Развёртывание EWC на AP

Leave a Comment /

Развёртывание EWC на AP — в качестве точки у нас моднявая Catalyst 9124AXE Outdoor Access Point. Помучаемся немного и развернём контроллер на точке.

Ранее выкладывал статью о EWC на коммутаторе Catalyst 9000. Часть материалов оттуда заберу сюда, потому что там конкретно про коммутатор/сравнение разных решений для WLC и эти материалы про контроллер-точку уместнее здесь. Так что некоторое повторение будет, но есть и новое.

Input power requirements

Сперва поговорим про очень важную часть для APs циско. А именно про питание точек 9124AXE:

  • 802.3af Power over Ethernet (PoE), 802.3at PoE+, 802.3bt PoE++, Cisco Universal PoE (Cisco UPOE);
  • Cisco power injector, AIR-PWRINJ-60RGD1= and AIR-PWRINJ-60RGD2=;
  • Cisco power injector, AIR-PWRINJ6= (Note: This injector supports 802.3at);
  • DC power source Auxiliary DC input, 24V to 56V.

Supports PoE output (802.3af compliant PSE) on the 1x 10/100/1000 BASE-T (Ethernet) downlink interface if C9124AX powered from one of the following:

  • UPOE or 802.3bt inline power source (Switch or Power Injector);
  • DC input (with external power supply rated ³ 60W).
PoERadio 0 SSRadio 1 SSRadio 2 SS (C9124AXE)POE O/P
.3afDisabledDisabledn/aN
.3at2×22×2n/aN
.3bt/UPOE/DC4×44×4 or 2X22×2Y
Powering the Access Point over Power-over-Ethernet

The AP can be powered through Power-over-Ethernet (PoE) using the following:

  • 802.3at (PoE+), Any 802.3at (30W) compliant switch port or Cisco Power Injector AIR-PWRINJ6=;
  • 802.3bt, Any 802.3bt compliant switch port or IEEE 802.3bt compliant Power Injector;
  • Cisco Universal PoE (Cisco UPOE).
NoteIf 802.3af is used, both the 2.4-GHz and 5-GHz radios are disabled, and Ethernet gets downgraded to 1 GbE speeds. The SFP port and PoE-OUT is also disabled.

Иначе говоря, давай либо коммутатор циско с PoE, либо дорогой инжектор циско. А если ты хочешь чтобы точка выступала источником PoE, то крутой коммутатор, очень дорогой инжектор или же мощный БП. Так что самый простой варик, озаботиться БП. Вот только когда точка висит под потолком 4 метра и там нет розетки, уже лучшее решение коммутатор циско с PoE.

Ограничения EWC на AP

Почитать полностью можно тут. Частично цитирую:

  • The EWC cannot have its Gig 0 interface configured as trunk;
  • EWC is not supported at all on Wi-fi 6E and Wi-Fi 7 APs;
  • The EWC does not support Switch Virtual Interfaces (SVIs);
  • The EWC cannot perform central switching;

Мне этот момент был изначально непонятен. Может EWC в central switching, не может.. Здесь всё стало понятно. Не может, не умеет.

  • Gig 0 is the only interface that can be used as a Wireless Manager;
  • All of the EWC traffic has to be sourced from Gig 0 interface (which includes RADIUS, Control and Provisioning of Wireless Access Points (CAPWAP) control, licensing traffic, and so on);
  • The EWC cannot perform embedded packet captures;
  • The EWC does not support APs in sniffer mode;
  • The EWC image does not boot up if there is another EWC, AireOS, or 9800 Wireless LAN Controller (WLC) in the same broadcast domain. The AP continues to function as a normal lightweight CAPWAP AP until the other WLCs are removed from the network;
  • When you convert or upgrade the EWC in a deployment with mixed AP models, it is required to have a functioning TFTP server;
  • EWC is not able to fragment packets (See Cisco bug id CSCwc95321).

Так же вот ещё полезная статья по EWC на AP. И ещё одна.

