CISCO Wireless Lan Controller и вопрос разработки AP

Есть пара вопросов по дизайнерскому решению.

1. Туннель CAPWAP создается между контроллером и точками доступа. Концами туннеля являются интерфейс контроллера «ap-management» и интерфейс управления точки доступа. Я обнаружил, что использование AP и контроллера в разных доменах L2 - это лучшая практика, но в теории это кажется лучшим решением. Что правильно?

2. Одной из беспроводных сетей станет гостевой WI-FI. Секретарь создаст атрибуты доступа. Требуется ли создать дополнительный интерфейс (в корпоративной сети) на контроллере и предоставить учетные данные «Lobby Admin» для реализации такой схемы?

1. Поместить точки доступа и контроллер в один и тот же домен L2 - самое простое решение, так как вам не нужно ничего делать, чтобы они нашли друг друга. Если вы помещаете точки доступа в другую подсеть, то вам нужно либо настроить параметр DHCP 43 в подсети точек доступа, либо ввести запись DNS для cisco-capwap-controller.DOMAIN-APs-GET-FROM.DHC. Раньше это был cisco-lwapp-controller.

2. Вам нужно предоставить секретарю доступ администратора или лоббиста к WLC, чтобы они могли создавать логины. Для гостевого Wi-Fi не требуется дополнительный интерфейс, но вы можете использовать его и подключить к DMZ для лучшей изоляции.

Изменить: Исправлен номер опции DHCP, так как @generalnetworkerror указал на мою неисправную память.

1. AP и контроллер, находящиеся в одной подсети, маловероятны. Возможно, в вашей организации будет централизованный контроллер, а точки доступа будут подключаться к портам в разных шкафах IDF, которые охватывают несколько подсетей. Когда AP загружаются, они берут доменное имя, назначенное через DHCP, и пытаются решить CISCO-CAPWAP-CONTROLLER.domainname.com или CISCO-LWAP-CONTROLLER.domainname.com и туннелируют их туннели CAPWAP или LWAP там. Наличие одной и той же VLAN L2, охватывающей несколько коммутаторов и соединительных линий, опасно с точки зрения STP. Поэтому я бы сказал, что использование AP и контроллеров в одном домене L2 - плохая практика.
2. Если вы не хотите, чтобы ваш секретарь получил доступ к контроллеру, посмотрите на использование сервера гостевого доступа Cisco. http://www.cisco.com/en/US/products/ps10160/index.html

Это позволяет секретарю генерировать имена пользователей и пароли для гостей, а также отправлять им по электронной почте информацию (они могут прочитать ее на своих смартфонах и войти в систему) и указать период времени, в течение которого учетная запись будет оставаться в системе. Таким образом, никто не знает PSK или общий логин с использованием веб-аутентификации. Также рекомендуется шифровать открытую / гостевую wifi-сеть простым паролем для обеспечения безопасности пользователя.

1. Вы можете попытаться сохранить точки доступа и интерфейс управления контроллера в одном домене L2, но это не принесет вам ничего, кроме головной боли. Архитектура предназначена для того, чтобы вы могли подключать и воспроизводить точки доступа по всей вашей сети даже через границы L3. AP обнаружат контроллеров несколькими разными способами. Мы используем обнаружение DNS. (Добавьте запись A для "CISCO-CAPWAP-CONTROLLER.yourdomain.com". Я считаю, что есть еще одна запись A, которую нужно добавить, но в настоящий момент она ускользает от меня)
2. Я не уверен, что я на 100% понимаю эту часть вопроса. Похоже, секретарь будет устанавливать PSK для гостей. В этом случае я бы с уверенностью рекомендовал использовать другой интерфейс, который не разрешает доступ к адресному пространству RFC 1918. Используйте внешний DNS-сервер. Тогда все, что осталось, это дать секретарю доступ в WLC для изменения PSK SSID.

Можно иметь WLC и точки доступа в одной подсети, но маловероятно, поскольку им трудно управлять, особенно в больших средах или при частом развертывании новых точек доступа. Из моего опыта: в небольших местах, где у вас есть 10-20 точек доступа и WLC на месте, их проще разместить в одной VLAN. В больших установках, где у вас есть один (или несколько избыточных) централизованных WLC и много точек доступа, которые (географически) разбросаны, легко настраиваются и «чисты», решение заключается в использовании DNS для процесса обнаружения. Если у вас более сложные сети, либо из-за особых требований, либо из-за плохой конструкции, вы можете использовать опцию DHCP 43 (или статическую конфигурацию).

Использование DNS-записи - это простое решение для обнаружения контроллера, особенно если у вас есть только один в вашем домене или вам все равно, к какому WLC присоединится точка доступа. Мне нравится использовать специфичные для поставщика DHCP параметры для процесса обнаружения, поскольку это проще, чем настраивать вручнуюlwapp ap controller ip addressно дает больше контроля, особенно когда вы не можете использовать разные домены по какой-то причине и хотите иметь возможность отправлять разные IP-адреса WLC на точки доступа. Вы можете создать политику на основе области, в которой есть опция DHCP 43 с IP-адресом контроллера для VCI (идентификаторов классов поставщиков) ваших точек доступа. VCI отправляется в опции 60 клиентом DHCP во время начальной широковещательной рассылки DHCP и используется для идентификации определенного класса устройств (отсюда и название). Для совпавших VCI DHCP отправит опцию 43 с 102 или 241 допусками, которые вы настроите для хранения IP-адресов ваших контроллеров (и другие клиенты их не увидят).