將 Catalyst 9100 存取點轉換成嵌入式無線控制器

簡介

本文說明如何將輕量Cisco Catalyst 9000系列存取點(AP)轉換為嵌入式無線控制器(EWC)

必要條件

需求

本文中概述的步驟假設存取點執行輕量CAPWAP映像，且此AP可連線到功能良好的TFTP伺服器。 此外，與 AP 的序列連線也是必要條件。 

採用元件

智慧手機應用或Web UI嚮導提供了其他指南，說明如何在Catalyst AP上輕鬆部署Cisco EWC。本檔案主要介紹CLI方法以及轉換提示和技巧。

註:Cisco 9105AXW和所有Wi-Fi 6E接入點都不支援EWC

採用元件:

• 9120 AP
• EWC 映像版本 17.1.1s
• TFTP伺服器
• 控制檯電纜

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

關於Catalyst AP上的EWC

Catalyst AP上的Cisco EWC為您的Wi-Fi 6網路提供了易於部署和管理的一個選項。控制功能內建於Cisco Catalyst AP中，因此無需新增物理裝置。

這意味著您可以獲得企業級功能，包括強大的安全性、思科可靠性以及Wi-Fi 6的容量和效能，開箱即用。您的新無線網路的部署和管理幾乎不需要網路知識或IT支援，因此對於擁有極少IT資源的組織來說，它非常適合單站點或多站點部署。完成設定後，即可自動運作。

Catalyst AP上的Cisco EWC運行類似於Cisco Catalyst 9800系列無線控制器的Cisco IOS^® XE代碼，使其具有彈性、安全性和智慧性。藉助EWC，您可以獲得企業功能的優勢，而無需投資購買控制器裝置。

此外，您對Cisco Catalyst AP的投資會隨著您的需求的發展而得到保護。可以根據需要將EWC遷移到基於雲的部署或基於物理控制器的部署。

Catalyst AP 的 EWC 相關限制

• EWC不能將其Gig 0介面配置為TRUNK。
• EWC不支援交換機虛擬介面(SVI)。
• EWC無法執行集中交換。
• Gig 0是唯一可用作無線管理器的介面。
• 所有EWC流量都必須源自Gig 0介面(包括RADIUS、無線接入點的控制和調配(CAPWAP)控制、許可流量等)。
• EWC無法執行嵌入式資料包捕獲。
• EWC不支援處於監聽器模式的AP。
• 如果同一個廣播網域中有另一個EWC、AireOS或9800無線LAN控制器(WLC)，則EWC映像無法啟動。AP繼續充當普通輕量CAPWAP AP，直到其他WLC從網路中移除。
• 在使用混合AP型號的部署中轉換或升級EWC時，需要有正常運行的TFTP伺服器。
• EWC無法分段封包(請參閱思科錯誤id CSCwc95321 )。

部署

交換機配置

EWC AP 連接的連接埠必須是具有管理 VLAN 之原生 VLAN 的主幹連接埠。 

交換器組態範例：

configure terminal
  interface gigabitEthernet 0/1
  switchport mode trunk
  switchport trunk native vlan 10

出廠重置

在轉換AP之前，最好的做法是執行出廠重置，即使它是全新的：

1. 拔下AP的電源線。
2. 插入控制檯電纜，然後開啟PC上的串列會話。
3. 按住APMode/Reset上的按鈕。
4. 在繼續按住按鈕的同時，將AP插回其電Mode/Reset源。
5. 繼續按住按鈕，Mode/Reset直到串列會話上的提示顯示出來。

控制檯會話將記錄按下Mode/Reset按鈕的時間長度。 完整重新啟動至少需要 20 秒的時間。AP啟動，Cisco/Cisco預設憑證可用於登入CLI（Web介面憑證為webui/Cisco）。

網路拓撲

EWC映像以zip檔案的形式提供。 zip 檔案包含：

• EWC .bin映像（示例： C9800-AP-iosxe-wlc.bin）
• 可加入EWC的所有AP的AP映像（例如：ap1g4、ap1g7）
• 指定哪個映像對應至哪個 AP 型號的 Readme.txt 檔案

