配置工作组网桥(WGB)多VLAN支持

简介

本文档说明如何在不同场景下配置WGB以支持多个虚拟局域网(VLAN)。 

先决条件

要求

思科建议您在自治模式配置中具备AireOS无线LAN控制器(WLC)和接入点(AP)的基本知识。

使用的组件

• WLC v8.2
• 自治AP v15.3(3)JD4
• 无线接入点(CAPWAP)AP的控制和调配
• 支持交换机802.1q

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

配置

WGB，具有与CAPWAP AP关联的多个VLAN

本示例说明如何配置支持与CAPWAP AP关联的多个VLAN的WGB。接入点可以处于本地模式或网桥模式（网状）。 此场景要求WGB连接到支持802.1q的交换机，否则WGB不能支持多个VLAN。在本例中，WGB连接到Cisco交换机3560。

如果交换机不支持802.1q，所有客户端都将分配到本征VLAN。

在本示例中，WGB分配给VLAN 210，而WGB后面连接到交换机的客户端分配给VLAN 2601和2602。

WLC还必须配置属于客户端VLAN的动态接口。在本示例中，WLC必须在VLAN 2601、2602和210上具有动态接口。

网络图

WLC 配置

步骤1.打开WLC的图形用户界面(GUI)并导航到CONTROLLER > Interfaces，以验证WLC上配置的当前动态接口。如果尚未配置所需的vlan，请单击New并添加所需的vlan。

输入接口信息

注意:如果WLC启用了链路聚合(LAG)，则无法选择端口号。

步骤2.导航至WLAN >新建>转到。

步骤3.为SSID和配置文件选择名称，然后单击“应用”。

CLI：

> config wlan create <id> <profile-name> <ssid-name>

步骤4.将WGB的本征VLAN分配给WLAN

步骤5.分配WGB用于关联到SSID的预共享密钥。

导航到安全>第2层>身份验证密钥管理。选择PSK并填写密码。

步骤6.确保WLAN已启用Aironet IE，否则WGB无法关联。

注意:在本示例中，SSID使用WPA2/PSK安全，如果您需要使用WPA2/802.1x等更强大的安全方法来配置WLAN，您可以参考此链接：使用PEAP、ISE 2.1和WLC 8.3进行802.1x身份验证

步骤7.启用WLC以支持来自WGB的多个VLAN

>config wgb vlan enable

WGB 配置

步骤1.添加每个VLAN所需的子接口。在本示例中，VLAN 210（本征）、2601和2602将添加到WGB配置。

WGB# config t
WGB# interface dot11radio 0.210
WGB# encapsulation dot1q 210 native
 
WGB# interface dot11radio 0.2601
WGB# encapsulation dot1q 2601
WGB# bridge-group 21
 
WGB# interface dot11radio 0.2602
WGB# encapsulation dot1q 2602
WGB# bridge-group 22
 
WGB# interface dot11radio 1.210
WGB# encapsulation dot1q 210 native
 
WGB# interface dot11radio 1.2601
WGB# encapsulation dot1q 2601
WGB# bridge-group 21
 
WGB# interface dot11radio 1.2602
WGB# encapsulation dot1q 2602
WGB# bridge-group 22
 
WGB# interface gigabit 0.210
WGB# encapsulation dot1q 210 native
 
WGB# interface gigabit 0.2601
WGB# encapsulation dot1q 2601
WGB# bridge-group 21
 
WGB# interface gigabit 0.2602
WGB# encapsulation dot1q 2602
WGB# bridge-group 22

  

注意: 子接口2601和2602的网桥组是21和22，因为网桥组的有效范围是1到255。

注意: 未指定子接口210的网桥组，因为当本征VLAN分配给子接口时，它会自动分配网桥组1。

步骤2.创建服务集标识符(SSID)。

在本示例中，SSID使用WPA2/PSK，如果需要WGB将SSID与WPA2/802.1x等更强大的安全方法关联，您可以查阅此链接：

使用PEAP身份验证的工作组网桥配置示例

WGB# config t
WGB# dot11 ssid wgb-tst
WGB# vlan 210
WGB# authentication open
WGB# authentication key-management wpa version 2
WGB# infrastructure-ssid
WGB# wpa-psk ascii 0 cisco123

