Catalyst 9800とFlexConnect OEAPスプリットトンネリングの設定

はじめに

このドキュメントでは、屋内アクセスポイント(AP)をFlexConnect Office Extend(OEAP)として設定する方法と、スプリットトンネリングを有効にして、ホームオフィスでローカルにスイッチングできるトラフィックと、WLCで中央でスイッチングする必要があるトラフィックを定義する方法について説明します。

前提条件

要件

このドキュメントの設定は、NATが有効なDMZにWLCがすでに設定されており、APがホームオフィスからWLCに参加できることを前提としています。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• Cisco IOS-XE 17.3.1ソフトウェアを実行するワイヤレスLANコントローラ(WLC)9800。
• Wave1 AP:1700/2700/3700
• Wave2 AP:1800/2800/3800/4800、およびCatalyst 9100シリーズ。 

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

概要

Cisco OfficeExtendアクセスポイント(Cisco OEAP)は、Cisco WLCからリモートの場所にあるCisco APへのセキュアな通信を提供し、インターネットを介して企業のWLANを従業員の自宅までシームレスに拡張します。ホームオフィスでのユーザのエクスペリエンスは、企業オフィスでのユーザのエクスペリエンスとまったく同じです。アクセスポイントとコントローラ間のDatagram Transport Layer Security(DTLS)暗号化により、すべての通信に最高レベルのセキュリティが保証されます。 FlexConnectモードの屋内APは、すべてOEAPとして機能できます。

背景説明

FlexConnectは、アクセスポイント(AP)がWANなどを介してリモートロケーションで動作しながらワイヤレスクライアントを処理する機能を指します。また、ワイヤレスクライアントからのトラフィックをAPレベルで直接ネットワークに配置するか（ローカルスイッチング）、またはトラフィックを9800コントローラに集中化し（中央スイッチング）、WLANごとにWAN経由で返送するかを決定できます。

FlexConnectの詳細については、このドキュメントの「Catalyst 9800ワイヤレスコントローラでのFlexConnectについて」を参照してください。

OEAPモードは、FlexConnect APで使用できるオプションで、ホームアクセス用の個人ローカルSSIDなどの追加機能を使用できます。また、スプリットトンネリング機能を提供して、ホームオフィスでローカルにスイッチングする必要があるトラフィックと、単一のWLANを介してWLCで中央でスイッチングする必要があるトラフィックをより細かく定義することもできます

設定

ネットワーク図

コンフィギュレーション

スプリットトンネリング用のアクセスコントロールリストの定義

ステップ 1：Configuration > Security > ACLの順に選択します。Addを選択します。

ステップ 2：Add ACL Setupダイアログボックスで、ACL Nameを入力し、ACL TypeドロップダウンリストからACLタイプを選択し、Rules設定の下でSequence numberを入力します。次に、Actionとしてpermitまたはdenyを選択します。

ステップ 3：「ソース・タイプ」ドロップダウン・リストから必要なソース・タイプを選択します。

送信元タイプとしてHostを選択した場合は、Host Name/IPを入力する必要があります。

送信元タイプとしてNetworkを選択した場合は、送信元IPアドレスと送信元ワイルドカードマスクを指定する必要があります。

この例では、任意のホストからサブネット192.168.1.0/24へのすべてのトラフィックは中央でスイッチング（拒否）され、残りのすべてのトラフィックはローカルでスイッチング（許可）されます。

ステップ 4：ログが必要な場合は、Logチェックボックスにチェックマークを入れて、Addを選択します。

ステップ 5：残りのルールを追加して、Apply to Deviceを選択します。

定義されたACLへのACLポリシーのリンク

ステップ 1：新しいFlex Profileを作成します。Configuration > Tags & Profiles > Flexの順に選択し、Addを選択します。

ステップ 2：名前を入力し、OEAPを有効にします。また、ネイティブVLAN IDがAPスイッチポート内のIDであることを確認します。

注:Office-Extendモードを有効にすると、Link-Encryptionもデフォルトで有効になり、AP加入プロファイルでLink Encryptionを無効にしても変更できません。 

