Catalyst 9800 und FlexConnect OEAP Split Tunneling konfigurieren

Download-Optionen

  • PDF     (1.0 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (659.4 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (788.1 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:15. September 2021
Dokument-ID:215967

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie ein Access Point für Innenbereiche (AP) als FlexConnect Office Extend (OEAP) konfiguriert wird und wie Split-Tunneling aktiviert wird, sodass definiert werden kann, welcher Datenverkehr lokal im Heimbüro vermittelt werden kann und welcher Datenverkehr zentral am WLC vermittelt werden muss.

    Voraussetzungen

    Anforderungen

    Bei der Konfiguration in diesem Dokument wird davon ausgegangen, dass der WLC bereits in einer DMZ mit aktivierter NAT konfiguriert ist und dass der AP dem WLC vom Heimbüro aus beitreten kann.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Wireless LAN Controller 9800 mit Cisco IOS-XE 17.3.1-Software
    • Wave1 APs: 1700/2700/3700.
    • Wave2 APs: Serien 1800/2800/3800/4800 und Catalyst 9100 

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Überblick

    Ein Cisco OfficeExtend Access Point (Cisco OEAP) stellt eine sichere Kommunikation von einem Cisco WLC zu einem Cisco AP an einem entfernten Standort bereit und erweitert nahtlos das Unternehmens-WLAN über das Internet auf den Wohnsitz eines Mitarbeiters. Das Anwendererlebnis im Heimbüro ist das gleiche wie im Büro. Durch die DTLS-Verschlüsselung (Datagram Transport Layer Security) zwischen dem Access Point und dem Controller wird sichergestellt, dass alle Kommunikationen die höchste Sicherheitsstufe aufweisen. Jeder AP für Innenbereiche im FlexConnect-Modus kann als OEAP fungieren.

    Hintergrundinformationen

    FlexConnect bezieht sich auf die Fähigkeit eines Access Points (AP), Wireless-Clients zu verarbeiten, während er an entfernten Standorten, z. B. über ein WAN, betrieben wird. Sie können auch entscheiden, ob der Datenverkehr von den Wireless-Clients auf AP-Ebene direkt in das Netzwerk geleitet wird (lokales Switching) oder ob der Datenverkehr auf den 9800-Controller (zentrales Switching) zentralisiert und über das WAN auf WLAN-Basis zurückgesendet wird.

    Weitere Informationen zu FlexConnect erhalten Sie in diesem Dokument. Informationen zu FlexConnect finden Sie unter FlexConnect auf Catalyst 9800 Wireless-Controllern.

    Der OEAP-Modus ist eine Option, die in einem FlexConnect AP verfügbar ist, um zusätzliche Funktionen zu ermöglichen, z. B. eine persönliche lokale SSID für den Zugriff zu Hause, und kann auch Split-Tunneling-Funktionen bereitstellen, mit denen detaillierter definiert werden kann, welcher Datenverkehr lokal im Heimbüro und welcher Datenverkehr zentral am WLC über ein einzelnes WLAN umgeschaltet werden muss.

    Konfigurieren

    Netzwerkdiagramm

    FlexConnect OEAP with Split Tunneling - Network diagram

    Konfigurationen

    Definieren einer Zugriffskontrollliste für Split-Tunneling

    Schritt 1: Wählen Sie Configuration > Security > ACL aus. Wählen Sie Hinzufügen aus.

    Schritt 2: Geben Sie im Dialogfeld Add ACL Setup (ACL-Einrichtung hinzufügen) den ACL Name (ACL-Namen) ein, wählen Sie den ACL Type (ACL-Typ) aus der Dropdown-Liste aus, und geben Sie unter Rules settings (Regeleinstellungen) die Sequenznummer ein. Wählen Sie dann die Aktion entweder Zulassen oder Verweigern aus.

    Schritt 3: Wählen Sie den erforderlichen Quelltyp aus der Dropdown-Liste "Quelltyp" aus.

    Wenn Sie als Quelltyp Host auswählen, müssen Sie den Hostnamen/die IP-Adresse eingeben.

    Wenn Sie als Quelltyp "Netzwerk" auswählen, müssen Sie die IP-Quelladresse und die Platzhaltermaske für die Quelle angeben.

    In diesem Beispiel wird der gesamte Datenverkehr von einem Host zum Subnetz 192.168.1.0/24 zentral geswitcht (deny), und der restliche Datenverkehr wird lokal geswitcht (permit).

