Беспроводные сети / Мобильные решения : "Беспроводные сети, LAN (WLAN)"

Пример конфигурации сетей VLAN в точках доступа Aironet

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (20 декабря 2015) | Отзыв


Содержание


Введение

В этом документе приведен пример конфигурации, иллюстрирующий настройку виртуальных локальных сетей группы точек доступа (AP) Cisco Aironet с использованием интерфейса командной строки (CLI).

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

  • Знание базовой конфигурации AP Aironet

  • Знание конфигурации Aironet 802.11a/b/g Клиентский адаптер со служебной программой рабочего стола Aironet

  • Базовые знания о конфигурации коммутаторов Cisco Catalyst и маршрутизаторов Cisco

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • AP серии 1240AG Aironet, который выполняет Cisco Выпуск ПО IOS� 12.4 (3-граммовых) JA1

  • Aironet 802.11a/b/g Клиентский адаптер

  • Служебная программа рабочего стола Aironet, которая выполняет версию микропрограммы 2.5

  • Коммутатор Catalyst 2950, который выполняет программное обеспечение Cisco IOS версии 12.1(19)EA1

  • 2800 комплектов маршрутизаторов ISR, которые выполняют программное обеспечение Cisco IOS версии 12.4(11)T

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Схема сети

В этом документе использованы параметры данной сети.

Aironet AP серии 1200 имеет три VLAN — VLAN 2, VLAN 20 и VLAN 30. Настройка в этом документе использует VLAN 2 в качестве собственного VLAN, VLAN 20 для административного (admin) отдел и VLAN 30 для гостей. Пользователи беспроводной связи, которые принадлежат административному отделу, должны соединиться с AP и должны быть в состоянии соединиться с пользователями административного отдела на проводной сети (на VLAN 20). Беспроводные гости должны быть в состоянии соединиться с Web-сервером, который находится на проводном сегменте на VLAN 30. Коммутатор Catalyst 2950 подключает AP с проводной сетью. 2800 комплектов маршрутизаторов ISR соединяются с тем же коммутатором и действуют как DHCP server для беспроводных клиентов, которые принадлежат VLAN 20 и VLAN 30. Маршрутизатор должен назначить IP-адреса на клиенты от их соответствующей подсети. Необходимо настроить AP, Коммутатор Catalyst и маршрутизатор для реализации этой настройки.

/image/gif/paws/69773/vlan_ap_config1.gif

Ниже список IP-адресов, используемых для устройств в документе. Все IP-адреса используют/24 маску подсети

  • Виртуальный интерфейс мостовой группы AP (BVI) IP-адрес (VLAN 2) — 172.16.1.20

  • Беспроводной клиент (Admin SSID), который соединяется с VLAN 20, получает IP-адрес от DHCP server маршрутизатора от подсети 172.16.2.0

  • Беспроводной клиент (Гостевой SSID), который соединяется с VLAN 30, получает IP-адрес от DHCP server маршрутизатора от подсети 172.16.3.0

  • Пользователь Admin на проводной сети на VLAN 20 — 172.16.2.60 (Статический ip)

  • Web-сервер на VLAN 30 — 172.16.3.60 (Статический ip)

  • Подчиненный интерфейс маршрутизатора в VLAN 2 — 172.16.1.1

  • Подчиненный интерфейс маршрутизатора в VLAN 20 — 172.16.2.1

  • Подчиненный интерфейс маршрутизатора в VLAN 30 — 172.16.3.1

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Для настройки AP для соединения с определенной VLAN, необходимо настроить идентификатор набора сервисов (SSID) для распознавания VLAN. Или ИДЕНТИФИКАТОР VLAN или название определяют VLAN. Поэтому при настройке SSID на AP для распознавания определенного ИДЕНТИФИКАТОРА VLAN или названия, можно установить соединение с VLAN. После установления соединения беспроводных клиентов, которые соединяются с AP с использованием определенного SSID, назначают на ту VLAN. Поскольку можно настроить до 16 SSIDs на AP, можно создать 16 VLAN на AP. Чтобы настроить VLAN на AP и установить подключение, необходимо выполнить эти шаги:

  1. Настройте собственный VLAN на AP.

  2. Настройте VLAN для гостей и пользователей с правами администратора на AP.

