Catalyst 9800 Wireless Controller의 FlexConnect 이해

소개

이 문서에서는 FlexConnect 기능과 9800 무선 컨트롤러의 일반 컨피그레이션에 대해 설명합니다.

배경 정보

FlexConnect는 AP(Access Point)가 무선 클라이언트의 트래픽을 AP 레벨에서 네트워크에 직접 연결할지(로컬 스위칭) 또는 트래픽이 9800 컨트롤러로 중앙 집중화되는지(중앙 스위칭) 확인하는 기능을 의미합니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• Cisco Catalyst 9800 Wireless Controller with Cisco IOS®-XE Gibraltar v17.9.x

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

네트워크 다이어그램

이 문서는 다음 토폴로지를 기반으로 합니다.

설정

다음은 이 문서의 시나리오를 수행하는 데 필요한 구성의 시각적 구성표입니다.

  

FlexConnect 로컬 스위칭 SSID(Service Set Identifier)를 구성하려면 다음 일반적인 단계를 수행하십시오.

1. WLAN 프로필 생성/수정
2. 정책 프로파일 생성/수정
3. 정책 태그 생성/수정
4. Flex 프로파일 생성/수정
5. 사이트 태그 생성/수정
6. AP에 정책 태그 할당

이 섹션에서는 각 항목을 구성하는 방법을 단계별로 설명합니다. 

WLAN 프로필 생성/수정

이 가이드를 사용하여 3개의 SSID를 생성할 수 있습니다.

SSID 생성

정책 프로파일 생성/수정

1단계. 로 Configuration > Tags & Profiles > Policy 이동합니다. 이미 있는 이름을 선택하거나 + Add(추가)를 클릭하여 새 이름을 추가합니다.

프로필Flex1

이 경고 메시지Central Switching 를 비활성화하면 을 클릭하고 Yes 컨피그레이션을 계속 진행합니다.

2단계. 탭으로 Access Policies 이동하여 VLAN을 입력합니다. 이 VLAN이 9800 WLC에 없으므로 드롭다운 목록에 표시되지 않습니다. 그런 다음 을 클릭합니다Save & Apply to Device.

3단계. PolicyProfileFlex2에 대해 동일한 작업을 반복합니다.

프로필Flex2

4단계. 중앙 스위칭 SSID의 경우 9800 WLC에 필요한 VLAN이 있는지 확인하고, 없으면 생성합니다.

참고: 로컬로 스위칭된 WLAN이 있는 FlexConnect AP에서는 트래픽이 AP에서 스위칭되며 클라이언트의 DHCP 요청이 AP 인터페이스에 의해 유선 네트워크로 직접 들어갑니다. AP는 클라이언트 서브넷에 SVI가 없으므로 DHCP 프록시를 수행할 수 없습니다. 따라서 Policy Profile(정책 프로파일) > Advanced(고급) 탭의 DHCP 릴레이 컨피그레이션(DHCP 서버 IP 주소)은 로컬로 스위칭된 WLAN에 의미가 없습니다. 이 시나리오에서 스위치포트는 클라이언트 VLAN을 허용한 다음 DHCP 서버가 다른 VLAN에 있는 경우 클라이언트에서 DHCP 요청을 어디로 보낼지 알 수 있도록 클라이언트 SVI/기본 게이트웨이에서 IP 헬퍼를 구성해야 합니다.

클라이언트 VLAN 선언

5단계. 중앙 SSID에 대한 정책 프로필을 생성합니다.

로 Configuration > Tags & Profiles > Policy 이동합니다. 이미 있는 이름을 선택하거나 클릭하여 새 이름을 추가합니다+ Add.

프로필Central1


그 결과, 3개의 정책 프로필이 있습니다.

CLI:

# config t

# vlan 2660
# exit # wireless profile policy PolicyProfileFlex1 # no central switching # vlan 2685 # no shutdown # exit # wireless profile policy PolicyProfileFlex2 # no central switching # vlan 2686 # no shutdown # exit # wireless profile policy PolicyProfileCentral1 # vlan VLAN2660 # no shutdown # end 

정책 태그 생성/수정

Policy Tag는 어떤 SSID가 어떤 정책 프로필에 연결되는지를 지정할 수 있는 요소입니다. 

1단계. 로 Configuration > Tags & Profiles > Tags > Policy 이동합니다. 이미 있는 이름을 선택하거나 클릭하여 새 이름을 추가합니다+ Add. 

2단계. Policy Tag(정책 태그) 내에서 를 클릭하고 +Add드롭다운 목록에서 정책 WLAN Profile 태그에 추가할 이름Policy Profile 을 선택하고 연결할 이름을 선택합니다. 그런 다음 확인 표시를 클릭합니다.

3개의 SSID에 대해 를 반복하고 그 후 를 클릭합니다Save & Apply to Device.

CLI:

# config t # wireless tag policy PolicyTag1 # wlan Flex1 policy PolicyProfileFlex1 # wlan Flex2 policy PolicyProfileFlex2 # wlan Central1 policy PolicyProfileCentral1 # end

Flex 프로파일 생성/수정

이 문서에 사용된 토폴로지에서는 두 개의 서로 다른 VLAN이 있는 로컬 스위칭에 두 개의 SSID가 있음을 확인합니다. Flex Profile 내에서는 AP VLAN(Native VLAN) 및 AP가 인식해야 하는 기타 VLAN(이 경우 SSID에서 사용하는 VLAN)을 지정합니다. 

1단계. 로 Configuration > Tags & Profiles > Flex 이동하여 새 파일을 만들거나 이미 있는 파일을 수정합니다.

2단계. Flex 프로필의 이름을 정의하고 AP VLAN(Native VLAN ID)을 지정합니다.

3단계. 탭으로 VLAN 이동하여 필요한 VLAN을 지정합니다.

이 시나리오에서는 VLAN 2685 및 2686에 클라이언트가 있습니다. 이러한 VLAN은 9800 WLC에 없으며 AP에 존재하도록 Flex Profile에 추가합니다.

참고: 정책 프로필을 생성할 때 VLAN ID 대신 VLAN 이름을 선택한 경우 Flex 프로필의 VLAN 이름이 정확히 동일한지 확인합니다.

  

필요한 VLAN에 대해 를 반복합니다.

AP가 인식할 필요가 없으므로 중앙 스위칭에 사용된 VLAN은 추가되지 않았습니다.

CLI:

# config t
 # wireless profile flex FlexProfileLab # native-vlan-id 2601 # vlan-name VLAN2685 # vlan-id 2685 # vlan-name VLAN2686 # vlan-id 2686 # end

사이트 태그 생성/수정

Site Tag는 AP에 어떤 AP 조인 및/또는 Flex Profile을 할당할지 지정할 수 있는 요소입니다. 

1단계. 로 Configuration > Tags & Profiles > Tags > Site이동합니다. 이미 있는 이름을 선택하거나 클릭하여 새 이름을 추가합니다+ Add. 

2단계. Site Tag(사이트 태그) 내에서 옵션을 Enable Local Site 비활성화합니다(옵션이 비활성화된 사이트 태그를 수신한 모든 AP는 Enable Local Site FlexConnect 모드로 변환됨). 비활성화되면 를 선택할 수도 있습니다Flex Profile. 그런 다음 클릭합니다Save & Apply to Device.

CLI:

# config t # wireless tag site FlexSite1
# flex-profile FlexProfileLab
# no local-site

AP에 정책 태그 할당

정책 태그를 AP에 직접 할당하거나 동일한 정책 태그를 동시에 AP 그룹에 할당할 수 있습니다. 적합한 태그를 선택합니다.

AP당 정책 태그 할당

로 Configuration > Wireless > Access Points > AP name > General > Tags 이동합니다. 드롭다운 Site 목록에서 원하는 Tags(태그)를 선택하고 를 클릭합니다Update & Apply to Device.

  

참고: 변경 후 AP의 정책 태그는 9800 WLC와의 연결이 끊기고 약 1분 내에 다시 연결됩니다.

참고: AP가 로컬 모드(또는 다른 모드)로 구성된 다음 옵션이 비활성화된 사이트 태그가 Enable Local Site 되면 AP가 재부팅되고 FlexConnect 모드로 돌아갑니다. 

 CLI:

# config t # ap <ethernet-mac-addr> # site-tag <site-tag-name> # end

여러 AP에 대한 정책 태그 할당

로 Configuration > Wireless Setup > Advanced > Start Now이동합니다.

태그를 할당할 AP 목록을 선택한 후Tag APs := 아이콘을 클릭합니다. [또는 AP name 다른 필드] 옆에 있는 점 아래쪽 화살표를 클릭하여 AP 목록을 필터링할 수 있습니다.

원하는 AP를 선택하면 + Tag APs를 클릭합니다.

  

AP에 할당할 태그를 선택하고 을 클릭합니다Save & Apply to Device.

참고: AP에서 정책 태그를 변경한 후에는 9800 WLC에 대한 연결이 해제되고 1분 이내에 다시 연결됩니다.

참고:AP가 로컬 모드(또는 다른 모드)로 구성된 다음 옵션이 비활성화된 사이트 태그를Enable Local Site 가져오면 AP가 재부팅되고 FlexConnect 모드로 돌아갑니다. 

CLI:

여러 AP에 동일한 태그를 할당하는 데 사용할 CLI 옵션은 없습니다. 

Flexconnect ACL

로컬로 스위칭된 WLAN이 있는 경우 한 가지 고려해야 할 사항은 클라이언트에 ACL을 적용하는 방법입니다.

중앙에서 스위칭되는 WLAN의 경우 모든 트래픽이 WLC에서 해제되므로 ACL을 AP에 푸시할 필요가 없습니다. 그러나 트래픽이 로컬로 스위칭될 경우(flex connect - local switching), AP에서 트래픽이 릴리스되므로 컨트롤러에 정의된 ACL을 AP로 푸시해야 합니다. 이는 ACL을 Flex 프로필에 추가할 때 수행됩니다. 

FlexConnect ACL은 이그레스(egress) 방향과 인그레스(ingress) 방향 모두에 적용됩니다. 이렇게 하려면 클라이언트 서브넷에서 트래픽을 허용하거나 거부하는 데 매우 명시적이어야 합니다. 충분히 명시적인 ACL을 보유하지 않아 클라이언트가 게이트웨이에 액세스하지 못하도록 차단하는 것은 일반적인 실수입니다. Cisco 버그 ID CSCuv93592 노트에서 자세한 내용을 참조하십시오 .

중앙에서 스위칭되는 WLAN

중앙에서 스위칭된 WLAN에 연결된 클라이언트에 ACL을 적용하려면


1단계 - 정책 프로필에 ACL을 적용합니다. Configuration(컨피그레이션) > Tags & Profiles(태그 및 프로필) > Policy(정책)로 이동하여 중앙 집중식 스위치드 WLAN과 연결된 정책 프로필을 선택합니다. "액세스 정책" > "WLAN ACL" 섹션에서 클라이언트에 적용할 ACL을 선택합니다.

중앙 집중식 스위치 WLAN에서 중앙 웹 인증을 구성하는 경우, 모든 것이 WLC에서 중앙에서 처리되므로 마치 AP가 로컬 모드에 있었던 것처럼 9800에서 리디렉션 ACL을 생성할 수 있습니다.

로컬 스위치 WLAN

로컬로 스위칭된 WLAN에 연결된 클라이언트에 ACL을 적용하려면


1단계 - 정책 프로필에 ACL을 적용합니다. Configuration(컨피그레이션) > Tags & Profiles(태그 및 프로필) > Policy(정책)로 이동하여 중앙 집중식 스위치드 WLAN과 연결된 정책 프로필을 선택합니다. "액세스 정책" > "WLAN ACL" 섹션에서 클라이언트에 적용할 ACL을 선택합니다.

2단계 - Flex 프로필에 ACL을 적용합니다. Configuration(컨피그레이션) > Tags & Profiles(태그 및 프로필) > Flex로 이동하여 Flex Connect AP에 할당된 Flex 프로필을 선택합니다. "정책 ACL" 섹션에서 ACL을 추가하고 "저장"을 클릭합니다.

ACL이 적용되었는지 확인

ACL이 클라이언트에 적용되는지 확인할 수 있습니다. Monitoring(모니터링) > Wireless(무선) > Clients(클라이언트)로 이동하여 확인할 클라이언트를 선택합니다. General(일반) > Security Information(보안 정보) 섹션에서 "Server Policies(서버 정책)" 섹션에서 "Filter-ID"의 이름을 확인합니다. 이 이름은 적용된 ACL과 일치해야 합니다.

Flex Connect(로컬 스위칭) AP의 경우, AP 자체에 "#show ip access-lists" 명령을 입력하여 ACL이 AP에 대해 일시 중지되었는지 확인할 수 있습니다.

확인

이러한 명령을 사용하여 설정을 확인할 수 있습니다.

VLAN/인터페이스 설정

# show vlan brief # show interfaces trunk
# show run interface <interface-id>

WLAN 구성

# show wlan summary
# show run wlan [wlan-name] # show wlan { id <wlan-id> | name <wlan-name> | all }

AP 설정

# show ap summary # show ap tag summary # show ap name <ap-name> tag { info | detail }

# show ap name <ap-name> tag detail
 AP Name : AP2802-01 AP Mac : 0896.ad9d.143e Tag Type Tag Name ----------------------------- Policy Tag PT1 RF Tag default-rf-tag Site Tag default-site-tag Policy tag mapping ------------------ WLAN Profile Name Policy Name VLAN Central Switching IPv4 ACL IPv6 ACL ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- psk-pbl-ewlc ctrl-vl2602 VLAN0210 ENABLED Not Configured Not Configured Site tag mapping ---------------- Flex Profile : default-flex-profile AP Profile : default-ap-profile Local-site : Yes RF tag mapping -------------- 5ghz RF Policy : Global Config 2.4ghz RF Policy : Global Config

태그 설정

# show wireless tag { policy | rf | site } summary # show wireless tag { policy | rf | site } detailed <tag-name>

프로파일 설정

# show wireless profile { flex | policy } summary
# show wireless profile { flex | policy } detailed <profile-name> # show ap profile <AP-join-profile-name> detailed