CISCO Wireless Lan Controller และคำถามการออกแบบของ AP

มีคำถามสองสามข้อเกี่ยวกับโซลูชันการออกแบบ

1. CAPWAP tunnel ถูกสร้างขึ้นระหว่างคอนโทรลเลอร์และจุดเชื่อมต่อ ปลายอุโมงค์คือส่วนต่อประสาน "การจัดการ ap" และส่วนต่อประสานการจัดการของจุดเชื่อมต่อ ฉันได้ค้นพบว่าการมี AP และ Controller ในโดเมน L2 ต่างกันเป็นแนวปฏิบัติที่ดีที่สุด แต่ในทางทฤษฎีแล้วนี่เป็นวิธีที่ดีกว่า อันไหนถูกต้อง?

2. หนึ่งในเครือข่ายไร้สายจะเป็นแขก Wi-Fi เลขานุการจะสร้างแอตทริบิวต์การเข้าถึง จำเป็นต้องสร้างอินเทอร์เฟซเพิ่มเติม (ในเครือข่ายขององค์กร) บนตัวควบคุมและให้ข้อมูลประจำตัวกับ "ผู้ดูแลระบบล็อบบี้" เพื่อใช้รูปแบบดังกล่าวหรือไม่?

1. การวาง APs และคอนโทรลเลอร์ในโดเมน L2 เดียวกันเป็นวิธีที่ง่ายที่สุดในขณะที่คุณไม่ต้องทำอะไรเพื่อให้เจอกัน หากคุณวาง APs ไว้บนซับเน็ตอื่นคุณต้องกำหนดค่า DHCP ตัวเลือกที่ 43 บนซับเน็ต APs หรือใส่รายการ DNS สำหรับ cisco-capwap-controller.DOMAIN-APs-GET-FROM.DHC ก่อนหน้านี้นี่คือ cisco-lwapp-controller

2. คุณจะต้องให้เลขาผู้ดูแลระบบหรือผู้ดูแลระบบล็อบบี้เข้าถึง WLC เพื่อให้พวกเขาสามารถสร้างการเข้าสู่ระบบ ไม่ต้องการอินเทอร์เฟซเพิ่มเติมสำหรับ wifi ของผู้เยี่ยมชม แต่คุณสามารถใช้และเสียบเข้ากับ DMZ เพื่อการแยกที่ดีกว่า

แก้ไข: หมายเลขตัวเลือก DHCP ที่แก้ไขแล้วเป็น @generalnetworkerror ชี้ให้เห็นว่าหน่วยความจำผิดพลาดของฉัน

1. AP และคอนโทรลเลอร์ที่อยู่ในซับเน็ตเดียวกันนั้นค่อนข้างไม่น่าเป็นไปได้ คุณอาจมีคอนโทรลเลอร์ส่วนกลางที่ใดที่หนึ่งในองค์กรของคุณและ AP จะเสียบเข้ากับพอร์ตในตู้เสื้อผ้า IDF ที่แตกต่างกันซึ่งครอบคลุมหลายเครือข่ายย่อย เมื่อ APs บู๊ตพวกเขาใช้ชื่อโดเมนที่ได้รับมอบหมายผ่าน DHCP และลองแก้ไข CISCO-CAPWAP-CONTROLLER.domainname.com หรือ CISCO-LWAP-CONTROLLER.domainname.com และทำการอุโมงค์กลับไปที่อุโมงค์ CAPWAP หรือ LWAP ของพวกเขาที่นั่น การมี L2 VLAN เดียวกันที่กระจายอยู่รอบ ๆ สวิตช์และลำต้นหลาย ๆ อันของคุณนั้นอันตรายจาก STP pov ดังนั้นฉันจะบอกว่าการมี AP และตัวควบคุมในโดเมน L2 เดียวกันนั้นเป็นการปฏิบัติที่ไม่ดี
2. นอกจากว่าคุณต้องการให้เลขานุการของคุณเข้าถึงคอนโทรลเลอร์ดูการใช้เซิร์ฟเวอร์ Cisco Guest Access http://www.cisco.com/en/US/products/ps10160/index.html

วิธีนี้ช่วยให้เลขานุการสามารถสร้างชื่อผู้ใช้และรหัสผ่านสำหรับแขกรวมถึงส่งอีเมลข้อมูล (สามารถอ่านได้บนสมาร์ทโฟนและการเข้าสู่ระบบ) และระบุระยะเวลาที่บัญชีจะยังคงอยู่ในระบบ ด้วยวิธีนี้ไม่มีใครรู้ว่า PSK หรือเข้าสู่ระบบทั่วไปโดยใช้การตรวจสอบเว็บ นอกจากนี้ยังเป็นวิธีที่ดีที่สุดในการเข้ารหัสเหตุการณ์เปิด / แขกเครือข่าย wifi ด้วยรหัสผ่านง่าย ๆ เพื่อความปลอดภัยของผู้ใช้

