ワイヤレス / モビリティ : ワイヤレス LAN(WLAN)

Aironet アクセス ポイントでの VLAN の設定例

2008 年 7 月 24 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 1 月 21 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
      ネットワーク ダイアグラム
設定
      AP でのネイティブ VLAN の設定
      AP でのゲスト ユーザおよび管理者ユーザ用の VLAN の設定
      Catalyst スイッチの設定
      ルータの設定
確認
トラブルシューティング
      トラブルシューティング手順
      トラブルシューティングのためのコマンド
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、設定例を提供することにより、Command Line Interface(CLI; コマンドライン インターフェイス)を使用した Cisco Aironet Access Point(AP)での VLAN の設定方法を示しています。

前提条件

要件

この設定を開始する前に、次の要件が満たされていることを確認してください。

  • Aironet AP の基本的な設定に関する知識

  • Aironet Desktop Utility を使用した Aironet 802.11a/b/g クライアント アダプタの設定に関する知識

  • Cisco Catalyst スイッチと Cisco ルータの設定に関する基本的な知識

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS(R) ソフトウェア リリース 12.4(3g)JA1 が稼働する Aironet 1240AG シリーズ AP

  • Aironet 802.11a/b/g クライアント アダプタ

  • ファームウェア バージョン 2.5 が稼働する Aironet Desktop Utility

  • Cisco IOS ソフトウェア リリース 12.1(19)EA1 が稼働する Catalyst 2950 スイッチ

  • Cisco IOS ソフトウェア リリース 12.4(11)T が稼働する 2800 ISR ルータ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定から作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

Aironet 1200 シリーズ AP に 3 つの VLAN(VLAN 2、VLAN 20、および VLAN 30)が設定されています。このドキュメントの設定では、VLAN 2 をネイティブ VLAN として使用し、VLAN 20 を管理部門(admin)の VLAN、VLAN 30 をゲスト ユーザとして使用します。管理部門に属する無線ユーザは AP に接続して、VLAN 20 の有線ネットワーク上の管理部門ユーザに接続できる必要があります。無線ゲスト ユーザは、VLAN 30 の有線セグメント上にある Web サーバに接続できる必要があります。Catalyst 2950 スイッチは、AP を有線ネットワークに接続します。2800 ISR ルータは、同じスイッチに接続し、VLAN 20 と VLAN 30 に属している無線クライアント用の DHCP サーバとして機能します。ルータは、それぞれのサブネットから IP アドレスをクライアントに割り当てる必要があります。この設定を実装するには、AP、Catalyst スイッチ、ルータを設定する必要があります。

vlan_ap_config1.gif

このドキュメントで使用されているデバイスは、次の IP アドレスのリストを使用しています。すべての IP アドレスは、/24 サブネット マスクを使用しています。

  • AP Bridge-Group Virtual Interface(BVI; ブリッジ グループ仮想インターフェイス)の IP アドレス(VLAN 2):172.16.1.20

  • VLAN 20 に接続する無線クライアント(SSID Admin)は、サブネット 172.16.2.0 からのルータの DHCP サーバから、IP アドレスを取得します。

  • VLAN 30 に接続する無線クライアント(SSID ゲスト)は、サブネット 172.16.3.0 からのルータの DHCP サーバから、IP アドレスを取得します。

  • VLAN 20 の有線ネットワークの上の管理ユーザ:172.16.2.60(スタティック IP)

  • VLAN 30 の Web サーバ:172.16.3.60(スタティック IP)

  • VLAN 2 のルータのサブインターフェイス:172.16.1.1

  • VLAN 20 のルータのサブインターフェイス:172.16.2.1

  • VLAN 30 のルータのサブインターフェイス:172.16.3.1

設定

このセクションでは、このドキュメントで説明する機能を設定するための情報を提供しています。

注:このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

AP を特定の VLAN に接続させるため、VLAN を認識する Service Set Identifier(SSID)を設定する必要があります。VLAN は VLAN ID または VLAN 名で識別されます。そのため、特定の VLAN ID または VLAN 名を認識する SSID を AP に設定すると、その VLAN への接続を確立できます。接続が確立されると、特定の SSID を使用して AP に接続した無線クライアントは、その SSID の VLAN に割り当てられます。AP には最大 16 の SSID を設定できるので、1 つの AP に 16 の VLAN を設定できます。AP に VLAN を設定し、接続を確立するためには、次の手順を実行します。

