配置9800無線LAN控制器以連線VM網橋客戶端

簡介

本檔案介紹如何設定9800無線LAN控制器(WLC)以連線虛擬機器(VM)橋接器使用者端。

必要條件

需求

思科建議您瞭解以下主題的基本知識：

• Cisco 9800系列無線LAN控制器(WLC)組態概念
• Cisco Wave 2存取點(AP)組態概念
• 思科接入點註冊和模式配置概念
• VirtualBox網路和虛擬機器設定概念

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 採用Cisco IOS® 17.15.3的9800-CL WLC
• 無線接入點(CAPWAP)AP型號CW9176I的控制和調配
• 使用VirtualBox版本7.1.10的虛擬機器
• 作業系統Ubuntu版本24.04.2長期支援(LTS)
• 採用Windows 11家庭版的無線客戶端筆記型電腦

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響

背景資訊

VM利用主機筆記型電腦的物理Wi-Fi介面卡建立網路連線，確保與現有網路基礎設施無縫整合。DHCP伺服器為VM分配唯一的IP地址，從而能夠在網路內進行正確的識別和通訊。

雖然VM使用主機筆記型電腦物理Wi-Fi介面卡，但它不直接管理無線連線。相反，主機筆記型電腦充當網橋，管理Wi-Fi連線並提供對VM的網路訪問。因此，虛擬機器無法直接檢視或控制Wi-Fi網路，因為此功能由主機系統處理。此配置可確保VM在網路中保持強大的存在，同時有效利用主機物理資源。

網路圖表

網路圖表搭載Cisco Catalyst 9800無線LAN控制器(WLC)和CW9176I存取點(AP)，這些存取點提供與VirtualBox上託管的裝置(例如筆記型電腦和虛擬機器(VM))的無線連線。9800 WLC作為中央管理和控制單元，確保無線網路的無縫整合和有效運行。CW9176I AP配備高級Wi-Fi 7功能，可實現連線裝置的高速可靠無線通訊。主機VM筆記型電腦運行Windows 11 Home並運行帶有Ubuntu軟體的VirtualBox VM。

網路圖表

組態

VLAN配置

Cisco Catalyst 9800無線控制器上的ARP廣播功能對於在被動客戶端的網路中啟用通訊至關重要。此功能在VLAN中的所有裝置上廣播ARP請求，這對於橋接介面卡模式下的虛擬機器等不主動傳送其IP資訊的被動客戶端尤其有益。 

WLC GUI

導覽至Configurations > Layer2 > VLAN > Click + Add > VLAN ID "Custom VLAN ID" > Name "Custom Name" > State ACTIVATED > ARP Broadcast ENABLED，如下圖所示。

VLAN配置

WLC CLI

WLC#
WLC#config t
WLC(config)#vlan [VLAN ID] 
WLC(config-vlan)#name [WORD]
WLC(config-vlan)#exit

WLC(config)#vlan configuration [VLAN ID] 
WLC(config-vlan-config)#arp broadcast
WLC(config-vlan-config)#end
WLC#

策略配置檔案配置

要確保在Cisco Catalyst 9800上使用網橋介面卡配置的VM無縫連線，必須啟用被動客戶端功能並禁用IP MAC繫結。此設定允許無線控制器處理與單個MAC地址關聯的多個IP地址，這在虛擬化環境中很常見。啟用被動客戶端可確保流量流向VM電腦。禁用IP-MAC繫結允許控制器將流量轉發到VM電腦，而不將其標識為IP Theft。 

WLC GUI

導覽至Configurations > Tags & Profile > Policy > Click + Add > General > WLAN Switching Policy > Central Switching ENABLED > Central Authentication ENABLED > Central DHCP ENABLED，如下圖所示。

策略配置

導覽至Access Policies > VLAN > VLAN/VLAN Group > Configure VLAN > Click Apply to Device，如下圖所示。

策略配置

WLC CLI

WLC#
WLC#config t
WLC(config)#wireless profile policy [WORD]
WLC(config-wireless-policy)#shutdown 
WLC(config-wireless-policy)#passive-client
WLC(config-wireless-policy)#no ip mac-binding 
WLC(config-wireless-policy)#central switching
WLC(config-wireless-policy)#central dchp
WLC(config-wireless-policy)#central authentication 
WLC(config-wireless-policy)#vlan [WORD | VLAN ID]
WLC(config-wireless-policy)#no shutdown
WLC(config-wireless-policy)#end
WLC#

警告：禁用策略或將其配置為啟用狀態會導致與此策略配置檔案關聯的客戶端失去連線。

WLAN配置

此範例說明設定為預先共用金鑰(PSK)驗證的WLAN。但是，可以使用網橋介面卡為VM配置WLAN以進行802.1X身份驗證。

導覽至Configurations > Tags & Profile > WLAN > Click + Add > General > Profile Name "Custom Name" > SSID "Custom Name" > WLAN ID* "Custom Name" > Status ENABLED > Click Apply to Device，如下圖所示。

WLAN配置

導覽至Security > Layer2 > PSK "check box" > PSK Format ASCII > PSK Type Unencrypted > Pre-Shared Key* "Custom Key" > Click Update & Apply to Device，如下圖所示。

