CISCO Kablosuz Lan Kontrolörü ve AP'nin tasarım sorusu

Tasarım çözümü hakkında birkaç soru var.

1. Kontrolör ve erişim noktaları arasında CAPWAP tüneli oluşturulur. Tünelin uçları, denetleyicinin "ap yönetimi" arayüzü ve erişim noktasının yönetim arayüzüdür. Farklı L2 alanlarında AP ve Denetleyiciye sahip olmanın en iyi uygulama olduğunu keşfettim, ancak teoride bu daha iyi bir çözüm gibi görünüyor. Hangisi doğru?

2. Kablosuz ağlardan biri konuk WI-FI olacaktır. Bir sekreter erişim nitelikleri yaratacaktır. Denetleyici üzerinde ek bir arayüz (kurumsal ağda) oluşturulması ve böyle bir düzeni uygulamak için "Lobi Yöneticisi" ne kimlik bilgileri verilmesi gerekir mi?

1. AP'leri ve denetleyiciyi aynı L2 alanına koymak, birbirlerini bulmak için başka bir şey yapmanız gerekmediği için en basit çözümdür. AP'leri farklı bir alt ağa koyarsanız, AP'ler alt ağında DHCP seçenek 43'ü yapılandırmanız veya cisco-capwap-controller için bir DNS girdisi koymanız gerekir. Eskiden bu cisco-lwapp denetleyicisiydi.

2. Oturum açmalarını oluşturabilmeleri için sekretere yönetici veya lobi yöneticisine WLC erişimi vermeniz gerekir. Konuk wifi için ek bir arayüze ihtiyaç duymaz, ancak bir tanesini kullanabilir ve daha iyi izolasyon için DMZ'ye takabilirsiniz.

Düzenleme: @generalnetworkerror hatalı belleğimi gösterdiğinden DHCP seçenek numarası düzeltildi.

1. AP'ler ve denetleyicinin aynı alt ağda olması pek olası değildir. Muhtemelen kuruluşunuzda bir yerde merkezi bir denetleyiciniz olur ve AP'ler birden fazla alt ağa yayılan farklı IDF dolaplarındaki bağlantı noktalarına takılır. AP'ler önyüklendiğinde, DHCP aracılığıyla atanan etki alanı adını alırlar ve CISCO-CAPWAP-CONTROLLER.domainname.com veya CISCO-LWAP-CONTROLLER.domainname.com alanlarını dener ve CAPWAP veya LWAP tünellerini orada tüneller. Aynı L2 VLAN'ın çoklu anahtarlarınız ve gövdelerinizin etrafına yayılması, bir STP pov'sinden tehlikelidir. Bu yüzden aynı L2 etki alanında AP'lerin ve Denetleyicilerin olması kötü bir uygulama olduğunu söyleyebilirim.
2. Sekreterinize denetleyiciye erişim vermek istemiyorsanız, Cisco Guest Access sunucusunu kullanmaya bakın. http://www.cisco.com/en/US/products/ps10160/index.html

Bu, sekreterin konuklar için kullanıcı adları ve şifreler oluşturmasına ve onlara bilgileri (akıllı telefonlarında ve girişlerinde okuyabilirler) e-postayla göndermesine ve hesabın oturum açacağı süreyi belirtmesine olanak tanır. Bu şekilde, hiç kimse web kimlik doğrulamasını kullanarak PSK veya genel giriş bilgisini bilmez. Ayrıca, kullanıcı güvenliğini sağlamak için açık / misafir wifi ağını basit bir parola ile şifrelemek için en iyi uygulamadır.

1. AP'leri ve denetleyicinin yönetim arayüzünü aynı L2 alanında tutmaya çalışabilirsiniz, ancak baş ağrısından başka bir şey kazanmazsınız. Mimari, L3 sınırları boyunca bile ağınızdaki AP'leri takıp çalıştırmanızı sağlayacak şekilde tasarlanmıştır. AP'ler denetleyicileri birkaç farklı yolla keşfedecek. DNS keşfini kullanıyoruz. ("CISCO-CAPWAP-CONTROLLER.alanadiniz.com" için A kaydı ekleyin. Eklenecek başka bir A kaydı olduğuna inanıyorum, ancak şu anda beni kaçıyor)
2. Sorunun bu kısmını% 100 anladığımdan emin değilim. Bir sekreter, konuklar için PSK'yi ayarlayacak gibi görünüyor. Bu durumda, kesinlikle RFC 1918 adres alanına erişime izin vermeyen farklı bir arayüze sahip olmanızı öneririm. Harici bir DNS sunucusu kullanın. Sonra kalan tek şey sekreterin SSID'nin PSK'sını değiştirmek için WLC'ye girmesini sağlamaktır.

WLC ve AP'lerin aynı alt ağda olması mümkündür, ancak özellikle büyük ortamlarda veya sık sık yeni erişim noktaları dağıtırken yönetilmesi zor olduğu için olası değildir. Deneyimlerime göre: Sitede 10-20 AP ve WLC bulunan küçük yerlerde aynı VLAN'a yerleştirmek daha kolaydır. Bir (veya daha fazla) merkezi WLC ve (coğrafi olarak) dağınık, yapılandırılması kolay ve 'temiz' çözüm olan birçok AP'nin bulunduğu daha büyük kurulumlarda, keşif işlemi için DNS kullanmaktır. Daha karmaşık ağlarınız olduğunda, özel gereksinimler veya belki de kötü tasarım nedeniyle DHCP seçenek 43'ü (veya statik yapılandırmayı) kullanabilirsiniz.

DNS kaydını kullanmak, özellikle alan adınızda yalnızca bir tane varsa veya AP'nin hangi WLC'ye katılacağını umursamıyorsanız, denetleyiciyi keşfetmek için basit bir çözümdür. El ile yapılandırmak daha kolay olduğu için keşif işlemi için DHCP satıcısına özgü seçenekleri kullanmayı seviyorum.lwapp ap controller ip addressancak özellikle bir nedenden dolayı farklı alan adlarını kullanamadığınızda ve AP'lere farklı WLC IP'leri göndermek istediğinizde daha fazla kontrol sağlar. Erişim noktalarınızın VCI'leri (Tedarikçi Sınıfı Tanımlayıcıları) için denetleyicinin IP adresiyle DHCP seçeneği 43 olan kapsam tabanlı ilke oluşturabilirsiniz. VCI, ilk DHCP bulma yayını sırasında DHCP istemcisi tarafından seçenek 60'da gönderilir ve belirli aygıt sınıfını (dolayısıyla adı) tanımlamak için kullanılır. Eşleşen VCI'ler için DHCP, denetleyicilerinizin IP adreslerini tutmak için yapılandıracağınız 102 veya 241 onaylı seçenek 43'ü gönderir (ve diğer istemciler bunları görmez).