步骤3.将SSID添加到用于关联到CAPWAP AP的接口。

此步骤还使用命令station-role workgroup-bridge将AP设置为工作组网桥。

注意:在本示例中，如果需要WGB与其5GHz接口关联，则WGB使用其2.4GHz接口将此配置添加到接口Dot11Radio1。

WGB# config t
WGB# interface Dot11Radio0
WGB# encryption vlan 210 mode ciphers aes-ccmp
WGB# ssid WGB-tst
WGB# station-role workgroup-bridge

步骤4.启用WGB Unified VLAN功能。

此命令将允许WGB通知WLC客户端应分配到哪个VLAN。

WGB# config t
WGB# workgroup-bridge unified-vlan-client

交换机配置

步骤 1. 创建 VLAN。

SW# config t
SW# vlan 210, 2601, 2602

步骤2.配置插入WGB的端口。 

SW# config t
SW# interface <interface-id>
SW# switchport mode trunk
SW# switchport trunk native vlan 210
SW# switchport trunk allowed vlan 210, 2601, 2602

步骤3.将客户端插入的接口分配到所需的VLAN。

SW# config t
SW# interface <interface-id>
SW# switchport mode access
SW# switchport access vlan <vlan-id>

WGB，802.1q交换机后，多个VLAN以根模式关联到自治AP。

网络图

根AP配置

步骤1.添加每个VLAN所需的子接口。

在本示例中，VLAN 210（本征）、2601和2602将按照WGB的步骤1的说明添加到根AP配置中，其中多个VLAN与CAPWAP AP - WGB配置关联。

步骤2.创建服务集标识符(SSID)。

在本示例中，SSID使用WPA2/PSK，如果您需要使用SSID配置根AP，使用WPA2/802.1x等更强的安全方法，您可以查阅此链接：

在自治AP上配置SSID和VLAN

Root-AP# config t
Root-AP# dot11 ssid WGB-tst
Root-AP# vlan 210
Root-AP# authentication open
Root-AP# authentication key-management wpa version 2
Root-AP# infrastructure-ssid
Root-AP# wpa-psk ascii 0 cisco123

步骤3.将SSID添加到根AP用于广播SSID的接口。

注意:在本示例中，根AP使用其2.4GHz接口广播SSID，如果需要根AP使用其5GHz接口广播SSID，请将此配置添加到接口Dot11Radio1。

Root-AP# config t
Root-AP# interface Dot11Radio0
Root-AP# encryption vlan 210 mode ciphers aes-ccmp
Root-AP# ssid WGB-tst
Root-AP# infrastructure-client
Root-AP# no shut

  

命令infrastructure-client允许根AP尊重WGB为其有线客户端分配的VLAN。如果没有此命令，根AP会将所有客户端分配到本征VLAN。

WGB 配置

步骤1.添加每个VLAN所需的子接口。

在本示例中，VLAN 210（本征）、2601和2602将按照WGB的步骤1的说明添加到根AP配置中，其中多个VLAN与CAPWAP AP - WGB配置关联。

步骤2.创建服务集标识符(SSID)。

在本示例中，SSID使用WPA2/PSK，如果需要WGB将SSID与WPA2/802.1x等更强大的安全方法关联，您可以参考此链接：

使用PEAP身份验证的工作组网桥配置示例

WGB# config t
WGB# dot11 ssid WGB-tst
WGB# vlan 210
WGB# authentication open
WGB# authentication key-management wpa version 2
WGB# infrastructure-ssid
WGB# wpa-psk ascii 0 cisco123

步骤3.将SSID添加到用于关联到CAPWAP AP的接口。

此步骤还使用命令station-role workgroup-bridge将AP设置为工作组网桥。

注意:在本示例中，如果需要WGB与其5GHz接口关联，则WGB使用其2.4GHz接口将此配置添加到接口Dot11Radio1。

WGB# config t
WGB# interface Dot11Radio0
WGB# encryption vlan 210 mode ciphers aes-ccmp
WGB# ssid WGB-tst
WGB# station-role workgroup-bridge
WGB# no shut

交换机配置

您可以对WGB上的交换机执行相同的配置，并将多个VLAN关联到CAPWAP AP。

WGB，在根模式下无交换机，且与自治AP关联的多个VLAN。

本示例允许WGB使用2个不同的VLAN（本征VLAN和另一个VLAN），如果您需要有两个以上的VLAN，则您需要在WGB后面添加一个支持802.1q的交换机，并连接其上的客户端。然后，按照有关WGB的说明，在根模式下，在802.1q交换机后面和与自治AP关联的多个VLAN中执行操作。

网络图

根AP配置

步骤1.添加每个VLAN所需的子接口。

子接口配置与WGB的第1步中所示的WGB配置相同，其中多个VLAN与CAPWAP AP关联 — WGB配置，但在本例中，您只需配置VLAN 210（本征）和VLAN 2602（客户端VLAN）。

步骤2.创建服务集标识符(SSID)。

在本示例中，SSID使用WPA2/PSK，如果您需要使用SSID配置根AP，使用WPA2/802.1x等更强的安全方法，您可以查阅此链接：

在自治AP上配置SSID和VLAN

Root-AP# config t
Root-AP# dot11 ssid WGB-tst
Root-AP# vlan 210
Root-AP# authentication open
Root-AP# authentication key-management wpa version 2
Root-AP# infrastructure-ssid
Root-AP# wpa-psk ascii 0 cisco123

步骤3.将SSID添加到根AP用于广播SSID的接口。

注意:在本示例中，根AP使用其2.4GHz接口广播SSID，如果需要根AP使用其5GHz接口广播SSID，请将此配置添加到接口Dot11Radio1。

Root-AP# config t
Root-AP# interface Dot11Radio0
Root-AP# encryption vlan 210 mode ciphers aes-ccmp
Root-AP# ssid WGB-tst
Root-AP# infrastructure-client
Root-AP# no shut

命令 基础设施客户端 允许根AP尊重WGB为其有线客户端分配的VLAN。如果没有此命令，根AP会将所有客户端分配给本征VLAN。

WGB 配置 

步骤1.添加每个VLAN所需的子接口。在本示例中，VLAN 210（本征）和2601已添加到WGB配置。

子接口配置与上所示相同 第1步，共 WGB与与CAPWAP AP关联的多个VLAN - WGB配置，但在本例中，您只需配置VLAN 210（本征）和VLAN 2602（客户端VLAN）。

步骤2.创建服务集标识符(SSID)。

在本示例中，SSID使用WPA2/PSK，如果需要WGB将SSID与WPA2/802.1x等更强大的安全方法关联，您可以参考此链接：

使用PEAP身份验证的工作组网桥配置示例

WGB# config t
WGB# dot11 ssid WGB-tst
WGB# vlan 210
WGB# authentication open
WGB# authentication key-management wpa version 2
WGB# infrastructure-ssid
WGB# wpa-psk ascii 0 cisco123

步骤3.将SSID添加到用于关联到CAPWAP AP的接口。

此步骤还使用命令station-role workgroup-bridge将AP设置为工作组网桥。

注意:在本示例中，如果需要WGB与其5GHz接口关联，则WGB使用其2.4GHz接口将此配置添加到接口Dot11Radio1。

WGB# config t
WGB# interface Dot11Radio0
WGB# encryption vlan 210 mode ciphers aes-ccmp
WGB# ssid WGB-tst
WGB# station-role workgroup-bridge
WGB# no shut

步骤4.指定客户端VLAN。

WGB# config t
WGB# workgroup-bridge client-vlan 2601

  

验证

运行以下命令以验证WGB是否与根AP关联，以及根AP是否可以看到在WGB后面连接的有线客户端：

WGB# show dot11 associations

802.11 Client Stations on Dot11Radio0:

SSID [WGB-tst] :

MAC Address    IP address      IPV6 address                           Device        Name            Parent         State     
00eb.d5ee.da70 200.200.200.4   ::                                     ap1600-Parent Root-AP         -              Assoc    


Root-AP# show dot11 associations

802.11 Client Stations on Dot11Radio0:

SSID [WGB-tst] :

MAC Address    IP address      IPV6 address                           Device        Name            Parent         State     
0035.1ac1.78c7 206.206.206.2   ::                                     WGB-client    -               00f6.6316.4258 Assoc    
00f6.6316.4258 200.200.200.3   ::                                     WGB           WGB             self           Assoc