WLAN配置

WLC CLI

WLC#
WLC#config t
WLC(config)#wlan [WORD] [WLAN Identifier]
WLC(config-wlan)#shutdown 
WLC(config-wlan)#security wpa akm psk
WLC(config-wlan)#no security wpa akm dot1x
WLC(config-wlan)#security wpa psk set-key ascii [WORD]
WLC(config-wlan)#no shutdown 
WLC(config-wlan)#end
WLC#

警告：啟用WLAN時更改WLAN引數會導致連線它的客戶端失去連線。

策略標籤配置

該示例說明了一個策略標籤配置，用於將特定WLAN配置檔案與特定策略配置檔案繫結。

導航到Configurations > Tags & Profile > TAG > Click + Add > Name "Custom Name" > WLAN-POLICY Maps:>按一下+ Add > WLAN Profile* "Select Custom WLAN" > Policy Profile* "Select Custom Policy" > Click the "blue check box" > Click Apply to Device，如下圖所示。

策略標籤配置

WLC CLI

WLC#
WLC#config t
WLC(config)#wireless tag policy [WORD]
WLC(config-policy-tag)#wlan [WORD] policy [WORD] 
WLC(config-policy-tag)#end
WLC#

VM配置

橋接介面卡功能使VM能夠直接訪問主機物理網路。

導航到設定>網路>連線到：選擇橋接介面卡>名稱：「Select Laptop Physical WiFi Adapter」 > Promiscuous Mode:選擇「Allow All」，如下圖所示。

VM配置

附註：雖然此設定利用帶有Ubuntu OS的VirtualBox，但特定VM設定的位置和命名約定可能因使用的虛擬化平台而異。

驗證

在VM和9800 WLC中，可以使用這些命令和方法檢查配置。

VM確認 

要確認VM已成功從DHCP伺服器獲取IP地址，請在VM命令列介面中執行ifconfig命令。輸出會顯示網路配置，包括分配的IP地址（如果通過DHCP獲取）。

VM命令列介面

現在，在VM命令列介面中執行ping以驗證網關的可達性。

VM命令列介面

主機VM確認 

驗證主機VM筆記型電腦的IP和MAC地址。  

導航到Host VM laptop CLI（主機VM筆記型電腦CLI），然後執行ifconfig /all命令。

主機VM筆記型電腦

WLC確認 

WLC CLI

WLC#
WLC#show wireless profile policy detailed [WORD]
WLC#show wireless tag policy detailed [WORD]
WLC#show wlan name [WORD]
WLC#show vlan
WLC#show platform software arp broadcast
WLC#

疑難排解

WLC僅顯示主機VM筆記型電腦物理WiFi介面卡的關聯詳細資訊，包括其IP地址和MAC地址。它不會將VM識別為關聯的客戶端，並且不會顯示VM的IP地址或MAC地址。

WLC使用者端監控

IP地址192.168.166.108和MAC地址dc4b.a152.a65f分配給主機VM筆記型電腦。必須注意的是，在9800 WLC上無法直接看到VM本身的IP和MAC地址。但是，通過在無線LAN控制器上執行資料包捕獲，您可以觀察到VM的IP地址192.168.166.111被用作ICMP請求的源地址。同樣，ICMP應答使用VM的IP地址作為目標地址。

導覽至Monitoring > Wireless > Clients，如下圖所示。該圖顯示，主機VM筆記型電腦的IP和MAC地址在Cisco 9800 WLC GUI中清晰可見。

WLC使用者端監控

WLC封包擷取

範例展示9800 WLC上的封包擷取組態。 

導覽至Troubleshooting > Packet Capture > Click + Add > Capture Name* "Create Custom Name" > Filter* "any" > Buffer Size* "100" > Available "Select Interface" > Click Apply to Device，如下圖所示。

WLC封包擷取組態

WLC CLI

WLC#
WLC#monitor capture [WORD] interface [Interface] [Interface Number] both
WLC#monitor capture [WORD] buffer size 100
WLC#monitor capture [WORD] match any
WLC#monitor capture [WORD] start
WLC#monitor capture [WORD] stop
WLC#monitor capture [WORD] export flash:[Name.pcap]
WLC#no monitor capture [WORD]
WLC# copy flash:<Name.pcap> tftp://<IP ADD>/<Name.pcap>
WLC#

Wireshark資料包捕獲

在Wireshark資料包捕獲中，VM的IP地址192.168.166.111被觀察為ICMP請求的源地址。此外，ICMP應答使用與目標地址相同的IP地址。

• 接收方地址是AP MAC地址
• 發射器地址是主機VM膝上型電腦的MAC地址
• 目的地址是網關MAC地址
• 源地址是主機VM膝上型電腦MAC地址

圖中所示的示例是將VM的ICMP請求捕獲到網關IP地址(192.168.166.1)的Wireshark資料包。

Wireshark資料包捕獲

相關資訊 

• Cisco Catalyst 9800系列無線控制器軟體配置指南，Cisco IOS XE 17.15.x
• Cisco Catalyst 9800系列無線控制器、Cisco IOS XE 17.15.x版本說明
• 思科無線CW9176接入點部署指南