무선 LAN 컨트롤러로 AP 그룹 VLAN 구성
목차
소개
이 문서에서는 WLC(Wireless LAN Controller) 및 LAP(Lightweight Access Point)를 사용하여 AP(Access Point) 그룹 VLAN을 구성하는 방법을 보여 줍니다.
사전 요구 사항
요구 사항
이 구성을 시도하기 전에 다음 요구 사항을 충족해야 합니다.
-
LAP 및 Cisco WLC의 컨피그레이션에 대한 기본 지식
-
LWAPP(Lightweight Access Point Protocol)에 대한 기본 지식
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
-
펌웨어 릴리스 4.0을 실행하는 Cisco 4400 WLC
-
Cisco 1000 Series LAP
-
펌웨어 릴리스 2.6을 실행하는 Cisco 802.11a/b/g Wireless Client Adapter
-
Cisco IOS® 소프트웨어 릴리스 12.4(2)XA를 실행하는 Cisco 2811 라우터
-
Cisco IOS Software 릴리스 12.0(5)WC3b를 실행하는 Cisco 3500 XL Series 스위치 2개
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
표기 규칙
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.
배경 정보
일반적인 구축 시나리오에서 각 WLAN은 WLC당 단일 동적 인터페이스에 매핑되지만 최대 AP 수(100)를 지원하는 4404-100 WLC가 있는 구축 시나리오를 고려합니다. 이제 25명의 사용자가 각 AP에 연결된 시나리오를 가정해 보겠습니다.그러면 단일 VLAN을 공유하는 2,500명의 사용자가 생성됩니다.일부 고객 설계에서는 훨씬 더 작은 서브넷 크기를 요구할 수 있습니다.이를 해결하기 위한 한 가지 방법은 WLAN을 여러 세그먼트로 분할하는 것입니다.WLC의 AP 그룹화 기능을 사용하면 컨트롤러의 여러 VLAN(동적 인터페이스)에서 단일 WLAN을 지원할 수 있습니다.이는 AP 그룹이 특정 동적 인터페이스에 매핑될 때 수행됩니다.AP는 직원 작업 그룹별로 또는 위치별로 논리적으로 그룹화할 수 있습니다.
AP 그룹 VLAN은 범용 WLAN(서비스 세트 식별자[SSID])이 필요하지만, 연결된 물리적 LAP를 통해 WLC에 구성된 서로 다른 인터페이스에 배치되어야 하는 설정에서 사용됩니다.
사이트별 VLAN이라고도 하는 AP 그룹 VLAN은 WLAN에서 일반적으로 제공하는 인터페이스를 재정의하는 Cisco LAP 그룹을 생성하여 WLAN에서 로드 밸런싱을 허용하는 방법입니다.클라이언트가 WLAN에 조인할 때 사용되는 인터페이스는 연결된 LAP에 의해 결정되며, 해당 LAP의 AP 그룹 VLAN 및 WLAN을 조회하여 결정됩니다.
디바이스에 인터페이스를 할당하는 기존의 방법은 SSID 또는 AAA 정책 재지정을 기반으로 합니다.이 경우 클라이언트가 WLAN의 다른 클라이언트에 정보를 브로드캐스트하려는 경우 해당 WLAN의 모든 클라이언트가 해당 WLAN의 정보를 해당 클라이언트에 제공했는지 여부에 관계없이 브로드캐스트를 수신합니다.
AP 그룹 VLANs 기능은 브로드캐스트 도메인을 최소한으로 제한하는 데 사용되는 추가 방법입니다.이는 WLAN을 서로 다른 브로드캐스트 도메인으로 논리적으로 분할하여 수행됩니다.WLAN의 브로드캐스트를 더 작은 LAP 그룹으로 제한합니다.이를 통해 로드 밸런싱 및 대역폭 할당을 보다 효과적으로 관리할 수 있습니다.AP 그룹 VLANs 기능은 모든 WLAN ID에 대한 인터페이스를 나열하는 컨트롤러에 새 테이블을 생성합니다.테이블의 각 항목은 LAP의 그룹을 정의하는 위치 이름을 사용하여 인덱스화됩니다.
참고: AP 그룹은 그룹 경계 전체에서 멀티캐스트 로밍을 허용하지 않습니다.AP 그룹을 사용하면 동일한 컨트롤러의 AP가 동일한 WLAN(SSID)을 다른 VLAN에 매핑할 수 있습니다.클라이언트가 다른 그룹의 AP 간에 로밍하는 경우 멀티캐스트 세션이 현재 지원되지 않으므로 제대로 작동하지 않습니다.현재 WLC는 WLAN에 구성된 VLAN에 대해서만 멀티캐스트를 전달하며 AP 그룹에 구성된 VLAN을 고려하지 않습니다.
이 목록은 WLC에서 구성할 수 있는 최대 AP 그룹 수를 보여줍니다.
-
Cisco 2100 Series Controller 및 컨트롤러 네트워크 모듈용 최대 50개의 액세스 포인트 그룹
-
Cisco 4400 Series 컨트롤러, Cisco WiSM 및 Cisco 3750G Wireless LAN Controller Switch에 대해 최대 300개의 액세스 포인트 그룹
-
Cisco 5500 Series 컨트롤러용 최대 500개의 액세스 포인트 그룹
이 문서에서는 이 기능의 사용을 보여주는 구성 예와 사이트별 VLAN을 구성하는 방법에 대해 설명합니다.
네트워크 설정
이 네트워크 설정에는 두 개의 개별 건물이 있습니다.건물 1채에 학생 입소, 건물 2채각 빌딩에는 동일한 WLC와 통신하지만 학교라는 WLAN(SSID)을 하나만 알리는 자체 LAP 집합이 있습니다.건물 1에는 5개의 LAP와 5개의 LAP가 있다.
빌딩 1의 LAP는 Student-VLAN이라는 동적 인터페이스에 연결된 AP 그룹 학생에 그룹화해야 합니다.빌딩 2의 LAP는 Staff-VLAN이라는 동적 인터페이스에 연결된 AP 그룹 직원으로 그룹화해야 합니다.WLC에 이 구성이 되어 빌딩 1의 LAP에 연결된 모든 클라이언트는 Student-VLAN 인터페이스에 배치되며 Students AP 그룹에 대해 구성된 DHCP 범위에서 IP 주소가 할당됩니다.건물 2의 LAP에 연결된 클라이언트는 직원-VLAN 인터페이스에 배치되며, 모든 클라이언트가 학교라는 동일한 WLAN(SSID)에 연결되더라도 직원 AP 그룹에 대해 구성된 DHCP 범위에서 IP 주소가 할당됩니다.
이 예에서는 이 설정에 대해 WLC 및 LAP를 구성하는 방법을 보여줍니다.다음 매개변수는 이 문서의 네트워크 설정에 사용됩니다.
AP Group 1: AP Group Name : Students Dynamic Interface : Student-VLAN DHCP server: 172.16.1.30 (Internal DHCP Server on the WLC) DHCP Scope: 10.0.0.2-10.0.0.15 Authentication : none SSID: School
AP Group 2: AP Group Name : Staff Dynamic Interface : Staff-VLAN DHCP server: 172.16.1.30 (Internal DHCP Server on the WLC) DHCP Scope: 192.168.1.2-192.168.1.15 Authentication : none SSID: School
구성
AP 그룹 VLAN 기능을 구성하기 전에 기본 작업을 위해 WLC를 구성하고 LAP를 WLC에 등록해야 합니다.이 문서에서는 WLC가 기본 작동을 위해 구성되었으며 LAP가 WLC에 등록되었다고 가정합니다.LAP의 기본 작동을 위해 WLC를 설정하려는 새 사용자는 WLC(Wireless LAN Controller)에 대한 LAP(Lightweight AP) 등록을 참조하십시오.
LAP가 WLC에 등록되면 AP 그룹 VLAN 기능을 구성할 수 있습니다.
이 설정에 대한 LAP 및 WLC를 구성하려면 다음 작업을 완료합니다.
네트워크 다이어그램
학생-VLAN 및 직원-VLAN 동적 인터페이스 구성
WLC에서 동적 인터페이스를 생성하려면 다음 단계를 완료합니다.
-
WLC GUI로 이동하여 Controller(컨트롤러) > Interfaces(인터페이스)를 선택합니다.
Interfaces 창이 나타납니다.이 창에는 컨트롤러에 구성된 인터페이스가 나열됩니다.여기에는 다음 인터페이스가 포함됩니다.
-
관리 인터페이스
-
ap-manager 인터페이스
-
가상 인터페이스
-
서비스 포트 인터페이스
-
사용자 정의 동적 인터페이스
새 동적 인터페이스를 생성하려면 New(새로 만들기)를 클릭합니다.
-
-
Interfaces(인터페이스) > New(새로 만들기) 창에서 Interface Name(인터페이스 이름) 및 VLAN ID를 입력합니다.그런 다음 Apply를 클릭합니다.
이 예에서 동적 인터페이스의 이름은 Student-VLAN이고 VLAN ID는 10입니다.
-
Interfaces(인터페이스) > Edit(편집) 창에 동적 인터페이스의 IP 주소, 서브넷 마스크 및 기본 게이트웨이를 입력합니다.WLC의 물리적 포트에 할당하고 DHCP 서버의 IP 주소를 입력합니다.그런 다음 Apply를 클릭합니다.
이 예에서는 다음 매개변수가 Student-VLAN 인터페이스에 사용됩니다.
Student-VLAN IP address: 10.0.0.1 Netmask: 255.0.0.0 Default gateway: 10.0.0.50 Port on WLC: 1 DHCP server: 172.16.1.30 (Internal DHCP server on the WLC)
-
Staff-VLAN에 대한 동적 인터페이스를 생성하려면 1~3단계를 반복합니다.
이 예에서는 Staff-VLAN 인터페이스에 다음 매개변수를 사용합니다.
Staff-VLAN IP address: 192.168.1.1 Netmask: 255.255.255.0 Default gateway: 192.168.1.50 Port on WLC: 1 DHCP server: 172.16.1.30 (Internal DHCP server on the WLC)
두 개의 동적 인터페이스가 생성되면 Interfaces(인터페이스) 창에 컨트롤러에 구성된 인터페이스 목록이 요약됩니다.
다음 단계는 WLC에서 AP 그룹을 구성하는 것입니다.
학생 및 직원에 대한 AP 그룹 생성
WLC에서 학생 및 직원에 대한 AP 그룹을 생성하려면 다음 단계를 완료합니다.
-
컨트롤러 GUI로 이동하여 WLANs(WLAN) > AP Groups VLANs(AP 그룹 VLAN)을 선택합니다.
AP Group VLANs 페이지가 나타납니다.
-
AP Group VLANs Feature Enable(AP 그룹 VLAN 기능 활성화)을 선택한 다음 Apply(적용)를 클릭하여 AP 그룹 VLAN 기능을 활성화합니다.
-
AP Group Name(AP 그룹 이름) 및 Description(설명)을 입력한 다음 Create New AP-Group(새 AP 그룹 생성)을 클릭하여 새 AP 그룹을 생성합니다.
이 설정에서는 두 개의 AP 그룹이 생성됩니다.한 AP 그룹은 건물 1의 LAP에 대한 것으로(학생이 WLAN 네트워크에 액세스하는 경우), Students로 명명됩니다.두 번째 AP 그룹은 건물 2의 LAP에 대한 것으로(직원이 WLAN에 액세스하는 경우), 직원으로 명명됩니다.
참고: CLI에서 AP 그룹 VLAN 기능을 활성화하려면 다음 명령을 실행합니다.
config location enable/disable
참고: CLI를 사용하여 위치 문자열(AP 그룹 이름)을 정의하려면 다음 명령을 실행합니다.
config location add -
Students(학생)라는 새 AP 그룹의 경우 Detail(세부)을 클릭합니다.WLAN SSID 풀다운 메뉴 및 이 AP 그룹을 매핑할 인터페이스에서 적절한 SSID를 선택합니다.
AP 그룹 학생의 경우 SSID School을 선택하고 Students-VLAN 인터페이스에 매핑합니다.Add Interface Mapping을 클릭합니다.다음 스크린샷은 예를 보여줍니다.
-
Apply(적용)를 클릭합니다.
참고: CLI를 통해 인터페이스를 AP 그룹에 매핑하려면 다음 명령을 실행합니다.
config location interface-mapping add -
Staff라는 두 번째 AP 그룹을 생성하려면 3~5단계를 반복합니다.
AP 그룹 직원의 경우 SSID School을 선택하고 인터페이스 Staff-VLAN에 매핑합니다.다음 스크린샷은 예를 보여줍니다.
Wireless LAN Controller Version 4.1.181.0부터 CLI로 AP 그룹을 구성하는 명령이 변경되었습니다.버전 4.1.181.0에서는 CLI를 사용하여 새 AP 그룹을 구성하는 데 사용되는 명령입니다.
AP 그룹을 활성화하려면 다음을 사용합니다.
config wlan apgroup add <apgroup name> <description>
기존 그룹을 삭제하려면 다음을 사용합니다.
config wlan apgroup delete <apgroup name>
AP 그룹에 설명을 추가하려면 다음을 사용합니다.
config wlan apgroup description <apgroup name> <description>
새 AP 그룹/WLAN/인터페이스 매핑을 생성하려면 다음을 사용합니다.
config wlan apgroup interface-mapping add <apgroup name> <WLAN Id> <Interface Name>
적절한 AP 그룹에 LAP 할당
마지막 작업은 적절한 AP 그룹에 LAP를 할당하는 것입니다.건물 1에는 5개의 LAP와 건물 2에는 5개의 LAP가 있습니다. 건물 1의 LAP는 학생 AP 그룹에, 건물 2의 LAP는 직원 AP 그룹에 할당합니다.
이 작업을 수행하려면 다음 단계를 완료하십시오.
-
컨트롤러 GUI로 이동하여 Wireless(무선) > Access Points(액세스 포인트) > All APs(모든 AP)를 선택합니다.
All APs(모든 AP) 페이지에는 현재 컨트롤러에 등록된 LAP가 나열됩니다.
-
AP 그룹에 LAP를 할당하려면 LAP의 Detail 링크를 클릭합니다.
선택한 LAP의 All APs(모든 AP) > Detail(세부 정보) 페이지의 AP Group name(AP 그룹 이름) 풀다운 메뉴에서 적절한 AP 그룹을 선택합니다.
이 예에서는 Building 1의 LAP 중 하나가 Students AP 그룹에 할당됩니다.Apply(적용)를 클릭합니다.
참고: AP 그룹을 LAP에 할당하려면 컨트롤러 CLI에서 이 명령을 실행합니다.
config ap group-name -
AP 그룹 교육생 및 AP 그룹 직원에게 매핑해야 하는 5개의 LAP에 대해 1단계와 2단계를 반복합니다.
다음은 AP 그룹 직원에 매핑된 LAP 중 하나에 대한 스크린샷입니다.
이러한 단계를 완료하면 Staff(직원)와 Students(학생)라는 두 개의 AP 그룹을 구성하고 Building 1의 LAP 5개를 AP 그룹 Students(AP 그룹 학생)에 매핑하고 Building 2의 LAP 5개를 AP 그룹 직원에게 매핑했습니다.이제 빌딩 1의 클라이언트가 SSID 학교를 사용하여 WLAN에 연결되면 AP 그룹 교육생에 매핑되고 동적 인터페이스 Student-VLAN에 대해 정의된 DHCP 범위에서 IP 주소가 할당됩니다.마찬가지로, 건물 2의 클라이언트가 SSID 학교를 사용하여 WLAN에 연결되면 AP 그룹 직원에 매핑되고 직원-VLAN 동적 인터페이스에 대해 정의된 DHCP 범위에서 IP 주소가 할당됩니다.
참고: AP가 AP에 조인하고 AP 그룹을 정의하도록 두 개의 컨트롤러를 구성하면 클라이언트가 서로 다른 컨트롤러 간에 하나의 AP 그룹에서 다른 AP 그룹으로 로밍될 때 SSID는 서로 다른 AP 그룹의 다른 인터페이스에 매핑됩니다.현재 멀티캐스트 구현으로 인해 클라이언트가 멀티캐스트 패킷을 수신할 수 없습니다.멀티캐스트 모드는 AP 그룹, 동적 VLAN 할당 등을 포함하는 인터페이스 재정의 기능에서는 작동하지 않습니다.
다음을 확인합니다.
컨피그레이션을 확인하려면 show location summary 명령을 사용할 수 있습니다.이제 DDoS 공격의 실제 사례를 살펴보겠습니다.
(Cisco Controller) >show location summary
Status........................................... enabled
Site Name....................................... Staff
Site Description................................. AP Group - Staff in Building2
WLAN......................................... 2
Interface Override....................... staff-vlan
Site Name....................................... Students
Site Description................................. AP Group - Students in Building1
WLAN......................................... 1
Interface Override....................... student-vlan
버전 4.1.181.0 이상을 실행하는 WLC의 경우 이 명령을 사용하여 AP 그룹 VLAN 컨피그레이션을 확인합니다.
show wlan apgroups
이 설정을 확인하기 위해 이 예에서는 클라이언트가 건물 1의 LAP 중 하나와 연결되었을 때 발생하는 상황을 보여 줍니다. 클라이언트가 건물 1에서 나타나면 SSID School을 사용하여 건물 1의 LAP 중 하나와 연결됩니다.동적 인터페이스 Student-VLAN에 자동으로 매핑되며 Student-VLAN 인터페이스에 대해 정의된 범위에서 IP 주소가 할당됩니다.
클라이언트가 컨트롤러의 LAP1에 처음 연결되면 컨트롤러는 구성된 대로 AP 그룹 VLAN 재정의 정책을 적용합니다.클라이언트가 동일한 컨트롤러의 다른 LAP에 로밍하면 LAP1 AP 그룹 VLAN에서 지정한 정책이 다시 적용됩니다.단일 세션 동안 클라이언트는 단일 컨트롤러의 AP 간에 로밍할 때 VLAN을 변경하지 않으므로 원활한 로밍이 가능합니다.
서로 다른 컨트롤러에 연결된 LAP에서 로밍하면 시스템은 일반 로밍 규칙에 따라 동작합니다.
클라이언트가 두 번째 컨트롤러의 AP와 연결되면 클라이언트는 재정의에서 지정한 인터페이스에 매핑됩니다.AP가 동일한 AP 그룹의 멤버인 경우 레이어 2 모빌리티 이벤트가 발생합니다.
AP가 다른 AP 그룹의 멤버인 경우 레이어 3 모빌리티 이벤트가 발생합니다.VLAN은 WLAN의 구성된 인터페이스 대신 모빌리티 이벤트를 확인하는 데 사용됩니다.
WLC 기반 WLAN에서 로밍이 발생하는 방법에 대한 자세한 내용은 모빌리티 그룹 구성의 모빌리티 개요 섹션을 참조하십시오.
문제 해결
이러한 debug 명령을 사용하여 컨피그레이션 문제를 해결할 수 있습니다.
-
debug dot11 mobile enable - 802.11 모바일 이벤트의 디버그를 구성하려면 이 명령을 사용합니다.
모빌리티를 테스트하는 경우 다음 디버그도 사용할 수 있습니다.
-
debug mobility handdoff enable - 모빌리티 옵션을 디버깅하려면 이 명령을 사용합니다.
-
debug pem {packet/events} - 액세스 정책 관리자 디버그 옵션을 구성하려면 이 명령을 사용합니다.
-
정책 관리자 이벤트의 디버그를 구성하려면 패킷을 입력합니다.
-
정책 관리자 상태 시스템의 디버그를 구성하는 이벤트를 입력합니다.
-
관련 정보
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
1.0 |
21-Jan-2008 |
최초 릴리스 |
피드백