1. คุณสามารถพยายามรักษา AP และอินเทอร์เฟซการจัดการของคอนโทรลเลอร์ไว้ในโดเมน L2 เดียวกัน แต่จะไม่ทำให้คุณปวดหัว สถาปัตยกรรมได้รับการออกแบบมาเพื่อให้คุณสามารถเสียบ AP แบบพลักแอนด์เพลย์ในเครือข่ายของคุณแม้ข้ามขอบเขต L3 AP จะค้นพบตัวควบคุมผ่านวิธีต่างๆ เราใช้การค้นพบ DNS (เพิ่มระเบียน A สำหรับ "CISCO-CAPWAP-CONTROLLER.yourdomain.com" ฉันเชื่อว่ามีอีกระเบียน A ที่จะเพิ่ม
2. ฉันไม่แน่ใจว่าฉันเข้าใจ 100% ของคำถามนี้ ดูเหมือนว่าเลขานุการจะตั้งค่า PSK สำหรับแขก ในกรณีนี้ฉันขอแนะนำให้คุณมีส่วนต่อประสานที่แตกต่างกันซึ่งไม่อนุญาตให้เข้าถึงพื้นที่ที่อยู่ RFC 1918 ใช้เซิร์ฟเวอร์ DNS ภายนอก จากนั้นทั้งหมดที่เหลือคือการให้เลขาเข้าถึง WLC เพื่อเปลี่ยน PSK ของ SSID

เป็นไปได้ที่จะมี WLC และ AP ในซับเน็ตเดียวกัน แต่ไม่น่าเป็นไปได้เนื่องจากยากต่อการจัดการโดยเฉพาะในสภาพแวดล้อมขนาดใหญ่หรือเมื่อคุณปรับใช้จุดเชื่อมต่อใหม่บ่อยครั้ง จากประสบการณ์ของฉัน: ในสถานที่เล็ก ๆ ที่คุณมี 10-20 AP และ WLC บนไซต์มันง่ายกว่าที่จะใส่ไว้ใน VLAN เดียวกัน ในการติดตั้งขนาดใหญ่ที่คุณมี WLC ส่วนกลาง (หรือซ้ำซ้อน) และ AP จำนวนมากที่กระจัดกระจาย (ทางภูมิศาสตร์) ง่ายต่อการกำหนดค่าและวิธีการ 'สะอาด' คือการใช้ DNS สำหรับกระบวนการค้นหา เมื่อคุณมีเครือข่ายที่ซับซ้อนมากขึ้นอาจเป็นเพราะความต้องการเฉพาะหรือการออกแบบที่ไม่ดีคุณสามารถใช้ตัวเลือก DHCP 43 (หรือการกำหนดค่าคงที่)

การใช้ระเบียน DNS เป็นวิธีแก้ปัญหาที่ง่ายสำหรับการค้นหาคอนโทรลเลอร์โดยเฉพาะถ้าคุณมีเพียงหนึ่งโดเมนในโดเมนของคุณหรือคุณไม่สนใจว่า WLC ที่ AP จะเข้าร่วม ฉันชอบใช้ตัวเลือกเฉพาะของผู้จำหน่าย DHCP สำหรับกระบวนการค้นหาเนื่องจากง่ายกว่าการกำหนดค่าด้วยตนเองlwapp ap controller ip addressแต่ให้การควบคุมมากขึ้นโดยเฉพาะเมื่อคุณไม่สามารถใช้โดเมนที่แตกต่างกันด้วยเหตุผลบางอย่างและต้องการที่จะสามารถส่ง WLC IP ที่แตกต่างกันไปยัง AP คุณสามารถสร้างนโยบายตามขอบเขตที่มีตัวเลือก DHCP 43 พร้อมที่อยู่ IP ของตัวควบคุมสำหรับ VCIs (ตัวระบุระดับผู้จำหน่าย) ของจุดเชื่อมต่อของคุณ VCI ถูกส่งไปในตัวเลือก 60 โดย DHCP ไคลเอนต์ในช่วง DHCP เริ่มต้นค้นหาการออกอากาศและใช้เพื่อระบุคลาสเฉพาะของอุปกรณ์ สำหรับ VCIs ที่ตรงกัน DHCP จะส่งตัวเลือก 43 พร้อมกับ suoptions 102 หรือ 241 ที่คุณจะกำหนดค่าให้เก็บที่อยู่ IP ของตัวควบคุมของคุณ (และไคลเอนต์อื่น ๆ จะไม่เห็นพวกเขา)