Exemplo de configuração de pontos de acesso VLANs on Aironet
Contents
Introduction
Este documento fornece um exemplo de configuração que mostra como configurar as VLANs nos Pontos de Acesso (APs) do Cisco Aironet com o uso da interface de linha de comando (CLI).
Prerequisites
Requirements
Certifique-se de atender a estes requisitos antes de tentar esta configuração:
-
Conhecimento da configuração básica de APs Aironet
-
Conhecimento da configuração do adaptador cliente Aironet 802.11 a/b/g com o Aironet Desktop Utility
-
Conhecimento básico da configuração de switches Cisco Catalyst e roteadores Cisco
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
-
AP Aironet 1240AG Series que executa o CISCO IOS® Softwareversão 12.4(3g)JA1
-
Adaptador cliente Aironet 802.11a/b/g
-
Aironet Desktop Utility que executa o firmware versão 2.5
-
Switch Catalyst 2950 que executa o software Cisco IOS versão 12.1(19)EA1
-
Roteador ISR 2800 que executa o software Cisco IOS versão 12.4(11)T
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Conventions
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Diagrama de Rede
Este documento utiliza a seguinte configuração de rede.
Um AP Aironet Series 1200 tem três VLANs — VLAN 2, VLAN 20 e VLAN 30. A configuração neste documento usa a VLAN 2 como a VLAN nativa, a VLAN 20 para o departamento administrativo (admin) e a VLAN 30 para usuários convidados. Os usuários sem fio que pertencem ao departamento de admin devem se conectar ao AP e aos usuários do departamento admin na rede com fio (na VLAN 20). Os usuários de convidado sem fio devem conseguir se conectar a um servidor da Web que esteja no segmento com fio na VLAN 30. Um switch Catalyst 2950 conecta o AP à rede com fio. Um roteador ISR 2800 se conecta ao mesmo switch e atua como um servidor DHCP para clientes sem fio que pertencem à VLAN 20 e à VLAN 30. O roteador precisa atribuir endereços IP aos clientes da respectiva sub-rede. Você deve configurar o AP, o switch Catalyst e o roteador para uma implementação desta configuração.
Abaixo, está a lista de endereços IP usados para os dispositivos no documento. Todos os endereços IP usam a máscara de sub-rede /24
-
O endereço IP do AP Bridge-Group Virtual Interface (BVI) (VLAN 2) — 172.16.1.20
-
O cliente sem fio (admin de SSID) que se conecta à VLAN 20 recebe um endereço IP do servidor DHCP do roteador da sub-rede 172.16.2.0
-
O cliente sem fio (convidado de SSID) que se conecta à VLAN 30 recebe um endereço IP do servidor DHCP do roteador da sub-rede 172.16.3.0
-
Usuário admin na rede com fio na VLAN 20 — 172.16.2.60 (IP estático)
-
Servidor da Web na VLAN 30 — 172.16.3.60 (IP estático)
-
Subinterface do roteador na VLAN 2 — 172.16.1.1
-
Subinterface do roteador na VLAN 20 — 172.16.2.1
-
Subinterface do roteador na VLAN 30 — 172.16.3.1
Configurar
Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.
Nota:Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados neste documento.
Para configurar o AP para se conectar a uma VLAN específica, você deve configurar o identificador do conjunto de serviços (SSID) para reconhecer a VLAN. Uma ID de VLAN ou um nome identifica uma VLAN. Portanto, se você configurar o SSID em um AP para reconhecer uma ID ou um nome de VLAN específico, você pode estabelecer uma conexão com a VLAN. Após a conexão, os clientes sem fio que se conectam ao AP com o uso do SSID específico são atribuídos a essa VLAN. Como você pode configurar até 16 SSIDs em um AP, poderá criar 16 VLANs em um AP. Para configurar as VLANs nos APs e estabelecer a conectividade, você deve concluir estas etapas:
Configure a VLAN nativa no AP
A VLAN, à qual o Access Point propriamente dito e outros dispositivos de infraestrutura, como o switch, aos quais o Access Point se conecta, é chamada de VLAN nativa. A VLAN nativa do Access Point normalmente é diferente de outras VLANs configuradas no Access Point. É a interface BVI, que é usada para o gerenciamento do Access Point que recebe um endereço IP na sub-rede de VLAN nativa. Por exemplo, o tráfego de gerenciamento enviado para e pelo Access Point assume a VLAN nativa e não está marcado. Todo o tráfego não marcado recebido em uma porta de tronco IEEE 802.1 Q (dot1q) é encaminhado com a VLAN nativa configurada para a porta. Se um pacote tiver uma ID de VLAN igual à ID de VLAN nativa da porta de envio, o switch enviará o pacote sem marcar. Caso contrário, o switch envia o pacote marcado.
Para configurar uma VLAN nativa em um AP, emita esses comandos no modo de configuração global no AP:
AccessPoint<config>#interface fastethernet 0.2 AccessPoint<config-subif>#encapsulation dot1q 2 native !--- Configure the encapsulation as dot1q and assign VLAN 2 as the native VLAN !--- on the Fast Ethernet interface. AccessPoint<config-subif>#exit AccessPoint<config>#interface dot11radio 0.2 AccessPoint<config-subif>#encapsulation dot1q 2 native !--- Configure the encapsulation as dot1q and assign VLAN 2 as the native VLAN !--- on the radio interface. AccessPoint<config-subif>#end
Configure as VLANs para usuários convidados e usuários administrativos no AP
Aqui, você precisa configurar duas VLANs, uma para os usuários convidados e outra para os usuários do departamento de admin. Você também precisa associar o SSID às VLANs específicas. Este exemplo configura:
-
A VLAN 20 para o departamento de admin e usa o Admin SSID
-
VLAN 30 para usuários convidados e usa o Convidado SSID
Para configurar essas VLANs em um AP, emita esses comandos no modo de configuração global:
AccessPoint#configure terminal !--- Enter global configuration mode. AccessPoint(config)#interface dot11radio 0 !--- Enter radio interface configuration mode. AccessPoint(config-if)#ssid Admin !--- Configure the SSID "Admin". AccessPoint(config-if-ssid)#vlan 20 !--- Assign VLAN 20 to the SSID. AccessPoint(config-if-ssid)#authentication open !--- Configure open authentication for the SSID. AccessPoint(config-if-ssid)#end
AccessPoint(config) interface fastethernet 0.20 !--- Enter subinterface mode on the Fast Ethernet interface. AccessPoint(config-subif) encapsulation dot1Q 20 !--- Set the encapsulation as dot1q for VLAN 20. AccessPoint(config-subif) bridge-group 20 !--- Assign the subinterface to bridge group 20. AccessPoint(config-subif) exit
AccessPoint(config) interface dot11radio 0.20 !--- Enter subinterface mode on the radio interface. AccessPoint(config-subif) encapsulation dot1Q 20 !--- Set the encapsulation as dot1q for VLAN 20. AccessPoint(config-subif) bridge-group 20 !--- Assign the subinterface to bridge group 20. AccessPoint(config-subif) exit
Repita o mesmo procedimento para configurar a VLAN 30 para os usuários admin:
AccessPoint#configure terminal AccessPoint(config)#interface dot11radio 0 AccessPoint(config-if)#ssid Guest AccessPoint(config-if-ssid)#vlan 30 AccessPoint(config-if-ssid)#authentication open AccessPoint(config-if-ssid)#end
AccessPoint(config) interface fastethernet 0.30 AccessPoint(config-subif) encapsulation dot1Q 30 AccessPoint(config-subif) bridge-group 30 AccessPoint(config-subif) exit
AccessPoint(config) interface dot11radio 0.30 AccessPoint(config-subif) encapsulation dot1Q 30 AccessPoint(config-subif) bridge-group 30 AccessPoint(config-subif) exit
Observação: este documento usa autenticação aberta para SSIDs Admin e Guest. Os tipos de autenticação estão vinculados aos SSIDs configurados para o AP. Para obter informações sobre os diferentes mecanismos de autenticação compatíveis, consulte Configuração dos tipos de autenticação.
