Sem fio/Mobilidade : LAN Wireless (WLAN)

Exemplo de configuração de pontos de acesso VLANs on Aironet

15 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (20 Dezembro 2015) | Feedback


Índice


Introdução

Este documento fornece um exemplo de configuração que mostra como configurar as VLANs nos Pontos de Acesso (APs) do Cisco Aironet com o uso da interface de linha de comando (CLI).

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Conhecimento da configuração básica de Aironet AP

  • Conhecimento da configuração do adaptador cliente de Aironet 802.11a/b/g com o utilitário de Desktop de Aironet

  • Conhecimento básico da configuração do Switches e dos roteadores Cisco do Cisco catalyst

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Série AP de Aironet 1240AG que executa o Software Release 12.4(3g)JA1 do½ do¿Â do Cisco IOSïÂ

  • Adaptador cliente de Aironet 802.11a/b/g

  • Utilitário de Desktop de Aironet que executa a versão de firmware 2.5

  • Catalyst 2950 Switch que executa o Cisco IOS Software Release 12.1(19)EA1

  • Roteador de 2800 ISR que executa o Cisco IOS Software Release 12.4(11)T

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede.

O 1200 Series AP de Aironet tem três VLAN — VLAN2, VLAN20, e VLAN 30. A instalação neste documento usa o VLAN2 como o VLAN nativo, o VLAN20 para o departamento (admin) administrativo, e o VLAN 30 para usuários convidado. Os usuários Wireless que pertencem ao departamento administrativo devem conectar ao AP e devem poder conectar aos usuários do departamento administrativo na rede ligada com fio (no VLAN20). Os usuários convidado wireless devem poder conectar a um servidor de Web que esteja no segmento com fio no VLAN 30. Um Catalyst 2950 Switch conecta o AP à rede ligada com fio. Um roteador de 2800 ISR conecta ao mesmo interruptor e atua como um servidor DHCP para os clientes Wireless que pertencem ao VLAN20 e ao VLAN 30. O roteador precisa de atribuir endereços IP de Um ou Mais Servidores Cisco ICM NT aos clientes de seu sub-rede respectiva. Você deve configurar o AP, o Catalyst Switch, e o roteador para uma aplicação desta instalação.

/image/gif/paws/69773/vlan_ap_config1.gif

Está abaixo a lista de endereços IP de Um ou Mais Servidores Cisco ICM NT usados para os dispositivos no documento. Todos os endereços IP de Um ou Mais Servidores Cisco ICM NT usam a máscara de sub-rede de /24

  • Endereço IP de Um ou Mais Servidores Cisco ICM NT do Bridge Group Virtual Interface (BVI) AP (VLAN2) — 172.16.1.20

  • O cliente Wireless (SSID Admin) que conecta ao VLAN20 obtém um endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor DHCP do roteador da sub-rede 172.16.2.0

  • O cliente Wireless (SSID convidado) que conecta ao VLAN 30 obtém um endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor DHCP do roteador da sub-rede 172.16.3.0

  • Usuário admin na rede ligada com fio no VLAN20 — 172.16.2.60 (IP Estático)

  • Servidor de Web no VLAN 30 — 172.16.3.60 (IP Estático)

  • Secundário-relação do roteador no VLAN2 — 172.16.1.1

  • Secundário-relação do roteador no VLAN20 — 172.16.2.1

  • Secundário-relação do roteador no VLAN 30 — 172.16.3.1

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a ferramenta Command Lookup Tool (apenas para clientes registrados) para obter mais informações sobre os comandos usados neste documento.

A fim configurar o AP para conectar a um VLAN específico, você deve configurar o Service Set Identifier (SSID) para reconhecer o VLAN. Um ID de VLAN ou um nome identificam um VLAN. Consequentemente, se você configura o SSID em um AP para reconhecer um ID de VLAN ou um nome específico, você pode estabelecer uma conexão ao VLAN. Após o estabelecimento da conexão, os clientes Wireless que conectam ao AP com o uso do SSID específico são atribuídos a esse VLAN. Porque você pode configurar até 16 SSID em um AP, você pode criar 16 VLAN em um AP. A fim configurar VLAN em AP e estabelecer a Conectividade, você deve terminar estas etapas:

  1. Configurar o VLAN nativo no AP.

  2. Configurar VLAN para os usuários convidado e os usuários admin no AP.

  3. Configurar o Catalyst Switch.

  4. Configurar o roteador

Configurar o VLAN nativo no AP

O VLAN, a que o Access point próprio e outros dispositivos de infraestrutura tais como o interruptor, a que o Access point conecta, são chamados VLAN nativo. O VLAN nativo do Access point é geralmente diferente de outros VLAN configurados no Access point. É a interface de BVI, que é usada para o Gerenciamento do Access point que é atribuído um endereço IP de Um ou Mais Servidores Cisco ICM NT na sub-rede do VLAN nativo. O tráfego, por exemplo, tráfego de gerenciamento, enviou a e pelo Access point próprio supõe o VLAN nativo, e é sem etiqueta. Todo o tráfego sem etiqueta que é recebido em uma porta de tronco do IEEE 802.1Q (dot1q) é enviado com o VLAN nativo que é configurado para a porta. Se um pacote tem um ID de VLAN que seja o mesmo que o VLAN nativo ID da porta de emissão, o interruptor envia o pacote sem uma etiqueta. Se não, o interruptor envia o pacote com uma etiqueta.

A fim configurar um VLAN nativo em um AP, emita estes comandos no modo de configuração global no AP:

AccessPoint<config>#interface fastethernet 0.2
AccessPoint<config-subif>#encapsulation dot1q 2 native

!--- Configure the encapsulation as dot1q and assign VLAN 2 as the native VLAN 
!--- on the Fast Ethernet interface.

AccessPoint<config-subif>#exit
AccessPoint<config>#interface dot11radio 0.2
AccessPoint<config-subif>#encapsulation dot1q 2 native

!--- Configure the encapsulation as dot1q and assign VLAN 2 as the native VLAN 
!--- on the radio interface.

AccessPoint<config-subif>#end

Configurar VLAN para usuários convidado e usuários admin no AP

Aqui, você precisa de configurar dois VLAN, um para os usuários convidado e o outro para os usuários do departamento administrativo. Você igualmente precisa de associar o SSID aos VLAN específicos. Este exemplo configura:

  • O VLAN20 para o departamento administrativo e usa o SSID Admin

  • O VLAN 30 para usuários convidado e usa o SSID convidado

A fim configurar estes VLAN, incorpore estes comandos ao modo de configuração global:

AccessPoint#configure terminal

!--- Enter global configuration mode.

AccessPoint(config)#interface dot11radio 0

!--- Enter radio interface configuration mode.

AccessPoint(config-if)#ssid Admin

!--- Configure the SSID "Admin".

AccessPoint(config-if-ssid)#vlan 20

!--- Assign VLAN 20 to the SSID.

AccessPoint(config-if-ssid)#authentication open

!--- Configure open authentication for the SSID.

AccessPoint(config-if-ssid)#end
AccessPoint(config) interface fastethernet 0.20

!--- Enter subinterface mode on the Fast Ethernet interface.

AccessPoint(config-subif) encapsulation dot1Q 20

!--- Set the encapsulation as dot1q for VLAN 20.

AccessPoint(config-subif) bridge-group 20 

!--- Assign the subinterface to bridge group 20.

AccessPoint(config-subif) exit
AccessPoint(config) interface dot11radio 0.20

!--- Enter subinterface mode on the radio interface.

AccessPoint(config-subif) encapsulation dot1Q 20 

!--- Set the encapsulation as dot1q for VLAN 20.

AccessPoint(config-subif) bridge-group 20

!--- Assign the subinterface to bridge group 20.

AccessPoint(config-subif) exit

Repita o mesmo procedimento a fim configurar o VLAN 30 para os usuários admin:

AccessPoint#configure terminal
AccessPoint(config)#interface dot11radio 0
AccessPoint(config-if)#ssid Guest
AccessPoint(config-if-ssid)#vlan 30
AccessPoint(config-if-ssid)#authentication open
AccessPoint(config-if-ssid)#end
AccessPoint(config) interface fastethernet 0.30
AccessPoint(config-subif) encapsulation dot1Q 30
AccessPoint(config-subif) bridge-group 30
AccessPoint(config-subif) exit
AccessPoint(config) interface dot11radio 0.30
AccessPoint(config-subif) encapsulation dot1Q 30
AccessPoint(config-subif) bridge-group 30
AccessPoint(config-subif) exit	

Nota: Este documento usa a autenticação aberta para SSID Admin e convidado. Os tipos do autenticação são amarrados aos SSID que você configura para o AP. Para obter informações sobre de como configurar tipos do autenticação diferentes no AP, refira configurar tipos do autenticação.

Configurar o Catalyst Switch

A próxima etapa é configurar as portas de switch que conectarão os AP e o roteador à rede ligada com fio. Você deve configurar a porta de switch que conecta ao AP e ao roteador como uma porta de tronco porque esta porta leva o tráfego de todos os VLAN na rede Wireless. Neste exemplo, os VLAN são VLAN20, VLAN 30, e o VLAN nativo 2. Quando você configura a porta de switch, que conecta ao AP e ao roteador, assegure-se de que os VLAN nativos que você configure o fósforo o VLAN nativo no AP e no roteador. Se não, os quadros são deixados cair. A fim configurar a porta de tronco no interruptor, emita estes comandos do CLI no interruptor:

Nota: Este documento usa o Catalyst 2950 Switch. As configurações na porta de switch podem variar, que depende do modelo de switch que você usa. Segundo as indicações do diagrama, o FastEthernet 0/5 da relação conecta ao roteador, e o FastEthernet 0/10 da relação conecta ao Access point.

Switch#configure terminal 
Switch<config>#interface fastethernet 0/5

!--- Enter the interface mode for Fast Ethernet 0/5.

Switch<config-if>#switchport mode trunk 

!--- Configure the switch port mode to trunk mode.

Switch<config-if>#switchport trunk encapsulation dot1q

!--- Configure the encapsulation on the switch port to dot1q.

Switch<config-if>#switchport trunk native vlan 2

!--- Configure the native VLAN as VLAN 2.

Switch<config-if>#switchport trunk allowed vlan add 2,20,30

!--- Configure the list of VLANs that are allowed on the trunk port.

Switch<config-if>#switchport nonegotiate


Switch#configure terminal 
Switch<config>#interface fastethernet 0/10

!--- Enter the interface mode for Fast Ethernet 0/10

Switch<config-if>#switchport mode trunk 

!--- Configure the switch port mode to trunk mode.

Switch<config-if>#switchport trunk encapsulation dot1q

!--- Configure the encapsulation on the switch port to dot1q.

Switch<config-if>#switchport trunk native vlan 2

!--- Configure the native VLAN as VLAN 2.

Switch<config-if>#switchport trunk allowed vlan add 2,20,30

!--- Configure the list of VLANs that are allowed on the trunk port.

Switch<config-if>#switchport nonegotiate

Nota: O equipamento com base no software do Aironet wireless do Cisco IOS não apoia o Dynamic Trunking Protocol (DTP). Consequentemente, o interruptor não deve tentar negociar o DTP.

Configurar o roteador

O roteador é configurado como o servidor DHCP para os clientes Wireless no VLAN20 e no VLAN 30. O roteador tem três subinterfaces, uma para cada VLAN2, 20, e 30 de modo que possa atribuir endereços IP de Um ou Mais Servidores Cisco ICM NT aos clientes na sub-rede de seu VLAN respectivo e executar o Roteamento Inter-Vlan.

Router#configure terminal
Router<config>#interface fastethernet 0/0.2

!--- Configures a Sub-interface .2 on fastethernet 0/0

Router<config-subif>#encapsulation dot1q 2 native 

!--- configures the encapsulation as dot1q and assigns VLAN 2 to the sub-interface 
This command also makes VLAN 2 as the Native VLAN. Here number 2 is the VLAN-id.

Router<config-subif>#ip address 172.16.1.1 255.255.255.0

!--- Assign ip address from Native VLAN 2 subnet - 172.16.1.0 /24 to the sub-interface

Router<config-subif>#exit
Router<config>#interface fastethernet 0/0.20

!--- Configures a Sub-interface .20 on fastethernet 0/0

Router<config-subif>#encapsulation dot1q 20 

!--- configures the encapsulation as dot1q and assigns VLAN 20 to the sub-interface 
Here number 20 is the VLAN-id.

Router<config-subif>#ip address 172.16.2.1 255.255.255.0

!--- Assign ip address from  VLAN 20 subnet - 172.16.2.0 /24 to the sub-interface 

Router<config-subif>#exit
Router<config>#interface fastethernet 0/0.30

!--- Configures a Sub-interface .30 on fastethernet 0/0

Router<config-subif>#encapsulation dot1q 30 

!--- configures the encapsulation as dot1q and assigns VLAN 30 to the sub-interface 
Here number 30 is the VLAN-id.

Router<config-subif>#ip address 172.16.3.1 255.255.255.0

!--- Assign ip address from  VLAN 30 subnet - 172.16.3.0 /24

Router<config-subif>#exit


DHCP Configuration starts here

Router<config>#ip dhcp excluded-address 172.16.2.1
Router<config>#ip dhcp excluded-address 172.16.3.1

!--- excluded-address command is used to exclude the specified ip addresses 
from the DHCP pool. In this case router's  sub-interface addresses are excluded.

Router<config>#ip dhcp pool pool1

!--- Creates a DHCP pool with a name pool1 and enters the DHCP config mode

router<dhcp-config>#network 172.16.2.0 /24

!--- From this pool Clients are assigned ip addresses from  172.16.2.0 /24 Subnet i.e. from 172.16.2.2 - 172.16.2.254

router<dhcp-config>#default-router 172.16.2.1

!--- Default-gateway assigned to the client from this pool is 172.16.2.1 . Default-router is nothing but default-gateway

Router<config>#ip dhcp pool pool2

!--- Creates a DHCP pool with a name pool2 and enters the DHCP config mode

router<dhcp-config>#network 172.16.3.0 /24

!--- From this pool Clients are assigned ip addresses from  172.16.3.0 /24 Subnet i.e. from 172.16.3.2 - 172.16.3.254

router<dhcp-config>#default-router 172.16.3.1

!--- Default-gateway assigned to the client from this pool is 172.16.3.1 . 






Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Você pode verificar se a configuração trabalha como esperado. O cliente Wireless (usuário admin) que é configurado com SSID Admin deve obter conectado ao VLAN20. O mesmo usuário deve poder conectar ao usuário admin na rede ligada com fio, que está igualmente no mesmo VLAN. A fim verificar, ative o perfil do cliente Wireless para o usuário admin.

Nota: Este documento não explica como configurar o cliente Wireless a fim estabelecer perfis. Para obter informações sobre de como configurar o adaptador de cliente Wireless, refira configurar o adaptador cliente.

Este exemplo de janela mostra que o cliente Wireless está associado ao AP:

/image/gif/paws/69773/vlan_ap_config2.gif

O comando show dot11 associations no AP igualmente verifica que o cliente obtém conectado ao VLAN10:

Nota: A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

AccessPoint#show dot11 associations

802.11 Client Stations on Dot11Radio0:

SSID [Admin] :

MAC Address    IP address      Device        Name            Parent         State
0040.96ac.e657 172.16.2.50     CB21AG/PI21AG Admin User      self           Assoc

Você pode emitir o comando show vlans no AP a fim indicar os VLAN que são configurados no AP. Aqui está um exemplo:

AccessPoint#show vlans

Virtual LAN ID:  2 (IEEE 802.1Q Encapsulation)

   vLAN Trunk Interfaces:  Dot11Radio0.2
FastEthernet0.2

This is configured as native Vlan for the following interface(s) :
Dot11Radio0
FastEthernet0

   Protocols Configured:   Address:              Received:        Transmitted:
        Bridging        Bridge Group 1               1380                 712
        Other                                          0                  63

   0 packets, 0 bytes input
   733 packets, 50641 bytes output
        Bridging        Bridge Group 1               1380                 712
        Other                                          0                  63

   1381 packets, 98016 bytes input
   42 packets, 12517 bytes output

Virtual LAN ID:  20 (IEEE 802.1Q Encapsulation)

   vLAN Trunk Interfaces:  Dot11Radio0.20
FastEthernet0.20

   Protocols Configured:   Address:              Received:        Transmitted:
        Bridging        Bridge Group 20               798                 622
        Other                                          0                  19

   247 packets, 25608 bytes input
   495 packets, 43585 bytes output
        Bridging        Bridge Group 20               798                 622
        Other                                          0                  19

