瞭解 Catalyst 9800 無線控制器設定模型

簡介

本檔案介紹Catalyst 9800系列無線控制器上可用的標籤和設定檔的新組態模型。

背景資訊

本檔案提供各種GUI選項（精靈與功能表），可用來設計和部署9800 WLC到多個月台的服務SSID。 

如果您熟悉AireOS無線LAN控制器(WLC)，您會知道存取點(AP)和FlexConnect群組。

這些組允許您根據每個AP的AP組關聯來控制每個AP可用的功能（例如：哪些無線區域網[WLAN]或射頻[RF]配置檔案）。

在9800 WLC上，標籤用於控制每個AP可用的功能。標籤將分配給每個AP，在每個標籤內部，您可以找到應用到AP的所有設定。

有三個標籤：

• 策略標籤
• 網站標籤
• RF標籤

AP配置的視覺化方案：

策略標籤

策略標籤是WLAN配置檔案[服務集識別符號(SSID)]和策略配置檔案之間的連結。

• 策略配置檔案

在策略配置檔案中，您可以指定虛擬區域網(VLAN) ID、如果流量是集中交換或本地交換、移動錨點、服務品質(QoS)、計時器以及其他設定。

• SSID

在SSID中，您可以指定WLAN名稱、WLAN的安全型別、高級協定（如802.11k）以及其他設定。

網站標籤

站點標籤定義AP是處於本地模式還是Flexconnect模式。其它AP模式（如嗅探器、感測器、監控器和網橋）可直接在AP上配置。

站點標籤還包含應用於AP的AP加入配置檔案和Flex配置檔案。

•  AP加入配置檔案

在AP加入設定檔中，您可以指定無線存取點(CAPWAP)計時器的控制與布建、AP的遠端存取(Telnet/Secure Shell [SSH])、備份控制器組態等設定。

• 彈性設定檔

在Flex設定檔上，您有位址解析通訊協定(ARP)快取、VLAN/ACL對應等設定。

RF標籤

在RF標籤內，您可以選擇任何RF配置檔案或選擇使用全局RF配置。

•  2.4 GHz設定檔

允許您為2.4GHz頻段定義要使用的特定資料速率、傳輸功率控制(TPC)設定、動態通道分配(DCA)和某些其他無線電資源管理(RRM)設定。

• 5GHz設定檔

可讓您針對5GHz頻段，定義要使用的特定資料速率、傳輸功率控制(TPC)設定、動態通道指派(DCA)和某些其他無線電資源管理(RRM)設定。

預設情況下，為AP分配預設標籤（預設策略標籤、預設站點標籤、預設RF標籤），為預設標籤分配預設配置檔案（預設策略配置檔案、預設AP加入配置檔案、預設Flex配置檔案）。

每個設定檔的設定清單

如果您熟悉AireOS，則在WLAN配置下，會使用您為SSID配置所有特徵。在9800 WLC上，這些設定在WLAN配置檔案和策略配置檔案之間拆分。此外，在AireOS GUI上的全局AP配置頁面下看到的一些配置已移至AP加入配置檔案。您可以在此找到可在每個設定檔下設定的所有設定清單。

WLAN配置檔案

• 802.11k
• 頻帶選擇
• 廣播SSID
• 802.11v (BSS、DMS、TFS、WNM)
• CCX
• 非頻道掃描延期
• 涵蓋範圍空洞偵測(CHD)
• 使用者端關聯限制
• 診斷通道功能
• 傳送流量指示訊息(DTIM)
• 存取控制清單(ACL)
• 負載平衡
• 本地身份驗證設定
• 安全設定(PSK、802.1x、WebAuth)
• 媒體流設定
• 管理幀保護(MFP)
• 每個WLAN的802.11ac設定
• 點對點封鎖
• 無線電策略
• 漫遊語音客戶端重新錨點
• 靜態IP使用者端支援
• WLAN的非排程自動省電遞送(U-APSD)
• 工作組網橋(WGB)支援
• 通用AP
• Wifi直接連線
• Wi-Fi多媒體(WMM)
• 身份驗證清單（遠端身份驗證撥入使用者服務[RADIUS]伺服器）