Configure o switch Catalyst
A próxima etapa é configurar as portas do switch que conectarão os APs e o roteador à rede com fio. Você deve configurar a porta do switch que se conecta ao AP e ao roteador como uma porta de tronco, pois ela transporta o tráfego de todas as VLANs na rede sem fio. Neste exemplo, as VLANs são VLAN 20, VLAN 30 e a VLAN 2 nativa. Ao configurar a porta do switch, que se conecta ao AP e ao roteador, verifique se as VLANs nativas que você configurou correspondem à VLAN nativa no AP e no roteador. Caso contrário, os quadros serão ignorados. Para configurar a porta de tronco no switch, emita esses comandos da CLI no switch:
Observação: este documento usa o switch Catalyst 2950. As configurações na porta do switch podem variar, dependendo do modelo de switch que você usa. Como mostrado no diagrama, a interface fastethernet 0/5 se conecta ao roteador e a interface fastethernet 0/10 se conecta ao Access Point.
Switch#configure terminal Switch<config>#interface fastethernet 0/5 !--- Enter the interface mode for Fast Ethernet 0/5. Switch<config-if>#switchport mode trunk !--- Configure the switch port mode to trunk mode. Switch<config-if>#switchport trunk encapsulation dot1q !--- Configure the encapsulation on the switch port to dot1q. Switch<config-if>#switchport trunk native vlan 2 !--- Configure the native VLAN as VLAN 2. Switch<config-if>#switchport trunk allowed vlan add 2,20,30 !--- Configure the list of VLANs that are allowed on the trunk port. Switch<config-if>#switchport nonegotiate Switch#configure terminal Switch<config>#interface fastethernet 0/10 !--- Enter the interface mode for Fast Ethernet 0/10 Switch<config-if>#switchport mode trunk !--- Configure the switch port mode to trunk mode. Switch<config-if>#switchport trunk encapsulation dot1q !--- Configure the encapsulation on the switch port to dot1q. Switch<config-if>#switchport trunk native vlan 2 !--- Configure the native VLAN as VLAN 2. Switch<config-if>#switchport trunk allowed vlan add 2,20,30 !--- Configure the list of VLANs that are allowed on the trunk port. Switch<config-if>#switchport nonegotiate
Observação: o equipamento sem fio Aironet baseado no software Cisco IOS não suporta Dynamic Trunking Protocol (DTP). Portanto, o switch não deve tentar negociar o DTP.
Configurar o roteador
O roteador está configurado como o servidor DHCP para os clientes sem fio na VLAN 20 e na VLAN 30. O roteador tem três subinterfaces, uma para cada VLAN 2, 20 e 30, para que ele possa atribuir endereços IP aos clientes na sub-rede de sua respectiva VLAN e executar o roteamento entre VLANs.
