CISCO Wireless Lan Controller dan pertanyaan desain AP

Ada beberapa pertanyaan tentang solusi desain.

1. Terowongan CAPWAP dibuat antara pengontrol dan titik akses. Ujung terowongan adalah antarmuka "ap-manajemen" pengontrol dan antarmuka manajemen titik akses. Saya telah menemukan bahwa memiliki AP dan Pengendali di berbagai domain L2 adalah praktik terbaik, tetapi dalam teori ini sepertinya solusi yang lebih baik. Yang mana yang benar?

2. Salah satu jaringan nirkabel adalah WI-FI tamu. Seorang sekretaris akan membuat atribut akses. Apakah perlu membuat antarmuka tambahan (dalam jaringan perusahaan) pada pengontrol dan memberikan kredensial kepada "Lobi Admin" untuk mengimplementasikan skema semacam itu?

1. Menempatkan AP dan pengontrol di domain L2 yang sama adalah solusi paling sederhana karena Anda tidak perlu melakukan hal lain agar mereka dapat menemukan satu sama lain. Jika Anda meletakkan Titik Akses pada subnet yang berbeda, maka Anda harus mengkonfigurasi opsi DHCP 43 pada subnet Titik Akses atau memasukkan entri DNS untuk cisco-capwap-controller. DOMAIN-APs-GET-FROM.DHC. Sebelumnya ini adalah cisco-lwapp-controller.

2. Anda harus memberikan sekretaris admin atau lobi akses ke WLC sehingga mereka dapat membuat login. Tidak perlu antarmuka tambahan untuk wifi tamu tetapi Anda dapat menggunakannya dan menghubungkannya ke DMZ untuk isolasi yang lebih baik.

Sunting: Nomor opsi DHCP terkoreksi ketika @generalnetworkerror menunjukkan memori saya yang salah.

1. AP dan pengontrol yang berada di subnet yang sama agak tidak mungkin. Anda mungkin memiliki pengontrol terpusat di suatu tempat di organisasi Anda dan Titik Akses akan dicolokkan ke port di berbagai kabinet IDF yang menjangkau beberapa subnet. Ketika AP boot, mereka mengambil nama domain yang ditetapkan melalui DHCP dan mencoba dan menyelesaikan CISCO-CAPWAP-CONTROLLER.domainname.com atau CISCO-LWAP-CONTROLLER.domainname.com dan terowongan kembali terowongan CAPWAP atau LWAP mereka di sana. Memiliki VLAN L2 yang sama membentang di sekitar beberapa sakelar dan batang Anda berbahaya dari STP pov. Jadi saya akan mengatakan memiliki AP dan Pengendali pada domain L2 yang sama adalah praktik yang buruk.
2. Kecuali Anda ingin memberikan akses sekretaris Anda ke controller - lihat menggunakan server Cisco Guest Access. http://www.cisco.com/en/US/products/ps10160/index.html

Hal ini memungkinkan sekretaris untuk membuat nama pengguna dan kata sandi untuk para tamu serta mengirimkan informasi kepada mereka melalui email (mereka dapat membacanya di smartphone mereka dan login) dan menentukan jangka waktu di mana akun akan tetap masuk. Dengan begitu tidak ada yang tahu PSK atau login umum menggunakan otentikasi web. Ini juga merupakan praktik terbaik untuk mengenkripsi acara wifi-jaringan terbuka / tamu dengan kata sandi sederhana untuk memberikan keamanan pengguna.

1. Anda dapat mencoba untuk menjaga AP dan antarmuka manajemen pengontrol dalam domain L2 yang sama tetapi itu tidak akan memberi Anda apa pun selain sakit kepala. Arsitektur dirancang untuk memungkinkan Anda plug-and-play AP di seluruh jaringan Anda bahkan melintasi batas-batas L3. AP akan menemukan pengendali melalui beberapa cara yang berbeda. Kami menggunakan penemuan DNS. (Tambahkan catatan A untuk "CISCO-CAPWAP-CONTROLLER.yourdomain.com". Saya percaya ada catatan A lain untuk ditambahkan, tetapi saat ini luput dari saya)
2. Saya tidak yakin bahwa saya 100% memahami bagian pertanyaan ini. Kedengarannya seperti sekretaris akan mengatur PSK untuk para tamu. Dalam hal ini saya pasti akan merekomendasikan Anda memiliki antarmuka yang berbeda yang tidak memungkinkan akses ke ruang alamat RFC 1918. Gunakan server DNS eksternal. Maka yang tersisa adalah memberikan akses sekretaris ke dalam WLC untuk mengubah PSK SSID.

Dimungkinkan untuk memiliki WLC dan AP di subnet yang sama, tetapi tidak mungkin karena sulit untuk dikelola terutama di lingkungan yang besar atau ketika Anda sering menggunakan titik akses baru. Dari pengalaman saya: Di lokasi kecil di mana Anda memiliki 10-20 AP dan WLC di situs, lebih mudah untuk menempatkannya di VLAN yang sama. Pada instalasi yang lebih besar di mana Anda memiliki satu (atau lebih redundan) WLC terpusat dan banyak AP yang tersebar (secara geografis), mudah dikonfigurasi dan solusi 'bersih' adalah menggunakan DNS untuk proses pencarian. Ketika Anda memiliki jaringan yang lebih kompleks, baik karena persyaratan tertentu atau mungkin desain yang buruk, Anda dapat menggunakan opsi DHCP 43 (atau konfigurasi statis).

Menggunakan catatan DNS adalah solusi sederhana untuk menemukan pengontrol terutama jika Anda hanya memiliki satu di domain Anda atau Anda tidak peduli WLC mana yang akan bergabung dengan AP. Saya suka menggunakan opsi khusus vendor DHCP untuk proses penemuan karena lebih mudah daripada mengkonfigurasi secara manuallwapp ap controller ip addresstetapi memberi lebih banyak kontrol terutama ketika Anda tidak dapat menggunakan domain yang berbeda karena alasan tertentu dan ingin dapat mengirim IP WLC yang berbeda ke Titik Akses. Anda dapat membuat kebijakan berbasis lingkup yang memiliki opsi DHCP 43 dengan alamat IP pengontrol untuk VCI (Vendor Class Identifiers) dari titik akses Anda. VCI dikirim dalam opsi 60 oleh klien DHCP selama siaran DHCP menemukan awal dan digunakan untuk mengidentifikasi kelas perangkat tertentu (karenanya namanya). Untuk VCI yang cocok, DHCP akan mengirim opsi 43 dengan suoptions 102 atau 241 yang akan Anda konfigurasikan untuk menyimpan alamat IP pengendali Anda (dan klien lain tidak akan melihatnya).