ステップ 3：Policy ACLタブに移動し、Addを選択します。ここで、プロファイルにACLを追加し、デバイスに適用します。

ワイヤレスプロファイルポリシーとスプリットMAC ACL名の設定

ステップ 1：WLANプロファイルを作成します。この例では、WPA2-PSKセキュリティを備えたHomeOfficeという名前のSSIDを使用しています。

ステップ 2：ポリシープロファイルを作成します。Configuration > Tags > Policyの順に選択し、Addを選択します。 Generalの下で、次の例に示すように、このプロファイルが中央でスイッチされるポリシーであることを確認します。

ステップ 3：ポリシープロファイル内で、アクセスポリシーに移動し、中央でスイッチングされるトラフィックのVLANを定義します。クライアントは、このVLANに割り当てられたサブネット内のIPアドレスを取得します。 

ステップ 4：APでローカルスプリットトンネリングを設定するには、WLANでDCHP Requiredがイネーブルになっていることを確認する必要があります。これにより、スプリットWLANに関連付けられているクライアントがDHCPを実行するようになります。このオプションは、Policy ProfileのAdvancedタブで有効にできます。IPv4 DHCP Requiredチェックボックスをオンにします。 WLAN Flex Policy設定で、Split MAC ACLドロップダウンリストから、前に作成したスプリットMAC ACLを選択します。Apply to Deviceを選択します。

注:Apple iOSクライアントがスプリットトンネリングを機能させるには、DHCPオファーでオプション6(DNS)を設定する必要があります。

ポリシープロファイルへのWLANのマッピング

ステップ 1：Configuration > Tags & Profiles > Tagsの順に選択します。PolicyタブでAddを選択します。

ステップ 2：Tag Policyの名前を入力し、WLAN-POLICY MapsタブでAddを選択します。

ステップ 3：WLAN ProfileドロップダウンリストからWLANプロファイルを選択し、Policy ProfileドロップダウンリストからPolicy profileを選択します。ティックアイコンを選択し、[デバイスに適用]を選択します。

AP加入プロファイルの設定およびサイトタグとの関連付け

ステップ 1：Configuration > Tags & Profiles > AP Joinの順に移動し、Addを選択します。名前を入力します。 オプションで、SSHを有効にしてトラブルシューティングを可能にし、後で不要な場合は無効にすることができます。

ステップ 2：Configuration > Tags & Profiles > Tagsの順に選択します。[サイト]タブで、[追加]を選択します。

ステップ 3：サイトタグの名前を入力し、Enable Local Siteのチェックマークを外して、ドロップダウンリストからAP Join ProfileとFlex Profile（前に作成）を選択します。次に、Apply to Deviceを選択します。

アクセスポイントへのポリシータグとサイトタグの接続

オプション 1このオプションでは、一度に1つのAPを設定する必要があります。Configuration > Wireless > Access Pointsの順に選択します。ホームオフィスに移動するAPを選択してから、ホームオフィスタグを選択します。UpdateとApply to Deviceを選択します。

また、ホームオフィスに展開した後に到達するWLCのIP/名前をAPが認識できるように、プライマリコントローラを設定することも推奨されます。APを直接編集してHigh Availabilityタブに移動し、次の操作を実行できます。

オプション 2このオプションを使用すると、複数のAPを同時に設定できます。Configuration > Wireless Setup > Advanced > Tag APsの順に移動します。以前に作成したタグを選択し、Apply to Deviceを選択します。

APがリブートし、新しい設定でWLCに再加入します。

確認

設定は、GUIまたはCLIを使用して確認できます。CLIでの設定の結果は次のようになります。

!
ip access-list extended HomeOffice_ACL
1 deny ip any 192.168.1.0 0.0.0.255 log
2 permit ip any any log
!
wireless profile flex HomeOffice_FlexProfile
acl-policy HomeOffice_ACL
office-extend
!
wireless profile policy HomeOfficePolicy
no central association
aaa-override
flex split-mac-acl HomeOffice_ACL
flex vlan-central-switching
ipv4 dhcp required
vlan default
no shutdown
!
wireless tag site HomeOficeSite
flex-profile HomeOffice_FlexProfile
no local-site
!
wireless tag policy HomeOfficePolicyTag
wlan HomeOffice policy HomeOfficePolicy
!
wlan HomeOffice 5 HomeOffice
security wpa psk set-key ascii 0 xxxxxxx
no security wpa akm dot1x
security wpa akm psk
no shutdown
!
ap 70db.98e1.3eb8
policy-tag HomeOfficePolicyTag
site-tag HomeOficeSite
!
ap c4f7.d54c.e77c
policy-tag HomeOfficePolicyTag
site-tag HomeOficeSite
!

