了解 Catalyst 9800 无线控制器上的 FlexConnect
简介
本文档介绍9800无线控制器上的FlexConnect功能及其常规配置。
背景信息
FlexConnect是指接入点(AP)的能力,用于确定来自无线客户端的流量是否直接放在AP级别的网络上(本地交换),或流量是否集中到9800控制器(集中交换)。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- Cisco Catalyst 9800无线控制器,带Cisco IOS®-XE Gibralto v17.9.x
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
网络图
本文档基于以下拓扑:
配置
以下是完成本文档场景所需的配置的可视方案:
要配置FlexConnect本地交换服务集标识符(SSID),请按照以下常规步骤操作:
- 创建/修改WLAN配置文件
- 创建/修改策略配置文件
- 创建/修改策略标签
- 创建/修改弹性配置文件
- 创建/修改站点标签
- 分配到AP的策略标记
以下部分逐一介绍了如何配置每个模块。
创建/修改WLAN配置文件
您可以使用此指南创建三个SSID:
创建/修改策略配置文件
步骤1:导航到Configuration > Tags & Profiles > Policy。选择已存在的名称,或者单击+ Add添加一个新名称。
ProfileFlex1
当您禁用Central Switching此警告消息时,单击Yes并继续配置。
第二步:转到Access Policies选项卡并键入VLAN(由于此VLAN不存在于9800 WLC上,因此您在下拉列表中看不到该VLAN)。之后,单击Save & Apply to Device。
第三步:对PolicyProfileFlex2重复相同步骤。
ProfileFlex2
第四步:对于集中交换的SSID,请确保其所需的VLAN存在于9800 WLC上,否则,请创建该VLAN。
第五步:为中心SSID创建策略配置文件。
导航到Configuration > Tags & Profiles > Policy。选择已存在的名称,或点击+ Add以添加新名称。
ProfileCentral1
因此,有三个策略配置文件。
CLI:
# config t
# vlan 2660
# exit # wireless profile policy PolicyProfileFlex1 # no central switching # vlan 2685 # no shutdown # exit # wireless profile policy PolicyProfileFlex2 # no central switching # vlan 2686 # no shutdown # exit # wireless profile policy PolicyProfileCentral1 # vlan VLAN2660 # no shutdown # end
创建/修改策略标签
Policy Tag是允许您指定哪个SSID链接到哪个策略配置文件的元素。
步骤1:导航到Configuration > Tags & Profiles > Tags > Policy。 选择已存在的名称,或点击+ Add以添加新名称。
第二步:在Policy Tag内,点击+Add,从下拉列表中选择要添加到Policy Tag的WLAN Profile名称和Policy Profile要将其链接到的名称。然后,单击复选标记。
对三个SSID重复上述操作,然后点击Save & Apply to Device。
CLI:
# config t # wireless tag policy PolicyTag1 # wlan Flex1 policy PolicyProfileFlex1 # wlan Flex2 policy PolicyProfileFlex2 # wlan Central1 policy PolicyProfileCentral1 # end
创建/修改弹性配置文件
在本文档所使用的拓扑中,请注意,本地交换中有两个SSID,具有两个不同的VLAN。 在Flex Profile内部,可以指定AP的VLAN(本地VLAN)以及AP需要了解的任何其他VLAN,在本例中为SSID使用的VLAN。
步骤1:导航到Configuration > Tags & Profiles > Flex并新建一个或修改已存在的项。
第二步:为Flex Profile定义名称并指定AP的VLAN(本地VLAN ID)。
第三步:导航到VLAN选项卡,指定所需的VLAN。
在本场景中,VLAN 2685和2686上存在客户端。这些VLAN在9800 WLC上不存在,请将其添加到Flex Profile中,以便它们在AP上存在。
对所需的VLAN重复上述步骤。
请注意,用于中央交换的VLAN未添加,因为AP不需要知道它。
CLI:
# config t
# wireless profile flex FlexProfileLab # native-vlan-id 2601 # vlan-name VLAN2685 # vlan-id 2685 # vlan-name VLAN2686 # vlan-id 2686 # end
创建/修改站点标签
Site Tag是允许您指定将哪个AP加入和/或Flex Profile分配给AP的元素。
步骤1:导航到Configuration > Tags & Profiles > Tags > Site。 选择已存在的名称,或点击+ Add以添加新名称。
第二步:在站点标签内,禁用Enable Local Site选项(接收禁用了Enable Local Site选项的站点标签的任何AP将转换为FlexConnect模式)。禁用之后,您还可以选择Flex Profile。然后,单击Save & Apply to Device。
CLI:
# config t # wireless tag site FlexSite1
# flex-profile FlexProfileLab
# no local-site
分配到AP的策略标记
您可以将策略标签直接分配给单个 AP,也可以同时将同一策略标签分配给一组 AP。可根据需要任选一种方式。
每个AP的策略标记分配
导航到Configuration > Wireless > Access Points > AP name > General > Tags。从Site下拉列表中,选择所需的标记并单击Update & Apply to Device。
CLI:
# config t # ap <ethernet-mac-addr> # site-tag <site-tag-name> # end
为多个AP分配策略标记
导航到Configuration > Wireless Setup > Advanced > Start Now。
点击Tag APs:=图标,然后选择您要分配标签的AP列表(您可以点击AP name[或其他任何字段]旁边的向下箭头以过滤AP列表)。
选择所需 AP 后,点击 + 为 AP 添加标签。
选择要分配给AP的标记,然后单击Save & Apply to Device。
CLI:
没有可将同一标签分配给多个 AP 的 CLI 选项。
Flexconnect ACL
当您具有本地交换的WLAN时,需要考虑的一件事是如何将ACL应用到客户端。
在集中交换的WLAN中,所有流量都会在WLC上释放,因此ACL不需要推送到AP。但是,当流量在本地交换(flex connect -本地交换)时,必须将ACL(在控制器上定义)推送到AP,因为流量在AP释放。在将ACL添加到弹性配置文件中即可完成此操作。
FlexConnect ACL应用于出口和入口方向。这要求您在允许或拒绝客户端子网中的流量时非常明确。由于没有足够明确的ACL,因而阻止客户端访问其网关是一种常见的错误。有关详细信息,请参阅思科漏洞ID CSCuv93592 
.
集中交换的WLAN
要将ACL应用于连接到集中交换WLAN的客户端,请执行以下操作:
第1步- 将ACL应用于策略配置文件。转至Configuration > Tags & Profiles > Policy,选择与集中交换WLAN关联的策略配置文件。在“访问策略”>“WLAN ACL”部分下,选择要应用于客户端的ACL。
如果您在集中交换的WLAN上配置集中式Web身份验证,您可以在9800上创建重定向ACL,就像AP处于本地模式一样,因为在这种情况下,所有内容都在WLC上集中处理。
本地交换的WLAN
要将ACL应用于连接到本地交换WLAN的客户端,请执行以下操作:
第1步- 将ACL应用于策略配置文件。转至Configuration > Tags & Profiles > Policy,选择与本地交换WLAN关联的策略配置文件。在“访问策略”>“WLAN ACL”部分下,选择要应用于客户端的ACL。
第2步- 将ACL应用于弹性配置文件。转至配置>标签和配置文件> Flex,选择分配给flex connect AP的flex配置文件。在“策略ACL”部分下,添加ACL并点击“保存”
检验ACL是否已应用
您可以转到Monitoring > Wireless > Clients并选择要验证的客户端,以验证该ACL是否已应用到客户端。在常规>安全信息部分中,在“服务器策略”部分中检查“过滤器ID”的名称:它必须与应用的ACL对应。
对于Flex Connect(本地交换)AP,可以通过在AP上键入命令“#show ip access-lists”来验证ACL是否已应用到AP。
确认
您可以使用下列命令验证配置。
VLAN/接口配置
# show vlan brief # show interfaces trunk
# show run interface <interface-id>
WLAN 配置
# show wlan summary
# show run wlan [wlan-name] # show wlan { id <wlan-id> | name <wlan-name> | all }
无线接入点配置
# show ap summary
# show ap tag summary
# show ap name <ap-name> tag { info | detail }
# show ap name <ap-name> tag detail
AP Name : AP2802-01 AP Mac : 0896.ad9d.143e Tag Type Tag Name ----------------------------- Policy Tag PT1 RF Tag default-rf-tag Site Tag default-site-tag Policy tag mapping ------------------ WLAN Profile Name Policy Name VLAN Central Switching IPv4 ACL IPv6 ACL ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- psk-pbl-ewlc ctrl-vl2602 VLAN0210 ENABLED Not Configured Not Configured Site tag mapping ---------------- Flex Profile : default-flex-profile AP Profile : default-ap-profile Local-site : Yes RF tag mapping -------------- 5ghz RF Policy : Global Config 2.4ghz RF Policy : Global Config
标签配置
# show wireless tag { policy | rf | site } summary
# show wireless tag { policy | rf | site } detailed <tag-name>
配置文件配置
# show wireless profile { flex | policy } summary
# show wireless profile { flex | policy } detailed <profile-name>
# show ap profile <AP-join-profile-name> detailed
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
6.0 |
22-May-2024 |
已从屏幕截图中删除中心关联 |
5.0 |
22-May-2024 |
添加了有关Flex ACL应用方向的注释 |
4.0 |
28-Feb-2023 |
添加了ACL部分 |
3.0 |
11-Aug-2022 |
本文旨在重新认证,并经过修改和修改,以符合当前思科和CCW标准。 |
1.0 |
07-Dec-2018 |
初始版本 |
反馈