    Configure AP as an OEAP-Home Offica Access control list configuration

    Schritt 4: Aktivieren Sie das Kontrollkästchen Protokoll, wenn die Protokolle hinzugefügt werden sollen, und wählen Sie Hinzufügen aus.

    Schritt 5: Fügen Sie die übrigen Regeln hinzu, und wählen Sie Auf Gerät anwenden aus.

    Configure AP as an OEAP-Apply ACL to device

    Verknüpfen einer ACL-Richtlinie mit der definierten ACL

    Schritt 1: Erstellen Sie ein neues Flex Profile. Gehen Sie zu Konfiguration > Tags & Profile > Flex. wählen Sie Hinzufügen aus.

    Schritt 2: Geben Sie einen Namen ein, und aktivieren Sie OEAP. Vergewissern Sie sich außerdem, dass die native VLAN-ID die im AP-Switch-Port ist.

    Configure AP as an OEAP-Policy Profile VLAN setting

    Hinweis: Wenn Sie den Office-Erweiterungsmodus aktivieren, ist die Link-Verschlüsselung ebenfalls standardmäßig aktiviert und kann nicht geändert werden, selbst wenn Sie die Link-Verschlüsselung im AP-Join-Profil deaktivieren. 

    Schritt 3: Wechseln Sie zur Registerkarte Richtlinien-ACL, und wählen Sie Hinzufügen aus. Fügen Sie die ACL dem Profil hinzu, und wenden Sie sie auf das Gerät an.

    Configure AP as an OEAP-Flexprofile OEAP setting and ACL

    Konfigurieren einer Richtlinie für das Wireless-Profil und eines Namens einer geteilten MAC-Zugriffskontrollliste

    Schritt 1: Erstellen Sie ein WLAN-Profil. In diesem Beispiel wurde eine SSID mit dem Namen HomeOffice mit WPA2-PSK-Sicherheit verwendet.

    Schritt 2: Erstellen Sie ein Richtlinienprofil. Gehen Sie zu Konfiguration > Tags > Richtlinie, und wählen Sie Hinzufügen aus. Vergewissern Sie sich unter Allgemein, dass es sich bei diesem Profil um zentral geschaltete Richtlinien handelt, wie im folgenden Beispiel gezeigt:

    Configure AP as an OEAP - WLAN configuration - FlexConnect Local Switching option enabled or disabled

    Schritt 3: Gehen Sie innerhalb des Richtlinienprofils zu "Access Policies" (Zugriffsrichtlinien), und definieren Sie das VLAN für den Datenverkehr, der zentral geswitcht werden soll. Die Clients erhalten eine IP-Adresse im Subnetz, das diesem VLAN zugewiesen ist. 

    Configure AP as an OEAP-Link WLAN and Policy profile

    Schritt 4: Um lokales Split-Tunneling auf einem Access Point zu konfigurieren, müssen Sie sicherstellen, dass Sie im WLAN die Option DHCP Required (DHCP erforderlich) aktiviert haben. Dadurch wird sichergestellt, dass der Client, der sich mit dem Split-WLAN verbindet, DHCP ausführt. Sie können diese Option im Richtlinienprofil auf der Registerkarte Erweitert aktivieren. Aktivieren Sie das Kontrollkästchen IPv4 DHCP Required. Wählen Sie unter den Einstellungen für die WLAN-Flex-Richtlinie aus der Dropdown-Liste "Split MAC ACL" die zuvor erstellte Split MAC ACL aus. Auf Gerät anwenden auswählen:

    Configure AP as an OEAPApply policy tag to access point

    Hinweis: Apple iOS-Clients benötigen Option 6 (DNS), um im DHCP-Angebot festgelegt zu werden, damit Split-Tunneling funktioniert.

    Zuordnen eines WLAN zu einem Richtlinienprofil

    Schritt 1: Wählen Sie Konfiguration > Tags & Profile > Tags. Wählen Sie auf der Registerkarte Policy die Option Add.

    Schritt 2: Geben Sie den Namen der Tag-Richtlinie ein, und wählen Sie auf der Registerkarte "WLAN-POLICY Maps" die Option "Add" aus.