策略配置檔案

• 驗證、授權及記帳(AAA)覆寫
• AAA策略
• 記帳清單
• 自動QoS
• 呼叫監聽
• 中央/本地交換
• CiscoTrustSec (CTS)安全群組存取控制清單(SGACL) 
• 資料連結ACL
• 說明
• 型別長度值(TLV)快取（動態主機配置協定[DHCP]、超文本傳輸協定[HTTP]）
• 空閒超時
• 空閒閾值
• 交換矩陣配置檔案
• Flex網路位址翻譯/連線埠位址翻譯(NAT/PAT) 
• Flex Split MAC ACL
• 基於Flex VLAN的中央交換
• IP網路型應用程式辨識(NBAR)通訊協定探索
• IPv4/v6 ACL
• IPv4 DHCP
• IPv4/IPv6 Flexible Netflow監視器
• 行動錨點
• 多點傳送VLAN
• 網路存取控制(NAC)
• 被動客戶端
• RADIUS效能分析
• 重新錨點
• 服務策略
• 階段作業逾時
• 作業階段啟始通訊協定(SIP)通話許可控制(CAC)
• 靜態IP行動化
• 訂戶策略名稱
• Umbrella引數對映
• 統一資源定位器(URL)過濾器
• VLAN
• WGB VLAN
• WGB廣播標籤

AP加入配置檔案

• CAPWAP備份
• CAPWAP後援
• CAPWAP重新傳輸
• CAPWAP計時器
• CAPWAP視窗
• 適用於AP的Cisco探索通訊協定(CDP)
• 核心傾印簡單式檔案傳輸通訊協定(TFTP)
• 國家/地區代碼
• 說明
• 2.4GHz/5GHz客戶端報告間隔
• 802.1x充當請求方的AP的憑證
• 擴展模組支援
• Hyperlocation
• 網際網路內容配接通訊協定(ICAP)
• 超巨型最大傳輸單位(MTU)狀態
• AP的鏈路聚合(LAG)
• 合法攔截
• 發光二極體(LED)狀態
• 連結加密
• 連結延遲
• 網格輪廓
• AP管理使用者
• 網路時間協定(NTP)
• 資料包捕獲配置檔案
• 乙太網供電(PoE)
• AP首選模式(IPv4/IPv6)
• 惡意程式檢測設定（遏制、最小接收訊號強度指示器[RSSI]、最小過渡時間、報告間隔） 
• SSH/Telnet
• 保留SSID
• 統計計時器
• 系統日誌
• 傳輸控制通訊協定-最大區段大小(TCP MSS)調整
• TFTP降級
• AP跟蹤配置檔案
• 啟用通用序列匯流排(USB)

彈性設定檔

•  ACL策略
• ARP快取
• CTS
• 說明
• 備用無線電介面關閉
• HTTP使用者端代理
• Flex AP的最小延遲連線
• 本地身份驗證引數
• Flex AP的組播引數
• 本徵VLAN ID
• OfficeExtended AP模式
• 預先下載
• 彈性（適用於Flex+Bridge AP）
• VLAN名稱對應

RF配置檔案

•  通話時間公平性
• 頻帶選擇設定（僅適用於2.4GHz配置檔案）
• Channel
• 使用者端網路偏好設定
• 覆蓋空洞檢測(CHD)設定
• 說明
• 僅限802.11n模式
• 高密度自動設定
• 高速漫遊(HSR)
• 負載平衡設定
• 費率
• 陷阱
• TX功率水準

  

必要條件

需求

本文件沒有特定需求。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 運行Cisco IOS® XE、Gilbraltar v16.10的Cisco Catalyst 9800無線控制器

