管理FlexConnect无线转发模式

■ 河南 刘景云

编者按： 对于思科的无线解决方案来说，包括多种不同的类型，其中的Flex Connect是比较常用的技术，即无线控制器位于中心站点，分支站点存在很多AP，分支和中心之间通过WLAN连接，通过Flex Connect技术，中心可以控制分支机构的AP，这些AP可以实现本地转发，而无需经过WLAN由中心WLC进行转发。因此说，Flex Connect是分支机构和远程办公室部署的无线解决方案。

FlexConnct转发的特点

Flex Connect可通过WAN链路，在中心配置和控制分支机构的AP，在分支机构本地转发数据，并执行本地身份验证操作。当然，还可设定AP中某些SSID的VLAN的流量由本地转发，某些SSID的VLAN流量进行中心转发。这样，如果和中心的无线控制器失去联系，可以将这些流量进行本地转发，当恢复联系时，依然可以将相关的流量进行中心转发。

Flex Connect包含两种运行模式，包括连接模式（Connected Mode）和独立模式（Standalone Mode），分别对应可以连接到WLC和无法连接到WLC的情形。

注意：对于独立模式来说，AP是可以独立连接3A服务器进行身份验证的。值得说明的是，中心转发指的是数据流量通过WAPCAP隧道传到WLC进行转发，本地转发指的是数据流量经过本地有线接口直接进入本地交换网络。

搭建简单实验环境

在本例中通过简单的实验网络，来说明Flex Connect的实现方法。

在中心存在SW 1交换机，在其G0/1端口连接思科某款无线控制器，在交换机上执行“ip routing”命令，开启路由功能。执行“interface FastEthernet 0/2”，“switchport trunk encapsulation dot1q”，“s w i t c h p o r t m o d e trunk”，“spanning-tree portfast trunk”命令，配置FastEthernet 0/2端口，该接口通过模拟网络和分支机构中的交换机连 接。 执 行“interface GigabitEthernet 0/1”，“s w i t c h p o r t t r u n k encapsulation dot1q”，“switchport mode trunk”，“spanning-tree portfast trunk” 命 令， 配 置GigabitEthernet 0/1接口，其和WLC进行连接。

执 行“i n t e r f a c e F a s t E t h e r n e t 0/2 0”，“switchport access vlan 10”，“switchport mode access”，“spanningtree portfast”命 令，配置FastEthernet0/20接口，该端口和中心站点的客户机连接。执行“vlan 10”，“name Management”，“vlan 100”，“name linkclient”，“ip dhcp pool vlan 10”，“network 10.1.1.0 255.255.255.0 defaultroute 10.1.1.254”，“interface vlan 10”，“ip address 10.1.1.254 2 5 5.2 5 5.2 5 5.0”，“interface vlan 100”，“ip address 100.1.1.254 255.255.255.0”命令，配置VLAN 10/100的属性以及地址池信息。执行“ip route 200.1.1.0 255.255.255.0 100.1.1.253”命令，配置路由信息，让分支站点的AP可以顺利访问WLC。在中心存在ISE服务器和网管主机，用来进行管理和授权。

在分支机构中存在AP1，其G0端口连接到SW2交换机上的G1/0/3端口上，两台交换机跨WAN进行连接。在模拟环境中使用其G1/0/2端口和SW 1的F0/10端口连接。在该交换机上开启路由功能，创建VLAN 10/100/200/300，其中的VLAN 10用于网管，VLAN 100用于管理AP，VLAN 200用于管理客户，VLAN 300用来管理相关的服务器。执行“interface GigabitEthernet 1/0/2”，“s w i t c h p o r t m o d e t r u n k”，“i n t e r f a c e GigabitEthernet 1/0/3”，“switchport trunk native vlan 100”，“switchport mode trunk” 命 令， 配置相应的端口。执行“interface vlan 100”，“ip address 100.1.1.253 255.255.255.0”，“ip route 0.0.0.0 0.0.0.0 10.1.1.254”命 令，配 置VLAN100的SVI以 及 路由信息。使用类似的命令，来配置VLAN 200/300的 SVI信 息。 执 行“ip dhcp pool crachap”，“network 100.1.1.0 255.255.255.0 defaultroute 100.1.1.254”，“address 100.1.1.1 hardware-address xxxx.xxxx.xxx.xxxx”，“option 43 hex xxxx.xxxx.xxxx”命令，为分支站点的AP配置地址池，并指明中心站点WLC的位置。执行“ip dhcp pool forclient”，“network 200.1.1.0 255.255.255.0 defaultroute 200.1.1.254”命令，配置客户端地址池。

