Aironet 액세스 포인트의 VLAN 컨피그레이션 예

다운로드 옵션

PDF (398.8 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (128.9 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (181.9 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2008년 1월 21일

문서 ID:69773

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 CLI(Command Line Interface)를 사용하여 Cisco Aironet Access Point(AP)에서 VLAN을 구성하는 방법을 보여 주는 컨피그레이션 예를 제공합니다.

사전 요구 사항

요구 사항

이 구성을 시도하기 전에 다음 요구 사항을 충족해야 합니다.

Aironet AP의 기본 컨피그레이션 지식
Aironet Desktop Utility를 사용한 Aironet 802.11a/b/g Client Adapter 구성 지식
Cisco Catalyst 스위치 및 Cisco 라우터 구성에 대한 기본 지식

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

Cisco IOS^® 소프트웨어 릴리스 12.4(3g)JA1을 실행하는 Aironet 1240AG Series AP
Aironet 802.11a/b/g Client Adapter
펌웨어 버전 2.5를 실행하는 Aironet Desktop Utility
Cisco IOS Software 릴리스 12.1(19)EA1을 실행하는 Catalyst 2950 스위치
Cisco IOS Software 릴리스 12.4(11)T를 실행하는 2800 ISR 라우터

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.

네트워크 다이어그램

이 문서에서는 이 네트워크 설정을 사용합니다.

Aironet 1200 Series AP에는 VLAN 2, VLAN 20 및 VLAN 30의 3가지 VLAN이 있습니다. 이 문서의 설정은 VLAN 2를 기본 VLAN으로, 관리(관리) 부서에서는 VLAN 20, 게스트 사용자에게는 VLAN 30을 사용합니다.관리 부서에 속한 무선 사용자는 AP에 연결해야 하며 유선 네트워크의 관리 부서 사용자(VLAN 20)에게 연결할 수 있어야 합니다. 무선 게스트 사용자는 VLAN 30의 유선 세그먼트에 있는 웹 서버에 연결할 수 있어야 합니다. Catalyst 2950 스위치는 AP를 유선 네트워크에 연결합니다.2800 ISR 라우터는 동일한 스위치에 연결되며 VLAN 20 및 VLAN 30에 속하는 무선 클라이언트에 대해 DHCP 서버 역할을 합니다. 라우터는 각 서브넷에서 클라이언트에 IP 주소를 할당해야 합니다.이 설정을 구현하려면 AP, Catalyst 스위치 및 라우터를 구성해야 합니다.

다음은 문서의 디바이스에 사용되는 IP 주소 목록입니다.모든 IP 주소는 /24 서브넷 마스크를 사용합니다.

AP BVI(Bridge-Group Virtual Interface) IP 주소(VLAN 2) - 172.16.1.20
VLAN 20에 연결하는 무선 클라이언트(SSID 관리자)는 서브넷 172.16.2.0에서 라우터의 DHCP 서버에서 IP 주소를 가져옵니다.
VLAN 30에 연결하는 무선 클라이언트(SSID 게스트)는 서브넷 172.16.3.0에서 라우터의 DHCP 서버에서 IP 주소를 가져옵니다.
VLAN 20의 유선 네트워크에서 관리자 사용자 - 172.16.2.60(고정 IP)
VLAN 30의 웹 서버 - 172.16.3.60(고정 IP)
VLAN 2에서 라우터의 하위 인터페이스—172.16.1.1
VLAN 20에서 라우터의 하위 인터페이스—172.16.2.1
VLAN 30에서 라우터의 하위 인터페이스—172.16.3.1

구성

이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다.

참고: 명령 조회 도구(등록된 고객만 해당)를 사용하여 이 문서에 사용된 명령에 대한 자세한 내용을 확인하십시오.

특정 VLAN에 연결하도록 AP를 구성하려면 VLAN을 인식하도록 서비스 세트 식별자(SSID)를 구성해야 합니다.VLAN ID 또는 이름이 VLAN을 식별합니다.따라서 AP에서 특정 VLAN ID 또는 이름을 인식하도록 SSID를 구성하는 경우 VLAN에 대한 연결을 설정할 수 있습니다.연결을 설정한 후 특정 SSID를 사용하여 AP에 연결하는 무선 클라이언트가 해당 VLAN에 할당됩니다.AP에서 최대 16개의 SSID를 구성할 수 있으므로 AP에 16개의 VLAN을 생성할 수 있습니다.AP에서 VLAN을 구성하고 연결을 설정하려면 다음 단계를 완료해야 합니다.

