本文档提供了如何在室外无线网状网络上配置以太网桥接的简单配置示例。本文档介绍室外无线网状接入点(AP)之间的点对点以太网桥接。
无线LAN控制器(WLC)配置为基本运行。
以第 3 层模式配置了 WLC。
配置了 WLC 的交换机。
尝试进行此配置之前,请确保满足以下要求:
了解轻量接入点 (LAP) 和 Cisco WLC 配置的基础知识
无线网状网络解决方案基础知识
了解轻量 AP 协议 (LWAPP) 的基础知识
了解 Cisco 交换机配置方面的基础知识
本文档中的信息基于以下软件和硬件版本:
运行固件 4.0.217.0 的 Cisco 2000 系列 WLC
两 (2) 个 Cisco Aironet 1510 系列 LAP
Cisco 第 2 层交换机
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
网状网络解决方案是Cisco统一无线网络解决方案的一部分,可让两个或多个Cisco Aironet轻量网状接入点(下文称为Mesh接入点)通过一个或多个无线跳互相通信,以加入多个LAN或扩展802.11b无线覆盖范围。通过网状网络解决方案中部署的任何思科无线LAN控制器,配置、监控和操作思科网状无线接入点。
支持的网状网络解决方案部署为以下三种常见类型之一:
点对点部署
点对多点部署
网状部署
本文档重点介绍如何在同一设备上配置点对点网状部署和以太网桥接。在点对点网状部署中,网状无线接入点为无线客户端提供无线接入和回传,并可同时支持一个LAN和终端到远程以太网设备或另一个以太网LAN的桥接。
有关每种部署类型的详细信息,请参阅网状网络解决方案部署。
Cisco Aironet 1510 系列轻量室外网状 AP 是一种专为无线客户端访问和点对点桥接、点对多点桥接以及点对多点网状无线连接而设计的无线设备。室外接入点是一种可以安装在墙壁或突出物、屋顶桅杆或者路灯桅杆上的独立单元。
您可以通过以下角色之一操作Cisco Aironet 1510远程边缘轻量接入点和Cisco Aironet 1500系列轻量户外接入点:
屋顶接入点 (RAP)
网状接入点(MAP),也称为极顶接入点(PAP)
RAP与思科无线LAN控制器有有线连接。它们使用回传无线接口与附近的MAP通信。RAP是任何桥接或网状网络的父节点,将网桥或网状网络连接到有线网络,因此任何桥接或网状网段只能有一个RAP。
MAP没有到思科无线LAN控制器的有线连接。它们可以是完全无线的并且支持与其他MAP或RAP通信的客户端,或者可用于连接外围设备或有线网络。出于安全原因,默认情况下禁用以太网端口,但您可以为PAP启用它。
此配置示例说明如何配置两个1510系列轻型室外网状AP之间的以太网桥接,其中一个AP用作RAP,另一个用作MAP。
在此设置中,MAC地址为00:0B:85:7F:47:00的AP配置为RAP,而MAC地址为00:0B:85:71:1B:00的AP配置为MAP。本地以太网LAN A连接到RAP端,以太网LAN B连接到MAP。
要为以太网桥接配置开箱即用的1510网状AP,请执行以下步骤:
当任何AP启动时,它会首先查找IP地址。此IP地址可以通过外部内部DHCP(如Microsoft Windows® DHCP服务器)动态分配。最新的WLC版本(4.0及更高版本)可以通过控制器本身上的内部DHCP服务器将IP地址分配给AP。此示例使用控制器上的内部DHCP服务器为AP分配IP地址。
完成以下步骤,以便通过WLC上的内部DHCP服务器为AP分配IP地址。
从WLC GUI的主菜单中单击CONTROLLER。从Controller Main page的左边角选择Internal DHCP Server。
在内部DHCP服务器页中,单击新建以创建新的DHCP作用域。此示例将范围名称指定为网状AP。单击 Apply。这会将您带到MAP DHCP范围编辑页面。
在DHCP Scope > Edit页中,配置池起始地址、池结束地址、网络和网络掩码、默认路由器以及本示例中给出的所有其他必要参数。从Status下拉框中选择DHCP服务器的状态为Enabled。单击 Apply。
现在,内部DHCP服务器配置为将IP地址分配给网状AP。
AP注册到控制器后,通过控制器GUI将静态IP地址分配给AP。如果为网状AP分配静态IP地址,则在AP下次注册到控制器时,AP的收敛速度更快。
要向WLC注册网状AP,您需要首先将AP的MAC地址添加到WLC的MAC过滤列表中。您可以在网状AP的顶部找到标记的MAC地址。
完成以下步骤以将AP添加到WLC的MAC过滤列表。
从控制器主菜单中单击SECURITY。
在Security页面上,在AAA部分下选择MAC filtering。这会使您进入MAC过滤页面。单击New为网状AP创建MAC过滤器。
如本示例所示,在相应的文本框中输入AP的MAC地址及其说明。此外,请分别从WLAN ID和Interface Name下拉菜单中选择WLAN和dynamic interface。单击 Apply。
对此网状网络中涉及的所有AP重复步骤1和2,因此MAC过滤配置为允许网状AP向控制器注册。
下一步是将网状AP注册到WLC。AP可以通过多种方法向WLC注册。有关AP如何向WLC注册的详细信息,请参阅向WLC注册轻量AP。
首次使用网状AP时,请注册与WLC直接连接的所有AP。
如果无法将AP添加到控制器的MAC过滤列表,则AP在WLC注册时无法加入WLC。原因是控制器上的debug lwapp events enable命令输出中的授权失败。以下是表示授权失败的示例输出。
(Cisco Controller) >debug lwapp events enable .Fri Oct 26 16:04:48 2007: 00:0b:85:71:1b:00 Received LWAPP DISCOVERY REQUEST from AP 00:0b:85:71:1b:00 to 00:0b:85:33:52:80 on port '2' Fri Oct 26 16:04:48 2007: 00:0b:85:71:1b:00 Successful transmission of LWAPP Discovery-Response to AP 00:0b:85:71:1b:00 on Port 2 Fri Oct 26 16:04:48 2007: 00:0b:85:71:1b:00 Received LWAPP DISCOVERY REQUEST from AP 00:0b:85:71:1b:00 to ff:ff:ff:ff:ff:ff on port '2' Fri Oct 26 16:04:48 2007: 00:0b:85:71:1b:00 Successful transmission of LWAPP Discovery-Response to AP 00:0b:85:71:1b:00 on Port 2 Fri Oct 26 15:52:40 2007: 00:0b:85:71:1b:00 Received LWAPP JOIN REQUEST from AP 00:0b:85:71:1b:00 to 00:0b:85:33:52:81 on port '2' Fri Oct 26 15:52:40 2007: 00:0b:85:71:1b:00 AP ap:71:1b:00: txNonce 00:0B:85:33 :52:80 rxNonce 00:0B:85:71:1B:00 Fri Oct 26 15:52:40 2007: 00:0b:85:71:1b:00 LWAPP Join-Request MTU path from AP 00:0b:85:71:1b:00 is 1500, remote debug mode is 0 Fri Oct 26 15:52:40 2007: spamRadiusProcessResponse: AP Authorization failure for 00:0b:85:71:1b:00
在此输出中,您可以看到,由于AP授权失败,控制器未接受来自AP的加入请求。
注意:在主要使用1500系列网状AP的普通网状网络部署中,建议禁用控制器上的允许旧桥接AP进行身份验证设置。这可以在控制器CLI模式下使用命令完成
注:(Cisco Controller)> config network allow-old-bridge-aps disable
注意: 4.1及更高版本中已删除该命令,因此WLC 4.1及更高版本不存在此问题。
在CLI上,您可以使用show ap summary命令验证AP是否已向WLC注册:
(思科控制器)>show ap summary
AP Name Slots AP Model Ethernet MAC Location Port ------------------ ----- ------------------- ----------------- ------------- --- ap:5b:fb:d0 2 AP1010 00:0b:85:5b:fb:d0 default_locat ion 2 ap:7f:47:00 2 LAP1510 00:0b:85:7f:47:00 default_locat ion 2 ap:71:1b:00 2 LAP1510 00:0b:85:71:1b:00 default_locat ion 2
您可以从GUI的Wireless All APs页面下进行验证。
在AP注册到WLC后,您需要配置AP角色和其他桥接参数。您需要根据需要将AP配置为RAP和MAP。
要配置这些AP参数,请完成以下步骤:
单击 Wireless,然后单击 Access Points 下的 All APs。此时将显示 All APs 页。
单击AP1510的Detail链接以访问Details页。
在1510 AP的详细信息页中,对于具有网桥功能的AP(例如AP1510),常规下的AP模式自动设置为网桥。此页还在“桥接信息”下显示此信息。
在 Bridging Information 下,选择以下这些选项之一以指定此 AP 在网状网络中的角色:
网状AP(MAP)
根AP(RAP)
在生产环境中实施设置时,配置为RootAP的AP必须具有到WLC的有线连接。配置为网状AP的AP通过其父AP(RAP)以无线方式连接到WLC。 默认情况下,1510个AP在WLC上启动并注册时承担MAP的角色。
配置网桥角色时,警报框显示以下消息:AP将重新启动。点击确定继续操作。
您可以使用命令config ap role配置控制器CLI的AP角色。
配置Bridge Group Name参数。这是一个最多包含10个字符的字符串。使用网桥组名称对网状无线接入点进行逻辑分组,以避免同一信道上的两个网络相互通信。为了让MAP进行通信,它们必须具有相同的网桥组名称。默认网状无线接入点网桥组名称在制造阶段指定。您看不到它。Bridge Group Name字段在GUI中显示为空白,直到您更改它。AP首次使用此默认网桥组名称注册到WLC。
此示例在此网状网络中涉及的所有AP上使用网桥组名称cisco。
配置网桥组名称时,会出现以下警告框:设置网桥组名称会永久限制它可以连接的AP。" 点击确定继续操作。
您可以使用命令config ap bridgegroupname set cisco使用控制器CLI配置网桥组名称。
注意: 如果要在将RAP部署到远程站点后更改AP的网桥组名称,请先在MAP上配置Bridge Group Name参数,然后在RAP上配置Bridge Group Name参数。如果先配置RAP,则会导致严重的连接问题,因为MAP进入默认模式,因为它的父(RAP)配置了不同的网桥组名称。
注意: 对于具有多个RAP的配置,请确保所有RAP具有相同的网桥组名称,以允许从一个RAP到另一个RAP进行故障切换。相反,对于需要单独扇区的配置,请确保每个RAP和关联的PAP具有单独的网桥组名称。
网桥数据速率是在网状无线接入点之间共享数据的速率。这在整个网络中是固定的。默认数据速率为18 Mbps,您必须用于回传。802.11a的有效数据速率是6、9、12、18、24、36、48和54。
如果将AP配置为RAP,Backhaul Interface参数将显示一个下拉菜单,但如果单击下拉按钮,则只能看到802.11a选项。在MAP上,没有这样的下拉菜单可用。单击 Apply。以下屏幕截图说明了步骤3到6。
RootAP(RAP)的配置如下所示。
下一步是在RAP上启用以太网桥接,并启用其以太网端口与以太网设备连接的所有MAP。网状AP的主要功能之一是,使用MAP上的以太网端口连接外部设备,并在网状网络中所涉及的AP的所有以太网端口之间提供以太网桥接。
WLAN网状网可以同时传输两种不同的流量类型:WLAN客户端流量和MAP网桥流量。WLAN客户端流量在WLAN控制器上终止,网桥流量在1500个网状AP的以太网端口上终止。网桥流量无法到达WLC。如果网状节点用作MAP,则MAP上的以太网端口会被锁定。这样做是出于安全原因。如果有人想使用以太网端口部署点对点(P2P)到多点桥接(P2MP)网络或连接外部设备,必须在控制器上为每个MAP启用该端口。
要在RAP和网状AP上配置以太网桥接,请完成以下步骤:
单击 Wireless,然后单击 Access Points 下的 All APs。此时将显示 All APs 页。
单击AP1510的Detail链接以访问AP Details页。
在Bridging Information下,选中Ethernet Bridging旁边的框。这将启用AP上的以太网桥接。
如果使用点对多点网状网络,请在RAP上启用以太网桥接,并且仅在以太网设备所连接的MAP上启用以太网桥接。不需要在网状网络的所有MAP上启用以太网桥接。
如果已启用以太网桥接以使用网络进行桥接(P2P或P2MP),则必须在所有节点(MAP和RAP)上启用以太网桥接。 在桥接场景中,充当根网桥的RAP将多个MAP作为非根网桥与其关联的有线LAN连接。
您可以使用以下命令从控制器CLI在AP上启用以太网桥接:config ap bridging Enable。
注意:连接到MAP以太网端口的所有交换机不得使用VLAN中继协议(VTP)。VTP可以在网状网络中重新配置中继VLAN,并可能导致您的RAP与其主WLC的连接丢失。如果配置不正确,可能会影响网状网络部署。
启用以太网桥接和MAP上一节中说明的所有桥接参数。
在每个AP上完成网桥参数和以太网桥接参数的配置后,单击Apply以保存设置。这会导致AP从WLC注销、重新启动,并向WLC重新注册。
现在,您已根据需要将您的AP配置为RAP和MAP,并配置了它们的桥接参数。在WLC上启用Zero-Touch配置,这样,一旦将MAP从其与WLC的有线连接中移除,并带到生产网络(到点对点网状网络的另一端),MAP就能够与WLC建立安全的LWAPP连接,而无需任何与WLC的有线连接。启用(或选中)WLC上的零接触配置的默认值。
要在WLC上配置零接触配置,请完成以下步骤。
从控制器GUI中选择Wireless > Mesh,然后单击Enable Zero Touch Configuration。
选择密钥格式(ASCII或十六进制)。
输入 Bridging Shared Secret Key。
此字段仅在启用零接触配置选项时启用。这是提供给网状无线接入点(MAP)的密钥,用于在MAP从网状网络的另一端无线连接时,与思科无线局域网控制器建立安全的LWAPP连接。密钥的长度必须至少为32个字符(十六进制或ASCII格式)。默认共享密钥是在制造阶段分配的。您看不到它。
本示例使用桥接共享密钥cisco。
当您更改共享密钥时,Cisco无线LAN控制器会自动将更改发送到所有RAP,这会导致PAP失去连接,直到它们能够从Cisco无线LAN控制器获取新的共享密钥。
在确认共享密钥字段中再次输入桥接共享密钥。
单击 Apply。此屏幕截图说明了步骤3到步骤5。
如果在Cisco无线局域网控制器上启用零接触配置,并将MAP移动到网状网络的另一端,则RAP和MAP会执行此操作以实现安全的零接触配置:
如果是RAP,则它已拥有与思科无线局域网控制器的安全LWAPP连接,并使用配置的RAP回传接口(默认:802.11a)。
