Catalyst 9800 Wireless Controller의 FlexConnect 이해

소개

이 문서에서는 9800 무선 컨트롤러의 FlexConnect 기능 및 일반 설정에 대해 설명합니다.

배경 정보

FlexConnect는 무선 클라이언트의 트래픽이 AP 레벨에서 네트워크에 직접 배치되는지(로컬 스위칭) 또는 트래픽이 9800 컨트롤러에 중앙 집중화되는지(중앙 스위칭) 확인하는 액세스 포인트(AP) 기능을 나타냅니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• Cisco Catalyst 9800 Wireless Controller with Cisco IOS®-XE Gibraltar v17.9.x

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

네트워크 다이어그램

이 문서는 다음 토폴로지를 기반으로 합니다.

설정

다음은 이 문서의 시나리오를 수행하는 데 필요한 설정의 시각적 체계입니다.

  

FlexConnect 로컬 SSID(Switching Service Set Identifier)를 구성하기 위해 수행해야 할 일반적인 단계는 다음과 같습니다.

1. WLAN 프로파일 생성/수정
2. 정책 프로파일 생성/수정
3. 정책 태그 생성/수정
4. Flex 프로파일 생성/수정
5. 사이트 태그 생성/수정
6. AP에 정책 태그 할당

이 섹션에서는 각 SSID를 구성하는 방법을 단계별로 설명합니다. 

WLAN 프로파일 생성/수정

이 가이드를 사용하여 다음과 같이 3가지 SSID를 생성할 수 있습니다.

SSID 생성

정책 프로파일 생성/수정

1단계. 로 이동합니다.Configuration > Tags & Profiles > Policy 이미 존재하는 이름을 선택하거나 + Add를 클릭하여 새 이름을 추가합니다.

프로필Flex1

을 비활성화하여 이 경고 메시지가 표시되면  를 클릭하고 설정을 계속 진행합니다.Central SwitchingYes

2단계. 탭으로 이동하여 VLAN을 입력합니다(이 VLAN은 9800 WLC에 없으므로 드롭다운 목록에 표시되지 않음).Access Policies 그런 다음 를 클릭합니다.Save & Apply to Device

3단계. PolicyProfileFlex2에 대해 동일한 작업을 반복합니다.

프로필Flex2

4단계. 중앙 집중식 스위칭 SSID의 경우 필요한 VLAN이 9800 WLC에 있는지 확인하고, 없는 경우 생성합니다.

참고: 로컬 스위칭 WLAN이 있는 FlexConnect AP의 경우 트래픽은 AP에서 스위칭되고 클라이언트의 DHCP 요청이 AP 인터페이스를 통해 유선 네트워크로 직접 이동합니다. AP에는 클라이언트 서브넷에 SVI가 없으므로 DHCP 프록시를 수행할 수 없습니다. 따라서 로컬 스위칭 WLAN에는 Policy Profile > Advanced 탭에 있는 DHCP 릴레이 설정(DHCP 서버 IP 주소)이 의미가 없습니다. 이러한 시나리오에서는 스위치 포트에서 클라이언트 VLAN을 허용한 다음, DHCP 서버가 다른 VLAN에 있는 경우 클라이언트 SVI/기본 게이트웨이에서 IP 헬퍼를 설정하여 클라이언트에서 DHCP 요청을 보낼 위치를 알 수 있도록 해야 합니다.

클라이언트 VLAN 선언

5단계. 중앙 SSID에 대한 정책 프로파일을 생성합니다.

로 이동합니다.Configuration > Tags & Profiles > Policy 이미 존재하는 이름을 선택하거나 를 클릭하여 새 이름을 추가합니다.+ Add

프로필Central1

따라서 3개의 정책 프로파일이 있게 됩니다.

CLI:

# config t

# vlan 2660
# exit

# wireless profile policy PolicyProfileFlex1
# no central switching
# vlan 2685
# no shutdown
# exit

# wireless profile policy PolicyProfileFlex2
# no central switching
# vlan 2686
# no shutdown
# exit

# wireless profile policy PolicyProfileCentral1
# vlan VLAN2660
# no shutdown
# end

정책 태그 생성/수정

정책 태그는 어떤 SSID를 어떤 정책 프로파일에 연결할지 지정할 수 있는 요소입니다. 

1단계. 로 이동합니다.Configuration > Tags & Profiles > Tags > Policy 이미 존재하는 이름을 선택하거나 를 클릭하여 새 이름을 추가합니다.+ Add 

2단계. Policy Tag 내에서 를 클릭하고 드롭다운 목록에서 연결하려는 정책 태그 및 에 추가할 이름을 선택합니다.+Add WLAN Profile Policy Profile 그런 다음 확인 표시를 클릭합니다.

3개의 SSID에 대해 반복한 다음 를 클릭합니다.Save & Apply to Device

CLI:

# config t

# wireless tag policy PolicyTag1
# wlan Flex1 policy PolicyProfileFlex1
# wlan Flex2 policy PolicyProfileFlex2
# wlan Central1 policy PolicyProfileCentral1
# end

Flex 프로파일 생성/수정

이 문서에 사용된 토폴로지에는 로컬 스위칭에 두 개의 서로 다른 VLAN이 있는 두 개의 SSID가 있습니다.  Flex 프로파일 내에서 AP VLAN(네이티브 VLAN) 및 AP가 인식해야 하는 기타 VLAN(이 경우에는 SSID에서 사용하는 VLAN)을 지정합니다. 

1단계. 로 이동하여 새 항목을 생성하거나 이미 존재하는 항목을 수정합니다.Configuration > Tags & Profiles > Flex

2단계. Flex 프로파일의 이름을 정의하고 AP VLAN(Native VLAN ID)을 지정합니다.

3단계. 탭으로 이동하여 필요한 VLAN을 지정합니다.VLAN

이 시나리오에서는 VLAN 2685 및 2686에 클라이언트가 있습니다. 이러한 VLAN은 9800 WLC에 없습니다. AP에 존재하도록 Flex 프로파일에 추가하십시오.

참고: 정책 프로파일을 생성할 때 VLAN ID 대신 VLAN 이름을 선택한 경우 Flex 프로파일의 VLAN 이름이 정확히 동일한지 확인하십시오.

  

필요한 VLAN에 대해 반복합니다.

AP에서 이를 인식할 필요가 없으므로 중앙 스위칭에 사용되는 VLAN은 추가되지 않았습니다.

CLI:

# config t

# wireless profile flex FlexProfileLab
# native-vlan-id 2601
# vlan-name VLAN2685
# vlan-id 2685
# vlan-name VLAN2686
# vlan-id 2686
# end

사이트 태그 생성/수정

 사이트 태그는 AP에 할당되는 AP 조인 및/또는 Flex 프로파일을 지정할 수 있는 요소입니다. 

1단계. 로 이동합니다.Configuration > Tags & Profiles > Tags > Site 이미 존재하는 이름을 선택하거나 를 클릭하여 새 이름을 추가합니다.+ Add 

2단계. 사이트 태그 내에서  옵션을 비활성화합니다( 옵션이 비활성화된 사이트 태그를 수신하는 모든 AP는 FlexConnect 모드로 변환됨).Enable Local Site Enable Local Site 비활성화되면  을 선택할 수도 있습니다.Flex Profile 그런 다음 를 클릭합니다.Save & Apply to Device

CLI:

# config t
# wireless tag site FlexSite1
# flex-profile FlexProfileLab
# no local-site

AP에 정책 태그 할당

정책 태그를 AP에 직접 할당하거나 동일한 정책 태그를 동시에 AP 그룹에 할당할 수 있습니다. 적합한 태그를 선택합니다.

AP당 정책 태그 할당

로 이동합니다.Configuration > Wireless > Access Points > AP name > General > Tags  드롭다운 목록에서 원하는 태그를 선택하고 를 클릭합니다.Site Update & Apply to Device

  

참고: AP에서 정책 태그를 변경한 후에는 9800 WLC에 대한 연결이 해제되고 1분 이내에 다시 연결됩니다.

참고: AP가 로컬 모드(또는 다른 모드)로 설정된 상태에서  옵션이 비활성화된 사이트 태그를 받는 경우, AP가 재부팅되고 FlexConnect 모드로 돌아갑니다.Enable Local Site 

 CLI:

# config t
# ap <ethernet-mac-addr>
# site-tag <site-tag-name>
# end

여러 AP에 대한 정책 태그 할당

로 이동합니다.Configuration > Wireless Setup > Advanced > Start Now

:= 아이콘을 클릭한 다음 태그를 할당할 AP 목록을 선택합니다( [또는 다른 필드] 옆에 있는 아래쪽 화살표를 클릭하여 AP 목록을 필터링할 수 있음).Tag APsAP name

원하는 AP를 선택하면 + Tag APs를 클릭합니다.

  

AP에 할당할 태그를 선택하고 를 클릭합니다.Save & Apply to Device

참고: AP에서 정책 태그를 변경한 후에는 9800 WLC에 대한 연결이 해제되고 1분 이내에 다시 연결됩니다.

참고: AP가 로컬 모드(또는 다른 모드)로 설정된 상태에서  옵션이 비활성화된 사이트 태그를 받는 경우, AP가 재부팅되고 FlexConnect 모드로 돌아갑니다.Enable Local Site 

CLI:

여러 AP에 동일한 태그를 할당하는 데 사용할 CLI 옵션은 없습니다. 

FlexConnect ACL

로컬 스위칭 WLAN을 사용할 때 고려해야 할 한 가지 사항은 클라이언트에 ACL을 적용하는 방법입니다.

