Bezprzewodowy kontroler LAN CISCO i pytanie projektowe AP

Istnieje kilka pytań dotyczących rozwiązania projektowego.

1. Tunel CAPWAP jest tworzony między kontrolerem a punktami dostępu. Końce tunelu to interfejs „ap-management” kontrolera i interfejs zarządzania punktu dostępu. Odkryłem, że posiadanie AP i kontrolera w różnych domenach L2 jest najlepszą praktyką, ale teoretycznie wydaje się to lepszym rozwiązaniem. Który jest poprawny?

2. Jedną z sieci bezprzewodowych będzie gość Wi-Fi. Sekretarka utworzy atrybuty dostępu. Czy konieczne jest utworzenie dodatkowego interfejsu (w sieci korporacyjnej) na kontrolerze i podanie poświadczeń administratorowi lobby w celu wdrożenia takiego schematu?

1. Umieszczenie punktów dostępowych i kontrolera w tej samej domenie L2 jest najprostszym rozwiązaniem, ponieważ nie trzeba nic więcej robić, aby się znaleźć. Jeśli umieścisz punkty dostępowe w innej podsieci, musisz albo skonfigurować opcję DHCP 43 w podsieci punktów dostępowych, albo wprowadzić wpis DNS dla cisco-capwap-controller.DOMAIN-APs-GET-FROM.DHC. Dawniej był to kontroler cisco-lwapp.

2. Musisz dać sekretarzowi administratorowi lub administratorowi lobby dostęp do WLC, aby mogli tworzyć loginy. Nie potrzebuje dodatkowego interfejsu dla Wi-Fi gościa, ale możesz go użyć i podłączyć do DMZ, aby uzyskać lepszą izolację.

Edycja: poprawiony numer opcji DHCP, ponieważ @generalnetworkerror wskazywał na moją wadliwą pamięć.

1. Punkty dostępu i kontroler znajdujące się w tej samej podsieci są raczej mało prawdopodobne. Prawdopodobnie miałbyś scentralizowany kontroler gdzieś w swojej organizacji, a punkty dostępowe byłyby podłączone do portów w różnych szafach IDF, które obejmują wiele podsieci. Podczas uruchamiania AP pobierają nazwę domeny przypisaną przez DHCP i próbują rozwiązać CISCO-CAPWAP-CONTROLLER.domainname.com lub CISCO-LWAP-CONTROLLER.domainname.com i tunelują z powrotem ich tunele CAPWAP lub LWAP. Posiadanie tej samej sieci V2 L2 wokół wielu przełączników i łączy jest niebezpieczne z punktu widzenia STP. Powiedziałbym więc, że posiadanie AP i kontrolerów w tej samej domenie L2 to zła praktyka.
2. Chyba że chcesz przyznać sekretarce dostęp do kontrolera - skorzystaj z serwera Cisco Guest Access. http://www.cisco.com/en/US/products/ps10160/index.html

Dzięki temu sekretarka może generować nazwy użytkowników i hasła dla gości, a także przesyłać im informacje e-mailem (mogą je odczytać na smartfonach i logować się) oraz określić czas, przez jaki konto będzie zalogowane. W ten sposób nikt nie zna PSK ani ogólnego logowania przy użyciu uwierzytelniania internetowego. Najlepszym rozwiązaniem jest również szyfrowanie sieci Wi-Fi dla gości za pomocą prostego hasła zapewniającego bezpieczeństwo użytkownika.

1. Możesz spróbować zatrzymać AP i interfejs zarządzania kontrolera w tej samej domenie L2, ale nie przysporzy ci to bólu głowy. Architektura została zaprojektowana tak, aby umożliwić ci podłączanie AP w całej sieci, nawet ponad granicami L3. Punkty dostępowe odkryją kontrolery na kilka różnych sposobów. Używamy wykrywania DNS. (Dodaj rekord „CISCO-CAPWAP-CONTROLLER.twojadomena.com”. Wydaje mi się, że istnieje inny rekord A do dodania, ale w tej chwili mi ucieka)
2. Nie jestem pewien, czy w 100% rozumiem tę część pytania. Wygląda na to, że sekretarka ustawi PSK dla gości. W takim przypadku z pewnością poleciłbym inny interfejs, który nie pozwala na dostęp do przestrzeni adresowej RFC 1918. Użyj zewnętrznego serwera DNS. Następnie pozostaje tylko dać sekretarzowi dostęp do WLC w celu zmiany PSK SSID.

Możliwe jest posiadanie WLC i AP w tej samej podsieci, ale jest to mało prawdopodobne, ponieważ trudno jest zarządzać, szczególnie w dużych środowiskach lub przy częstym wdrażaniu nowych punktów dostępu. Z mojego doświadczenia: w małych lokalizacjach, w których masz 10-20 AP i WLC na miejscu, łatwiej jest umieścić je w tej samej sieci VLAN. W większych instalacjach, w których masz jeden (lub więcej redundantnych) scentralizowanych WLC i wielu AP, które są (geograficznie) rozproszone, łatwym do skonfigurowania i „czystym” rozwiązaniem jest użycie DNS do procesu wykrywania. Jeśli masz bardziej złożone sieci, albo ze względu na określone wymagania, albo może zły projekt, możesz użyć opcji DHCP 43 (lub konfiguracji statycznej).

Użycie rekordu DNS jest prostym rozwiązaniem do wykrywania kontrolera, szczególnie jeśli masz tylko jeden w swojej domenie lub nie obchodzi Cię, do której WLC dołączy AP. Lubię używać opcji wyszukiwania specyficznych dla dostawcy DHCP, ponieważ jest to łatwiejsze niż ręczne konfigurowanielwapp ap controller ip addressale daje większą kontrolę, zwłaszcza gdy z jakiegoś powodu nie możesz używać różnych domen i chcesz móc wysyłać różne adresy IP WLC do AP. Można utworzyć zasady oparte na zakresie, które mają opcję DHCP 43 z adresem IP kontrolera dla VCI (identyfikatory klas dostawców) punktów dostępu. VCI jest wysyłany w opcji 60 przez klienta DHCP podczas początkowej emisji wykrywania DHCP i służy do identyfikacji konkretnej klasy urządzeń (stąd nazwa). Dla dopasowanych VCI DHCP wyśle ​​opcję 43 z opcjami 102 lub 241, które skonfigurujesz tak, aby przechowywały adresy IP twoich kontrolerów (a inni klienci ich nie zobaczą).