Informationen zu FlexConnect auf dem Catalyst 9800 Wireless Controller

Download-Optionen

  • PDF     (2.2 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (2.0 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.9 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:22. Mai 2024
Dokument-ID:213945

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    Dieses Dokument enthält eine Beschreibung der FlexConnect-Funktion und ihrer allgemeinen Konfiguration auf 9800 Wireless Controllern.

    Hintergrundinformationen

    FlexConnect bezieht sich auf die Fähigkeit eines Access Point (AP), zu bestimmen, ob der Datenverkehr von den Wireless-Clients direkt auf AP-Ebene in das Netzwerk geleitet wird (lokales Switching) oder ob er zentral zum 9800-Controller geleitet wird (zentrales Switching).

    Local Switching vs Central Switching

    Voraussetzungen

    Anforderungen

    Es gibt keine spezifischen Anforderungen für dieses Dokument.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Cisco Catalyst 9800 Wireless Controller mitCisco IOS®-XE Gibraltar v 17.9.x

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Netzwerkdiagramm

    Dieses Dokument basiert auf folgender Topologie:

    Switching Examples

    Konfigurationen

    Dies ist das visuelle Schema der Konfiguration, die erforderlich ist, um das Szenario in diesem Dokument zu erreichen:

    Tags Configuration  

    Zur Konfiguration eines Secure Set Identifier (SSID) für das lokale Switching müssen die folgenden allgemeinen Schritte ausgeführt werden:

    1. WLAN-Profil erstellen/ändern
    2. Richtlinienprofil erstellen/ändern
    3. Richtlinien-Tag erstellen/ändern
    4. Flex-Profil erstellen/ändern
    5. Standort-Tag erstellen/ändern
    6. Richtlinien-Tag-Zuweisung zu AP

    In diesen Abschnitten wird die Konfiguration der einzelnen Elemente Schritt für Schritt erläutert. 

    WLAN-Profil erstellen/ändern

    Mithilfe der Informationen in diesem Leitfaden können Sie die drei SSIDs erstellen:

    Ihre SSID erstellen

    Wireless Networks

    Richtlinienprofil erstellen/ändern

    Schritt 1: Navigieren Sie zu .Configuration > Tags & Profiles > Policy Wählen Sie entweder den Namen eines bereits vorhandenen Eintrags aus oder klicken Sie auf+ Add (+ Hinzufügen), um einen neuen Eintrag hinzuzufügen.

    ProfileFlex1ProfileFlex1

    Wenn Sie  deaktivieren, wird diese Warnmeldung angezeigt. Klicken Sie auf  und fahren Sie mit der Konfiguration fort.Central SwitchingYes

    Disable Central Switching Warning Message

    Schritt 2: Wechseln Sie zur Registerkarte  und geben Sie das VLAN ein (es wird nicht in der Dropdown-Liste angezeigt, da dieses VLAN auf dem 9800 WLC nicht vorhanden ist).Access Policies Klicken Sie anschließend auf  .Save & Apply to Device

    Policy Profile VLAN

    Schritt 3: Wiederholen Sie den Vorgang für PolicyProfileFlex2.

    ProfileFlex2ProfileFlex2

    Policy Profile Access Policies

    Schritt 4: Stellen Sie für die zentral geschaltete SSID sicher, dass das benötigte VLAN auf dem 9800 WLC vorhanden ist. Ist dies nicht der Fall, müssen Sie es erstellen.

    Hinweis: In FlexConnect-APs mit lokal geschalteten WLANs wird der Datenverkehr am AP geschaltet, und die DHCP-Anfragen vom Client werden direkt über die AP-Schnittstelle an das kabelgebundene Netzwerk weitergeleitet. Da der AP keine SVI im Client-Subnetz hat, kann er keinen DHCP-Proxy nutzen. Daher hat die DHCP-Relay-Konfiguration (IP-Adresse des DHCP-Servers) auf der Registerkarte „Policy Profile“ (Richtlinienprofil) und „Advanced“ (Erweitert) keine Bedeutung für lokal geschaltete WLANs. In diesen Szenarien muss der Switch-Port das Client-VLAN zulassen. Wenn sich der DHCP-Server in einem anderen VLAN befindet, konfigurieren Sie den IP-Helper in der Client-SVI/dem Standardgateway, damit er weiß, wohin er die DHCP-Anfrage vom Client senden soll.

    Client-VLANs deklarieren

    Schritt 5: Erstellen Sie ein Richtlinienprofil für die zentrale SSID.

    Navigieren Sie zu .Configuration > Tags & Profiles > Policy Wählen Sie entweder den Namen eines bereits vorhandenen Eintrags aus oder klicken Sie auf , um einen neuen Eintrag hinzuzufügen.+ Add

    ProfileCentral1ProfileCentral1

    Policy Profile 2 VLAN

    Jetzt gibt es drei Richtlinienprofile.

