CISCOワイヤレスLANコントローラーとAPの設計に関する質問

設計ソリューションについていくつか質問があります。

1. CAPWAPトンネルは、コントローラとアクセスポイントの間に作成されます。トンネルの両端は、コントローラの「ap-management」インターフェイスとアクセスポイントの管理インターフェイスです。APとコントローラーを異なるL2ドメインに配置することがベストプラクティスであることを発見しましたが、理論的にはこれがより良い解決策のように思えます。どちらが正しい？

2. ワイヤレスネットワークの1つがゲストWI-FIになります。秘書がアクセス属性を作成します。そのようなスキームを実装するには、コントローラーに（企業ネットワーク内に）追加のインターフェースを作成し、「ロビー管理者」に資格情報を与える必要がありますか？

1. APとコントローラを同じL2ドメインに配置するのが最も簡単な解決策です。APとコントローラを見つけるために他に何もする必要がないからです。APを別のサブネットに配置する場合は、APオプションのサブネットでDHCPオプション43を構成するか、cisco-capwap-controller.DOMAIN-APs-GET-FROM.DHCのDNSエントリを配置する必要があります。以前はcisco-lwapp-controllerでした。

2. 秘書が管理者またはロビー管理者にWLCへのアクセスを許可して、ログインを作成できるようにする必要があります。ゲストwifiに追加のインターフェースは必要ありませんが、インターフェースを使用してDMZに接続することで、分離を強化できます。

編集：@generalnetworkerrorが私の欠陥のあるメモリを指摘したため、DHCPオプション番号を修正しました。

1. APとコントローラが同じサブネット上にある可能性はかなり低いです。おそらく、組織内のどこかに集中コントローラーがあり、APは複数のサブネットにまたがる異なるIDFクローゼットのポートに接続されます。APが起動すると、APはDHCPを介して割り当てられたドメイン名を取得し、CISCO-CAPWAP-CONTROLLER.domainname.comまたはCISCO-LWAP-CONTROLLER.domainname.comを解決して、CAPWAPまたはLWAPトンネルをそこにトンネルします。複数のスイッチとトランクにまたがる同じL2 VLANを持つことは、STP POVから危険です。したがって、同じL2ドメインにAPとコントローラを配置することは悪い習慣だと思います。
2. 秘書にコントローラへのアクセスを許可する場合を除き、Cisco Guest Accessサーバーの使用を検討してください。http://www.cisco.com/en/US/products/ps10160/index.html

これにより、秘書はゲストのユーザー名とパスワードを生成するだけでなく、情報を電子メールで送信し（スマートフォンで読み取ってログインできる）、アカウントがログインし続ける時間を指定できます。そうすれば、Web認証を使用したPSKまたは一般的なログインを誰も知りません。ユーザーのセキュリティを確保するために、シンプルなパスワードでオープン/ゲストwifiネットワークをイベント暗号化することもベストプラクティスです。

1. APとコントローラの管理インターフェイスを同じL2ドメインに維持しようとすることもできますが、頭痛の種はありません。アーキテクチャは、L3境界を越えても、ネットワーク全体でAPをプラグアンドプレイできるように設計されています。APは、いくつかの異なる方法でコントローラを検出します。DNS検出を使用します。（「CISCO-CAPWAP-CONTROLLER.yourdomain.com」のAレコードを追加します。追加する別のAレコードがあると思いますが、現時点ではエスケープされています）
2. 質問のこの部分を100％理解しているかどうかはわかりません。秘書がゲストのPSKを設定するようです。この場合、RFC 1918アドレススペースへのアクセスを許可しない別のインターフェイスを使用することをお勧めします。外部DNSサーバーを使用します。あとは、秘書がWLCにアクセスしてSSIDのPSKを変更するだけです。

WLCとAPを同じサブネットに配置することは可能ですが、特に大規模な環境や新しいアクセスポイントを頻繁に展開する場合は管理が難しいため、可能性は低いです。私の経験から：10〜20のAPとWLCがサイトにある小さな場所では、同じVLANに配置する方が簡単です。1つ（または冗長）の中央集中型WLCがあり、（地理的に）分散し、構成が簡単で「クリーン」なソリューションが多数ある大規模なインストールでは、検出プロセスにDNSを使用します。特定の要件またはおそらく設計が悪いために、より複雑なネットワークがある場合は、DHCPオプション43（または静的構成）を使用できます。

DNSレコードの使用は、特にドメインに1つしかない場合、またはAPがどのWLCに参加するかを気にしない場合に、コントローラーを検出するための簡単なソリューションです。DHCPベンダー固有のオプションをディスカバリプロセスに使用するのが好きです。手動で設定するよりも簡単だからです。lwapp ap controller ip addressただし、特に、何らかの理由で異なるドメインを使用できず、異なるWLC IPをAPに送信できるようにしたい場合に、より細かく制御できます。アクセスポイントのVCI（ベンダークラス識別子）のコントローラーのIPアドレスを使用してDHCPオプション43を持つスコープベースのポリシーを作成できます。VCIは、最初のDHCP検出ブロードキャスト中にDHCPクライアントによってオプション60で送信され、デバイスの特定のクラス（したがって名前）を識別するために使用されます。一致するVCIの場合、DHCPはオプション43を102または241のオプションとともに送信し、コントローラーのIPアドレスを保持するように構成します（他のクライアントには表示されません）。