Communication sans fil/mobilité : Réseau local sans fil (WLAN)

Exemple de configuration de réseaux VLAN sur des points d'accès Aironet

16 janvier 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (20 décembre 2015) | Commentaires


Contenu


Introduction

Ce document fournit un exemple de configuration qui démontre comment configurer des VLAN sur les points d'accès (AP) Cisco Aironet avec l'utilisation de l'interface de lignes de commande (CLI).

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

  • La connaissance de la configuration de base de l'Aironet aps

  • La connaissance de la configuration de l'adaptateur de client de l'Aironet 802.11a/b/g avec Aironet Desktop Utility

  • Connaissance de base de la configuration des Routeurs de commutateurs Cisco Catalyst et de Cisco

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Gamme AP de l'Aironet 1240AG qui exécute la version de logiciel 12.4(3g)JA1 de Ý de Cisco IOS

  • Adaptateur client Aironet 802.11a/b/g

  • Aironet Desktop Utility qui exécute la version 2.5 de micrologiciels

  • Commutateur 2950 de Catalyst qui exécute le Logiciel Cisco IOS version 12.1(19)EA1

  • Routeur ISR 2800 qui exécute le Logiciel Cisco IOS version 12.4(11)T

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Diagramme du réseau

Ce document utilise cette configuration du réseau.

La gamme 1200 AP d'un Aironet a trois VLAN — VLAN 2, VLAN 20, et VLAN 30. L'installation dans ce document utilise le VLAN 2 en tant que le VLAN indigène, le VLAN 20 pour le service administratif (d'admin), et VLAN 30 pour des utilisateurs d'invité. Les utilisateurs de sans fil qui appartiennent au service d'admin doivent se connecter à AP et devraient pouvoir se connecter aux utilisateurs de service d'admin sur le réseau câblé (sur le VLAN 20). Les utilisateurs Sans fil d'invité doivent pouvoir se connecter à un web server qui est sur le segment de câble sur le VLAN 30. Un commutateur 2950 de Catalyst connecte AP au réseau câblé. Un routeur ISR 2800 se connecte au même commutateur et agit en tant que serveur DHCP pour les clients sans fil qui appartiennent au VLAN 20 et au VLAN 30. Le routeur doit assigner des adresses IP aux clients de leur sous-réseau respectif. Vous devez configurer AP, le commutateur de Catalyst, et le routeur pour une implémentation de cette installation.

/image/gif/paws/69773/vlan_ap_config1.gif

Est ci-dessous la liste d'adresses IP utilisée pour les périphériques dans le document. Tout le masque de sous-réseau de /24 d'utilisation d'adresses IP

  • Adresse IP du Bridge Group Virtual Interface AP (BVI) (VLAN 2) — 172.16.1.20

  • Le client sans fil (admin SSID) qui se connecte au VLAN 20 obtient une adresse IP du serveur DHCP du routeur du sous-réseau 172.16.2.0

  • Le client sans fil (invité SSID) qui se connecte au VLAN 30 obtient une adresse IP du serveur DHCP du routeur du sous-réseau 172.16.3.0

  • Utilisateur d'admin sur le réseau câblé sur le VLAN 20 — 172.16.2.60 (IP statique)

  • Serveur Web sur le VLAN 30 — 172.16.3.60 (IP statique)

  • Sous-interface du routeur dans le VLAN 2 — 172.16.1.1

  • Sous-interface du routeur dans le VLAN 20 — 172.16.2.1

  • Sous-interface du routeur dans le VLAN 30 — 172.16.3.1

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour trouver plus d'informations sur les commandes utilisées dans ce document.

Afin de configurer AP pour se connecter à une particularité VLAN, vous devez configurer l'Identifiant SSID (Service Set Identifier) pour identifier le VLAN. Un ID DE VLAN ou un nom identifie un VLAN. Par conséquent, si vous configurez le SSID sur AP pour identifier un ID DE VLAN ou un nom spécifique, vous pouvez établir une connexion au VLAN. Après l'établissement de la connexion, les clients sans fil qui se connectent à AP à l'utilisation de la particularité SSID sont assignés à ce VLAN. Puisque vous pouvez configurer jusqu'à 16 SSID sur AP, vous pouvez créer 16 VLAN sur AP. Afin de configurer des VLAN sur des aps et établir la Connectivité, vous devez se terminer ces étapes :

  1. Configurez le VLAN indigène sur AP.

  2. Configurez les VLAN pour les utilisateurs d'invité et les utilisateurs d'admin sur AP.

  3. Configurez le commutateur de Catalyst.

  4. Configurez le routeur

Configurez le VLAN indigène sur AP

Le VLAN, auquel le Point d'accès lui-même et d'autres périphériques d'infrastructure tels que le commutateur, auquel le Point d'accès se connecte, s'appelle le VLAN indigène. Le VLAN indigène du Point d'accès est habituellement différent d'autres VLAN configurés sur le Point d'accès. C'est l'interface BVI, qui est utilisée pour la Gestion du Point d'accès qui est assigné une adresse IP dans le sous-réseau indigène VLAN. Le trafic, par exemple, le trafic d'administration, a envoyé à et par le Point d'accès soi-même assume le VLAN indigène, et il est non-marqué. Tout le trafic non-marqué qui est reçu sur un port de joncteur réseau du 802.1Q d'IEEE (dot1q) est expédié avec le VLAN indigène qui est configuré pour le port. Si un paquet a un ID DE VLAN qui est identiques que l'ID DE VLAN indigène du port émetteur, le commutateur envoie le paquet sans balise. Autrement, le commutateur envoie le paquet avec une balise.

Afin de configurer un VLAN indigène sur AP, émettez ces commandes en mode de configuration globale sur AP :

AccessPoint<config>#interface fastethernet 0.2
AccessPoint<config-subif>#encapsulation dot1q 2 native

!--- Configure the encapsulation as dot1q and assign VLAN 2 as the native VLAN 
!--- on the Fast Ethernet interface.

AccessPoint<config-subif>#exit
AccessPoint<config>#interface dot11radio 0.2
AccessPoint<config-subif>#encapsulation dot1q 2 native

!--- Configure the encapsulation as dot1q and assign VLAN 2 as the native VLAN 
!--- on the radio interface.

AccessPoint<config-subif>#end

Configurez les VLAN pour des utilisateurs d'invité et des utilisateurs d'admin sur AP

Ici, vous devez configurer deux VLAN, un pour les utilisateurs d'invité et l'autre pour les utilisateurs de service d'admin. Vous devez également associer le SSID à la particularité VLAN. Cet exemple configure :

  • Le VLAN 20 pour le service d'admin et utilise l'admin SSID

  • Le VLAN 30 pour des utilisateurs d'invité et utilise l'invité SSID

Afin de configurer ces VLAN, sélectionnez ces commandes en mode de configuration globale :

AccessPoint#configure terminal

!--- Enter global configuration mode.

AccessPoint(config)#interface dot11radio 0

!--- Enter radio interface configuration mode.

AccessPoint(config-if)#ssid Admin

!--- Configure the SSID "Admin".

AccessPoint(config-if-ssid)#vlan 20

!--- Assign VLAN 20 to the SSID.

AccessPoint(config-if-ssid)#authentication open

!--- Configure open authentication for the SSID.

AccessPoint(config-if-ssid)#end
AccessPoint(config) interface fastethernet 0.20

!--- Enter subinterface mode on the Fast Ethernet interface.

AccessPoint(config-subif) encapsulation dot1Q 20

!--- Set the encapsulation as dot1q for VLAN 20.

AccessPoint(config-subif) bridge-group 20 

!--- Assign the subinterface to bridge group 20.

AccessPoint(config-subif) exit
AccessPoint(config) interface dot11radio 0.20

!--- Enter subinterface mode on the radio interface.

AccessPoint(config-subif) encapsulation dot1Q 20 

!--- Set the encapsulation as dot1q for VLAN 20.

AccessPoint(config-subif) bridge-group 20

!--- Assign the subinterface to bridge group 20.

AccessPoint(config-subif) exit

Répétez la même procédure afin de configurer le VLAN 30 pour les utilisateurs d'admin :

AccessPoint#configure terminal
AccessPoint(config)#interface dot11radio 0
AccessPoint(config-if)#ssid Guest
AccessPoint(config-if-ssid)#vlan 30
AccessPoint(config-if-ssid)#authentication open
AccessPoint(config-if-ssid)#end
AccessPoint(config) interface fastethernet 0.30
AccessPoint(config-subif) encapsulation dot1Q 30
AccessPoint(config-subif) bridge-group 30
AccessPoint(config-subif) exit
AccessPoint(config) interface dot11radio 0.30
AccessPoint(config-subif) encapsulation dot1Q 30
AccessPoint(config-subif) bridge-group 30
AccessPoint(config-subif) exit	

Remarque: Ce document utilise l'authentification ouverte pour l'admin et l'invité SSID. Les types d'authentification sont attachés au SSID que vous configurez pour AP. Pour les informations sur la façon dont configurer différents types d'authentification sur AP, référez-vous à configurer des types d'authentification.