    Policy Profiles Names

    CLI:

    # config t

    # vlan 2660
    # exit

# wireless profile policy PolicyProfileFlex1
# no central switching
# vlan 2685
# no shutdown
# exit

# wireless profile policy PolicyProfileFlex2
# no central switching
# vlan 2686
# no shutdown
# exit

# wireless profile policy PolicyProfileCentral1
# vlan VLAN2660
# no shutdown
# end

    Richtlinien-Tag erstellen/ändern

    Das Richtlinien-Tag ist das Element, mit dem Sie angeben können, welche SSID mit welchem Richtlinienprofil verknüpft wird. 

    Schritt 1: Navigieren Sie zu .Configuration > Tags & Profiles > Tags > Policy Wählen Sie entweder den Namen eines bereits vorhandenen Eintrags aus oder klicken Sie auf , um einen neuen Eintrag hinzuzufügen.+ Add 

    Managing Tags

    Schritt 2: Klicken Sie innerhalb des Richtlinien-Tags auf , wählen Sie in der Dropdown-Liste den Namen für aus, der dem Richtlinien-Tag hinzugefügt werden soll, und auch das , mit dem es verknüpft werden soll.+Add WLAN Profile Policy Profile Klicken Sie anschließend auf das Häkchen.

    Adding Policy Tag

    Mapping WLAN and Policy Profiles

    Wiederholen Sie den Vorgang für die drei SSIDs und klicken Sie anschließend auf .Save & Apply to Device

    Repeat Policy Tag Configuration

    CLI:

    # config t

# wireless tag policy PolicyTag1
# wlan Flex1 policy PolicyProfileFlex1
# wlan Flex2 policy PolicyProfileFlex2
# wlan Central1 policy PolicyProfileCentral1
# end

    Flex-Profil erstellen/ändern

    In der für dieses Dokument verwendeten Topologie ist zu beachten, dass beim lokalen Switching mit zwei verschiedenen VLANs zwei SSIDs vorhanden sind.  Innerhalb des Flex-Profils geben Sie das VLAN des AP (natives VLAN) und jedes andere VLAN an, das der AP kennen muss. In diesem Fall sind das die VLANs, die von den SSIDs verwendet werden. 

    Schritt 1: Navigieren Sie zu  und erstellen Sie entweder einen neuen Eintrag oder ändern Sie einen bereits vorhandenen Eintrag.Configuration > Tags & Profiles > Flex

    Flex Profile

    Schritt 2: Legen Sie einen Namen für das Flex-Profil fest und geben Sie das VLAN (ID des nativen VLAN) des AP an.

    Flex Profile Configuration

    Schritt 3: Navigieren Sie zur Registerkarte  und geben Sie das erforderliche VLAN an.VLAN

    In diesem Szenario befinden sich Clients in den VLANs 2685 und 2686. Diese VLANs sind auf dem 9800 WLC nicht vorhanden. Fügen Sie sie zum Flex-Profil hinzu, damit sie auf dem AP vorhanden sind.

    Flex Profile VLANs

    Flex Profile VLANs and Names

    Hinweis: Wenn Sie beim Erstellen des Richtlinienprofils einen VLAN-Namen anstelle der VLAN-ID ausgewählt haben, stellen Sie sicher, dass der VLAN-Name hier im Flex-Profil genau identisch ist.

      

    Wiederholen Sie den Vorgang für die erforderlichen VLANs.

    Flex Profile VLANs Configuration Results

    Beachten Sie, dass das für das zentrale Switching (Central Switching) verwendete VLAN nicht hinzugefügt wurde, da der AP es nicht kennen muss.

    CLI:

    # config t
    
# wireless profile flex FlexProfileLab
# native-vlan-id 2601
# vlan-name VLAN2685
# vlan-id 2685
# vlan-name VLAN2686
# vlan-id 2686
# end

    Standort-Tag erstellen/ändern

    Der Standort-Tag ist das Element, mit dem Sie angeben können, welcher AP-Beitritt und/oder welches Flex-Profil den APs zugewiesen wird. 

    Schritt 1: Navigieren Sie zu .Configuration > Tags & Profiles > Tags > Site Wählen Sie entweder den Namen eines bereits vorhandenen Eintrags aus oder klicken Sie auf , um einen neuen Eintrag hinzuzufügen.+ Add 

    Managing Tags

    Schritt 2: Deaktivieren Sie im Standort-Tag die Option  (jeder AP, der ein Standort-Tag mit deaktivierter Option  empfängt , wird in den FlexConnect-Modus konvertiert).Enable Local Site Enable Local Site Sobald diese Option deaktiviert ist, können Sie auch das auswählen.Flex Profile Klicken Sie anschließend auf .Save & Apply to Device

    Site Tag

    CLI:

    # config t
# wireless tag site FlexSite1
    # flex-profile FlexProfileLab
    # no local-site

    Richtlinien-Tag-Zuweisung zu AP

    Sie können ein Richtlinien-Tag direkt einem AP oder dasselbe Richtlinien-Tag gleichzeitig einer Gruppe von APs zuweisen. Wählen Sie den Eintrag, der für Sie geeignet ist.

    Richtlinien-Tag-Zuweisung per AP

    Navigieren Sie zu .Configuration > Wireless > Access Points > AP name > General > Tags Wählen Sie in der Dropdown-Liste die gewünschten Tags aus und klicken Sie auf .Site Update & Apply to Device

    Edit APs

      

    Hinweis: Beachten Sie, dass nach dem Ändern des Richtlinien-Tags auf einem AP die Verbindung zu den 9800 WLCs verloren geht und innerhalb von etwa 1 Minute wieder hergestellt wird.

    Hinweis: Wenn der AP im lokalen Modus (oder einem anderen Modus) konfiguriert ist und dann ein Standort-Tag mit deaktivierter Option  erhält, startet der AP neu und kehrt in den FlexConnect-Modus zurück.Enable Local Site 

     CLI:

    # config t
# ap <ethernet-mac-addr>
# site-tag <site-tag-name>
# end

    Richtlinien-Tag-Zuweisung für mehrere APs

    Navigieren Sie zu .Configuration > Wireless Setup > Advanced > Start Now

    Klicken Sie auf das Symbol  := und wählen Sie anschließend die Liste der APs aus, denen Sie die Tags zuweisen möchten. (Sie können auf den Abwärtspfeil neben  [oder einem anderen Feld] klicken, um die Liste der APs zu filtern.)Tag APsAP name

    Tag APs

    Wenn Sie die gewünschten APs ausgewählt haben, klicken Sie auf + Tag APs (+ APs taggen).

    Select APs

      

    Wählen Sie die Tags aus, die Sie den APs zuweisen möchten, und klicken Sie auf .Save & Apply to Device

    Tagging APs Save and Apply

    Hinweis: Beachten Sie, dass nach dem Ändern des Richtlinien-Tags auf einem AP die Verbindung zu den 9800 WLCs verloren geht und innerhalb von etwa 1 Minute wieder hergestellt wird.

    Hinweis: Wenn der AP im lokalen Modus (oder einem anderen Modus) konfiguriert ist und dann ein Standort-Tag mit deaktivierter Option  erhält, startet der AP neu und kehrt in den FlexConnect-Modus zurück.Enable Local Site 

    CLI:

    Es gibt keine CLI-Option, um mehreren APs dasselbe Tag zuzuweisen. 

    FlexConnect-ACLs

    Bei einem lokal geschalteten WLAN müssen Sie beachten, wie eine ACL auf die Clients angewendet wird.

    Bei einem zentral geschalteten WLAN wird der gesamte Datenverkehr im WLC freigegeben, sodass die ACL nicht an den AP übertragen werden muss. Wenn der Datenverkehr jedoch lokal geschaltet wird (FlexConnect – lokales Switching), muss die ACL (auf dem Controller definiert) an den AP übertragen werden, da der Datenverkehr am AP freigegeben wird. Dies geschieht, wenn Sie die ACL zum Flex-Profil hinzufügen. 

    FlexConnect-ACLs werden sowohl in Ausgangs- als auch in Eingangsrichtung angewendet. Daher müssen Sie den Datenverkehr im Client-Subnetz explizit zulassen oder ablehnen. Ein häufiger Fehler ist, dass Clients der Zugang zu ihrem Gateway verwehrt wird, weil die ACL nicht explizit genug ist. Weitere Details finden Sie in den Hinweisen zur Cisco Bug-ID CSCuv93592 .

    Zentral geschaltetes WLAN

    So wenden Sie eine ACL auf die Clients an, die mit einem zentral geschalteten WLAN verbunden sind:


    Schritt 1: Wenden Sie die ACL auf das Richtlinienprofil an. Rufen Sie nacheinander Configuration > Tags & Profiles > Policy (Konfiguration > Tags und Profile > Richtlinie) auf. Wählen Sie das Richtlinienprofil aus, das dem zentral geschalteten WLAN zugeordnet ist. Wählen Sie im Abschnitt „Access Policies > WLAN ACL“ (Zugriffsrichtlinien > WLAN-ACL) die ACL aus, die Sie auf die Clients anwenden möchten.

