无线 : 思科 4400 系列无线局域网控制器

Cisco 统一无线网络中的工作组网桥配置示例

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 12 月 20 日) | 反馈


目录


简介

本文为思科自治IOS�接入点的配置在工作组网桥(WGB)模式提供一示例运行和连接到Cisco Unified无线网络。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • 具备 Cisco 自治解决方案和基于 Cisco IOS 的接入点的知识

  • 知识轻量级接入点协议 (LWAPP)

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 运行 Cisco IOS 软件版本 12.3 (8)JEC 的 Cisco 1231G AP

  • 运行 4.2 版的 Cisco 4400 WLC

  • Cisco 1130 系列轻量 AP

WGB 可以是满足以下条件的任何 Cisco 自治接入点:支持工作组网桥模式,并且运行 Cisco IOS 软件版本 12.4(3g) JA 或更高版本(用于 32 MB 接入点)或者运行 Cisco IOS 软件版本 12.3(8)JEB 或更高版本(用于 16 MB 接入点)。这些接入点包括 AP1120、AP1121、AP1130、AP1231、AP1240 和 AP1310。不支持低于 Cisco IOS 软件版本 12.4(3g)JA 和 12.3(8)JEB 的 Cisco IOS 软件版本。

无线 LAN 控制器上应装有软件版本 4.1.185.0 或更高版本。所有更低版本的控制器均不支持工作组网桥模式。

在轻量环境中使用工作组网桥的准则和限制

在轻量环境中使用工作组网桥之前,必须遵守多项准则并了解若干限制。有关详细信息,请参阅在轻量环境中使用工作组网桥的准则

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

Cisco 统一无线网络中的工作组网桥

可以将接入点配置为用作工作组网桥,这样它可以代表由以太网连接到工作组网桥接入点的客户端为轻量接入点提供无线连接。将接入点配置为用作工作组网桥并连接到 Cisco 统一网络时,它可以为由以太网连接到工作组网桥接入点的有线客户端提供无线连接。例如,如果需要为一组有线设备提供无线连接,可以将这些设备连接到一个集线器或交换机,将这个集线器或交换机连接到接入点以太网端口,并将该接入点配置为工作组网桥。

工作组网桥通过单一无线网段连接到有线网络,方法是了解其以太网接口的有线客户端的 MAC 地址,并使用 Internet 接入点协议 (IAPP) 消息传送向轻量接入点报告该地址。工作组网桥通过与轻量接入点建立单一连接,为有线客户端提供无线访问连接。轻量接入点将工作组网桥视为无线客户端。

如果接入点有两种无线电,2.4 GHz 无线电或 5 GHz 无线电均可在工作组网桥模式下使用。当您将一个无线电接口配置为工作组网桥时,另一个无线电接口仍保持打开状态。

WGB 后的被动客户端

控制器可能无法看到 WGB 后的被动客户端。除非客户端(如照相机和可编程逻辑设备)已连接,否则它们不会启动数据流。若要避免此问题,请完成下列步骤:

  1. 为被动 WGB 设备添加一个 MAC 过滤器条目,并为该设备后的设备添加 MAC 过滤器条目。

  2. 使用以下命令启用 WLAN 的 MAC 过滤及 aaa 覆盖:

    配置macfilter IP地址MAC_address Ip_address

  3. 在基于 IOS 的 WGB 设备上添加一个静态条目:bridge 1 addressxxxx.xxxx.xxxx forward FastEthernet0

    注意: 另外,增加 dot11 活动计时器。

  4. 在 L3 路由器上添加一个静态 ARP 条目:

    hostname(config)#arp <ip addr> <mac addr>
    	 arpa
    

当被动 WGB 有线客户端将 IAPP 消息发送到仅包含 WGB 有线客户端的 MAC 地址的控制器时,此功能使控制器能够了解该 WGB 的 IP 地址。从 WGB 收到此消息时,控制器将检查本地 MAC 过滤器列表(如果 WGB 已漫游,则检查锚点控制器的 MAC 过滤器列表)以查找该客户端的 MAC 地址。如果找到包含客户端 IP 地址的条目,控制器会将该客户端添加到控制器的客户端表。

