Бездротовий контролер Lan і CISCO питання дизайну AP

Є кілька питань щодо дизайнерського рішення.

1. Між контролером і точками доступу створюється тунель CAPWAP. Кінці тунелю - це інтерфейс "управління додатками" контролера та інтерфейс управління точкою доступу. Я виявив, що наявність AP та контролера в різних областях L2 - найкраща практика, але теоретично це здається кращим рішенням. Що правильно?

2. Однією з бездротових мереж стане гостьовий WI-FI. Секретар створить атрибути доступу. Чи потрібно створити додатковий інтерфейс (у корпоративній мережі) на контролері та надати облікові дані "Lobby Admin" для реалізації такої схеми?

1. Поміщення AP та контролера в один і той же домен L2 є найпростішим рішенням, оскільки вам не потрібно робити нічого іншого, щоб знайти один одного. Якщо ви розміщуєте AP-адреси в іншій підмережі, вам потрібно налаштувати DHCP-варіант 43 у підмережі APs або поставити запис DNS для cisco-capwap-controller.DOMAIN-APs-GET-FROM.DHC. Раніше це був контролер cisco-lwapp.

2. Вам потрібно надати секретареві або адміністратору, або адміністратору лобі, доступ до WLC, щоб вони могли створювати входи. Він не потребує додаткового інтерфейсу для гостьового wifi, але ви можете використовувати його та підключити його до DMZ для кращої ізоляції.

Редагувати: виправлений номер опції DHCP, як @generalnetworkerror вказав на мою несправну пам'ять.

1. AP і контролер, що знаходяться в одній підмережі, малоймовірні. Напевно, десь у вашій організації є централізований контролер, і AP-адреси будуть підключені до портів у різних шафах IDF, які охоплюють кілька підмереж. Коли AP-файли завантажуються, вони беруть доменне ім’я, призначене через DHCP, і намагаються вирішити CISCO-CAPWAP-CONTROLLER.domainname.com або CISCO-LWAP-CONTROLLER.domainname.com і тунель повернути туди свої тунелі CAPWAP або LWAP. Наявність тієї ж L2 VLAN, що охоплюється декількома комутаторами та магістралями, небезпечно від STP pov. Тому я б сказав, що AP-адреси та контролери в одному домені L2 - це погана практика.
2. Якщо ви не хочете надати своєму секретареві доступ до контролера, подивіться на використання сервера Cisco Guest Access. http://www.cisco.com/en/US/products/ps10160/index.html

Це дозволяє секретареві генерувати імена користувачів та паролі для гостей, а також надсилати їм інформацію електронною поштою (вони можуть читати їх на своїх смартфонах та входити в систему) та визначати тривалість часу, протягом якого обліковий запис залишатиметься увімкненим. Таким чином, ніхто не знає PSK або загальний логін, використовуючи веб-аутентифікацію. Також найкраща практика зашифрувати відкриту / гостьову wifi-мережу простим паролем, щоб забезпечити безпеку користувача.

1. Ви можете спробувати зберегти AP-адреси та інтерфейс управління контролером у тому самому домені L2, але це не принесе вам нічого, крім головного болю. Архітектура створена для того, щоб ви могли підключати та відтворювати точки доступу до всієї мережі навіть через межі L3. AP знайдуть контролерів за допомогою кількох різних способів. Ми використовуємо відкриття DNS. (Додайте запис для "CISCO-CAPWAP-CONTROLLER.yourdomain.com". Я вважаю, що є ще один запис, який потрібно додати, але він наразі уникає мене)
2. Я не впевнений, що я на 100% розумію цю частину питання. Здається, секретар встановить ПСК для гостей. У цьому випадку я точно рекомендую вам мати інший інтерфейс, який не дозволяє отримати доступ до адресного простору RFC 1918. Використовуйте зовнішній DNS-сервер. Тоді все, що залишилося - це надати секретарю доступ до WLC для зміни PSK SSID.

Можливо, що в одній підмережі є WLC та AP, але це малоймовірно, оскільки важко керувати, особливо у великих середовищах або коли ви часто розгортаєте нові точки доступу. З мого досвіду: у невеликих місцях, де у вас 10-20 точок доступу та WLC на сайті, їх легше розмістити в одній VLAN. На більш великих установках, де у вас є один (або більше зайвих) централізованих WLC та безліч AP, які (географічно) розкидані, просте в налаштуванні та «чистому» рішення - використовувати DNS для процесу виявлення. Якщо у вас складніші мережі, або через конкретні вимоги, або, можливо, поганий дизайн, ви можете використовувати DHCP варіант 43 (або статичну конфігурацію).

Використання запису DNS - це просте рішення для виявлення контролера, особливо якщо у вас є лише один у вашому домені або вам не байдуже, до якого WLC додається AP. Мені подобається використовувати спеціальні параметри постачальника DHCP для процесу виявлення, оскільки це простіше, ніж налаштувати вручнуlwapp ap controller ip addressале дає більше контролю, особливо коли ви не можете використовувати різні домени з якихось причин і хочете мати можливість надсилати різні IP-адреси WLC до AP. Ви можете створити політику, орієнтовану на сферу застосування, яка має варіант DHCP 43 з IP-адресою контролера для VCI (ідентифікатори класу постачальників) ваших точок доступу. VCI надсилається у варіанті 60 клієнтом DHCP під час початкової трансляції DHCP і використовується для ідентифікації конкретного класу пристроїв (звідси назва). Для відповідних VCI DHCP надішле варіант 43 із 102 або 241 відрізками, які ви налаштуєте, щоб містити IP-адреси контролерів (а інші клієнти їх не побачать).