管理FlexConnect無線轉(zhuǎn)發(fā)模式

■ 河南 劉景云

編者按： 對(duì)于思科的無線解決方案來說，包括多種不同的類型，其中的Flex Connect是比較常用的技術(shù)，即無線控制器位于中心站點(diǎn)，分支站點(diǎn)存在很多AP，分支和中心之間通過WLAN連接，通過Flex Connect技術(shù)，中心可以控制分支機(jī)構(gòu)的AP，這些AP可以實(shí)現(xiàn)本地轉(zhuǎn)發(fā)，而無需經(jīng)過WLAN由中心WLC進(jìn)行轉(zhuǎn)發(fā)。因此說，F(xiàn)lex Connect是分支機(jī)構(gòu)和遠(yuǎn)程辦公室部署的無線解決方案。

FlexConnct轉(zhuǎn)發(fā)的特點(diǎn)

Flex Connect可通過WAN鏈路，在中心配置和控制分支機(jī)構(gòu)的AP，在分支機(jī)構(gòu)本地轉(zhuǎn)發(fā)數(shù)據(jù)，并執(zhí)行本地身份驗(yàn)證操作。當(dāng)然，還可設(shè)定AP中某些SSID的VLAN的流量由本地轉(zhuǎn)發(fā)，某些SSID的VLAN流量進(jìn)行中心轉(zhuǎn)發(fā)。這樣，如果和中心的無線控制器失去聯(lián)系，可以將這些流量進(jìn)行本地轉(zhuǎn)發(fā)，當(dāng)恢復(fù)聯(lián)系時(shí)，依然可以將相關(guān)的流量進(jìn)行中心轉(zhuǎn)發(fā)。

Flex Connect包含兩種運(yùn)行模式，包括連接模式（Connected Mode）和獨(dú)立模式（Standalone Mode），分別對(duì)應(yīng)可以連接到WLC和無法連接到WLC的情形。

注意：對(duì)于獨(dú)立模式來說，AP是可以獨(dú)立連接3A服務(wù)器進(jìn)行身份驗(yàn)證的。值得說明的是，中心轉(zhuǎn)發(fā)指的是數(shù)據(jù)流量通過WAPCAP隧道傳到WLC進(jìn)行轉(zhuǎn)發(fā)，本地轉(zhuǎn)發(fā)指的是數(shù)據(jù)流量經(jīng)過本地有線接口直接進(jìn)入本地交換網(wǎng)絡(luò)。

搭建簡(jiǎn)單實(shí)驗(yàn)環(huán)境

在本例中通過簡(jiǎn)單的實(shí)驗(yàn)網(wǎng)絡(luò)，來說明Flex Connect的實(shí)現(xiàn)方法。

在中心存在SW 1交換機(jī)，在其G0/1端口連接思科某款無線控制器，在交換機(jī)上執(zhí)行“ip routing”命令，開啟路由功能。執(zhí)行“interface FastEthernet 0/2”，“switchport trunk encapsulation dot1q”，“s w i t c h p o r t m o d e trunk”，“spanning-tree portfast trunk”命令，配置FastEthernet 0/2端口，該接口通過模擬網(wǎng)絡(luò)和分支機(jī)構(gòu)中的交換機(jī)連 接。 執(zhí) 行“interface GigabitEthernet 0/1”，“s w i t c h p o r t t r u n k encapsulation dot1q”，“switchport mode trunk”，“spanning-tree portfast trunk” 命 令， 配 置GigabitEthernet 0/1接口，其和WLC進(jìn)行連接。

執(zhí) 行“i n t e r f a c e F a s t E t h e r n e t 0/2 0”，“switchport access vlan 10”，“switchport mode access”，“spanningtree portfast”命 令，配置FastEthernet0/20接口，該端口和中心站點(diǎn)的客戶機(jī)連接。執(zhí)行“vlan 10”，“name Management”，“vlan 100”，“name linkclient”，“ip dhcp pool vlan 10”，“network 10.1.1.0 255.255.255.0 defaultroute 10.1.1.254”，“interface vlan 10”，“ip address 10.1.1.254 2 5 5.2 5 5.2 5 5.0”，“interface vlan 100”，“ip address 100.1.1.254 255.255.255.0”命令，配置VLAN 10/100的屬性以及地址池信息。執(zhí)行“ip route 200.1.1.0 255.255.255.0 100.1.1.253”命令，配置路由信息，讓分支站點(diǎn)的AP可以順利訪問WLC。在中心存在ISE服務(wù)器和網(wǎng)管主機(jī)，用來進(jìn)行管理和授權(quán)。

