使用无线局域网控制器配置AP组VLAN
目录
简介
本文档演示如何使用无线局域网控制器 (WLC) 和轻量接入点 (LAP) 配置接入点 (AP) 组 VLAN。
先决条件
要求
尝试进行此配置之前,请确保满足以下要求:
-
有关 LAP 和 Cisco WLC 配置的基本知识
-
有关轻量接入点协议 (LWAPP) 的基本知识
使用的组件
本文档中的信息基于以下软件和硬件版本:
-
运行固件版本 4.0 的 Cisco 4400 WLC
-
Cisco 1000 系列 LAP
-
运行固件版本 2.6 的 Cisco 802.11a/b/g 无线客户端适配器
-
运行 Cisco IOS® 软件版本 12.4(2)XA 的 Cisco 2811 路由器
-
两台运行 Cisco IOS 软件版本 12.0(5)WC3b 的 Cisco 3500 XL 系列交换机
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
规则
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
背景信息
在典型的部署方案中,每个 WLAN 都会根据 WLC 映射到单个动态接口;不过,在具有支持最大 AP 数目 (100) 的 4404-100 WLC 的部署方案中, 例如,在 25 位用户分别与一个 AP 关联的部署方案中,会导致 2500 位用户共享一个 VLAN。某些客户设计可能会要求大幅度减小子网的大小,应对这些要求的一种方法是将 WLAN 分成多个网段。WLC 的 AP 分组功能允许跨控制器上的多个动态接口 (VLAN) 支持单个 WLAN。此时,一组 AP 会映射到某个特定的动态接口。AP 可以按员工工作组进行逻辑分组,也可以按位置进行物理分组。
AP 组 VLAN 用在下面这类设置中:需要使用通用 WLAN(服务集标识符 [SSID]),但又需要通过客户端所关联的物理 LAP 对客户端进行区分(以将它们放置到 WLC 中配置的不同接口上)。
AP 组 VLAN 也称为特定于站点的 VLAN,利用这种方式可通过创建会覆盖由 WLAN 照常提供的接口的 Cisco LAP 组在 WLAN 上实现负载均衡。当客户端加入到 WLAN 中时,所用的接口由该客户端关联的 LAP 以及通过查找该 LAP 的 AP 组 VLAN 和 WLAN 来确定。
给设备分配接口的传统方法基于 SSID 或 AAA 策略覆盖。在这种情况下,如果客户端希望向某个 WLAN 上的另一个客户端广播信息,则该 WLAN 上的所有客户端均会收到该广播,无论该广播是否专门播发给它们的均如此。
AP 组 VLAN 功能是用于将广播域限制到最小范围的另一种方法。这通过在逻辑上将 WLAN 划分到不同的广播域中来实现。它会将 WLAN 的广播限制到较小的 LAP 组。这有助于更有效地管理负载均衡和带宽分配。AP 组 VLAN 功能会在控制器中创建一个新表,该表会列出每个 WLAN ID 的接口。该表中的每个条目均使用(用于定义 LAP 组的)位置名称编制索引。
注意:AP组不允许跨组边界的组播漫游。AP 组允许同一控制器上的 AP 将同一 WLAN (SSID) 映射到不同的 VLAN。如果客户端在不同组中的 AP 之间漫游,则多播会话就会无法正常工作,因为目前尚不支持此功能。当前,WLC 仅对在 WLAN 上配置的 VLAN 转发多播,而不会考虑在 AP 组中配置的 VLAN。
以下列表显示了可以在 WLC 上配置的最大 AP 组数:
-
对于 Cisco 2100 系列控制器和控制器网络模块,最多可以配置 50 个接入点组
-
对于 Cisco 4400 系列控制器、Cisco WiSM 和 Cisco 3750G 无线 LAN 控制器交换机,最多可以配置 300 个接入点组
-
对于 Cisco 5500 系列控制器,最多可以配置 500 个接入点组
本文档中所提供的配置示例演示如何使用此功能以及如何配置特定于站点的 VLAN。
网络设置
此网络设置中有两座独立的大楼。Building 1 用于安置学生;Building 2 用于安置员工。每座大楼都有自己的一组 LAP,这些 LAP 与同一个 WLC 进行对话但仅宣告一个称为 School 的 WLAN (SSID)。Building 1 和 Building 2 中各有五个 LAP。
Building 1 中的 LAP 应划分到与称为 Student-VLAN 的动态接口绑定的 Students AP 组。Building 2 中的 LAP 应划分到与称为 Staff-VLAN 的动态接口绑定的 Staff AP 组。在 WLC 上按此进行配置后,所有与 Building 1 中的 LAP 关联的客户端都会放置到 Student-VLAN 接口上,并且会分配一个来自为 Students AP 组配置的 DHCP 作用域的 IP 地址。与 Building 2 中的 LAP 关联的客户端会放置到 Staff-VLAN 接口上,并且会分配一个来自为 Staff AP 组配置的 DHCP 作用域的 IP 地址,即使所有客户端均与称为 School 的同一 WLAN (SSID) 关联也如此。
下面的示例演示如何针对此设置配置 WLC 和 LAP。本文档中的网络设置使用以下参数:
AP Group 1: AP Group Name : Students Dynamic Interface : Student-VLAN DHCP server: 172.16.1.30 (Internal DHCP Server on the WLC) DHCP Scope: 10.0.0.2-10.0.0.15 Authentication : none SSID: School
AP Group 2: AP Group Name : Staff Dynamic Interface : Staff-VLAN DHCP server: 172.16.1.30 (Internal DHCP Server on the WLC) DHCP Scope: 192.168.1.2-192.168.1.15 Authentication : none SSID: School
配置
您必须先配置 WLC 以便能够执行基本操作并向 WLC 注册 LAP,然后再配置 AP 组 VLAN 功能。本文档假设已配置 WLC 进行基本操作,并且已在 WLC 中注册 LAP。如果您是尝试设置 WLC 以对 LAP 执行基本操作的新用户,请参阅在无线 LAN 控制器 (WLC) 中注册轻量 AP (LAP)。
一旦向 WLC 注册了 LAP,您就可以配置 AP 组 VLAN 功能。
若要针对此设置配置 LAP 和 WLC,请完成以下任务:
网络图
配置 Student-VLAN 和 Staff-VLAN 动态接口
要在 WLC 上创建动态接口,请完成以下步骤:
-
转到 WLC GUI,然后选择 Controller > Interfaces。
此时会显示“Interfaces”窗口。此窗口中会列出在控制器上配置的接口。其中包括以下接口:
-
管理接口
-
ap-manager 接口
-
virtual 接口
-
服务端口接口
-
用户定义的动态接口
单击 New 创建新的动态接口。
-
-
在“Interfaces”>“New”窗口中的“Interface Name”和“VLAN ID”中输入相应信息。然后单击 Apply。
在本示例中,动态接口命名为 Student-VLAN,VLAN ID 指定为 10。
-
在 Interfaces > Edit 窗口中,输入动态接口的 IP 地址、子网掩码和默认网关。将它分配到 WLC 上的某个物理端口,再输入 DHCP 服务器的 IP 地址。然后单击 Apply。
在本示例中,对 Student-VLAN 接口使用以下参数:
Student-VLAN IP address: 10.0.0.1 Netmask: 255.0.0.0 Default gateway: 10.0.0.50 Port on WLC: 1 DHCP server: 172.16.1.30 (Internal DHCP server on the WLC)
-
重复执行步骤 1 至 3,为 Staff-VLAN 创建动态接口。
本示例对 Staff-VLAN 接口使用以下参数:
Staff-VLAN IP address: 192.168.1.1 Netmask: 255.255.255.0 Default gateway: 192.168.1.50 Port on WLC: 1 DHCP server: 172.16.1.30 (Internal DHCP server on the WLC)
创建两个动态接口后,“Interfaces”窗口会汇总在控制器上配置的接口列表:
下一步是在 WLC 上配置 AP 组。
创建 Students 和 Staff AP 组
要在 WLC 上创建 Students 和 Staff AP 组,请完成以下步骤:
-
转到控制器 GUI,然后选择 WLANs > AP Groups VLANs。
此时会显示“AP Group VLANs”页。
-
选中 AP Group VLANs Feature Enable,然后单击“Apply”启用“AP Group VLANs”功能。
-
在“AP Group Name”和“AP Group Description”中输入相应的信息,然后单击 Create New AP-Group 创建新的 AP 组。
在此设置中,会创建两个 AP 组。其中一个 AP 组用于 Building 1 中的 LAP(以便学生能够访问 WLAN 网络),且命名为 Students。第二个 AP 组用于 Building 2 中的 LAP(以便员工能够访问 WLAN),且命名为 Staff。
注意:发出以下命令以从CLI启用AP组VLAN功能:
config location enable/disable
注意:发出以下命令,以使用CLI定义位置字符串(AP组名):
config location add -
对于称为“Students”的新 AP 组,请单击 Detail。从“WLAN SSID”下拉菜单中选择相应的 SSID,并选择要将此 AP 组映射到的接口。
对于“Students”AP 组,请选择 SSID School,然后将其映射到“Students-VLAN”接口。单击 Add Interface Mapping。以下屏幕截图显示了一个示例:
-
单击 Apply。
注意:发出以下命令,以通过CLI将接口映射到AP组:
config location interface-mapping add -
重复执行步骤 3 至 5,创建称为 Staff 的第二个 AP 组。
对于“Staff”AP 组,请选择 SSID School,然后将其映射到接口“Staff-VLAN”。以下屏幕截图显示了一个示例:
从无线局域网控制器版本 4.1.181.0 开始,通过 CLI 配置 AP 组时所用的命令已发生变化。在版本 4.1.181.0 中,通过 CLI 配置新的 AP 组时使用以下命令:
要启用 AP 组,请使用:
config wlan apgroup add <apgroup name> <description>
要删除现有组,请使用:
config wlan apgroup delete <apgroup name>
要添加有关 AP 组的说明,请使用:
config wlan apgroup description <apgroup name> <description>
要创建新的 AP 组/WLAN/接口映射,请使用:
config wlan apgroup interface-mapping add <apgroup name> <WLAN Id> <Interface Name>
将 LAP 分配到相应的 AP 组中
