...
Настройка WNAM для работы сети в FlexConnect режиме ничем не отличается от традиционного, локального режима. RADIUS-трафик проксируется контроллером, т.е. WNAM по-прежнему не взаимодействует с точкой доступа напрямую. Поведение беспроводного абонента, и последовательность шагов при его подключении такие же. Настройка беспроводного контроллера при этом несет ряд отличий.
Информацию о настройке FlexConnect режима можно посмотреть здесь, здесь и здесь. По сравнению с обычной конфигурацией, вам необходимо сделать Flex профиль, связать его с профилем SSID, с точкой доступа. В нашем примере сайт, группа и т.п. имеют префикс AB8, SSID и RADIUS-настройки, а также ACL-прежние. Точка доступа, и беспроводные клиенты, находятся в сети 172.16.131.0/24.
Для Flex политики обязательно нужно выбрать ранее созданный ACL, указать что он используется для CWA. Контроллер предварительно загрузит его в точку доступа, который там будет выглядеть так:
ip access-list extended wnam_acl_xe
permit udp any range 0 65535 any eq domain
permit udp any eq domain any range 0 65535
permit ip any host 172.16.131.5
permit ip host 172.16.131.5 any
deny ip any any
Обратите внимание, что в данном случае ACL классический, с традиционным порядком и значениями permit/deny.
Вам также необходимо задать VLAN, в который будет терминироваться локально трафик клиента на точке доступа.
Вам необходимо создать новую политику, она определяет тип свитчинга трафика: локальный, при этом авторизация-центральная.
Вы должны указать, в какой локальный (для точки доступа) VLAN попадает клиентский трафик.
Здесь вы также привязываете старые AAA политики, и убираете чекбокс с VLAN Central Switching, эффективно делаю эту политику Flex-политикой.
Тэг связывает политику и WLAN профиль, т.е. SSID.
Для сайта вы привязываете ранее определенные политики, чекбокса у Local Site теперь нет. Точка доступа на этом сайте переходит в режим Flex.
Здесь можно вручную привязать заданную точку доступа к тэгу.
После сделанных выше настроек в представлении Wireless setup вы увидите сайт с привязанными ACL и т.п. Добавлять AAA-сервер на точку доступа не нужно.
После подключения Wi-Fi абонента сведения о его статусе работы показывают, что применились Flex политики с локальным свичингом и центральной авторизацией, при этом клиент находится в локальном VLAN, где и точка доступа.
