瞭解 Catalyst 9800 無線控制器上的 FlexConnect
簡介
本檔案介紹9800無線控制器上的FlexConnect功能及其一般設定。
背景資訊
FlexConnect指接入點(AP)的能力,用於確定來自無線客戶端的流量是直接放在AP級別的網路上(本地交換),還是將流量集中到9800控制器(中央交換)。
必要條件
需求
本文件沒有特定需求。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 採用Cisco IOS®-XE直布羅陀版v17.3.x的Cisco Catalyst 9800無線控制器
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
網路圖表
本文件以此拓撲為基礎:
組態
以下是完成本檔案的情況所需的設定視覺化方案:
要配置FlexConnect本地交換服務集識別符號(SSID),請按照以下常規步驟操作:
- 建立/修改WLAN設定檔
- 建立/修改策略配置檔案
- 建立/修改策略標籤
- 建立/修改Flex配置檔案
- 建立/修改站點標籤
- 分配到AP的策略標籤
以下各節介紹如何逐步配置每個模組。
建立/修改WLAN設定檔
您可以使用此指南建立三個SSID:
建立/修改策略配置檔案
步驟 1.導航至 Configuration > Tags & Profiles > Policy.選擇已存在的名稱或按一下+ Add新增新名稱。
當您禁用 Central Switching 出現此警告消息,請按一下 Yes 並繼續配置。
步驟 2.轉到 Access Policies 標籤並輸入VLAN(由於此VLAN在9800 WLC上不存在,因此您在下拉選單中看不到該VLAN)。然後,按一下 Save & Apply to Device.
步驟 3.對PolicyProfileFlex2重複相同的操作。
步驟 4.對於集中交換SSID,確保其所需的VLAN存在於9800 WLC上,如果不存在,請建立該VLAN。
步驟 5.為中央SSID建立策略配置檔案。
導航至 Configuration > Tags & Profiles > Policy.選擇已存在的名稱,或按一下 + Add 以新增一個新節點。
因此,有三個策略配置檔案。
CLI:
# config t
# vlan 2660
# exit # wireless profile policy PolicyProfileFlex1 # no central switching # vlan 2685 # no shutdown # exit # wireless profile policy PolicyProfileFlex2 # no central switching # vlan 2686 # no shutdown # exit # wireless profile policy PolicyProfileCentral1 # vlan VLAN2660 # no shutdown # end
建立/修改策略標籤
Policy Tag是允許您指定哪個SSID連結到哪個策略配置檔案的元素。
步驟 1.導航至 Configuration > Tags & Profiles > Tags > Policy. 選擇已存在的名稱,或按一下 + Add 以新增一個新節點。
步驟 2.在策略標籤內,按一下 +Add,從下拉選單中選擇 WLAN Profile 要新增到策略標籤的名稱 Policy Profile 要連結到的對象。然後,按一下複選標籤。
對三個SSID重複上述操作,然後按一下後 Save & Apply to Device.
CLI:
# config t # wireless tag policy PolicyTag1 # wlan Flex1 policy PolicyProfileFlex1 # wlan Flex2 policy PolicyProfileFlex2 # wlan Central1 policy PolicyProfileCentral1 # end
建立/修改Flex配置檔案
在本文檔使用的拓撲中,請注意,本地交換中有兩個SSID,具有兩個不同的VLAN。 在Flex Profile中,您指定AP VLAN(本徵VLAN)以及AP需要知道的任何其他VLAN(本例中為SSID使用的VLAN)。
步驟 1.導航至 Configuration > Tags & Profiles > Flex 並建立新的或修改已存在的專案。
步驟 2.定義Flex配置檔案的名稱並指定AP VLAN(本地VLAN ID)。
步驟 3.導航至 VLAN 頁籤並指定所需的VLAN。
在此案例中,VLAN 2685和2686上有客戶端。這些VLAN不存在於9800 WLC上,請將其新增到Flex Profile中,以便它們存在於AP上。
對所需的VLAN重複上述步驟。
請注意,用於中央交換的VLAN沒有新增,因為AP不需要知道它。
CLI:
# config t
# wireless profile flex FlexProfileLab # native-vlan-id 2601 # vlan-name VLAN2685 # vlan-id 2685 # vlan-name VLAN2686 # vlan-id 2686 # end
建立/修改站點標籤
Site Tag是允許您指定將哪些AP加入和/或Flex Profile分配給AP的元素。
步驟 1.導航至 Configuration > Tags & Profiles > Tags > Site. 選擇已存在的名稱,或按一下 + Add 以新增一個新節點。
步驟 2.在「站點標籤」中,禁用 Enable Local Site 選項(任何接收站點標籤的AP) Enable Local Site disabled選項已轉換為FlexConnect模式)。禁用後,您還可以選擇 Flex Profile.按一下之後 Save & Apply to Device.
