CISCO无线局域网控制器和AP的设计问题

#1 楼

将AP和控制器放在同一个L2域中是最简单的解决方案，因为您无需执行任何其他操作即可彼此找到对方。如果将AP放置在其他子网中，则必须在AP子网上配置DHCP选项43，或者将DNS条目放入cisco-capwap-controller.DOMAIN-APs-GET-FROM.DHC。以前是cisco-lwapp-controller。
您需要为秘书提供管理员或大厅管理员对WLC的访问权限，以便他们可以创建登录名。它不需要用于访客wifi的其他接口，但您可以使用一个接口并将其插入DMZ以实现更好的隔离。

编辑：更正了DHCP选项号，因为@generalnetworkerror指出了我的错误内存。

#2 楼

AP和控制器位于同一子网上的可能性很小。您可能在组织中的某个地方有一个集中控制器，并且AP将插入到跨越多个子网的不同IDF壁橱中的端口中。当AP启动时，它们采用通过DHCP分配的域名，然后尝试解析CISCO-CAPWAP-CONTROLLER.domainname.com或CISCO-LWAP-CONTROLLER.domainname.com，然后在其中隧道化其CAPWAP或LWAP隧道。 />从STP pov看，跨多个交换机和中继线跨过相同的L2 VLAN是危险的。因此，我想说在同一个L2域上配置AP和控制器是一种不好的做法。 http://www.cisco.com/zh-CN/products/ps10160/index.html


这样秘书可以为来宾生成用户名和密码，并通过电子邮件将其发送给信息（他们可以在智能手机上读取信息并登录），并指定帐户保持登录状态的时间。
这样，没人会知道使用Web身份验证的PSK或常规登录。
最好的做法是使用简单的密码对开放式/来宾wifi网络进行事件加密，以提供用户安全性。

#3 楼

您可以尝试将AP和控制器的管理接口保持在同一个L2域中，但是除了让您头疼之外，它不会给您带来任何麻烦。该体系结构旨在允许您跨越L3边界在整个网络中即插即用AP。 AP将通过几种不同的方式来发现控制器。我们使用DNS发现。 （为“ CISCO-CAPWAP-CONTROLLER.yourdomain.com”添加一条A记录。我相信还有另一条A记录要添加，但此刻我已经逃过了）
我不确定我100％理解这部分问题。听起来秘书会为客人设置PSK。在这种情况下，我肯定会建议您使用其他接口，该接口不允许访问RFC 1918地址空间。使用外部DNS服务器。然后剩下的就是让秘书访问WLC来更改SSID的PSK。

#4 楼

可以将WLC和AP放在同一个子网中，但是不太可能，因为特别是在大型环境中或当您频繁部署新的接入点时，很难管理。根据我的经验：在您拥有10-20个AP和WLC的小型地点，将它们放置在同一VLAN中比较容易。在具有一个（或多个冗余）集中式WLC和（在地理位置上分散的）许多AP的大型安装中，易于配置且“干净”的解决方案是将DNS用于发现过程。当您拥有更复杂的网络时，由于特定的要求或设计不正确，可以使用DHCP选项43（或静态配置）。

使用DNS记录是发现控制器的简单解决方案，尤其是在您的域中只有一个，或者您不在乎AP将加入哪个WLC。我喜欢在发现过程中使用DHCP供应商特定的选项，因为它比手动配置lwapp ap controller ip address更容易，但是可以提供更多控制，尤其是当您由于某些原因而无法使用其他域并且希望能够向AP发送不同的WLC IP时。您可以创建具有DHCP选项43的基于范围的策略，该策略具有用于访问点的VCI（供应商类别标识符）的控制器的IP地址。 VCI由DHCP客户端在初始DHCP发现广播期间在选项60中发送，并用于标识特定的设备类别（因此命名）。对于匹配的VCI，DHCP将发送带有102或241个子选项的选项43，您将配置这些子选项来保存控制器的IP地址（其他客户端将看不到它们）。