Router#configure terminal Router<config>#interface fastethernet 0/0.2 !--- Configures a Sub-interface .2 on fastethernet 0/0 Router<config-subif>#encapsulation dot1q 2 native !--- configures the encapsulation as dot1q and assigns VLAN 2 to the sub-interface This command also makes VLAN 2 as the Native VLAN. Here number 2 is the VLAN-id. Router<config-subif>#ip address 172.16.1.1 255.255.255.0 !--- Assign ip address from Native VLAN 2 subnet - 172.16.1.0 /24 to the sub-interface Router<config-subif>#exit Router<config>#interface fastethernet 0/0.20 !--- Configures a Sub-interface .20 on fastethernet 0/0 Router<config-subif>#encapsulation dot1q 20 !--- configures the encapsulation as dot1q and assigns VLAN 20 to the sub-interface Here number 20 is the VLAN-id. Router<config-subif>#ip address 172.16.2.1 255.255.255.0 !--- Assign ip address from VLAN 20 subnet - 172.16.2.0 /24 to the sub-interface Router<config-subif>#exit Router<config>#interface fastethernet 0/0.30 !--- Configures a Sub-interface .30 on fastethernet 0/0 Router<config-subif>#encapsulation dot1q 30 !--- configures the encapsulation as dot1q and assigns VLAN 30 to the sub-interface Here number 30 is the VLAN-id. Router<config-subif>#ip address 172.16.3.1 255.255.255.0 !--- Assign ip address from VLAN 30 subnet - 172.16.3.0 /24 Router<config-subif>#exit DHCP Configuration starts here Router<config>#ip dhcp excluded-address 172.16.2.1 Router<config>#ip dhcp excluded-address 172.16.3.1 !--- excluded-address command is used to exclude the specified ip addresses from the DHCP pool. In this case router's sub-interface addresses are excluded. Router<config>#ip dhcp pool pool1 !--- Creates a DHCP pool with a name pool1 and enters the DHCP config mode router<dhcp-config>#network 172.16.2.0 /24 !--- From this pool Clients are assigned ip addresses from 172.16.2.0 /24 Subnet i.e. from 172.16.2.2 - 172.16.2.254 router<dhcp-config>#default-router 172.16.2.1 !--- Default-gateway assigned to the client from this pool is 172.16.2.1 . Default-router is nothing but default-gateway Router<config>#ip dhcp pool pool2 !--- Creates a DHCP pool with a name pool2 and enters the DHCP config mode router<dhcp-config>#network 172.16.3.0 /24 !--- From this pool Clients are assigned ip addresses from 172.16.3.0 /24 Subnet i.e. from 172.16.3.2 - 172.16.3.254 router<dhcp-config>#default-router 172.16.3.1 !--- Default-gateway assigned to the client from this pool is 172.16.3.1 .
Verificar
Use esta seção para confirmar se a sua configuração funciona corretamente.
Você pode verificar se a configuração funciona conforme o esperado. O cliente sem fio (usuário admin) que está configurado com Admindo SSID deve ser conectado à VLAN 20. O mesmo usuário deve conseguir se conectar ao usuário admin na rede com fio, que também está na mesma VLAN. Para verificar, ative o perfil do cliente sem fio para o usuário admin.
Observação: este documento não explica como configurar o cliente sem fio para configurar perfis. Para obter informações sobre como configurar o adaptador cliente sem fio, consulte Configuração do adaptador cliente.
Esta janela de exemplo mostra que o cliente sem fio está associado ao AP:
O comando show dot11 associations no AP também verifica se o cliente está conectado à VLAN 10:
Observação: a Output Interpreter Tool (somente clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.
AccessPoint#show dot11 associations 802.11 Client Stations on Dot11Radio0: SSID [Admin] : MAC Address IP address Device Name Parent State 0040.96ac.e657 172.16.2.50 CB21AG/PI21AG Admin User self Assoc
Você pode emitir o comando show vlans no AP para exibir as VLANs configuradas no AP. Aqui está um exemplo:
AccessPoint#show vlans
Virtual LAN ID: 2 (IEEE 802.1Q Encapsulation)
vLAN Trunk Interfaces: Dot11Radio0.2
FastEthernet0.2
This is configured as native Vlan for the following interface(s) :
Dot11Radio0
FastEthernet0
Protocols Configured: Address: Received: Transmitted:
Bridging Bridge Group 1 1380 712
Other 0 63
0 packets, 0 bytes input
733 packets, 50641 bytes output
Bridging Bridge Group 1 1380 712
Other 0 63
1381 packets, 98016 bytes input
42 packets, 12517 bytes output
Virtual LAN ID: 20 (IEEE 802.1Q Encapsulation)
vLAN Trunk Interfaces: Dot11Radio0.20
FastEthernet0.20
Protocols Configured: Address: Received: Transmitted:
Bridging Bridge Group 20 798 622
Other 0 19
247 packets, 25608 bytes input
495 packets, 43585 bytes output
Bridging Bridge Group 20 798 622
Other 0 19
552 packets, 37536 bytes input
148 packets, 21660 bytes output
Virtual LAN ID: 30 (IEEE 802.1Q Encapsulation)
vLAN Trunk Interfaces: Dot11Radio0.30
FastEthernet0.30
Protocols Configured: Address: Received: Transmitted:
Bridging Bridge Group 30 693 609
Other 0 19
106 packets, 13373 bytes input
517 packets, 48029 bytes output
Bridging Bridge Group 30 693 609
Other 0 19
605 packets, 47531 bytes input
112 packets, 15749 bytes output
Agora, você pode verificar se o usuário admin sem fio consegue se conectar ao usuário admin no lado com fio, que é configurado para a mesma VLAN. Emita o comando ping no cliente sem fio. Aqui está um exemplo:
D:\>ping 172.16.2.60
Pinging 172.16.2.60 with 32 bytes of data:
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Ping statistics for 172.16.2.60:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Da mesma forma, você pode verificar se os usuários convidados estão conectados à VLAN 30. Você pode emitir o comando ping no cliente sem fio convidado para testar a conectividade com o servidor Web no lado com fio. Aqui está um exemplo:
D:\>ping 172.16.3.60
Pinging 172.16.3.60 with 32 bytes of data:
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Ping statistics for 172.16.3.60:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Troubleshoot
Use esta seção para resolver problemas de configuração.