    Schritt 3: Wählen Sie das WLAN-Profil aus der Dropdown-Liste "WLAN Profile" (WLAN-Profil) aus, und wählen Sie das Richtlinienprofil aus der Dropdown-Liste "Policy Profile" (Richtlinienprofil) aus. Wählen Sie das Symbol Tick und dann Apply to Device (Auf Gerät anwenden) aus.

    Configure AP as an OEAP-Flexprofile policy ACL and apply to device

    Konfigurieren eines Zugangsprofils für den Access Point und Zuordnen zum Site-Tag

    Schritt 1: Navigieren Sie zu Konfiguration > Tags & Profile > AP Join, und wählen Sie Hinzufügen aus. Geben Sie einen Namen ein. Optional können Sie SSH aktivieren, um eine Fehlerbehebung zu ermöglichen, und später, wenn nicht erforderlich, deaktivieren.

    Schritt 2: Wählen Sie Konfiguration > Tags & Profile > Tags. Wählen Sie auf der Registerkarte Site die Option Hinzufügen aus.

    Schritt 3: Geben Sie den Namen des Site-Tags ein, deaktivieren Sie die Option "Lokalen Standort aktivieren", und wählen Sie dann in den Dropdown-Listen das AP-Join-Profil und das Flex-Profil (zuvor erstellt) aus. Anschließend auf Gerät anwenden.

    Configure AP as an OEAPJoin Profile and Site tag configuration

    Anfügen einer Richtlinien-Tag- und Site-Tag-Nummer an einen Access Point

    Option 1: Bei dieser Option müssen Sie jeweils einen Access Point konfigurieren. Gehen Sie zu Konfiguration > Wireless > Access Points. Wählen Sie den AP aus, den Sie in das Heimbüro verschieben möchten, und wählen Sie dann die Heimbüro-Tags aus. Wählen Sie Aktualisieren und auf Gerät anwenden aus:

    Configure AP as an OEAP-Policy Profile Flexconnect settings example

    Es wird außerdem empfohlen, einen primären Controller zu konfigurieren, damit der WAP die IP-Adresse/den Namen des WLC kennt, die nach der Bereitstellung im Heimbüro erreicht werden soll. Sie können den Access Point direkt auf der Registerkarte für hohe Verfügbarkeit bearbeiten:

    Configure AP as an OEAP - Configure a primary WLC on High Availability tab

    Option 2: Mit dieser Option können Sie mehrere APs gleichzeitig konfigurieren. Navigieren Sie zu Configuration > Wireless Setup > Advanced > Tag APs. Wählen Sie die zuvor erstellten Tags aus, und wählen Sie Auf Gerät anwenden aus.

    Configure AP as an OEAP-Policy Profile Split ACL setting

    Die APs werden neu gestartet und mit den neuen Einstellungen wieder am WLC angeschlossen.

    Überprüfung

    Sie können die Konfiguration über die grafische Benutzeroberfläche (GUI) oder die CLI überprüfen. Die folgende Konfiguration wird in der CLI vorgenommen:

    !
    ip access-list extended HomeOffice_ACL
    1 deny ip any 192.168.1.0 0.0.0.255 log
    2 permit ip any any log
    !
    wireless profile flex HomeOffice_FlexProfile
    acl-policy HomeOffice_ACL
    office-extend
    !
    wireless profile policy HomeOfficePolicy
    no central association
    aaa-override
    flex split-mac-acl HomeOffice_ACL
    flex vlan-central-switching
    ipv4 dhcp required
    vlan default
    no shutdown
    !
    wireless tag site HomeOficeSite
    flex-profile HomeOffice_FlexProfile
    no local-site
    !
    wireless tag policy HomeOfficePolicyTag
    wlan HomeOffice policy HomeOfficePolicy
    !
    wlan HomeOffice 5 HomeOffice
    security wpa psk set-key ascii 0 xxxxxxx
    no security wpa akm dot1x
    security wpa akm psk
    no shutdown
    !
    ap 70db.98e1.3eb8
    policy-tag HomeOfficePolicyTag
    site-tag HomeOficeSite
    !
    ap c4f7.d54c.e77c
    policy-tag HomeOfficePolicyTag
    site-tag HomeOficeSite
    !

