Cisco Catalyst 9800 Wireless Controller Konfigürasyon Modeli
9 Aralık 2023 · 7 dakika okuma
- Temel Bilgiler
- Policy Tag
- Site Tag
- RF Tag
- Profile'lardaki Ayarların Listesi
- Network Topolojisi
- Konfigürasyon
- VLAN'ların Oluşturulması
- AAA Konfigürasyonu (İsteğe Bağlı)
- Policy Tag Konfigürasyonu
- WLAN Profile'ın Oluşturulması
- Policy Profile'ın Oluşturulması
- Policy Tag'in Oluşturulması (SSID ve Policy Profile'ın Birbirine Bağlanması)
- Policy Tag'in Access Point'e Atanması
- Site Tag Konfigürasyonu
- AP Join Profile'ın Oluşturulması
- Flex Profile'ın Oluşturulması (İsteğe Bağlı, Access Point'ler Flex Modda ise)
- Site Tag'in Oluşturulması
- Site Tag'in Access Point'e Atanması
- RF Tag Konfigürasyonu
- Konfigürasyon Doğrulama
- VLAN ve Interface Konfigürasyonu
- AAA Konfigürasyonu
- WLAN Konfigürasyonu
- Profile Konfigürasyonu
- Tag Konfigürasyonu
- Access Point Konfigürasyonu
- Sıkça Sorulan Sorular
Temel Bilgiler
Catalyst 9800 serisi Wireless Controller'larda Tag'ler (etiketler), her Access Point için mevcut olan özellikleri kontrol etmek amacıyla kullanılır. Tag'ler her Access Point'e atanır ve her tag içinde Access Point'e uygulanan tüm ayarları bulabilirsiniz.
Profile'lar yani ayarlar, Tag'lerde toplanır; Tag'ler ise Access Point'lere atanır. Böylece o Access Point'in çalışma modu, yayınlayacağı SSID'ler, o SSID'lerin hangi VLAN'larda çalışacağı, SSH ve Telnet'in aktif/pasif edilmesi gibi yapılandırmalar gerçekleştirilmiş olur.
Üç tag vardır:
- Policy Tag
- Site Tag
- RF Tag
Access Point konfigürasyonunun görsel şeması:
Varsayılan olarak Access Point'lere varsayılan tag'ler (default-policy-tag, default-site-tag, default-rf-tag) atanır ve varsayılan tag'lere varsayılan profile'lar (default-policy-profile, default-ap-profile, default-flex-profile, default-rf-profile) atanmıştır.
Policy Tag
Policy Tag, WLAN Profile (SSID) ve Policy Profile arasındaki bağlantıdır.
WLAN Profile (SSID)
WLAN Profile'da SSID'nin yanı sıra WLAN güvenliği (WPA, WPA2, WPA3, AAA), 802.11v ve 802.11k gibi protokollerin ayarlarını yapabilirsiniz.
Policy Profile
Bir Policy Profile içinde; VLAN bilgisini, trafiğin merkezi mi (central switching) lokal mi (local switching) olduğunu, Mobility Anchor'ları, QoS (Quality of Services - Hizmet Kalitesi) ayarlarını yapılandırabilirsiniz.
Site Tag
Site Tag, Access Point'lerin local modda mı yoksa flex modda mı olduğunu tanımlar. Monitor, Sniffer, Clear gibi diğer Access Point modları doğrudan Access Point üzerinde yapılandırılır.
Site Tag, AP Join Profile ve Flex Profile bilgilerini barındırır.
Not: Site Tag içinde Flex Profile, yalnızca Local Site devre dışı bırakıldığında kullanılabilir.
AP Join Profile
AP Join Profile içinde, Access Point'lerin ülke kodu, NTP sunucu adresi, CAPWAP Timer'ları, Backup Primary/Secondary Controller bilgileri, uzaktan erişim (Telnet/SSH) yapılandırması, CDP durumu gibi ayarları yapılandırabilirsiniz.
Flex Profile
Flex Profile'da, Native VLAN ID, ARP Caching, VLAN vb. ayarlar bulunur.
