Configuración de FlexConnect OEAP con tunelización dividida

Introducción

Este documento describe cómo configurar un punto de acceso interior (AP) como modo de punto de acceso de extensión de oficina (OEAP) de FlexConnect y cómo habilitar la tunelización dividida para que pueda definir qué tráfico debe conmutarse localmente en la oficina doméstica y qué tráfico debe conmutarse centralmente en el controlador de LAN inalámbrica (WLC).

Colaborado por Tiago Antunes, Nicolas Darchis Ingenieros del TAC de Cisco.

Prerequisites

Requirements

Hay configuración en este documento que asume que el WLC ya está configurado en una zona desmilitarizada (DMZ) con traducción de direcciones de red (NAT) habilitada y que el AP puede unirse al WLC desde la oficina principal.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• WLC con la versión AireOS 8.10(130.0) Software.
• AP Wave1: 1700/2700/3700.
• AP Wave2: 1800/2800/3800/4800 y Catalyst serie 9100. 

The information in this document was created from the devices in a specific lab environment.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Overview

Un OEAP proporciona comunicaciones seguras de un WLC de Cisco a un AP de Cisco en una ubicación remota, para extender la WLAN corporativa a través de Internet a la residencia de un empleado. La experiencia del usuario en la oficina doméstica es exactamente la misma que en la oficina corporativa. El cifrado de seguridad de la capa de transporte del datagrama (DTLS) entre el punto de acceso y el controlador garantiza que todas las comunicaciones tengan el mayor nivel de seguridad. Cualquier punto de acceso interior en modo FlexConnect puede actuar como OEAP.

Hechos importantes

• Los OEAP de Cisco están diseñados para funcionar detrás de un router u otro dispositivo de gateway que utilice NAT. NAT permite que un dispositivo, como un router, actúe como agente entre Internet (pública) y una red personal (privada), lo que permite que un grupo completo de ordenadores se represente mediante una única dirección IP. No hay límite en el número de OEAP de Cisco que puede implementar detrás de un dispositivo NAT.

• Todos los modelos de AP interiores soportados con antena integrada se pueden configurar como OEAP excepto los AP-700I, AP-700W y los AP802 series AP.

• Todos los OEAP deben estar en el mismo grupo AP y ese grupo no debe contener más de 15 LAN inalámbricas. Un controlador con OEAP en un grupo AP publica sólo hasta 15 WLAN a cada OEAP conectado porque reserva una WLAN para el identificador personal del conjunto de servicios (SSID).

Configurar

Diagrama de la red

Configuraciones

configuración WLAN

Paso 1. Cree una WLAN para asignar al grupo AP. No necesita habilitar la opción FlexConnect Local Switching para esta WLAN.

Paso 2. Cree un grupo AP. En la pestaña WLANs, elija el WLAN SSID y luego haga clic en Add para agregar la WLAN. Vaya a la pestaña APs y Agregar el OEAP FlexConnect.

Configuración de AP

Después de que el AP se haya asociado con el controlador en el modo FlexConnect, puede configurarlo como OEAP.

Paso 1. Después de que el AP se una al WLC, cambie el modo AP a FlexConnect y haga clic en Aplicar.

Paso 2. Asegúrese de tener al menos un WLC primario configurado en la pestaña Alta Disponibilidad:

Paso 3. Vaya a la ficha FlexConnect y marque la casilla de verificación Enable OfficeExtend AP. 

El cifrado de datos DTLS se habilita automáticamente cuando habilita el modo OfficeExtend para un AP. Sin embargo, puede habilitar o inhabilitar el cifrado de datos DTLS para un AP específico. Para hacerlo, marque (activar) o desmarque (desactivar) la casilla de verificación Cifrado de datos en la ficha Todos los AP > Detalles para [AP seleccionado] > Opciones avanzadas: 

Nota: El acceso Telnet y SSH se desactivan automáticamente cuando habilita el modo OfficeExtend para un AP. Sin embargo, puede habilitar o inhabilitar el acceso Telnet o SSH para un AP específico. Para hacerlo, marque (activar) o desmarque (desactivar) la casilla de verificación Telnet o SSH en la pestaña All APs > Details for [selected AP] > Advanced .

Nota: La latencia de link se habilita automáticamente cuando habilita el modo OfficeExtend para un AP. Sin embargo, puede habilitar o inhabilitar la latencia de link para un AP específico. Para hacerlo, marque (activar) o desmarque (desactivar) la casilla de verificación Activar latencia de link en la pestaña Todos los AP > Detalles para [AP seleccionado] > Avanzado.

Paso 3. Seleccione Aplicar. Después de seleccionar Apply (Aplicar), el AP se recarga.

Paso 4. Después de que el AP se reune al WLC, el AP está en el modo OEAP.

Nota: Recomendamos que configure la seguridad de unión de AP (definida comúnmente en Políticas de AP) para que solamente los AP autorizados puedan unirse al WLC. También puede utilizar el aprovisionamiento de puntos de acceso con certificado de importancia local (LSC).

Paso 5. Cree una lista de control de acceso (ACL) de FlexConnect para definir qué tráfico se conmutará de forma centralizada (Denegar) y local (Permitir).

Aquí, tiene el objetivo de cambiar localmente todo el tráfico a la subred 192.168.1.0/24.

Paso 6. Cree un grupo FlexConnect, vaya al mapeo ACL y luego vaya al mapeo de WLAN-ACL. En "Local Split ACL Mapping" (Asignación de ACL dividida local), introduzca la ID de WLAN y elija la ACL de FlexConnect. A continuación, haga clic en Agregar.

Paso 7. Agregue el AP al grupo FlexConnect:

Verificación

1. Verifique el estado y la definición de FlexConnect ACL:

c3504-01) >show flexconnect acl summary

ACL Name                         Status
-------------------------------- -------
Flex_OEAP_ACL                    Applied

(c3504-01) >show flexconnect acl detailed Flex_OEAP_ACL

Source Destination Source Port Dest Port
Index IP Address/Netmask IP Address/Netmask Prot Range Range DSCP Action
------ ------------------------------- ------------------------------- ---- ----------- ----------- ----- -------
1 0.0.0.0/0.0.0.0 192.168.1.0/255.255.255.0 Any 0-65535 0-65535 Any Permit
2 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0 Any 0-65535 0-65535 Any Deny

2. Verifique que la conmutación local de FlexConnect esté inhabilitada:

(c3504-01) >show wlan 17


WLAN Identifier.................................. 17
Profile Name..................................... FlexOEAP_TEST
Network Name (SSID).............................. FlexOEAP_TEST
Status........................................... Enabled
...
Interface........................................ management
...
FlexConnect Local Switching................... Disabled
FlexConnect Central Association............... Disabled
flexconnect Central Dhcp Flag................. Disabled
flexconnect nat-pat Flag...................... Disabled
flexconnect Dns Override Flag................. Disabled
flexconnect PPPoE pass-through................ Disabled
flexconnect local-switching IP-source-guar.... Disabled
FlexConnect Vlan based Central Switching ..... Disabled
FlexConnect Local Authentication.............. Disabled
FlexConnect Learn IP Address.................. Enabled
Flexconnect Post-Auth IPv4 ACL................ Unconfigured
Flexconnect Post-Auth IPv6 ACL................ Unconfigured
...
Split Tunnel Configuration
Split Tunnel................................. Disabled
Call Snooping.................................... Disabled
Roamed Call Re-Anchor Policy..................... Disabled
...