AP에서 네이티브 VLAN을 구성합니다.
AP의 게스트 사용자 및 관리자 사용자에 대한 VLAN을 구성합니다.
Catalyst 스위치를 구성합니다.
라우터 구성

AP에서 네이티브 VLAN 구성

액세스 포인트 자체가 있는 VLAN과 액세스 포인트가 연결되는 스위치 같은 기타 인프라 디바이스가 네이티브 VLAN이라고 합니다.액세스 포인트의 네이티브 VLAN은 일반적으로 액세스 포인트에 구성된 다른 VLAN과 다릅니다.BVI 인터페이스로, 네이티브 VLAN 서브넷에서 IP 주소가 할당된 액세스 포인트를 관리하는 데 사용됩니다.예를 들어, 관리 트래픽은 액세스 포인트 자체에서 보내고 받는 트래픽으로, 네이티브 VLAN을 가정하며, 태그되지 않습니다.IEEE 802.1Q(dot1q) 트렁크 포트에서 수신되는 태그 없는 모든 트래픽은 해당 포트에 대해 구성된 네이티브 VLAN으로 전달됩니다.패킷에 전송 포트의 네이티브 VLAN ID와 동일한 VLAN ID가 있는 경우 스위치는 태그 없이 패킷을 전송합니다.그렇지 않으면 스위치가 태그와 함께 패킷을 전송합니다.

AP에서 네이티브 VLAN을 구성하려면 AP의 전역 컨피그레이션 모드에서 다음 명령을 실행합니다.

AccessPoint<config>#interface fastethernet 0.2
AccessPoint<config-subif>#encapsulation dot1q 2 native

!--- Configure the encapsulation as dot1q and assign VLAN 2 as the native VLAN !--- on the Fast Ethernet interface.

AccessPoint<config-subif>#exit
AccessPoint<config>#interface dot11radio 0.2
AccessPoint<config-subif>#encapsulation dot1q 2 native

!--- Configure the encapsulation as dot1q and assign VLAN 2 as the native VLAN !--- on the radio interface.

AccessPoint<config-subif>#end

AP에서 게스트 사용자 및 관리자 사용자에 대한 VLAN 구성

여기서는 게스트 사용자용 VLAN 1개와 관리 부서 사용자용 VLAN 2개를 구성해야 합니다.또한 SSID를 특정 VLAN에 연결해야 합니다.이 예에서는 다음을 구성합니다.

관리 부서용 VLAN 20 및 SSID 관리자 사용
게스트 사용자를 위한 VLAN 30 및 SSID 게스트 사용

이러한 VLAN을 구성하려면 글로벌 컨피그레이션 모드에서 다음 명령을 입력합니다.

AccessPoint#configure terminal

!--- Enter global configuration mode.

AccessPoint(config)#interface dot11radio 0

!--- Enter radio interface configuration mode.

AccessPoint(config-if)#ssid Admin

!--- Configure the SSID "Admin".

AccessPoint(config-if-ssid)#vlan 20

!--- Assign VLAN 20 to the SSID.

AccessPoint(config-if-ssid)#authentication open

!--- Configure open authentication for the SSID.

AccessPoint(config-if-ssid)#end

AccessPoint(config) interface fastethernet 0.20

!--- Enter subinterface mode on the Fast Ethernet interface.

AccessPoint(config-subif) encapsulation dot1Q 20

!--- Set the encapsulation as dot1q for VLAN 20.

AccessPoint(config-subif) bridge-group 20 

!--- Assign the subinterface to bridge group 20.

AccessPoint(config-subif) exit

AccessPoint(config) interface dot11radio 0.20

!--- Enter subinterface mode on the radio interface.

AccessPoint(config-subif) encapsulation dot1Q 20 

!--- Set the encapsulation as dot1q for VLAN 20.

AccessPoint(config-subif) bridge-group 20

!--- Assign the subinterface to bridge group 20.

AccessPoint(config-subif) exit

관리자 사용자에 대해 VLAN 30을 구성하려면 동일한 절차를 반복합니다.

AccessPoint#configure terminal
AccessPoint(config)#interface dot11radio 0
AccessPoint(config-if)#ssid Guest
AccessPoint(config-if-ssid)#vlan 30
AccessPoint(config-if-ssid)#authentication open
AccessPoint(config-if-ssid)#end

AccessPoint(config) interface fastethernet 0.30
AccessPoint(config-subif) encapsulation dot1Q 30
AccessPoint(config-subif) bridge-group 30
AccessPoint(config-subif) exit

AccessPoint(config) interface dot11radio 0.30
AccessPoint(config-subif) encapsulation dot1Q 30
AccessPoint(config-subif) bridge-group 30
AccessPoint(config-subif) exit

참고: 이 문서에서는 SSID Admin 및 Guest에 대해 열린 인증을 사용합니다.인증 유형은 AP에 대해 구성한 SSID에 연결됩니다.AP에서 서로 다른 인증 유형을 구성하는 방법에 대한 자세한 내용은 인증 유형 구성을 참조하십시오.

Catalyst 스위치 구성

다음 단계는 AP와 라우터를 유선 네트워크에 연결할 스위치 포트를 구성하는 것입니다.이 포트는 무선 네트워크의 모든 VLAN에서 오는 트래픽을 전달하므로 AP와 라우터에 연결되는 스위치 포트를 트렁크 포트로 구성해야 합니다.이 예에서 VLAN은 VLAN 20, VLAN 30 및 기본 VLAN 2입니다. AP와 라우터에 연결되는 스위치 포트를 구성할 때 구성하는 기본 VLAN이 AP와 라우터의 기본 VLAN과 일치하는지 확인합니다.그렇지 않으면 프레임이 삭제됩니다.스위치에서 트렁크 포트를 구성하려면 스위치의 CLI에서 다음 명령을 실행합니다.

참고: 이 문서에서는 Catalyst 2950 스위치를 사용합니다.스위치 포트의 구성은 사용하는 스위치 모델에 따라 달라질 수 있습니다.다이어그램에 나와 있는 것처럼 interface fstethernet 0/5는 라우터에 연결되고 인터페이스 패킷 0/10은 액세스 포인트에 연결됩니다.

Switch#configure terminal 
Switch<config>#interface fastethernet 0/5

!--- Enter the interface mode for Fast Ethernet 0/5.

Switch<config-if>#switchport mode trunk 

!--- Configure the switch port mode to trunk mode.

Switch<config-if>#switchport trunk encapsulation dot1q

!--- Configure the encapsulation on the switch port to dot1q.

Switch<config-if>#switchport trunk native vlan 2

!--- Configure the native VLAN as VLAN 2.

Switch<config-if>#switchport trunk allowed vlan add 2,20,30

!--- Configure the list of VLANs that are allowed on the trunk port.

Switch<config-if>#switchport nonegotiate


Switch#configure terminal 
Switch<config>#interface fastethernet 0/10

!--- Enter the interface mode for Fast Ethernet 0/10

Switch<config-if>#switchport mode trunk 

!--- Configure the switch port mode to trunk mode.

Switch<config-if>#switchport trunk encapsulation dot1q

!--- Configure the encapsulation on the switch port to dot1q.

Switch<config-if>#switchport trunk native vlan 2

!--- Configure the native VLAN as VLAN 2.

Switch<config-if>#switchport trunk allowed vlan add 2,20,30

!--- Configure the list of VLANs that are allowed on the trunk port.

Switch<config-if>#switchport nonegotiate

참고: Cisco IOS 소프트웨어 기반 Aironet 무선 장비는 DTP(Dynamic Trunking Protocol)를 지원하지 않습니다. 따라서 스위치는 DTP를 협상하지 않아야 합니다.

라우터 구성

라우터는 VLAN 20 및 VLAN 30의 무선 클라이언트에 대한 DHCP 서버로 구성됩니다. 라우터에는 각 VLAN 2, 20 및 30에 대해 하나씩 세 개의 하위 인터페이스가 있으므로 각 VLAN 서브넷의 클라이언트에 IP 주소를 할당하고 VLAN 간 라우팅을 수행할 수 있습니다.

Router#configure terminal
Router<config>#interface fastethernet 0/0.2

!--- Configures a Sub-interface .2 on fastethernet 0/0

Router<config-subif>#encapsulation dot1q 2 native 

!--- configures the encapsulation as dot1q and assigns VLAN 2 to the sub-interface This command also makes VLAN 2 as the Native VLAN. Here number 2 is the VLAN-id.

Router<config-subif>#ip address 172.16.1.1 255.255.255.0

!--- Assign ip address from Native VLAN 2 subnet - 172.16.1.0 /24 to the sub-interface

Router<config-subif>#exit
Router<config>#interface fastethernet 0/0.20

!--- Configures a Sub-interface .20 on fastethernet 0/0

Router<config-subif>#encapsulation dot1q 20 

!--- configures the encapsulation as dot1q and assigns VLAN 20 to the sub-interface Here number 20 is the VLAN-id.

Router<config-subif>#ip address 172.16.2.1 255.255.255.0

!--- Assign ip address from VLAN 20 subnet - 172.16.2.0 /24 to the sub-interface 

Router<config-subif>#exit
Router<config>#interface fastethernet 0/0.30

!--- Configures a Sub-interface .30 on fastethernet 0/0

Router<config-subif>#encapsulation dot1q 30 

!--- configures the encapsulation as dot1q and assigns VLAN 30 to the sub-interface Here number 30 is the VLAN-id.

Router<config-subif>#ip address 172.16.3.1 255.255.255.0

!--- Assign ip address from VLAN 30 subnet - 172.16.3.0 /24

Router<config-subif>#exit


DHCP Configuration starts here

Router<config>#ip dhcp excluded-address 172.16.2.1
Router<config>#ip dhcp excluded-address 172.16.3.1

!--- excluded-address command is used to exclude the specified ip addresses from the DHCP pool. In this case router's sub-interface addresses are excluded.

Router<config>#ip dhcp pool pool1

!--- Creates a DHCP pool with a name pool1 and enters the DHCP config mode

router<dhcp-config>#network 172.16.2.0 /24

!--- From this pool Clients are assigned ip addresses from 172.16.2.0 /24 Subnet i.e. from 172.16.2.2 - 172.16.2.254

router<dhcp-config>#default-router 172.16.2.1

!--- Default-gateway assigned to the client from this pool is 172.16.2.1 . Default-router is nothing but default-gateway

Router<config>#ip dhcp pool pool2

!--- Creates a DHCP pool with a name pool2 and enters the DHCP config mode

router<dhcp-config>#network 172.16.3.0 /24

!--- From this pool Clients are assigned ip addresses from 172.16.3.0 /24 Subnet i.e. from 172.16.3.2 - 172.16.3.254

router<dhcp-config>#default-router 172.16.3.1

!--- Default-gateway assigned to the client from this pool is 172.16.3.1 .

다음을 확인합니다.

이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.

컨피그레이션이 예상대로 작동하는지 확인할 수 있습니다.SSID 관리자로 구성된 무선 클라이언트(관리자 사용자)는 VLAN 20에 연결되어야 합니다. 동일한 사용자가 동일한 VLAN에 있는 유선 네트워크의 관리자 사용자에게 연결할 수 있어야 합니다.확인하려면 관리자 사용자의 무선 클라이언트 프로파일을 활성화합니다.

참고: 이 문서에서는 프로파일을 설정하기 위해 무선 클라이언트를 구성하는 방법에 대해 설명하지 않습니다.무선 클라이언트 어댑터를 구성하는 방법에 대한 자세한 내용은 클라이언트 어댑터 구성을 참조하십시오.

이 예제 창은 무선 클라이언트가 AP에 연결되어 있음을 보여줍니다.

AP의 show dot11 associations 명령도 클라이언트가 VLAN 10에 연결되었는지 확인합니다.

참고: Output Interpreter Tool(등록된 고객만 해당)(OIT)은 특정 show 명령을 지원합니다.OIT를 사용하여 show 명령 출력의 분석을 봅니다.

AccessPoint#show dot11 associations

802.11 Client Stations on Dot11Radio0:

SSID [Admin] :

MAC Address    IP address      Device        Name            Parent         State
0040.96ac.e657 172.16.2.50     CB21AG/PI21AG Admin User      self           Assoc

AP에 구성된 VLAN을 표시하려면 AP에서 show vlan 명령을 실행할 수 있습니다.예를 들면 다음과 같습니다.

AccessPoint#show vlans

Virtual LAN ID:  2 (IEEE 802.1Q Encapsulation)

   vLAN Trunk Interfaces:  Dot11Radio0.2
FastEthernet0.2

This is configured as native Vlan for the following interface(s) :
Dot11Radio0
FastEthernet0

   Protocols Configured:   Address:              Received:        Transmitted:
        Bridging        Bridge Group 1               1380                 712
        Other                                          0                  63

   0 packets, 0 bytes input
   733 packets, 50641 bytes output
        Bridging        Bridge Group 1               1380                 712
        Other                                          0                  63

   1381 packets, 98016 bytes input
   42 packets, 12517 bytes output

Virtual LAN ID:  20 (IEEE 802.1Q Encapsulation)

   vLAN Trunk Interfaces:  Dot11Radio0.20
FastEthernet0.20

   Protocols Configured:   Address:              Received:        Transmitted:
        Bridging        Bridge Group 20               798                 622
        Other                                          0                  19

   247 packets, 25608 bytes input
   495 packets, 43585 bytes output
        Bridging        Bridge Group 20               798                 622
        Other                                          0                  19

   552 packets, 37536 bytes input
   148 packets, 21660 bytes output

Virtual LAN ID:  30 (IEEE 802.1Q Encapsulation)

   vLAN Trunk Interfaces:  Dot11Radio0.30
FastEthernet0.30

   Protocols Configured:   Address:              Received:        Transmitted:
        Bridging        Bridge Group 30               693                 609
        Other                                          0                  19

   106 packets, 13373 bytes input
   517 packets, 48029 bytes output
        Bridging        Bridge Group 30               693                 609
        Other                                          0                  19

   605 packets, 47531 bytes input
   112 packets, 15749 bytes output

이제 무선 관리자 사용자가 동일한 VLAN에 대해 구성된 유선 측에서 관리자 사용자에게 연결할 수 있는지 확인할 수 있습니다.무선 클라이언트에서 ping 명령을 실행합니다.예를 들면 다음과 같습니다.

D:\>ping 172.16.2.60

Pinging 172.16.2.60 with 32 bytes of data:

Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255

Ping statistics for 172.16.2.60:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  0ms, Average =  0ms

마찬가지로 게스트 사용자가 VLAN 30에 연결되었는지 확인할 수 있습니다. 유선의 웹 서버에 대한 연결을 테스트하기 위해 게스트 무선 클라이언트에서 ping 명령을 실행할 수 있습니다.예를 들면 다음과 같습니다.

D:\>ping 172.16.3.60

Pinging 172.16.3.60 with 32 bytes of data:

Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255

Ping statistics for 172.16.3.60:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum =  0ms, Average =  0ms

문제 해결

이 섹션에서는 컨피그레이션 문제를 해결할 수 있습니다.

트러블슈팅 절차

컨피그레이션 문제를 해결하려면 다음 지침을 따르십시오.

스위치 포트에 구성되고 AP에 연결된 네이티브 VLAN이 AP의 네이티브 VLAN과 일치하는지 확인합니다.

네이티브 VLAN에 불일치가 있는 경우 스위치를 통한 연결이 발생하지 않습니다.
무선 측에 구성된 모든 VLAN이 트렁크로 구성된 스위치 포트에서 허용되는지 확인합니다.

기본적으로 모든 VLAN은 트렁크 포트를 통해 허용됩니다.
bridge-group 명령이 네이티브 VLAN을 제외한 모든 VLAN에 구성되어 있는지 확인합니다.

기본 VLAN으로 설정한 하위 인터페이스에서 브리지 그룹을 구성할 필요가 없습니다.이 브리지 그룹은 라디오 및 이더넷 인터페이스를 모두 나타내는 BVI 1에 대한 링크를 유지하기 위해 자동으로 기본 하위 인터페이스로 이동합니다.

주의: bridge-group 명령을 구성하면 다음 명령이 자동으로 활성화됩니다.
```
bridge-group 10 subscriber-loop-control
bridge-group 10 block-unknown-source
no bridge-group 10 source-learning
no bridge-group 10 unicast-flooding
bridge-group 10 spanning-disabled
```
이러한 설정은 표준 기본 설정이므로 지시되지 않는 한 변경하지 마십시오.이러한 명령을 제거하면 WLAN이 예상대로 작동하지 않을 수 있습니다.

문제 해결 명령

AP에서 컨피그레이션을 트러블슈팅하기 위해 다음 명령을 사용할 수도 있습니다.