   552 packets, 37536 bytes input
   148 packets, 21660 bytes output

Virtual LAN ID:  30 (IEEE 802.1Q Encapsulation)

   vLAN Trunk Interfaces:  Dot11Radio0.30
FastEthernet0.30

   Protocols Configured:   Address:              Received:        Transmitted:
        Bridging        Bridge Group 30               693                 609
        Other                                          0                  19

   106 packets, 13373 bytes input
   517 packets, 48029 bytes output
        Bridging        Bridge Group 30               693                 609
        Other                                          0                  19

   605 packets, 47531 bytes input
   112 packets, 15749 bytes output

Você pode agora verificar se o usuário admin wireless pode conectar ao usuário admin na face da tela, que está configurada para o mesmo VLAN. Emita o comando ping no cliente Wireless. Aqui está um exemplo:

D:\>ping 172.16.2.60

Pinging 172.16.2.60 with 32 bytes of data:

Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255

Ping statistics for 172.16.2.60:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  0ms, Average =  0ms

Similarmente, você pode verificar se os usuários convidado obtêm conectados ao VLAN 30. Você pode emitir o comando ping no cliente Wireless do convidado a fim testar a Conectividade ao servidor de Web na face da tela. Aqui está um exemplo:

D:\>ping 172.16.3.60

Pinging 172.16.3.60 with 32 bytes of data:

Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255

Ping statistics for 172.16.3.60:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  0ms, Average =  0ms

Troubleshooting

Use esta seção para resolver problemas de configuração.

Procedimento de Troubleshooting

Siga estas instruções a fim pesquisar defeitos sua configuração:

  1. Verifique se o VLAN nativo que está configurado na porta de switch e conectado ao AP combina o VLAN nativo do AP.

    Se há uma má combinação no VLAN nativo, a Conectividade através do interruptor não acontece.

  2. Assegure-se de que todos os VLAN que são configurados no lado wireless estejam permitidos na porta de switch que é configurada como o tronco.

    À revelia, todos os VLAN são permitidos através da porta de tronco.

  3. Verifique se o comando bridge-group é configurado em todos os VLAN exceto o VLAN nativo.

    Você não precisa de configurar um grupo de bridge na subinterface essa você estabelece-se o VLAN nativo. Este grupo de bridge é movido automaticamente para a subinterface nativa a fim manter o link ao BVI1, que representa o rádio e interfaces Ethernet.

    cuidado Cuidado: Quando você configura o comando bridge-group, estes comandos obtêm automaticamente permitidos:

    bridge-group 10 subscriber-loop-control
    bridge-group 10 block-unknown-source
    no bridge-group 10 source-learning
    no bridge-group 10 unicast-flooding
    bridge-group 10 spanning-disabled
    

    Estas são configurações padrão padrão, e você não deve mudá-los a menos que você for dirigido. Se você remove estes comandos, o WLAN pode não funciona como esperado.

Comandos para Troubleshooting

Você pode igualmente usar estes comandos a fim pesquisar defeitos sua configuração no AP:

Nota: A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • mostre vlans

  • mostre o dot1q dos vlans

  • mostre associações do dot11

No Catalyst 2950 Switch, você pode usar estes comandos a fim pesquisar defeitos a configuração:

  • mostre vlans

  • mostre o switchport dos FastEthernet x/x da relação

  • mostre o tronco dos FastEthernet x/x da relação

No roteador, emita estes comandos a fim pesquisar defeitos a configuração.

  • debug ip dhcp server packet

  • show ip interface brief

Está aqui uma saída da atribuição bem sucedida do IP address ao cliente em SSID Admin.

Router#debug ip dhcp server packet
*Nov 23 18:02:06.637: DHCPD: DHCPREQUEST received from client 0040.96ac.e657.

!--- Router receives the DHCP Request from the client

*Nov 23 18:02:06.637: DHCPD: No default domain to append - abort update
*Nov 23 18:02:06.637: DHCPD: Sending DHCPACK to client 0040.96ac.e657 (172.16.2.50).

!--- Router acknowledges the client's request

*Nov 23 18:02:06.637: DHCPD: creating ARP entry (172.16.2.2, 0040.96ac.e657).
*Nov 23 18:02:06.637: DHCPD: unicasting BOOTREPLY to client 0040.96ac.e657 (172.16.2.50).

!--- Router assigns ip address to the client from the VLAN 10 subnet


Informações Relacionadas


Document ID: 69773