CLI:
# config t # wireless tag site FlexSite1
# flex-profile FlexProfileLab
# no local-site
分配到AP的策略標籤
您可以直接將策略標籤分配給AP,也可以同時將相同的策略標籤分配給AP組。選擇適合您的產品。
每個AP的策略標籤分配
導航至 Configuration > Wireless > Access Points > AP name > General > Tags.從 Site 下拉選單中,選擇所需的「標籤」,然後按一下 Update & Apply to Device.
CLI:
# config t # ap <ethernet-mac-addr> # site-tag <site-tag-name> # end
為多個AP分配策略標籤
導航至 Configuration > Wireless Setup > Advanced > Start Now.
按一下 Tag APs := 圖示後,選擇您要為其分配標籤的AP清單(您可以點選旁邊的向下箭頭) AP name [或任何其他欄位]過濾AP清單)。
選擇所需的AP後,按一下+標籤AP。
選擇要分配給AP的標籤,然後按一下 Save & Apply to Device.
CLI:
沒有CLI選項可為多個AP分配相同的標籤。
Flexconnect ACL
使用本地交換WLAN時,需要考慮的一件事是如何將ACL套用至使用者端。
在集中交換WLAN的情況下,所有流量都會在WLC上釋放,因此ACL無需推送到AP。但是,當流量進行本地交換(flex connect — 本地交換)時,必須將ACL(在控制器上定義)推送到AP,因為流量在AP釋放。將ACL新增至彈性設定檔時即可完成。
集中交換WLAN
將ACL套用到連線到集中交換WLAN的客戶端:
步驟1 — 將ACL套用至原則設定檔。轉至Configuration > Tags & Profiles > Policy,選擇與集中交換WLAN關聯的策略配置檔案。在「Access Policies」 > 「WLAN ACL」部分下,選擇要應用於客戶端的ACL。
如果您在中央交換WLAN上設定中央Web驗證,則您可以在9800上建立重新導向ACL,就像在AP處於本地模式中一樣,因為在此情況下,一切都在WLC上集中處理。
本地交換WLAN
將ACL套用到連線到本地交換WLAN的使用者端:
步驟1 — 將ACL套用至原則設定檔。轉至Configuration > Tags & Profiles > Policy,選擇與集中交換WLAN關聯的策略配置檔案。在「Access Policies」 > 「WLAN ACL」部分下,選擇要應用於客戶端的ACL。
步驟2 — 將ACL套用至彈性設定檔。轉至Configuration > Tags & Profiles > Flex,選擇分配給flex connect AP的flex配置檔案。在「Policy ACL」部分下,新增該ACL,然後按一下「Save」
驗證是否已應用ACL
在轉至Monitoring > Wireless > Clients時,可以驗證該ACL是否已應用到客戶端,並選擇要驗證的客戶端。在General > Security Information部分中,在「Server Policies」部分中檢查「Filter-ID」的名稱:它必須與應用的ACL相對應。
在使用Flex Connect(本地交換)AP的情況下,可以通過在AP本身上鍵入命令「#show ip access-lists」來驗證ACL是否已被應用到AP。
驗證
您可以使用這些命令來驗證配置。
VLAN/介面配置
# show vlan brief # show interfaces trunk
# show run interface <interface-id>
WLAN配置
# show wlan summary
# show run wlan [wlan-name] # show wlan { id <wlan-id> | name <wlan-name> | all }
AP配置
# show ap summary
# show ap tag summary
# show ap name <ap-name> tag { info | detail }
# show ap name <ap-name> tag detail
AP Name : AP2802-01 AP Mac : 0896.ad9d.143e Tag Type Tag Name ----------------------------- Policy Tag PT1 RF Tag default-rf-tag Site Tag default-site-tag Policy tag mapping ------------------ WLAN Profile Name Policy Name VLAN Central Switching IPv4 ACL IPv6 ACL ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- psk-pbl-ewlc ctrl-vl2602 VLAN0210 ENABLED Not Configured Not Configured Site tag mapping ---------------- Flex Profile : default-flex-profile AP Profile : default-ap-profile Local-site : Yes RF tag mapping -------------- 5ghz RF Policy : Global Config 2.4ghz RF Policy : Global Config
標籤配置
# show wireless tag { policy | rf | site } summary
# show wireless tag { policy | rf | site } detailed <tag-name>
配置檔案配置
# show wireless profile { flex | policy } summary
# show wireless profile { flex | policy } detailed <profile-name>
# show ap profile <AP-join-profile-name> detailed
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
4.0 |
28-Feb-2023 |
新增了ACL部分 |
3.0 |
11-Aug-2022 |
本文被確定為重新認證,並且已經過編輯和修訂,以符合當前的思科和CCW標準。 |
1.0 |
07-Dec-2018 |
初始版本 |
意見