AP設定のチェック：

eWLC-9800-01#show ap name AP3800_E1.3EB8 config general

Cisco AP Name : AP3800_E1.3EB8
=================================================

Cisco AP Identifier : 0027.e336.5a60
...
MAC Address : 70db.98e1.3eb8
IP Address Configuration : DHCP
IP Address : 192.168.1.99
IP Netmask : 255.255.255.0
Gateway IP Address : 192.168.1.254
...
SSH State : Enabled
Cisco AP Location : default location
Site Tag Name : HomeOficeSite
RF Tag Name : default-rf-tag
Policy Tag Name : HomeOfficePolicyTag
AP join Profile : HomeOfficeAP
Flex Profile : HomeOffice_FlexProfile
Primary Cisco Controller Name : eWLC-9800-01
Primary Cisco Controller IP Address : 192.168.1.15
...
AP Mode : FlexConnect
AP VLAN tagging state : Disabled
AP VLAN tag : 0
CAPWAP Preferred mode : IPv4
CAPWAP UDP-Lite : Not Configured
AP Submode : Not Configured
Office Extend Mode : Enabled
...

APに直接接続し、設定を確認することもできます。

AP3800_E1.3EB8#show ip access-lists 
Extended IP access list HomeOffice_ACL
1 deny ip any 192.168.1.0 0.0.0.255
2 permit ip any any

AP3800_E1.3EB8#show capwap client detailrcb 
SLOT 0 Config

SSID : HomeOffice
Vlan Id : 0
Status : Enabled 
...
otherFlags : DHCP_REQUIRED VLAN_CENTRAL_SW 
...
Profile Name : HomeOffice
...

AP3800_E1.3EB8#show capwap client config
AdminState : ADMIN_ENABLED(1)
Name : AP3800_E1.3EB8
Location : default location
Primary controller name : eWLC-9800-01
Primary controller IP : 192.168.1.15
​‌Secondary controller name : c3504-01
Secondary controller IP : 192.168.1.14
Tertiary controller name :
ssh status : Enabled
ApMode : FlexConnect
ApSubMode : Not Configured
Link-Encryption : Enabled
OfficeExtend AP : Enabled
Discovery Timer : 10
Heartbeat Timer : 30
...

次に、トラフィックがローカルでスイッチングされることを示すパケットキャプチャの例を示します。ここでは、IPアドレスが192.168.1.98のクライアントからGoogle DNSサーバにpingを実行し、次に192.168.1.254にpingを実行するテストを実行しました。APがトラフィックをローカルでNAT処理しているため、AP IPアドレス192.168.1.99のIPを送信元とするICMPがGoogle DNSに送信されていることがわかります。トラフィックはDTLSトンネルで暗号化され、アプリケーションデータフレームのみが表示されるため、192.168.1.254へのicmpは存在しません。

注：通常のシナリオでは、クライアントサブネットはOfficeネットワークに属していますが、ホームオフィスのローカルデバイスはクライアントサブネットへの到達方法を認識していないため、ローカルでスイッチングされるトラフィックはAPによってNAT処理されます。APは、ローカルのホームオフィスのサブネットにあるAPのIPアドレスを使用して、クライアントトラフィックを変換します。

OEAP GUIにアクセスするには、ブラウザを開き、URLにAPのIPアドレスを入力します。デフォルトのクレデンシャルはadmin/adminであり、初期ログイン時に変更する必要があります。

ログインすると、GUIにアクセスできます。

AP情報、SSID、接続クライアントなど、OEAPの一般的な情報にアクセスできます。

関連資料

Catalyst 9800 ワイヤレスコントローラの FlexConnect について

FlexConnectのスプリットトンネリング

Catalyst 9800 WLCでのOEAPおよびRLANの設定