略”>“WLAN ACL”部分下,选择要应用于客户端的ACL。
如果您在集中交换WLAN上配置集中式Web身份验证,您可以在9800上创建重定向ACL,就像在AP处于本地模式一样,因为在这种情况下,所有内容都在WLC上集中处理。
本地交换的WLAN
要将ACL应用于连接到本地交换WLAN的客户端,请执行以下操作:
第1步 — 将ACL应用于策略配置文件。转至Configuration > Tags & Profiles > Policy,选择与集中交换WLAN关联的策略配置文件。在“访问策略”>“WLAN ACL”部分下,选择要应用于客户端的ACL。
第2步 — 将ACL应用于flex配置文件。转至Configuration > Tags & Profiles > Flex,选择分配给FlexConnect AP的Flex配置文件。在“策略ACL”部分下,添加该ACL,然后单击“保存”
验证是否已应用ACL
您可以验证ACL是否应用到客户端,当您转到Monitoring > Wireless > Clients时,选择要验证的客户端。在General > Security Information部分中,在Server Policies部分中检查“Filter-ID”的名称:该名称必须与应用的ACL对应。
对于Flex Connect(本地交换)AP,可以通过在AP本身上键入命令“#show ip access-lists”来验证ACL是否应用到AP。
确认
您可以使用这些命令验证配置。
VLAN/接口配置
# show vlan brief
# show interfaces trunk
# show run interface <interface-id>
WLAN 配置
# show wlan summary
# show run wlan [wlan-name]
# show wlan { id <wlan-id> | name <wlan-name> | all }
无线接入点配置
# show ap summary
# show ap tag summary
# show ap name <ap-name> tag { info | detail }
# show ap name <ap-name> tag detail
AP Name : AP2802-01
AP Mac : 0896.ad9d.143e
Tag Type Tag Name
-----------------------------
Policy Tag PT1
RF Tag default-rf-tag
Site Tag default-site-tag
Policy tag mapping
------------------
WLAN Profile Name Policy Name VLAN Central Switching IPv4 ACL IPv6 ACL
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
psk-pbl-ewlc ctrl-vl2602 VLAN0210 ENABLED Not Configured Not Configured
Site tag mapping
----------------
Flex Profile : default-flex-profile
AP Profile : default-ap-profile
Local-site : Yes
RF tag mapping
--------------
5ghz RF Policy : Global Config
2.4ghz RF Policy : Global Config
标记配置
# show wireless tag { policy | rf | site } summary
# show wireless tag { policy | rf | site } detailed <tag-name>
配置文件配置
# show wireless profile { flex | policy } summary
# show wireless profile { flex | policy } detailed <profile-name>
# show ap profile <AP-join-profile-name> detailed