最后一项任务是将 LAP 分配到相应的 AP 组中。Building 1 和 Building 2 中各有五个 LAP。将 Building 1 中的 LAP 分配到“Students”AP 组中,将 Building 2 中的 LAP 分配到“Staff”AP 组中。
要执行上述操作,请完成以下步骤:
-
转到控制器 GUI,然后选择 Wireless > Access Points > All APs。
“All APs”页会列出目前已向控制器注册的 LAP。
-
单击某个 LAP 的 Detail 链接,将该 LAP 分配到相应的 AP 组中。
在所选 LAP 的“All APs”>“Detail”页中,从“AP Group Name”下拉菜单中选择相应的 AP 组。
在本示例中,Building 1 中的某个 LAP 分配到“Students”AP 组中。单击 Apply。
注意:从控制器CLI发出以下命令以将AP组分配给LAP:
config ap group-name -
对需要映射到“Students”AP 组的所有五个 LAP 以及需要映射到“Staff”AP 组的五个 LAP 重复执行步骤 1 和 2。
下面是映射到“Staff”AP 组的某个 LAP 的屏幕截图:
完成这些步骤后,您就配置了两个分别称为“Staff”和“Students”的 AP 组,并将 Building 1 中的五个 LAP 映射到了“Students”AP 组以及将 Building 2 中的五个 LAP 映射到了“Staff”AP 组。现在,当 Building 1 中的客户端使用 SSID School 连接到 WLAN 时,这些客户端就会映射到“Students”AP 组,并且会分配一个来自为动态接口“Student-VLAN”定义的 DHCP 作用域的 IP 地址。同样,当 Building 2 中的客户端使用 SSID School 连接到 WLAN 时,这些客户端就会映射到“Staff”AP 组,并且会分配一个来自为动态接口“Staff-VLAN”定义的 DHCP 作用域的 IP 地址。
注意:当您配置两个控制器以允许AP加入它们并定义AP组,以便客户端从一个AP组漫游到不同控制器上的另一个AP组时,SSID将映射到不同AP组上的不同接口。由于当前的多播实现,客户端将无法接收多播数据包。多播模式不适用于任何接口覆盖功能,其中包括 AP 组、动态 VLAN 分配等等。
验证
要验证配置,可以使用 show location summary 命令。下面是一个示例。
(Cisco Controller) >show location summary
Status........................................... enabled
Site Name....................................... Staff
Site Description................................. AP Group - Staff in Building2
WLAN......................................... 2
Interface Override....................... staff-vlan
Site Name....................................... Students
Site Description................................. AP Group - Students in Building1
WLAN......................................... 1
Interface Override....................... student-vlan
对于运行版本 4.1.181.0 或更高版本的 WLC,可以使用下面的命令验证 AP 组 VLAN 配置。
show wlan apgroups
为了验证此设置,此示例显示当客户端与建筑1中的一个LAP关联时会发生什么情况。当客户端在建筑1中启动时,它使用SSID学校与建筑1中的一个LAP关联。该客户端会自动映射到动态接口“Student-VLAN”,并且会分配一个来自为“Student-VLAN”接口定义的作用域的 IP 地址。
当某个客户端第一次与控制器上的 LAP1 关联时,控制器会按照配置应用 AP 组 VLAN 覆盖策略。当该客户端漫游到同一控制器上的另一个 LAP 时,会重新应用 LAP1 AP 组 VLAN 指定的策略。在单个会话期间,当客户端在单个控制器上的 AP 之间漫游时不会更改 VLAN 以实现无缝漫游。
在跨与不同控制器关联的 LAP 漫游时,系统会根据常规漫游规则运行。
当某个客户端与另一个控制器上的 AP 关联时,该客户端就会映射到由覆盖指定的接口。如果相应的 AP 属于同一 AP 组的成员,则您会有一个第 2 层移动性事件。
如果相应的 AP 属于不同 AP 组的成员,则您会有一个第 3 层移动性事件。VLAN 用于确定移动性事件而不是用于确定 WLAN 的配置接口。
有关在基于 WLC 的 WLAN 中如何进行漫游的详细信息,请参阅配置移动性组中的移动性概述部分。
故障排除
可使用以下 debug 命令对配置进行故障排除。
-
debug dot11 mobile enable — 使用此命令可配置802.11移动事件的调试。
如果测试移动性,还可以使用以下 debug:
-
debug mobility handoff enable — 使用此命令可以开始调试移动性选项。
-
debug pem {packet/events} — 使用此命令可以配置访问策略管理器调试选项。
-
输入 packet 可以配置策略管理器事件的调试。
-
输入 events 可以配置策略管理器状态机的调试。
-
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
21-Jan-2008 |
初始版本 |
反馈