对分支站点AP进行管理

图1 AP属性编辑窗口

经过底层配置后，让AP关联到WLC上。打开WLC管理界面，选择上述AP，在其编辑界面的“General”面板中的“AP Mode”列表中选择“FlexConnect”项，让其既可以进行中心转发，也可以支持本地转发。在WLC管理界面工具栏上点击“WLAN”按钮，在“Create New”栏右侧点击“Go”按钮，创建新的WLAN，输入其名称（例如“FlexConnect1”）和SSID信息等内容。点击“Apply”按钮，在其属性窗口中的“General”面板中 的“Status”栏 中 选 择“Enabled”项将其激活。对于AP来说，如果其开启了很多个SSID，并且不同的SSID对应不同的VLAN，那么当其开启了Flex Connect之后，与其连接的交换机的端口必然需要开启Trunk，这样不同VLAN的流量就会经由该Trunk通道接入有线网络。在顶部工具栏上点击“CONTROLLER”项，在 左侧 选 择“Interfaces”项，在右侧点击“New”按钮，创建名为“vlan100”的接口，使其和VLAN100绑定，并为其配置合适的IP（例如“100.1.1.252”），网关（例如“100.1.1.253”），DHCP 服 务器等信息。

创建名为“denynet”的接口，使其和VLAN 500绑定，其地址随意设置，主要用于防止用户随意接入。注意，AP通过DHCP获取IP的VLAN只能是Native VLAN，便于其得到地址和WLC进行通讯。在上述SW 2交换机上执行“sh run inter g1/0/3”命令，可以看到其通过VLAN 10得到地址并注册到WLC上。在WLC管理界面打开AP属性窗口，在“FlexConnect”面板（如图1）中选择“VLAN Support”项，开启AP的Trunk功能。在“Native VLAN”栏中输入本地 VLAN编号（例如“100”），点击“VLAN Mapping”按钮，查看该AP的所有的SSID在中心站点映射的VLAN信息，可以根据需要进行调整。点击“Apply”按钮保存信息。

管理和配置FlexConnect组

图2 默认组属性窗口

当然，如果使用FlexConnect技 术 的AP比较多，就需要使用FlexConnect Group方式进行集中配置。建议为每个分支机构创建一个FlexConnect Group，把相关的AP都放进去，之后在该FlexConnect Group中执行注册激活Trunk/设置Native VLAN/执行VLAN映射/设置Radius服务器等操作。如果AP无法联系WLC以及3A服务器等设备，也可以在AP中设置认证策略。

在WLC管理界面顶部点击“WIRELESS”项，在左侧选择“FlexConnect Groups”项，在右侧点击“New”按钮，输入新的FlexConnect Group的组名（例如“FCG1”）。

注意:所有的AP都会默认放入名为“default-flexgroup”的组中。

在该组中点击“FlexConnect AP”链接，选择所需的AP，在打开窗口中的“New Group Name”列表中选择上述“FCG1”组名，点击“Move”按钮，可以将这些AP移动到新建的组中。这里为了简单起见，使用默认组。

在该组的编辑界面的“WAN VLAN mapping” 面板（如 图 2）中 选 择“VLAN Support”项，激活该组中的所有AP的Trunk功能。在“Native VLAN ID”栏中输入“100”，设 置 所 有 AP的本地VLAN编号。在上述名为“FlexConnect1”的 WLAN的属性窗口中的“General”面 板 中 的“Interface/Interface Group” 列 表中 选 择“vlan100”接 口。在“Security”面 板 中 的“Layer2”标签中的“PSK”栏中选择“Enable”项，输入预共享密钥。

在“Advanced” 面板 中 的“FlexConnect Local Switch”栏中选择“Enabled”项，表示该WLAN的流量是本地转发的。当分支站点客户端进行连接时，就会进入VLAN100网络。

注意：如果AP本地不存在这个VLAN（例如VLAN 500）的话，就会进入交换机所配置的Native VLAN。

如 果 在“Interface/Interface Group”列表中选择“denynet”接口，那么在客户端连接时，因为分支AP中根本没有与之关联的VLAN，那么客户端就无法获取可用的IP。也就是说，在WLC上配置的VLAN，在分支站点AP上也必须存在同样的VLAN，在分支交换机上还必须存在相应的VLAN/Trunk/Native VLAN/SVI等信息，客户端才可以顺利接入网络。

使用认证实现客户安全接入

为了实现更好的安全控制，可以使用3A服务器来实现。在WLC管理界面顶部点击“SECURITY”项，在左侧选择“AAA”-“RADUIS”-“Authentication” 项，在右侧点击“New”按钮，在“Server IP Address”栏中输入ISE服务器的地址（例 如 10.1.1.30），在“Shared Secret”栏中输入认证密码。在“Support for CoA”列表中选择“Enabled”项。在左侧选择“Accounting”项，点击“New”按钮，输入相同的ISE服务器地址和密码（如图3）。

图3 设置3A服务器地址

再按照上述方法，在WLC中创建名为“Flexconnect2”的WLAN，使其和名为“SSID2”的SSID绑定。然后将其激活，在其属性界 面 中 的“Interface/Interface Group” 列 表中 选 择“denynet”接 口，在“Security”面板中看到其默认采用的就是DOT1X方 式，在“AAA Server”标签 中 的 的“Server1” 栏中选择上述3A服务器地址。在“Advanced”面板中的“Allow AAA Override”栏中选择“Enabled”项，在“FlexConnect Local Auth”栏中选择“Enabled”项。

打 开 上 述“defaultflex-group”的组编辑界面，在“WLAN VLAN mapping”面板中如果选择“Override VLAN on AP”项，表示禁止在分支站点的AP配置VLAN等信息，只允许在WLC上进行配置，之后将配置信息推送给AP。如果不选择该项，那么既可以在WLAN上配置也可以在AP上配置，而且AP优先级为高。在“WLAN VLAN Mapping”栏中输入上述WLAN的ID，在“VLAN ID”栏中输入“200”，点击“Add”按钮，表示在WLC上创建了VLAN 200，并将两者进行映射，之后将其推送到分支站点的AP上，使其也拥有该VLAN。

进入分支站点AP管理界 面，执 行“sh ip inter brie”命令，可以看到已经创建了该VLAN。如果没有授权或者授权了不存在的VLAN，在默认情况下，当客户连接到该WLAN后，都会自动进入VLAN 200中。

注意：关于配置的优先级是存在顺序的，即从3A Override授 权/Override VLAN on AP/AP/FlexConnect Group/WLAN下映射接口为序，其优先级依次降低。

登 录 到ISE管 理界面，在工具栏上点击“Administration”-“Network Devices”项，点击“Add”按钮，分别添加AP以及WLC设备。

点 击 菜 单“Policy”-“Results” 项， 在 左 侧选 择“Authorization”-“Authorization Profiles”项，在右侧点击“Add”按钮，添加所需的授权规则。 点 击 菜 单“Policy”-“Authorization”项，在列表中添加合适的规则，例如针对指定名称的SSID授予其可以连接到VLAN 200等。这样，当分支站点的用户连接到“SSID2”后，就可以进入VLAN 200中了。

值得说明的是，不管采用何种方法，要想顺利连接，必须分支站点的AP上创建相应的VLAN方可。

当然，为了解决授权了不存在的VLAN，客户也可以连接的问题，可以换一种方法来解决，只需打开“ACL Mapping”面板，在“AAA VLAN-ACL mapping”标签中的“Vlan Id”栏中输入具体的VLAN号，直接点击“Apply”按钮，也可以在分支站点AP上创建了指定的VLAN。

解析基于中心的转发模式

在上述名为“Flexconnect2”的 WLAN的属性窗口中的“Advanced”面板中选择“Vlan based Central Switching”项，表示启用基于中心转发的VLAN模式。即针对该WLAN的一部分流量可以中心转发另一部分可以本地转发。

在连接模式下（即可以达到中心站点WLC和RADIUS服务器）下，而且WLAN关联的是不可达的接口（例如“denynet”）情况下，如果RADIUS授权的VALN只存在于WLC本地，那么实际转发的是RADIUS授权的Vlan，使用的是中心转发和中心认证。

如果RADIUS授权的VALN同时存在于WLC和分支站点的AP本地，或者其只存在于分支站点AP本地，那么实际转发的是RADIUS授权的Vlan，使用的都是中心转发和AP本地认证。如果RADIUS授权的Vlan在WLC和分支站点AP上都不存在，那么实际转发的是与该WLAN关联的不可达的接口，使用的是中心转发和中心认证。如果RADIUS没有授权Vlan，那么实际转发的是不可达的接口，使用的是中心转发和AP本地认证。

对于独立模式（即中心站点WLC不可达，但是RADIUS服务器可达），而且WLAN关联的是不可达接口情况下，如果RADIUS授权的VLAN存在于AP本地，那么实际转发的就是该VLAN。如果RADIUS授权的VALN在AP上不存在或者根本没有授权的话，那么实际转发的都是不可达的接口。

对于连接模式来说，均通过WLC进行认证。而且对于独立模式来说，采用的都是中心认证和AP本地转发方式。当使用了不同的转发功能后，在WLC管理界面顶部点击“MONITOR”项，在左侧选择“Clients”项，在右侧选择某个客户的MAC地址项，在“Data Switching”和“Authentication”栏中显示数据转发方式和认证模式。

对于独立模式来说，均通过本地AP进行认证。

配置FlexConnect访问控制列表

为了实现访问控制，可以用ACL列表约束客户行为。对于FlexConnect来说，需要使用专用的ACL列表。之后需要将FlexConnect访问列表推送到AP上，才可以让其发挥作用。在WLC管理界面上部点击“WIRELESS”项，在左侧选择“FlexConnect ACLs”项，在右侧点击“New”按钮，输入ACL列表名称（例如“FCacl”），来创建该 ACL。在列表中点击该ACL项目，在其编辑界面点击“Add New Rule”按钮，在规则编辑窗口中输入其序号、源等。

例如，本规则是禁止其访问某个IP。在创建一个规则，作用是放行所有流量。打开上述默认FlexConnect Group默认组编辑窗口，在“ACL mapping”面板中的“AAA VLAN-ACL mapping”标签（如图4）中标签中的“Vlan Id”栏中输入具体的VLAN号，点击“Add”按钮，在其下选择对应的ACL列表即可。这样，即可将这些ACL列表推送到AP上。

注 意：如 果 在“Ingress ACL”和“Egress ACL”列表中选择“none”项，点击“Apply”按钮，就相当于在AP上创建了指定的VLAN。

图3 设置3A服务器地址

也可以通过授权方式来使用ACL列表，方法是在“Policies” 面 板 中 的“Policy ACL”列表中选择所需的 ACL项，点击“Add”按钮，就可以将其放置到AP上。之后在ISE管理界 面 中 点 击“Policy”-“Results”项，在 左 侧选 择“Authorization”-“A u t h o r i z a t i o n Profiles”项，点击“Add”按钮创建新的授权规则，在“Common Tasks”栏中选择“Airespace ACL Name”栏中输入和目标ACL相同的名称。这样，当客户端连接到AP后，就会受到该ACL的控制。

使用隧道分割，实现灵活访问

利 用FlexConnect的隧道分割技术，可将由中心站点获取的IP通过NAT/PAT映射到本地IP上，实现既可访问中心站点也可访问本地站点的要求。在WLC管理界面创建名 为“Tunnel1” 的 WLAN，使其和名为“SSIDTunnel”的SSID绑定。在其属性窗口中的“General”面板中的“Interface/Interface Group” 列 表 中 选 择“Management”项，即使用用于管理的Vlan（这里为Vlan 10）。按照上述方法使用预共享模式，输入对应密钥。

在“Advanced”面 板 中不 要 选 择“FlexConnect Local Switching” 项，使其流量既可中心转发，也可本地转发。在客户端使用Cisco AnyConnect Secure Mobility Client等工具连接该SSID，虽然可以连接成功，可以访问中心站点地址，但在访问分支站点的某个网络设备（例如其IP为192.138.1.100等）时却失败。为此可按照上述方法创建一个FlexConnect ACL 列 表（例 如“FCA2”），在其中创建一条规则，在“Source”列 表 中 选 择“Any”， 在“Destination”列表中选择“IP Address”项，输入本地目标地址（例如“192.138.1.100”），在“Action”列 表 中 选 择“Permit”项。

这样，可对指定的流量进行本地转发。在上述默认“default-flex-group”的组编 辑 界 面 中 的“ACL Mapping”面板中打开“WLANACL mapping” 标 签， 在“Local Split ACL mapping”栏中的“WLAN ID”栏中输入上述名为“Tunnel1”的WLAN的 编 号，在“Local Split ACL”列表中选择上述FlexConnect ACL项。点击“Add”按钮，添加。这样，就实现了隧道分割功能。