  1. AP でのネイティブ VLAN の設定

  2. AP でのゲスト ユーザおよび管理者ユーザ用の VLAN の設定

  3. Catalyst スイッチの設定

  4. ルータの設定

AP でのネイティブ VLAN の設定

アクセス ポイント自体と、アクセス ポイント接続先のスイッチなど、他のインフラストラクチャ デバイス間の VLAN は、ネイティブ VLAN と呼ばれています。アクセス ポイントのネイティブ VLAN は、通常、アクセス ポイントの上で設定された他の VLAN とは異なります。ネイティブ VLAN のサブネットで IP アドレスを割り当てられるアクセス ポイントの管理に使用されるのは、BVI インターフェイスです。たとえば、アクセス ポイント自身により送信されるか、アクセス ポイントに送信される管理トラフィックなどは、ネイティブ VLAN を想定しており、タグ付けされません。IEEE 802.1Q(dot1q)トランク ポートで受信されたタグなしのトラフィックはすべて、そのポートに設定されたネイティブ VLAN で転送されます。パケットが送信ポートのネイティブ VLAN ID と同じ VLAN ID を持つ場合、スイッチはタグなしでパケットを送信します。それ以外の場合は、スイッチはタグ付きでパケットを送信します。

AP にネイティブ VLAN を設定するには、AP のグローバル設定モードで次のコマンドを発行します。

AccessPoint<config>#interface fastethernet 0.2
AccessPoint<config-subif>#encapsulation dot1q 2 native

!--- dot1q としてカプセル化を設定し、ファスト イーサネット インターフェイス上の 
!--- ネイティブ VLAN として VLAN 2 を割り当てます。

AccessPoint<config-subif>#exit
AccessPoint<config>#interface dot11radio 0.2
AccessPoint<config-subif>#encapsulation dot1q 2 native

!--- dot1q としてカプセル化を設定し、無線インターフェイス上の 
!--- ネイティブ VLAN として VLAN 2 を割り当てます。

AccessPoint<config-subif>#end

AP でのゲスト ユーザおよび管理者ユーザ用の VLAN の設定

次に、VLAN を 2 つ設定します。1 つはゲスト ユーザ用で、もう 1 つは管理部門ユーザ用です。SSID を特定の VLAN に関連付ける作業も必要です。この例では、次のように設定します。

  • 管理部門ユーザ用に VLAN 20 を設定し、SSID は Admin を使用します。

  • ゲスト ユーザ用に VLAN 30 を設定し、SSID は Guest を使用します。

これらの VLAN を設定するには、グローバル設定モードに入り、次のコマンドを発行します。

AccessPoint#configure terminal

!--- グローバル設定モードに入ります。

AccessPoint(config)#interface dot11radio 0

!--- 無線インターフェイス設定モードに入ります。

AccessPoint(config-if)#ssid Admin

!--- SSID を「Admin」に設定します。

AccessPoint(config-if-ssid)#vlan 20

!--- VLAN 20 をその SSID に割り当てます。

AccessPoint(config-if-ssid)#authentication open

!--- その SSID にオープン認証を設定します。

AccessPoint(config-if-ssid)#end
AccessPoint(config) interface fastethernet 0.20

!--- ファースト イーサネット インターフェイスのサブインターフェイス モードに入ります。

AccessPoint(config-subif) encapsulation dot1Q 20

!-- VLAN 20 に対して dot1q のカプセル化を設定します。

AccessPoint(config-subif) bridge-group 20 

!--- ブリッジ グループ 20 にサブインターフェイスを割り当てます。

AccessPoint(config-subif) exit
AccessPoint(config) interface dot11radio 0.20

!--- 無線インターフェイスのサブインターフェイス モードに入ります。

AccessPoint(config-subif) encapsulation dot1Q 20 

!-- VLAN 20 に対して dot1q のカプセル化を設定します。

AccessPoint(config-subif) bridge-group 20

!--- ブリッジ グループ 20 にサブインターフェイスを割り当てます。

AccessPoint(config-subif) exit

上記と同じ手順を繰り返し、管理者ユーザ用に VLAN 30 を設定します。

AccessPoint#configure terminal
AccessPoint(config)#interface dot11radio 0
AccessPoint(config-if)#ssid Guest
AccessPoint(config-if-ssid)#vlan 30
AccessPoint(config-if-ssid)#authentication open
AccessPoint(config-if-ssid)#end
AccessPoint(config) interface fastethernet 0.30
AccessPoint(config-subif) encapsulation dot1Q 30
AccessPoint(config-subif) bridge-group 30
AccessPoint(config-subif) exit
AccessPoint(config) interface dot11radio 0.30
AccessPoint(config-subif) encapsulation dot1Q 30
AccessPoint(config-subif) bridge-group 30
AccessPoint(config-subif) exit   

注:このドキュメントでは、Admin と Guest.の両方の SSID でオープン認証を使用しています。この認証タイプは、AP に設定された SSID に関連付けられています。AP で異なる認証タイプを設定する方法については、『認証タイプの設定』を参照してください。

Catalyst スイッチの設定

次のステップは、AP とルータを有線ネットワークに接続するスイッチ ポートの設定です。AP とルータに接続するスイッチ ポートは、すべての VLAN からのトラフィックを無線ネットワーク上で搬送するため、トランク ポートとして設定する必要があります。この例に含まれる VLAN は、VLAN 20、VLAN 30、およびネイティブ VLAN 2 です。AP とルータに接続するスイッチ ポートを設定する際には、設定するネイティブ VLAN が AP とルータのネイティブ VLAN に一致していることを確認してください。このように設定されていない場合、フレームが廃棄されてしまいます。スイッチにトランク ポートを設定するには、スイッチの CLI で次のコマンドを発行します。

注:このドキュメントでは、Catalyst 2950 スイッチを使用しています。スイッチ ポートでの設定は、使用するスイッチのモデルによって異なります。図に示すとおり、interface fastethernet 0/5Router に接続され、interface fastethernet 0/10Access Point に接続されます。

Switch#configure terminal 
Switch<config>#interface fastethernet 0/5

!--- ファースト イーサネット 0/5 のインターフェイス モードに入ります。

Switch<config-if>#switchport mode trunk 

!--- スイッチ ポート モードをトランク モードに設定します。

Switch<config-if>#switchport trunk encapsulation dot1q

!--- スイッチ ポートのカプセル化を dot1q に設定します。

Switch<config-if>#switchport trunk native vlan 2

!--- VLAN 2 をネイティブ VLAN に設定します。

Switch<config-if>#switchport trunk allowed vlan add 2,20,30

!--- トランク ポートで許可される VLAN のリストを設定します。

Switch<config-if>#switchport nonegotiate


Switch#configure terminal 
Switch<config>#interface fastethernet 0/10

!--- ファスト イーサネット 0/10 のインターフェイス モードに入ります。

Switch<config-if>#switchport mode trunk 

!--- スイッチ ポート モードをトランク モードに設定します。

Switch<config-if>#switchport trunk encapsulation dot1q

!--- スイッチ ポートのカプセル化を dot1q に設定します。

Switch<config-if>#switchport trunk native vlan 2

!--- VLAN 2 をネイティブ VLAN に設定します。

Switch<config-if>#switchport trunk allowed vlan add 2,20,30

!--- トランク ポートで許可される VLAN のリストを設定します。

Switch<config-if>#switchport nonegotiate

注:Cisco IOS ソフトウェアベースの Aironet 無線機器では、Dynamic Trunking Protocol(DTP; ダイナミック トランキング プロトコル)はサポートされません。そのため、スイッチで DTP のネゴシエーションを試行しないようにします。

ルータの設定

ルータは、VLAN 20 および VLAN 30 内の無線クライアントの DHCP サーバとして設定されます。ルータには 3 つのサブインターフェイスがあり、VLAN 2、20、および 30 にそれぞれ対応しています。これにより、ルータではそれぞれの VLAN のサブネットでクライアントに IP アドレスを割り当てて、インター VLAN ルーティングを実行できます。

Router#configure terminal
Router<config>#interface fastethernet 0/0.2

!--- fastethernet 0/0 でサブインターフェイス .2 を設定します。

Router<config-subif>#encapsulation dot1q 2 native 

!--- dot1q としてカプセル化を設定し、VLAN 2 をサブインターフェイスに割り当てます。 
このコマンドでは、VLAN 2 をネイティブ VLAN とすることも行われます。番号 2 は VLAN ID です。

Router<config-subif>#ip address 172.16.1.1 255.255.255.0

!--- ネイティブ VLAN 2 のサブネット 172.16.1.0 /24 からサブインターフェイスへ IP アドレスを
割り当てます。

Router<config-subif>#exit
Router<config>#interface fastethernet 0/0.20

!--- fastethernet 0/0 でサブインターフェイス .20 を設定します。

Router<config-subif>#encapsulation dot1q 20 

!--- dot1q としてカプセル化を設定し、VLAN 20 をサブインターフェイスに割り当てます。 
番号 20 は VLAN ID です。

Router<config-subif>#ip address 172.16.2.1 255.255.255.0

!--- VLAN 20 のサブネット 172.16.2.0 /24 からサブインターフェイスへ IP アドレスを
割り当てます。 

Router<config-subif>#exit
Router<config>#interface fastethernet 0/0.30

!--- fastethernet 0/0 でサブインターフェイス .30 を設定します。

Router<config-subif>#encapsulation dot1q 30 

!--- dot1q としてカプセル化を設定し、VLAN 30 をサブインターフェイスに割り当てます。 
番号 30 は VLAN ID です。

Router<config-subif>#ip address 172.16.3.1 255.255.255.0

!--- VLAN 30 のサブネット 172.16.3.0 /24 から IP アドレスを割り当てます。

Router<config-subif>#exit


DHCP Configuration starts here

Router<config>#ip dhcp excluded-address 172.16.2.1
Router<config>#ip dhcp excluded-address 172.16.3.1

!--- excluded-address コマンドは、DHCP プールから指定された IP アドレスを除外するのに
使用されます。 この場合、ルータのサブインターフェイスのアドレスは除外されます。

Router<config>#ip dhcp pool pool1

!--- pool1 という名前で DHCP プールを作成して、DHCP 設定モードに入ります。

router<dhcp-config>#network 172.16.2.0 /24

!--- クライアントには、このプールから、172.16.2.0 /24 のサブネット
(つまり、172.16.2.2 〜 172.16.2.254)からの IP アドレスが割り当てられます。

router<dhcp-config>#default-router 172.16.2.1

!--- このプールからクライアントに割り当てられるデフォルト ゲートウェイは、172.16.2.1 です。
デフォルト ルータは、デフォルト ゲートウェイそのものです。

Router<config>#ip dhcp pool pool2

!--- pool2 という名前で DHCP プールを作成して、DHCP 設定モードに入ります。

router<dhcp-config>#network 172.16.3.0 /24

!--- クライアントには、このプールから、172.16.3.0 /24 のサブネット
(つまり、172.16.3.2 〜 172.16.3.254)からの IP アドレスが割り当てられます。

router<dhcp-config>#default-router 172.16.3.1

!--- このプールからクライアントに割り当てられるデフォルト ゲートウェイは、172.16.3.1 です。 






確認

このセクションでは、設定が正常に動作していることを確認しています。

設定が期待通りに動作しているかを確認できます。SSID を Admin に設定した無線クライアント(管理ユーザ)は、VLAN 20 に接続できる必要があります。このユーザは、同じ VLAN の有線ネットワーク上の管理者ユーザにも接続できる必要があります。これを確認するには、管理者ユーザの無線クライアント プロファイルを起動します。

注:このドキュメントでは、プロファイルを設定するために無線クライアントを設定する方法は説明していません。無線クライアント アダプタの設定方法についての詳細は、『ライアント アダプタの設定』を参照してください。

次のウィンドウを見ると、無線クライアントが AP に関連付けられいることがわかります。

vlan_ap_config2.gif

クライアントが VLAN 10 に接続されているかどうかは、AP で show dot11 associations コマンドを発行する方法でも確認できます。

注:特定の show コマンドは、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

AccessPoint#show dot11 associations

802.11 Client Stations on Dot11Radio0:

SSID [Admin] :

MAC Address    IP address      Device        Name            Parent         State
0040.96ac.e657 172.16.2.50     CB21AG/PI21AG Admin User      self           Assoc

AP で show vlans コマンドを発行して、AP に設定されている VLAN を表示できます。次に例を示します。

AccessPoint#show vlans

Virtual LAN ID:  2 (IEEE 802.1Q Encapsulation)

   vLAN Trunk Interfaces:  Dot11Radio0.2
FastEthernet0.2

This is configured as native Vlan for the following interface(s) :
Dot11Radio0
FastEthernet0

   Protocols Configured:   Address:              Received:        Transmitted:
        Bridging        Bridge Group 1               1380                 712
        Other                                          0                  63

   0 packets, 0 bytes input
   733 packets, 50641 bytes output
        Bridging        Bridge Group 1               1380                 712
        Other                                          0                  63

   1381 packets, 98016 bytes input
   42 packets, 12517 bytes output

Virtual LAN ID:  20 (IEEE 802.1Q Encapsulation)

   vLAN Trunk Interfaces:  Dot11Radio0.20
FastEthernet0.20

   Protocols Configured:   Address:              Received:        Transmitted:
        Bridging        Bridge Group 20               798                 622
        Other                                          0                  19

   247 packets, 25608 bytes input
   495 packets, 43585 bytes output
        Bridging        Bridge Group 20               798                 622
        Other                                          0                  19

   552 packets, 37536 bytes input
   148 packets, 21660 bytes output

Virtual LAN ID:  30 (IEEE 802.1Q Encapsulation)

   vLAN Trunk Interfaces:  Dot11Radio0.30
FastEthernet0.30

   Protocols Configured:   Address:              Received:        Transmitted:
        Bridging        Bridge Group 30               693                 609
        Other                                          0                  19

   106 packets, 13373 bytes input
   517 packets, 48029 bytes output
        Bridging        Bridge Group 30               693                 609
        Other                                          0                  19

   605 packets, 47531 bytes input
   112 packets, 15749 bytes output

ここで、無線管理者ユーザが、同じ VLAN で設定されている有線側の管理者ユーザに接続できるかどうかが確認できます。無線クライアントで ping コマンドを発行します。次に例を示します。

D:\>ping 172.16.2.60

Pinging 172.16.2.60 with 32 bytes of data:

Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255

Ping statistics for 172.16.2.60:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  0ms, Average =  0ms

同様に、ゲスト ユーザが VLAN 30 に接続できるかどうかを確認します。ゲストの無線クライアントで ping コマンドを発行し、有線側にある Web サーバへの接続をテストします。次に例を示します。

D:\>ping 172.16.3.60

Pinging 172.16.3.60 with 32 bytes of data:

Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255

Ping statistics for 172.16.3.60:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  0ms, Average =  0ms

トラブルシューティング

ここでは、設定のトラブルシューティングについて説明しています。

トラブルシューティング手順

設定のトラブルシューティングには、次の手順を実行します。

  1. スイッチ ポートに設定され、AP に接続されたネイティブ VLAN が、AP のネイティブ VLAN に一致しているかどうかを確認します。

    ネイティブ VLAN が一致しない場合、スイッチによる接続は得られません。

  2. 無線側に設定されているすべての VLAN が、トランクとして設定されたスイッチ ポートで許可されているかどうかを確認します。

    デフォルトでは、すべての VLAN がトランク ポートで許可されます。

  3. ネイティブ VLAN 以外のすべての VLAN で、bridge-group コマンドが設定されているかどうかを確認します。

    ネイティブ VLAN として設定したサブインターフェイスには、ブリッジ グループを設定する必要はありません。このブリッジ グループは自動的にネイティブ サブインターフェイスに移され、BVI 1 へのリンクを確保します。これは、無線インターフェイスとイーサネット インターフェイスの両方を表します。

    caution 注意:bridge-group コマンドを設定すると、これらのコマンドは自動でイネーブルになります。

    bridge-group 10 subscriber-loop-control
    bridge-group 10 block-unknown-source
    no bridge-group 10 source-learning
    no bridge-group 10 unicast-flooding
    bridge-group 10 spanning-disabled
    

    これは標準のデフォルト設定です。指示がない場合は、これらの設定は変更しないでください。これらのコマンドを削除すると、WLAN が期待通りに動作しなくなる可能性があります。

トラブルシューティングのためのコマンド

AP の設定のトラブルシューティングには、次のコマンドも使用できます。

注:特定の show コマンドは、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

  • show vlans

  • show vlans dot1q

  • show dot11 associations

Catalyst 2950 スイッチでは、設定のトラブルシューティングに次のコマンドを使用できます。

  • show vlans

  • show interface fastethernet x/x switchport

  • show interface fastethernet x/x trunk

ルータで、設定をトラブルシューティングするために、次のコマンドを発行してください。

  • debug ip dhcp server packet

  • show ip interface brief

SSID Admin での、クライアントへの正常な IP アドレス割り当ての出力を示します。

Router#debug ip dhcp server packet
*Nov 23 18:02:06.637: DHCPD: DHCPREQUEST received from client 0040.96ac.e657.

!--- ルータは、クライアントから DHCP 要求を受信します。

*Nov 23 18:02:06.637: DHCPD: No default domain to append - abort update
*Nov 23 18:02:06.637: DHCPD: Sending DHCPACK to client 0040.96ac.e657 (172.16.2.50).

!--- ルータは、クライアントの要求に確認応答します。

*Nov 23 18:02:06.637: DHCPD: creating ARP entry (172.16.2.2, 0040.96ac.e657).
*Nov 23 18:02:06.637: DHCPD: unicasting BOOTREPLY to client 0040.96ac.e657 (172.16.2.50).

!--- ルータは、VLAN 10 のサブネットから、クライアントへ IP アドレスを割り当てます。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 69773