Einleitung
In diesem Dokument wird beschrieben, wie ein Access Point für Innenbereiche (AP) als FlexConnect Office Extend (OEAP) konfiguriert wird und wie Split-Tunneling aktiviert wird, sodass definiert werden kann, welcher Datenverkehr lokal im Heimbüro vermittelt werden kann und welcher Datenverkehr zentral am WLC vermittelt werden muss.
Voraussetzungen
Anforderungen
Bei der Konfiguration in diesem Dokument wird davon ausgegangen, dass der WLC bereits in einer DMZ mit aktivierter NAT konfiguriert ist und dass der AP dem WLC vom Heimbüro aus beitreten kann.
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Wireless LAN Controller 9800 mit Cisco IOS-XE 17.3.1-Software
- Wave1 APs: 1700/2700/3700.
- Wave2 APs: Serien 1800/2800/3800/4800 und Catalyst 9100
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Überblick
Ein Cisco OfficeExtend Access Point (Cisco OEAP) stellt eine sichere Kommunikation von einem Cisco WLC zu einem Cisco AP an einem entfernten Standort bereit und erweitert nahtlos das Unternehmens-WLAN über das Internet auf den Wohnsitz eines Mitarbeiters. Das Anwendererlebnis im Heimbüro ist das gleiche wie im Büro. Durch die DTLS-Verschlüsselung (Datagram Transport Layer Security) zwischen dem Access Point und dem Controller wird sichergestellt, dass alle Kommunikationen die höchste Sicherheitsstufe aufweisen. Jeder AP für Innenbereiche im FlexConnect-Modus kann als OEAP fungieren.
Hintergrundinformationen
FlexConnect bezieht sich auf die Fähigkeit eines Access Points (AP), Wireless-Clients zu verarbeiten, während er an entfernten Standorten, z. B. über ein WAN, betrieben wird. Sie können auch entscheiden, ob der Datenverkehr von den Wireless-Clients auf AP-Ebene direkt in das Netzwerk geleitet wird (lokales Switching) oder ob der Datenverkehr auf den 9800-Controller (zentrales Switching) zentralisiert und über das WAN auf WLAN-Basis zurückgesendet wird.
Weitere Informationen zu FlexConnect erhalten Sie in diesem Dokument. Informationen zu FlexConnect finden Sie unter FlexConnect auf Catalyst 9800 Wireless-Controllern.
Der OEAP-Modus ist eine Option, die in einem FlexConnect AP verfügbar ist, um zusätzliche Funktionen zu ermöglichen, z. B. eine persönliche lokale SSID für den Zugriff zu Hause, und kann auch Split-Tunneling-Funktionen bereitstellen, mit denen detaillierter definiert werden kann, welcher Datenverkehr lokal im Heimbüro und welcher Datenverkehr zentral am WLC über ein einzelnes WLAN umgeschaltet werden muss.
Konfigurieren
Netzwerkdiagramm
Konfigurationen
Definieren einer Zugriffskontrollliste für Split-Tunneling
Schritt 1: Wählen Sie Configuration > Security > ACL aus. Wählen Sie Hinzufügen aus.
Schritt 2: Geben Sie im Dialogfeld Add ACL Setup (ACL-Einrichtung hinzufügen) den ACL Name (ACL-Namen) ein, wählen Sie den ACL Type (ACL-Typ) aus der Dropdown-Liste aus, und geben Sie unter Rules settings (Regeleinstellungen) die Sequenznummer ein. Wählen Sie dann die Aktion entweder Zulassen oder Verweigern aus.
Schritt 3: Wählen Sie den erforderlichen Quelltyp aus der Dropdown-Liste "Quelltyp" aus.
Wenn Sie als Quelltyp Host auswählen, müssen Sie den Hostnamen/die IP-Adresse eingeben.
Wenn Sie als Quelltyp "Netzwerk" auswählen, müssen Sie die IP-Quelladresse und die Platzhaltermaske für die Quelle angeben.
