【20】Day1 C9800配置部署

1.概述

本文主要介绍Cisco Catalyst9800无线控制器的Day 1配置部署阶段需要已关注的内容。其内容主要是各Tag的设计和考虑，我们都知道C9800的配置框架中，涉及Policy Tag、Site Tag以及RF Tag，其中内在包含了很多的Policy，接下来我们话不多说，直接切入正题。

2.C9800配置部署

关于配置部署，虽然涉及多个tag，但是重要的是要记住如下几点：

1.Profiles和tags：包含Policy Profile、AP join profile以及RF profile以及其对应的tag。

2.profiles通过tag来分配，每个AP需要分配三个tag（即Policy tag、Site tag和RF tag）。

3.新的配置架构的优势：

模块化和可重用的配置结构
灵活地将配置分配给一组AP
更容易跨地理分布位置管理特定于站点的配置
通过tag应用配置更改时不需要重启（如果对AireOS有印象的话，可以对比一下AP Group）

2.1.Tags的思考和设计

通过这张图可以明确看到tag和profile的关系。这里就不赘述了。

2.2.Policy tag设计

从框架图中我们可以看到Policy tag主要包含了WLAN profile和Policy profile，我们先来看看WLAN的设置。

2.2.1.WLAN/SSID

在开始之前，不得不提在新的配置环境下，需要已关注的要点内容不同，目前已经有WiFi7的标准，那么在WLAN的配置上也自然有许多不同。

那么WiFi7有哪些不同？

WPA3/Wi-Fi 7的增强开放强制要求
新的AKM支持WPA3-SAE
WPA3-SAE和OWE的增强密码
强制性受保护管理框架（PMF）

关于WiFi7 WLAN设计思考，面对如下几种选项，你的选择将会是如何？

1.“All In”选项：将现有的WLAN重新配置为WPA3，所有无线电策略（2.4/5/6 GHz）都有一个SSID——最不可能。

2.“多SSID”选项：重新设计SSID，添加具有特定安全设置的特定SSID/WLAN——最灵活。

3.“一个SSID”选项：使用过渡模式支持多种安全性——最保守。

注意：对于11be MCS速率和MLO，所有频段的AKM必须相同！

接下来我们看看这几个选项的优缺点：

All-in

优点：

最干净、最简单的选择；
无需管理新的WLAN和SSID；
随时随地使用WPA3最安全；

缺点：

在 2.4GHz 和 5GHz 频段启用 WPA3 和 PMF（Protected Management Frames）后，会导致那些不支持 WPA3 和 PMF 的现有客户端无法连接；
需要对客户端设备和驱动程序进行完全控制；

多SSID（multiple SSIDs）

优点：

从客户端兼容性的角度来看，这是最干净的选项；
大多数安全选项，因为客户端可以采用WPA3安全性；
WPA3客户端可以跨不同频段漫游；
通过Catalyst Center实现自动化；

缺点：

在WLC上配置和管理其他SSID；
需要管理客户端上的其他SSID配置文件；

单个SSID

优点：

通过WPA3过渡模式（transition mode）提供更安全的Wi-Fi自适应方法；
使用WPA2维护对旧客户端的支持；
客户端上没有要管理的新SSID配置文件；

缺点：

较旧的客户端在连接到WPA3过渡模式（transition mode）的SSID时可能会出现问题；

缺点：

2.2.2.WLAN 设置

这部分配置WLAN相对简单，所以我们只记录比较重要的部分或者说比较含糊的内容。

1.关于Aironet IE

如果我们运行了Cisco的设备（如IP电话）或者WGBs的画，不用开启。

2.关于band select

如果说我们再有语音流量的SSID的话，这个功能可以不用开启，可能会影响快速漫游，但是从另一方面来说，对一般的SSID，开启这个功能是比较好的。

3.关于fast transition

首先fast transition这个功能有一个问题，就是支持11r的客户端和传统的客户端共存的情况？

因为如果开启这个功能的话，不支持的客户端可能无法连接我们的SSID，那么在C9800的这个配置中，建议如下：

开启fast transition
同时选择FT和非FT的认证和AKM模式
禁用Over-the-DS以实现最佳互操作性

当然，可能有人也会有疑问，如果开启adaptive呢？

1.WiFi6e和WiFi7不兼容：

自适应启用不能与WPA3一起使用；
如果不开启WPA3，将不能广播6GHz的WiFi，也没有MLO或11be速率；

2.关于传统客户端的问题：

开启FT adaptive功能，非FT的客户端链接将可能会有问题；
11r混合模式允许更大的兼容性；

2.2.3.Webauth配置

关于webauth配置的问题：

无线客户端无法自动弹出专属门户页面。如果客户端访问任何网站，都会收到证书警告消息。

解决方法：

需要在HTTP上启用WebAuth。在9800中，你不需要为整个设备启用HTTP（GUI访问），而只需要为WebAuth客户端连接启用HTTP。

在parameter–map的定义下添加webauth http enable命令：

parameter-map type webauth global
    virtual-ip ipv4 192.0.2.1 virtual-host <name>
    webauth-http-enable