RF Tag
RF Tag'inin içinde herhangi bir RF Profile'ı seçebilir veya Global RF yapılandırmasını kullanmayı seçebilirsiniz.
2.4 GHz Profile
2.4 GHz bandı için kullanılacak veri hızlarını ve Radio Resource Management (RRM) ayarlarını tanımlamanıza olanak tanır.
5 GHz Profile
5 GHz bandı için kullanılacak veri hızlarını ve Radio Resource Management (RRM) ayarlarını tanımlamanıza olanak tanır.
6 GHz Profile
6 GHz bandı için kullanılacak veri hızlarını ve Radio Resource Management (RRM) ayarlarını tanımlamanıza olanak tanır.
Profile'lardaki Ayarların Listesi
Bir önceki nesil Wireless Controller ailesi olan AireOS'a aşina iseniz, WLAN yapılandırması altında SSID'nin tüm özelliklerini yapılandırabiliyordunuz. Catalyst 9800 serisi Wireless Controller'larda bu ayarlar WLAN Profile ve Policy Profile arasında bölünmüştür. Ayrıca AireOS arayüzündeki Wireless > Global Configuration altında görülen bazı yapılandırmalar AP Join Profile'a taşınmıştır. Burada her profile'ın altında yapılandırabileceğiniz tüm ayarların listesini bulabilirsiniz.
- 802.11ax Settings per WLAN
- 802.11k
- 802.11v (BSS, DMS, TFS, WNM)
- Access Control List (ACLs)
- Authentication List
- Band Select
- Broadcast SSID
- Cisco Client Extensions (CCX)
- Client Association Limit
- Coverage Hole Detection (CHD)
- Delivery Traffic Indication Map (DTIM)
- Diagnostic Channel Capability
- Load Balance
- Local Authentication Settings
- Media Stream Settings
- Off Channel Scanning Defer
- P2P Blocking
- Protected Management Frame (PMF)
- Radio Policy
- Roamed Voice Clients Re-Anchor
- Security Settings (PSK, 802.1x, Web Auth)
- Static IP Clients Support
- Universal AP
- Unscheduled Automatic Power Save Delivery (U-APSD) for WLAN
- Wi-Fi Direct
- Wi-Fi Multimedia (WMM)
- Workgroup Bridge (WGB) Support
- AAA Override
- AAA Policy
- Accounting List
- Auto QoS
- Call Snooping
- Central/Local Switching
- CiscoTrustSec (CTS)
- Datalink ACL
- Description
- DHCP TLV Caching
- DNS Layer Security Parameter Map / Umbrella Parameter Map
- Fabric Profile
- Flex NAT/PAT
- Flex Split MAC ACL
- Flex VLAN Central Switching
- HTTP TLV Caching
- Idle Threshold
- Idle Timeout
- IPv4 DHCP
- IPv4/IPv6 ACL
- IPv4/IPv6 Flexible Netflow Monitor
- Local Subscriber Policy Name
- Mobility Anchors
- Multicast VLAN
- NAC State
- NBAR (Network Based Application Recognition) Protocol Discovery
- Passive Client
- RADIUS Profiling
- Reanchor
- Security Group ACLs (SGACLs)
- Service Policy
- Session Timeout
- SIP-CAC
- Static IP Mobility
- URL Filters
- VLAN
- WGB Broadcast Tagging
- WGB VLAN
- 2.4 GHz / 5 GHz Client Statistics Reporting Interval
- 802.1x Credentials for APs which act as supplicants
- AP Preferred Mode (IPv4/IPv6)
- AP Statistics
- AP User Management
- CAPWAP Backup Primary Controller
- CAPWAP Backup Secondary Controller
- CAPWAP Fallback
- CAPWAP Retransmit Timers
- CAPWAP Timers
- CAPWAP Window Size
- CDP for APs
- Core Dump
- Country Code
- Description
- Extended Module Support
- Hyperlocation
- ICap
- Jumbo MTU
- LAG Mode
- LED State
- Link Encryption
- Link Latency
- Mesh Profile
- NTP Server
- Packet Capture Profile
- Persistent SSID Broadcast
- Power over Ethernet (PoE)
- Rogue Detection Settings
- System Log
- TCP MSS Configuration
- Telnet/SSH Configuration
- TFTP Downgrade
- Trace Profile
- USB Enable
- ARP Caching
- CTS Policy
- Description
- Fallback Radio Shut
- Flex Resilient
- HTTP Proxy IP Address
- HTTP Proxy Port
- Join Minimum Latency
- Local Authentication
- Native VLAN ID
- OfficeExtend AP mode
- Policy ACL
- Predownload
- ATF Configuration
- Band Select
- Client Distribution
- Coverage Hole Detection
- Description
- Dynamic Channel Assignment
- High Density Parameters
- High Speed Roam
- Load Balance Settings
- Operational Rates
- Profile Thresholds for Traps
- RRM (Radio Resource Management)
- RSSI Settings
- Transmit Power Control
Network Topolojisi
Konfigürasyon
VLAN'ların Oluşturulması
Herhangi bir konfigürasyona başlamadan önce wireless istemcilerinin kullanacağı VLAN'ları oluşturmanız gerekir.
Adım 1. Configuration > Layer2 > VLAN > + Add
Adım 2. Gerekli bilgileri (VLAN ID, Name) girin ve Apply to Device butonuna tıklayın.
Not: Eğer "Name" alanını boş bırakırsanız VLAN ismi "VLANXXXX" olarak atanır; burada XXXX, VLAN ID'dir.
Wireless'ta kullanacağınız tüm VLAN'lar için adım 1 ve adım 2'yi tekrarlayın.
Adım 3: Oluşturduğunuz VLAN'ların Trunk portun "Allowed Vlan" listesinde olup olmadığını kontrol edin.
Eğer Port Channel kullanıyorsanız, Configuration > Interface > Logical > Port Channel Name > General'a gidin. "Allowed Vlan" alanında "All" seçeneğinin işaretli olduğunu görürseniz ekstra bir konfigürasyon yapmanıza gerek yok. "Allowed Vlan" alanında "Vlan IDs" seçeneği işaretli ise, kullandığınız VLAN'ları listeye ekleyin ve "Update & Apply to Device" butonuna tıklayın.
Eğer Port Channel kullanmıyorsanız, Configuration > Interface > Ethernet > Interface Name > General'a gidin. "Allowed Vlan" alanında "All" seçeneğinin işaretli olduğunu görürseniz ekstra bir konfigürasyon yapmanıza gerek yok. "Allowed Vlan" alanında "Vlan IDs" seçeneği işaretli ise, kullandığınız VLAN'ları listeye ekleyin ve "Update & Apply to Device" butonuna tıklayın.
Konfigürasyonda değişiklik yapmanıza gerek yok:
Kullandığınız VLAN'ları listeye eklemelisiniz:
CLI:
configure terminal
vlan 2602
name Wireless
exit
interface GigabitEthernet2
switchport trunk allowed vlan add 2602
end
write
AAA Konfigürasyonu (İsteğe Bağlı)
Tavsiye edilen konfigürasyon akışı:
- RADIUS Server'ın Eklenmesi
- RADIUS Group'un Oluşturulması
- AAA Method'un Oluşturulması
RADIUS Server'ın Eklenmesi
Adım 1. Configuration > Security > AAA > Servers / Groups > RADIUS > Servers > + Add
Adım 2. Gerekli bilgileri (Name, Server Address, Key vb.) girin ve Apply to Device butonuna tıklayın.
CLI:
configure terminal
radius server ISE
address ipv4 10.26.0.15 auth-port 1812 acct-port 1813
key [key]
aaa server radius dynamic-author
client 10.26.0.15 server-key [server-key]
end
write
RADIUS Group'un Oluşturulması
Adım 1. Configuration > Security > AAA > Servers / Groups > RADIUS > Server Groups > + Add
Adım 2. Gerekli bilgileri girin ve bir önceki adımda oluşturduğunuz RADIUS Server'ı "Assigned Servers" alanına taşıdığınızdan emin olun.