3. Verifique la configuración del grupo FlexConnect:

(c3504-01) >show flexconnect group summary

FlexConnect Group Summary: Count: 2
Group Name           # Aps
-------------------- --------

FlexConnect_OEAP_Group 2 
default-flex-group     0

(c3504-01) >show flexconnect group detail FlexConnect_OEAP_Group

Number of AP's in Group: 2

AP Ethernet MAC Name Status Mode Type Conflict with PnP
-------------------- -------------------- --------------- -------------- ---------- ------------------

70:db:98:e1:3e:b8 AP3800_E1.3EB8 Joined Flexconnect Manual No 
c4:f7:d5:4c:e7:7c AP9120_4C.E77C Joined Flexconnect Manual No

Efficient AP Image Upgrade ..... Disabled

Efficient AP Image Join ........ Disabled

Auto ApType Conversion........ Disabled

Master-AP-Mac Master-AP-Name Model Manual

Group Radius Servers Settings:
Type Server Address Port 
------------- ---------------- -------
Primary Unconfigured Unconfigured
Secondary Unconfigured Unconfigured

Group Radius/Local Auth Parameters :
Radius Retransmit Count......................... 3 (default)
Active Radius Timeout........................... 5 (default)

Group Radius AP Settings:
AP RADIUS server............ Disabled
EAP-FAST Auth............... Disabled
LEAP Auth................... Disabled
EAP-TLS Auth................ Disabled
EAP-TLS CERT Download....... Disabled
PEAP Auth................... Disabled
Server Key Auto Generated... No
Server Key.................. <hidden> 
Authority ID................ 436973636f0000000000000000000000
Authority Info.............. Cisco A_ID
PAC Timeout................. 0
HTTP-Proxy Ip Address....... 
HTTP-Proxy Port............. 0
Multicast on Overridden interface config: Disabled
DHCP Broadcast Overridden interface config: Disabled
Number of User's in Group: 0
FlexConnect Vlan-name to Id Template name: none
Group-Specific FlexConnect Local-Split ACLs :

WLAN ID SSID ACL 
-------- -------------------- ----- 
17 FlexOEAP_TEST Flex_OEAP_ACL 
Group-Specific Vlan Config:
Vlan Mode.................... Enabled 
Native Vlan.................. 100 
Override AP Config........... Disabled 
Group-Specific FlexConnect Wlan-Vlan Mapping:

WLAN ID Vlan ID 
-------- --------------------

WLAN ID SSID Central-Dhcp Dns-Override Nat-Pat

Puede capturar el tráfico en la interfaz AP para verificar que el tráfico se divide en el AP.

Sugerencia: Para solucionar problemas, puede inhabilitar el cifrado DTLS para ver el tráfico de datos encapsulado dentro del capwap.

Este ejemplo de captura de paquetes muestra el tráfico de datos que coincide con las sentencias ACL "deny" dirigidas al WLC, y el tráfico de datos que coincide con las sentencias ACL "permit" conmutadas localmente en el AP:

Nota: En escenarios normales, el AP traduce las direcciones de red para el tráfico conmutado localmente porque la subred del cliente pertenece a la red de la oficina, y los dispositivos locales en la oficina doméstica no saben cómo alcanzar la subred del cliente. El AP utiliza la dirección IP definida en la subred de la oficina local para traducir el tráfico del cliente.

Para verificar que el AP realizó la NAT, puede conectarse al terminal AP y ejecutar el comando "show ip nat translations". Ejemplo:

AP3800_E1.3EB8#show ip nat translations

TCP NAT upstream translations: 
(192.168.1.139, 1223, 192.168.1.2, 5000) => (192.168.1.99, 1223, 192.168.1.2, 5000) [*0 gw_h/nat/from_inet_tcp:0] i0 exp42949165
(192.168.1.139, 1095, 192.168.1.2, 5000) => (192.168.1.99, 1095, 192.168.1.2, 5000) [*0 gw_h/nat/from_inet_tcp:0] i0 exp85699
...

TCP NAT downstream translations: 
(192.168.1.2, 5000, 192.168.1.99, 1223) => (192.168.1.2, 5000, 192.168.1.139, 1223) [gw_h/nat/to_inet_tcp:0 *0] i0 exp42949165
(192.168.1.2, 5000, 192.168.1.99, 1207) => (192.168.1.2, 5000, 192.168.1.139, 1207) [gw_h/nat/to_inet_tcp:0 *0] i0 exp85654

Si elimina la tunelización dividida, todo el tráfico se conmuta centralmente en el WLC. Este ejemplo muestra el protocolo de mensajes de control de Internet (ICMP) al destino 192.168.1.2, dentro del túnel capwap: