Esempio di configurazione delle VLAN sui punti di accesso Aironet

Opzioni per il download

  • PDF     (367.5 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (133.3 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (185.7 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:21 gennaio 2008
ID documento:69773

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene fornito un esempio di configurazione che mostra come configurare le VLAN sui Cisco Aironet Access Point (AP) con l'uso dell'interfaccia della riga di comando (CLI).

Prerequisiti

Requisiti

Prima di provare questa configurazione, accertarsi di soddisfare i seguenti requisiti:

  • Conoscenza della configurazione di base dei punti di accesso Aironet

  • Conoscenza della configurazione dell'adattatore client Aironet 802.11a/b/g con Aironet Desktop Utility

  • Conoscenze base della configurazione di switch Cisco Catalyst e router Cisco

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

  • Aironet serie 1240AG AP con software Cisco IOS® versione 12.4(3g)JA1

  • Aironet 802.11a/b/g Client Adapter

  • Aironet Desktop Utility con firmware versione 2.5

  • Switch Catalyst 2950 con software Cisco IOS versione 12.1(19)EA1

  • Router 2800 ISR con software Cisco IOS versione 12.4(11)T

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Convenzioni

Fare riferimento a Cisco Technical Tips Conventions per ulteriori informazioni sulle convenzioni dei documenti.

Esempio di rete

Nel documento viene usata questa impostazione di rete.

Un access point Aironet serie 1200 ha tre VLAN: VLAN 2, VLAN 20 e VLAN 30. L'impostazione illustrata in questo documento utilizza VLAN 2 come VLAN nativa, VLAN 20 per il reparto amministrativo (admin) e VLAN 30 per gli utenti guest. Gli utenti wireless che appartengono al reparto amministrativo devono connettersi all'access point e devono essere in grado di connettersi agli utenti del reparto amministrativo sulla rete cablata (sulla VLAN 20). Gli utenti guest wireless devono essere in grado di connettersi a un server Web presente sul segmento cablato sulla VLAN 30. Uno switch Catalyst 2950 connette l'access point alla rete cablata. Un router 2800 ISR si connette allo stesso switch e funge da server DHCP per i client wireless che appartengono alla VLAN 20 e alla VLAN 30. Il router deve assegnare gli indirizzi IP ai client della rispettiva subnet. È necessario configurare il punto di accesso, lo switch Catalyst e il router per implementare questa configurazione.

vlan_ap_config1.gif

Di seguito è riportato l'elenco degli indirizzi IP utilizzati per i dispositivi nel documento. Tutti gli indirizzi IP utilizzano la subnet mask /24

  • Indirizzo IP (VLAN 2) dell'interfaccia virtuale BVI (Bridge-Group) AP - 172.16.1.20

  • Il client wireless (SSID Admin) che si connette alla VLAN 20 ottiene un indirizzo IP dal server DHCP del router dalla subnet 172.16.2.0

  • Il client wireless (SSID Guest) che si connette alla VLAN 30 ottiene un indirizzo IP dal server DHCP del router dalla subnet 172.16.3.0

  • Amministratore della rete cablata sulla VLAN 20—172.16.2.60 (IP statico)

  • Server Web sulla VLAN 30—172.16.3.60 (IP statico)

  • Sottointerfaccia del router nella VLAN 2—172.16.1.1

  • Sottointerfaccia del router nella VLAN 20—172.16.2.1

  • Interfaccia secondaria del router nella VLAN 30—172.16.3.1

Configurazione

In questa sezione vengono presentate le informazioni necessarie per configurare le funzionalità descritte più avanti nel documento.

Nota: per ulteriori informazioni sui comandi menzionati in questo documento, usare lo strumento di ricerca dei comandi (solo utenti registrati).

Per configurare il punto di accesso in modo che si connetta a una VLAN specifica, è necessario configurare l'identificatore del set di servizi (SSID) in modo che riconosca la VLAN. Un ID VLAN o un nome identifica una VLAN. Pertanto, se si configura il SSID su un access point in modo che riconosca un ID o un nome VLAN specifico, è possibile stabilire una connessione alla VLAN. Dopo aver stabilito la connessione, i client wireless che si connettono all'access point con l'SSID specifico vengono assegnati a tale VLAN. Poiché è possibile configurare fino a 16 SSID su un access point, è possibile creare 16 VLAN su un access point. Per configurare le VLAN sugli access point e stabilire la connettività, completare i seguenti passaggi:

  1. Configurare la VLAN nativa sull'access point.

  2. Configurare le VLAN per gli utenti guest e gli utenti amministratori sull'access point.

  3. Configurare lo switch Catalyst.

  4. Configurare il router

Configurazione della VLAN nativa sull'access point

La VLAN, a cui il punto di accesso stesso e altri dispositivi dell'infrastruttura come lo switch a cui il punto di accesso si connette, è detta VLAN nativa. La VLAN nativa del punto di accesso è in genere diversa dalle altre VLAN configurate sul punto di accesso. Si tratta dell'interfaccia BVI, utilizzata per la gestione del punto di accesso a cui viene assegnato un indirizzo IP nella subnet VLAN nativa. Il traffico, ad esempio il traffico di gestione, inviato al punto di accesso e da questo assume la VLAN nativa e non ha tag. Tutto il traffico non codificato ricevuto su una porta trunk IEEE 802.1Q (dot1q) viene inoltrato con la VLAN nativa configurata per la porta. Se un pacchetto ha un ID VLAN uguale all'ID VLAN nativo della porta di invio, lo switch invia il pacchetto senza un tag. In caso contrario, lo switch invia il pacchetto con un tag.

Per configurare una VLAN nativa su un access point, usare questi comandi in modalità di configurazione globale sull'access point:

AccessPoint<config>#interface fastethernet 0.2
AccessPoint<config-subif>#encapsulation dot1q 2 native

!--- Configure the encapsulation as dot1q and assign VLAN 2 as the native VLAN !--- on the Fast Ethernet interface.

AccessPoint<config-subif>#exit
AccessPoint<config>#interface dot11radio 0.2
AccessPoint<config-subif>#encapsulation dot1q 2 native

!--- Configure the encapsulation as dot1q and assign VLAN 2 as the native VLAN !--- on the radio interface.

AccessPoint<config-subif>#end

Configurazione delle VLAN per gli utenti guest e gli utenti amministratori sull'access point

Qui è necessario configurare due VLAN, una per gli utenti guest e l'altra per gli utenti del reparto di amministrazione. Inoltre, è necessario associare l'SSID alle VLAN specifiche. Nell'esempio seguente viene configurato:

  • VLAN 20 per il reparto amministrativo e usa l'amministratore SSID

  • VLAN 30 per gli utenti guest e utilizza il guest SSID

Per configurare queste VLAN, immettere questi comandi in modalità di configurazione globale:

AccessPoint#configure terminal

!--- Enter global configuration mode.

AccessPoint(config)#interface dot11radio 0

!--- Enter radio interface configuration mode.

AccessPoint(config-if)#ssid Admin

!--- Configure the SSID "Admin".

AccessPoint(config-if-ssid)#vlan 20

!--- Assign VLAN 20 to the SSID.

AccessPoint(config-if-ssid)#authentication open

!--- Configure open authentication for the SSID.

AccessPoint(config-if-ssid)#end

AccessPoint(config) interface fastethernet 0.20

!--- Enter subinterface mode on the Fast Ethernet interface.

AccessPoint(config-subif) encapsulation dot1Q 20

!--- Set the encapsulation as dot1q for VLAN 20.

AccessPoint(config-subif) bridge-group 20 

!--- Assign the subinterface to bridge group 20.

AccessPoint(config-subif) exit

AccessPoint(config) interface dot11radio 0.20

!--- Enter subinterface mode on the radio interface.

AccessPoint(config-subif) encapsulation dot1Q 20 

!--- Set the encapsulation as dot1q for VLAN 20.

AccessPoint(config-subif) bridge-group 20

!--- Assign the subinterface to bridge group 20.

AccessPoint(config-subif) exit

Ripetere la stessa procedura per configurare la VLAN 30 per gli utenti amministratori:

AccessPoint#configure terminal
AccessPoint(config)#interface dot11radio 0
AccessPoint(config-if)#ssid Guest
AccessPoint(config-if-ssid)#vlan 30
AccessPoint(config-if-ssid)#authentication open
AccessPoint(config-if-ssid)#end

AccessPoint(config) interface fastethernet 0.30
AccessPoint(config-subif) encapsulation dot1Q 30
AccessPoint(config-subif) bridge-group 30
AccessPoint(config-subif) exit

AccessPoint(config) interface dot11radio 0.30
AccessPoint(config-subif) encapsulation dot1Q 30
AccessPoint(config-subif) bridge-group 30
AccessPoint(config-subif) exit

Nota: questo documento utilizza l'autenticazione aperta sia per l'amministratore SSID che per il guest. I tipi di autenticazione sono associati agli SSID configurati per l'access point. Per informazioni su come configurare diversi tipi di autenticazione sull'access point, consultare il documento sulla configurazione dei tipi di autenticazione.

Configurazione dello switch Catalyst

Il passaggio successivo è quello di configurare le porte dello switch che connetteranno i punti di accesso e il router alla rete cablata. È necessario configurare la porta dello switch che si connette all'access point e al router come porta trunk perché questa porta trasporta il traffico di tutte le VLAN sulla rete wireless. Nell'esempio, le VLAN sono la VLAN 20, la VLAN 30 e la VLAN nativa 2. Quando si configura la porta dello switch, che si connette al punto di accesso e al router, verificare che le VLAN native configurate corrispondano alla VLAN nativa sul punto di accesso e sul router. In caso contrario, i frame vengono eliminati. Per configurare la porta trunk sullo switch, usare questi comandi dalla CLI sullo switch:

Nota: in questo documento viene usato lo switch Catalyst 2950. le configurazioni sulla porta dello switch possono variare a seconda del modello di switch in uso. Come mostrato nello schema, l'interfaccia fastethernet 0/5 si connette al router, mentre l'interfaccia fastethernet 0/10 si connette al punto di accesso. 

Switch#configure terminal 
Switch<config>#interface fastethernet 0/5

!--- Enter the interface mode for Fast Ethernet 0/5.

Switch<config-if>#switchport mode trunk 

!--- Configure the switch port mode to trunk mode.

Switch<config-if>#switchport trunk encapsulation dot1q

!--- Configure the encapsulation on the switch port to dot1q.

Switch<config-if>#switchport trunk native vlan 2

!--- Configure the native VLAN as VLAN 2.

Switch<config-if>#switchport trunk allowed vlan add 2,20,30

!--- Configure the list of VLANs that are allowed on the trunk port.

Switch<config-if>#switchport nonegotiate


Switch#configure terminal 
Switch<config>#interface fastethernet 0/10

!--- Enter the interface mode for Fast Ethernet 0/10

Switch<config-if>#switchport mode trunk 

!--- Configure the switch port mode to trunk mode.

Switch<config-if>#switchport trunk encapsulation dot1q

!--- Configure the encapsulation on the switch port to dot1q.

Switch<config-if>#switchport trunk native vlan 2

!--- Configure the native VLAN as VLAN 2.

Switch<config-if>#switchport trunk allowed vlan add 2,20,30

!--- Configure the list of VLANs that are allowed on the trunk port.

Switch<config-if>#switchport nonegotiate

Nota: le apparecchiature wireless Aironet basate sul software Cisco IOS non supportano il protocollo DTP (Dynamic Trunking Protocol). Pertanto, lo switch non deve tentare di negoziare il DTP.

Configurazione del router

Il router è configurato come server DHCP per i client wireless nelle VLAN 20 e VLAN 30. Il router ha tre sottointerfacce, una per ciascuna VLAN 2, 20 e 30, in modo da poter assegnare gli indirizzi IP ai client nella subnet della rispettiva VLAN ed eseguire il routing tra VLAN.

Router#configure terminal
Router<config>#interface fastethernet 0/0.2

!--- Configures a Sub-interface .2 on fastethernet 0/0

Router<config-subif>#encapsulation dot1q 2 native 

!--- configures the encapsulation as dot1q and assigns VLAN 2 to the sub-interface This command also makes VLAN 2 as the Native VLAN. Here number 2 is the VLAN-id.

Router<config-subif>#ip address 172.16.1.1 255.255.255.0

!--- Assign ip address from Native VLAN 2 subnet - 172.16.1.0 /24 to the sub-interface

Router<config-subif>#exit
Router<config>#interface fastethernet 0/0.20

!--- Configures a Sub-interface .20 on fastethernet 0/0

Router<config-subif>#encapsulation dot1q 20 

!--- configures the encapsulation as dot1q and assigns VLAN 20 to the sub-interface Here number 20 is the VLAN-id.

Router<config-subif>#ip address 172.16.2.1 255.255.255.0

!--- Assign ip address from VLAN 20 subnet - 172.16.2.0 /24 to the sub-interface 

Router<config-subif>#exit
Router<config>#interface fastethernet 0/0.30

!--- Configures a Sub-interface .30 on fastethernet 0/0

Router<config-subif>#encapsulation dot1q 30 

!--- configures the encapsulation as dot1q and assigns VLAN 30 to the sub-interface Here number 30 is the VLAN-id.