Configurez le commutateur de Catalyst

L'étape suivante est de configurer les ports de commutateur qui connecteront les aps et le routeur au réseau câblé. Vous devriez configurer le port de commutateur qui se connecte à AP et au routeur comme port de joncteur réseau parce que ce port porte le trafic de tous les VLAN sur le réseau Sans fil. Dans cet exemple, les VLAN sont VLAN 20, VLAN 30, et le VLAN 2 indigène. Quand vous configurez le port de commutateur, qui se connecte à AP et au routeur, assurez-vous que les VLAN indigènes que vous configurez la correspondance le VLAN indigène sur AP et le routeur. Autrement, des trames sont abandonnées. Afin de configurer le port de joncteur réseau sur le commutateur, émettez ces commandes du CLI sur le commutateur :

Remarque: Ce document utilise le commutateur 2950 de Catalyst. Les configurations sur le port de commutateur peuvent varier, qui dépend du modèle de commutateur que vous utilisez. Suivant les indications du diagramme, l'interface fastethernet 0/5 se connecte au routeur, et l'interface fastethernet 0/10 se connecte au Point d'accès.

Switch#configure terminal 
Switch<config>#interface fastethernet 0/5

!--- Enter the interface mode for Fast Ethernet 0/5.

Switch<config-if>#switchport mode trunk 

!--- Configure the switch port mode to trunk mode.

Switch<config-if>#switchport trunk encapsulation dot1q

!--- Configure the encapsulation on the switch port to dot1q.

Switch<config-if>#switchport trunk native vlan 2

!--- Configure the native VLAN as VLAN 2.

Switch<config-if>#switchport trunk allowed vlan add 2,20,30

!--- Configure the list of VLANs that are allowed on the trunk port.

Switch<config-if>#switchport nonegotiate


Switch#configure terminal 
Switch<config>#interface fastethernet 0/10

!--- Enter the interface mode for Fast Ethernet 0/10

Switch<config-if>#switchport mode trunk 

!--- Configure the switch port mode to trunk mode.

Switch<config-if>#switchport trunk encapsulation dot1q

!--- Configure the encapsulation on the switch port to dot1q.

Switch<config-if>#switchport trunk native vlan 2

!--- Configure the native VLAN as VLAN 2.

Switch<config-if>#switchport trunk allowed vlan add 2,20,30

!--- Configure the list of VLANs that are allowed on the trunk port.

Switch<config-if>#switchport nonegotiate

Remarque: L'équipement sans fil articulé autour d'un logiciel d'Aironet de Cisco IOS ne prend en charge pas le Protocole DTP (Dynamic Trunking Protocol). Par conséquent, le commutateur ne doit pas essayer de négocier le DTP.

Configurez le routeur

Le routeur est configuré comme serveur DHCP pour les clients sans fil dans le VLAN 20 et le VLAN 30. Le routeur a trois sous-interfaces, une pour chaque VLAN 2, 20, et 30 de sorte qu'il puisse assigner des adresses IP aux clients dans le sous-réseau de leur VLAN respectif et effectuer le Routage inter-VLAN.

Router#configure terminal
Router<config>#interface fastethernet 0/0.2

!--- Configures a Sub-interface .2 on fastethernet 0/0

Router<config-subif>#encapsulation dot1q 2 native 

!--- configures the encapsulation as dot1q and assigns VLAN 2 to the sub-interface 
This command also makes VLAN 2 as the Native VLAN. Here number 2 is the VLAN-id.

Router<config-subif>#ip address 172.16.1.1 255.255.255.0

!--- Assign ip address from Native VLAN 2 subnet - 172.16.1.0 /24 to the sub-interface

Router<config-subif>#exit
Router<config>#interface fastethernet 0/0.20

!--- Configures a Sub-interface .20 on fastethernet 0/0

Router<config-subif>#encapsulation dot1q 20 

!--- configures the encapsulation as dot1q and assigns VLAN 20 to the sub-interface 
Here number 20 is the VLAN-id.

Router<config-subif>#ip address 172.16.2.1 255.255.255.0

!--- Assign ip address from  VLAN 20 subnet - 172.16.2.0 /24 to the sub-interface 

Router<config-subif>#exit
Router<config>#interface fastethernet 0/0.30

!--- Configures a Sub-interface .30 on fastethernet 0/0

Router<config-subif>#encapsulation dot1q 30 

!--- configures the encapsulation as dot1q and assigns VLAN 30 to the sub-interface 
Here number 30 is the VLAN-id.

Router<config-subif>#ip address 172.16.3.1 255.255.255.0

!--- Assign ip address from  VLAN 30 subnet - 172.16.3.0 /24

Router<config-subif>#exit


DHCP Configuration starts here

Router<config>#ip dhcp excluded-address 172.16.2.1
Router<config>#ip dhcp excluded-address 172.16.3.1

!--- excluded-address command is used to exclude the specified ip addresses 
from the DHCP pool. In this case router's  sub-interface addresses are excluded.

Router<config>#ip dhcp pool pool1

!--- Creates a DHCP pool with a name pool1 and enters the DHCP config mode

router<dhcp-config>#network 172.16.2.0 /24

!--- From this pool Clients are assigned ip addresses from  172.16.2.0 /24 Subnet i.e. from 172.16.2.2 - 172.16.2.254

router<dhcp-config>#default-router 172.16.2.1

!--- Default-gateway assigned to the client from this pool is 172.16.2.1 . Default-router is nothing but default-gateway

Router<config>#ip dhcp pool pool2

!--- Creates a DHCP pool with a name pool2 and enters the DHCP config mode

router<dhcp-config>#network 172.16.3.0 /24

!--- From this pool Clients are assigned ip addresses from  172.16.3.0 /24 Subnet i.e. from 172.16.3.2 - 172.16.3.254

router<dhcp-config>#default-router 172.16.3.1

!--- Default-gateway assigned to the client from this pool is 172.16.3.1 . 






Vérifiez

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

Vous pouvez vérifier si la configuration fonctionne comme prévu. Le client sans fil (utilisateur d'admin) qui est configuré avec l'admin SSID doit obtenir connecté au VLAN 20. Le même utilisateur devrait pouvoir se connecter à l'utilisateur d'admin sur le réseau câblé, qui est également sur le même VLAN. Afin de vérifier, lancez le profil de client sans fil pour l'utilisateur d'admin.

Remarque: Ce document n'explique pas comment configurer le client sans fil afin d'installer des profils. Pour les informations sur la façon dont configurer l'adaptateur client sans fil, référez-vous à configurer l'adaptateur de client.

Cette fenêtre d'exemple prouve que le client sans fil est associé à AP :

/image/gif/paws/69773/vlan_ap_config2.gif

La commande de show dot11 associations sur AP vérifie également que le client obtient connecté au VLAN 10 :

Remarque: L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

AccessPoint#show dot11 associations

802.11 Client Stations on Dot11Radio0:

SSID [Admin] :

MAC Address    IP address      Device        Name            Parent         State
0040.96ac.e657 172.16.2.50     CB21AG/PI21AG Admin User      self           Assoc

Vous pouvez émettre les VLAN d'exposition commandez sur AP afin d'afficher les VLAN qui sont configurés sur AP. Voici un exemple :

AccessPoint#show vlans

Virtual LAN ID:  2 (IEEE 802.1Q Encapsulation)

   vLAN Trunk Interfaces:  Dot11Radio0.2
FastEthernet0.2

This is configured as native Vlan for the following interface(s) :
Dot11Radio0
FastEthernet0

   Protocols Configured:   Address:              Received:        Transmitted:
        Bridging        Bridge Group 1               1380                 712
        Other                                          0                  63

   0 packets, 0 bytes input
   733 packets, 50641 bytes output
        Bridging        Bridge Group 1               1380                 712
        Other                                          0                  63

   1381 packets, 98016 bytes input
   42 packets, 12517 bytes output

Virtual LAN ID:  20 (IEEE 802.1Q Encapsulation)

   vLAN Trunk Interfaces:  Dot11Radio0.20
FastEthernet0.20

   Protocols Configured:   Address:              Received:        Transmitted:
        Bridging        Bridge Group 20               798                 622
        Other                                          0                  19

   247 packets, 25608 bytes input
   495 packets, 43585 bytes output
        Bridging        Bridge Group 20               798                 622
        Other                                          0                  19

   552 packets, 37536 bytes input
   148 packets, 21660 bytes output

Virtual LAN ID:  30 (IEEE 802.1Q Encapsulation)

   vLAN Trunk Interfaces:  Dot11Radio0.30
FastEthernet0.30

   Protocols Configured:   Address:              Received:        Transmitted:
        Bridging        Bridge Group 30               693                 609
        Other                                          0                  19

   106 packets, 13373 bytes input
   517 packets, 48029 bytes output
        Bridging        Bridge Group 30               693                 609
        Other                                          0                  19

   605 packets, 47531 bytes input
   112 packets, 15749 bytes output

Vous pouvez maintenant vérifier si l'utilisateur Sans fil d'admin peut se connecter à l'utilisateur d'admin du côté de câble, qui est configuré pour le même VLAN. Émettez la commande ping sur le client sans fil. Voici un exemple :

D:\>ping 172.16.2.60

Pinging 172.16.2.60 with 32 bytes of data:

Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255

Ping statistics for 172.16.2.60:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  0ms, Average =  0ms

De même, vous pouvez vérifier si les utilisateurs d'invité obtiennent connecté au VLAN 30. Vous pouvez émettre la commande ping sur le client sans fil d'invité afin de tester la Connectivité au web server du côté de câble. Voici un exemple :

D:\>ping 172.16.3.60

Pinging 172.16.3.60 with 32 bytes of data:

Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255

Ping statistics for 172.16.3.60:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  0ms, Average =  0ms

Dépannez

Utilisez cette section pour dépanner votre configuration.

Procédure de dépannage

Suivez ces instructions afin de dépanner votre configuration :

  1. Vérifiez si le VLAN indigène qui est configuré sur le port de commutateur et connecté à AP apparie le VLAN indigène d'AP.

    S'il y a une non-concordance dans le VLAN indigène, la Connectivité par le commutateur ne se produit pas.

  2. Assurez-vous que tous les VLAN qui sont configurés du côté Sans fil sont permis sur le port de commutateur qui est configuré comme joncteur réseau.

    Par défaut, on permet tous les VLAN par le port de joncteur réseau.

  3. Vérifiez si l'ordre de passerelle-groupe est configuré sur tous les VLAN excepté le VLAN indigène.

    Vous n'avez pas besoin de configurer un groupe de passerelle sur la sous-interface cette vous avez installé comme VLAN indigène. Ce groupe de passerelle est automatiquement déplacé à la sous-interface indigène afin de mettre à jour le lien à BVI 1, qui représente la radio et des interfaces Ethernet.

    attention Attention : Quand vous configurez l'ordre de passerelle-groupe, ces commandes obtiennent automatiquement activé :

    bridge-group 10 subscriber-loop-control
    bridge-group 10 block-unknown-source
    no bridge-group 10 source-learning
    no bridge-group 10 unicast-flooding
    bridge-group 10 spanning-disabled
    

    Ce sont les valeurs par défaut standard, et vous ne devriez pas les changer à moins que vous soyez dirigé. Si vous retirez ces commandes, le WLAN peut pour fonctionner comme prévu.

Dépannage des commandes

Vous pouvez également employer ces commandes afin de dépanner votre configuration sur AP :

Remarque: L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

  • affichez les VLAN

  • show vlans dot1q

  • show dot11 associations

Sur le commutateur 2950 de Catalyst, vous pouvez employer ces commandes afin de dépanner la configuration :

  • affichez les VLAN

  • switchport des shows interface fastethernets x/x

  • joncteur réseau des shows interface fastethernets x/x

Sur le routeur, émettez ces commandes afin de dépanner la configuration.

  • debug ip dhcp server packet

  • brief de show ip interface

Voici un résultat d'affectation réussie d'IP address au client dans l'admin SSID.

Router#debug ip dhcp server packet
*Nov 23 18:02:06.637: DHCPD: DHCPREQUEST received from client 0040.96ac.e657.

!--- Router receives the DHCP Request from the client

*Nov 23 18:02:06.637: DHCPD: No default domain to append - abort update
*Nov 23 18:02:06.637: DHCPD: Sending DHCPACK to client 0040.96ac.e657 (172.16.2.50).

!--- Router acknowledges the client's request

*Nov 23 18:02:06.637: DHCPD: creating ARP entry (172.16.2.2, 0040.96ac.e657).
*Nov 23 18:02:06.637: DHCPD: unicasting BOOTREPLY to client 0040.96ac.e657 (172.16.2.50).

!--- Router assigns ip address to the client from the VLAN 10 subnet

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 69773