配置工作组网桥(WGB)多个VLAN支持

简介

本文档解释如何配置WGB以支持不同场景下的多个虚拟局域网(VLAN)。 

先决条件

要求

Cisco建议您在自主模式配置中具备AireOS无线局域网控制器(WLC)和接入点(AP)方面的基础知识。

使用的组件

• WLC v8.2
• 自治AP v15.3(3)JD4
• 无线接入点(CAPWAP)AP的控制和调配
• 支持交换机802.1q

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

配置

WGB与多个VLAN关联到一个CAPWAP AP

本示例说明如何配置支持多个VLAN的WGB，这些VLAN与CAPWAP AP相关联。接入点可以处于本地模式或网桥模式（网状）。此场景要求WGB连接到支持802.1q的交换机，否则WGB无法支持多个VLAN。在本示例中，WGB连接到Cisco交换机3560。

如果交换机不支持802.1q，则所有客户端都将分配给本征VLAN。

在本示例中，WGB分配给VLAN 210，连接到WGB后交换机的客户端分配给VLAN 2601和2602。

WLC还必须配置属于客户端vlan的动态接口。在本例中，WLC必须具有VLAN 2601、2602和210上的动态接口。

网络图

WLC 配置

步骤1:打开WLC的图形用户界面(GUI)并导航到CONTROLLER > Interfaces，以验证WLC上配置的当前动态接口。如果尚未配置所需的vlan，请单击New并添加所需的vlan。

输入接口的信息

注:如果WLC启用了链路聚合(LAG)，则无法选择端口号。

第二步：导航到WLANs > Create New > Go。

第三步：选择SSID和配置文件的名称，然后单击Apply。

CLI：

> config wlan create <id> <profile-name> <ssid-name>

第四步：将WGB的本征VLAN分配给WLAN

第五步：分配WGB用来与SSID关联的预共享密钥。

导航到安全>第2层>身份验证密钥管理。 选择PSK并填写密码。

第六步：确保WLAN启用了Aironet IE，否则WGB无法关联。

注：在本示例中，SSID使用WPA2/PSK安全，如果您需要使用更强的安全方法（如WPA2/802.1x）配置WLAN，您可以参考以下链接：802.1x身份验证与PEAP、ISE 2.1和WLC 8.3

步骤 7.启用WLC以支持来自WGB的多个VLAN

>config wgb vlan enable

WGB 配置

步骤1:添加每个VLAN所需的子接口。在本示例中，VLAN 210（本地）、2601和2602已添加到WGB配置中。

WGB# config t
WGB# interface dot11radio 0.210
WGB# encapsulation dot1q 210 native
 
WGB# interface dot11radio 0.2601
WGB# encapsulation dot1q 2601
WGB# bridge-group 21
 
WGB# interface dot11radio 0.2602
WGB# encapsulation dot1q 2602
WGB# bridge-group 22
 
WGB# interface dot11radio 1.210
WGB# encapsulation dot1q 210 native
 
WGB# interface dot11radio 1.2601
WGB# encapsulation dot1q 2601
WGB# bridge-group 21
 
WGB# interface dot11radio 1.2602
WGB# encapsulation dot1q 2602
WGB# bridge-group 22
 
WGB# interface gigabit 0.210
WGB# encapsulation dot1q 210 native
 
WGB# interface gigabit 0.2601
WGB# encapsulation dot1q 2601
WGB# bridge-group 21
 
WGB# interface gigabit 0.2602
WGB# encapsulation dot1q 2602
WGB# bridge-group 22

  

注意:子接口2601和2602的网桥组是21和22，因为网桥组的有效范围为1到255。

注意:子接口210的网桥组没有指定，因为当本征VLAN分配给子接口时，它会自动分配网桥组1。

第二步：创建服务集标识符(SSID)。

在本例中，SSID使用WPA2/PSK，如果您需要WGB使用更强的安全方法（如WPA2/802.1x）与SSID关联，您可以参考以下链接：

使用PEAP身份验证的工作组网桥配置示例

WGB# config t
WGB# dot11 ssid wgb-tst
WGB# vlan 210
WGB# authentication open
WGB# authentication key-management wpa version 2
WGB# infrastructure-ssid
WGB# wpa-psk ascii 0 cisco123

第三步：将SSID添加到用于与CAPWAP AP关联的接口中。

此步骤还使用命令station-role workgroup-bridge将AP设置为工作组网桥。

注意：在本示例中，WGB使用其2.4GHz接口与CAPWAP AP关联，如果您需要WGB与其5GHz接口关联，请将此配置添加到接口Dot11Radio1。

WGB# config t
WGB# interface Dot11Radio0
WGB# encryption vlan 210 mode ciphers aes-ccmp
WGB# ssid WGB-tst
WGB# station-role workgroup-bridge

第四步：启用WGB统一VLAN功能。

此命令允许WGB通知WLC应在哪个VLAN中分配客户端。

WGB# config t
WGB# workgroup-bridge unified-vlan-client

交换机配置

步骤1:创建VLAN。

SW# config t
SW# vlan 210, 2601, 2602

第二步：配置插入WGB的端口。 

SW# config t
SW# interface <interface-id>
SW# switchport mode trunk
SW# switchport trunk native vlan 210
SW# switchport trunk allowed vlan 210, 2601, 2602

第三步：将插入客户端的接口分配给所需的VLAN。

SW# config t
SW# interface <interface-id>
SW# switchport mode access
SW# switchport access vlan <vlan-id>

WGB，带有802.1q交换机，并且多个VLAN以根模式关联到自治AP。

网络图

根AP配置

步骤1:添加每个VLAN所需的子接口。

在本示例中，VLAN 210（本地）、2601和2602将按照WGB的第1步中的说明添加到根AP配置，其中多个VLAN关联到CAPWAP AP - WGB配置。

第二步：创建服务集标识符(SSID)。

在本例中，SSID使用WPA2/PSK，如果您需要使用SSID配置根AP，使用更强大的安全方法（如WPA2/802.1x），您可以参考以下链接：

在自主 AP 上配置 SSID 和 VLAN

Root-AP# config t
Root-AP# dot11 ssid WGB-tst
Root-AP# vlan 210
Root-AP# authentication open
Root-AP# authentication key-management wpa version 2
Root-AP# infrastructure-ssid
Root-AP# wpa-psk ascii 0 cisco123

第三步：将SSID添加到根AP将用于广播SSID的接口。

注意：在本示例中，根AP使用其2.4GHz接口广播SSID，如果您需要根AP使用其5GHz接口广播该SSID，请将此配置添加到接口Dot11Radio1。

Root-AP# config t
Root-AP# interface Dot11Radio0
Root-AP# encryption vlan 210 mode ciphers aes-ccmp
Root-AP# ssid WGB-tst
Root-AP# infrastructure-client
Root-AP# no shut

  

命令infrastructure-client允许根AP尊重WGB对其有线客户端的VLAN分配。如果没有此命令，根AP会将所有客户端分配给本征VLAN。

WGB 配置

步骤1:添加每个VLAN所需的子接口。

在本示例中，VLAN 210（本地）、2601和2602将按照WGB的第1步中的说明添加到根AP配置，其中多个VLAN关联到CAPWAP AP - WGB配置。

第二步：创建服务集标识符(SSID)。

在本例中，SSID使用WPA2/PSK，如果您需要WGB使用更强的安全方法（如WPA2/802.1x）与SSID关联，您可以参考以下链接：

使用PEAP身份验证的工作组网桥配置示例

WGB# config t
WGB# dot11 ssid WGB-tst
WGB# vlan 210
WGB# authentication open
WGB# authentication key-management wpa version 2
WGB# infrastructure-ssid
WGB# wpa-psk ascii 0 cisco123

第三步：将SSID添加到用于与CAPWAP AP关联的接口中。

此步骤还使用命令station-role workgroup-bridge将AP设置为工作组网桥。

注意：在本示例中，WGB使用其2.4GHz接口与CAPWAP AP关联，如果您需要WGB与其5GHz接口关联，请将此配置添加到接口Dot11Radio1。

WGB# config t
WGB# interface Dot11Radio0
WGB# encryption vlan 210 mode ciphers aes-ccmp
WGB# ssid WGB-tst
WGB# station-role workgroup-bridge
WGB# no shut

交换机配置

对于与CAPWAP AP关联的多个VLAN的WGB交换机，您可以遵循相同的配置。

WGB，无交换机后端，多个VLAN在根模式下与自治AP关联。

此示例允许WGB使用2个不同的VLAN（本地和另一个），如果您需要拥有两个以上的VLAN，则您需要在WGB后面添加一个支持802.1q的交换机，并连接其上的客户端。然后按照WGB上的说明操作，在根模式下使用802.1q交换机以及与自治AP关联的多个VLAN。

网络图

根AP配置

步骤1:添加每个VLAN所需的子接口。

子接口配置与CAPWAP AP关联多个VLAN的WGB的第1步 — WGB配置相同，但是在这种情况下，您只需要配置VLAN 210（本地）和VLAN 2602（客户端VLAN）。

第二步：创建服务集标识符(SSID)。

在本例中，SSID使用WPA2/PSK，如果您需要使用SSID配置根AP，使用更强大的安全方法（如WPA2/802.1x），您可以参考以下链接：

在自主 AP 上配置 SSID 和 VLAN

Root-AP# config t
Root-AP# dot11 ssid WGB-tst
Root-AP# vlan 210
Root-AP# authentication open
Root-AP# authentication key-management wpa version 2
Root-AP# infrastructure-ssid
Root-AP# wpa-psk ascii 0 cisco123

第三步：将SSID添加到根AP将用于广播SSID的接口。

注意：在本示例中，根AP使用其2.4GHz接口广播SSID，如果您需要根AP使用其5GHz接口广播该SSID，请将此配置添加到接口Dot11Radio1。

Root-AP# config t
Root-AP# interface Dot11Radio0
Root-AP# encryption vlan 210 mode ciphers aes-ccmp
Root-AP# ssid WGB-tst
Root-AP# infrastructure-client
Root-AP# no shut

命令 基础设施客户端 允许根AP尊重WGB对其有线客户端的VLAN分配。如果没有此命令，根AP会将所有客户端分配给本征VLAN。

WGB 配置 

步骤1:添加每个VLAN所需的子接口。在本示例中，VLAN 210（本地）和2601已添加到WGB配置中。

子接口配置与上所示相同 第1步，共 WGB与多个VLAN关联到一个CAPWAP AP - WGB配置，但是在本例中，您只需要配置VLAN 210（本地）和VLAN 2602（客户端VLAN）。

第二步：创建服务集标识符(SSID)。

在本例中，SSID使用WPA2/PSK，如果您需要WGB使用更强的安全方法（如WPA2/802.1x）与SSID关联，您可以参考以下链接：

使用PEAP身份验证的工作组网桥配置示例

WGB# config t
WGB# dot11 ssid WGB-tst
WGB# vlan 210
WGB# authentication open
WGB# authentication key-management wpa version 2
WGB# infrastructure-ssid
WGB# wpa-psk ascii 0 cisco123

第三步：将SSID添加到用于与CAPWAP AP关联的接口中。

此步骤还使用命令station-role workgroup-bridge将AP设置为工作组网桥。

注意：在本示例中，WGB使用其2.4GHz接口与CAPWAP AP关联，如果您需要WGB与其5GHz接口关联，请将此配置添加到接口Dot11Radio1。

WGB# config t
WGB# interface Dot11Radio0
WGB# encryption vlan 210 mode ciphers aes-ccmp
WGB# ssid WGB-tst
WGB# station-role workgroup-bridge
WGB# no shut

第四步：指定客户端VLAN。

WGB# config t
WGB# workgroup-bridge client-vlan 2601

  

验证

运行以下命令以验证WGB是否与根AP关联，并且根AP可以看到WGB后面连接的有线客户端：

WGB# show dot11 associations

802.11 Client Stations on Dot11Radio0:

SSID [WGB-tst] :

MAC Address    IP address      IPV6 address                           Device        Name            Parent         State     
00eb.d5ee.da70 200.200.200.4   ::                                     ap1600-Parent Root-AP         -              Assoc    


Root-AP# show dot11 associations

802.11 Client Stations on Dot11Radio0:

SSID [WGB-tst] :

MAC Address    IP address      IPV6 address                           Device        Name            Parent         State     
0035.1ac1.78c7 206.206.206.2   ::                                     WGB-client    -               00f6.6316.4258 Assoc    
00f6.6316.4258 200.200.200.3   ::                                     WGB           WGB             self           Assoc