Router<config-subif>#ip address 172.16.3.1 255.255.255.0

!--- Assign ip address from VLAN 30 subnet - 172.16.3.0 /24

Router<config-subif>#exit


DHCP Configuration starts here

Router<config>#ip dhcp excluded-address 172.16.2.1
Router<config>#ip dhcp excluded-address 172.16.3.1

!--- excluded-address command is used to exclude the specified ip addresses from the DHCP pool. In this case router's sub-interface addresses are excluded.

Router<config>#ip dhcp pool pool1

!--- Creates a DHCP pool with a name pool1 and enters the DHCP config mode

router<dhcp-config>#network 172.16.2.0 /24

!--- From this pool Clients are assigned ip addresses from 172.16.2.0 /24 Subnet i.e. from 172.16.2.2 - 172.16.2.254

router<dhcp-config>#default-router 172.16.2.1

!--- Default-gateway assigned to the client from this pool is 172.16.2.1 . Default-router is nothing but default-gateway

Router<config>#ip dhcp pool pool2

!--- Creates a DHCP pool with a name pool2 and enters the DHCP config mode

router<dhcp-config>#network 172.16.3.0 /24

!--- From this pool Clients are assigned ip addresses from 172.16.3.0 /24 Subnet i.e. from 172.16.3.2 - 172.16.3.254

router<dhcp-config>#default-router 172.16.3.1

!--- Default-gateway assigned to the client from this pool is 172.16.3.1 .

Verifica

Per verificare che la configurazione funzioni correttamente, consultare questa sezione.

È possibile verificare se la configurazione funziona come previsto. Il client wireless (utente amministratore) configurato con SSID Admin deve connettersi alla VLAN 20. Lo stesso utente deve essere in grado di connettersi all'utente amministratore sulla rete cablata, che si trova anch'esso sulla stessa VLAN. Per procedere alla verifica, attivare il profilo client wireless per l'utente Admin.

Nota: questo documento non spiega come configurare il client wireless per impostare i profili. Per informazioni su come configurare la scheda client wireless, consultare il documento sulla configurazione della scheda client.

In questa finestra di esempio viene mostrato come il client wireless sia associato all'access point:

vlan_ap_config2.gif

Il comando show dot11 association sull'access point verifica anche che il client si connetta alla VLAN 10:

Nota: lo strumento Output Interpreter (solo utenti registrati) (OIT) supporta alcuni comandi show. Usare l'OIT per visualizzare un'analisi dell'output del comando show.

AccessPoint#show dot11 associations

802.11 Client Stations on Dot11Radio0:

SSID [Admin] :

MAC Address    IP address      Device        Name            Parent         State
0040.96ac.e657 172.16.2.50     CB21AG/PI21AG Admin User      self           Assoc

È possibile usare il comando show vlan sull'access point per visualizzare le VLAN configurate sull'access point. Di seguito è riportato un esempio:

AccessPoint#show vlans

Virtual LAN ID:  2 (IEEE 802.1Q Encapsulation)

   vLAN Trunk Interfaces:  Dot11Radio0.2
FastEthernet0.2

This is configured as native Vlan for the following interface(s) :
Dot11Radio0
FastEthernet0

   Protocols Configured:   Address:              Received:        Transmitted:
        Bridging        Bridge Group 1               1380                 712
        Other                                          0                  63

   0 packets, 0 bytes input
   733 packets, 50641 bytes output
        Bridging        Bridge Group 1               1380                 712
        Other                                          0                  63

   1381 packets, 98016 bytes input
   42 packets, 12517 bytes output

Virtual LAN ID:  20 (IEEE 802.1Q Encapsulation)

   vLAN Trunk Interfaces:  Dot11Radio0.20
FastEthernet0.20

   Protocols Configured:   Address:              Received:        Transmitted:
        Bridging        Bridge Group 20               798                 622
        Other                                          0                  19

   247 packets, 25608 bytes input
   495 packets, 43585 bytes output
        Bridging        Bridge Group 20               798                 622
        Other                                          0                  19

   552 packets, 37536 bytes input
   148 packets, 21660 bytes output

Virtual LAN ID:  30 (IEEE 802.1Q Encapsulation)

   vLAN Trunk Interfaces:  Dot11Radio0.30
FastEthernet0.30

   Protocols Configured:   Address:              Received:        Transmitted:
        Bridging        Bridge Group 30               693                 609
        Other                                          0                  19

