Configuración de la tunelización dividida OEAP de Catalyst 9800 y FlexConnect

Opciones de descarga

  • PDF     (1.0 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (660.5 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (789.1 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:15 de septiembre de 2021
ID del documento:215967

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar un punto de acceso interior (AP) como un FlexConnect Office Extend (OEAP) y cómo habilitar la tunelización dividida para que pueda definir qué tráfico se podría conmutar localmente en la oficina doméstica y qué tráfico se debe conmutar centralmente en el WLC.

    Prerequisites

    Requirements

    La configuración en este documento supone que el WLC ya está configurado en una DMZ con NAT habilitada y que el AP puede unirse al WLC desde la oficina doméstica.

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Controladores de LAN inalámbrica 9800 que ejecutan el software Cisco IOS XE 17.3.1.
    • AP Wave1: 1700/2700/3700.
    • AP Wave2: serie 1800/2800/3800/4800 y Catalyst 9100. 

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Overview

    Un punto de acceso Cisco OfficeExtend (Cisco OEAP) proporciona comunicaciones seguras desde un WLC de Cisco a un punto de acceso de Cisco en una ubicación remota, ampliando sin problemas la WLAN corporativa a través de Internet hasta la residencia de un empleado. La experiencia del usuario en la oficina doméstica es exactamente la misma que en la oficina corporativa. El cifrado de seguridad de la capa de transporte del datagrama (DTLS) entre el punto de acceso y el controlador garantiza que todas las comunicaciones tengan el nivel más alto de seguridad. Cualquier AP interior en el modo FlexConnect puede actuar como OEAP.

    Antecedentes

    FlexConnect hace referencia a la capacidad de un punto de acceso (AP) para gestionar clientes inalámbricos mientras se trabaja en ubicaciones remotas, por ejemplo, a través de una WAN. También pueden decidir si el tráfico de los clientes inalámbricos se coloca directamente en la red en el nivel de punto de acceso (conmutación local) o si el tráfico se centraliza en el controlador 9800 (conmutación central) y se devuelve a través de la WAN, por WLAN.

    Consulte este documento Introducción a FlexConnect en el controlador inalámbrico Catalyst 9800 para obtener información detallada sobre FlexConnect.

    El modo OEAP es una opción disponible en un AP FlexConnect, para permitir funcionalidad adicional, por ejemplo, un SSID local personal para el acceso doméstico, y también puede proporcionar una función de tunelización dividida, para una mayor granularidad para definir qué tráfico debe conmutarse localmente en la oficina doméstica y qué tráfico debe conmutarse centralmente en el WLC, a través de una sola WLAN

    Configurar

    Diagrama de la red

    FlexConnect OEAP with Split Tunneling - Network diagram

    Configuraciones

    Definición de una Lista de Control de Acceso para la Tunelización Dividida

    Paso 1. Elija Configuration > Security > ACL. Seleccione Agregar.

    Paso 2. En el cuadro de diálogo Add ACL Setup (Agregar configuración de ACL), introduzca el nombre de la ACL, elija el tipo de ACL en la lista desplegable ACL Type (Tipo de ACL) y, en Rules settings (Configuración de reglas), introduzca el número de secuencia. A continuación, seleccione la acción como permit (permitir) o deny (denegar).

    Paso 3. Elija el tipo de origen necesario en la lista desplegable Tipo de origen.

    Si elige el tipo de origen como Host, debe introducir el nombre de host/IP.

    Si elige el tipo de origen como Red, debe especificar la dirección IP de origen y la máscara comodín de origen.

    En este ejemplo, todo el tráfico de cualquier host a la subred 192.168.1.0/24 se conmuta centralmente (deny) y todo el resto del tráfico se conmuta localmente (permit).

    Configure AP as an OEAP-Home Offica Access control list configuration

    Paso 4. Marque la casilla de verificación Registro si desea los registros y seleccione Agregar.

    Paso 5. Agregue el resto de las reglas y seleccione Aplicar al dispositivo.

    Configure AP as an OEAP-Apply ACL to device

    Vinculación de una política ACL a la ACL definida

    Paso 1. Cree un nuevo perfil flexible. Vaya a Configuration > Tags & Profiles > Flex. seleccione Add.

    Paso 2. Introduzca un nombre y active OEAP. Además, asegúrese de que el ID de la VLAN nativa sea el del puerto de switch del AP.

    Configure AP as an OEAP-Policy Profile VLAN setting

    Nota: Cuando habilita el modo Office-Extend, Link-Encryption también está habilitado de forma predeterminada y no se puede cambiar incluso si inhabilita Link Encryption en el perfil de unión de AP. 

    Paso 3. Vaya a la ficha ACL de política y seleccione Agregar. Aquí agregue la ACL al perfil y aplique al dispositivo.