2.2.4.mDNS配置

场景：AireOS配置已正确转换，因此mDNS服务策略上未启用位置服务。

建议：配置mDNS策略以使用位置特定服务（Location Specific Services，LSS）优化mDNS对客户端的响应。

mdns-sd service-policy aireos-default-mdns-profile
    […]
    location lss

2.2.5.Policy Profile设置

1.关于session Timeout

在AireOS中，我们经常设置这个Timeout为0，那么C9800上如何呢？

在C9800中，在17.4.1之前，如果设置为0，则会话超时被禁用>所有漫游都是慢速的。从17.4.1开始，对于802.1x SSID，如果将其设置为零，则会将其重新配置为最大允许值。

此外，从17.12开始，session timeout将设置为8h（28800s）,之前是30分钟，很多场景中，客户端不是那么“喜欢”频繁的重认证，认证越多，出现问题的概率也就越多，另外一方面，也可以给AAA服务器减轻一些压力。

2.关于AAA override

这个功能通常结合AAA使用，给对应SSID链接的客户端分配特定的“属性”。例如VLAN，SGT等。

3.EAP timeout

默认超时和重试适用于大多数用例，在如下的场景中可能需要调整增加：

在Smart card上实施一次性密码OTP；
用户交互需要；

但是增加这个timeout值的情况下，需要考虑到用户体验，做好权衡。另外关于EAP-Request的两个选项，客户端的情况不同，一些“慢”的客户端（例如电话）可能最大值在30s，一般客户端在2s应该就够了。

如上的配置基于一个相对比较通用的场景。

4.关于radius server timeout

最小值是5s，需要注意最大限度的降低在认证还未完成的时候，认证就超期了。

关于AAA的配置中，比较重要的是需要考虑：

使用多个AAA server来实现负载；
指定何时标记服务器已关闭并移动到下一个服务器；
使用探测器监视服务器的状态；

5.Tacacs+的管理timeout

如果有如下的情况，需要增加重传超时时间：

重复的重新身份验证请求
当主服务器仍在运行且可访问时，控制器会回退到备份服务器

建议的设置是：1s

2.2.6.QoS配置

Catalyst 9800无线QoS——策略目标(Policy targets)

targets是应用策略的实体。9800支持#3目标：SSID、客户端和端口。无线QoS策略在上游和（或）下游方向上应用。

下游：从有线源到无线目的地的流量
上游：从无线源到有线目的地的流量

SSID策略：可以在入口（上游）和出口（下游）方向上为SSID创建QoS策略。该策略适用于每个AP和每个SSID。可以在SSID上配置policing和marking policies.
客户端策略：适用于入口（上游）和出口（下游）方向。您可以在客户端上配置policing和marking policies。还支持AAA override。

1.模块化QoS

Catalyst QoS模型基于模块化QoS CLI（MQC）
在IOS-XE中，MQC用于实现区分服务模型QoS
MQC的主要构造:

class map:流量分类；
Policy map:将流量和行为绑定；
Service Policy:将Policy map和目标/方向关联；

2.C9800 QoS相关要点

控制器侧：

SSID和客户端目标只能通过marking 和policing policies进行配置；
支持每个方向每个目标一个策略；
Policy map中的class map可以有不同类型的filters。但是，每个class只支持一个集合操作；

AP侧：

对于FlexConnect本地转发和fabric，QoS策略在AP上应用，“police”操作仅在每个流（5元组）级别强制执行（例如，速率限制是per flow）。

2.2.7.App可视化和控制器

这部分内容是application visiblity & Control （AVC）。无线控制器中的深度数据包检测——允许应用程序识别、标记、速率限制和丢弃不需要的流量。

集中转发：AVC策略在WLC应用于下游和上游；
AVC可以应用于特定方向（上游或下游或两个方向）；
AVC中的“C”可以修改内部DSCP值，从而影响CAPWAP DSCP和无线UP值；它还可以减少或限制流量；

本地转发：在AP上对上下游应用AVC策略；

另外，在新功能中，支持自定义AVC，如：

1.自定义IP，Port和DSCP

9800(config)#ip nbar custom my_app transport udp
9800(config-custom)# ip address 9.9.71.50 9.9.71.11 9.9.71.14
9800(config-custom)# port 1111
9800(config-custom)# dscp 0
9800(config-custom)# direction any

2.自定义HTTP host和URL

URL或主机规范字符串可以采用正则表达式的形式

9800(config)#ip nbar custom my_http http url “latest/whatsnew.html”
9800(config)#ip nbar custom my_http http host “www.anydomain.com”
9800(config)#ip nbar custom my_http http url “latest/whatsnew” host “www.anydomain.com”

2.2.Site tag设计

重要信息：
▪ 9800 采用多进程软件架构
▪ AP 分布在 9800 内的无线网络控制器进程 (WNCd) 中
▪ 将 AP（和客户端）分布在 WNCd 进程中可实现更佳的扩展性和性能
▪ WNCd 的数量因平台而异：

通过如下命令可以查看WNCDs进程：

RPS-C9800#sh processes platform | inc wncd
 25350   24965  S           280236  wncd_0
RPS-C9800#

如下这张图展示的是Site tag的概念图；

1.AP 在 WNCd 中的分配工作原理：
▪ AP 分配到 WNCd 的过程基于Site tag：具有相同site tag的 AP 由同一个 WNCd 管理。
▪ site tag根据site tag数量（而非 AP 数量）以负载最低的标准在 WNCd 之间分配。
▪ AP 到 WNCd 的映射在 AP 加入时进行。仅对第一个使用新site tag加入的 AP 进行映射。
▪ 为获得最佳性能：使用自定义site tag，并在漫游域级别对 AP 进行分组 > site tag = roaming domain。
▪ 重要提示：site tag不必与地理物理站点一致。site tag是ap的逻辑组。
AP 在 WNCd 中的分配方式可以通过如下命令查看：

RPS-C9800#sh wireless loadbalance ap affinity wncd 0
AP Mac         Discovery Timestamp      Join Timestamp            Tag
---------------------------------------------------------------------------------
881d.xxxx.7c90 06/09/25 13:05:59        06/09/25 13:06:10        Flex-Site-Tag

RPS-C9800#sh wireless loadbalance ap affinity wncd ?
  <0-7>  Enter wncd instance number

RPS-C9800#

2.关于Site tag的建议

自定义Site tag；
每个site tag最好别超过500个AP；
不同的WLC，每个site tag支持的最大AP也不一样，不要超过了；

在site tag之间均匀分配AP，并使用每个平台推荐的site tag数量；

3.配置site tag load

路径Configuration > Tags & Profiles > Tags -> Site

 可以通过如下命令来验证site tag load：

2.3.RF tag设计

• 使用动态信道分配 (Catalyst) 或自动信道 (Meraki) 通过射频配置文件规划信道
• 如有需要，移除业务关键区域（例如 DFS）的不可用信道
• 保留信道供其他系统使用

1.使用RF配置文件（RF profile）选择通道宽度

5GHz：

• 建议使用 40MHz 信道
• 平衡性能和非重叠信道
• 在高密度环境中使用 20 MHz
• 提供最大信道复用率（容量）
• 在较偏僻的区域（例如较小的教室、大厅、会议室等）可选择性地使用更宽的信道。

6GHz：
• 严重依赖于监管范围
• 注意！更高的信道宽度会导致数据帧的最大发射功率更高（但信标帧除外——勘测时请记住！）

3.AP和Tag的映射

在没有现有配置的情况下，当AP加入9800时，它会被分配默认标签：即default-policy-tag, default-site-tag 和default-rf-tag。
AP<>标签映射可以有多个标签源：

▪ static：管理员配置
▪ location：基本设置流程
▪ filter：正则表达式
▪ AP：标签保存在 AP 上
注意：这些按优先级排序中，只能更改filter和 AP tag source的优先级顺序！

1.静态static

Configuration > Wireless > Access Points

2.filter

需要一个AP命名约定（例如AP_<#>_<site>，其中site可以是建筑物、楼层、面积），并且您的AP已经正确命名。

Configuration>Tags & Profiles>Tags go to AP>Filter:

当名称包含“site1”的AP加入9800或重命名时，它会被分配给过filter中指定的标签。由于这是一次AP tag更改，因此会自动触发CAPWAP重启，AP将退出并重新加入（正常不到30秒）。

3.AP

• AP 加入时会显示标签，9800 上无需映射
• 如果标签已在新 WLC 上定义，且没有更高优先级的映射（例如静态映射），AP 加入新 WLC 时会保留其标签。
• 在 17.6 之前，要将标签信息推送到 AP，需要在执行模式下使用 CLI 命令：
9800#ap name <APname> write tag-config
• 使用 CLI 命令可能比较麻烦，Cisco提供以下解决方案：
        • 事件管理器EEM脚本（适用于 17.3.x 版本）
        • 17.4.1 及更高版本中的图形用户界面 (GUI) 设置
        • 从 17.6 开始，新增了“AP 标签持久性”功能

从17.6.1开始，支持全局配置这个ap persistency（AP标签持久）功能：

9800(config)#ap tag persistency enable
在17.6.2和17.7在GUI中也添加了：

Configuration > Tags & Profiles > Tags

那么如果检查AP tag source呢？可以通过show ap tag summ命令

4.参考文档

C9800 配置最佳实践