简介
本文档说明如何在不同场景下配置WGB以支持多个虚拟局域网(VLAN)。
先决条件
要求
思科建议您在自治模式配置中具备AireOS无线LAN控制器(WLC)和接入点(AP)的基本知识。
使用的组件
- WLC v8.2
- 自治AP v15.3(3)JD4
- 无线接入点(CAPWAP)AP的控制和调配
- 支持交换机802.1q
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
配置
WGB,具有与CAPWAP AP关联的多个VLAN
本示例说明如何配置支持与CAPWAP AP关联的多个VLAN的WGB。接入点可以处于本地模式或网桥模式(网状)。 此场景要求WGB连接到支持802.1q的交换机,否则WGB不能支持多个VLAN。在本例中,WGB连接到Cisco交换机3560。
如果交换机不支持802.1q,所有客户端都将分配到本征VLAN。
在本示例中,WGB分配给VLAN 210,而WGB后面连接到交换机的客户端分配给VLAN 2601和2602。
WLC还必须配置属于客户端VLAN的动态接口。在本示例中,WLC必须在VLAN 2601、2602和210上具有动态接口。
网络图

WLC 配置
步骤1.打开WLC的图形用户界面(GUI)并导航到CONTROLLER > Interfaces,以验证WLC上配置的当前动态接口。如果尚未配置所需的vlan,请单击New并添加所需的vlan。


输入接口信息

注意:如果WLC启用了链路聚合(LAG),则无法选择端口号。
步骤2.导航至WLAN >新建>转到。

步骤3.为SSID和配置文件选择名称,然后单击“应用”。

CLI:
> config wlan create <id> <profile-name> <ssid-name>
步骤4.将WGB的本征VLAN分配给WLAN

步骤5.分配WGB用于关联到SSID的预共享密钥。
导航到安全>第2层>身份验证密钥管理。选择PSK并填写密码。

步骤6.确保WLAN已启用Aironet IE,否则WGB无法关联。

注意:在本示例中,SSID使用WPA2/PSK安全,如果您需要使用WPA2/802.1x等更强大的安全方法来配置WLAN,您可以参考此链接:使用PEAP、ISE 2.1和WLC 8.3进行802.1x身份验证
步骤7.启用WLC以支持来自WGB的多个VLAN
>config wgb vlan enable
WGB 配置
步骤1.添加每个VLAN所需的子接口。在本示例中,VLAN 210(本征)、2601和2602将添加到WGB配置。
WGB# config t
WGB# interface dot11radio 0.210
WGB# encapsulation dot1q 210 native
WGB# interface dot11radio 0.2601
WGB# encapsulation dot1q 2601
WGB# bridge-group 21
WGB# interface dot11radio 0.2602
WGB# encapsulation dot1q 2602
WGB# bridge-group 22
WGB# interface dot11radio 1.210
WGB# encapsulation dot1q 210 native
WGB# interface dot11radio 1.2601
WGB# encapsulation dot1q 2601
WGB# bridge-group 21
WGB# interface dot11radio 1.2602
WGB# encapsulation dot1q 2602
WGB# bridge-group 22
WGB# interface gigabit 0.210
WGB# encapsulation dot1q 210 native
WGB# interface gigabit 0.2601
WGB# encapsulation dot1q 2601
WGB# bridge-group 21
WGB# interface gigabit 0.2602
WGB# encapsulation dot1q 2602
WGB# bridge-group 22
注意: 子接口2601和2602的网桥组是21和22,因为网桥组的有效范围是1到255。
注意: 未指定子接口210的网桥组,因为当本征VLAN分配给子接口时,它会自动分配网桥组1。
步骤2.创建服务集标识符(SSID)。
在本示例中,SSID使用WPA2/PSK,如果需要WGB将SSID与WPA2/802.1x等更强大的安全方法关联,您可以查阅此链接:
使用PEAP身份验证的工作组网桥配置示例
WGB# config t
WGB# dot11 ssid wgb-tst
WGB# vlan 210
WGB# authentication open
WGB# authentication key-management wpa version 2
WGB# infrastructure-ssid
WGB# wpa-psk ascii 0 cisco123
步骤3.将SSID添加到用于关联到CAPWAP AP的接口。
此步骤还使用命令station-role workgroup-bridge将AP设置为工作组网桥。
注意:在本示例中,如果需要WGB与其5GHz接口关联,则WGB使用其2.4GHz接口将此配置添加到接口Dot11Radio1。
WGB# config t
WGB# interface Dot11Radio0
WGB# encryption vlan 210 mode ciphers aes-ccmp
WGB# ssid WGB-tst
WGB# station-role workgroup-bridge
步骤4.启用WGB Unified VLAN功能。
此命令将允许WGB通知WLC客户端应分配到哪个VLAN。
WGB# config t
WGB# workgroup-bridge unified-vlan-client
交换机配置
步骤 1. 创建 VLAN。
SW# config t
SW# vlan 210, 2601, 2602
步骤2.配置插入WGB的端口。
SW# config t
SW# interface <interface-id>
SW# switchport mode trunk
SW# switchport trunk native vlan 210
SW# switchport trunk allowed vlan 210, 2601, 2602
步骤3.将客户端插入的接口分配到所需的VLAN。
SW# config t
SW# interface <interface-id>
SW# switchport mode access
SW# switchport access vlan <vlan-id>
WGB,802.1q交换机后,多个VLAN以根模式关联到自治AP。
网络图

根AP配置
步骤1.添加每个VLAN所需的子接口。
在本示例中,VLAN 210(本征)、2601和2602将按照WGB的步骤1的说明添加到根AP配置中,其中多个VLAN与CAPWAP AP - WGB配置关联。
步骤2.创建服务集标识符(SSID)。
在本示例中,SSID使用WPA2/PSK,如果您需要使用SSID配置根AP,使用WPA2/802.1x等更强的安全方法,您可以查阅此链接:
在自治AP上配置SSID和VLAN
Root-AP# config t
Root-AP# dot11 ssid WGB-tst
Root-AP# vlan 210
Root-AP# authentication open
Root-AP# authentication key-management wpa version 2
Root-AP# infrastructure-ssid
Root-AP# wpa-psk ascii 0 cisco123
步骤3.将SSID添加到根AP用于广播SSID的接口。
注意:在本示例中,根AP使用其2.4GHz接口广播SSID,如果需要根AP使用其5GHz接口广播SSID,请将此配置添加到接口Dot11Radio1。
Root-AP# config t
Root-AP# interface Dot11Radio0
Root-AP# encryption vlan 210 mode ciphers aes-ccmp
Root-AP# ssid WGB-tst
Root-AP# infrastructure-client
Root-AP# no shut
命令infrastructure-client允许根AP尊重WGB为其有线客户端分配的VLAN。如果没有此命令,根AP会将所有客户端分配到本征VLAN。
WGB 配置
步骤1.添加每个VLAN所需的子接口。
在本示例中,VLAN 210(本征)、2601和2602将按照WGB的步骤1的说明添加到根AP配置中,其中多个VLAN与CAPWAP AP - WGB配置关联。
步骤2.创建服务集标识符(SSID)。
在本示例中,SSID使用WPA2/PSK,如果需要WGB将SSID与WPA2/802.1x等更强大的安全方法关联,您可以参考此链接:
使用PEAP身份验证的工作组网桥配置示例
WGB# config t
WGB# dot11 ssid WGB-tst
WGB# vlan 210
WGB# authentication open
WGB# authentication key-management wpa version 2
WGB# infrastructure-ssid
WGB# wpa-psk ascii 0 cisco123
步骤3.将SSID添加到用于关联到CAPWAP AP的接口。
此步骤还使用命令station-role workgroup-bridge将AP设置为工作组网桥。
注意:在本示例中,如果需要WGB与其5GHz接口关联,则WGB使用其2.4GHz接口将此配置添加到接口Dot11Radio1。
WGB# config t
WGB# interface Dot11Radio0
WGB# encryption vlan 210 mode ciphers aes-ccmp
WGB# ssid WGB-tst
WGB# station-role workgroup-bridge
WGB# no shut
交换机配置
您可以对WGB上的交换机执行相同的配置,并将多个VLAN关联到CAPWAP AP。
WGB,在根模式下无交换机,且与自治AP关联的多个VLAN。
本示例允许WGB使用2个不同的VLAN(本征VLAN和另一个VLAN),如果您需要有两个以上的VLAN,则您需要在WGB后面添加一个支持802.1q的交换机,并连接其上的客户端。然后,按照有关WGB的说明,在根模式下,在802.1q交换机后面和与自治AP关联的多个VLAN中执行操作。
网络图

根AP配置
步骤1.添加每个VLAN所需的子接口。
子接口配置与WGB的第1步中所示的WGB配置相同,其中多个VLAN与CAPWAP AP关联 — WGB配置,但在本例中,您只需配置VLAN 210(本征)和VLAN 2602(客户端VLAN)。
步骤2.创建服务集标识符(SSID)。
在本示例中,SSID使用WPA2/PSK,如果您需要使用SSID配置根AP,使用WPA2/802.1x等更强的安全方法,您可以查阅此链接:
在自治AP上配置SSID和VLAN
Root-AP# config t
Root-AP# dot11 ssid WGB-tst
Root-AP# vlan 210
Root-AP# authentication open
Root-AP# authentication key-management wpa version 2
Root-AP# infrastructure-ssid
Root-AP# wpa-psk ascii 0 cisco123
步骤3.将SSID添加到根AP用于广播SSID的接口。
注意:在本示例中,根AP使用其2.4GHz接口广播SSID,如果需要根AP使用其5GHz接口广播SSID,请将此配置添加到接口Dot11Radio1。
Root-AP# config t
Root-AP# interface Dot11Radio0
Root-AP# encryption vlan 210 mode ciphers aes-ccmp
Root-AP# ssid WGB-tst
Root-AP# infrastructure-client
Root-AP# no shut
命令 基础设施客户端 允许根AP尊重WGB为其有线客户端分配的VLAN。如果没有此命令,根AP会将所有客户端分配给本征VLAN。
WGB 配置
步骤1.添加每个VLAN所需的子接口。在本示例中,VLAN 210(本征)和2601已添加到WGB配置。
子接口配置与上所示相同 第1步,共 WGB与与CAPWAP AP关联的多个VLAN - WGB配置,但在本例中,您只需配置VLAN 210(本征)和VLAN 2602(客户端VLAN)。
步骤2.创建服务集标识符(SSID)。
在本示例中,SSID使用WPA2/PSK,如果需要WGB将SSID与WPA2/802.1x等更强大的安全方法关联,您可以参考此链接:
使用PEAP身份验证的工作组网桥配置示例
WGB# config t
WGB# dot11 ssid WGB-tst
WGB# vlan 210
WGB# authentication open
WGB# authentication key-management wpa version 2
WGB# infrastructure-ssid
WGB# wpa-psk ascii 0 cisco123
步骤3.将SSID添加到用于关联到CAPWAP AP的接口。
此步骤还使用命令station-role workgroup-bridge将AP设置为工作组网桥。
注意:在本示例中,如果需要WGB与其5GHz接口关联,则WGB使用其2.4GHz接口将此配置添加到接口Dot11Radio1。
WGB# config t
WGB# interface Dot11Radio0
WGB# encryption vlan 210 mode ciphers aes-ccmp
WGB# ssid WGB-tst
WGB# station-role workgroup-bridge
WGB# no shut
步骤4.指定客户端VLAN。
WGB# config t
WGB# workgroup-bridge client-vlan 2601
验证
运行以下命令以验证WGB是否与根AP关联,以及根AP是否可以看到在WGB后面连接的有线客户端:
WGB# show dot11 associations
802.11 Client Stations on Dot11Radio0:
SSID [WGB-tst] :
MAC Address IP address IPV6 address Device Name Parent State
00eb.d5ee.da70 200.200.200.4 :: ap1600-Parent Root-AP - Assoc
Root-AP# show dot11 associations
802.11 Client Stations on Dot11Radio0:
SSID [WGB-tst] :
MAC Address IP address IPV6 address Device Name Parent State
0035.1ac1.78c7 206.206.206.2 :: WGB-client - 00f6.6316.4258 Assoc
00f6.6316.4258 200.200.200.3 :: WGB WGB self Assoc