   106 packets, 13373 bytes input
   517 packets, 48029 bytes output
        Bridging        Bridge Group 30               693                 609
        Other                                          0                  19

   605 packets, 47531 bytes input
   112 packets, 15749 bytes output

È ora possibile verificare se l'utente amministratore wireless è in grado di connettersi all'utente amministratore sul lato cablato, configurato per la stessa VLAN. Eseguire il comando ping sul client wireless. Di seguito è riportato un esempio:

D:\>ping 172.16.2.60

Pinging 172.16.2.60 with 32 bytes of data:

Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255

Ping statistics for 172.16.2.60:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  0ms, Average =  0ms

Analogamente, è possibile verificare se gli utenti guest sono connessi alla VLAN 30. È possibile usare il comando ping sul client wireless guest per verificare la connettività al server Web sul lato cablato. Di seguito è riportato un esempio:

D:\>ping 172.16.3.60

Pinging 172.16.3.60 with 32 bytes of data:

Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255

Ping statistics for 172.16.3.60:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  0ms, Average =  0ms

Risoluzione dei problemi

Utilizzare questa sezione per risolvere i problemi relativi alla configurazione.

Procedura di risoluzione dei problemi

Seguire le seguenti istruzioni:

  1. Verificare che la VLAN nativa configurata sulla porta dello switch e connessa al punto di accesso corrisponda alla VLAN nativa del punto di accesso.

    In caso di mancata corrispondenza nella VLAN nativa, la connettività tramite lo switch non si verifica.

  2. Verificare che tutte le VLAN configurate sul lato wireless siano consentite sulla porta dello switch configurata come trunk.

    Per impostazione predefinita, tutte le VLAN sono consentite tramite la porta trunk.

  3. Verificare che il comando bridge-group sia configurato su tutte le VLAN ad eccezione della VLAN nativa.

    non è necessario configurare un gruppo di bridge sull'interfaccia secondaria configurata come VLAN nativa. Questo gruppo bridge viene spostato automaticamente sull'interfaccia secondaria nativa per mantenere il collegamento con BVI 1, che rappresenta sia l'interfaccia radio che l'interfaccia Ethernet.

    caution Attenzione: quando si configura il comando bridge-group, questi comandi vengono abilitati automaticamente:

    bridge-group 10 subscriber-loop-control
bridge-group 10 block-unknown-source
no bridge-group 10 source-learning
no bridge-group 10 unicast-flooding
bridge-group 10 spanning-disabled

    Si tratta di impostazioni predefinite standard che non è consigliabile modificare se non viene indicato all'utente. Se si rimuovono questi comandi, la WLAN potrebbe non funzionare correttamente.

Comandi per la risoluzione dei problemi

È possibile usare questi comandi anche per risolvere i problemi di configurazione sull'access point:

Nota: lo strumento Output Interpreter (solo utenti registrati) (OIT) supporta alcuni comandi show. Usare l'OIT per visualizzare un'analisi dell'output del comando show.

  • show vlan

  • show vlan dot1q

  • mostra associazioni dot11

Sullo switch Catalyst 2950, è possibile usare questi comandi per risolvere i problemi della configurazione:

  • show vlan

  • show interface fastethernet x/x switchport

  • show interface fastethernet x/x trunk

Sul router, eseguire questi comandi per risolvere i problemi relativi alla configurazione.

  • pacchetto server dhcp ip di debug

  • show ip interface brief

Di seguito è riportato un output dell'assegnazione dell'indirizzo IP al client in SSID Admin.

Router#debug ip dhcp server packet
*Nov 23 18:02:06.637: DHCPD: DHCPREQUEST received from client 0040.96ac.e657.

!--- Router receives the DHCP Request from the client

*Nov 23 18:02:06.637: DHCPD: No default domain to append - abort update
*Nov 23 18:02:06.637: DHCPD: Sending DHCPACK to client 0040.96ac.e657 (172.16.2.50).

!--- Router acknowledges the client's request

*Nov 23 18:02:06.637: DHCPD: creating ARP entry (172.16.2.2, 0040.96ac.e657).
*Nov 23 18:02:06.637: DHCPD: unicasting BOOTREPLY to client 0040.96ac.e657 (172.16.2.50).

!--- Router assigns ip address to the client from the VLAN 10 subnet

Informazioni correlate

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti