【20】Day1 C9800配置部署

1.概述

本文主要介绍Cisco Catalyst9800无线控制器的Day 1配置部署阶段需要关注的内容。其内容主要是各Tag的设计和考虑，我们都知道C9800的配置框架中，涉及Policy Tag、Site Tag以及RF Tag，其中内在包含了很多的Policy，接下来我们话不多说，直接切入正题。

2.C9800配置部署

关于配置部署，虽然涉及多个tag，但是重要的是要记住如下几点：

1.Profiles和tags：包含Policy Profile、AP join profile以及RF profile以及其对应的tag。

2.profiles通过tag来分配，每个AP需要分配三个tag（即Policy tag、Site tag和RF tag）。

3.新的配置架构的优势：

• 模块化和可重用的配置结构
• 灵活地将配置分配给一组AP
• 更容易跨地理分布位置管理特定于站点的配置
• 通过tag应用配置更改时不需要重启（如果对AireOS有印象的话，可以对比一下AP Group）

2.1.Tags的思考和设计

通过这张图可以明确看到tag和profile的关系。这里就不赘述了。

2.2.Policy tag设计

从框架图中我们可以看到Policy tag主要包含了WLAN profile和Policy profile，我们先来看看WLAN的设置。

2.2.1.WLAN/SSID

在开始之前，不得不提在新的配置环境下，需要关注的要点内容不同，目前已经有WiFi7的标准，那么在WLAN的配置上也自然有许多不同。

那么WiFi7有哪些不同？

• WPA3/Wi-Fi 7的增强开放强制要求
• 新的AKM支持WPA3-SAE
• WPA3-SAE和OWE的增强密码
• 强制性受保护管理框架（PMF）

关于WiFi7 WLAN设计思考，面对如下几种选项，你的选择将会是如何？

1.“All In”选项：将现有的WLAN重新配置为WPA3，所有无线电策略（2.4/5/6 GHz）都有一个SSID——最不可能。

2.“多SSID”选项：重新设计SSID，添加具有特定安全设置的特定SSID/WLAN——最灵活。

3.“一个SSID”选项：使用过渡模式支持多种安全性——最保守。

注意：对于11be MCS速率和MLO，所有频段的AKM必须相同！

接下来我们看看这几个选项的优缺点：

All-in

优点：

• 最干净、最简单的选择；
• 无需管理新的WLAN和SSID；
• 随时随地使用WPA3最安全；

缺点：

• 在 2.4GHz 和 5GHz 频段启用 WPA3 和 PMF（Protected Management Frames）后，会导致那些不支持 WPA3 和 PMF 的现有客户端无法连接；
• 需要对客户端设备和驱动程序进行完全控制；

多SSID（multiple SSIDs）

优点：

• 从客户端兼容性的角度来看，这是最干净的选项；
• 大多数安全选项，因为客户端可以采用WPA3安全性；
• WPA3客户端可以跨不同频段漫游；
• 通过Catalyst Center实现自动化；

缺点：

• 在WLC上配置和管理其他SSID；
• 需要管理客户端上的其他SSID配置文件；

单个SSID

优点：

• 通过WPA3过渡模式（transition mode）提供更安全的Wi-Fi自适应方法；
• 使用WPA2维护对旧客户端的支持；
• 客户端上没有要管理的新SSID配置文件；

缺点：

• 较旧的客户端在连接到WPA3过渡模式（transition mode）的SSID时可能会出现问题；

缺点：

2.2.2.WLAN 设置

这部分配置WLAN相对简单，所以我们只记录比较重要的部分或者说比较含糊的内容。

1.关于Aironet IE

如果我们运行了Cisco的设备（如IP电话）或者WGBs的画，不用开启。