    Überprüfen der AP-Konfiguration:

    eWLC-9800-01#show ap name AP3800_E1.3EB8 config general

    Cisco AP Name : AP3800_E1.3EB8
    =================================================

    Cisco AP Identifier : 0027.e336.5a60
    ...
    MAC Address : 70db.98e1.3eb8
    IP Address Configuration : DHCP
    IP Address : 192.168.1.99
    IP Netmask : 255.255.255.0
    Gateway IP Address : 192.168.1.254
    ...
    SSH State : Enabled
    Cisco AP Location : default location
    Site Tag Name : HomeOficeSite
    RF Tag Name : default-rf-tag
    Policy Tag Name : HomeOfficePolicyTag
    AP join Profile : HomeOfficeAP
    Flex Profile : HomeOffice_FlexProfile
    Primary Cisco Controller Name : eWLC-9800-01
    Primary Cisco Controller IP Address : 192.168.1.15
    ...
    AP Mode : FlexConnect
    AP VLAN tagging state : Disabled
    AP VLAN tag : 0
    CAPWAP Preferred mode : IPv4
    CAPWAP UDP-Lite : Not Configured
    AP Submode : Not Configured
    Office Extend Mode : Enabled
    ...

    Sie können eine direkte Verbindung zum AP herstellen und die Konfiguration überprüfen:

    AP3800_E1.3EB8#show ip access-lists 
    Extended IP access list HomeOffice_ACL
    1 deny ip any 192.168.1.0 0.0.0.255
    2 permit ip any any
    AP3800_E1.3EB8#show capwap client detailrcb 
    SLOT 0 Config

    SSID : HomeOffice
    Vlan Id : 0
    Status : Enabled 
    ...
    otherFlags : DHCP_REQUIRED VLAN_CENTRAL_SW 
    ...
    Profile Name : HomeOffice
    ...

    AP3800_E1.3EB8#show capwap client config
    AdminState : ADMIN_ENABLED(1)
    Name : AP3800_E1.3EB8
    Location : default location
    Primary controller name : eWLC-9800-01
    Primary controller IP : 192.168.1.15
    ​‌Secondary controller name : c3504-01
    Secondary controller IP : 192.168.1.14
    Tertiary controller name :
    ssh status : Enabled
    ApMode : FlexConnect
    ApSubMode : Not Configured
    Link-Encryption : Enabled
    OfficeExtend AP : Enabled
    Discovery Timer : 10
    Heartbeat Timer : 30
    ...

    Im Folgenden finden Sie ein Beispiel für die Paketerfassung, die zeigt, dass der Datenverkehr lokal vermittelt wird. Hier wurde ein "Ping" von einem Client mit der IP 192.168.1.98 an den Google DNS-Server und dann an 192.168.1.254 durchgeführt. Sie können sehen, dass das ICMP mit der IP-Adresse des AP 192.168.1.99 an den Google DNS gesendet wurde, da der AP den Datenverkehr lokal per NAT sendete. Es gibt keinen icmp-Wert bis 192.168.1.254, da der Datenverkehr im DTLS-Tunnel verschlüsselt wird und nur Anwendungsdaten-Frames angezeigt werden.

    HomeOffice packet capture

    Hinweis: Der lokal geschaltete Datenverkehr wird vom Access Point per NAT geleitet, da das Client-Subnetz im Normalfall zum Office-Netzwerk gehört und die lokalen Geräte im Heimbüro nicht wissen, wie sie das Client-Subnetz erreichen sollen. Der WAP übersetzt den Client-Datenverkehr mithilfe der WAP-IP-Adresse, die sich im lokalen Heimbüro-Subnetz befindet.

    Sie können auf die OEAP-GUI zugreifen, indem Sie einen Browser öffnen und die URL und die AP-IP-Adresse eingeben. Die Standardanmeldeinformationen lauten admin/admin, und Sie müssen sie bei der ersten Anmeldung ändern.

    Verify OEAP configuration-Home Office AP GUI login page

    Nach der Anmeldung haben Sie Zugriff auf die Benutzeroberfläche:

    Verify OEAP configuration -Home Office AP web UI dashboard

    Sie haben Zugriff auf typische Informationen eines OEAP, wie z. B. AP-Informationen, SSIDs und verbundene Clients:

    Verify OEAP configuration -OEAP clients connected page

    Zugehörige Dokumentation

    Informationen zu FlexConnect auf dem Catalyst 9800 Wireless Controller

    Split-Tunneling für FlexConnect

    Konfigurieren von OEAP und RLAN auf dem Catalyst 9800 WLC

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    15-Sep-2021
    Formatierungsänderungen
    1.0
    07-Sep-2021
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Tiago Antunes
      Cisco TAC

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.