    Configure AP as an OEAP-Flexprofile OEAP setting and ACL

    Configuración de una Política de Perfil Inalámbrico y un Nombre de ACL MAC Dividido

    Paso 1. Cree un perfil WLAN. En este ejemplo, utiliza un SSID denominado HomeOffice con seguridad WPA2-PSK.

    Paso 2. Cree un perfil de política. Vaya a Configuration > Tags > Policy y seleccione Add. En General, asegúrese de que este perfil sea políticas conmutadas centralmente como se muestra en este ejemplo:

    Configure AP as an OEAP - WLAN configuration - FlexConnect Local Switching option enabled or disabled

    Paso 3. Dentro del perfil de política, vaya a Políticas de acceso y defina la VLAN para el tráfico que se conmutará centralmente. Los clientes obtienen una dirección IP en la subred asignada a esta VLAN. 

    Configure AP as an OEAP-Link WLAN and Policy profile

    Paso 4. Para configurar la tunelización dividida local en un AP, debe asegurarse de que ha habilitado DCHP Required en la WLAN. Esto garantiza que el cliente que se asocia con la WLAN dividida haga DHCP. Puede activar esta opción en Perfil de directiva, en la ficha Opciones avanzadas. Active la casilla de verificación IPv4 DHCP Required (Se requiere DHCP). En la configuración de la política flexible de WLAN, elija la ACL MAC dividida creada anteriormente, en la lista desplegable ACL MAC dividida. Seleccione Aplicar al dispositivo:

    Configure AP as an OEAPApply policy tag to access point

    Nota: Los clientes de Apple iOS necesitan que la opción 6 (DNS) se establezca en la oferta de DHCP para que funcione la tunelización dividida.

    Asignación de una WLAN a un perfil de política

    Paso 1. Elija Configuration > Tags & Profiles > Tags. En la ficha Directiva, seleccione Agregar.

    Paso 2. Introduzca el nombre de la política de etiquetas y, en la ficha WLAN-POLICY Maps (Mapas de políticas WLAN), seleccione Add (Agregar).

    Paso 3. Elija el perfil WLAN de la lista desplegable Perfil WLAN y elija el perfil de política de la lista desplegable Perfil de política. Seleccione el icono de marca y, a continuación, Aplicar al dispositivo.

    Configure AP as an OEAP-Flexprofile policy ACL and apply to device

    Configuración de un perfil de unión a PA y asociación con la etiqueta del sitio

    Paso 1. Vaya a Configuration > Tags & Profiles > AP Join y seleccione Add. Introduzca un nombre. Opcionalmente, puede habilitar SSH para permitir la resolución de problemas y luego desactivarlo si no es necesario.

    Paso 2. Elija Configuration > Tags & Profiles > Tags. En la ficha Sitio, seleccione Agregar.

    Paso 3. Introduzca el nombre de la etiqueta del sitio, desactive Activar sitio local y, a continuación, seleccione Perfil de unión al PA y Perfil flexible (creados anteriormente) en las listas desplegables. A continuación, aplicar al dispositivo.

    Configure AP as an OEAPJoin Profile and Site tag configuration

    Asociación de una etiqueta de directiva y una etiqueta de sitio a un punto de acceso

    Opción 1. Esta opción requiere que configure 1 AP a la vez. Vaya a Configuration > Wireless > Access Points . Seleccione el punto de acceso que desea mover a la oficina doméstica y, a continuación, seleccione las etiquetas de la oficina doméstica. Seleccione Actualizar y aplicar al dispositivo:

    Configure AP as an OEAP-Policy Profile Flexconnect settings example

    También se recomienda configurar un controlador primario para que el AP sepa la IP/el nombre del WLC para alcanzar una vez que se implemente en la oficina del hogar. Puede hacer esto editando el AP directamente yendo a la pestaña Alta Disponibilidad:

    Configure AP as an OEAP - Configure a primary WLC on High Availability tab

    Opción 2. Esta opción le permite configurar múltiples AP simultáneamente. Vaya a Configuration > Wireless Setup > Advanced > Tag APs. Seleccione las etiquetas creadas anteriormente y seleccione Aplicar al dispositivo.

    Configure AP as an OEAP-Policy Profile Split ACL setting

    Los AP se reinician y se vuelven a unir al WLC con los nuevos ajustes.

    Verificación

    Puede verificar la configuración mediante la GUI o la CLI. Ésta es la configuración resultante en CLI:

    !
    ip access-list extended HomeOffice_ACL
    1 deny ip any 192.168.1.0 0.0.0.255 log
    2 permit ip any any log
    !
    wireless profile flex HomeOffice_FlexProfile
    acl-policy HomeOffice_ACL
    office-extend
    !
    wireless profile policy HomeOfficePolicy
    no central association
    aaa-override
    flex split-mac-acl HomeOffice_ACL
    flex vlan-central-switching
    ipv4 dhcp required
    vlan default
    no shutdown
    !
    wireless tag site HomeOficeSite
    flex-profile HomeOffice_FlexProfile
    no local-site
    !
    wireless tag policy HomeOfficePolicyTag
    wlan HomeOffice policy HomeOfficePolicy
    !
    wlan HomeOffice 5 HomeOffice
    security wpa psk set-key ascii 0 xxxxxxx
    no security wpa akm dot1x
    security wpa akm psk
    no shutdown
    !
    ap 70db.98e1.3eb8
    policy-tag HomeOfficePolicyTag
    site-tag HomeOficeSite
    !
    ap c4f7.d54c.e77c
    policy-tag HomeOfficePolicyTag
    site-tag HomeOficeSite
    !

    Comprobando la configuración del AP:

    eWLC-9800-01#show ap name AP3800_E1.3EB8 config general

    Cisco AP Name : AP3800_E1.3EB8
    =================================================

    Cisco AP Identifier : 0027.e336.5a60
    ...
    MAC Address : 70db.98e1.3eb8
    IP Address Configuration : DHCP
    IP Address : 192.168.1.99
    IP Netmask : 255.255.255.0
    Gateway IP Address : 192.168.1.254
    ...
    SSH State : Enabled
    Cisco AP Location : default location
    Site Tag Name : HomeOficeSite
    RF Tag Name : default-rf-tag
    Policy Tag Name : HomeOfficePolicyTag
    AP join Profile : HomeOfficeAP
    Flex Profile : HomeOffice_FlexProfile
    Primary Cisco Controller Name : eWLC-9800-01
    Primary Cisco Controller IP Address : 192.168.1.15
    ...
    AP Mode : FlexConnect
    AP VLAN tagging state : Disabled
    AP VLAN tag : 0
    CAPWAP Preferred mode : IPv4
    CAPWAP UDP-Lite : Not Configured
    AP Submode : Not Configured
    Office Extend Mode : Enabled
    ...

    Puede conectarse al AP directamente y también verificar la configuración:

    AP3800_E1.3EB8#show ip access-lists 
    Extended IP access list HomeOffice_ACL
    1 deny ip any 192.168.1.0 0.0.0.255
    2 permit ip any any
    AP3800_E1.3EB8#show capwap client detailrcb 
    SLOT 0 Config

    SSID : HomeOffice
    Vlan Id : 0
    Status : Enabled 
    ...
    otherFlags : DHCP_REQUIRED VLAN_CENTRAL_SW 
    ...
    Profile Name : HomeOffice
    ...

    AP3800_E1.3EB8#show capwap client config
    AdminState : ADMIN_ENABLED(1)
    Name : AP3800_E1.3EB8
    Location : default location
    Primary controller name : eWLC-9800-01
    Primary controller IP : 192.168.1.15
    ​‌Secondary controller name : c3504-01
    Secondary controller IP : 192.168.1.14
    Tertiary controller name :
    ssh status : Enabled
    ApMode : FlexConnect
    ApSubMode : Not Configured
    Link-Encryption : Enabled
    OfficeExtend AP : Enabled
    Discovery Timer : 10
    Heartbeat Timer : 30
    ...

    Este es un ejemplo de capturas de paquetes que muestran el tráfico conmutado localmente. Aquí la prueba hecha fue un "ping" de un cliente con IP 192.168.1.98 al servidor DNS de Google y luego a 192.168.1.254. Puede ver el ICMP originado con la IP de la dirección IP del AP 192.168.1.99 enviado al DNS de Google debido a que el AP NATing el tráfico localmente. No hay icmp en 192.168.1.254 porque el tráfico se cifra en el túnel DTLS y solo se ven las tramas de datos de la aplicación.

    HomeOffice packet capture

    Nota: El tráfico conmutado localmente es NATed por el AP porque en escenarios normales, la subred del cliente pertenece a la red de Office y los dispositivos locales en la oficina doméstica no saben cómo alcanzar la subred del cliente. El AP traduce el tráfico del cliente usando la dirección IP del AP que está en la subred local de la oficina doméstica.

    Puede acceder a la GUI de OEAP abriendo un navegador y escribiendo la dirección URL y la dirección IP del AP. Las credenciales predeterminadas son admin/admin y debe cambiarlas al iniciar sesión.

    Verify OEAP configuration-Home Office AP GUI login page

    Una vez que inicie sesión, tendrá acceso a la GUI:

    Verify OEAP configuration -Home Office AP web UI dashboard

    Tiene acceso a información típica en un OEAP, como información de AP, SSID y clientes conectados:

    Verify OEAP configuration -OEAP clients connected page

    Documentación relacionada

    Comprensión de FlexConnect en el controlador inalámbrico Catalyst 9800

    Tunelización dividida para FlexConnect

    Configuración de OEAP y RLAN en Catalyst 9800 WLC

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    2.0
    15-Sep-2021
    cambios de formato
    1.0
    07-Sep-2021
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Tiago Antunes
      Cisco TAC

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos