Atlas Borap

Cisco Catalyst 9800 Wireless Controller Konfigürasyon Modeli

Temel Bilgiler

Catalyst 9800 serisi Wireless Controller’larda Tag‘ler (etiketler), her Access Point için mevcut olan özellikleri kontrol etmek amacıyla kullanılır. Tag’ler her Access Point’e atanır ve her tag içinde Access Point’e uygulanan tüm ayarları bulabilirsiniz.

Profile’lar yani ayarlar, Tag’lerde toplanır; Tag’ler ise Access Point’lere atanır. Böylece o Access Point’in çalışma modu, yayınlayacağı SSID’ler, o SSID’lerin hangi VLAN’larda çalışacağı, SSH ve Telnet’in aktif/pasif edilmesi gibi yapılandırmalar gerçekleştirilmiş olur.

Üç tag vardır:

  • Policy Tag
  • Site Tag
  • RF Tag

Access Point konfigürasyonunun görsel şeması:

Varsayılan olarak Access Point’lere varsayılan tag’ler (default-policy-tag, default-site-tag, default-rf-tag) atanır ve varsayılan tag’lere varsayılan profile’lar (default-policy-profile, default-ap-profile, default-flex-profile, default-rf-profile) atanmıştır.

Policy Tag

Policy Tag, WLAN Profile (SSID) ve Policy Profile arasındaki bağlantıdır.

WLAN Profile (SSID)

WLAN Profile’da SSID’nin yanı sıra WLAN güvenliği (WPA, WPA2, WPA3, AAA), 802.11v ve 802.11k gibi protokollerin ayarlarını yapabilirsiniz.

Policy Profile

Bir Policy Profile içinde; VLAN bilgisini, trafiğin merkezi mi (central switching) lokal mi (local switching) olduğunu, Mobility Anchor’ları, QoS (Quality of Services – Hizmet Kalitesi) ayarlarını yapılandırabilirsiniz.

Site Tag

Site Tag, Access Point’lerin Local modda mı yoksa Flex modda mı olduğunu tanımlar. Monitor, Sniffer, Clear gibi diğer Access Point modları doğrudan Access Point üzerinde yapılandırılır.

Site Tag, AP Join Profile ve Flex Profile bilgilerini barındırır.

Not: Site Tag içinde Flex Profile, yalnızca Local Site devre dışı bırakıldığında kullanılabilir.

AP Join Profile

AP Join Profile içinde, Access Point’lerin ülke kodu, NTP sunucu adresi, CAPWAP Timer’ları, Backup Primary/Secondary Controller bilgileri, uzaktan erişim (Telnet/SSH) yapılandırması, CDP durumu gibi ayarları yapılandırabilirsiniz.

Flex Profile

Flex Profile’da, Native VLAN ID, ARP Caching, VLAN vb. ayarlar bulunur.

RF Tag

RF Tag’inin içinde herhangi bir RF Profile’ı seçebilir veya Global RF yapılandırmasını kullanmayı seçebilirsiniz.

2.4 GHz Profile

2.4 GHz bandı için kullanılacak veri hızlarını ve Radio Resource Management (RRM) ayarlarını tanımlamanıza olanak tanır.

5 GHz Profile

5 GHz bandı için kullanılacak veri hızlarını ve Radio Resource Management (RRM) ayarlarını tanımlamanıza olanak tanır.

6 GHz Profile

6 GHz bandı için kullanılacak veri hızlarını ve Radio Resource Management (RRM) ayarlarını tanımlamanıza olanak tanır.

Profile’lardaki Ayarların Listesi

Bir önceki nesil Wireless Controller ailesi olan AireOS‘a aşina iseniz, WLAN yapılandırması altında SSID’nin tüm özelliklerini yapılandırabiliyordunuz. Catalyst 9800 serisi Wireless Controller’larda bu ayarlar WLAN Profile ve Policy Profile arasında bölünmüştür. Ayrıca AireOS arayüzündeki Wireless > Global Configuration altında görülen bazı yapılandırmalar AP Join Profile’a taşınmıştır. Burada her profile’ın altında yapılandırabileceğiniz tüm ayarların listesini bulabilirsiniz.

WLAN Profile
  • 802.11ax Settings per WLAN
  • 802.11k
  • 802.11v (BSS, DMS, TFS, WNM)
  • Access Control List (ACLs)
  • Authentication List
  • Band Select
  • Broadcast SSID
  • Cisco Client Extensions (CCX)
  • Client Association Limit
  • Coverage Hole Detection (CHD)
  • Delivery Traffic Indication Map (DTIM)
  • Diagnostic Channel Capability
  • Load Balance
  • Local Authentication Settings
  • Media Stream Settings
  • Off Channel Scanning Defer
  • P2P Blocking
  • Protected Management Frame (PMF)
  • Radio Policy
  • Roamed Voice Clients Re-Anchor
  • Security Settings (PSK, 802.1x, Web Auth)
  • Static IP Clients Support
  • Universal AP
  • Unscheduled Automatic Power Save Delivery (U-APSD) for WLAN
  • Wi-Fi Direct
  • Wi-Fi Multimedia (WMM)
  • Workgroup Bridge (WGB) Support
Policy Profile
  • AAA Override
  • AAA Policy
  • Accounting List
  • Auto QoS
  • Call Snooping
  • Central/Local Switching
  • CiscoTrustSec (CTS)
  • Datalink ACL
  • Description
  • DHCP TLV Caching
  • DNS Layer Security Parameter Map / Umbrella Parameter Map
  • Fabric Profile
  • Flex NAT/PAT
  • Flex Split MAC ACL
  • Flex VLAN Central Switching
  • HTTP TLV Caching
  • Idle Threshold
  • Idle Timeout
  • IPv4 DHCP
  • IPv4/IPv6 ACL
  • IPv4/IPv6 Flexible Netflow Monitor
  • Local Subscriber Policy Name
  • Mobility Anchors
  • Multicast VLAN
  • NAC State
  • NBAR (Network Based Application Recognition) Protocol Discovery
  • Passive Client
  • RADIUS Profiling
  • Reanchor
  • Security Group ACLs (SGACLs)
  • Service Policy
  • Session Timeout
  • SIP-CAC
  • Static IP Mobility
  • URL Filters
  • VLAN
  • WGB Broadcast Tagging
  • WGB VLAN
AP Join Profile
  • 2.4 GHz / 5 GHz Client Statistics Reporting Interval
  • 802.1x Credentials for APs which act as supplicants
  • AP Preferred Mode (IPv4/IPv6)
  • AP Statistics
  • AP User Management
  • CAPWAP Backup Primary Controller
  • CAPWAP Backup Secondary Controller
  • CAPWAP Fallback
  • CAPWAP Retransmit Timers
  • CAPWAP Timers
  • CAPWAP Window Size
  • CDP for APs
  • Core Dump
  • Country Code
  • Description
  • Extended Module Support
  • Hyperlocation
  • ICap
  • Jumbo MTU
  • LAG Mode
  • LED State
  • Link Encryption
  • Link Latency
  • Mesh Profile
  • NTP Server
  • Packet Capture Profile
  • Persistent SSID Broadcast
  • Power over Ethernet (PoE)
  • Rogue Detection Settings
  • System Log
  • TCP MSS Configuration
  • Telnet/SSH Configuration
  • TFTP Downgrade
  • Trace Profile
  • USB Enable
Flex Profile
  • ARP Caching
  • CTS Policy
  • Description
  • Fallback Radio Shut
  • Flex Resilient
  • HTTP Proxy IP Address
  • HTTP Proxy Port
  • Join Minimum Latency
  • Local Authentication
  • Native VLAN ID
  • OfficeExtend AP mode
  • Policy ACL
  • Predownload
RF Profile
  • ATF Configuration
  • Band Select
  • Client Distribution
  • Coverage Hole Detection
  • Description
  • Dynamic Channel Assignment
  • High Density Parameters
  • High Speed Roam
  • Load Balance Settings
  • Operational Rates
  • Profile Thresholds for Traps
  • RRM (Radio Resource Management)
  • RSSI Settings
  • Transmit Power Control

Network Topolojisi

Konfigürasyon

VLAN’ların Oluşturulması

Herhangi bir konfigürasyona başlamadan önce wireless istemcilerinin kullanacağı VLAN’ları oluşturmanız gerekir.

Adım 1. Configuration > Layer2 > VLAN > + Add

Adım 2. Gerekli bilgileri (VLAN ID, Name) girin ve Apply to Device butonuna tıklayın.

Not: Eğer “Name” alanını boş bırakırsanız VLAN ismi “VLANXXXX” olarak atanır; burada XXXX, VLAN ID’dir.

Wireless’ta kullanacağınız tüm VLAN’lar için adım 1 ve adım 2’yi tekrarlayın.

Adım 3. Oluşturduğunuz VLAN’ların Trunk portun “Allowed Vlan” listesinde olup olmadığını kontrol edin.

Eğer Port Channel kullanıyorsanız, Configuration > Interface > Logical > Port Channel Name > General‘a gidin. “Allowed Vlan” alanında “All” seçeneğinin işaretli olduğunu görürseniz ekstra bir konfigürasyon yapmanıza gerek yok. “Allowed Vlan” alanında “Vlan IDs” seçeneği işaretli ise, kullandığınız VLAN’ları listeye ekleyin ve “Update & Apply to Device” butonuna tıklayın.

Eğer Port Channel kullanmıyorsanız, Configuration > Interface > Ethernet > Interface Name > General‘a gidin. “Allowed Vlan” alanında “All” seçeneğinin işaretli olduğunu görürseniz ekstra bir konfigürasyon yapmanıza gerek yok. “Allowed Vlan” alanında “Vlan IDs” seçeneği işaretli ise, kullandığınız VLAN’ları listeye ekleyin ve “Update & Apply to Device” butonuna tıklayın.

Konfigürasyonda değişiklik yapmanıza gerek yok:

Kullandığınız VLAN’ları listeye eklemelisiniz:

CLI:

configure terminal

 vlan 2602
  name Wireless
  exit

 interface GigabitEthernet2
  switchport trunk allowed vlan add 2602
  end

write

AAA Konfigürasyonu (İsteğe Bağlı)

Tavsiye edilen konfigürasyon akışı:

  1. RADIUS Server’ın Eklenmesi
  2. RADIUS Group’un Oluşturulması
  3. AAA Method’un Oluşturulması

RADIUS Server’ın Eklenmesi

Adım 1. Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add

Adım 2. Gerekli bilgileri (Name, Server Address, Key vb.) girin ve Apply to Device butonuna tıklayın.

CLI:

configure terminal

radius server ISE
 address ipv4 10.26.0.15 auth-port 1812 acct-port 1813
 key [key]

aaa server radius dynamic-author
 client 10.26.0.15 server-key [server-key]
 end

write

RADIUS Group’un Oluşturulması

Adım 1. Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add

Adım 2. Gerekli bilgileri girin ve bir önceki adımda oluşturduğunuz RADIUS Server’ı “Assigned Servers” alanına taşıdığınızdan emin olun.

CLI:

configure terminal

aaa group server radius ISE-Group
 server name ISE
 ip radius source-interface GigabitEthernet1
 deadtime 5
 end

write

AAA Method’un Oluşturulması

Adım 1. Configuration > Security > AAA > AAA Method List > Authentication > + Add

Adım 2. Gerekli bilgileri (Method List Name, Type, Group Type vb.) girin ve bir önceki adımda oluşturduğunuz Radius Server Group’u “Assigned Server Groups” alanına taşıdığınızdan emin olun.

Type:

  • dot1x: 802.1x
  • login: WebAuth

Group Type:

  • group: External RADIUS Server
  • local: Local Authentication

Adım 3. (İsteğe Bağlı): Authorization ve Accounting Method List’leri oluşturun.

CLI:

configure terminal

aaa authentication dot1x auth-method group ISE-Group
exit

write

Policy Tag Konfigürasyonu

Tavsiye edilen konfigürasyon akışı:

  1. WLAN Profile’ın Oluşturulması
  2. Policy Profile’ın Oluşturulması
  3. Policy Tag’in Oluşturulması (SSID ve Policy Profile’ın Birbirine Bağlanması)
  4. Policy Tag’in Access Point’e Atanması

WLAN Profile’ın Oluşturulması

Adım 1. Configuration > Tags & Profiles > WLANs > + Add

Adım 2. Gerekli bilgileri (Profile Name, SSID, Security Type vb.) girin ve Apply to Device butonuna tıklayın.

CLI:

configure terminal

wlan [profile-name] [wlan-id] [ssid]
 --- desired settings ---
 no shutdown
exit

write

Policy Profile’ın Oluşturulması

Adım 1. Configuration > Tags & Profiles > Policy > + Add

Adım 2. Gerekli bilgileri (Name, Description) girin ve Status’u aktif edin.

Adım 3. Access Policies tabındaki VLAN alanını doldurun ve Apply to Device butonuna tıklayın.

CLI:

configure terminal

wireless profile policy first-policy-profile
 description "First Policy Profile"
 vlan Wireless
 no shutdown
 end

write

Policy Tag’in Oluşturulması (SSID ve Policy Profile’ın Birbirine Bağlanması)

Policy Tag, SSID ile Policy Profile’ın bağlantısını sağlayan bir yapıdır. WLAN’ın hangi VLAN’da çalışacağını belirler.

Adım 1. Configuration > Tags & Profiles > Tags > Policy > + Add

Adım 2. Gerekli bilgileri (Name, Description) girin ve WLAN-POLICY Maps alanındaki + Add butonuna tıklayarak oluşturduğunuz WLAN Profile ve Policy Profile’ı seçin, öncelikle Apply (✓) butonuna ardından Apply to Device butonuna tıklayın.

CLI:

configure terminal

wireless tag policy first-policy-tag
 description "First Policy Tag"
 wlan first-wlan-profile policy first-policy-profile
 end

write

Policy Tag’in Access Point’e Atanması

Policy Tag’i direkt bir Access Point’e veya birden çok Access Point’e toplu olarak atayabilirsiniz.

Policy Tag’in Tek Access Point’e Atanması

Adım 1. Configuration > Wireless > Access Points > AP-Name

Adım 2. General > Tags > Policy alanında oluşturduğunuz Policy Tag’i seçin ve Update & Apply to Device butonuna tıklayın.

Not: Access Point’teki Policy Tag’i değiştirmeniz durumunda Access Point ile Wireless Controller arasındaki bağlantı yaklaşık 1 dakikalığına düşecektir, ardından Access Point Wireless Controller’a tekrar Join olur.

CLI:

configure terminal

ap [ethernet-mac-addr]
 policy-tag first-policy-tag
 end

write

Policy Tag’in Access Point’lere Toplu Atanması

Adım 1. Configuration > Wireless Setup > Advanced > Start Now > Tag APs

Adım 2. Policy Tag’i atayacağınız tüm Access Point’leri seçip + Tag APs butonuna tıklayın.

Adım 3. Access Point’lere atamak istediğiniz Policy Tag’i seçin ve Apply to Device butonuna tıklayın.

Policy Tag konfigürasyonu bitti, sırada Site Tag konfigürasyonu var.

Site Tag Konfigürasyonu

Tavsiye edilen konfigürasyon akışı:

  1. AP Join Profile’ın Oluşturulması
  2. Flex Profile’ın Oluşturulması (İsteğe Bağlı, Access Point’ler Flex Modda ise)
  3. Site Tag’in Oluşturulması
  4. Site Tag’in Access Point’e Atanması

AP Join Profile’ın Oluşturulması

Adım 1. Configuration > Tags & Profiles > AP Join > + Add

Adım 2. Gerekli bilgileri (Name, Country Code, NTP Server vb.) girin.

Adım 3. (İsteğe Bağlı) Access Point’lere SSH ile erişmek için AP Join Profile’da SSH’ı aktif edin.

Adım 4. (İsteğe Bağlı) SSH bağlantısında kullanacağınız Username ve Password’ü belirleyin ve Apply to Device butonuna tıklayın.

CLI:

configure terminal

ap profile first-ap-join-profile
 description "First AP Join Profile"
 mgmtuser username admin password 0 [password] secret 0 [secret]
 ntp ip 10.26.0.254
 ssh
 syslog host 255.255.255.255
 timezone use-controller
 end

write

Flex Profile’ın Oluşturulması (İsteğe Bağlı, Access Point’ler Flex Modda ise)

Adım 1. Configuration > Tags & Profiles > Flex > + Add

Adım 2. Gerekli bilgileri (Name, Description, Native VLAN ID vb.) girin ve Apply to Device butonuna tıklayın.

CLI:

configure terminal

wireless profile flex first-flex-profile
 description "First Flex Profile"
 native-vlan-id 2601
 end

write

Site Tag’in Oluşturulması

Site Tag, AP Join Profile ile AP Flex Profile’ı içinde barındıran bir yapıdır.

Adım 1. Configuration > Tags & Profiles > Tags > Site > + Add

Adım 2. Gerekli bilgileri (Name, Description) girin. Oluşturduğunuz AP Join Profile ve Flex Profile’ı seçin, Apply to Device butonuna tıklayın.

Not: Site Tag içinde Flex Profile, yalnızca Local Site devre dışı bırakıldığında kullanılabilir.

Enable Local Site seçeneği aktif, dolayısıyla Flex Profile inaktif; bu Site Tag’deki Access Point’ler Local Modda çalışacaktır:

Enable Local Site seçeneği inaktif, dolayısıyla Flex Profile aktif; bu Site Tag’deki Access Point’ler Flex Modda çalışacaktır:

CLI:

configure terminal

wireless tag site first-site-tag
 ap-profile first-ap-join-profile
 description "First Site Tag"
 end

write

Site Tag’in Access Point’e Atanması

Site Tag’i direkt bir Access Point’e veya birden çok Access Point’e toplu olarak atayabilirsiniz.

Site Tag’in Tek Access Point’e Atanması

Adım 1. Configuration > Wireless > Access Points > AP-Name

Adım 2. General > Tags > Site alanında oluşturduğunuz Site Tag’i seçin ve Update & Apply to Device butonuna tıklayın.

Not: Access Point’teki Site Tag’i değiştirmeniz durumunda Access Point ile Wireless Controller arasındaki bağlantı yaklaşık 1 dakikalığına düşecektir, ardından Access Point Wireless Controller’a tekrar Join olur.

CLI:

configure terminal

ap [ethernet-mac-addr]
 site-tag first-site-tag
 end

write

Site Tag’in Access Point’lere Toplu Atanması

Adım 1. Configuration > Wireless Setup > Advanced > Start Now > Tag APs

Adım 2. Site Tag’i atayacağınız tüm Access Point’leri seçip + Tag APs butonuna tıklayın.

Adım 3. Access Point’lere atamak istediğiniz Site Tag’i seçin ve Apply to Device butonuna tıklayın.

Site Tag konfigürasyonu bitti, sırada RF Tag konfigürasyonu var.

RF Tag Konfigürasyonu

Tavsiye edilen konfigürasyon akışı:

  1. 2.4 GHz, 5 GHz ve 6 GHz RF Profile’ların Oluşturulması
  2. RF Tag’in Oluşturulması
  3. RF Tag’in Access Point’e Atanması

RF Profile’ların Oluşturulması

Adım 1. Configuration > Tags & Profiles > RF/Radio > RF > + Add

Adım 2. Gerekli bilgileri (Name, Radio Band, Description vb.) girin. 802.11 ve RRM ayarlarınızı ihtiyaca göre düzenleyebilirsiniz ardından Apply to Device butonuna tıklayın.

