FlexConnect OEAP met splitter-tunneling configureren

Inleiding

In dit document wordt beschreven hoe u een access point (AP) binnen kunt configureren als een FlexConnect Office Extend AP (OEAP)-modus en hoe u splitsingen kunt inschakelen zodat u kunt definiëren wat er lokaal moet worden geschakeld op het thuiskantoor en welk verkeer centraal moet worden geschakeld op de draadloze LAN-controller (WLC).

Bijgedragen door Tiago Antunes, Nicolas Darchis Cisco TAC-engineers.

Voorwaarden

Vereisten

Bij de configuratie van dit document wordt ervan uitgegaan dat de WLC al is geconfigureerd in een gedemilitariseerde zone (DMZ) met netwerkadresomzetting (NAT) en dat AP vanuit het thuiskantoor aan de WLC kan deelnemen.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• WLC’s met versie AireOS 8.10(130.0) software.
• Wave1 AP’s: 1700/2700/3700.
• Wave2 access points: 1800/2800/3800/4800 en Catalyst 9100 Series. 

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.

Overzicht

Een OEAP biedt veilige communicatie van een Cisco WLC naar een Cisco AP op een verre plaats, om de bedrijfsWLAN via het internet naar de verblijfplaats van een werknemer uit te breiden. De ervaring van de gebruiker op het thuiskantoor is precies dezelfde als bij het hoofdkantoor. Datagram Transport Layer Security (DTLS)-encryptie tussen de AP en de controller zorgt ervoor dat alle communicatie het hoogste beveiligingsniveau heeft. Elke AP binnen in FlexConnect modus kan als een OEAP fungeren.

Belangrijke feiten

• Cisco OEAP's zijn ontworpen om achter een router of ander gateway-apparaat te werken dat NAT gebruikt. NAT staat een apparaat, zoals een router, toe om als agent tussen het internet (publiek) en een persoonlijk netwerk (privé) te handelen, wat een gehele groep computers toe om door één enkel IP adres vertegenwoordigd te zijn. Er is geen limiet aan het aantal MAP's van Cisco dat u achter een NAT-apparaat kunt implementeren.

• Alle ondersteunde modellen binnen AP met geïntegreerde antenne kunnen als OEAP worden geconfigureerd behalve AP-700I, AP-700W en AP802 reeks AP's.

• Alle OEAP's moeten in dezelfde AP-groep vallen en die groep mag niet meer dan 15 draadloze LAN's bevatten. Een controller met OEAP’s in een AP-groep publiceert slechts 15 WLAN’s bij elke aangesloten OEAP omdat deze één WLAN-server behoudt voor de persoonlijke serviceset (SSID).

Configureren

Netwerkdiagram

Configuraties

WLAN-configuratie

Stap 1. Maak een WLAN-functie om aan de AP-groep toe te wijzen. U hoeft de FlexConnect Local Switching optie niet in te schakelen voor dit WLAN.

Stap 2. Maak een AP-groep. Kies in het tabblad WLAN de WLAN-sid en klik vervolgens op Add om de WLAN-functie toe te voegen. Ga naar het tabblad AP en Voeg FlexConnect toe.

AP-configuratie

Nadat de AP met de controller in FlexConnect-modus is gekoppeld, kunt u deze als een OEAP configureren.

Stap 1. Nadat u zich bij de WLC hebt aangesloten, wijzigt u de AP-modus in FlexConnect en klikt u op Toepassen.

Stap 2. Zorg ervoor dat u minimaal een Primaire WLC hebt ingesteld op het tabblad Hoge beschikbaarheid:

Stap 3. Ga naar het tabblad FlexConnect en controleer het vakje OfficeExtend access point. 

DTLS Data Encryption is automatisch ingeschakeld wanneer u de OfficeExtend-modus voor een AP inschakelen. U kunt echter wel DTLS-gegevensencryptie voor een specifieke AP in- of uitschakelen. Hiervoor controleert u (schakelt u) het aanvinkvakje Data Encryption uit op alle AP's > Details voor [geselecteerd AP] > tabblad Advanced: 

Opmerking: Telnet en SSH de toegang worden automatisch uitgeschakeld wanneer u de OfficeExtend modus voor een AP kunt inschakelen. U kunt echter telnet of SSH-toegang voor een specifieke AP in- of uitschakelen. Schakel dit in (schakelt) of uit (schakelt) het selectieteken van telnet of SSH uit op alle AP's > Details voor [geselecteerd AP] > Geavanceerd tabblad.

Opmerking: De latentie van de verbinding wordt automatisch geactiveerd wanneer u de modus OfficeExtend voor een AP toelaat. U kunt echter wel de link latency voor een bepaalde AP inschakelen of uitschakelen. Schakel om dit te doen de optie Link Latency inschakelen in (uitschakelen) of uit het vakje Enable Link Latency in op alle AP's > Details voor [geselecteerde AP] > Geavanceerd tabblad.

Stap 3. Selecteer Toepassen. Nadat u Toepassen hebt geselecteerd, herladen de AP opnieuw.

Stap 4. Nadat het AP zich bij de WLC herhaalt, is het AP in de OEAP modus.

Opmerking: We raden u aan om AP aan te sluiten bij veiligheid (algemeen gedefinieerd onder AP Beleid) zodat slechts geautoriseerde APs zich bij de WLC kunnen aansluiten. U kunt ook LSC AP-voorziening (Local Significant certificaatlevering) gebruiken.

Stap 5. Maak een FlexConnect Access Control List (ACL) om te definiëren welk verkeer centraal (Jeans) en lokaal (Permit) zal worden geschakeld.

Hier, hebt u het doel om lokaal al verkeer naar het netto 192.168.1.0/24 te veranderen.

Stap 6. Maak een FlexConnect-groep, ga naar ACL-afbeelding en ga vervolgens naar WLAN-ACL-making. Typ onder "Local Split ACL mapping" de WLAN-id en kies FlexConnect ACL. Klik vervolgens op Toevoegen.

Stap 7. Voeg AP aan de groep FlexConnect toe:

Verifiëren

1. Controleer de status en definitie van FlexConnect ACL:

c3504-01) >show flexconnect acl summary

ACL Name                         Status
-------------------------------- -------
Flex_OEAP_ACL                    Applied

(c3504-01) >show flexconnect acl detailed Flex_OEAP_ACL

Source Destination Source Port Dest Port
Index IP Address/Netmask IP Address/Netmask Prot Range Range DSCP Action
------ ------------------------------- ------------------------------- ---- ----------- ----------- ----- -------
1 0.0.0.0/0.0.0.0 192.168.1.0/255.255.255.0 Any 0-65535 0-65535 Any Permit
2 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0 Any 0-65535 0-65535 Any Deny

2. Controleer dat FlexConnect lokale switching is uitgeschakeld:

(c3504-01) >show wlan 17


WLAN Identifier.................................. 17
Profile Name..................................... FlexOEAP_TEST
Network Name (SSID).............................. FlexOEAP_TEST
Status........................................... Enabled
...
Interface........................................ management
...
FlexConnect Local Switching................... Disabled
FlexConnect Central Association............... Disabled
flexconnect Central Dhcp Flag................. Disabled
flexconnect nat-pat Flag...................... Disabled
flexconnect Dns Override Flag................. Disabled
flexconnect PPPoE pass-through................ Disabled
flexconnect local-switching IP-source-guar.... Disabled
FlexConnect Vlan based Central Switching ..... Disabled
FlexConnect Local Authentication.............. Disabled
FlexConnect Learn IP Address.................. Enabled
Flexconnect Post-Auth IPv4 ACL................ Unconfigured
Flexconnect Post-Auth IPv6 ACL................ Unconfigured
...
Split Tunnel Configuration
Split Tunnel................................. Disabled
Call Snooping.................................... Disabled
Roamed Call Re-Anchor Policy..................... Disabled
...