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

網路圖表

本文件以此拓撲為基礎：

組態

宣告客戶端VLAN

開始任何配置之前，需要增加所需的VLAN（分配了無線客戶端的VLAN）。 

步驟 1.導航到Configuration > Layer2 > VLAN > VLAN > + Add。

步驟 2.輸入所需資訊。

對所有需要的VLAN重複步驟1和2。完成後，您可以繼續步驟3。

步驟 3.驗證資料介面中是否允許VLAN。

如果使用埠通道，請導航到Configuration > Interface > Logical > PortChannel name > General。 如果您看到它被配置為Allowed Vlan = All，則配置已完成。如果顯示Allowed VLAN = Vlan IDs，請增加所需的VLAN，然後點選Update & Apply to Device。

如果未使用埠通道，請導航到Configuration > Interface > Ethernet > Interface Name > General。 如果您看到它被配置為Allowed Vlan = All，則配置已完成。如果顯示Allowed VLAN = Vlan IDs，請增加所需的VLAN，然後點選Update & Apply to Device。

不需要變更：

需要增加VLAN ID：

 CLI：

# config t
# vlan <vlan-id>
# exit

# interface <interface-id>
# switchport trunk allowed vlan add <vlan-id>
# end

基於嚮導的配置-建議用於新的9800 WLC部署

對於Catalyst 9800 WLC安裝，您可以使用提供的配置嚮導指導您完成配置過程。

如果您需要在部署中使用RADIUS伺服器，可以首先使用AAA嚮導，然後選擇基本無線設定或高級無線設定。

如果在部署中未使用RADIUS伺服器，則可以直接轉到基本或高級無線設定。

AAA精靈

步驟 1.導航到Configuration > Security > AAA > + AAA Wizard。

步驟 2.啟用所需的伺服器型別，並輸入伺服器名稱（可以是IP位址或任何其他字串）、伺服器IP和共用密碼。之後，按一下Next。

步驟 3.輸入建立伺服器群組的資訊。確保將上一步中指定的伺服器增加到分配的伺服器。

步驟 4.啟用身份驗證並建立身份驗證方法。

導航到身份驗證頁籤並輸入所需資訊。完成後，點選儲存並應用於裝置。

基本無線設定

此精靈會引導您完成基本的無線設定。它允許您對AP功能進行分段。

使用基本無線設定嚮導的部署示例。

步驟 1.建立新位置。

導航到配置>無線設定>基本> +增加。

步驟 2.在「一般」標籤上輸入所需的資訊。

位置名稱=新位置的名稱

說明=位置的可選說明

位置型別=本地（本地模式AP）、Flex（FlexConnect模式AP）

客戶端密度=調整指定客戶端密度的RF配置。 

步驟 3.增加所需的WLAN。 

導航到無線網路頁籤並按一下+增加。

您可以選擇Define new從頭建立新的WLAN，或者從WLAN*下拉選單中選擇已建立的WLAN。

如果選擇Define new，則會顯示類似如下所示的選單，您可以在其中選擇SSID名稱、安全型別及其他SSID相關設定。完成新SSID的配置後，按一下儲存並應用於裝置。

步驟 4.選擇要應用於該SSID的VLAN（以及任何其他配置）。完成後，按一下複選標籤。

對所有需要的WLAN重複步驟3和4。

步驟 5.將配置分配給所需的AP。

導航到AP Provisioning頁籤，並選擇您要應用當前配置的AP。選擇後，將其從增加/選擇AP移到此位置上的AP。

步驟 6.要將配置應用到AP，請按一下Apply。

按一下Apply後，您可以看到建立了新位置。開始時，您會看到0個已加入AP，因為將配置應用到AP時，它們會重新啟動與控制器的關聯（它們會重新啟動CAPWAP隧道）。