Adım 3. 5 GHz ve 6 GHz için de RF Profile oluşturun.

CLI:

configure terminal

ap dot11 24ghz rf-profile first-24ghz-rf-profile
 description "First 2.4 GHz RF Profile"
 --- desired settings ---
 end

write

RF Tag’in Oluşturulması

RF Tag, tüm RF Profile’ları içinde barındıran bir yapıdır.

Adım 1. Configuration > Tags & Profiles > Tags > RF > + Add

Adım 2. Gerekli bilgileri (Name, Description) girin ve oluşturduğunuz RF Profile’ları seçip Apply to Device butonuna tıklayın.

CLI:

configure terminal

wireless tag rf first-rf-tag
 24ghz-rf-policy first-24ghz-rf-profile
 5ghz-rf-policy first-5ghz-rf-profile
 6ghz-rf-policy first-6ghz-rf-profile
 description "First RF Tag"
 end

write

RF Tag’in Access Point’e Atanması

RF Tag’i direkt bir Access Point’e veya birden çok Access Point’e toplu olarak atayabilirsiniz.

RF Tag’in Tek Access Point’e Atanması

Adım 1. Configuration > Wireless > Access Points > AP-Name

Adım 2. General > Tags > RF alanında oluşturduğunuz RF Tag’i seçin ve Update & Apply to Device butonuna tıklayın.

Not: Access Point’teki RF Tag’i değiştirmeniz durumunda Access Point ile Wireless Controller arasındaki bağlantı yaklaşık 1 dakikalığına düşecektir, ardından Access Point Wireless Controller’a tekrar Join olur.

CLI:

configure terminal

ap [ethernet-mac-addr]
 rf-tag first-rf-tag
 end

write

RF Tag’in Access Point’lere Toplu Atanması

Adım 1. Configuration > Wireless Setup > Advanced > Start Now > Tag APs

Adım 2. RF Tag’i atayacağınız tüm Access Point’leri seçip + Tag APs butonuna tıklayın.

Adım 3. Access Point’lere atamak istediğiniz RF Tag’i seçin ve Apply to Device butonuna tıklayın.

Tüm profile ve tag konfigürasyonları bitti.

Konfigürasyon Doğrulama

Aşağıdaki komutları kullanarak konfigürasyonunuzu kontrol edebilirsiniz.

VLAN ve Interface Konfigürasyonu

show vlan brief
show interfaces trunk
show running-config interface [interface-id]

AAA Konfigürasyonu

show running-config aaa
show aaa servers

WLAN Konfigürasyonu

show wlan summary
show running-config wlan [wlan-profile-name]
show wlan { id [wlan-id] | name [wlan-profile-name] | all }

Profile Konfigürasyonu

show wireless profile { flex | policy } summary
show wireless profile { flex | policy } detailed [profile-name]
show ap profile name [ap-join-profile-name] detailed

Tag Konfigürasyonu

show wireless tag { policy | site | rf } summary
show wireless tag { policy | site | rf } detailed [tag-name]

Access Point Konfigürasyonu

show ap summary
show ap tag summary
show ap name [ap-name] tag { info | detail }

Sıkça Sorulan Sorular

Soru 1. Aynı Policy Profile’ı farklı WLAN Profile’larla kullanabilir miyim?

Cevap: Evet

Soru 2. Aynı WLAN Profile’ı farklı Policy Tag’lerde kullanabilir miyim?

Cevap: Evet

Soru 3. Aynı Policy Profile’ı farklı Policy Tag’lerde kullanabilir miyim?

Cevap: Evet

Soru 4. Bir Policy Tag’de kullnanılabilecek maksimum WLAN Profile sayısı kaçtır?

Cevap: 16

Soru 5. Bir Access Point’teki üç tag’i de değiştirmek zorunda mıyım?

Cevap: Hayır, sadece ihtiyacınız olan tag’leri güncelleyip diğerlerini Default Tag’lerde bırakabilirsiniz.

Kaynak: Understand Catalyst 9800 Wireless Controllers Configuration Model

daha fazla blog