在分支機(jī)構(gòu)中存在AP1，其G0端口連接到SW2交換機(jī)上的G1/0/3端口上，兩臺(tái)交換機(jī)跨WAN進(jìn)行連接。在模擬環(huán)境中使用其G1/0/2端口和SW 1的F0/10端口連接。在該交換機(jī)上開啟路由功能，創(chuàng)建VLAN 10/100/200/300，其中的VLAN 10用于網(wǎng)管，VLAN 100用于管理AP，VLAN 200用于管理客戶，VLAN 300用來管理相關(guān)的服務(wù)器。執(zhí)行“interface GigabitEthernet 1/0/2”，“s w i t c h p o r t m o d e t r u n k”，“i n t e r f a c e GigabitEthernet 1/0/3”，“switchport trunk native vlan 100”，“switchport mode trunk” 命 令， 配置相應(yīng)的端口。執(zhí)行“interface vlan 100”，“ip address 100.1.1.253 255.255.255.0”，“ip route 0.0.0.0 0.0.0.0 10.1.1.254”命 令，配 置VLAN100的SVI以 及 路由信息。使用類似的命令，來配置VLAN 200/300的 SVI信 息。 執(zhí) 行“ip dhcp pool crachap”，“network 100.1.1.0 255.255.255.0 defaultroute 100.1.1.254”，“address 100.1.1.1 hardware-address xxxx.xxxx.xxx.xxxx”，“option 43 hex xxxx.xxxx.xxxx”命令，為分支站點(diǎn)的AP配置地址池，并指明中心站點(diǎn)WLC的位置。執(zhí)行“ip dhcp pool forclient”，“network 200.1.1.0 255.255.255.0 defaultroute 200.1.1.254”命令，配置客戶端地址池。

對(duì)分支站點(diǎn)AP進(jìn)行管理

圖1 AP屬性編輯窗口

經(jīng)過底層配置后，讓AP關(guān)聯(lián)到WLC上。打開WLC管理界面，選擇上述AP，在其編輯界面的“General”面板中的“AP Mode”列表中選擇“FlexConnect”項(xiàng)，讓其既可以進(jìn)行中心轉(zhuǎn)發(fā)，也可以支持本地轉(zhuǎn)發(fā)。在WLC管理界面工具欄上點(diǎn)擊“WLAN”按鈕，在“Create New”欄右側(cè)點(diǎn)擊“Go”按鈕，創(chuàng)建新的WLAN，輸入其名稱（例如“FlexConnect1”）和SSID信息等內(nèi)容。點(diǎn)擊“Apply”按鈕，在其屬性窗口中的“General”面板中 的“Status”欄 中 選 擇“Enabled”項(xiàng)將其激活。對(duì)于AP來說，如果其開啟了很多個(gè)SSID，并且不同的SSID對(duì)應(yīng)不同的VLAN，那么當(dāng)其開啟了Flex Connect之后，與其連接的交換機(jī)的端口必然需要開啟Trunk，這樣不同VLAN的流量就會(huì)經(jīng)由該Trunk通道接入有線網(wǎng)絡(luò)。在頂部工具欄上點(diǎn)擊“CONTROLLER”項(xiàng)，在 左側(cè) 選 擇“Interfaces”項(xiàng)，在右側(cè)點(diǎn)擊“New”按鈕，創(chuàng)建名為“vlan100”的接口，使其和VLAN100綁定，并為其配置合適的IP（例如“100.1.1.252”），網(wǎng)關(guān)（例如“100.1.1.253”），DHCP 服 務(wù)器等信息。

