Есть кто нибудь с опытом настройки cisco virtual wireless controller?

Question

[Nizitka]

Коллеги, добрый день!
Есть ли кто-либо с опытом настройки и внедрения cisco virtual wireless controller?
В процессе внедрения натыкаюсь на грабли на каждом шагу. Часть информации нахожу, часть нет. Спец обучения не проходил.
Нужна помощь в траблшутинге.
В данный момент, например, у меня есть стартово поднятый контроллер, на котором тестовая лицензия, к которому точки цеплялись без проблем и доступ в сеть проходил без проблем.
Начал разворачивать контроллер с лицезией, использовал существующий конфиг - получил невозможность выйти за пределы контроллера из wi-fi сети.
т.е хост 152.1/24, контроллер 152.200/24, шлюз 152.254/24. Хост получает адрес по DHCP с сервера 1.1/24, получает адрес шлюза, но доступа к чему-либо за пределами контролера не имеет (даже шлюз не пингует)
Плюс есть проблемы с пониманием, как корректно перекидывать точки с одного контроллера на другой.

Answer 1

[Кирилл]

виртуальный контроллер работает с точками только в flexconnect режиме.
Для сети должна быть включен режим flexconnect, для точек должен быть включен этот режим тоже. На сети и на точках должен быть включен режим local switching, ибо central они не умеют с этим контроллером.

Корректно перекидывать точки не надо, с вирт. контроллерами точки запоминают ключи первого контроллера, и помнят его до аппаратного резета через консоль.
Так что только если приспичило - запрос в ТАС на перевод лицензий (если надо) с контроллера на контроллер (в вирт. контроллере нет режима актив-резерв), к точке инженегра с консолькой, точке полный резет, и прописать ип второго контроллера, тогда она за него зацепится.
Если не сделать резет, то она цепляется, ругается на ключи, цепляется еще 4 раза, ребутится, потом все заново повторяется. Пока ее на первый контроллер в её текущей жизни не пустят. Резет - будет следующая жизнь.

Comments

[Nizitka]

Спасибо за ответ.
про режимы посмотрю подробней уже после праздников.
вариант с ресетом уже опробовал, но не совсем понимаю, чем ресет с консоли отличается от ресета непосредственно с контроллера. А так же, что произойдет, если я с контроллера сделаю ресет, а у меня в сети будет 2 одновременно работающих контроллера?
Перевод лицензий уже делали, почему то она не хочет стандартным способом сама сохранять credentional.
Могу я надеяться на ваши ответы далее?

[Кирилл]

Nizitka: reset и reboot не путайте. Ну и с контроллера даже если полный сброс - он не сбрасывает ключи контроллера. А с консоли да.

Про "что будет" - зависит от метода нахождения контроллера на точке (статика, dhcp атрибуты, броадкаст в одном влане с контроллером...)

Я бы виртуалку со старым контроллером вернул, и туда лицензии просто скормил.

[Nizitka]

Кирилл: вроде получилось подцепиться к точке с нормальной лицензией. Не хватало включенного режима FlexConnect Local Switching на сетке.
Можно еще такой вопрос:
для чего на виртуальном контроллере есть такая сущность, как сервис-порт?
у меня есть ранее настроенный физический контроллер, там менеджмент, виртуал и интерфейсы под сетки. Виртуальный же требует обязательно менеджмент и сервис порт интерфейсы. Мне кажется они дублируются.

[Кирилл]

Nizitka: дублируются. Они в железных были отдельные, а в виртуальном смысла в порту особого нет, но порт в софте есть. Как ответ отметите первый коммент?

[Nizitka]

и@CMHungry: и еще, получается, что точка доступа, интерфейс управления и клиенты должны быть в одной сети, в одном влане? никакая другая комбинация не заводится.

[Кирилл]

да нет, все может быть в разных вланах. Для сети указывается номер влана, например. Где-то нужно галочку поставить "поддерживать вланы". Управление контроллером и точки могут быть в разных подсетях. У меня так на точках отдельные подсети были, и к контроллеру они по л3 ходили только (адрес контроллера на точке статикой был прописан)

[Nizitka]

Кирилл: у меня на физической так и работает, но настраивал не я(
а на виртуальной вижу только Multicast Vlan Feature, но мультикаст не работает с флексконнектом.
Поддерживать вланы - это функция интерфейса, сети или точки, не вспомните?