CLI:
configure terminal
aaa group server radius ISE-Group
server name ISE
ip radius source-interface GigabitEthernet1
deadtime 5
end
write
AAA Method'un Oluşturulması
Adım 1. Configuration > Security > AAA > AAA Method List > Authentication > + Add
Adım 2: Gerekli bilgileri (Method List Name, Type, Group Type vb.) girin ve bir önceki adımda oluşturduğunuz Radius Server Group'u "Assigned Server Groups" alanına taşıdığınızdan emin olun.
Type:
- dot1x: 802.1x
- login: WebAuth
Group Type:
- group: External RADIUS Server
- local: Local Authentication
Adım 3. (İsteğe Bağlı): Authorization ve Accounting Method List'leri oluşturun.
CLI:
configure terminal
aaa authentication dot1x auth-method group ISE-Group
exit
write
Policy Tag Konfigürasyonu
Tavsiye edilen konfigürasyon akışı:
- WLAN Profile'ın Oluşturulması
- Policy Profile'ın Oluşturulması
- Policy Tag'in Oluşturulması (SSID ve Policy Profile'ın Birbirine Bağlanması)
- Policy Tag'in Access Point'e Atanması
WLAN Profile'ın Oluşturulması
Adım 1: Configuration > Tags & Profiles > WLANs > + Add
Adım 2: Gerekli bilgileri (Profile Name, SSID, Security Type vb.) girin ve Apply to Device butonuna tıklayın.
CLI:
configure terminal
wlan [profile-name] [wlan-id] [ssid]
--- desired settings ---
no shutdown
exit
write
Policy Profile'ın Oluşturulması
Adım 1: Configuration > Tags & Profiles > Policy > + Add
Adım 2: Gerekli bilgileri (Name, Description) girin ve Status'u aktif edin.
Adım 3: Access Policies tabındaki VLAN alanını doldurun ve Apply to Device butonuna tıklayın.
CLI:
configure terminal
wireless profile policy first-policy-profile
description "First Policy Profile"
vlan Wireless
no shutdown
end
write
Policy Tag'in Oluşturulması (SSID ve Policy Profile'ın Birbirine Bağlanması)
Policy Tag, SSID ile Policy Profile'ın bağlantısını sağlayan bir yapıdır. WLAN'ın hangi VLAN'da çalışacağını belirler.
Adım 1: Configuration > Tags & Profiles > Tags > Policy > + Add
Adım 2: Gerekli bilgileri (Name, Description) girin ve WLAN-POLICY Maps alanındaki + Add butonuna tıklayarak oluşturduğunuz WLAN Profile ve Policy Profile'ı seçin, öncelikle Apply (✓) butonuna ardından Apply to Device butonuna tıklayın.
CLI:
configure terminal
wireless tag policy first-policy-tag
description "First Policy Tag"
wlan first-wlan-profile policy first-policy-profile
end
write
Policy Tag'in Access Point'e Atanması
Policy Tag'i direkt bir Access Point'e veya birden çok Access Point'e toplu olarak atayabilirsiniz.
Policy Tag'in Tek Access Point'e Atanması
Adım 1: Configuration > Wireless > Access Points > AP-Name
Adım 2: General > Tags > Policy alanında oluşturduğunuz Policy Tag'i seçin ve Update & Apply to Device butonuna tıklayın.
Not: Access Point'teki Policy Tag'i değiştirmeniz durumunda Access Point ile Wireless Controller arasındaki bağlantı yaklaşık 1 dakikalığına düşecektir, ardından Access Point Wireless Controller'a tekrar Join olur.
CLI:
configure terminal
ap [ethernet-mac-addr]
policy-tag first-policy-tag
end
write
Policy Tag'in Access Point'lere Toplu Atanması
Adım 1: Configuration > Wireless Setup > Advanced > Start Now > Tag APs
Adım 2: Policy Tag'i atayacağınız tüm Access Point'leri seçip + Tag APs butonuna tıklayın.
Adım 3: Access Point'lere atamak istediğiniz Policy Tag'i seçin ve Apply to Device butonuna tıklayın.
Policy Tag konfigürasyonu bitti, sırada Site Tag konfigürasyonu var.