3. Controleer de configuratie van de FlexConnect-groep:

(c3504-01) >show flexconnect group summary

FlexConnect Group Summary: Count: 2
Group Name           # Aps
-------------------- --------

FlexConnect_OEAP_Group 2 
default-flex-group     0

(c3504-01) >show flexconnect group detail FlexConnect_OEAP_Group

Number of AP's in Group: 2

AP Ethernet MAC Name Status Mode Type Conflict with PnP
-------------------- -------------------- --------------- -------------- ---------- ------------------

70:db:98:e1:3e:b8 AP3800_E1.3EB8 Joined Flexconnect Manual No 
c4:f7:d5:4c:e7:7c AP9120_4C.E77C Joined Flexconnect Manual No

Efficient AP Image Upgrade ..... Disabled

Efficient AP Image Join ........ Disabled

Auto ApType Conversion........ Disabled

Master-AP-Mac Master-AP-Name Model Manual

Group Radius Servers Settings:
Type Server Address Port 
------------- ---------------- -------
Primary Unconfigured Unconfigured
Secondary Unconfigured Unconfigured

Group Radius/Local Auth Parameters :
Radius Retransmit Count......................... 3 (default)
Active Radius Timeout........................... 5 (default)

Group Radius AP Settings:
AP RADIUS server............ Disabled
EAP-FAST Auth............... Disabled
LEAP Auth................... Disabled
EAP-TLS Auth................ Disabled
EAP-TLS CERT Download....... Disabled
PEAP Auth................... Disabled
Server Key Auto Generated... No
Server Key.................. <hidden> 
Authority ID................ 436973636f0000000000000000000000
Authority Info.............. Cisco A_ID
PAC Timeout................. 0
HTTP-Proxy Ip Address....... 
HTTP-Proxy Port............. 0
Multicast on Overridden interface config: Disabled
DHCP Broadcast Overridden interface config: Disabled
Number of User's in Group: 0
FlexConnect Vlan-name to Id Template name: none
Group-Specific FlexConnect Local-Split ACLs :

WLAN ID SSID ACL 
-------- -------------------- ----- 
17 FlexOEAP_TEST Flex_OEAP_ACL 
Group-Specific Vlan Config:
Vlan Mode.................... Enabled 
Native Vlan.................. 100 
Override AP Config........... Disabled 
Group-Specific FlexConnect Wlan-Vlan Mapping:

WLAN ID Vlan ID 
-------- --------------------

WLAN ID SSID Central-Dhcp Dns-Override Nat-Pat

U kunt het verkeer opnemen op de AP-interface om te controleren of het verkeer gesplitst is op de AP.

Tip: voor probleemoplossing kunt u DTLS-encryptie uitschakelen om het gegevensverkeer in de capwap te zien insluiten.

Dit voorbeeld van de pakketvastlegging toont gegevensverkeer dat de "ontken" van ACL overeenkomt met de verklaringen die op WLC zijn gericht en gegevensverkeer dat de "vergunning" van ACL overeenkomt die lokaal op AP zijn geschakeld:

Opmerking: In normale scenario's, vertaalt AP netwerkadressen voor lokaal geschakeld verkeer omdat klink aan het netwerk van het bureau behoort, en de lokale apparaten bij het huisbureau weten niet hoe te om de cliëntesubnet te bereiken. AP gebruikt het IP adres dat in het lokale dienstvoorwerp van het huisbureau wordt gedefinieerd om het clientverkeer te vertalen.

Om te verifiëren dat AP de NAT uitvoerde, kunt u met de AP terminal verbinden en de "toon ip nat vertalingen"opdracht geven. Voorbeeld:

AP3800_E1.3EB8#show ip nat translations

TCP NAT upstream translations: 
(192.168.1.139, 1223, 192.168.1.2, 5000) => (192.168.1.99, 1223, 192.168.1.2, 5000) [*0 gw_h/nat/from_inet_tcp:0] i0 exp42949165
(192.168.1.139, 1095, 192.168.1.2, 5000) => (192.168.1.99, 1095, 192.168.1.2, 5000) [*0 gw_h/nat/from_inet_tcp:0] i0 exp85699
...

TCP NAT downstream translations: 
(192.168.1.2, 5000, 192.168.1.99, 1223) => (192.168.1.2, 5000, 192.168.1.139, 1223) [gw_h/nat/to_inet_tcp:0 *0] i0 exp42949165
(192.168.1.2, 5000, 192.168.1.99, 1207) => (192.168.1.2, 5000, 192.168.1.139, 1207) [gw_h/nat/to_inet_tcp:0 *0] i0 exp85654

Als u een gesplitste tunneling verwijdert, is al het verkeer centraal via de WLC geschakeld. Dit voorbeeld toont het Internet Control Message Protocol (ICMP) aan de bestemming 192.168.1.2, binnen de Capwap-tunnel: