在預設之下,所有AP型態都是Campus AP,在同一場點內的AP與Controller之間的網路皆在企業自身的掌握之下,因此AP與Controller之間的溝通多半不會面臨到NAT與防火牆等狀況,就能很順暢地建立起來。
Campus AP的優勢就是部署簡單,兩個關鍵:AP拿到的IP與Controller的網路有通。所有流量都從Controller出來,因此能在Controller上做基本防火牆的功能,SSID使用的VLAN也只要與Controller有通就好。
但在AP與Controller分別位於不同的區域網路,像是AP部署在分部(Branch)或是零散的小型場點,Controller在總部。兩者間必須通過網際網路的情況,此時Campus AP型態會因為遇到NAT無法建立起來,此時使用Remote AP型態,透過NAT-T,在防火牆規則上只需要開放一個Port(UDP 4500),讓Remote AP與Controller建立溝通。
Remote AP的優勢是對於環境容忍度較大,Remote AP能像是獨立AP運作,在分部可能沒有配置網管人員或是技術上不足導致維護不易,使用Remote AP能降低人力需求。
如何運作
環境要求與建議:
1. DHCP Server能派發可上外網的IP。
2. AP以DHCP取得IP。
3. 防火牆開放規則外網到Controller的UDP 4500或是Port Mapping。
4. 不要啟用CPsec。
Remote AP開機之後,會以NAT-T(UDP 4500)去與Controller建立溝通。
Controller會檢查Remote AP的MAC Address是否在Allowlist中。不在就會失敗。
如果有啟用「CPsec」,Controller會去檢查AP帶的憑證或是preshare key通過後去檢查後AP的帳號是否能通過驗證。
如果沒有啟用「CPsec」,Controller不去檢查AP帶有的訊息。
Controller分配Remote AP一個內部的IP,如果沒有建立內部IP Pool,Remote AP會因為娶不到內部IP而無法與Controller連線。
Remote AP取得內部IP,透過內部IP建立與Controller的Tunnel。能在Web UI上看到Remote AP的IP即為其內部IP。
前準備
- Allowlist
- Inner IP Pool
- UDP 4500
Allowlist
※在8.7版以前為whitelist。
在 Managed Network > Configuration > Access Points > Allowlist > Remote AP Allowlist,新增Remote AP的資訊。
Inner IP Pool
MC&MD Cluster架構,Remote AP的Authentication method為Certificate
在Managed Conductor > Service > Cluster > Controller Cluster RAP Pool新增IP Pool。
MC&MD 架構,Remote AP的Authentication method為Pre-shared Key
在 Managed Network > Configuration > Services > General VPN 新增 IP Pool
在 Managed Network > Configuration > Services > Shared Secrets 新增 IKE Pre-shared Key
(可選)在認證伺服器,新增給AP登入用的account。
Standalone MD架構,Remote AP的Authentication method為Certificate
在 Mobility Controller > Configuration > Services > General VPN 新增 IP Pool
設定 Remote AP
Authentication method為Certificate
CPSec不啟用
Controller不會檢查AP Certificate,AP MAC Address只要在allowlist內就放行。
設定難度較低,建議初學者不啟用CPSec。
CPSec啟用
Controller會去檢查AP Certificate的合法性。
在MD Cluster架構下,會去取得 Controller Cluster RAP Pool 中的IP。
其他架構若對於AP Certificate不熟悉,設定難度較高,不建議初學者這樣佈建。
Authentication method為Pre-shared Key
IKE PSK輸入Shared Secrets的設定。
User credential assignment的選項可以依AP產生帳密,也可以手動指派帳密。
在 Configuration > System > Profiles > WirelessLAN > VPN Authentication > default-rap > Server Group,可以更改Remote AP的帳密要去哪個Server Group做驗證。
基本除錯
Remote AP的真實IP
在Dashboard,啟用「Outer IP」的欄位。
Remote AP建立溝通的相關LOG
在MD上,Diagnostics > Logs > Process Logs , 選擇「Station Management」
在MD上,Diagnostics > Logs > Process Logs , 選擇「Security logs」、「that includes」、「SA」
在MD上,Diagnostics > Logs > Process Logs , 選擇「ALL」、「that includes」、「stm」
進階設定
Split-Tunnel的使用
SSID的Split-Tunnel Mode是可以讓目標流量透過route src-nat轉換成AP IP,藉此讓流量在當地傳送。
至於需要當地轉送的目標流量是怎麼選擇的,全看Role的設定,全看ACL怎麼規劃。
本質上是Tunnel mode,連IP取得也是透過控制器去取得,差異點是誰做第一個路由。Split-Tunnel是AP,Tunnel則是控制器。
SSID與Controller失聯不斷線
Client的流量需要不經過Controller,然後一般的SSID預設是只有在與Controller連線才會發送,需要改成總是發放該SSID。
SSID的Forwarding Mode使用Bridge Mode。
在 Configuration > System > Profiles > Wireless LAN > Virtual AP中,選擇SSID。
在 Advanced 中,將Remote-AP Operation改為always。此設定讓Remote AP與Controller連線或失連都發送該SSID。
搭配Local Mobility Switch(LMS)
Remote AP會去哪個控制器報到?
順序最優先的是LMS,接著是LMS Backup,然後才輪到AP Provision Controller IP與AP Console的Master。
在 Configuration > System > Profiles > AP > AP system中,可以新建一個Profile。
建議修改LMS之前,都先創立一個AP System Profile,然後去AP Group套用該Profile。
在 Configuration > AP Groups > AP Group > LMS中雖然可以直接修改,但因為預設是套用名為 default 的 AP System Profile,因此修改是改default的設定值,可能會導致全部AP Group都被意外改掉。