Procedimento de Troubleshooting
Siga estas instruções para solucionar problemas da sua configuração.
-
Verifique se a VLAN nativa configurada na porta do switch e conectada ao AP corresponde à VLAN nativa do AP.
Se houver uma incompatibilidade na VLAN nativa, não ocorrerá a conectividade pelo switch.
-
Certifique-se de que todas as VLANs configuradas no lado sem fio sejam permitidas na porta do switch configurada como tronco.
Por padrão, todas as VLANs são permitidas pela porta de tronco.
-
Verifique se o comando bridge-group está configurado em todas as VLANs, exceto a VLAN nativa.
Você não precisa configurar um grupo de ponte na subinterface que configurou como a VLAN nativa. Esse grupo de ponte é movido automaticamente para a subinterface nativa a fim de manter o link para BVI 1, que representa as interfaces de rádio e Ethernet.
Cuidado: ao configurar o comando bridge-group, esses comandos são automaticamente ativados:bridge-group 10 subscriber-loop-control bridge-group 10 block-unknown-source no bridge-group 10 source-learning no bridge-group 10 unicast-flooding bridge-group 10 spanning-disabled
Essas são as configurações padrão e você não deve alterá-las, a menos que tenha instruções para isso. Se você remover esses comandos, a WLAN pode não funcionar como esperado.
Cuidado: ao configurar o comando bridge-group, esses comandos são automaticamente ativados:Comandos para Troubleshooting
Use estes comandos para solucionar problemas de sua configuração no AP:
Observação: a Output Interpreter Tool (somente clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.
-
show vlans
-
show vlans dot1q
-
show dot11 associations
No switch Catalyst 2950, você pode usar esses comandos para solucionar problemas de configuração:
-
show vlans
-
show interface fastethernet x/x switchport
-
show interface fastethernet x/x trunk
No roteador, emita esses comandos para solucionar problemas de configuração:
-
debug ip dhcp server packet
-
show ip interface brief
Aqui está uma saída de uma atribuição de endereço IP bem-sucedida para o cliente no Admin de SSID.
Router#debug ip dhcp server packet *Nov 23 18:02:06.637: DHCPD: DHCPREQUEST received from client 0040.96ac.e657. !--- Router receives the DHCP Request from the client *Nov 23 18:02:06.637: DHCPD: No default domain to append - abort update *Nov 23 18:02:06.637: DHCPD: Sending DHCPACK to client 0040.96ac.e657 (172.16.2.50). !--- Router acknowledges the client's request *Nov 23 18:02:06.637: DHCPD: creating ARP entry (172.16.2.2, 0040.96ac.e657). *Nov 23 18:02:06.637: DHCPD: unicasting BOOTREPLY to client 0040.96ac.e657 (172.16.2.50). !--- Router assigns ip address to the client from the VLAN 10 subnet
Informações Relacionadas
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)