CISCO Wireless Lan Controller und die Designfrage von AP

Es gibt einige Fragen zur Designlösung.

1. Der CAPWAP-Tunnel wird zwischen dem Controller und den Zugriffspunkten erstellt. Die Enden des Tunnels sind die "ap-management" -Schnittstelle des Controllers und die Verwaltungsschnittstelle des Access Points. Ich habe festgestellt, dass es die beste Vorgehensweise ist, AP und Controller in verschiedenen L2-Domänen zu haben, aber theoretisch scheint dies eine bessere Lösung zu sein. Welches ist richtig?

2. Eines der drahtlosen Netzwerke wird das Gast-WI-FI sein. Eine Sekretärin erstellt Zugriffsattribute. Ist es erforderlich, eine zusätzliche Schnittstelle (im Unternehmensnetzwerk) auf dem Controller zu erstellen und "Lobby Admin" Anmeldeinformationen zu erteilen, um ein solches Schema zu implementieren?

1. Das Einfügen der APs und des Controllers in dieselbe L2-Domäne ist die einfachste Lösung, da Sie nichts weiter tun müssen, damit sie sich finden. Wenn Sie die APs in ein anderes Subnetz stellen, müssen Sie entweder die DHCP-Option 43 im AP-Subnetz konfigurieren oder einen DNS-Eintrag für cisco-capwap-controller.DOMAIN-APs-GET-FROM.DHC eingeben. Früher war dies ein Cisco-LWAP-Controller.

2. Sie müssen der Sekretärin entweder Administrator- oder Lobby-Administratorzugriff auf den WLC gewähren, damit sie die Anmeldungen erstellen kann. Es wird keine zusätzliche Schnittstelle für Gast-WLAN benötigt, aber Sie können eine verwenden und diese zur besseren Isolierung an die DMZ anschließen.

Bearbeiten: Die DHCP-Optionsnummer wurde korrigiert, da @generalnetworkerror auf meinen fehlerhaften Speicher hinwies.

1. Es ist eher unwahrscheinlich, dass sich APs und der Controller im selben Subnetz befinden. Sie hätten wahrscheinlich irgendwo in Ihrer Organisation einen zentralen Controller, und die APs würden an Ports in verschiedenen IDF-Schränken angeschlossen, die mehrere Subnetze umfassen. Wenn die APs hochfahren, nehmen sie den über DHCP zugewiesenen Domänennamen und versuchen, CISCO-CAPWAP-CONTROLLER.domainname.com oder CISCO-LWAP-CONTROLLER.domainname.com aufzulösen und ihre CAPWAP- oder LWAP-Tunnel dort zurück zu tunneln. Dasselbe L2-VLAN über mehrere Switches und Amtsleitungen verteilt ist, ist von einem STP-POV aus gefährlich. Daher würde ich sagen, dass es eine schlechte Praxis ist, APs und Controller in derselben L2-Domäne zu haben.
2. Wenn Sie Ihrer Sekretärin keinen Zugriff auf den Controller gewähren möchten, lesen Sie die Verwendung des Cisco Guest Access-Servers. http://www.cisco.com/de/US/products/ps10160/index.html

Auf diese Weise kann die Sekretärin Benutzernamen und Passwörter für Gäste generieren sowie ihnen die Informationen per E-Mail senden (sie können sie auf ihrem Smartphone lesen und sich anmelden) und angeben, wie lange das Konto angemeldet bleiben soll. Auf diese Weise kennt niemand die PSK oder die generische Anmeldung mithilfe der Webauthentifizierung. Es wird auch empfohlen, das Open / Guest-WLAN-Netzwerk mit einem einfachen Kennwort zu verschlüsseln, um die Sicherheit der Benutzer zu gewährleisten.

1. Sie könnten versuchen, die APs und die Verwaltungsschnittstelle des Controllers in derselben L2-Domäne zu halten, aber es würde Ihnen nur Kopfschmerzen bereiten. Die Architektur ist so konzipiert, dass Sie APs in Ihrem Netzwerk auch über L3-Grenzen hinweg Plug-and-Play-fähig machen können. Die APs erkennen die Controller auf verschiedene Weise. Wir verwenden die DNS-Erkennung. (Fügen Sie einen A-Datensatz für "CISCO-CAPWAP-CONTROLLER.yourdomain.com" hinzu. Ich glaube, es gibt einen weiteren A-Datensatz, der hinzugefügt werden muss, aber er entgeht mir im Moment.)
2. Ich bin mir nicht sicher, ob ich diesen Teil der Frage zu 100% verstehe. Es hört sich so an, als würde eine Sekretärin die PSK für die Gäste festlegen. In diesem Fall würde ich Ihnen auf jeden Fall empfehlen, eine andere Schnittstelle zu verwenden, die keinen Zugriff auf den RFC 1918-Adressraum ermöglicht. Verwenden Sie einen externen DNS-Server. Dann müssen Sie dem Sekretär nur noch Zugriff auf den WLC gewähren, um die PSK der SSID zu ändern.

Es ist möglich, WLC und APs im selben Subnetz zu haben, dies ist jedoch unwahrscheinlich, da die Verwaltung insbesondere in großen Umgebungen oder bei häufiger Bereitstellung neuer Zugriffspunkte schwierig ist. Aus meiner Erfahrung: An kleinen Standorten mit 10 bis 20 APs und WLC vor Ort ist es einfacher, diese in dasselbe VLAN zu stellen. Bei größeren Installationen, bei denen Sie einen (oder mehrere redundante) zentralisierte WLC und viele APs haben, die (geografisch) verstreut, einfach zu konfigurieren und "sauber" sind, müssen Sie DNS für den Erkennungsprozess verwenden. Wenn Sie komplexere Netzwerke haben, entweder aufgrund spezifischer Anforderungen oder aufgrund eines schlechten Designs, können Sie die DHCP-Option 43 (oder die statische Konfiguration) verwenden.

Die Verwendung eines DNS-Eintrags ist eine einfache Lösung zum Erkennen des Controllers, insbesondere wenn Sie nur einen in Ihrer Domäne haben oder es Ihnen egal ist, welchem ​​WLC der AP beitritt. Ich verwende gerne herstellerspezifische DHCP-Optionen für den Erkennungsprozess, da dies einfacher ist als die manuelle Konfiguration deslwapp ap controller ip addressDies bietet jedoch mehr Kontrolle, insbesondere wenn Sie aus irgendeinem Grund keine unterschiedlichen Domänen verwenden können und unterschiedliche WLC-IPs an die APs senden möchten. Sie können bereichsbasierte Richtlinien mit der DHCP-Option 43 mit der IP-Adresse des Controllers für die VCIs (Vendor Class Identifiers) Ihrer Access Points erstellen. VCI wird in Option 60 vom DHCP-Client während der ersten DHCP-Erkennungssendung gesendet und zur Identifizierung der spezifischen Geräteklasse (daher der Name) verwendet. Für übereinstimmende VCIs sendet DHCP Option 43 mit 102 oder 241 Optionen, die Sie so konfigurieren, dass sie die IP-Adressen Ihrer Controller enthalten (und andere Clients sehen sie nicht).