与无线客户端现有的 MAC 过滤功能不同的是,您无需针对 WGB 有线客户端启用 WLAN 的 MAC 过滤。使用 MAC 过滤的 WGB 有线客户端无需通过 DHCP 获取 IP 地址即可添加到控制器的客户端表。

配置

在本例中,将 1231 自治接入点配置为工作组网桥并连接到 LWAPP 网络。使用 SSID WGB_LWAPP 连接到 WLAN,并使用有 WEP 的开放式身份验证对连接到 LWAPP 网络的 WGB 进行身份验证。

注意: 有 WEP 的开放式身份验证不是对设备进行身份验证的安全方法。Cisco 建议您使用高级身份验证方法(如 WPA+TKIP、WPA2+AES、EAP-FAST 和 EAP-TLS 身份验证)来保护 WLAN 的安全。WGB 支持开放式、WEP、CKIP、WPA+TKIP、WPA2+AES、LEAP、EAP-FAST、本地 EAP 和 EAP-TLS 身份验证模式。本文档使用有 WEP 的开放式身份验证只是为了简单起见。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

网络图

本文档使用以下网络设置:

注意: 本文档假设已配置 WLC 进行基本操作,并且已在 WLC 中注册 LAP。有关新用户如何设置 WLC 以实现 LAP 的基本操作的详细信息,请参阅无线 LAN 控制器 (WLC) 的轻量 AP (LAP) 注册

/image/gif/paws/100254/wgb-config01.gif

如何配置工作组网桥

可以使用 CLI 或 GUI 配置工作组网桥。

若要使用 GUI 配置工作组网桥,请完成下列步骤:

  1. 若要配置 WGB 可用于连接到 LWAPP 网络的 SSID,请完成下列步骤:

    1. 从左导航窗格中选择 Security > SSID Manager

      此时显示“Global SSID Manager”页。

      wgb-config02.gif

    2. 输入 SSID 名称、VLAN ID 和 RADIO 接口。本例使用 WGB_LWAPP 作为 SSID。

    3. 在“Client Authentication Settings”区域中,选中 Open Authentication 复选框。

    4. 保留所有其他参数为其默认值。

    5. 单击 Apply

    6. 若要配置 WEP 密钥,请从左导航窗格中选择 Security > Encryption Manager

      此时显示“Encryption Manager”页。

      wgb-config03.gif

    7. 在“Encryption Modes”区域中,单击 WEP Encryption 单选按钮,并从下拉列表中选择“Mandatory”。

    8. 在“Encryption Keys”区域中输入 WEP 的加密密钥。

      注意: WEP 加密密钥的长度可以是 40 位或 128 位。本例使用 128 位 WEP 加密密钥 123456789123456789abc。

    9. 单击 Apply 以保存设置。

  2. 若要将 AP 配置为 WGB,请完成下列步骤:

    1. 单击左导航窗格中的 Network Interfaces 以浏览到“Network Interfaces Summary”页。

    2. 选择要配置为 WGB 的无线电接口。本例使用接口 Radio0-802.11G。通过执行此操作可以浏览“Network Interfaces:Radio Status”页。

    3. 单击 Settings 选项卡以打开无线电接口的“Settings”页。

    4. 单击 Enable 单选按钮以启用无线电。

    5. 对于“Role in Radio Network”,单击 Workgroup Bridge 单选按钮。此选项使无线电能够在工作组网桥模式下运行。

    6. 将该页上的所有其他设置保留为默认值。

      /image/gif/paws/100254/wgb-config04.gif

    7. 单击 Apply 以保存设置。

      若要通过 CLI 配置 AP,请使用以下命令:

      AP_WGB#configure terminal
      
      
      !--- Enter configuration commands, one on each line.  End with CNTL/Z.
      