創(chuàng)建名為“denynet”的接口，使其和VLAN 500綁定，其地址隨意設(shè)置，主要用于防止用戶隨意接入。注意，AP通過DHCP獲取IP的VLAN只能是Native VLAN，便于其得到地址和WLC進(jìn)行通訊。在上述SW 2交換機(jī)上執(zhí)行“sh run inter g1/0/3”命令，可以看到其通過VLAN 10得到地址并注冊(cè)到WLC上。在WLC管理界面打開AP屬性窗口，在“FlexConnect”面板（如圖1）中選擇“VLAN Support”項(xiàng)，開啟AP的Trunk功能。在“Native VLAN”欄中輸入本地 VLAN編號(hào)（例如“100”），點(diǎn)擊“VLAN Mapping”按鈕，查看該AP的所有的SSID在中心站點(diǎn)映射的VLAN信息，可以根據(jù)需要進(jìn)行調(diào)整。點(diǎn)擊“Apply”按鈕保存信息。

管理和配置FlexConnect組

圖2 默認(rèn)組屬性窗口

當(dāng)然，如果使用FlexConnect技 術(shù) 的AP比較多，就需要使用FlexConnect Group方式進(jìn)行集中配置。建議為每個(gè)分支機(jī)構(gòu)創(chuàng)建一個(gè)FlexConnect Group，把相關(guān)的AP都放進(jìn)去，之后在該FlexConnect Group中執(zhí)行注冊(cè)激活Trunk/設(shè)置Native VLAN/執(zhí)行VLAN映射/設(shè)置Radius服務(wù)器等操作。如果AP無法聯(lián)系WLC以及3A服務(wù)器等設(shè)備，也可以在AP中設(shè)置認(rèn)證策略。

在WLC管理界面頂部點(diǎn)擊“WIRELESS”項(xiàng)，在左側(cè)選擇“FlexConnect Groups”項(xiàng)，在右側(cè)點(diǎn)擊“New”按鈕，輸入新的FlexConnect Group的組名（例如“FCG1”）。

注意:所有的AP都會(huì)默認(rèn)放入名為“default-flexgroup”的組中。

在該組中點(diǎn)擊“FlexConnect AP”鏈接，選擇所需的AP，在打開窗口中的“New Group Name”列表中選擇上述“FCG1”組名，點(diǎn)擊“Move”按鈕，可以將這些AP移動(dòng)到新建的組中。這里為了簡(jiǎn)單起見，使用默認(rèn)組。

在該組的編輯界面的“WAN VLAN mapping” 面板（如 圖 2）中 選 擇“VLAN Support”項(xiàng)，激活該組中的所有AP的Trunk功能。在“Native VLAN ID”欄中輸入“100”，設(shè) 置 所 有 AP的本地VLAN編號(hào)。在上述名為“FlexConnect1”的 WLAN的屬性窗口中的“General”面 板 中 的“Interface/Interface Group” 列 表中 選 擇“vlan100”接 口。在“Security”面 板 中 的“Layer2”標(biāo)簽中的“PSK”欄中選擇“Enable”項(xiàng)，輸入預(yù)共享密鑰。

在“Advanced” 面板 中 的“FlexConnect Local Switch”欄中選擇“Enabled”項(xiàng)，表示該WLAN的流量是本地轉(zhuǎn)發(fā)的。當(dāng)分支站點(diǎn)客戶端進(jìn)行連接時(shí)，就會(huì)進(jìn)入VLAN100網(wǎng)絡(luò)。

注意：如果AP本地不存在這個(gè)VLAN（例如VLAN 500）的話，就會(huì)進(jìn)入交換機(jī)所配置的Native VLAN。

如 果 在“Interface/Interface Group”列表中選擇“denynet”接口，那么在客戶端連接時(shí)，因?yàn)榉种P中根本沒有與之關(guān)聯(lián)的VLAN，那么客戶端就無法獲取可用的IP。也就是說，在WLC上配置的VLAN，在分支站點(diǎn)AP上也必須存在同樣的VLAN，在分支交換機(jī)上還必須存在相應(yīng)的VLAN/Trunk/Native VLAN/SVI等信息，客戶端才可以順利接入網(wǎng)絡(luò)。

使用認(rèn)證實(shí)現(xiàn)客戶安全接入

為了實(shí)現(xiàn)更好的安全控制，可以使用3A服務(wù)器來實(shí)現(xiàn)。在WLC管理界面頂部點(diǎn)擊“SECURITY”項(xiàng)，在左側(cè)選擇“AAA”-“RADUIS”-“Authentication” 項(xiàng)，在右側(cè)點(diǎn)擊“New”按鈕，在“Server IP Address”欄中輸入ISE服務(wù)器的地址（例 如 10.1.1.30），在“Shared Secret”欄中輸入認(rèn)證密碼。在“Support for CoA”列表中選擇“Enabled”項(xiàng)。在左側(cè)選擇“Accounting”項(xiàng)，點(diǎn)擊“New”按鈕，輸入相同的ISE服務(wù)器地址和密碼（如圖3）。

圖3 設(shè)置3A服務(wù)器地址

再按照上述方法，在WLC中創(chuàng)建名為“Flexconnect2”的WLAN，使其和名為“SSID2”的SSID綁定。然后將其激活，在其屬性界 面 中 的“Interface/Interface Group” 列 表中 選 擇“denynet”接 口，在“Security”面板中看到其默認(rèn)采用的就是DOT1X方 式，在“AAA Server”標(biāo)簽 中 的 的“Server1” 欄中選擇上述3A服務(wù)器地址。在“Advanced”面板中的“Allow AAA Override”欄中選擇“Enabled”項(xiàng)，在“FlexConnect Local Auth”欄中選擇“Enabled”項(xiàng)。

打 開 上 述“defaultflex-group”的組編輯界面，在“WLAN VLAN mapping”面板中如果選擇“Override VLAN on AP”項(xiàng)，表示禁止在分支站點(diǎn)的AP配置VLAN等信息，只允許在WLC上進(jìn)行配置，之后將配置信息推送給AP。如果不選擇該項(xiàng)，那么既可以在WLAN上配置也可以在AP上配置，而且AP優(yōu)先級(jí)為高。在“WLAN VLAN Mapping”欄中輸入上述WLAN的ID，在“VLAN ID”欄中輸入“200”，點(diǎn)擊“Add”按鈕，表示在WLC上創(chuàng)建了VLAN 200，并將兩者進(jìn)行映射，之后將其推送到分支站點(diǎn)的AP上，使其也擁有該VLAN。

進(jìn)入分支站點(diǎn)AP管理界 面，執(zhí) 行“sh ip inter brie”命令，可以看到已經(jīng)創(chuàng)建了該VLAN。如果沒有授權(quán)或者授權(quán)了不存在的VLAN，在默認(rèn)情況下，當(dāng)客戶連接到該WLAN后，都會(huì)自動(dòng)進(jìn)入VLAN 200中。

注意：關(guān)于配置的優(yōu)先級(jí)是存在順序的，即從3A Override授 權(quán)/Override VLAN on AP/AP/FlexConnect Group/WLAN下映射接口為序，其優(yōu)先級(jí)依次降低。

登 錄 到ISE管 理界面，在工具欄上點(diǎn)擊“Administration”-“Network Devices”項(xiàng)，點(diǎn)擊“Add”按鈕，分別添加AP以及WLC設(shè)備。

點(diǎn) 擊 菜 單“Policy”-“Results” 項(xiàng)， 在 左 側(cè)選 擇“Authorization”-“Authorization Profiles”項(xiàng)，在右側(cè)點(diǎn)擊“Add”按鈕，添加所需的授權(quán)規(guī)則。 點(diǎn) 擊 菜 單“Policy”-“Authorization”項(xiàng)，在列表中添加合適的規(guī)則，例如針對(duì)指定名稱的SSID授予其可以連接到VLAN 200等。這樣，當(dāng)分支站點(diǎn)的用戶連接到“SSID2”后，就可以進(jìn)入VLAN 200中了。

值得說明的是，不管采用何種方法，要想順利連接，必須分支站點(diǎn)的AP上創(chuàng)建相應(yīng)的VLAN方可。

當(dāng)然，為了解決授權(quán)了不存在的VLAN，客戶也可以連接的問題，可以換一種方法來解決，只需打開“ACL Mapping”面板，在“AAA VLAN-ACL mapping”標(biāo)簽中的“Vlan Id”欄中輸入具體的VLAN號(hào)，直接點(diǎn)擊“Apply”按鈕，也可以在分支站點(diǎn)AP上創(chuàng)建了指定的VLAN。

