Hay un par de preguntas sobre la solución de diseño.
El túnel CAPWAP se crea entre el controlador y los puntos de acceso. Los extremos del túnel son la interfaz "ap-management" del controlador y la interfaz de gestión del punto de acceso. He descubierto que tener el AP y el controlador en diferentes dominios L2 es la mejor práctica, pero en teoría esto parece una mejor solución. ¿Cual es correcta?
Una de las redes inalámbricas será el invitado WI-FI. Una secretaria creará atributos de acceso. ¿Es necesario crear una interfaz adicional (en la red corporativa) en el controlador y dar credenciales a "Lobby Admin" para implementar dicho esquema?
Respuestas:
Poner los AP y el controlador en el mismo dominio L2 es la solución más simple, ya que no tiene que hacer nada más para que se encuentren. Si coloca los AP en una subred diferente, debe configurar la opción 43 de DHCP en la subred de AP o ingresar una entrada DNS para cisco-capwap-controller.DOMAIN-APs-GET-FROM.DHC. Anteriormente era cisco-lwapp-controller.
Tendrá que dar al secretario, ya sea administrador o lobby, acceso de administrador al WLC para que pueda crear los inicios de sesión. No necesita una interfaz adicional para el wifi invitado, pero puede usar una y conectarla a la DMZ para un mejor aislamiento.
Editar: Se corrigió el número de opción de DHCP cuando @generalnetworkerror señaló mi memoria defectuosa.
fuente
Esto le permite a la secretaria generar nombres de usuario y contraseñas para los invitados, así como enviarles la información por correo electrónico (pueden leerla en sus teléfonos inteligentes e iniciar sesión) y especificar el período de tiempo durante el cual la cuenta permanecerá conectada. De esa manera, nadie conoce el PSK o el inicio de sesión genérico utilizando la autenticación web. También es una buena práctica cifrar los eventos de la red wifi abierta / invitada con una contraseña simple para proporcionar seguridad al usuario.
fuente
fuente
CISCO-LWAPP-CONTROLLER
. Se usó para versiones anteriores (anteriores a 5.2) pero ahora loCISCO-CAPWAP-CONTROLLER
que mencionó en su respuesta es suficiente.Es posible tener WLC y AP en la misma subred, pero es poco probable ya que es difícil de administrar, especialmente en entornos grandes o cuando implementa nuevos puntos de acceso con frecuencia. Según mi experiencia: en ubicaciones pequeñas donde tiene 10-20 AP y WLC en el sitio, es más fácil colocarlos en la misma VLAN. En instalaciones más grandes donde tiene un WLC centralizado (o más redundante) y muchos puntos de acceso que están dispersos (geográficamente), una solución fácil de configurar y 'limpia' es utilizar DNS para el proceso de descubrimiento. Cuando tiene redes más complejas, ya sea por requisitos específicos o por un mal diseño, puede usar la opción 43 de DHCP (o configuración estática).
El uso del registro DNS es una solución simple para descubrir el controlador, especialmente si solo tiene uno en su dominio o no le importa a qué WLC se unirá el AP. Me gusta usar las opciones específicas del proveedor de DHCP para el proceso de descubrimiento, ya que es más fácil que configurar manualmente
lwapp ap controller ip address
pero brinda más control, especialmente cuando no puede utilizar diferentes dominios por alguna razón y desea poder enviar diferentes IP de WLC a los AP. Puede crear una política basada en el alcance que tenga la opción 43 de DHCP con la dirección IP del controlador para los VCI (identificadores de clase de proveedor) de sus puntos de acceso. El cliente DHCP envía la VCI en la opción 60 durante la transmisión de descubrimiento DHCP inicial y se utiliza para identificar la clase específica de dispositivos (de ahí el nombre). Para VCI coincidentes, DHCP enviará la opción 43 con 102 o 241 suposiciones que configurará para contener las direcciones IP de sus controladores (y otros clientes no los verán).fuente