如果是MAP,它会扫描回传接口和信道以查找邻居MAP。当它找到具有相同网桥组名称(配置为桥接参数的一部分)和返回思科无线LAN控制器的路径的邻居MAP时,会将该网桥接入点作为父节点。如果MAP找到多个邻居MAP,它会使用最低开销算法确定哪个父交换机具有返回思科无线LAN控制器的最佳路径。
为了与思科无线局域网控制器建立安全LWAPP连接,MAP会发送其默认共享密钥(在AP制造阶段可用)和MAC地址,以建立临时安全连接。思科无线LAN控制器根据MAC过滤列表验证MAC地址,如果找到,则向MAP发送配置为零接触配置设置的共享密钥并断开连接。MAP存储共享密钥并使用它来设置安全LWAPP连接。
如果MAP断开与思科无线局域网控制器的连接,它会搜索使用网状无线接入点网桥组名称的有效邻居,并扫描回传接口和信道。当它找到邻居网状无线接入点时,它将该网状无线接入点作为父无线接入点。如果已经有共享密钥,则它会使用该密钥并尝试建立与思科无线局域网控制器的安全LWAPP连接。如果共享密钥不起作用,它将使用共享默认密钥并尝试获取新的共享密钥。
完成所有配置后,从连接到WLC的有线网络中断开MAP,并将其移动到网状网的另一端。接通网状网络电源。通过所有适当的配置,MAP能够将RAP定位为其父交换机,并以无线方式向控制器注册。
在WLC CLI上,您可以使用show mesh path Cisco AP 和show mesh neigh Cisco AP 命令验证是否已向WLC注册AP:
命令show mesh path AP name 用于验证从控制器到达指定AP的路径。例如:
(Cisco Controller) >show mesh path ap:71:1b:00
00:0B:85:7F:47:00 state UPDATED NEIGH PARENT BEACON
(86B), snrUp 10, snrDown 9, linkSnr 8
00:0B:85:7F:47:00 is RAP
此输出显示,要到达AP ap:71:1b:00(MAP),控制器的AP路径中包含MAC地址为00:0B:85:7F:47:00,此AP是RAP。
(Cisco Controller) >show mesh path ap:7f:47:00
00:0B:85:7F:47:00 is RAP
此输出显示AP ap:7f:47:00直接连接到控制器,因为此AP是RAP。
命令show mesh neigh AP name 显示指定AP的邻居信息。例如:
(Cisco Controller) >show mesh neigh ap:7f:47:00
AP MAC : 00:0B:85:71:1B:00
FLAGS : 160 CHILD
worstDv 255, Ant 0, channel 0, biters 0, ppiters 10
Numroutes 0, snr 0, snrUp 0, snrDown 10, linkSnr 0
adjustedEase 0, unadjustedEase 0
txParent 0, rxParent 0
poorSnr 0
lastUpdate 1193504822 (Sat Oct 27 17:07:02 2007)
parentChange 0
Per antenna smoothed snr values: 0 0 0 0
Vector through 00:0B:85:71:1B:00
此输出显示AP ap:7f:47:00的邻居是MAP 00:0B:85:71:1B:00,并且MAP是此AP的CHILD,因为此AP是RAP。
(Cisco Controller) >show mesh neigh ap:71:1b:00
AP MAC : 00:0B:85:7F:47:00
FLAGS : 86A NEIGH PARENT BEACON
worstDv 0, Ant 0, channel 161, biters 0, ppiters 10
Numroutes 1, snr 0, snrUp 10, snrDown 10, linkSnr 8
adjustedEase 213, unadjustedEase 256
txParent 106, rxParent 5
poorSnr 5
lastUpdate 1193504822 (Sat Oct 27 17:07:02 2007)
parentChange 1009152029 (Mon Dec 24 00:00:29 2001)
Per antenna smoothed snr values: 8 0 0 0
Vector through 00:0B:85:7F:47:00
Vector ease 1 -1, FWD: 00:0B:85:7F:47:00
此输出显示AP ap:71:1b:00的邻居是RAP 00:0B:85:7F:47:00,并且RAP是此AP的PARENT。
命令show mesh summary Ap name显示指定AP的网状详细信息。例如:
(Cisco Controller) >show mesh summary ap:71:1b:00
00:0B:85:7F:47:00 state UPDATED NEIGH PARENT BEACON (86B),
snrUp 10, snrDown 10, linkSnr 8
(Cisco Controller) >show mesh summary ap:7f:47:00
