Есть пара вопросов по дизайнерскому решению.
Туннель CAPWAP создается между контроллером и точками доступа. Концами туннеля являются интерфейс контроллера «ap-management» и интерфейс управления точки доступа. Я обнаружил, что использование AP и контроллера в разных доменах L2 - это лучшая практика, но в теории это кажется лучшим решением. Что правильно?
Одной из беспроводных сетей станет гостевой WI-FI. Секретарь создаст атрибуты доступа. Требуется ли создать дополнительный интерфейс (в корпоративной сети) на контроллере и предоставить учетные данные «Lobby Admin» для реализации такой схемы?
Ответы:
Поместить точки доступа и контроллер в один и тот же домен L2 - самое простое решение, так как вам не нужно ничего делать, чтобы они нашли друг друга. Если вы помещаете точки доступа в другую подсеть, то вам нужно либо настроить параметр DHCP 43 в подсети точек доступа, либо ввести запись DNS для cisco-capwap-controller.DOMAIN-APs-GET-FROM.DHC. Раньше это был cisco-lwapp-controller.
Вам нужно предоставить секретарю доступ администратора или лоббиста к WLC, чтобы они могли создавать логины. Для гостевого Wi-Fi не требуется дополнительный интерфейс, но вы можете использовать его и подключить к DMZ для лучшей изоляции.
Изменить: Исправлен номер опции DHCP, так как @generalnetworkerror указал на мою неисправную память.
источник
Это позволяет секретарю генерировать имена пользователей и пароли для гостей, а также отправлять им по электронной почте информацию (они могут прочитать ее на своих смартфонах и войти в систему) и указать период времени, в течение которого учетная запись будет оставаться в системе. Таким образом, никто не знает PSK или общий логин с использованием веб-аутентификации. Также рекомендуется шифровать открытую / гостевую wifi-сеть простым паролем для обеспечения безопасности пользователя.
источник
источник
CISCO-LWAPP-CONTROLLER
. Он использовался для более старых версий (до 5.2), но теперь того, чтоCISCO-CAPWAP-CONTROLLER
вы упомянули в своем ответе, достаточно.Можно иметь WLC и точки доступа в одной подсети, но маловероятно, поскольку им трудно управлять, особенно в больших средах или при частом развертывании новых точек доступа. Из моего опыта: в небольших местах, где у вас есть 10-20 точек доступа и WLC на месте, их проще разместить в одной VLAN. В больших установках, где у вас есть один (или несколько избыточных) централизованных WLC и много точек доступа, которые (географически) разбросаны, легко настраиваются и «чисты», решение заключается в использовании DNS для процесса обнаружения. Если у вас более сложные сети, либо из-за особых требований, либо из-за плохой конструкции, вы можете использовать опцию DHCP 43 (или статическую конфигурацию).
Использование DNS-записи - это простое решение для обнаружения контроллера, особенно если у вас есть только один в вашем домене или вам все равно, к какому WLC присоединится точка доступа. Мне нравится использовать специфичные для поставщика DHCP параметры для процесса обнаружения, поскольку это проще, чем настраивать вручную
lwapp ap controller ip address
но дает больше контроля, особенно когда вы не можете использовать разные домены по какой-то причине и хотите иметь возможность отправлять разные IP-адреса WLC на точки доступа. Вы можете создать политику на основе области, в которой есть опция DHCP 43 с IP-адресом контроллера для VCI (идентификаторов классов поставщиков) ваших точек доступа. VCI отправляется в опции 60 клиентом DHCP во время начальной широковещательной рассылки DHCP и используется для идентификации определенного класса устройств (отсюда и название). Для совпавших VCI DHCP отправит опцию 43 с 102 или 241 допусками, которые вы настроите для хранения IP-адресов ваших контроллеров (и другие клиенты их не увидят).источник