In diesem Beispiel wird der gesamte Datenverkehr von einem Host zum Subnetz 192.168.1.0/24 zentral geswitcht (deny), und der restliche Datenverkehr wird lokal geswitcht (permit).
Schritt 4: Aktivieren Sie das Kontrollkästchen Protokoll, wenn die Protokolle hinzugefügt werden sollen, und wählen Sie Hinzufügen aus.
Schritt 5: Fügen Sie die übrigen Regeln hinzu, und wählen Sie Auf Gerät anwenden aus.
Verknüpfen einer ACL-Richtlinie mit der definierten ACL
Schritt 1: Erstellen Sie ein neues Flex Profile. Gehen Sie zu Konfiguration > Tags & Profile > Flex. wählen Sie Hinzufügen aus.
Schritt 2: Geben Sie einen Namen ein, und aktivieren Sie OEAP. Vergewissern Sie sich außerdem, dass die native VLAN-ID die im AP-Switch-Port ist.
Hinweis: Wenn Sie den Office-Erweiterungsmodus aktivieren, ist die Link-Verschlüsselung ebenfalls standardmäßig aktiviert und kann nicht geändert werden, selbst wenn Sie die Link-Verschlüsselung im AP-Join-Profil deaktivieren.
Schritt 3: Wechseln Sie zur Registerkarte Richtlinien-ACL, und wählen Sie Hinzufügen aus. Fügen Sie die ACL dem Profil hinzu, und wenden Sie sie auf das Gerät an.
Konfigurieren einer Richtlinie für das Wireless-Profil und eines Namens einer geteilten MAC-Zugriffskontrollliste
Schritt 1: Erstellen Sie ein WLAN-Profil. In diesem Beispiel wurde eine SSID mit dem Namen HomeOffice mit WPA2-PSK-Sicherheit verwendet.
Schritt 2: Erstellen Sie ein Richtlinienprofil. Gehen Sie zu Konfiguration > Tags > Richtlinie, und wählen Sie Hinzufügen aus. Vergewissern Sie sich unter Allgemein, dass es sich bei diesem Profil um zentral geschaltete Richtlinien handelt, wie im folgenden Beispiel gezeigt:
Schritt 3: Gehen Sie innerhalb des Richtlinienprofils zu "Access Policies" (Zugriffsrichtlinien), und definieren Sie das VLAN für den Datenverkehr, der zentral geswitcht werden soll. Die Clients erhalten eine IP-Adresse im Subnetz, das diesem VLAN zugewiesen ist.
Schritt 4: Um lokales Split-Tunneling auf einem Access Point zu konfigurieren, müssen Sie sicherstellen, dass Sie im WLAN die Option DHCP Required (DHCP erforderlich) aktiviert haben. Dadurch wird sichergestellt, dass der Client, der sich mit dem Split-WLAN verbindet, DHCP ausführt. Sie können diese Option im Richtlinienprofil auf der Registerkarte Erweitert aktivieren. Aktivieren Sie das Kontrollkästchen IPv4 DHCP Required. Wählen Sie unter den Einstellungen für die WLAN-Flex-Richtlinie aus der Dropdown-Liste "Split MAC ACL" die zuvor erstellte Split MAC ACL aus. Auf Gerät anwenden auswählen:
Hinweis: Apple iOS-Clients benötigen Option 6 (DNS), um im DHCP-Angebot festgelegt zu werden, damit Split-Tunneling funktioniert.
Zuordnen eines WLAN zu einem Richtlinienprofil
Schritt 1: Wählen Sie Konfiguration > Tags & Profile > Tags. Wählen Sie auf der Registerkarte Policy die Option Add.
Schritt 2: Geben Sie den Namen der Tag-Richtlinie ein, und wählen Sie auf der Registerkarte "WLAN-POLICY Maps" die Option "Add" aus.