  3. Настройте Коммутатор Catalyst.

  4. Настройте маршрутизатор

Настройте собственный VLAN на AP

VLAN, к который сама точка доступа и другие устройства, относящиеся к инфраструктуре, такие как коммутатор, с которым соединяется точка доступа, называют собственным VLAN. Собственный VLAN точки доступа обычно отличается от других VLAN, настроенных на точке доступа. Это - интерфейс BVI, который используется для управления точки доступа, которой назначают IP-адрес в подсети собственного VLAN. Трафик, например, трафик управления, передаваемый и самой точкой доступа, принимают собственный VLAN, и это без меток. Весь немаркированный трафик, который получен на IEEE 802.1Q (dot1q) магистральный порт, передан с собственным VLAN, который настроен для порта. Если пакет имеет ИДЕНТИФИКАТОР VLAN, который совпадает с ID собственного VLAN порта передачи, коммутатор передает пакет без метки. В противном случае коммутатор передает пакет с меткой.

Для настройки собственного VLAN на AP выполните эти команды в режиме глобальной конфигурации на AP:

AccessPoint<config>#interface fastethernet 0.2
AccessPoint<config-subif>#encapsulation dot1q 2 native

!--- Configure the encapsulation as dot1q and assign VLAN 2 as the native VLAN 
!--- on the Fast Ethernet interface.

AccessPoint<config-subif>#exit
AccessPoint<config>#interface dot11radio 0.2
AccessPoint<config-subif>#encapsulation dot1q 2 native

!--- Configure the encapsulation as dot1q and assign VLAN 2 as the native VLAN 
!--- on the radio interface.

AccessPoint<config-subif>#end

Настройте VLAN для гостей и пользователей Admin на AP

Здесь, необходимо настроить две VLAN, один для гостей и другого для пользователей административного отдела. Также необходимо привязать SSID к определенным VLAN. Данный пример настраивает:

  • VLAN 20 для административного отдела и использования Admin SSID

  • VLAN 30 для гостей и использования Гостевой SSID

Для настройки этих VLAN введите эти команды в режим глобальной конфигурации:

AccessPoint#configure terminal

!--- Enter global configuration mode.

AccessPoint(config)#interface dot11radio 0

!--- Enter radio interface configuration mode.

AccessPoint(config-if)#ssid Admin

!--- Configure the SSID "Admin".

AccessPoint(config-if-ssid)#vlan 20

!--- Assign VLAN 20 to the SSID.

AccessPoint(config-if-ssid)#authentication open

!--- Configure open authentication for the SSID.

AccessPoint(config-if-ssid)#end
AccessPoint(config) interface fastethernet 0.20

!--- Enter subinterface mode on the Fast Ethernet interface.

AccessPoint(config-subif) encapsulation dot1Q 20

!--- Set the encapsulation as dot1q for VLAN 20.

AccessPoint(config-subif) bridge-group 20 

!--- Assign the subinterface to bridge group 20.

AccessPoint(config-subif) exit
AccessPoint(config) interface dot11radio 0.20

!--- Enter subinterface mode on the radio interface.

AccessPoint(config-subif) encapsulation dot1Q 20 

!--- Set the encapsulation as dot1q for VLAN 20.

AccessPoint(config-subif) bridge-group 20

!--- Assign the subinterface to bridge group 20.

AccessPoint(config-subif) exit

Повторите ту же процедуру для настройки VLAN 30 для пользователей с правами администратора:

AccessPoint#configure terminal
AccessPoint(config)#interface dot11radio 0
AccessPoint(config-if)#ssid Guest
AccessPoint(config-if-ssid)#vlan 30
AccessPoint(config-if-ssid)#authentication open
AccessPoint(config-if-ssid)#end
AccessPoint(config) interface fastethernet 0.30
AccessPoint(config-subif) encapsulation dot1Q 30
AccessPoint(config-subif) bridge-group 30
AccessPoint(config-subif) exit
AccessPoint(config) interface dot11radio 0.30
AccessPoint(config-subif) encapsulation dot1Q 30
AccessPoint(config-subif) bridge-group 30
AccessPoint(config-subif) exit	

Примечание: Этот документ использует открытую аутентификацию и для Admin SSIDs и для Гостя. Типы проверки подлинности связаны к SSIDs, который вы настраиваете для AP. Для получения информации о том, как настроить другие типы проверки подлинности на AP, обратитесь к Типам проверки подлинности Настройки.

Настройте коммутатор Catalyst

Следующий шаг должен настроить порты коммутатора, которые подключат AP и маршрутизатор к проводной сети. Необходимо настроить порт коммутатора, который соединяется с AP и маршрутизатором как магистральный порт, потому что этот порт переносит трафик от всех VLAN на беспроводной сети. В данном примере VLAN является VLAN 20, VLAN 30 и собственный VLAN 2. Когда вы настраиваете порт коммутатора, который соединяется с AP и маршрутизатором, гарантируйте, что собственные VLAN, которые вы настраиваете, совпадают с собственным VLAN на AP и маршрутизаторе. В противном случае кадры отброшены. Для настройки магистрального порта на коммутаторе выполните эти команды от CLI на коммутаторе:

Примечание: Этот документ использует коммутатор Catalyst 2950. Конфигурации на порту коммутатора могут варьироваться, который зависит от модели коммутатора, которую вы используете. Как показано в схеме, interface fastethernet 0/5 соединяется с Маршрутизатором и interface fastethernet 0/10 подключения к точке доступа.

Switch#configure terminal 
Switch<config>#interface fastethernet 0/5

!--- Enter the interface mode for Fast Ethernet 0/5.

Switch<config-if>#switchport mode trunk 

!--- Configure the switch port mode to trunk mode.

Switch<config-if>#switchport trunk encapsulation dot1q

!--- Configure the encapsulation on the switch port to dot1q.

Switch<config-if>#switchport trunk native vlan 2

!--- Configure the native VLAN as VLAN 2.

Switch<config-if>#switchport trunk allowed vlan add 2,20,30

!--- Configure the list of VLANs that are allowed on the trunk port.

Switch<config-if>#switchport nonegotiate


Switch#configure terminal 
Switch<config>#interface fastethernet 0/10

!--- Enter the interface mode for Fast Ethernet 0/10

Switch<config-if>#switchport mode trunk 

!--- Configure the switch port mode to trunk mode.

Switch<config-if>#switchport trunk encapsulation dot1q

!--- Configure the encapsulation on the switch port to dot1q.

Switch<config-if>#switchport trunk native vlan 2

!--- Configure the native VLAN as VLAN 2.

Switch<config-if>#switchport trunk allowed vlan add 2,20,30

!--- Configure the list of VLANs that are allowed on the trunk port.

Switch<config-if>#switchport nonegotiate

Примечание: Оборудование Беспроводной связи aironet на основе ПО Cisco IOS не поддерживает Протокол DTP. Поэтому коммутатор не должен пытаться выполнить согласование о DTP.

Настройте маршрутизатор

Маршрутизатор настроен как DHCP server для беспроводных клиентов в VLAN 20 и VLAN 30. Маршрутизатор имеет три подчиненных интерфейса, один для каждого VLAN 2, 20, и 30 так, чтобы это могло назначить IP-адреса на клиенты в подсети их соответствующей виртуальной локальной сети (VLAN) и выполнить маршрутизацию между виртуальными локальными сетями (IVR).

Router#configure terminal
Router<config>#interface fastethernet 0/0.2

!--- Configures a Sub-interface .2 on fastethernet 0/0

Router<config-subif>#encapsulation dot1q 2 native 

!--- configures the encapsulation as dot1q and assigns VLAN 2 to the sub-interface 
This command also makes VLAN 2 as the Native VLAN. Here number 2 is the VLAN-id.

Router<config-subif>#ip address 172.16.1.1 255.255.255.0

!--- Assign ip address from Native VLAN 2 subnet - 172.16.1.0 /24 to the sub-interface

Router<config-subif>#exit
Router<config>#interface fastethernet 0/0.20

!--- Configures a Sub-interface .20 on fastethernet 0/0

Router<config-subif>#encapsulation dot1q 20 

!--- configures the encapsulation as dot1q and assigns VLAN 20 to the sub-interface 
Here number 20 is the VLAN-id.

