CISCO无线局域网控制器和AP的设计问题

关于设计解决方案，有两个问题。

1. 在控制器和接入点之间创建了CAPWAP隧道。隧道的末端是控制器的“ ap-management”接口和接入点的管理接口。我发现将AP和Controller放在不同的L2域中是最佳实践，但是从理论上讲，这似乎是一个更好的解决方案。哪个是对的？

2. 无线网络之一将是访客WI-FI。秘书将创建访问属性。是否需要在控制器上创建一个额外的接口（在公司网络中）并将凭据提供给“大厅管理员”以实施这种方案？

1. 将AP和控制器放在同一个L2域中是最简单的解决方案，因为您无需执行任何其他操作即可使它们彼此找到对方。如果将AP放置在其他子网中，则必须在AP子网中配置DHCP选项43，或将DNS条目放入cisco-capwap-controller.DOMAIN-APs-GET-FROM.DHC。以前是cisco-lwapp-controller。

2. 您需要授予秘书管理员或大厅管理员访问WLC的权限，以便他们可以创建登录名。它不需要用于访客wifi的其他接口，但您可以使用一个接口并将其插入DMZ，以实现更好的隔离。

编辑：更正了DHCP选项编号，因为@generalnetworkerror指出了我的错误内存。

1. AP和控制器位于同一子网上的可能性很小。您可能在组织中某处有一个集中控制器，并且AP将插入到跨越多个子网的不同IDF壁橱中的端口中。当AP启动时，它们采用通过DHCP分配的域名，然后尝试解析CISCO-CAPWAP-CONTROLLER.domainname.com或CISCO-LWAP-CONTROLLER.domainname.com，然后在其中隧道化其CAPWAP或LWAP隧道。从STP pov来看，跨多个交换机和中继线跨越相同的L2 VLAN是危险的。因此，我想说在同一L2域上配置AP和控制器是不好的做法。
2. 除非您要授予秘书访问控制器的权限，否则请使用Cisco Guest Access服务器。http://www.cisco.com/en/US/products/ps10160/index.html

这使秘书可以为客人生成用户名和密码，并通过电子邮件向他们发送信息（他们可以在智能手机上阅读并登录），并指定帐户保持登录状态的时间长度。这样，没有人知道使用Web身份验证的PSK或常规登录。最好的做法是使用简单的密码对开放式/来宾wifi网络进行事件加密，以提供用户安全性。

1. 您可以尝试将AP和控制器的管理接口保持在相同的L2域中，但是除了让您头疼之外，它不会给您带来任何麻烦。该体系结构旨在允许您跨越L3边界在整个网络中即插即用AP。AP将通过几种不同的方式来发现控制器。我们使用DNS发现。（为“ CISCO-CAPWAP-CONTROLLER.yourdomain.com”添加一个A记录。我相信还有一个A记录要添加，但此刻我却逃不过了）
2. 我不确定我是否100％理解问题的这一部分。听起来秘书会为客人设置PSK。在这种情况下，我肯定会建议您使用其他接口，该接口不允许访问RFC 1918地址空间。使用外部DNS服务器。然后剩下的就是让秘书访问WLC来更改SSID的PSK。

可以将WLC和AP放在同一子网中，但是不太可能，因为特别是在大型环境中或频繁部署新的接入点时，很难管理。根据我的经验：在您拥有10到20个AP和WLC的小型地点，将它们放置在同一VLAN中比较容易。在具有一个（或多个冗余）集中式WLC和（在地理位置上）分散的许多AP的大型安装中，易于配置和“清洁”的解决方案是使用DNS进行发现过程。当您拥有更复杂的网络时，由于特定的要求或设计不正确，您可以使用DHCP选项43（或静态配置）。

使用DNS记录是发现控制器的一种简单解决方案，尤其是在您的域中只有一个控制器或者您不在乎AP将加入哪个WLC的情况下。我喜欢在发现过程中使用DHCP供应商特定的选项，因为这样可以轻松地手动配置lwapp ap controller ip address但可以提供更多的控制权，尤其是当您由于某些原因无法使用不同的域并希望能够向AP发送不同的WLC IP时。您可以创建具有DHCP选项43的基于范围的策略，该策略具有用于接入点VCI（供应商类别标识符）的控制器的IP地址。在最初的DHCP发现广播期间，VCI由DHCP客户端在选项60中发送，并用于标识特定的设备类别（因此命名）。对于匹配的VCI，DHCP将发送带有102或241个子选项的选项43，您将配置这些选项来保存控制器的IP地址（其他客户端将看不到它们）。