Bộ điều khiển Lan không dây CISCO và câu hỏi thiết kế của AP

Có một vài câu hỏi về giải pháp thiết kế.

1. Đường hầm CAPWAP được tạo giữa bộ điều khiển và các điểm truy cập. Điểm cuối của đường hầm là giao diện "quản lý ap" và giao diện quản lý của điểm truy cập. Tôi đã phát hiện ra rằng có AP và Bộ điều khiển trong các miền L2 khác nhau là cách tốt nhất, nhưng trên lý thuyết thì đây có vẻ là một giải pháp tốt hơn. Cái nào đúng?

2. Một trong những mạng không dây sẽ là WI-FI khách. Một thư ký sẽ tạo ra các thuộc tính truy cập. Có yêu cầu tạo giao diện bổ sung (trong mạng công ty) trên bộ điều khiển và cung cấp thông tin đăng nhập cho "Quản trị viên sảnh" để thực hiện sơ đồ như vậy không?

1. Đặt các AP và bộ điều khiển trong cùng một miền L2 là giải pháp đơn giản nhất vì bạn không phải làm gì khác để chúng tìm thấy nhau. Nếu bạn đặt các AP trên một mạng con khác thì bạn phải định cấu hình tùy chọn DHCP 43 trên mạng con AP hoặc đặt một mục nhập DNS cho cisco-capwap-controller.DOMAIN-APs-GET-FROM.DHC. Trước đây đây là bộ điều khiển cisco-lwapp.

2. Bạn sẽ cần cung cấp cho thư ký quản trị viên hoặc quản trị viên hành lang quyền truy cập vào WLC để họ có thể tạo thông tin đăng nhập. Nó không cần giao diện bổ sung cho wifi khách nhưng bạn có thể sử dụng một giao diện và cắm nó vào DMZ để cách ly tốt hơn.

Chỉnh sửa: Số tùy chọn DHCP đã sửa vì @generalnetworkerror đã chỉ ra bộ nhớ bị lỗi của tôi.

1. Các AP và bộ điều khiển nằm trên cùng một mạng con là khá khó xảy ra. Bạn có thể có một bộ điều khiển tập trung ở đâu đó trong tổ chức của mình và các AP sẽ được cắm vào các cổng trong các tủ IDF khác nhau trải rộng trên nhiều mạng con. Khi các AP khởi động, họ lấy tên miền được gán qua DHCP và thử và giải quyết CISCO-CAPWAP-CONTROLLER.domainname.com hoặc CISCO-LWAP-CONTROLLER.domainname.com và quay trở lại đường hầm CAPWAP hoặc LWAP của họ ở đó. Có cùng Vlan L2 được kéo dài xung quanh nhiều thiết bị chuyển mạch và trung kế của bạn là điều nguy hiểm từ một STP POV. Vì vậy, tôi muốn nói rằng có các AP và Bộ điều khiển trên cùng một miền L2 là thực tế tồi.
2. Trừ khi bạn muốn cấp quyền truy cập thư ký cho bộ điều khiển - hãy xem sử dụng máy chủ Cisco Guest Access. http://www.cisco.com/en/US/products/ps10160/index.html

Điều này cho phép thư ký tạo tên người dùng và mật khẩu cho khách cũng như gửi email cho họ thông tin (họ có thể đọc nó trên điện thoại thông minh và đăng nhập) và chỉ định khoảng thời gian mà tài khoản sẽ đăng nhập. Bằng cách đó, không ai biết PSK hoặc đăng nhập chung bằng xác thực web. Cách tốt nhất là mã hóa sự kiện mạng wifi mở / khách bằng mật khẩu đơn giản để cung cấp bảo mật cho người dùng.

1. Bạn có thể cố gắng giữ các AP và giao diện quản lý của bộ điều khiển trong cùng một miền L2 nhưng điều đó sẽ không giúp bạn đạt được điều gì ngoài đau đầu. Kiến trúc được thiết kế để cho phép bạn cắm AP và cắm trên toàn mạng của mình ngay cả trên các ranh giới L3. Các AP sẽ khám phá các bộ điều khiển thông qua một số cách khác nhau. Chúng tôi sử dụng khám phá DNS. (Thêm bản ghi A cho "CISCO-CAPWAP-CONTROLLER.yourdomain.com". Tôi tin rằng có một bản ghi A khác để thêm, nhưng nó thoát khỏi tôi vào lúc này)
2. Tôi không chắc chắn rằng tôi 100% hiểu phần này của câu hỏi. Nghe có vẻ như một thư ký sẽ đặt PSK cho khách. Trong trường hợp này, tôi chắc chắn sẽ khuyên bạn nên có một giao diện khác không cho phép truy cập vào không gian địa chỉ RFC 1918. Sử dụng máy chủ DNS bên ngoài. Sau đó, tất cả những gì còn lại là cung cấp cho thư ký quyền truy cập vào WLC để thay đổi PSK của SSID.

Có thể có WLC và AP trong cùng một mạng con, nhưng không thể vì nó khó quản lý đặc biệt là trong môi trường lớn hoặc khi bạn triển khai các điểm truy cập mới thường xuyên. Từ kinh nghiệm của tôi: Trên các địa điểm nhỏ nơi bạn có 10-20 AP và WLC trên trang web, việc đặt chúng vào cùng một Vlan sẽ dễ dàng hơn. Trên các bản cài đặt lớn hơn, nơi bạn có một (hoặc nhiều hơn) WLC tập trung và rất nhiều AP bị phân tán (về mặt địa lý), dễ cấu hình và 'sạch' là sử dụng DNS cho quá trình khám phá. Khi bạn có các mạng phức tạp hơn, do yêu cầu cụ thể hoặc có thể do thiết kế xấu, bạn có thể sử dụng tùy chọn DHCP 43 (hoặc cấu hình tĩnh).

Sử dụng bản ghi DNS là một giải pháp đơn giản để khám phá bộ điều khiển, đặc biệt nếu bạn chỉ có một trong miền của mình hoặc bạn không quan tâm WLC nào AP sẽ tham gia. Tôi thích sử dụng các tùy chọn cụ thể của nhà cung cấp DHCP cho quá trình khám phá vì dễ dàng hơn sau đó định cấu hình thủ cônglwapp ap controller ip addressnhưng cung cấp thêm quyền kiểm soát đặc biệt là khi bạn không thể sử dụng các tên miền khác nhau vì một số lý do và muốn có thể gửi các IP WLC khác nhau đến các AP. Bạn có thể tạo chính sách dựa trên phạm vi có tùy chọn DHCP 43 với địa chỉ IP của bộ điều khiển cho các VCI (Mã định danh lớp nhà cung cấp) của các điểm truy cập của bạn. VCI được gửi trong tùy chọn 60 bởi máy khách DHCP trong quá trình phát hiện DHCP ban đầu và được sử dụng để xác định loại thiết bị cụ thể (do đó có tên). Đối với các VCI phù hợp, DHCP sẽ gửi tùy chọn 43 với 102 hoặc 241 đơn kiện mà bạn sẽ định cấu hình để giữ địa chỉ IP của bộ điều khiển của mình (và các máy khách khác sẽ không nhìn thấy chúng).