CISCO Wireless Lan Controller y la pregunta de diseño de AP

9

Hay un par de preguntas sobre la solución de diseño.

  1. El túnel CAPWAP se crea entre el controlador y los puntos de acceso. Los extremos del túnel son la interfaz "ap-management" del controlador y la interfaz de gestión del punto de acceso. He descubierto que tener el AP y el controlador en diferentes dominios L2 es la mejor práctica, pero en teoría esto parece una mejor solución. ¿Cual es correcta?

  2. Una de las redes inalámbricas será el invitado WI-FI. Una secretaria creará atributos de acceso. ¿Es necesario crear una interfaz adicional (en la red corporativa) en el controlador y dar credenciales a "Lobby Admin" para implementar dicho esquema?

Эдуард Буремный
fuente
2
Estas suenan como preguntas de tarea. No estamos aquí para responder preguntas de tarea, así que si este es un ejemplo del mundo real, proporcione más detalles de lo que está tratando de lograr.
YLearn
¿Alguna respuesta te ayudó? Si es así, debe aceptar la respuesta para que la pregunta no siga apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar y aceptar su propia respuesta.
Ron Maupin

Respuestas:

4
  1. Poner los AP y el controlador en el mismo dominio L2 es la solución más simple, ya que no tiene que hacer nada más para que se encuentren. Si coloca los AP en una subred diferente, debe configurar la opción 43 de DHCP en la subred de AP o ingresar una entrada DNS para cisco-capwap-controller.DOMAIN-APs-GET-FROM.DHC. Anteriormente era cisco-lwapp-controller.

  2. Tendrá que dar al secretario, ya sea administrador o lobby, acceso de administrador al WLC para que pueda crear los inicios de sesión. No necesita una interfaz adicional para el wifi invitado, pero puede usar una y conectarla a la DMZ para un mejor aislamiento.

Editar: Se corrigió el número de opción de DHCP cuando @generalnetworkerror señaló mi memoria defectuosa.

Dave Noonan
fuente
La opción 43 es que DHCP especifique los WLC para que los AP realicen una unión cuando se encuentren en diferentes dominios L2.
generalnetworkerror
3
  1. Los AP y el controlador que se encuentra en la misma subred es bastante improbable. Probablemente tendría un controlador centralizado en algún lugar de su organización y los AP se conectarían a puertos en diferentes armarios IDF que abarcan múltiples subredes. Cuando los AP se inician, toman el nombre de dominio asignado a través de DHCP e intentan resolver CISCO-CAPWAP-CONTROLLER.domainname.com o CISCO-LWAP-CONTROLLER.domainname.com y hacen un túnel en sus túneles CAPWAP o LWAP allí. Tener la misma VLAN L2 alrededor de sus múltiples conmutadores y troncales es peligroso desde un punto de vista de STP. Entonces diría que tener AP y controladores en el mismo dominio L2 es una mala práctica.
  2. A menos que desee darle a su secretaria acceso al controlador, mire usando el servidor Cisco Guest Access. http://www.cisco.com/en/US/products/ps10160/index.html

Esto le permite a la secretaria generar nombres de usuario y contraseñas para los invitados, así como enviarles la información por correo electrónico (pueden leerla en sus teléfonos inteligentes e iniciar sesión) y especificar el período de tiempo durante el cual la cuenta permanecerá conectada. De esa manera, nadie conoce el PSK o el inicio de sesión genérico utilizando la autenticación web. También es una buena práctica cifrar los eventos de la red wifi abierta / invitada con una contraseña simple para proporcionar seguridad al usuario.

knotseh
fuente
0
  1. Podría intentar mantener los AP y la interfaz de administración del controlador en el mismo dominio L2, pero no obtendría nada más que un dolor de cabeza. La arquitectura está diseñada para permitirle conectar y reproducir puntos de acceso en toda su red, incluso a través de los límites de L3. Los AP descubrirán los controladores a través de varias formas diferentes. Usamos el descubrimiento de DNS. (Agregue un registro A para "CISCO-CAPWAP-CONTROLLER.yourdomain.com". Creo que hay otro registro A para agregar, pero se me escapa por el momento)
  2. No estoy seguro de que entiendo al 100% esta parte de la pregunta. Parece que una secretaria establecerá el PSK para los invitados. En este caso, sin duda recomendaría que tenga una interfaz diferente que no permita el acceso al espacio de direcciones RFC 1918. Use un servidor DNS externo. Entonces todo lo que queda es darle acceso a la secretaria al WLC para cambiar el PSK del SSID.
bigmstone
fuente
El otro registro es probablemente el CISCO-LWAPP-CONTROLLER. Se usó para versiones anteriores (anteriores a 5.2) pero ahora lo CISCO-CAPWAP-CONTROLLERque mencionó en su respuesta es suficiente.
pijaja
0

Es posible tener WLC y AP en la misma subred, pero es poco probable ya que es difícil de administrar, especialmente en entornos grandes o cuando implementa nuevos puntos de acceso con frecuencia. Según mi experiencia: en ubicaciones pequeñas donde tiene 10-20 AP y WLC en el sitio, es más fácil colocarlos en la misma VLAN. En instalaciones más grandes donde tiene un WLC centralizado (o más redundante) y muchos puntos de acceso que están dispersos (geográficamente), una solución fácil de configurar y 'limpia' es utilizar DNS para el proceso de descubrimiento. Cuando tiene redes más complejas, ya sea por requisitos específicos o por un mal diseño, puede usar la opción 43 de DHCP (o configuración estática).

El uso del registro DNS es una solución simple para descubrir el controlador, especialmente si solo tiene uno en su dominio o no le importa a qué WLC se unirá el AP. Me gusta usar las opciones específicas del proveedor de DHCP para el proceso de descubrimiento, ya que es más fácil que configurar manualmentelwapp ap controller ip addresspero brinda más control, especialmente cuando no puede utilizar diferentes dominios por alguna razón y desea poder enviar diferentes IP de WLC a los AP. Puede crear una política basada en el alcance que tenga la opción 43 de DHCP con la dirección IP del controlador para los VCI (identificadores de clase de proveedor) de sus puntos de acceso. El cliente DHCP envía la VCI en la opción 60 durante la transmisión de descubrimiento DHCP inicial y se utiliza para identificar la clase específica de dispositivos (de ahí el nombre). Para VCI coincidentes, DHCP enviará la opción 43 con 102 o 241 suposiciones que configurará para contener las direcciones IP de sus controladores (y otros clientes no los verán).

pijaja
fuente