[Nizitka]

Nizitka: ага, вроде обнаружил
VLAN Support
Native VLAN ID
Оно?)

[Кирилл]

Nizitka: оно. Это на точке. И в свойствах сети, что это ssid по 2295 влану. На контроллер при этом влан тащить не обязательно (если только не контроллер каптив портал делает и дхцп клиентам дает), влан должен быть тегом на точке.

[Nizitka]

Кирилл: что то не выходит каменный цветок.
Смотрите: у меня до контроллера идут 3 vlan - 28, 41, 52
28 - service-port, через него хожу на web-interface
41 - management, он же управляющий для других сетевых устройств, в нем же точки доступа
52 - clietn wi-fi. Тут же работает DHCP сервер (сам сервер в 28, но через маршрутизатор все ок, раздает)
Вот когда делаю точки в 52, то юзеры получают адреса и видят сеть
Когда делаю точки в 41, а юзеров все равно хочу в 52, то они не видят ни дхцп, ни сеть
При этом с контроллера и точек есть доступ друг до друга, до DHCP сервера и до маршрутизатора.
WLAN пока один, он идет через виртуальный интерфейс, который в 52 vlan.
Клиенты на точке при этом всём видны, но без адресов (IP address 0.0.0.0)
Как я понимаю, клиенту без разницы в каком vlan точка и контроллер, т.к. точка инкапсулирует всё между собой и контроллером.
В свойствах сети ни Wlan ни Vlan не используется, кроме Vlan based Central Switching, про который упоминается что он "is not supported with FlexConnect Local Authentication".

[Кирилл]

52 на контроллер не надо, он на точку идет - контроллер во flex connect ничего не инкапсулирует с точки, точка сразу перекладывает в нужный влан по ссиду. WLAN сделать, указать, что это vlan52, влан52 привести тегом на точки. Точка в flex connect делает local switching в этот влан.

[Nizitka]

Кирилл: Такс, почитал про подключение flex connect, получается, они должны быть подключены транком с нейтив вланом, в моем случае 41 - сделал, точка статикой, работает, всех видит.
Далее, на точке ставлю Vlan support и нейтив ставлю 141, Vlan mappings - сопоставляю WLAN id 1 c vlan 52.
С сетью неясно - Interface/Interface Group(G) указывается интерфейс, созданный на контроллере, я делал 52 интерфейс, но если он вообще не нужен, то 41 mgmt только?
Хотя, нет, заработало, когда начал писать и по полочкам раскладывать :-)
Получается, интерфейс в 52м влане нужен для того, чтобы точка знала куда слать юзера на GW и DHCP?
Огромное вам спасибо за ответы!
PS: а Mobility Group между виртуальным и реальным контроллерами соберется?

[Кирилл]

я бы не был уверен, что соберется - в железной и виртуальной версиях совершенно разные подходы к организации надежности...
Да и 200 точек на виртуалке - куда уж больше-то

[Nizitka]

Кирилл: да у меня в одном филиале уже стоит железка на 5 точек, а в другом городе взяли виртуалку и 3 точки, хотят чтобы при командировках из сети в сеть переходили без проблем.

[Кирилл]

Nizitka: роуминг при этом не нужен. Просто одна схема авторизации нужна. Роуминг - это "я иду по длинному коридору, поднимаюсь на 5й этаж, иду там по коридору, перехожу в другое здание по переходу между ними - и все время на связи"

[Nizitka]

Кирилл: т.е мне не обязательно связывать контроллеры, а просто сделать сетки с единым логином-паролем? Я рассматривал этот вариант, но показалось что это какой-то костыль.
Можно еще вопрос?
ACL для flexconnect нужно делать отдельный? И еще я вижу 2 варианта, куда применять стандартные листы доступа - на WLAN и на интерфейс. Вот на интерфейс применяется и работает, а на WLAN не хочет реагировать никак.
Дополнительно есть FlexConnectACL, которые можно вешать на Wlan/Vlan на вход и выход, на Vlan вешается, но не работает, а на Wlan требует веб авторизацию настроенную, если я правильно понял.