00:0B:85:71:1B:00 state CHILD (160), snrUp 0, snrDown 10, linkSnr 0
可通过以下步骤从控制器GUI验证相同内容:
在WLC GUI中,单击Wireless > All APs。
单击AP1510的桥接信息链接以访问AP的桥接信息页。
AP Bridging Details页列出此AP的所有桥接详细信息,例如AP角色和网状类型信息。
在WLC CLI上,您可以使用show mesh path Cisco AP 和show mesh neigh Cisco AP 命令验证AP是否已向WLC注册:
要验证以太网桥接是否正常工作,请执行以下步骤:
通过交换机将以太网(如网络图所示的以太网LAN B)连接到MAP的以太网端口。确保根据需要正确配置交换机。
使用ping命令验证MAP上的以太网LAN B与在WLC后面的RAP上连接的有线网络(如网络图所示的以太网LAN A)之间的连接。如果ping成功,则表明以太网桥接工作正常。
以下故障排除命令非常有用:
debug lwapp errors enable — 显示 LWAPP 错误的调试。
debug pm pki enable — 显示 AP 与 WLC 之间传递的证书消息的调试。
此命令清楚地显示AP是否由于证书有效期不匹配而无法加入WLC。
以下是 debug pm pki enable 命令在控制器上的输出:
Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: locking ca cert table Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: calling x509_alloc() for user cert Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: calling x509_decode() Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: <subject> C=US, ST=California, L=San Jose, O=Cisco Systems, CN=C1200-001563e50c7e, MAILTO=support@cisco.com Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: <issuer> O=Cisco Systems, CN=Cisco Manufacturing CA Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: Mac Address in subject is 00:15:63:e5:0c:7e Thu May 25 07:25:00 2006: sshpmGetIssuerHandles: Cert is issued by Cisco Systems. ......................... ......................... .......................... .......................... Fri Apr 15 07:55:03 2005: ssphmUserCertVerify: calling x509_decode() Fri Apr 15 07:55:03 2005: ssphmUserCertVerify: user cert verfied using >cscoDefaultMfgCaCert< Fri Apr 15 07:55:03 2005: sshpmGetIssuerHandles: ValidityString (current): 2005/04/15/07:55:03 Fri Apr 15 07:55:03 2005: sshpmGetIssuerHandles: Current time outside AP cert validity interval: make sure the controller time is set. Fri Apr 15 07:55:03 2005: sshpmFreePublicKeyHandle: called with (nil)
在此输出中,请注意突出显示的信息。此信息清楚地显示控制器时间在AP的证书有效间隔之外,因此AP无法向控制器注册。AP 上安装的证书具有预定义的有效间隔。控制器时间必须设置为在AP的证书有效间隔内。
有关注册到控制器的LAP中可能问题的详细信息,请参阅LWAPP升级工具故障排除提示文档。
有关排除网状网络故障的详细信息,请参阅排除网状网络故障。
以下是一些有用的debug命令:
debug pem state enable — 用于配置访问策略管理器的调试选项。
debug pem events enable — 用于配置访问策略管理器的调试选项。
debug dhcp message enable — 显示与 DHCP 服务器相互交换的 DHCP 消息的调试。
debug dhcp packet enable — 显示与 DHCP 服务器相互往来的 DHCP 数据包详细信息的调试。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
29-Oct-2007 |
初始版本 |