Introducción
Este documento describe cómo configurar un punto de acceso interior (AP) como un FlexConnect Office Extend (OEAP) y cómo habilitar la tunelización dividida para que pueda definir qué tráfico se podría conmutar localmente en la oficina doméstica y qué tráfico se debe conmutar centralmente en el WLC.
Prerequisites
Requirements
La configuración en este documento supone que el WLC ya está configurado en una DMZ con NAT habilitada y que el AP puede unirse al WLC desde la oficina doméstica.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Controladores de LAN inalámbrica 9800 que ejecutan el software Cisco IOS XE 17.3.1.
- AP Wave1: 1700/2700/3700.
- AP Wave2: serie 1800/2800/3800/4800 y Catalyst 9100.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Overview
Un punto de acceso Cisco OfficeExtend (Cisco OEAP) proporciona comunicaciones seguras desde un WLC de Cisco a un punto de acceso de Cisco en una ubicación remota, ampliando sin problemas la WLAN corporativa a través de Internet hasta la residencia de un empleado. La experiencia del usuario en la oficina doméstica es exactamente la misma que en la oficina corporativa. El cifrado de seguridad de la capa de transporte del datagrama (DTLS) entre el punto de acceso y el controlador garantiza que todas las comunicaciones tengan el nivel más alto de seguridad. Cualquier AP interior en el modo FlexConnect puede actuar como OEAP.
Antecedentes
FlexConnect hace referencia a la capacidad de un punto de acceso (AP) para gestionar clientes inalámbricos mientras se trabaja en ubicaciones remotas, por ejemplo, a través de una WAN. También pueden decidir si el tráfico de los clientes inalámbricos se coloca directamente en la red en el nivel de punto de acceso (conmutación local) o si el tráfico se centraliza en el controlador 9800 (conmutación central) y se devuelve a través de la WAN, por WLAN.
Consulte este documento Introducción a FlexConnect en el controlador inalámbrico Catalyst 9800 para obtener información detallada sobre FlexConnect.
El modo OEAP es una opción disponible en un AP FlexConnect, para permitir funcionalidad adicional, por ejemplo, un SSID local personal para el acceso doméstico, y también puede proporcionar una función de tunelización dividida, para una mayor granularidad para definir qué tráfico debe conmutarse localmente en la oficina doméstica y qué tráfico debe conmutarse centralmente en el WLC, a través de una sola WLAN
Configurar
Diagrama de la red
Configuraciones
Definición de una Lista de Control de Acceso para la Tunelización Dividida
Paso 1. Elija Configuration > Security > ACL. Seleccione Agregar.
Paso 2. En el cuadro de diálogo Add ACL Setup (Agregar configuración de ACL), introduzca el nombre de la ACL, elija el tipo de ACL en la lista desplegable ACL Type (Tipo de ACL) y, en Rules settings (Configuración de reglas), introduzca el número de secuencia. A continuación, seleccione la acción como permit (permitir) o deny (denegar).
Paso 3. Elija el tipo de origen necesario en la lista desplegable Tipo de origen.
Si elige el tipo de origen como Host, debe introducir el nombre de host/IP.
Si elige el tipo de origen como Red, debe especificar la dirección IP de origen y la máscara comodín de origen.
En este ejemplo, todo el tráfico de cualquier host a la subred 192.168.1.0/24 se conmuta centralmente (deny) y todo el resto del tráfico se conmuta localmente (permit).
Paso 4. Marque la casilla de verificación Registro si desea los registros y seleccione Agregar.
Paso 5. Agregue el resto de las reglas y seleccione Aplicar al dispositivo.
Vinculación de una política ACL a la ACL definida
Paso 1. Cree un nuevo perfil flexible. Vaya a Configuration > Tags & Profiles > Flex. seleccione Add.
Paso 2. Introduzca un nombre y active OEAP. Además, asegúrese de que el ID de la VLAN nativa sea el del puerto de switch del AP.
Nota: Cuando habilita el modo Office-Extend, Link-Encryption también está habilitado de forma predeterminada y no se puede cambiar incluso si inhabilita Link Encryption en el perfil de unión de AP.
Paso 3. Vaya a la ficha ACL de política y seleccione Agregar. Aquí agregue la ACL al perfil y aplique al dispositivo.
