Комментарии 7
Имеет ли смысл принудительно загонять точку в режим FlexConnect Local Switching, находящуюся в одной сайте с контроллером (например, чтобы не насиловать хост с vWLC) и какие подводные камни у такого решения?
У vWLC другого режима, кроме FlexConnect, нет.
Список ограничений хорошо расписан тут.
Если вас не напрягает, что беспроводные клиенты вываливаются в локальную сеть там же, где точки доступа (т.е. нет требований поместить всех за межсетевой экран), то действительно трафик через виртуалку не гоняется, нагрузка меньше.
Список ограничений хорошо расписан тут.
Если вас не напрягает, что беспроводные клиенты вываливаются в локальную сеть там же, где точки доступа (т.е. нет требований поместить всех за межсетевой экран), то действительно трафик через виртуалку не гоняется, нагрузка меньше.
Только недавно хотел вам в личку писать, что бы вы продолжили свой цикл статей.
Спасибо! Сейчас очень актуально.
Спасибо! Сейчас очень актуально.
Ну и собственно вдогонку вопрос. Вернее просьба совета как сделать правильнее в моей ситуации.
Есть два офиса. Один контроллер. Точки раздают один SSID. Авторизация PEAP/MS-CHAPv2 на NPS от MS.
При авторизации на радиусе последний в качестве параметра отдаёт контроллеру номер VLAN-а в который помещается пользователь в зависимости от того в какой группе он состоит. Контроллер соответственно помещает клиента в определённый проводной VLAN. То есть SSID один, но итоговые VLAN-ы разные, и определяется это AD-группой. В одном офисе (в котором стоит контроллер) всё работает хорошо.
Во втором офисе точки подключены H-REAP-ом, но вот беда те VLAN-ы в которые должны попадать пользователи во втором офисе имеют другие номера.
Как здесь корректнее поступить? Ставить локальную авторизацию, разворачивать второй NPS во втором офисе и пусть он вланы отдаёт? Точка в режиме HREAP вообще может принимать подобные параметры от радиуса? Она сможет «переписать» VLAN и запихнуть пользователя куда надо?
Есть два офиса. Один контроллер. Точки раздают один SSID. Авторизация PEAP/MS-CHAPv2 на NPS от MS.
При авторизации на радиусе последний в качестве параметра отдаёт контроллеру номер VLAN-а в который помещается пользователь в зависимости от того в какой группе он состоит. Контроллер соответственно помещает клиента в определённый проводной VLAN. То есть SSID один, но итоговые VLAN-ы разные, и определяется это AD-группой. В одном офисе (в котором стоит контроллер) всё работает хорошо.
Во втором офисе точки подключены H-REAP-ом, но вот беда те VLAN-ы в которые должны попадать пользователи во втором офисе имеют другие номера.
Как здесь корректнее поступить? Ставить локальную авторизацию, разворачивать второй NPS во втором офисе и пусть он вланы отдаёт? Точка в режиме HREAP вообще может принимать подобные параметры от радиуса? Она сможет «переписать» VLAN и запихнуть пользователя куда надо?
Вряд ли это уже для вас актуально, все-такие три года прошло, но я оставлю это тут как решение для тех, кто будет искать:
VLAN Name Override, появилась с 8.1
===
The VLAN Name Override feature is useful in deployments that have a single central radius authenticating multiple branches. With hundreds of different branches, it becomes very difficult to standardize VLAN IDs across all sites and requires a configuration that provides a unique VLAN Name mapped locally to a VLAN ID that can be different across different branch locations.
This design involving different VLAN IDs across different sites is also useful from the sizing and scaling perspective to limit the number of clients per Layer 2 broadcast domain.
===
VLAN Name Override, появилась с 8.1
===
The VLAN Name Override feature is useful in deployments that have a single central radius authenticating multiple branches. With hundreds of different branches, it becomes very difficult to standardize VLAN IDs across all sites and requires a configuration that provides a unique VLAN Name mapped locally to a VLAN ID that can be different across different branch locations.
This design involving different VLAN IDs across different sites is also useful from the sizing and scaling perspective to limit the number of clients per Layer 2 broadcast domain.
===
Вы попали :)
H-REAP и AAA Override (dynamic VLAN assignment) несовместимы. Т.е. RADIUS может отдать номер влана пользователя, но точка может на него наплевать. Это такая недокументированная багофича, хотя возможно в 7.4.10 ее исправили (надо пробовать). Если работает — то да, ставить второй NPS (с другими номерами вланов), либо привести нумерацию VLAN к единому виду (наверняка это проще).
H-REAP и AAA Override (dynamic VLAN assignment) несовместимы. Т.е. RADIUS может отдать номер влана пользователя, но точка может на него наплевать. Это такая недокументированная багофича, хотя возможно в 7.4.10 ее исправили (надо пробовать). Если работает — то да, ставить второй NPS (с другими номерами вланов), либо привести нумерацию VLAN к единому виду (наверняка это проще).
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Для чего нужен режим H-REAP/FlexConnect для беспроводных точек доступа Cisco