许久没有关注C9800的一些内容，最近才看到官方已经发布了该产品的EOL&EOS信息，感觉时间真的还是有点快，现在很多企业环境中还有很多AireOS的组网，都还没有替换为C9800，但C9800-40、C9800-80已经有了下一代的替换产品。

【关于C9800-40/80的EOS&EOL通知】

具体的内容可以参考如下官方文档：

https://www.cisco.com/c/en/us/products/collateral/wireless/catalyst-9800-series-wireless-controllers/catalyst-c9800-wireless-lan-controller-eol.html

顺便在这里也就提一下，新一代的C9800的替换方案建议：

这些产品建立在C9800家族的验证技术的基础上，为已经熟悉C9800型号的客户提供了平稳的过渡。他们使用相同的IOS-XE软件，相同的配置模型和与C9800相同的UI。 此外，新型号提供更高的性能，更低的功率和更高的AP容量。

接下来不如正题，这里叙述一些C9800 Day0的部署最佳实践。

【产品选型】

一般我们把无线园区网分为大、中、小三个范围，对于大部分的企业，小型园区网就足够了，但是依然有不少企业，存在多分支，或者中大型园区网的场景，典型地，如京东、腾讯等大型的互联网企业，又如京东方、富士康这样的制造大厂。

如下图，清晰的展示了不同型号的9800无线控制器支持的AP容量。

【控制器配置】

1.关于WMI

WMI全称是Wireless Management Interface，是一个单独的L3接口，用于终止到AP的CAPWAP流量。

建议：

• 除C9800-CL公共云部署场景外，所有9800设备为SVI配置为SVI
• 使用VLAN标记（tag）

2.关于端口Port、VLAN和SVI接口

一些客观的原因：

• 对于WMI是必须的，需要一个L3接口来配置；
• 对于SP口，和其他的Catalyst系列SW一样，属于单独的管理vrf，vrf名称一般是Mgmt-inf；
• 对于集中转发的SSID，客户端的VLAN，一般是不需要配置L3接口的，都是L2 VLAN即可。

建议：

• SVI来作为WMI，公有云环境部署C9800CL除外，公有云环境需要使用L3端口而不是SVI，所以如sniffer模式的AP和Hyperlocation这些功能也受限；
• 客户端VLAN不配置SVI，当然除非你需要为客户端的VLAN配置DHCP中继，我能都知道，AireOS的场景下，我们是需要给对应的WLAN绑定dynamic Interface的，而C9800则不同；
• 如果端口连接上行网络，可以使用port-channel的方式，接口的模式配置为trunk；当然，如果对端但是Stack wise virtual这样的技术，最好考虑如下的网络架构；

3.关于ARP

C9800默认的行为是通过将目的地MAC从广播更改为Unicast来转发ARP流量。从Release 17.3.1开始，C9800支持配置作为ARP代理，代表客户端响应。

所以我们可以通过如下的配置命令来完成这个操作：

9800# conf t
9800(config)# wireless profile policy <name>
9800(config-wireless)# ipv4 arp-proxy

4.DHCP代理/中继

首先说DHCP proxy代理模式：

• 对于AireOS的WLC，开启DHCP proxy是最佳建议；
• 对于C9800的WLC，不需要开启DHCP proxy，因为IOS XE集成了DHCP Snooping，ARP inspection等安全功能，这些都不需要L3接口；

所以显然C9800建议的是DHCP bridge模式，并且在需要DHCP 中继的场景，在上行的SW上完成配置即可。当然，如果需要Option82信息的话，DHCP中继可以在C9800上配置，那么客户端的SVI接口则是需要配置的，配置的参考如下。

interface Vlan20
description Client-SVI
ip address 172.16.20.21 255.255.255.0
ip helper-address 172.16.10.10
ip dhcp relay source-interface vlan 20

5.关于C9800内部DHCP Server

毫不避讳的说，还是建议使用外部的DHCP Server，关于内部的DHCP Server，根据在所有平台上进行了测试和支持，最大的支持情况为设备的最大客户量表的20％，换言之，像CW9800H1/H2这样的设备，最多支持64K的客户端，那它支持的最大的DHCP binding大约就在14K左右。

此外，如下这些内容还是需要注意：

• 这种情况下，需要配置客户端的SVI作为客户端的DHCP Server地址；
• 在设备重启之后，IP地址记录是不会被保存的，那么再次启动后，客户端可能会获取相同的IP地址发生IP冲突；

6.关于设备管理

C9800和AireOS一样，支持接入CLI和WEB管理，对于实际环境中，安全期间，建议开启SSH和HTTPS的接入方式，手动配置trustpoint，此外，可以选择关闭无线管理功能。

此外，IOS XE可以加密所有的密码，这样可以更好的保护我们的密码等关键信息被明文显示，可以通过定义加密key和开启密码加密两步完成，并且没有相关机制来解密密码。

9800# configure terminal
9800(config)# key config-key password-encrypt <key>
9800(config)# password encryption aes

【参考文档】

• End-of-Sale and End-of-Life Announcement for the Cisco Catalyst C9800-40/-80 Wireless LAN Controller
• Cisco Catalyst 9800 Configuration Best Practices