解析基于中心的轉(zhuǎn)發(fā)模式

在上述名為“Flexconnect2”的 WLAN的屬性窗口中的“Advanced”面板中選擇“Vlan based Central Switching”項(xiàng)，表示啟用基于中心轉(zhuǎn)發(fā)的VLAN模式。即針對(duì)該WLAN的一部分流量可以中心轉(zhuǎn)發(fā)另一部分可以本地轉(zhuǎn)發(fā)。

在連接模式下（即可以達(dá)到中心站點(diǎn)WLC和RADIUS服務(wù)器）下，而且WLAN關(guān)聯(lián)的是不可達(dá)的接口（例如“denynet”）情況下，如果RADIUS授權(quán)的VALN只存在于WLC本地，那么實(shí)際轉(zhuǎn)發(fā)的是RADIUS授權(quán)的Vlan，使用的是中心轉(zhuǎn)發(fā)和中心認(rèn)證。

如果RADIUS授權(quán)的VALN同時(shí)存在于WLC和分支站點(diǎn)的AP本地，或者其只存在于分支站點(diǎn)AP本地，那么實(shí)際轉(zhuǎn)發(fā)的是RADIUS授權(quán)的Vlan，使用的都是中心轉(zhuǎn)發(fā)和AP本地認(rèn)證。如果RADIUS授權(quán)的Vlan在WLC和分支站點(diǎn)AP上都不存在，那么實(shí)際轉(zhuǎn)發(fā)的是與該WLAN關(guān)聯(lián)的不可達(dá)的接口，使用的是中心轉(zhuǎn)發(fā)和中心認(rèn)證。如果RADIUS沒有授權(quán)Vlan，那么實(shí)際轉(zhuǎn)發(fā)的是不可達(dá)的接口，使用的是中心轉(zhuǎn)發(fā)和AP本地認(rèn)證。

對(duì)于獨(dú)立模式（即中心站點(diǎn)WLC不可達(dá)，但是RADIUS服務(wù)器可達(dá)），而且WLAN關(guān)聯(lián)的是不可達(dá)接口情況下，如果RADIUS授權(quán)的VLAN存在于AP本地，那么實(shí)際轉(zhuǎn)發(fā)的就是該VLAN。如果RADIUS授權(quán)的VALN在AP上不存在或者根本沒有授權(quán)的話，那么實(shí)際轉(zhuǎn)發(fā)的都是不可達(dá)的接口。

對(duì)于連接模式來說，均通過WLC進(jìn)行認(rèn)證。而且對(duì)于獨(dú)立模式來說，采用的都是中心認(rèn)證和AP本地轉(zhuǎn)發(fā)方式。當(dāng)使用了不同的轉(zhuǎn)發(fā)功能后，在WLC管理界面頂部點(diǎn)擊“MONITOR”項(xiàng)，在左側(cè)選擇“Clients”項(xiàng)，在右側(cè)選擇某個(gè)客戶的MAC地址項(xiàng)，在“Data Switching”和“Authentication”欄中顯示數(shù)據(jù)轉(zhuǎn)發(fā)方式和認(rèn)證模式。

對(duì)于獨(dú)立模式來說，均通過本地AP進(jìn)行認(rèn)證。

配置FlexConnect訪問控制列表

為了實(shí)現(xiàn)訪問控制，可以用ACL列表約束客戶行為。對(duì)于FlexConnect來說，需要使用專用的ACL列表。之后需要將FlexConnect訪問列表推送到AP上，才可以讓其發(fā)揮作用。在WLC管理界面上部點(diǎn)擊“WIRELESS”項(xiàng)，在左側(cè)選擇“FlexConnect ACLs”項(xiàng)，在右側(cè)點(diǎn)擊“New”按鈕，輸入ACL列表名稱（例如“FCacl”），來創(chuàng)建該 ACL。在列表中點(diǎn)擊該ACL項(xiàng)目，在其編輯界面點(diǎn)擊“Add New Rule”按鈕，在規(guī)則編輯窗口中輸入其序號(hào)、源等。

例如，本規(guī)則是禁止其訪問某個(gè)IP。在創(chuàng)建一個(gè)規(guī)則，作用是放行所有流量。打開上述默認(rèn)FlexConnect Group默認(rèn)組編輯窗口，在“ACL mapping”面板中的“AAA VLAN-ACL mapping”標(biāo)簽（如圖4）中標(biāo)簽中的“Vlan Id”欄中輸入具體的VLAN號(hào)，點(diǎn)擊“Add”按鈕，在其下選擇對(duì)應(yīng)的ACL列表即可。這樣，即可將這些ACL列表推送到AP上。

注 意：如 果 在“Ingress ACL”和“Egress ACL”列表中選擇“none”項(xiàng)，點(diǎn)擊“Apply”按鈕，就相當(dāng)于在AP上創(chuàng)建了指定的VLAN。

圖3 設(shè)置3A服務(wù)器地址

也可以通過授權(quán)方式來使用ACL列表，方法是在“Policies” 面 板 中 的“Policy ACL”列表中選擇所需的 ACL項(xiàng)，點(diǎn)擊“Add”按鈕，就可以將其放置到AP上。之后在ISE管理界 面 中 點(diǎn) 擊“Policy”-“Results”項(xiàng)，在 左 側(cè)選 擇“Authorization”-“A u t h o r i z a t i o n Profiles”項(xiàng)，點(diǎn)擊“Add”按鈕創(chuàng)建新的授權(quán)規(guī)則，在“Common Tasks”欄中選擇“Airespace ACL Name”欄中輸入和目標(biāo)ACL相同的名稱。這樣，當(dāng)客戶端連接到AP后，就會(huì)受到該ACL的控制。

使用隧道分割，實(shí)現(xiàn)靈活訪問

利 用FlexConnect的隧道分割技術(shù)，可將由中心站點(diǎn)獲取的IP通過NAT/PAT映射到本地IP上，實(shí)現(xiàn)既可訪問中心站點(diǎn)也可訪問本地站點(diǎn)的要求。在WLC管理界面創(chuàng)建名 為“Tunnel1” 的 WLAN，使其和名為“SSIDTunnel”的SSID綁定。在其屬性窗口中的“General”面板中的“Interface/Interface Group” 列 表 中 選 擇“Management”項(xiàng)，即使用用于管理的Vlan（這里為Vlan 10）。按照上述方法使用預(yù)共享模式，輸入對(duì)應(yīng)密鑰。

在“Advanced”面 板 中不 要 選 擇“FlexConnect Local Switching” 項(xiàng)，使其流量既可中心轉(zhuǎn)發(fā)，也可本地轉(zhuǎn)發(fā)。在客戶端使用Cisco AnyConnect Secure Mobility Client等工具連接該SSID，雖然可以連接成功，可以訪問中心站點(diǎn)地址，但在訪問分支站點(diǎn)的某個(gè)網(wǎng)絡(luò)設(shè)備（例如其IP為192.138.1.100等）時(shí)卻失敗。為此可按照上述方法創(chuàng)建一個(gè)FlexConnect ACL 列 表（例 如“FCA2”），在其中創(chuàng)建一條規(guī)則，在“Source”列 表 中 選 擇“Any”， 在“Destination”列表中選擇“IP Address”項(xiàng)，輸入本地目標(biāo)地址（例如“192.138.1.100”），在“Action”列 表 中 選 擇“Permit”項(xiàng)。

這樣，可對(duì)指定的流量進(jìn)行本地轉(zhuǎn)發(fā)。在上述默認(rèn)“default-flex-group”的組編 輯 界 面 中 的“ACL Mapping”面板中打開“WLANACL mapping” 標(biāo) 簽， 在“Local Split ACL mapping”欄中的“WLAN ID”欄中輸入上述名為“Tunnel1”的WLAN的 編 號(hào)，在“Local Split ACL”列表中選擇上述FlexConnect ACL項(xiàng)。點(diǎn)擊“Add”按鈕，添加。這樣，就實(shí)現(xiàn)了隧道分割功能。