    ACL : Set the policy profile ACL

    Wenn Sie Central Web Authentication in einem zentral geschalteten WLAN konfigurieren, können Sie eine Umleitungs-ACL auf dem 9800 erstellen, als würde sich der AP im lokalen Modus befinden, da in diesem Fall alles zentral auf dem WLC verarbeitet wird.

    Lokal geschaltetes WLAN

    So wenden Sie eine ACL auf die Clients an, die mit einem lokal geschalteten WLAN verbunden sind:


    Schritt 1: Wenden Sie die ACL auf das Richtlinienprofil an. Gehen Sie zu Configuration > Tags & Profiles > Policy, und wählen Sie das Richtlinienprofil aus, das mit dem lokal geschalteten WLAN verknüpft ist. Wählen Sie im Abschnitt „Access Policies > WLAN ACL“ (Zugriffsrichtlinien > WLAN-ACL) die ACL aus, die Sie auf die Clients anwenden möchten.

    Configure the ACL in the policy profile

    Schritt 2 : Wenden Sie die ACL auf das Flex-Profil an. Rufen Sie nacheinander Configuration > Tags & Profiles > Flex (Konfiguration > Tags und Profile > Flex) auf. Wählen Sie das Flex-Profil aus, das den FlexConnect-APs zugewiesen ist. Fügen Sie im Abschnitt „Policy ACL“ (Richtlinien-ACL) die ACL hinzu und klicken Sie auf „Save“ (Speichern).

    Set the policy ACL in the flex profile

    Anwendung der ACL überprüfen

    Sie können überprüfen, ob die ACL auf einen Client angewendet wird, indem Sie zu Monitoring > Wireless > Clients navigieren. Wählen Sie dann den Client aus, den Sie überprüfen möchten. Überprüfen Sie im Abschnitt General > Security Information (Allgemeines > Sicherheitsinformationen) unter „Server Policies” (Server-Richtlinien) den Namen der „Filter-ID“: Dieser muss der angewendeten ACL entsprechen.

    Verify that the ACL is in place

    Bei FlexConnect-APs (lokales Switching) können Sie überprüfen, ob die ACL an den AP übertragen wird, indem Sie auf dem AP selbst den Befehl „#show ip access-lists“ eingeben.

    Verifizierung

    Mit diesen Befehlen können Sie die Konfiguration überprüfen.

    VLANs/Schnittstellenkonfiguration

    # show vlan brief
# show interfaces trunk
    # show run interface <interface-id>

    WLAN-Konfiguration

    # show wlan summary
    # show run wlan [wlan-name]
# show wlan { id <wlan-id> | name <wlan-name> | all }

    AP-Konfiguration

    # show ap summary
# show ap tag summary
# show ap name <ap-name> tag { info | detail }
    # show ap name <ap-name> tag detail
    
AP Name            : AP2802-01
AP Mac             : 0896.ad9d.143e

Tag Type             Tag Name
-----------------------------
Policy Tag           PT1
RF Tag               default-rf-tag
Site Tag             default-site-tag

Policy tag mapping
------------------
WLAN Profile Name                Policy Name                      VLAN                             Central Switching                IPv4 ACL                         IPv6 ACL
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
psk-pbl-ewlc                     ctrl-vl2602                      VLAN0210                         ENABLED                          Not Configured                   Not Configured

Site tag mapping
----------------
Flex Profile         : default-flex-profile
AP Profile           : default-ap-profile
Local-site           : Yes

RF tag mapping
--------------
5ghz RF Policy       : Global Config
2.4ghz RF Policy     : Global Config

    Tag-Konfiguration

    # show wireless tag { policy | rf | site } summary
# show wireless tag { policy | rf | site } detailed <tag-name>

    Profilkonfiguration

    # show wireless profile { flex | policy } summary
    # show wireless profile { flex | policy } detailed <profile-name>
# show ap profile <AP-join-profile-name> detailed

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    6.0
    22-May-2024
    Zentrale Zuordnung aus den Screenshots entfernt
    5.0
    22-May-2024
    hat einen Hinweis zu Flex-ACLs über die Richtung hinzugefügt, in die sie angewendet werden
    4.0
    28-Feb-2023
    ACL-Abschnitt hinzugefügt
    3.0
    11-Aug-2022
    Dieser Artikel wurde zur Erneuerung der Zertifizierung ausgewählt. Er wurde überarbeitet und an die aktuellen Standards von Cisco und CCW angepasst.
    1.0
    07-Dec-2018
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Tiago Antunes
      Customer Delivery Engineering Technical Leader
    • Karla Cisneros Galvan
      Cisco TAC Engineer
    • Noe Schyns
      Cisco TAC

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.