註：確保將zip存檔的內容解壓到TFTP伺服器。AP需要直接訪問這些檔案，因為如果這些檔案仍在存檔中，則無法獲取這些檔案。

下表列出了所有映像和相應的AP型號：

AP 型號	映像檔名稱
AP1815、AP154x	ap1g5
AP180x、AP183x、AP185x	ap1g4
C9115、C9120	ap1g7
C9117	ap1g6
C9130、C9124	ap1g6a
AP380x、AP280x、AP156x	ap3g3

註：只有Cisco Catalyst 9000系列AP可以運行EWC代碼。上表中所有其他AP只能加入EWC。

必須將提取的zip檔案的內容複製到TFTP伺服器。

升級映像之前，系統會重新命名映像並為其分配靜態IP地址、網路掩碼和預設網關：

Username: Cisco
Password: Cisco
AP2CF8.9B5F.8628>enable
Password: Cisco
AP2CF8.9B5F.8628#capwap ap hostname AP1
Please note that if AP is already associated to WLC,
the new hostname will only reflect on WLC after AP
 dis-associates and rejoins.
AP1#capwap ap ip 192.168.1.14 255.255.255.0 192.168.1.1

TFTP伺服器位於IP地址192.168.1.25上。與Mobility Express不同，需要指定兩個不同的映像：一個用於AP，另一個用於EWC。影象的轉換使用以下命令完成：

AP1#ap-type ewc-ap tftp://192.168.1.25/ap1g7 tftp://192.168.1.25/C9800-AP-iosxe-wlc.bin
Starting download eWLC image tftp://192.168.1.25/C9800-AP-iosxe-wlc.bin ...
It may take a few minutes. If longer, please abort command, check network and try again.
It may take a few minutes. If longer, please abort command, check network and try again.
######################################################################## 100.0%
Upgrading ...

AP CLI建議（使用？）僅提及TFTP和SFTP作為受支援的協定。但是，也支援HTTP和HTTPS等其他TFTP（比最常用的TFTP快得多）。撰寫本檔案時，無法透過FTP進行升級。思科錯誤ID CSCvy36161 - 「9100 APs ap-type ewc命令僅將tftp和sftp顯示為支援的協定」已歸檔以更改CLI建議以包括HTTP和HTTPS。

AP-1#ap-type ewc-ap ?
WORD URL of AP image <tftp|sftp>://<server_ip>/<file_path>

升級映像後，AP將重新啟動。使用預設憑證Cisco/Cisco登入。如果升級成功，該命令的輸出包show version括：

AP1#show version
.
...
AP Image type    : EWC-AP IMAGE
AP Configuration : EWC-AP CAPABLE

代碼的EWC部分啟動。第一次啟動可能需要15分鐘。

重要資訊：如果同一廣播域(VLAN)中存在現有的AireOS、9800或Mobility Express或EWC控制器，則AP的EWC進程從不啟動。

選項 1. 初始 CLI 組態

EWC分割槽啟動後，將顯示提示以啟動初始配置嚮導。本文介紹無需使用Catalyst無線應用或Web瀏覽器嚮導從頭開始手動配置：

--- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]: no

Would you like to terminate autoinstall? [yes]: no

WLC2CF8.9B5F.8628#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
WLC2CF8.9B5F.8628(config)#hostname EWC

######## Cteates local user admin ######## 
EWC(config)#user-name admin
EWC(config-user-name)#privilege 15
EWC(config-user-name)#password 0 Cisco123
EWC(config-user-name)#exit

######## Specifies credentials used to log into APs joined to this EWC ######## 
EWC(config)#ap profile default-ap-profile
EWC(config-ap-profile)#mgmtuser username admin password 0 Cisco123 secret 0 Cisco123
EWC(config-ap-profile)#exit

######## Configures management interface IP address and subnet######## 
EWC(config)#interface gigabitEthernet 0
EWC(config-if)#ip address 192.168.1.15 255.255.255.0
EWC(config-if)#exit

######## Default gateway IP address ######## 
EWC(config)#ip default-gateway 192.168.1.1

######## Enables web interface of EWC ######## 
EWC(config)#ip http server
EWC(config)#ip http secure-server

######## Write to memory ########
EWC(config)#end
EWC#write memory

註：必須輸入命write memory令才能儲存配置並清除預安裝的零日配置。如果不這樣做，則無法訪問EWC的GUI，如本指南後面部分所述。

與9800控制器不同，EWC快閃記憶體沒有足夠的空間來儲存所有AP映像。 所有 AP 映像都必須託管於外部 TFTP 或 SFTP 伺服器。當第二個AP嘗試加入時，EWC將其指向外部伺服器。沒有這些命令，沒有其他AP能夠加入它：

EWC(config)#wireless profile image-download default
EWC(config-wireless-image-download-profile)#image-download-mode tftp
EWC(config-wireless-image-download-profile-tftp)#tftp-image-server 192.168.1.25
EWC(config-wireless-image-download-profile-tftp)#tftp-image-path /

EWC#write memory
Building configuration...
[OK]

您現在可在以下位置存取 Web 介面：https://<EWC management IP address>。

注意：如果同時啟用HTTP和HTTP，EWC始終使用其HTTPS Web介面為使用者提供服務。為某些功能（例如Web驗證）啟用HTTP至關重要，建議啟用HTTP。

選項 2. Web UI 精靈

AP在EWC模式下重新啟動後，將廣播以其MAC地址的最後一位數字結尾的調配服務集識別符號(SSID)。您可以使用PSK「密碼」連線到它。

然後，您可以開啟瀏覽器，系統會將您重定向到mywifi.cisco.com，從而進入AP Web UI。透過使用者「webui」和密碼「cisco」建立連線。

注意：只有連線到調配SSID時，到EWC配置門戶的Web重定向才起作用。如果您的筆記型電腦連線至其他 Wi-Fi 網路或使用有線網路，將無法重新導向。即使在處於day0嚮導調配模式時輸入EWC IP地址，也不能從有線網路配置AP。

選項 3. 智慧型手機應用程式

在Apple Store和Android Play Store上，您可以找到Cisco Catalyst Wireless應用程式。安裝之後，該應用可以通過手動連線或QR代碼輕鬆配置嵌入式控制器。

提示和訣竅

將其他AP加入EWC

最多可將100個AP連線到EWC。只有處於FlexConnect模式的AP才能連線到EWC。EWC無法在其快閃記憶體中託管所有AP映像，因此需要使用命令指定TFTP或SFTP服務wireless profile image-download default器。

如果EWC所在的站點沒有託管永久TFTP伺服器的基礎設施，則可以臨時使用普通筆記型電腦。在初始部署和升級期間，只需在現場提供具有AP映像的TFTP伺服器。

從EWC訪問AP控制檯（原apciscoshell）

當控制檯電纜插入運行EWC映像的AP時，預設顯示EWC提示。如果出於任何原因需要訪問基礎AP shell，可以使用以下命令完成此操作：

EWC#wireless ewc-ap ap shell username admin
admin@192.168.129.1's password: Cisco123

注意：如果未在AP配置檔案中指定AP管理使用者名稱和密碼，請使用預設用戶名Cisco和密碼Cisco。

此命令等效於以apciscoshell前在Mobility Express控制器中可用的命令。

要退回EWC shell，請輸入：

AP1>logout
Connection to 192.168.129.1 closed.
EWC#

將EWC轉換回輕量CAPWAP模式

如果需要將以EWC模式運行的AP轉換回輕量CAPWAP模式，可通過以下方式完成：

AP1#ap-type capwap
AP is the Master AP, system will need a reboot when ap type is changed to CAPWAP
. Do you want to proceed? (y/N) y

重要資訊：此命令執行AP和EWC分割槽的完全出廠重置。確保在轉換之前備份當前EWC配置。

透過 EWC CLI 重設為出廠預設值

若要將 EWC 重設回出廠預設值，您可以在 EWC CLI 提示中使用此命令來完成：

EWC#wireless ewc-ap factory-reset

訪問專家模式

預設情況下，EWC的Web介面不會顯示其所有高級功能。要啟用高級功能，請按一下右上角的齒輪圖示並開啟「專家」模式：

生成管理介面證書和信任點

EWC的所有功能都使用製造商安裝證書(MIC)。決不能生成自簽名證書。本文中指定的所有命令都足夠使EWC啟動並運行，並且已將AP加入其中。

建立VLAN

EWC不支援在EWC的Cisco IOS XE代碼中配置多個SVI。如果您需要新增用於WLAN的VLAN，請在成員AP上的flex設定檔中建立，而不是在控制器部件上建立。

相關資訊

• Catalyst存取點上的思科嵌入式無線控制器組態指南
• 技術支援與文件 - Cisco Systems