Поддерживаемые EWC APs

Технология EWC доступна только на точках серии 9100 (Catalyst 9105AXW and Wave 2 access points operate in client serving mode only), для более старых точек технология другая, Mobility Express (ME). EWC ни что иное, чем эволюционировавший ME. Интересно рассмотреть EWC как раз в разрезе сравнения этих двух технологий. Отличия есть, есть и сходства. Забегая вперёд скажу, что сходства больше.

Сам контроллер обязательно точка 9100 серии (условно 2 точки для отказоустойчивости). При этом остальным APs не обязательно быть 9100.

Список поддерживаемых моделей зависит от версии ПО точки-контроллера и может отличаться от приведённого.

Access points supported as subordinate APsSupported model numbers
Cisco Catalyst 9100 SeriesC9115AXI C9116AXE C9117AXI C9120AXI C9120AXE C9120AXP C9130AXI C9130AXE
Cisco Aironet 1800 SeriesAIR-AP1832I AIR-AP1852I AIR-AP1852E AIR-AP1815I AIR-AP1815W AIR-AP1842I AIR-AP1810W
Cisco Aironet 2800 SeriesAIR-CAP2802I AIR-CAP2802E
Cisco Aironet 3800 SeriesAIR-CAP3802I AIR-CAP3802E
Cisco Aironet 4800 SeriesAIR-CAP4802I
Cisco Aironet 1540 SeriesAIR-CAP1540
Cisco Aironet 1560 SeriesAIR-CAP1560
Не так уж и мало

Подробнее о совместимости c EWC точек тут. Итак, имеется точка 9124AXE с обычной прошивкой, не поддерживающей программный контроллер:

cisco C9124AXI-R ARMv8 Processor rev 4 (v8l) with 1812508/1265892K bytes of memory.
Processor board ID FGL2815L18L
AP Running Image     : 17.6.4.56
Primary Boot Image   : 17.6.4.56
Backup Boot Image    : 17.9.4.27

Сперва нужно точку перепрошить.

Особенности прошивки AP

Нам нужно два шнура, грубо говоря. Первый консольник, через него мы будем давать команды. Второй Ethernet, подключенный в интерфейс G0 точки, через него будем загружать прошивку.

И тут важный момент, в сети, куда воткнута точка не должно быть других Wi-Fi контроллеров. Если точка увидит контроллер, а она его ищет по умолчанию, тогда пропишет себе этот контроллер и считай пропало:

[*06/25/2025 06:37:39.1946] CAPWAP State: Discovery
[*06/25/2025 06:37:39.2023] Discovery Request sent to 255.255.255.255, discovery type UNKNOWN(0)

Нужно точку сбрасывать на завод. Для этого необходимо зажать кнопку сброса, выключить питание, включить и подождать 30 секунд. В консоли будет такое:

Button is pressed. Configuration reset activated..
Keep the button pressed for > 20 seconds for full reset

Keep the button pressed for > 30 seconds for full factory reset (clear fips flag)

Wait for the button to be released ....
Button pressed for  33 seconds

Setting env for full reset..
Writing to Nand...
Erasing block 0x720000
Erasing at 0x727000 -- 100% complete.

Если включить уже прошитую в EWC точку в сеть с контроллером, EWC не станет стартовать (смотри ограничения для EWC выше).

Прошивка

Идём на загрузочный сайт циски и скачиваем архив (~700Mb). В нём файлы под все возможные модели точек серии 9100. Релиз ПО последний, 17.15.3. Первое отличие от ME, там релиз хоть и свежий, но в весьма старой ветке 8 версии (8.10.196.0).

Сразу второе отличие. Вроде бы просто прошивать, однако тут существует важный момент:

Unlike Mobility Express, it is required to specify two different images. Оne for the AP and one for the EWC.