對由此9800 WLC服務的所有位置重複到目前為止說明的所有步驟。

如果您需要向已建立的位置增加更多AP或WLAN，可以點選該位置並導航到相關頁籤進行所需的更改。

進階無線設定

此精靈會引導您完成進階無線設定。它允許您對AP功能進行更詳細的劃分。

步驟 1.啟動進階無線設定。

導航到配置>無線設定>高級>立即啟動。

步驟 2.決定您要建立的設定檔和標籤。

要建立任何配置檔案或標籤，請按一下+圖示。

要檢視或編輯已建立的標籤和配置檔案，請點選：=圖示轉到清單檢視。

步驟 3.AP標籤指派。

根據網路設計建立所有必要的配置檔案和標籤後，請將標籤分配給所需的AP。按一下標籤APs ：=圖示，在標籤後選擇要為其分配標籤的AP清單。

點選AP名稱[或任何其他欄位]旁邊的向下箭頭，過濾AP清單。

選擇完所需的AP後，按一下+標籤AP。

選擇要分配給AP的標籤，然後按一下Save & Apply to Device。 

基於選單的配置-建議用於已建立的9800 WLC部署

請選取需要建立或修改的特定元素，而不是使用精靈。

組態元素的視覺化表示。

9800 WLC上的AAA

建議的配置流程：

1. 增加RADIUS伺服器
2. 建立RADIUS群組
3. 建立AAA方法

增加RADIUS伺服器

步驟 1.導航到Configuration > Security > AAA > Servers/Groups > Servers > RADIUS > + Add。

步驟 2.輸入所有必要資訊。完成後，按一下Save & Apply to Device。

CLI：

# config t
# radius server server-name
# address ipv4 172.16.0.12 auth-port 1812 acct-port 1813
# key <shared-key>
# exit

# aaa server radius dynamic-author
# client 172.16.0.12 server-key cisco123
# end

建立RADIUS群組

步驟 1.導航到Configuration > Security > AAA > Servers/Groups > Servers > RADIUS > + Add。

步驟 2.輸入所需資訊，並確保將最近建立的伺服器移到分配的伺服器部分。

CLI：

# config t
# aaa group server radius server-group
# server name server-name
# end

建立AAA方法

步驟 1. 導航到Configuration > Security > AAA > AAA Method List > Authentication > + Add。

根據SSID所需的安全型別，您可以選擇身份驗證型別。

• 型別dot1x =用於802.1x SSID
• 型別login =用於WebAuth SSID

組型別設定允許您選擇必須將身份驗證傳送到建立的外部RADIUS伺服器還是本地。

• 組型別組=外部RADIUS伺服器
• 組型別local =本地身份驗證

步驟2. （選擇性）視需要建立授權/會計方法。

# config t
# aaa authentication login <login-method-name> group server-group
# aaa authentication dot1x <dot1x-method-name> group server-group

9800 WLC上的WLAN

建議的配置流程：

1. 建立您的SSID
2. 建立/修改策略配置檔案
3. 建立/修改策略標籤（將SSID連結到所需的策略配置檔案）
4. 如果需要，請為AP分配策略標籤

建立您的SSID

步驟 1.導航到Configuration > Wireless > WLANs > + Add。

步驟 2.輸入所有必要資訊（SSID名稱、安全型別等），完成後，按一下Save & Apply to Device。

CLI：

# config t
# wlan <profile-name> <wlan-id> <ssid-name>
# ----desired settings----
# no shutdown

建立/修改策略配置檔案

步驟 1.導航到配置>標籤和配置檔案>策略。 選擇一個已建立的名稱或點選+增加增加新名稱。確保已啟用，設定所需的VLAN和任何其他要自定義的引數。

步驟 2. 完成後，按一下Save & Apply to Device。

CLI：

# wireless profile policy new-policy-profile
# vlan <vlan-id_or_vlan-name>
# ------any other desired setting------
# no shutdown

建立/修改策略標籤

Policy標籤是允許您指定哪個SSID連結到哪個策略配置檔案的設定。 

步驟 1.導航到配置>標籤和配置檔案>標籤>策略。 選擇一個已建立的名稱或點選+增加增加新名稱。 

步驟 2.在策略標籤內部，按一下+Add，從下拉選單中選擇要增加到要連結到的策略標籤和策略配置檔案中的WLAN配置檔名稱。然後，按一下複選標籤。

步驟 3.對您要新增的所有WLAN重複步驟2。完成後，按一下Save & Apply to Device。 不要忘記為新策略標籤指定名稱。

CLI：

# config t
# wireless tag policy <policy-tag-name>
# wlan <ssid-name> policy <policy-profile-name>
# end

原則標籤指定

您可以直接將策略標籤分配給AP，也可以同時將同一策略標籤分配給AP組。選擇適合您的產品。

每個AP的策略標籤分配

導航到配置>無線>存取點> AP名稱>常規>標籤。 從Policy下拉選單中，選擇所需的策略標籤並按一下Update & Apply to Device。

 CLI：

# config t
# ap <ethernet-mac-addr>
# policy-tag <policy-tag-name>
# end

為多個AP分配策略標籤

導航到配置>無線設定>高級>立即啟動。

點選Tag APs ：= icon。 選擇要為其分配標籤的AP清單（可以點選AP名稱[或任何其他欄位]旁邊的向下箭頭，過濾AP清單）。

選擇完所需的AP後，按一下+標籤AP。

  

選擇要分配給AP的標籤，然後按一下Save & Apply to Device。 

CLI：

沒有CLI選項可以將相同的標籤分配給多個AP。 

9800 WLC上的AP加入設定

建議的配置流程：

1. 建立/修改AP加入配置檔案
2. （可選）建立/修改Flex配置檔案（如果AP處於Flex模式）
3. 建立/修改網站標籤
4. 如果需要，請為AP分配站點標籤

  

建立/修改AP加入配置檔案

步驟 1.導航到配置>標籤和配置檔案> AP加入。

選擇已建立的名稱或點選+增加增加新名稱。

步驟 2.根據需要修改輪廓。完成後，按一下Save & Apply to Device。

CLI：

# config t
# ap profile <ap-join-profile-name>
# -------desired settings------
# end

建立/修改Flex配置檔案（如果AP處於Flex模式）

步驟 1.導航到配置>標籤和配置檔案> Flex。

選擇一個已建立的名稱或點選+增加增加新名稱。

步驟 2.根據需要修改輪廓。完成後，按一下Save & Apply to Device。

CLI：

# config t
# wireless profile flex <name-flex-profile>
# ------desired settings------
# end

建立/修改網站標籤

Site標籤是允許您指定將哪個AP加入和/或Flex Profile分配給AP的設定。 

步驟 1.導航到配置>標籤和配置檔案>標籤>站點。 選擇一個已建立的名稱或點選+增加增加新名稱。 

步驟 2.在站點標籤內，選擇要增加到站點標籤的AP加入配置檔案。

如果您希望將AP轉換為接收此標籤的AP，請停用啟用本地站點選項。

停用後，您還可以選擇Flex Profile。 然後，按一下Save & Apply to Device。

如果計畫在本地模式下使用AP，請記住保持啟用本地站點。

CLI：

# config t
# wireless tag site <site-tag-name>
# ap-profile <AP-join-profile-name>
# flex-profile <flex-profile-name>
# [no] local-site
# end

原則標籤指定

您可以直接將策略標籤分配給AP，也可以同時將同一策略標籤分配給AP組。選擇適合您的產品。

每個AP的策略標籤分配

導航到配置>無線>存取點> AP名稱>常規>標籤。 從Site下拉選單中，選擇所需的Site Tag，然後按一下Update & Apply to Device。

 CLI：

# config t
# ap <ethernet-mac-addr>
# site-tag <site-tag-name>
# end

為多個AP分配策略標籤

導航到配置>無線設定>高級>立即啟動。

點選Tag APs ：= icon。選擇要為其分配標籤的AP清單（可以點選AP名稱[或任何其他欄位]旁邊的向下箭頭，過濾AP清單）。

選擇完所需的AP後，按一下+標籤AP。

  

選擇要分配給AP的標籤，然後按一下Save & Apply to Device。 

CLI：

沒有CLI選項可以將相同的標籤分配給多個AP。 

9800 WLC上的RF配置檔案

建議的配置流程：

1. 建立/修改2.4GHz/5GHz的射頻配置檔案
2. 建立/修改RF標籤 
3. 如果需要，請為AP分配RF標籤

建立/修改2.4GHz/5GHz的射頻配置檔案

步驟 1.導航到配置>標籤和配置檔案> RF。

選擇一個已建立的名稱或點選+增加增加新名稱。

步驟 2.視需要修改設定檔，每個頻段一個(802.11a/802.11b)。完成後，按一下Save & Apply to Device。

# config t
# ap dot11 { 5ghz | 24ghz} rf-profile <rf-profile-name>
# ------desired settings-----
# end

建立/修改RF標籤 

 RF標籤是允許您指定將哪些RF配置檔案分配給AP的設定。 

步驟 1.導航到配置>標籤和配置檔案>標籤> RF。 選擇一個已建立的名稱或點選+增加增加新名稱。 

步驟 2.在RF標籤內部，選擇要增加的RF配置檔案。按一下Save & Apply to Device。

 CLI：

# config t
# wireless tag rf <rf-tag-name>
# 5ghz-rf-policy <11a-rf-prof>
# 24ghz-rf-policy <11b-rf-prof>
# end

原則標籤指定

您可以將RF標籤直接分配給AP，也可以將相同的RF標籤同時分配給一組AP。選擇適合您的產品。

每個AP的策略標籤分配

導航到配置>無線>存取點> AP名稱>常規>標籤。 從Site下拉選單中，選擇所需的RF標籤，然後按一下Update & Apply to Device。

 CLI：

# config t
# ap <ethernet-mac-addr>
# rf-tag <rf-tag-name>
# end

為多個AP分配策略標籤

導航到配置>無線設定>高級>立即啟動。

點選Tag APs ：= icon。 選擇要為其分配標籤的AP清單（可以點選AP名稱[或任何其他欄位]旁邊的向下箭頭，過濾AP清單）。

選擇完所需的AP後，按一下+標籤AP。

  

選擇要分配給AP的標籤，然後按一下Save & Apply to Device。 

CLI：

沒有CLI選項可以將相同的標籤分配給多個AP。 

驗證

您可以使用這些命令驗證配置。

VLAN/介面配置

# show vlan brief
# show interfaces trunk
# show run interface <interface-id>

AAA配置

# show run aaa
# show aaa servers

WLAN配置

# show wlan summary
# show run wlan [wlan-name]
# show wlan { id <wlan-id> | name <wlan-name> | all }

AP配置

# show ap summary
# show ap tag summary
# show ap name <ap-name> tag { info | detail }

# show ap name <ap-name> tag detail

AP Name            : AP2802-01
AP Mac             : 0896.ad9d.143e

Tag Type             Tag Name
-----------------------------
Policy Tag           PT1
RF Tag               default-rf-tag
Site Tag             default-site-tag

Policy tag mapping
------------------
WLAN Profile Name                Policy Name                      VLAN                             Central Switching                IPv4 ACL                         IPv6 ACL
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
psk-pbl-ewlc                     ctrl-vl2602                      VLAN0210                         ENABLED                          Not Configured                   Not Configured

Site tag mapping
----------------
Flex Profile         : default-flex-profile
AP Profile           : default-ap-profile
Local-site           : Yes

RF tag mapping
--------------
5ghz RF Policy       : Global Config
2.4ghz RF Policy     : Global Config

標籤配置

# show wireless tag { policy | rf | site } summary
# show wireless tag { policy | rf | site } detailed <tag-name>

設定檔設定

# show wireless profile { flex | policy } summary
# show wireless profile { flex | policy } detailed <profile-name>
# show ap profile <AP-join-profile-name> detailed

常見問題

1. 我可以為不同的SSID使用相同的策略配置檔案嗎？

R=是

2. 是否可以在不同的策略標籤上使用相同的SSID？

R=是

3. 我是否可以在不同的策略標籤上使用相同的策略配置檔案？

R=是

4. 策略標籤中最多可以有多少個SSID？

R= 16

5. 是否需要修改AP上的三個標籤？

R=否，您可以建立一個新標籤並將其分配給AP，然後為其餘設定使用預設標籤，或者保持其他兩個標籤不變。