Configuración de una Política de Perfil Inalámbrico y un Nombre de ACL MAC Dividido
Paso 1. Cree un perfil WLAN. En este ejemplo, utiliza un SSID denominado HomeOffice con seguridad WPA2-PSK.
Paso 2. Cree un perfil de política. Vaya a Configuration > Tags > Policy y seleccione Add. En General, asegúrese de que este perfil sea políticas conmutadas centralmente como se muestra en este ejemplo:
Paso 3. Dentro del perfil de política, vaya a Políticas de acceso y defina la VLAN para el tráfico que se conmutará centralmente. Los clientes obtienen una dirección IP en la subred asignada a esta VLAN.
Paso 4. Para configurar la tunelización dividida local en un AP, debe asegurarse de que ha habilitado DCHP Required en la WLAN. Esto garantiza que el cliente que se asocia con la WLAN dividida haga DHCP. Puede activar esta opción en Perfil de directiva, en la ficha Opciones avanzadas. Active la casilla de verificación IPv4 DHCP Required (Se requiere DHCP). En la configuración de la política flexible de WLAN, elija la ACL MAC dividida creada anteriormente, en la lista desplegable ACL MAC dividida. Seleccione Aplicar al dispositivo:
Nota: Los clientes de Apple iOS necesitan que la opción 6 (DNS) se establezca en la oferta de DHCP para que funcione la tunelización dividida.
Asignación de una WLAN a un perfil de política
Paso 1. Elija Configuration > Tags & Profiles > Tags. En la ficha Directiva, seleccione Agregar.
Paso 2. Introduzca el nombre de la política de etiquetas y, en la ficha WLAN-POLICY Maps (Mapas de políticas WLAN), seleccione Add (Agregar).
Paso 3. Elija el perfil WLAN de la lista desplegable Perfil WLAN y elija el perfil de política de la lista desplegable Perfil de política. Seleccione el icono de marca y, a continuación, Aplicar al dispositivo.
Configuración de un perfil de unión a PA y asociación con la etiqueta del sitio
Paso 1. Vaya a Configuration > Tags & Profiles > AP Join y seleccione Add. Introduzca un nombre. Opcionalmente, puede habilitar SSH para permitir la resolución de problemas y luego desactivarlo si no es necesario.
Paso 2. Elija Configuration > Tags & Profiles > Tags. En la ficha Sitio, seleccione Agregar.
Paso 3. Introduzca el nombre de la etiqueta del sitio, desactive Activar sitio local y, a continuación, seleccione Perfil de unión al PA y Perfil flexible (creados anteriormente) en las listas desplegables. A continuación, aplicar al dispositivo.
Asociación de una etiqueta de directiva y una etiqueta de sitio a un punto de acceso
Opción 1. Esta opción requiere que configure 1 AP a la vez. Vaya a Configuration > Wireless > Access Points . Seleccione el punto de acceso que desea mover a la oficina doméstica y, a continuación, seleccione las etiquetas de la oficina doméstica. Seleccione Actualizar y aplicar al dispositivo:
También se recomienda configurar un controlador primario para que el AP sepa la IP/el nombre del WLC para alcanzar una vez que se implemente en la oficina del hogar. Puede hacer esto editando el AP directamente yendo a la pestaña Alta Disponibilidad:
Opción 2. Esta opción le permite configurar múltiples AP simultáneamente. Vaya a Configuration > Wireless Setup > Advanced > Tag APs. Seleccione las etiquetas creadas anteriormente y seleccione Aplicar al dispositivo.
Los AP se reinician y se vuelven a unir al WLC con los nuevos ajustes.
Verificación
Puede verificar la configuración mediante la GUI o la CLI. Ésta es la configuración resultante en CLI:
!
ip access-list extended HomeOffice_ACL
1 deny ip any 192.168.1.0 0.0.0.255 log
2 permit ip any any log
!
wireless profile flex HomeOffice_FlexProfile
acl-policy HomeOffice_ACL
office-extend
!
wireless profile policy HomeOfficePolicy
no central association
aaa-override
flex split-mac-acl HomeOffice_ACL
flex vlan-central-switching
ipv4 dhcp required
vlan default
no shutdown
!
wireless tag site HomeOficeSite
flex-profile HomeOffice_FlexProfile
no local-site
!
wireless tag policy HomeOfficePolicyTag
wlan HomeOffice policy HomeOfficePolicy
!
wlan HomeOffice 5 HomeOffice
security wpa psk set-key ascii 0 xxxxxxx
no security wpa akm dot1x
security wpa akm psk
no shutdown
!
ap 70db.98e1.3eb8
policy-tag HomeOfficePolicyTag
site-tag HomeOficeSite
!
ap c4f7.d54c.e77c
policy-tag HomeOfficePolicyTag
site-tag HomeOficeSite
!
Comprobando la configuración del AP:
eWLC-9800-01#show ap name AP3800_E1.3EB8 config general
Cisco AP Name : AP3800_E1.3EB8
=================================================
Cisco AP Identifier : 0027.e336.5a60
...
MAC Address : 70db.98e1.3eb8
IP Address Configuration : DHCP
IP Address : 192.168.1.99
IP Netmask : 255.255.255.0
Gateway IP Address : 192.168.1.254
...
SSH State : Enabled
Cisco AP Location : default location
Site Tag Name : HomeOficeSite
RF Tag Name : default-rf-tag
Policy Tag Name : HomeOfficePolicyTag
AP join Profile : HomeOfficeAP
Flex Profile : HomeOffice_FlexProfile
Primary Cisco Controller Name : eWLC-9800-01
Primary Cisco Controller IP Address : 192.168.1.15
...
AP Mode : FlexConnect
AP VLAN tagging state : Disabled
AP VLAN tag : 0
CAPWAP Preferred mode : IPv4
CAPWAP UDP-Lite : Not Configured
AP Submode : Not Configured
Office Extend Mode : Enabled
...
Puede conectarse al AP directamente y también verificar la configuración:
AP3800_E1.3EB8#show ip access-lists
Extended IP access list HomeOffice_ACL
1 deny ip any 192.168.1.0 0.0.0.255
2 permit ip any any
AP3800_E1.3EB8#show capwap client detailrcb
SLOT 0 Config
SSID : HomeOffice
Vlan Id : 0
Status : Enabled
...
otherFlags : DHCP_REQUIRED VLAN_CENTRAL_SW
...
Profile Name : HomeOffice
...
AP3800_E1.3EB8#show capwap client config
AdminState : ADMIN_ENABLED(1)
Name : AP3800_E1.3EB8
Location : default location
Primary controller name : eWLC-9800-01
Primary controller IP : 192.168.1.15
Secondary controller name : c3504-01
Secondary controller IP : 192.168.1.14
Tertiary controller name :
ssh status : Enabled
ApMode : FlexConnect
ApSubMode : Not Configured
Link-Encryption : Enabled
OfficeExtend AP : Enabled
Discovery Timer : 10
Heartbeat Timer : 30
...
Este es un ejemplo de capturas de paquetes que muestran el tráfico conmutado localmente. Aquí la prueba hecha fue un "ping" de un cliente con IP 192.168.1.98 al servidor DNS de Google y luego a 192.168.1.254. Puede ver el ICMP originado con la IP de la dirección IP del AP 192.168.1.99 enviado al DNS de Google debido a que el AP NATing el tráfico localmente. No hay icmp en 192.168.1.254 porque el tráfico se cifra en el túnel DTLS y solo se ven las tramas de datos de la aplicación.
Nota: El tráfico conmutado localmente es NATed por el AP porque en escenarios normales, la subred del cliente pertenece a la red de Office y los dispositivos locales en la oficina doméstica no saben cómo alcanzar la subred del cliente. El AP traduce el tráfico del cliente usando la dirección IP del AP que está en la subred local de la oficina doméstica.
Puede acceder a la GUI de OEAP abriendo un navegador y escribiendo la dirección URL y la dirección IP del AP. Las credenciales predeterminadas son admin/admin y debe cambiarlas al iniciar sesión.
Una vez que inicie sesión, tendrá acceso a la GUI:
Tiene acceso a información típica en un OEAP, como información de AP, SSID y clientes conectados:
Documentación relacionada
Comprensión de FlexConnect en el controlador inalámbrico Catalyst 9800
Tunelización dividida para FlexConnect
Configuración de OEAP y RLAN en Catalyst 9800 WLC