CISCO वायरलेस लैन नियंत्रक और एपी के डिजाइन प्रश्न

9

डिजाइन समाधान पर कुछ प्रश्न हैं।

CAPWAP सुरंग नियंत्रक और पहुंच बिंदुओं के बीच बनाई गई है। सुरंग के छोर कंट्रोलर के "एप-मैनेजमेंट" इंटरफेस और एक्सेस प्वाइंट के प्रबंधन इंटरफेस हैं। मुझे पता चला है कि विभिन्न L2 डोमेन में AP और नियंत्रक का होना सबसे अच्छा अभ्यास है, लेकिन सिद्धांत रूप में यह एक बेहतर समाधान की तरह लगता है। क्या सही है?
वायरलेस नेटवर्क में से एक अतिथि WI-FI होगा। एक सचिव पहुंच विशेषताओं का निर्माण करेगा। क्या नियंत्रक पर एक अतिरिक्त इंटरफ़ेस (कॉर्पोरेट नेटवर्क में) बनाने और "लॉबी एडमिन" को ऐसी योजना लागू करने के लिए क्रेडेंशियल देने की आवश्यकता है?

cisco wireless wlc

2

ये होमवर्क के सवालों की तरह लगते हैं। हम यहां होमवर्क के सवालों के जवाब देने के लिए नहीं हैं, इसलिए यदि यह एक वास्तविक दुनिया उदाहरण है, तो कृपया जो आप पूरा करने की कोशिश कर रहे हैं, उसके अधिक विवरण प्रदान करें।

— YLearn

क्या किसी उत्तर ने आपकी मदद की? यदि हां, तो आपको उत्तर को स्वीकार करना चाहिए ताकि प्रश्न हमेशा के लिए पॉपअप न हो जाए, उत्तर की तलाश में है। वैकल्पिक रूप से, आप अपना स्वयं का उत्तर प्रदान कर सकते हैं और स्वीकार कर सकते हैं।

— रॉन Maupin

4

उसी L2 डोमेन में APs और कंट्रोलर डालना सबसे सरल उपाय है क्योंकि आपको उनके लिए कुछ और करने की आवश्यकता नहीं है। यदि आप APs को एक अलग सबनेट पर रखते हैं तो आपको या तो DHCP विकल्प को APs सबनेट पर कॉन्फ़िगर करना होगा या सिस्को-कैप-कंट्रोलर के लिए DNS प्रविष्टि में डाल दिया जाएगा। DOMAIN-APs-GET-FROM.DHC। पूर्व में यह सिस्को-lwapp-नियंत्रक था।
आपको सचिव को WLC में व्यवस्थापन या लॉबी एडमिन एक्सेस देने की आवश्यकता होगी ताकि वे लॉगिन बना सकें। यह अतिथि वाईफ़ाई के लिए एक अतिरिक्त इंटरफ़ेस की आवश्यकता नहीं है, लेकिन आप एक का उपयोग कर सकते हैं और इसे बेहतर अलगाव के लिए DMZ में प्लग कर सकते हैं।

संपादित करें: @generalnetworkerror के रूप में सही डीएचसीपी विकल्प संख्या ने मेरी दोषपूर्ण स्मृति को इंगित किया।

— डेव नूनन
स्रोत

ऑप्शन 43 डीएचसीपी के लिए है, जिसमें विभिन्न एल 2 डोमेन में शामिल होने के लिए डब्ल्यूएलसी को एपी के लिए निर्दिष्ट करना है।

— generalnetworkerror

3

एपी और नियंत्रक एक ही सबनेट पर होने की संभावना नहीं है। आपके संगठन में कहीं न कहीं आपके पास एक केंद्रीकृत नियंत्रक होगा और एपी को अलग-अलग आईडीएफ अलमारी में बंदरगाहों में प्लग किया जाएगा जो कई सबनेट का विस्तार करते हैं। जब APs बूट हो जाते हैं, तो वे डीएचसीपी के माध्यम से निर्दिष्ट डोमेन-नाम लेते हैं और CISCO-CAPWAP-CONTROLLER.domainname.com या CISCO-LWAP-CONTROLLER.domainname.com को हल करते हैं और वहां अपनी CAPWAP या LWAP सुरंगों को वापस करते हैं। वही L2 VLAN आपके कई स्विच और चड्डी के चारों ओर फैला हुआ होने से एक एसटीपी पॉव से खतरनाक है। इसलिए मैं कहूंगा कि समान L2 डोमेन पर AP और नियंत्रकों का बुरा व्यवहार है।
जब तक आप अपने सचिव को नियंत्रक तक पहुंच नहीं देना चाहते हैं - सिस्को गेस्ट एक्सेस सर्वर का उपयोग करके देखें। http://www.cisco.com/en/US/products/ps10160/index.html

इससे सचिव मेहमानों के लिए उपयोगकर्ता नाम और पासवर्ड बनाने के साथ-साथ उन्हें जानकारी ईमेल कर सकते हैं (वे इसे अपने स्मार्टफ़ोन और लॉगिन पर पढ़ सकते हैं) और उस समय की लंबाई निर्दिष्ट करें जिसमें खाता लॉग इन रहेगा। इस तरह से कोई भी वेब-प्रमाणीकरण का उपयोग करके PSK या जेनेरिक लॉगिन को नहीं जानता है। उपयोगकर्ता सुरक्षा प्रदान करने के लिए एक सरल पासवर्ड के साथ खुले / अतिथि वाईफाई-नेटवर्क को एन्क्रिप्ट करने के लिए भी सबसे अच्छा अभ्यास है।

— knotseh
स्रोत

0

आप एक ही L2 डोमेन में APs और कंट्रोलर के प्रबंधन इंटरफ़ेस को रखने का प्रयास कर सकते हैं, लेकिन यह आपको सिरदर्द के अलावा कुछ नहीं मिलेगा। आर्किटेक्चर को L3 सीमाओं के पार भी आपके नेटवर्क में APs को प्लग-एंड-प्ले करने की अनुमति देने के लिए डिज़ाइन किया गया है। AP एक अलग तरीके से मुट्ठी भर नियंत्रकों की खोज करेगा। हम डीएनएस खोज का उपयोग करते हैं। ("CISCO-CAPWAP-CONTROLLER.yourdomain.com" के लिए एक रिकॉर्ड जोड़ें। मेरा मानना है कि जोड़ने के लिए एक और ए रिकॉर्ड है, लेकिन यह फिलहाल मुझसे बच जाता है)
मुझे यकीन नहीं है कि मैं 100% प्रश्न के इस हिस्से को समझता हूं। ऐसा लगता है कि एक सचिव मेहमानों के लिए पीएसके निर्धारित करेगा। इस मामले में मैं यह सुनिश्चित करने के लिए सिफारिश करूंगा कि आपके पास एक अलग इंटरफ़ेस है जो RFC 1918 एड्रेस स्पेस तक पहुंच की अनुमति नहीं देता है। एक बाहरी DNS सर्वर का उपयोग करें। फिर जो कुछ बचा है वह एसएसआईडी के पीएसके को बदलने के लिए सचिव को डब्ल्यूएलसी में प्रवेश देना है।

— bigmstone
स्रोत

अन्य रिकॉर्ड शायद है CISCO-LWAPP-CONTROLLER। पुराने संस्करणों (5.2 से पहले) के लिए इसका उपयोग किया गया था, लेकिन अब CISCO-CAPWAP-CONTROLLERआपके द्वारा वर्णित उत्तर पर्याप्त है।

— पजाजा

0

एक ही सबनेट में WLC और AP का होना संभव है, लेकिन विशेष रूप से बड़े वातावरण में या जब आप अक्सर नए एक्सेस पॉइंट्स को तैनात करते हैं, तो इसका प्रबंधन करना कठिन होता है। मेरे अनुभव से: छोटे स्थानों पर जहां आपके पास साइट पर 10-20 एपी और डब्ल्यूएलसी हैं, उन्हें उसी वीएलएएन में रखना आसान है। बड़ी स्थापनाओं पर जहां आपके पास एक (या अधिक निरर्थक) केंद्रीकृत WLC और बहुत सारे APs हैं (भौगोलिक रूप से) बिखरे हुए, आसानी से कॉन्फ़िगर होने वाले और 'साफ' समाधान डिस्कवरी प्रक्रिया के लिए DNS का उपयोग करना है। जब आपके पास अधिक जटिल नेटवर्क होते हैं, या तो विशिष्ट आवश्यकताओं या शायद खराब डिज़ाइन के कारण आप डीएचसीपी विकल्प 43 (या स्थिर कॉन्फ़िगरेशन) का उपयोग कर सकते हैं।

DNS रिकॉर्ड का उपयोग करना नियंत्रक की खोज के लिए एक सरल समाधान है, खासकर यदि आपके डोमेन में केवल एक है या आपको परवाह नहीं है कि डब्ल्यूएलसी एपी किससे जुड़ जाएगा। मुझे खोज प्रक्रिया के लिए डीएचसीपी विक्रेता विशिष्ट विकल्पों का उपयोग करना पसंद है क्योंकि यह आसान है फिर मैन्युअल रूप से कॉन्फ़िगर करनाlwapp ap controller ip addressलेकिन विशेष रूप से अधिक नियंत्रण देता है जब आप किसी कारण से विभिन्न डोमेन का उपयोग नहीं कर सकते हैं और अलग-अलग डब्ल्यूएलसी आईपी को एपी में भेजने में सक्षम होना चाहते हैं। आप गुंजाइश-आधारित नीति बना सकते हैं जिसमें आपके एक्सेस बिंदुओं के वीसीआई (विक्रेता वर्ग पहचानकर्ता) के नियंत्रक के आईपी पते के साथ डीएचसीपी विकल्प 43 है। प्रारंभिक डीएचसीपी खोज प्रसारण के दौरान डीएचसीपी क्लाइंट द्वारा वीसीआई को विकल्प 60 में भेजा जाता है और इसका उपयोग विशिष्ट वर्ग के उपकरणों (इसलिए नाम) की पहचान करने के लिए किया जाता है। मिलान किए गए VCI के लिए डीएचसीपी 102 या 241 सॉपॉप्शन के साथ विकल्प 43 भेजेगा जिसे आप अपने नियंत्रकों के आईपी पते (और अन्य ग्राहक उन्हें नहीं देखेंगे) के लिए कॉन्फ़िगर करेंगे।

— Pajaja
स्रोत