중앙 집중식 스위칭 WLAN의 경우 모든 트래픽이 WLC에서 릴리스되므로 ACL을 AP로 푸시할 필요가 없습니다. 하지만 트래픽이 로컬로 스위칭되는 경우(Flex Connect - 로컬 스위칭), 트래픽이 AP에서 릴리스되므로 컨트롤러에서 정의된 ACL을 AP로 푸시해야 합니다. 이 작업은 Flex 프로파일에 ACL을 추가할 때 수행됩니다. 

FlexConnect ACL은 이그레스(egress) 방향과 인그레스(ingress) 방향 모두에 적용됩니다. 이렇게 하려면 클라이언트 서브넷에서 트래픽을 허용하거나 거부하는 데 매우 명시적이어야 합니다. 충분히 명시적인 ACL을 보유하지 않아 클라이언트가 게이트웨이에 액세스하지 못하도록 차단하는 것은 일반적인 실수입니다. 자세한 내용은 Cisco 버그 ID CSCuv 노트에서 확인하십시오93592 .

중앙 집중식 스위칭 WLAN

중앙 집중식 스위칭 WLAN에 연결된 클라이언트에 ACL을 적용하려면 다음을 수행합니다.

1단계 - 정책 프로파일에 ACL을 적용합니다. Configuration > Tags & Profiles > Policy로 이동하고 중앙 집중식 스위칭 WLAN과 관련된 정책 프로파일을 선택합니다. "Access Policies" > "WLAN ACL" 섹션에서 클라이언트에 적용할 ACL을 선택합니다.

중앙 집중식 스위칭 WLAN에서 중앙 웹 인증을 설정하는 경우에는 AP가 로컬 모드에 있었던 것처럼 9800에서 리디렉션 ACL을 생성할 수 있습니다. 이 경우 WLC에서 모두 중앙 집중식으로 처리되기 때문입니다.

로컬 스위칭 WLAN

로컬 스위칭 WLAN에 연결된 클라이언트에 ACL을 적용하려면 다음을 수행합니다.

1단계 - 정책 프로파일에 ACL을 적용합니다. Configuration(컨피그레이션) > Tags & Profiles(태그 및 프로필) > Policy(정책)로 이동하여 로컬로 스위칭된 WLAN과 연결된 정책 프로필을 선택합니다. "Access Policies" > "WLAN ACL" 섹션에서 클라이언트에 적용할 ACL을 선택합니다.

2단계 - Flex 프로파일에 ACL을 적용합니다. Configuration > Tags & Profiles > Flex로 이동하여 Flex Connect AP에 할당된 Flex 프로파일을 선택합니다. "Policy ACL" 섹션에서 ACL을 추가하고 "Save"를 클릭합니다.

ACL이 적용되었는지 확인

Monitoring > Wireless > Clients로 이동하고, 확인할 클라이언트를 선택하여 ACL이 클라이언트에 적용되었는지 확인할 수 있습니다. General > Security Information 섹션에서 "Server Policies" 섹션에 있는 "Filter-ID"의 이름을 확인합니다. 해당 이름은 적용된 ACL과 일치해야 합니다.

Flex Connect(로컬 스위칭) AP의 경우 AP에 "#show ip access-lists" 명령을 입력하여 ACL이 AP에 일시 중지되어 있는지 확인할 수 있습니다.

확인

이러한 명령을 사용하여 설정을 확인할 수 있습니다.

VLAN/인터페이스 설정

# show vlan brief
# show interfaces trunk
# show run interface <interface-id>

WLAN 구성

# show wlan summary
# show run wlan [wlan-name]
# show wlan { id <wlan-id> | name <wlan-name> | all }

AP 설정

# show ap summary
# show ap tag summary
# show ap name <ap-name> tag { info | detail }

# show ap name <ap-name> tag detail

AP Name            : AP2802-01
AP Mac             : 0896.ad9d.143e

Tag Type             Tag Name
-----------------------------
Policy Tag           PT1
RF Tag               default-rf-tag
Site Tag             default-site-tag

Policy tag mapping
------------------
WLAN Profile Name                Policy Name                      VLAN                             Central Switching                IPv4 ACL                         IPv6 ACL
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
psk-pbl-ewlc                     ctrl-vl2602                      VLAN0210                         ENABLED                          Not Configured                   Not Configured

Site tag mapping
----------------
Flex Profile         : default-flex-profile
AP Profile           : default-ap-profile
Local-site           : Yes

RF tag mapping
--------------
5ghz RF Policy       : Global Config
2.4ghz RF Policy     : Global Config

태그 설정

# show wireless tag { policy | rf | site } summary
# show wireless tag { policy | rf | site } detailed <tag-name>

프로파일 설정

# show wireless profile { flex | policy } summary
# show wireless profile { flex | policy } detailed <profile-name>
# show ap profile <AP-join-profile-name> detailed