То есть требуются два файла. Один для точки и ещё один для неё же, но уже как контроллера. И это классно на самом деле. Не просто кастомная прошивка для точки, а хоть и урезанный по размеру (а значит и по функционалу), но всё же свой образ контроллера. Поэтому прошивается вот такой командой, где первым файлом указан потребный образ для точки с поддержкой EWC, а вторым уже сам контроллер EWC.

APC828.E53B.35C4#ap-type ewc-ap tftp://10.18.20.100/ap1g6a tftp://10.18.20.100/C9800-AP-iosxe-wlc.bin

В архиве приложен readme.txt с соответствием моделей точек файлам прошивок для них:

AP IMAGES AND MODELS:
ap3g3 : AP380x, AP280x, AP156x, AP480x
ap1g4 : AP181x, AP183x, AP185x
ap1g5 : AP1815, AP154x, AP184x
ap1g6 : C9117
ap1g7 : C9115, C9120
ap1g6a : C9124, C9130
ap1g8 : C9105, WP-WIFI6, ISR-AP1101AX

Прошивка начинается, сначала скачивается файл именно для контроллера и проверяется:

######################################################################## 100.0%
Checking ...OK
Checking image size...OK
Checking image family...OK
Verifying ...OK
Versioning ...ws_management_version: 17.15.03.0.5635
Successfully downloaded and setup eWLC image.
Image download completed.

Если всё ok, далее качается файл для самой точки. Ну а когда проблема с версиями либо файлом, возникает ошибка:

Checking image family...Image family not supported with C9800-AP

После успешной проверки обоих файлов начинается процедура апгрейда и затем следует ребут. Весь лог приводить не буду, он весьма длинный, неинтересный и пролетает быстро. Примерно вот так выглядит:

######################################################################## 100.0%
Upgrading ...
status 'upgrade.sh: Script called with args:[NO_UPGRADE]'
do NO_UPGRADE, part2 is active part
status 'upgrade.sh: Script called with args:[-c PREDOWNLOAD]'
do PREDOWNLOAD, part2 is active part
status 'upgrade.sh: Creating before-upgrade.log'
status 'upgrade.sh: Start doing upgrade arg1=PREDOWNLOAD arg2=,from_cli arg3= ...'
status 'upgrade.sh: Using image /tmp/cli_part.tar on axel-qca ...'
status 'Image signing verify success.'
779440+0 records in
779440+0 records out
Unlocking /dev/mtd10 ...
Erasing /dev/mtd10 ...

Апгрейд продолжается ещё какое-то время и после ребута. Когда всё норм, в завершение выводится приглашение для начальной инициализации контроллера:

 --- System Configuration Dialog ---
Would you like to enter the initial configuration dialog? [yes/no]:

Глюки после прошивки

Собрал удивительное количество глюков при прошивке точки в контроллер:

  • Точка сваливается в режим рекавери;

Читал в нете, случается такое из-за битого архива с файлами или кривой отработки цискинских скриптов. Тогда начинает циклично выводиться сообщение:

EWC-AP in Recovery Mode......
Please use 'archive download-sw' to upgrade AP and Controller image.
Please use 'show flexconnect ewc-ap launch-log' to check EWC-AP launch log.

Собственно говоря, абсолютно все точки, которые я шил в контроллер (это 3 штуки на разных площадках), сваливались в Recovery Mode после прошивки. Точка робит, но контроллер не стартует.

  • В режиме рекавери в консоли перестаёт работать клава, не реагирует на нажатия;
  • При попытке повторной прошивки командой ap-type ewc-ap tftp://10.18.20.100/ap1g6a tftp://10.18.20.100/C9800-AP-iosxe-wlc.bin, команда отклоняется:
APC828.E53B.35C4
Image upgrade not needed, changing AP Type to EWC-AP

Расказываю как лечить каждую траблу.

Консоль

После ребута точки в режим EWC, на ней автоматом становится доступен SSH (кредиты те же, Cisco/Cisco). Пользуем его. Трабла с консолью решена.

EWC-AP in Recovery Mode

Ok, раз нам говорят Please use ‘archive download-sw’, пишем, чтобы снова закачался образ контроллера: 

APC828.E53B.35C4#archive download-sw ewc-ap tftp://10.18.20.100/C9800-AP-iosxe-wlc.bin

После точку нужно перезапустить:

######################################################################### 100.0%
Checking ...OK
Checking image size...OK
Checking image family...OK
Verifying ...OK
Versioning ...ws_management_version: 17.15.03.0.5635
Successfully downloaded and setup eWLC image.
Image download completed.
Please reload AP to take effect.
Archive done.

Только это не поможет и ошибка не уйдёт. Cколько ни перезакачивай файл. Файл сам целый, дело не в нём. Исправлялось так, нужно запустить именно первоначальную команду прошивки. И вывод тут такой, привожу полностью, так как важно:

APC828.E53B.35C4#ap-type ewc-ap tftp://10.18.20.100/ap1g6a tftp://10.18.20.100/C9800-AP-iosx                                                                                                                                                                             e-wlc.bin

Download script called with args:[-l tftp://10.18.20.100/C9800-AP-iosxe-wlc.bin                                                                                                                                                                              -m 2]
Starting download eWLC image tftp://10.18.20.100/C9800-AP-iosxe-wlc.bin ...
It may take a few minutes. If longer, please abort command, check network and tr                                                                                                                                                                             y again.
######################################################################### 100.0%
Checking ...OK
Checking image size...OK
Checking image family...OK
Verifying ...OK
Versioning ...ws_management_version: 17.15.03.0.5635
Successfully downloaded and setup eWLC image.
Image download completed.
Download script called with args:[-l tftp://10.18.20.100/ap1g6a -m 0]
Starting download AP image tftp://10.18.20.100/ap1g6a ...
It may take a few minutes. If longer, please abort command, check network and tr                                                                                                                                                                             y again.
######################################################################### 100.0%
Upgrading ...
status 'upgrade.sh: Script called with args:[NO_UPGRADE]'
do NO_UPGRADE, part1 is active part
status 'upgrade.sh: Script called with args:[-c PREDOWNLOAD]'
do PREDOWNLOAD, part1 is active part
status 'upgrade.sh: Creating before-upgrade.log'
status 'upgrade.sh: Start doing upgrade arg1=PREDOWNLOAD arg2=,from_cli arg3= ...'
status 'upgrade.sh: Using image /tmp/cli_part.tar on axel-qca ...'
extracting /tmp/cli_part.tar was successful
opkg verify hash file signature succeeded
hash signature verification succeeded
status 'Image signing verify success.'
status 'upgrade.sh: btldr update is not needed.'
status 'upgrade.sh: ***** part to upgrade is part2 *******'
status 'upgrade.sh: AP version1: part2 17.15.3.28, img 17.15.3.28'
status 'upgrade.sh: Extracting and verifying image in part2...'
status 'upgrade.sh: BOARD generic case execute'
status 'upgrade.sh: Untar /tmp/cli_part.tar to /bootpart/part2...'
status 'upgrade.sh: Sync image to disk...'
status 'upgrade.sh: status 'Successfully verified image in part2.''
status 'upgrade.sh: AP version2: part2 17.15.3.28, img 17.15.3.28'
status 'upgrade.sh: AP backup version: 17.15.3.28'
status 'upgrade.sh: Finished upgrade task.'
status 'upgrade.sh: Cleanup for do_upgrade...'
status 'upgrade.sh: /tmp/upgrade_in_progress cleaned'
status 'upgrade.sh: Cleanup tmp files ...'
Directory /tmp/ntevents not found.
status 'upgrade.sh: Script called with args:[ACTIVATE]'
do ACTIVATE, part1 is active part
status 'upgrade.sh: Verifying image signature in part2'
status 'upgrade.sh: status 'Successfully verified image in part2.''
status 'upgrade.sh: in do_activate(), touching me_upgrade file'
status 'upgrade.sh: activate part2, set BOOT to part2'
status 'upgrade.sh: AP primary version after reload: 17.15.3.28'
status 'upgrade.sh: AP backup version after reload: 17.15.3.28'
status 'upgrade.sh: Create after-upgrade.log'
Successfully setup AP image.
Image download completed.
Archive done.

Либо же:

do ACTIVATE, part2 is active part
status 'upgrade.sh: Verifying image signature in part1'
status 'upgrade.sh: status 'Successfully verified image in part1.''
status 'upgrade.sh: in do_activate(), touching me_upgrade file'
status 'upgrade.sh: activate part1, set BOOT to part1'
status 'upgrade.sh: AP primary version after reload: 17.15.3.28'
status 'upgrade.sh: AP backup version after reload: 17.15.3.28'
status 'upgrade.sh: Create after-upgrade.log'
Successfully setup AP image.
Image download completed.
Archive done.

То есть, насколько понял меняется active part. А ошибка уходит уже после ребута, вот на этом месте:

EWC-AP in Recovery Mode......
Image Upgrade already in progress... Please wait for a few minutes
EWC-AP in Recovery Mode......
Image Upgrade already in progress... Please wait for a few minutes
EWC-AP in Recovery Mode......
Image Upgrade already in progress... Please wait for a few minutes
EWC-AP in Recovery Mode......
Image Upgrade already in progress... Please wait for a few minutes
Thu Jun 19 09:47:58 UTC 2025 Starting Controller...Please wait fThu Jun 19 09:47:58 UTC 2025 Creating webauth tarball extract directory
Thu Jun 19 09:47:58 UTC 2025 IOSd monitor 11029 started
Thu Jun 19 09:47:58 UTC 2025 fromdev_wired0 count = 25367
Image upgrade not needed

Самая неприятная тема. Тырцаем точку командой archive download-sw, перезагружаем, возможно несколько раз всё вот это. До тех пор пока не сожрёт команду повторной прошивки. У меня получалось, получится и у вас.

Mobility Express

Пару слов про ME. Если взять гайд для ME, там указано следующее:

All Access Points including the Master AP in a Mobility Express network should be in the same L2 broadcast domain. Management traffic must not be tagged.
 vlan 10
 name Employee
 vlan 20
 name Guest
 vlan 122
 name Management
!
 interface Vlan10
 description >> Employee Network <<
 ip address 10.10.10.1 255.255.255.0
!
 interface Vlan20
 description >> Guest Network <<
 ip address 20.20.20.1 255.255.255.0
!
 interface Vlan122
 description >> Management, Master AP and Subordinate APs<<
 ip address 172.20.229.2 255.255.255.0
!
 interface GigabitEthernet1/0/37
 description >> Connected to Cisco 1850 Access Point <<
 switchport trunk native vlan 122
 switchport trunk allowed vlan 10,20,122
!

Приведён пример настройки портов из гайда. Явно говорится, что точки обязательно в одном L2 домене. Точка шьётся одним единственным файлом, который и образ для точки, и контроллер одновременно. Хотя сути EWC является эволюцией ME, однако большинство принципов работы, ограничений и фич — сохраняется.

Настройка порта для EWC

Порт настраивается в режиме транка, где Native Vlan для связности точек с контроллером. SSIDs прокидываются обычными тегированными VLANs. Пример боевой настройки порта для точки EWC из продакшена:

!
interface GigabitEthernet1/0/34
 description = WiFi (Soft Controller) =
 switchport trunk allowed vlan 211, 216 - VLAN 211 для Wi-Fi сети (одного SSID)
 switchport trunk native vlan 216 - задаёт VLAN управления для самих APs, включая точки-контроллеры
 switchport mode trunk
!

Тут всё полностью аналогично ME. Так как режим работы APs Flex Connect, точки сами переключают пользовательский трафик без отправки его на контроллер. А контроллер лишь управляет точками.

DHCP

Ещё момент, наверное можно настроить как-то иначе, но типичная настройка подразумевает наличие DHCP-сервера в каждой из VLANs. Во VLAN управления, чтобы точки получали IP адреса автоматически. И для VLANs Wi-Fi сетей, чтобы клиенты получали адрес автоматически. Вариантов прицепить DHCP масса. Самый обычный вариант, это на интерфейсе VLAN коммутатора прописать DHCP Relay с помощью команды ip helper, указав там внешний DHCP-сервер. Коммутатор выступает в качестве релея.

Настройка DHCP на коммутаторе

На крайний случай, когда нет внешнего сервера, DHCP несложно развернуть на коммутаторе. Вариантец похуже, зато рабочий. Настройку надо производить на коммутаторе, который имеет интерфейс SVI в этой VLAN. Точек мало, сеть управления для точек небольшая. Исключаем оттуда по минимум адрес шлюза и адрес контроллера. Остальное кидаем под раздачу:

!
ip dhcp excluded-address 10.18.81.177
ip dhcp excluded-address 10.18.81.178
!
ip dhcp pool MGMT
 network 10.18.81.176 255.255.255.240
 default-router 10.18.81.177
 dns-server 10.2.1.1 10.2.1.2
 domain-name myfirm.local
!

Здесь остаётся открытым вопрос: на любом коммутаторе с SVI в этой VLAN или только коммутаторе с адресом default-router для пула (10.18.81.177 в примере)? Дополняю, да, на любом коммутаторе с SVI в этой VLAN.

В общем, внешнего DHCP у меня не было, прописал пулы на коммутаторе. Причём на двух площадках заработало, на третьей нет. Не долетают DHCP дискаверы до ядра, где прописан пул и всё на этом. Хотя L2 связность есть. Не смог разобраться, возможно из-за разношёрстных коммутаторов (SNR вперемешку с CISCO). Пришлось настраивать пул на самом контроллере.

Внешний/внутренний DHCP на Wi-Fi контроллере

Точно так же возможны два варианта:

  • Использовать контроллер как релей;
  • Настроить пул адресов на контроллере.

Как уже говорил, внешнего сервера нет, пошёл по второму варианту. И тут расхождение с теорией. Одно из ограничений EWC по гаду циски (смотри выше ограничения, в начале статьи):

  • The EWC does not support Switch Virtual Interfaces (SVIs).

По факту, этот интерфейс создаётся. Мало того, без него не заработает. Настройка из 3 шагов. Первый, Administration-DHCP Pools настроить пул. Обязательно при настройке нажав Advanced, и указав Default Router(s) как минимум. Второй шаг, в политике для WLAN, зайти на закладку Advanced и указать в качестве DHCP Server IP Address менеджмент адрес контроллера. Для третьего шага предварительное условие, включить режим просмотра Expert (будет далее, при обзоре веба контроллера). Третий шаг, перейти Configuration-Layer2-VLAN и создать там новый интерфейс для VLAN (SVI). Адрес интерфейса выбрать произвольно. У меня сетка по 25 маске, для SVI выбрал сотый адрес, а под раздачу пустил 101-126.

Всё создалось, пользователи наконец получают IP, прекрасно. 🙂

Начальная настройка контроллера

#show ip dhcp binding

Bindings from all pools not associated with VRF:
IP address      Client-ID/              Lease expiration        Type       State      Interface

10.18.81.180    0160.b9c0.865a.e0       Jun 21 2025 08:35 AM    Automatic  Active     Vlan216
10.18.81.181    0100.005e.0001.01       Jun 21 2025 08:38 AM    Automatic  Active     Vlan216

Как видно, есть сама точка и есть контроллер. То что это контроллер сразу можно определить по хитрому маку 0100.005e.0001.01. До этого момента, кстати, необязателен транковый порт. Возможно поднять контроллер на любом акцесном порту, главное чтобы DHCP раздавался. А вот далее уже будет транк.

Теперь три варианта для начальной инициализации контроллера:

  • CLI точки на адресе 10.18.81.180. Заходя на точку, мы подпадаем именно в настройку контроллера, а не точки;
  • Wi-Fi сеть провиженинга;
  • Web на адресе 10.18.81.181.

Через CLI не хочется. Через Web есть сложность. Когда введём адрес https://10.18.81.181, перекинет на сайт https://mywifi.cisco.com, который ессно не откроется. Надо пойти по пути C:\Windows\System32\drivers\etc, там найти файл hosts, подправить ему разрешения, чтобы потом можно было его сохранить. Затем открыть и добавить в него инфу:

10.18.81.181  mywifi.cisco.com

Гораздо проще через сеть провиженинга. У меня это CiscoAirProvision-5AE0. Циферки и буковки в конце выбираются скриптом рандомно, а вот CiscoAirProvision будет всегда. Пароль для сети password. Сразу открывается сайт https://mywifi.cisco.com без танцев с бубнами. И это уже лучше чем в случае с ME, где после присоединения к сети провиженинга сайт надо вводить через IP ручками.

Развёртывание EWC на AP
Реквизиты для входа webui/cisco

Попадаем в первоначальную настройку, страничка тут только одна.

Развёртывание EWC на AP
Тоже лучше ME, там 3 странички

Вбиваем статику, добавляем WLAN. По завершении настройки, появляется заботливое предупреждение:

Развёртывание EWC на AP

Финальная настройка контроллера

Переходим по заданному нами статическому адресу контроллера, вводим реквизиты и попадаем в красоту:

Развёртывание EWC на AP
Точка не вещает в двух диапазонах, потому что ей не хватает мощности (есть 25,5W, надо 30W)

Самым первым делом отключаем выход по таймауту и включаем режим эксперта.

Слева меню Configuration их режима Simple, справа из режима Expert:

Развёртывание EWC на AP

Теперь нужно несколькими шагами донастроить WLAN и дело готово. Идём Configuration-Tags & Profiles-Flex, на закладке General приписываем Native Vlan (у меня это VLAN 216), на закладке VLAN прописываем-добавляем выбранную VLAN для SSID (у меня это VLAN 211). Теперь идём в Configuration-Tags & Profiles-Policy. При создании WLAN на этапе начальной настройки, одноимённая Policy уже была создана. Заходим в её редактирование и на закладке Access Policies вбиваем VLAN для SSID (211), жмякаем Save and Apply to Device. То есть в EWC именно так, мы не создаём влан, чтобы потом эту влан выбрать, а просто вбиваем. Обращаю внимание.

И здесь прикол, заданная VLAN на закладке Access Policies в окошке VLAN/VLAN Group не сохраняется. Какое-то время она там есть, потом исчезает. Страшно перепугался и расстроился, но так и должно быть. Очередная подляна от циски. 🙂

Развёртывание EWC на AP
Думал что это баг, а это фича!

В конфигурации всё остаётся и всё нормально. Очень просто проверить нажав сохранение конфигурации и выбрав просмотр Diff:

Развёртывание EWC на AP
Как видно, VLAN 211 на своём месте

SSID вещается, данные во VLAN 211 передаются, клиенты могут подсоединиться.

Развёртывание EWC на AP
Клиенты 802.11ax нормально поддерживаются

Осталось совсем чуть-чуть.

Присоединение точек

Контроллер есть, нужно добавить остальные точки. Здесь действует ограничение EWC, рассказанное выше:

  • When you convert or upgrade the EWC in a deployment with mixed AP models, it is required to have a functioning TFTP server.

То есть когда все точки одинаковой модели, у меня 9124AXE, они просто при присоединении стянут нужный образ ap1g6a с точки-контроллера. Ну как “просто стянут”, сначала присоединятся как CAPWAP:

Развёртывание EWC на AP
Первая попытка присоединения

Стянут образ, несколько раз уйдут в ребут (не считал сколько раз, но точно больше трёх). Окончательно присоединятся как EWC. Долго короч, минут 20.

Развёртывание EWC на AP
Финальное присоединения, переименовываю ещё попутно

А вот когда модели точек разные, нужен TFTP. Так как флешка точки контроллера не предназначена для хранения образов для них. Для успешного присоединения точек других моделей, распаковываем на TFTP образы для точек из скачанного ранее архива и вводим на точке-контроллере:

WLC1(config)#wireless profile image-download default
WLC1(config-wireless-image-download-profile)#image-download-mode tftp
WLC1(config-wireless-image-download-profile-tftp)#tftp-image-server 10.18.20.100
WLC1(config-wireless-image-download-profile-tftp)#tftp-image-path /

Точки схавают образ и нормально залетят на контроллер. В дальнейшем, при увеличении числа точек, процедуру надо повторить. Возможно то же самое прокатит и без CLI. В вебе контроллера по адресу Configuration-Tags & Profiles-AP Join. Там default-ap-profile, закладка Management. Указываем TFTP и файл:

Сам так не пробовал, но должно работать, как раз когда точка джойнится
Отказоустойчивость и режим работы точек

В режиме EWC работают только точки для основного и резервного контроллера. Остальные точки нет смысла держать в этом режиме. Таким образом, выбираем две точки и оставляем их в режиме EWC. Остальные переводим в режим CAPWAP:

Получается вот так, что версия прошивки у них такая же, поддержка EWC есть, но она не используется. И да, Mobility Express тоже умеет работать с точками в режиме CAPWAP, как и EWC. По тому же самому принципу.

Другая Native VLAN

Есть ещё один интересный вопрос. Точке обязательно нужен транк для того, чтобы выстреливать пользовательский трафик. Если точка тянет роль EWC либо потенциально может перехватить эту роль, нужна L2 связность через Native VLAN. Но вот когда точка в режиме CAPWAP, что будет при смене Native VLAN? То есть мы меняем Native VLAN и как-то подпихивает точке IP адрес нашего EWC контроллера (опция DHCP, прописывание на самой точке, другим способом). Что помешает точке установить CAPWAP туннель через L3 связность? По идее ничего.

Будет так работать, не будет.., не знаю. Не было возможности проверить. Проверю при случае.

Перекидывание точек с другого контроллера

Если точки уже подцеплены к другому контроллеру, например аппаратному, то после перенастройки портов для точек, нужно каждой точке дать команду в CLI с адресом EWC контроллера:

60b9.c086.54b4#capwap ap primary-base WLC1 10.1.14.10
После чего на точке появится вот такая настройка и она легко влетит на EWC контроллер
SNMP

Возможности SNMP из EWC на AP выпилены-скрыты (возможности настройки нет в вебе, но есть в CLI):

Хотя в ME SNMP есть. Видимо тогда ещё не поняли, что в реализации контроллера на точке, этот протокол может сильно утилизировать CPU.

Ещё раз про питание точек

Почему у меня точка получает 25,5W? Коммутатор при этом отдаёт честные 30W:

#show power inline
...
Gi1/0/3   static on         30.0    C9124AXI-R          4     30.0

Где ватты, Зин? Единственно объяснение, которое нашёл, на длинном патч-корде 70-100 метров происходят потери. А у меня как раз все линии длиннющие.

Заключение

Развёрнут контроллер EWC на точке серии 9100, рассмотрены нюансы, они тут есть. И не зря я заделал себе дома технологию ME для использования/изучения, потому что во многом аналогичный и бесплатный EWC, на малом количестве точек ещё даже лучше бесплатного 9800-CL (про 9800-CL разговор на количестве точек до 50, дальше он за денюжку). Так как не требует никаких дополнительных ресурсов при развёртывании. Для 5-10 точек EWC вне конкуренции. А поскольку у нас многие фирмы, включая крупные конторы, излишне скупые, то технологии ME/EWC будут ещё долго использоваться. И знать их полезно. На этом завершаю.

Приглашаю поделиться мнением в Tелеграм канал

Leave a Comment

Scroll to Top