      
      AP_WGB(config)#dot11 ssid WGB_LWAPP
      
      AP_WGB(config-ssid)#authentication open
      
      AP_WGB(config-ssid)#guest-mode
      
      AP_WGB(config-ssid)#exit
      
      AP_WGB(config)#interface  dot11Radio 0
      
      AP_WGB(config)#station-role workgroup-bridge
      
      AP_WGB(config-if)#encryption vlan 2 mode wep mandatory
      
      AP_WGB(config-if)#encryption vlan 2 key 1 size 128bit 12345678912345678912345678
      
      AP_WGB(config-if)#WGB_LWAPP
      
      AP_WGB(config-if)#end 

如何配置无线 LAN 控制器 (WLC)

在无线 LAN 控制器上,创建一个与工作组网桥上配置的 SSID 和安全方法匹配的 WLAN。要将 WGB 与控制器关联起来,这是控制器所需的唯一配置。

注意: 另外,还需要启用 Aironet IE。新的 WLAN 默认启用 Aironet IE。

若要在控制器上配置 WLAN,请完成下列步骤:

  1. 要创建 WLAN,请从控制器 GUI 中单击 WLANs。随即显示 WLAN 窗口。该窗口列出了控制器中配置的 WLAN。

  2. 要配置新的 WLAN,请单击 New。在本例中,将 WLAN 命名为 WGB_LWAPP

    wgb-config05.gif

  3. 单击 Apply

  4. 在“WLANs > Edit”窗口中,定义特定于该 WLAN 的参数。

    1. 根据一般策略,请检查状态检查方框来启用WLAN。

      wgb-config06.gif

    2. 在“Security Policies”下的“Layer 2 Security”下拉列表中选择 Static WEP,然后在“Static WEP Parameters”区域内指定 WEP 参数。

      /image/gif/paws/100254/wgb-config07.gif

    3. 根据网络的设计更改其他参数,然后单击 Apply

      wgb-config08.gif

验证与故障排除

验证

配置 WLC 和 WGB AP 后,WGB 便作为客户端与 LAP 关联起来。您可通过控制器 GUI 查看网络中 WGB 的状态。

在控制器 GUI 中,选择 Monitor > Clients 以打开“Clients”页。页面右侧的“WGB”字段指示您的网络中是否有任何客户端是工作组网桥。

/image/gif/paws/100254/wgb-config09.gif

单击所需客户端的 MAC 地址以查看 WGB 的详细信息。此时显示“Clients > Detail”页。

/image/gif/paws/100254/wgb-config10.gif

若要查看连接到某个特定 WGB 的任何有线客户端的详细信息,请转到“Clients”页,将光标停在所需 WGB 的蓝色下拉箭头上方,然后选择 Show Wired Clients。此时显示“WGB Wired Clients”页。

/image/gif/paws/100254/wgb-config11.gif

通过控制器 CLI,可以使用以下命令查看连接到网络的 WGB 的列表:

show wgb summary

示例如下:

(Cisco Controller) >show wgb summary

Number of WGBs................................... 1

MAC Address        IP Address      AP Name            Status    WLAN  Auth  Protocol  Clients
-----------------  --------------- -----------------  --------- ----  ----  --------  -------

00:12:7f:63:e6:ca  10.77.244.215   ap:51:5a:e0        Assoc     2     Yes   802.11g   2

若要查看连接到某个特定 WGB 的任何有线客户端的详细信息,请输入以下命令:

show wgb detail wgb_mac_address

示例如下:

(Cisco Controller) >show wgb detail 00:12:7f:63:e6:ca

Number of wired client(s): 2

MAC Address        IP Address      AP Name            Mobility   WLAN Auth
-----------------  --------------- -----------------  ---------- ---- ----

00:0b:85:5b:fb:d0  Unknown         ap:51:5a:e0        Local      2    No
00:0b:85:51:5a:e0  Unknown         ap:51:5a:e0        Local      2    No

故障排除

目前已知一种常见问题,主要出现于基于 Cisco IOS 的工作组网桥。当有线客户端长时间不发送数据流时,WGB 会将该客户端从其网桥表中删除,即使数据流不断发送到该有线客户端也是如此。结果,发往有线客户端的数据流将发生故障。为避免数据流丢失并防止有线客户端从网桥表中删除,请使用以下命令将 WGB 的老化计时器配置为较大的值:

bridge <bridge-group-number> aging-time <seconds>,其中 bridge-group-number 是介于 1 和 255 之间的值,seconds 是介于 10 和 1,000,000 秒之间的值。Cisco 建议您将 seconds 参数配置为大于有线客户端空闲周期的值。

注意: 如果有长时间处于空闲状态的设备(如打印机),此方法会特别有帮助。


相关信息


Document ID: 100254