Site Tag Konfigürasyonu
Tavsiye edilen konfigürasyon akışı:
- AP Join Profile'ın Oluşturulması
- Flex Profile'ın Oluşturulması (İsteğe Bağlı, Access Point'ler Flex Modda ise)
- Site Tag'in Oluşturulması
- Site Tag'in Access Point'e Atanması
AP Join Profile'ın Oluşturulması
Adım 1: Configuration > Tags & Profiles > AP Join > + Add
Adım 2: Gerekli bilgileri (Name, Country Code, NTP Server vb.) girin.
Adım 3 (İsteğe Bağlı): Access Point'lere SSH ile erişmek için AP Join Profile'da SSH'ı aktif edin.
Adım 4 (İsteğe Bağlı): SSH bağlantısında kullanacağınız Username ve Password'ü belirleyin ve Apply to Device butonuna tıklayın.
CLI:
configure terminal
ap profile first-ap-join-profile
description "First AP Join Profile"
mgmtuser username admin password 0 [password] secret 0 [secret]
ntp ip 10.0.10.1
ssh
syslog host 255.255.255.255
timezone use-controller
end
write
Flex Profile'ın Oluşturulması (İsteğe Bağlı, Access Point'ler Flex Modda ise)
Adım 1: Configuration > Tags & Profiles > Flex > + Add
Adım 2: Gerekli bilgileri (Name, Description, Native VLAN ID vb.) girin ve Apply to Device butonuna tıklayın.
CLI:
configure terminal
wireless profile flex first-flex-profile
description "First Flex Profile"
native-vlan-id 2601
end
write
Site Tag'in Oluşturulması
Site Tag, AP Join Profile ile AP Flex Profile'ı içinde barındıran bir yapıdır.
Adım 1: Configuration > Tags & Profiles > Tags > Site > + Add
Adım 2: Gerekli bilgileri (Name, Description) girin. Oluşturduğunuz AP Join Profile ve Flex Profile'ı seçin, Apply to Device butonuna tıklayın.
Not: Site Tag içinde Flex Profile, yalnızca Local Site devre dışı bırakıldığında kullanılabilir.
Enable Local Site seçeneği aktif, dolayısıyla Flex Profile inaktif; bu Site Tag'deki Access Point'ler Local Modda çalışacaktır:
Enable Local Site seçeneği inaktif, dolayısıyla Flex Profile aktif; bu Site Tag'deki Access Point'ler Flex Modda çalışacaktır:
CLI:
configure terminal
wireless tag site first-site-tag
ap-profile first-ap-join-profile
description "First Site Tag"
end
write
Site Tag'in Access Point'e Atanması
Site Tag'i direkt bir Access Point'e veya birden çok Access Point'e toplu olarak atayabilirsiniz.
Site Tag'in Tek Access Point'e Atanması
Adım 1: Configuration > Wireless > Access Points > AP-Name
Adım 2: General > Tags > Site alanında oluşturduğunuz Site Tag'i seçin ve Update & Apply to Device butonuna tıklayın.
Not: Access Point'teki Site Tag'i değiştirmeniz durumunda Access Point ile Wireless Controller arasındaki bağlantı yaklaşık 1 dakikalığına düşecektir, ardından Access Point Wireless Controller'a tekrar Join olur.
CLI:
configure terminal
ap [ethernet-mac-addr]
site-tag first-site-tag
end
write
Site Tag'in Access Point'lere Toplu Atanması
Adım 1: Configuration > Wireless Setup > Advanced > Start Now > Tag APs
Adım 2: Site Tag'i atayacağınız tüm Access Point'leri seçip + Tag APs butonuna tıklayın.
Adım 3: Access Point'lere atamak istediğiniz Site Tag'i seçin ve Apply to Device butonuna tıklayın.
Site Tag konfigürasyonu bitti, sırada RF Tag konfigürasyonu var.
RF Tag Konfigürasyonu
Tavsiye edilen konfigürasyon akışı:
- 2.4 GHz, 5 GHz ve 6 GHz RF Profile'ların Oluşturulması
- RF Tag'in Oluşturulması
- RF Tag'in Access Point'e Atanması
RF Profile'ların Oluşturulması
Adım 1: Configuration > Tags & Profiles > RF/Radio > RF > + Add
Adım 2: Gerekli bilgileri (Name, Radio Band, Description vb.) girin. 802.11 ve RRM ayarlarınızı ihtiyaca göre düzenleyebilirsiniz ardından Apply to Device butonuna tıklayın.
Adım 3: 5 GHz ve 6 GHz için de RF Profile oluşturun.
CLI:
configure terminal
ap dot11 24ghz rf-profile first-24ghz-rf-profile
description "First 2.4 GHz RF Profile"
--- desired settings ---
end
write
RF Tag'in Oluşturulması
RF Tag, tüm RF Profile'ları içinde barındıran bir yapıdır.
Adım 1: Configuration > Tags & Profiles > Tags > RF > + Add
Adım 2: Gerekli bilgileri (Name, Description) girin ve oluşturduğunuz RF Profile'ları seçip Apply to Device butonuna tıklayın.
CLI:
configure terminal
wireless tag rf first-rf-tag
24ghz-rf-policy first-24ghz-rf-profile
5ghz-rf-policy first-5ghz-rf-profile
6ghz-rf-policy first-6ghz-rf-profile
description "First RF Tag"
end
write
RF Tag'in Access Point'e Atanması
RF Tag'i direkt bir Access Point'e veya birden çok Access Point'e toplu olarak atayabilirsiniz.
RF Tag'in Tek Access Point'e Atanması
Adım 1: Configuration > Wireless > Access Points > AP-Name
Adım 2: General > Tags > RF alanında oluşturduğunuz RF Tag'i seçin ve Update & Apply to Device butonuna tıklayın.
Not: Access Point'teki RF Tag'i değiştirmeniz durumunda Access Point ile Wireless Controller arasındaki bağlantı yaklaşık 1 dakikalığına düşecektir, ardından Access Point Wireless Controller'a tekrar Join olur.
CLI:
configure terminal
ap [ethernet-mac-addr]
rf-tag first-rf-tag
end
write
RF Tag'in Access Point'lere Toplu Atanması
Adım 1: Configuration > Wireless Setup > Advanced > Start Now > Tag APs
Adım 2: RF Tag'i atayacağınız tüm Access Point'leri seçip + Tag APs butonuna tıklayın.
Adım 3: Access Point'lere atamak istediğiniz RF Tag'i seçin ve Apply to Device butonuna tıklayın.
Tüm profile ve tag konfigürasyonları bitti.
Konfigürasyon Doğrulama
Aşağıdaki komutları kullanarak konfigürasyonunuzu kontrol edebilirsiniz.
VLAN ve Interface Konfigürasyonu
show vlan brief
show interfaces trunk
show running-config interface [interface-id]
AAA Konfigürasyonu
show running-config aaa
show aaa servers
WLAN Konfigürasyonu
show wlan summary
show running-config wlan [wlan-profile-name]
show wlan { id [wlan-id] | name [wlan-profile-name] | all }
Profile Konfigürasyonu
show wireless profile { flex | policy } summary
show wireless profile { flex | policy } detailed [profile-name]
show ap profile name [ap-join-profile-name] detailed
Tag Konfigürasyonu
show wireless tag { policy | site | rf } summary
show wireless tag { policy | site | rf } detailed [tag-name]
Access Point Konfigürasyonu
show ap summary
show ap tag summary
show ap name [ap-name] tag { info | detail }
Sıkça Sorulan Sorular
Soru 1. Aynı Policy Profile'ı farklı WLAN Profile'larla kullanabilir miyim?
Cevap: Evet
Soru 2. Aynı WLAN Profile'ı farklı Policy Tag'lerde kullanabilir miyim?
Cevap: Evet
Soru 3. Aynı Policy Profile'ı farklı Policy Tag'lerde kullanabilir miyim?
Cevap: Evet
Soru 4. Bir Policy Tag'de kullnanılabilecek maksimum WLAN Profile sayısı kaçtır?
Cevap: 16
Soru 5. Bir Access Point'teki üç tag'i de değiştirmek zorunda mıyım?
Cevap: Hayır, sadece ihtiyacınız olan tag'leri güncelleyip diğerlerini Default Tag'lerde bırakabilirsiniz.
Kaynak: Understand Catalyst 9800 Wireless Controllers Configuration Model