Router<config-subif>#ip address 172.16.2.1 255.255.255.0

!--- Assign ip address from  VLAN 20 subnet - 172.16.2.0 /24 to the sub-interface 

Router<config-subif>#exit
Router<config>#interface fastethernet 0/0.30

!--- Configures a Sub-interface .30 on fastethernet 0/0

Router<config-subif>#encapsulation dot1q 30 

!--- configures the encapsulation as dot1q and assigns VLAN 30 to the sub-interface 
Here number 30 is the VLAN-id.

Router<config-subif>#ip address 172.16.3.1 255.255.255.0

!--- Assign ip address from  VLAN 30 subnet - 172.16.3.0 /24

Router<config-subif>#exit


DHCP Configuration starts here

Router<config>#ip dhcp excluded-address 172.16.2.1
Router<config>#ip dhcp excluded-address 172.16.3.1

!--- excluded-address command is used to exclude the specified ip addresses 
from the DHCP pool. In this case router's  sub-interface addresses are excluded.

Router<config>#ip dhcp pool pool1

!--- Creates a DHCP pool with a name pool1 and enters the DHCP config mode

router<dhcp-config>#network 172.16.2.0 /24

!--- From this pool Clients are assigned ip addresses from  172.16.2.0 /24 Subnet i.e. from 172.16.2.2 - 172.16.2.254

router<dhcp-config>#default-router 172.16.2.1

!--- Default-gateway assigned to the client from this pool is 172.16.2.1 . Default-router is nothing but default-gateway

Router<config>#ip dhcp pool pool2

!--- Creates a DHCP pool with a name pool2 and enters the DHCP config mode

router<dhcp-config>#network 172.16.3.0 /24

!--- From this pool Clients are assigned ip addresses from  172.16.3.0 /24 Subnet i.e. from 172.16.3.2 - 172.16.3.254

router<dhcp-config>#default-router 172.16.3.1

!--- Default-gateway assigned to the client from this pool is 172.16.3.1 . 






Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Можно проверить, работает ли конфигурация как ожидалось. Беспроводной клиент (пользователь с правами администратора), который настроен с Admin SSID, должен быть связан с VLAN 20. Тот же пользователь должен быть в состоянии соединиться с пользователем с правами администратора на проводной сети, которая находится также на той же VLAN. Для подтверждения активируйте профиль беспроводного клиента для пользователя Admin.

Примечание: Этот документ не объясняет, как настроить беспроводного клиента для устанавливания профилей. Для получения информации о том, как настроить беспроводной клиентский адаптер, обратитесь к Настройке Клиентский адаптер.

Окно данного примера показывает, что беспроводной клиент привязан к AP:

/image/gif/paws/69773/vlan_ap_config2.gif

Команда show dot11 associations на AP также проверяет, что клиент связан с VLAN 10:

Примечание: Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

AccessPoint#show dot11 associations

802.11 Client Stations on Dot11Radio0:

SSID [Admin] :

MAC Address    IP address      Device        Name            Parent         State
0040.96ac.e657 172.16.2.50     CB21AG/PI21AG Admin User      self           Assoc

Можно выполнить команду show vlans на AP для показа VLAN, которые настроены на AP. Например:

AccessPoint#show vlans

Virtual LAN ID:  2 (IEEE 802.1Q Encapsulation)

   vLAN Trunk Interfaces:  Dot11Radio0.2
FastEthernet0.2

This is configured as native Vlan for the following interface(s) :
Dot11Radio0
FastEthernet0

   Protocols Configured:   Address:              Received:        Transmitted:
        Bridging        Bridge Group 1               1380                 712
        Other                                          0                  63

   0 packets, 0 bytes input
   733 packets, 50641 bytes output
        Bridging        Bridge Group 1               1380                 712
        Other                                          0                  63

   1381 packets, 98016 bytes input
   42 packets, 12517 bytes output

Virtual LAN ID:  20 (IEEE 802.1Q Encapsulation)

   vLAN Trunk Interfaces:  Dot11Radio0.20
FastEthernet0.20

   Protocols Configured:   Address:              Received:        Transmitted:
        Bridging        Bridge Group 20               798                 622
        Other                                          0                  19

   247 packets, 25608 bytes input
   495 packets, 43585 bytes output
        Bridging        Bridge Group 20               798                 622
        Other                                          0                  19

   552 packets, 37536 bytes input
   148 packets, 21660 bytes output

Virtual LAN ID:  30 (IEEE 802.1Q Encapsulation)

   vLAN Trunk Interfaces:  Dot11Radio0.30
FastEthernet0.30

   Protocols Configured:   Address:              Received:        Transmitted:
        Bridging        Bridge Group 30               693                 609
        Other                                          0                  19

   106 packets, 13373 bytes input
   517 packets, 48029 bytes output
        Bridging        Bridge Group 30               693                 609
        Other                                          0                  19

   605 packets, 47531 bytes input
   112 packets, 15749 bytes output

Можно теперь проверить, ли беспроводной пользователь с правами администратора в состоянии соединиться с пользователем с правами администратора на проводной стороне, которая настроена для той же VLAN. Выполните команду ping на беспроводном клиенте. Например:

D:\>ping 172.16.2.60

Pinging 172.16.2.60 with 32 bytes of data:

Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255

Ping statistics for 172.16.2.60:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  0ms, Average =  0ms

Точно так же можно проверить, связаны ли гости с VLAN 30. Можно выполнить команду ping на гостевом беспроводном клиенте для тестирования подключения на Web-сервер на проводной стороне. Например:

D:\>ping 172.16.3.60

Pinging 172.16.3.60 with 32 bytes of data:

Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255

Ping statistics for 172.16.3.60:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  0ms, Average =  0ms

Устранение неполадок

Используйте этот раздел для устранения неполадок своей конфигурации.

Процедура устранения неполадок

Следуйте этим инструкциям для устранения проблем конфигурации:

  1. Проверьте, совпадает ли собственный VLAN, который настроен на порту коммутатора и связан с AP, с собственным VLAN AP.

    Если существует несоответствие в собственном VLAN, подключение через коммутатор не происходит.

  2. Гарантируйте, что все VLAN, которые настроены на беспроводной стороне, позволены на порту коммутатора, который настроен как транк.

    По умолчанию все VLAN позволены через магистральный порт.

  3. Проверьте, настроена ли команда bridge-group на всех VLAN кроме собственного VLAN.

    Вы не должны настраивать группу мостов на подинтерфейсе, который вы устанавливаете как собственный VLAN. Эта группа мостов автоматически перемещена в собственного подчиненного интерфейс для поддержания ссылки на BVI 1, который представляет и радио и Интерфейсы Ethernet.

    caution Внимание.  : При настройке команды bridge-group эти команды автоматически выполнены:

    bridge-group 10 subscriber-loop-control
    bridge-group 10 block-unknown-source
    no bridge-group 10 source-learning
    no bridge-group 10 unicast-flooding
    bridge-group 10 spanning-disabled
    

    Это стандартные настройки по умолчанию, и вы не должны изменять их, пока вы не направлены. При удалении этих команд WLAN может быть не в состоянии функционировать как ожидалось.

Команды для устранения неполадок

Можно также использовать эти команды для устранения проблем конфигурации на AP:

Примечание: Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

  • show vlans

  • show vlans dot1q

  • show dot11 associations

На коммутаторе Catalyst 2950 можно использовать эти команды для устранения проблем конфигурации:

  • show vlans

  • fastethernet show interface x/x switchport

  • fastethernet show interface x/x транк

На маршрутизаторе выполните эти команды для устранения проблем конфигурации.

  • debug ip dhcp server packet

  • show ip interface brief

Вот выходные данные успешного ПРИСВОЕНИЯ IP-АДРЕСА клиенту в Admin SSID.

Router#debug ip dhcp server packet
*Nov 23 18:02:06.637: DHCPD: DHCPREQUEST received from client 0040.96ac.e657.

!--- Router receives the DHCP Request from the client

*Nov 23 18:02:06.637: DHCPD: No default domain to append - abort update
*Nov 23 18:02:06.637: DHCPD: Sending DHCPACK to client 0040.96ac.e657 (172.16.2.50).

!--- Router acknowledges the client's request

*Nov 23 18:02:06.637: DHCPD: creating ARP entry (172.16.2.2, 0040.96ac.e657).
*Nov 23 18:02:06.637: DHCPD: unicasting BOOTREPLY to client 0040.96ac.e657 (172.16.2.50).

!--- Router assigns ip address to the client from the VLAN 10 subnet

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 69773