Introducción
Este documento describe la función FlexConnect y su configuración general en los controladores inalámbricos 9800.
Antecedentes
FlexConnect hace referencia a la capacidad de un punto de acceso (AP) para determinar si el tráfico de los clientes inalámbricos se coloca directamente en la red en el nivel de AP (conmutación local) o si el tráfico se centraliza en el controlador 9800 (conmutación central).
Prerequisites
Requirements
No hay requisitos específicos para este documento.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Controladores inalámbricos Cisco Catalyst 9800 con Cisco IOS®-XE Gibraltar v17.9.x
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Diagrama de la red
Este documento se basa en esta topología:
Configuraciones
Este es el esquema visual de la configuración que se necesita para lograr el escenario de este documento:
Para configurar un identificador del conjunto de servicios de switching local (SSID) de FlexConnect, a continuación se indican los pasos generales que se deben seguir:
- Creación/modificación de un perfil WLAN
- Crear/modificar un perfil de directiva
- Crear/modificar una etiqueta de directiva
- Creación/modificación de un perfil flexible
- Crear/modificar una etiqueta de sitio
- Asignación de Etiqueta de Política a AP
En estas secciones se explica cómo configurar cada uno de ellos, paso a paso.
Creación/modificación de un perfil WLAN
Puede utilizar esta guía para crear los tres SSID:
Cree su SSID
Crear/modificar un perfil de directiva
Paso 1. Desplácese hasta Configuration > Tags & Profiles > Policy. Seleccione el nombre de uno que ya existe o haga clic en + Agregar para agregar uno nuevo.
ProfileFlex1
Cuando desactive Central Switching este mensaje de advertencia, haga clic en Yes y continúe con la configuración.
Paso 2. Vaya a la Access Policies pestaña y escriba la VLAN (no la ve en la lista desplegable porque esta VLAN no existe en el WLC 9800). Después de esto, haga clic en Save & Apply to Device.
Paso 3. Repita el mismo procedimiento para PolicyProfileFlex2.
ProfileFlex2
Paso 4. Para el SSID conmutado centralmente, asegúrese de que su VLAN necesaria exista en el WLC 9800 y, si no, créelo.
Nota: En los AP de FlexConnect con WLAN conmutadas localmente, el tráfico se conmuta en el AP y las solicitudes DHCP del cliente entran en la red por cable directamente por la interfaz del AP. El AP no tiene ninguna SVI en la subred del cliente, así que no puede hacer el proxy DHCP; y así, la configuración del relevo DHCP (dirección IP del servidor DHCP), en el Perfil de la política > ficha Avanzado, no tiene significado para las WLANs conmutadas localmente. En estos escenarios, el switchport necesita permitir la VLAN del cliente y luego, si el servidor DHCP está en una VLAN diferente, configurar el ayudante IP en el gateway SVI/predeterminado del cliente para que sepa dónde enviar la solicitud DHCP del cliente.
Declarar VLAN de cliente
Paso 5. Cree un perfil de política para el SSID central.
Desplácese hasta Configuration > Tags & Profiles > Policy. Seleccione el nombre de uno que ya existe o haga clic en + Add para agregar uno nuevo.
CentralPerfil1
Como resultado, existen tres perfiles de políticas.
CLI:
# config t
# vlan 2660
# exit # wireless profile policy PolicyProfileFlex1 # no central switching # vlan 2685 # no shutdown # exit # wireless profile policy PolicyProfileFlex2 # no central switching # vlan 2686 # no shutdown # exit # wireless profile policy PolicyProfileCentral1 # vlan VLAN2660 # no shutdown # end
Crear/modificar una etiqueta de directiva
La etiqueta de directiva es el elemento que permite especificar qué SSID está vinculado a qué perfil de directiva.
Paso 1. Desplácese hasta Configuration > Tags & Profiles > Tags > Policy. Seleccione el nombre de uno que ya existe o haga clic en + Add para agregar uno nuevo.
Paso 2. Dentro de la etiqueta de directiva, haga clic en +Add, en la lista desplegable seleccione el WLAN Profile nombre que desea agregar a la etiqueta de directiva y Policy Profile al que desea vincularla. A continuación, haga clic en la marca de verificación.
Repita el proceso para los tres SSID y, a continuación, haga clic en Save & Apply to Device.
CLI:
# config t # wireless tag policy PolicyTag1 # wlan Flex1 policy PolicyProfileFlex1 # wlan Flex2 policy PolicyProfileFlex2 # wlan Central1 policy PolicyProfileCentral1 # end
Creación/modificación de un perfil flexible
En la topología utilizada para este documento, observe que hay dos SSID en el switching local con dos VLAN diferentes. Dentro del perfil de Flex es donde se especifica la VLAN de AP (VLAN nativa) y cualquier otra VLAN que el AP necesita conocer, en este caso, las VLAN utilizadas por los SSID.
Paso 1. Desplácese hasta Configuration > Tags & Profiles > Flex y cree uno nuevo o modifique uno que ya exista.
Paso 2. Defina un nombre para Flex Profile (Perfil flexible) y especifique la VLAN de los puntos de acceso (ID de VLAN nativa).
Paso 3. Vaya a la VLAN ficha y especifique la VLAN necesaria.
En esta situación, hay clientes en las VLAN 2685 y 2686. Estas VLAN no existen en el WLC 9800, agréguelas al perfil Flex para que existan en el AP.
Nota: Cuando creó el perfil de política, si seleccionó un nombre de VLAN en lugar de un ID de VLAN, asegúrese de que el nombre de VLAN aquí en el perfil de Flex sea exactamente el mismo.
Repita este procedimiento para las VLAN necesarias.
Observe que la VLAN utilizada para el switching central no fue agregada, ya que el AP no necesita ser consciente de ello.
CLI:
# config t
# wireless profile flex FlexProfileLab # native-vlan-id 2601 # vlan-name VLAN2685 # vlan-id 2685 # vlan-name VLAN2686 # vlan-id 2686 # end
Crear/modificar una etiqueta de sitio
La etiqueta del sitio es el elemento que le permite especificar qué unión de AP y/o perfil de Flex se asigna a los AP.
Paso 1. Desplácese hasta Configuration > Tags & Profiles > Tags > Site. Seleccione el nombre de uno que ya existe o haga clic en + Add para agregar uno nuevo.
Paso 2. Dentro de la etiqueta del sitio, inhabilite la Enable Local Site opción (cualquier AP que reciba una etiqueta del sitio con la Enable Local Site opción inhabilitada se convierte en el modo FlexConnect). Una vez desactivada, también puede seleccionar la opción Flex Profile. Después de eso, haga clic Save & Apply to Device.
CLI:
# config t # wireless tag site FlexSite1
# flex-profile FlexProfileLab
# no local-site
Asignación de Etiqueta de Política a AP
Puede asignar una etiqueta de política directamente a un AP o asignar la misma etiqueta de política a un grupo de AP al mismo tiempo. Elija el que mejor se adapte a sus necesidades.
Asignación de etiqueta de política por AP
Desplácese hasta Configuration > Wireless > Access Points > AP name > General > Tags. En la lista Site desplegable, seleccione las etiquetas que desee y haga clic en Update & Apply to Device.
Nota: Tenga en cuenta que después del cambio, la etiqueta de la política en un AP, pierde su asociación a los WLC 9800 y se une de nuevo dentro de aproximadamente 1 minuto.
Nota: Si el AP se configura en el modo local (o en cualquier otro modo) y luego obtiene una etiqueta del sitio con la Enable Local Site opción desactivada, el AP se reinicia y vuelve al modo FlexConnect.
CLI:
# config t # ap <ethernet-mac-addr> # site-tag <site-tag-name> # end
Asignación de Etiqueta de Política para Múltiples AP
Desplácese hasta Configuration > Wireless Setup > Advanced > Start Now.
Haga clic en el icono Tag APs :=
, después de eso seleccione la lista de AP a los que desea asignar las etiquetas (Puede hacer clic en la flecha de punto abajo junto a AP name [o cualquier otro campo] para filtrar la lista de AP).
Una vez que haya seleccionado los AP deseados, haga clic en + Tag APs.
Seleccione las etiquetas que desea asignar a los AP y haga clic en Save & Apply to Device.
Nota: Tenga en cuenta que después de cambiar la etiqueta de la política en un AP, pierde su asociación a los WLC 9800 y se une de nuevo dentro de aproximadamente 1 minuto.
Nota: Si el AP se configura en el modo local (o en cualquier otro modo) y luego obtiene una etiqueta del sitio con la Enable Local Site opción desactivada, el AP se reinicia y vuelve al modo FlexConnect.
CLI:
No hay ninguna opción CLI para asignar la misma etiqueta a varios AP.
ACL Flexconnect
Una cosa a considerar cuando tiene una WLAN conmutada localmente es cómo aplicar una ACL a los clientes.
En el caso de una WLAN conmutada centralmente, todo el tráfico se libera en el WLC, así que la ACL no necesita ser empujada al AP. Sin embargo, cuando el tráfico se conmuta localmente (conexión flexible - conmutación local), la ACL (definida en el controlador) debe ser empujada al AP, ya que el tráfico se libera en el AP. Esto se hace cuando agrega la ACL al perfil flexible.
Las ACL de FlexConnect se aplican en las direcciones de salida y entrada. Esto requiere que sea muy explícito al permitir o denegar el tráfico en la subred del cliente. Es un error común bloquear el acceso de los clientes a su gateway al no tener una ACL suficientemente explícita. Consulte más detalles en las notas de la identificación de error de Cisco CSCuv93592 .
WLAN conmutada centralmente
Para aplicar una ACL a los clientes conectados a una WLAN conmutada centralmente :
Paso 1: Aplique la ACL al perfil de política. Vaya a Configuration > Tags & Profiles > Policy, seleccione el perfil de política asociado con la WLAN conmutada centralmente. En la sección "Políticas de acceso" > "WLAN ACL", seleccione la ACL que desea aplicar a los clientes.
Si está configurando la autenticación Web central en una WLAN conmutada centralmente, puede crear una ACL de redirección en el 9800, como si el AP estuviera en el modo local, ya que todo se maneja centralmente en el WLC en ese caso.
WLAN conmutada localmente
Para aplicar una ACL a los clientes conectados a una WLAN conmutada localmente :
Paso 1: Aplique la ACL al perfil de política. Vaya a Configuration > Tags & Profiles > Policy, seleccione el perfil de política asociado con la WLAN conmutada centralmente. En la sección "Políticas de acceso" > "WLAN ACL", seleccione la ACL que desea aplicar a los clientes.
Paso 2: Aplique la ACL al perfil flexible. Vaya a Configuration > Tags & Profiles > Flex, seleccione el perfil flex asignado a los AP flex connect. En la sección "ACL de política", agregue la ACL y haga clic en "Guardar"
Verifique si se aplica la ACL
Puede verificar si la ACL se aplica a un cliente cuando vaya a Monitoring > Wireless > Clients, seleccione el cliente que desea verificar. En la sección General > Security Information, verifique en la sección "Server Policies" el nombre del "Filter-ID" : debe corresponder a la ACL aplicada.
En el caso de los AP de Flex Connect (conmutación local), puede verificar si la ACL se envía al AP escribiendo el comando "#show ip access-lists" en el propio AP.
Verificación
Puede utilizar estos comandos para verificar la configuración.
Configuración de VLAN/interfaces
# show vlan brief # show interfaces trunk
# show run interface <interface-id>
Configuración de WLAN
# show wlan summary
# show run wlan [wlan-name] # show wlan { id <wlan-id> | name <wlan-name> | all }
Configuración de AP
# show ap summary # show ap tag summary # show ap name <ap-name> tag { info | detail }
# show ap name <ap-name> tag detail
AP Name : AP2802-01 AP Mac : 0896.ad9d.143e Tag Type Tag Name ----------------------------- Policy Tag PT1 RF Tag default-rf-tag Site Tag default-site-tag Policy tag mapping ------------------ WLAN Profile Name Policy Name VLAN Central Switching IPv4 ACL IPv6 ACL ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- psk-pbl-ewlc ctrl-vl2602 VLAN0210 ENABLED Not Configured Not Configured Site tag mapping ---------------- Flex Profile : default-flex-profile AP Profile : default-ap-profile Local-site : Yes RF tag mapping -------------- 5ghz RF Policy : Global Config 2.4ghz RF Policy : Global Config
Configuración de etiquetas
# show wireless tag { policy | rf | site } summary # show wireless tag { policy | rf | site } detailed <tag-name>
Configuración del perfil
# show wireless profile { flex | policy } summary
# show wireless profile { flex | policy } detailed <profile-name> # show ap profile <AP-join-profile-name> detailed