Schritt 3: Wählen Sie das WLAN-Profil aus der Dropdown-Liste "WLAN Profile" (WLAN-Profil) aus, und wählen Sie das Richtlinienprofil aus der Dropdown-Liste "Policy Profile" (Richtlinienprofil) aus. Wählen Sie das Symbol Tick und dann Apply to Device (Auf Gerät anwenden) aus.
Konfigurieren eines Zugangsprofils für den Access Point und Zuordnen zum Site-Tag
Schritt 1: Navigieren Sie zu Konfiguration > Tags & Profile > AP Join, und wählen Sie Hinzufügen aus. Geben Sie einen Namen ein. Optional können Sie SSH aktivieren, um eine Fehlerbehebung zu ermöglichen, und später, wenn nicht erforderlich, deaktivieren.
Schritt 2: Wählen Sie Konfiguration > Tags & Profile > Tags. Wählen Sie auf der Registerkarte Site die Option Hinzufügen aus.
Schritt 3: Geben Sie den Namen des Site-Tags ein, deaktivieren Sie die Option "Lokalen Standort aktivieren", und wählen Sie dann in den Dropdown-Listen das AP-Join-Profil und das Flex-Profil (zuvor erstellt) aus. Anschließend auf Gerät anwenden.
Anfügen einer Richtlinien-Tag- und Site-Tag-Nummer an einen Access Point
Option 1: Bei dieser Option müssen Sie jeweils einen Access Point konfigurieren. Gehen Sie zu Konfiguration > Wireless > Access Points. Wählen Sie den AP aus, den Sie in das Heimbüro verschieben möchten, und wählen Sie dann die Heimbüro-Tags aus. Wählen Sie Aktualisieren und auf Gerät anwenden aus:
Es wird außerdem empfohlen, einen primären Controller zu konfigurieren, damit der WAP die IP-Adresse/den Namen des WLC kennt, die nach der Bereitstellung im Heimbüro erreicht werden soll. Sie können den Access Point direkt auf der Registerkarte für hohe Verfügbarkeit bearbeiten:
Option 2: Mit dieser Option können Sie mehrere APs gleichzeitig konfigurieren. Navigieren Sie zu Configuration > Wireless Setup > Advanced > Tag APs. Wählen Sie die zuvor erstellten Tags aus, und wählen Sie Auf Gerät anwenden aus.
Die APs werden neu gestartet und mit den neuen Einstellungen wieder am WLC angeschlossen.
Überprüfung
Sie können die Konfiguration über die grafische Benutzeroberfläche (GUI) oder die CLI überprüfen. Die folgende Konfiguration wird in der CLI vorgenommen:
!
ip access-list extended HomeOffice_ACL
1 deny ip any 192.168.1.0 0.0.0.255 log
2 permit ip any any log
!
wireless profile flex HomeOffice_FlexProfile
acl-policy HomeOffice_ACL
office-extend
!
wireless profile policy HomeOfficePolicy
no central association
aaa-override
flex split-mac-acl HomeOffice_ACL
flex vlan-central-switching
ipv4 dhcp required
vlan default
no shutdown
!
wireless tag site HomeOficeSite
flex-profile HomeOffice_FlexProfile
no local-site
!
wireless tag policy HomeOfficePolicyTag
wlan HomeOffice policy HomeOfficePolicy
!
wlan HomeOffice 5 HomeOffice
security wpa psk set-key ascii 0 xxxxxxx
no security wpa akm dot1x
security wpa akm psk
no shutdown
!
ap 70db.98e1.3eb8
policy-tag HomeOfficePolicyTag
site-tag HomeOficeSite
!
ap c4f7.d54c.e77c
policy-tag HomeOfficePolicyTag
site-tag HomeOficeSite
!
Überprüfen der AP-Konfiguration:
eWLC-9800-01#show ap name AP3800_E1.3EB8 config general
Cisco AP Name : AP3800_E1.3EB8
=================================================
Cisco AP Identifier : 0027.e336.5a60
...
MAC Address : 70db.98e1.3eb8
IP Address Configuration : DHCP
IP Address : 192.168.1.99
IP Netmask : 255.255.255.0
Gateway IP Address : 192.168.1.254
...
SSH State : Enabled
Cisco AP Location : default location
Site Tag Name : HomeOficeSite
RF Tag Name : default-rf-tag
Policy Tag Name : HomeOfficePolicyTag
AP join Profile : HomeOfficeAP
Flex Profile : HomeOffice_FlexProfile
Primary Cisco Controller Name : eWLC-9800-01
Primary Cisco Controller IP Address : 192.168.1.15
...
AP Mode : FlexConnect
AP VLAN tagging state : Disabled
AP VLAN tag : 0
CAPWAP Preferred mode : IPv4
CAPWAP UDP-Lite : Not Configured
AP Submode : Not Configured
Office Extend Mode : Enabled
...
Sie können eine direkte Verbindung zum AP herstellen und die Konfiguration überprüfen:
AP3800_E1.3EB8#show ip access-lists
Extended IP access list HomeOffice_ACL
1 deny ip any 192.168.1.0 0.0.0.255
2 permit ip any any
AP3800_E1.3EB8#show capwap client detailrcb
SLOT 0 Config
SSID : HomeOffice
Vlan Id : 0
Status : Enabled
...
otherFlags : DHCP_REQUIRED VLAN_CENTRAL_SW
...
Profile Name : HomeOffice
...
AP3800_E1.3EB8#show capwap client config
AdminState : ADMIN_ENABLED(1)
Name : AP3800_E1.3EB8
Location : default location
Primary controller name : eWLC-9800-01
Primary controller IP : 192.168.1.15
Secondary controller name : c3504-01
Secondary controller IP : 192.168.1.14
Tertiary controller name :
ssh status : Enabled
ApMode : FlexConnect
ApSubMode : Not Configured
Link-Encryption : Enabled
OfficeExtend AP : Enabled
Discovery Timer : 10
Heartbeat Timer : 30
...
Im Folgenden finden Sie ein Beispiel für die Paketerfassung, die zeigt, dass der Datenverkehr lokal vermittelt wird. Hier wurde ein "Ping" von einem Client mit der IP 192.168.1.98 an den Google DNS-Server und dann an 192.168.1.254 durchgeführt. Sie können sehen, dass das ICMP mit der IP-Adresse des AP 192.168.1.99 an den Google DNS gesendet wurde, da der AP den Datenverkehr lokal per NAT sendete. Es gibt keinen icmp-Wert bis 192.168.1.254, da der Datenverkehr im DTLS-Tunnel verschlüsselt wird und nur Anwendungsdaten-Frames angezeigt werden.
Hinweis: Der lokal geschaltete Datenverkehr wird vom Access Point per NAT geleitet, da das Client-Subnetz im Normalfall zum Office-Netzwerk gehört und die lokalen Geräte im Heimbüro nicht wissen, wie sie das Client-Subnetz erreichen sollen. Der WAP übersetzt den Client-Datenverkehr mithilfe der WAP-IP-Adresse, die sich im lokalen Heimbüro-Subnetz befindet.
Sie können auf die OEAP-GUI zugreifen, indem Sie einen Browser öffnen und die URL und die AP-IP-Adresse eingeben. Die Standardanmeldeinformationen lauten admin/admin, und Sie müssen sie bei der ersten Anmeldung ändern.
Nach der Anmeldung haben Sie Zugriff auf die Benutzeroberfläche:
Sie haben Zugriff auf typische Informationen eines OEAP, wie z. B. AP-Informationen, SSIDs und verbundene Clients:
Zugehörige Dokumentation
Informationen zu FlexConnect auf dem Catalyst 9800 Wireless Controller
Split-Tunneling für FlexConnect
Konfigurieren von OEAP und RLAN auf dem Catalyst 9800 WLC