CISCO Wireless Lan Controller 및 AP의 설계 질문

디자인 솔루션에 대한 몇 가지 질문이 있습니다.

1. CAPWAP 터널은 컨트롤러와 액세스 포인트 사이에 생성됩니다. 터널의 끝은 컨트롤러의 "ap-management"인터페이스 및 액세스 포인트 관리 인터페이스입니다. 다른 L2 도메인에서 AP와 컨트롤러를 사용하는 것이 가장 좋은 방법이라는 것을 알았지 만 이론적으로는 더 나은 솔루션처럼 보입니다. 어느 것이 맞습니까?

2. 무선 네트워크 중 하나는 게스트 WI-FI입니다. 비서가 액세스 속성을 생성합니다. 컨트롤러에서 추가 인터페이스 (회사 네트워크에서)를 작성하고 이러한 구성표를 구현하려면 "Lobby Admin"에 신임 정보를 제공해야합니까?

1. AP와 컨트롤러를 동일한 L2 도메인에 배치하는 것은 서로를 찾기 위해 다른 작업을 수행 할 필요가 없으므로 가장 간단한 솔루션입니다. AP를 다른 서브넷에 배치 한 경우 AP 서브넷에서 DHCP 옵션 43을 구성하거나 cisco-capwap-controller.DOMAIN-APs-GET-FROM.DHC에 대한 DNS 항목을 입력해야합니다. 이전에는 cisco-lwapp-controller였습니다.

2. 비서에게 관리자 또는 로비 관리자에게 WLC에 대한 액세스 권한을 부여하여 로그인을 만들 수 있도록해야합니다. 게스트 wifi에는 추가 인터페이스가 필요하지 않지만 더 나은 분리를 위해 하나를 사용하여 DMZ에 연결할 수 있습니다.

편집 : @generalnetworkerror가 결함있는 메모리를 지적하여 DHCP 옵션 번호를 수정했습니다.

1. AP와 컨트롤러가 동일한 서브넷에있을 가능성은 적습니다. 조직 어딘가에 중앙 집중식 컨트롤러가 있고 AP가 여러 서브넷에 걸쳐있는 다른 IDF 옷장의 포트에 연결될 수 있습니다. AP가 부팅되면 DHCP를 통해 할당 된 도메인 이름을 가져 와서 CISCO-CAPWAP-CONTROLLER.domainname.com 또는 CISCO-LWAP-CONTROLLER.domainname.com을 확인하고 CAPWAP 또는 LWAP 터널을 터널 백합니다. 여러 스위치 및 트렁크 주변에 동일한 L2 VLAN이있는 것은 STP 관점에서 위험합니다. 따라서 동일한 L2 도메인에 AP와 컨트롤러를 설치하는 것은 좋지 않습니다.
2. 비서에게 컨트롤러에 대한 액세스 권한을 부여하지 않는 한 Cisco Guest Access 서버 사용을 살펴보십시오. http://www.cisco.com/en/US/products/ps10160/index.html

이를 통해 장관은 손님의 사용자 이름과 비밀번호를 생성하고 정보를 이메일로 보내거나 (스마트 폰에서 읽거나 로그인 할 수 있음) 계정 로그인 시간을 지정할 수 있습니다. 그렇게하면 아무도 웹 인증을 사용한 PSK 또는 일반 로그인을 알 수 없습니다. 또한 사용자 보안을 제공하기 위해 간단한 암호로 개방 / 게스트 wifi 네트워크를 이벤트 암호화하는 것이 가장 좋습니다.

1. AP와 컨트롤러의 관리 인터페이스를 동일한 L2 도메인에 유지하려고 시도 할 수 있지만 두통은 없습니다. 아키텍처는 L3 경계를 넘어서도 네트워크 전체에서 AP를 플러그 앤 플레이 할 수 있도록 설계되었습니다. AP는 몇 가지 다른 방법으로 컨트롤러를 발견합니다. 우리는 DNS 발견을 사용합니다. ( "CISCO-CAPWAP-CONTROLLER.yourdomain.com"에 대한 A 레코드를 추가하십시오. 추가 할 다른 A 레코드가 있다고 생각하지만 현재 이스케이프되지 않습니다.)
2. 나는이 질문 의이 부분을 100 % 이해한다고 확신하지 못합니다. 비서가 손님을 위해 PSK를 설정하는 것처럼 들린다. 이 경우 RFC 1918 주소 공간에 액세스 할 수없는 다른 인터페이스를 사용하는 것이 좋습니다. 외부 DNS 서버를 사용하십시오. 그런 다음 남은 일은 SSID의 PSK를 변경하기 위해 WLC에 비서에게 액세스하는 것입니다.

WLC와 AP를 동일한 서브넷에 배치 할 수는 있지만 특히 대규모 환경이나 새로운 액세스 포인트를 자주 배포 할 때는 관리하기 어렵 기 때문에 가능하지 않습니다. 내 경험으로는 : 10-20 개의 AP와 WLC가 현장에있는 작은 장소에서는 같은 VLAN에 배치하기가 더 쉽습니다. 하나 이상의 (중복 된) 중앙 집중식 WLC와 (지리적으로) 흩어져 있고 구성하기 쉽고 '깨끗한'솔루션 인 많은 AP가있는 대규모 설치에서는 검색 프로세스에 DNS를 사용하는 것입니다. 특정 요구 사항으로 인해 또는 설계가 잘못되어 네트워크가 더 복잡한 경우 DHCP 옵션 43 (또는 정적 구성)을 사용할 수 있습니다.

DNS 레코드를 사용하는 것은 특히 도메인에 하나만 있거나 AP가 가입 할 WLC를 신경 쓰지 않는 경우 컨트롤러를 검색하는 간단한 솔루션입니다. 검색 프로세스에 DHCP 공급 업체별 옵션을 사용하는 것이 더 쉽습니다.lwapp ap controller ip address그러나 어떤 이유로 다른 도메인을 사용할 수없고 AP에 다른 WLC IP를 보낼 수있게하려는 경우 특히 제어력이 향상됩니다. 액세스 포인트의 VCI (Vendor Class Identifier)에 대한 컨트롤러의 IP 주소와 함께 DHCP 옵션 43이있는 범위 기반 정책을 만들 수 있습니다. VCI는 초기 DHCP 검색 브로드 캐스트 동안 DHCP 클라이언트에 의해 옵션 60으로 전송되며 특정 장치 클래스 (따라서 이름)를 식별하는 데 사용됩니다. 일치하는 VCI의 경우 DHCP는 옵션 43을 102 또는 241 suoptions와 함께 보내 컨트롤러의 IP 주소를 보유하도록 구성합니다 (다른 클라이언트에서는 볼 수 없음).