将 VLAN 用于 Cisco Aironet 无线设备

简介

本文档提供了如何结合使用虚拟 LAN (VLAN) 和 Cisco Aironet 无线设备的配置示例。

先决条件

要求

尝试进行此配置之前，请确保满足以下要求：

• 熟悉 Cisco Aironet 无线设备

• 熟悉 VLAN 和 VLAN 中继的 LAN 交换概念

使用的组件

本文档中的信息基于以下软件和硬件版本：

• Cisco Aironet 接入点和无线网桥

• Cisco Catalyst 交换机

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

相关产品

您可以将此配置的交换机端用于以下任意硬件或软件：

• 运行 CatOS 或 IOS 的 Catalyst 6x00/5x00/4x00

• 运行 IOS 的 Catalyst 35x0/37x0/29xx

• 运行 IOS 的 Catalyst 2900XL/3500XL

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

VLAN

VLAN 是根据功能、项目小组或应用程序，而不是实物或地域进行逻辑分段的交换网络。例如，特定工作组所用的所有工作站和服务器可以连接到相同的 VLAN，这些工作站和服务器与网络之间可以采用任何物理连接方式，或者也可以与其他小组混合。借助 VLAN，可通过软件而非物理插拔或移动设备或线路来重新配置网络。

VLAN 可视为定义的交换机组内的广播域。VLAN 由一定数量的终端系统构成，这些终端系统可以是主机或网络设备（如网桥和路由器），通过单个桥接域进行连接。彼此之间采用桥接协议的各种网络设备（如 LAN 交换机）均支持桥接域，每个 VLAN 一个单独的组。

当您将设备连接 Cisco Catalyst 交换机时，设备连接的端口是 VLAN 1 的成员。该设备的 MAC 地址是 VLAN 1 的一部分。您可以在单个交换机上定义多个 VLAN，并且您可以在大多数 Catalyst 型号上配置交换端口，作为多个 VLAN 的成员。

当网络中的端口数量超出交换机的端口容量时，必须交叉连接多个交换机机箱，定义一个中继。中继不是任何 VLAN 的组成成员，但却是数据流传输到一个或更多 VLAN 的通道。

用基本的术语来说，接入点连接到特定 VLAN 的配置关键在于，配置其 SSID 以识别该 VLAN。由于 VLAN 采用 VLAN ID 或名称进行标识，因此，如果接入点的 SSID 配置为识别特定 VLAN ID 或名称，则其后将与该 VLAN 建立连接。连接建立后，具有相同 SSID 的相关无线客户端设备可通过接入点访问该 VLAN。VLAN 处理进出客户端的数据的方式，与处理进出有线连接的数据的方式一样。您可以在接入点上配置多达 16 个 SSID，因此最多可支持 16 个 VLAN。每个 VLAN 只能分配一个 SSID。

如果在接入点中添加 IEEE 802.11Q 标记感知，则可以将 VLAN 扩展为无线局域网。发往不同 VLAN 的帧由接入点以无线方式传送，不同 SSID 采用不同的 WEP 密钥。只有与该 VLAN 关联的客户端才能收到这些数据包。相反地，与 VLAN 关联的客户端发出的数据包在转发到有线网络上之前，标记为 802.11Q。

例如，员工和客户可以同时访问公司的无线网络，但分开管理。VLAN 映射到 SSID，无线客户端连接到相应的 SSID。在采用无线网桥的网络中，您可以通过跨无线链路的多个 VLAN，以提供从不同位置到 VLAN 的连通性。

如果接入点的快速以太网接口配置了 802.1q，那么即使接入点未定义 VLAN 1，也总是在 VLAN 1 上发送 Keepalives。结果，以太网交换机连接到接入点并生成警告消息。虽然接入点或交换机的功能不受影响，但交换机日志中包含的无意义消息可能造成更重要的消息被掩盖住并看不到。

当接入点上的所有 SSID 都关联到移动网络时，此行为会造成问题。如果所有 SSID 均关联到移动网络，则接入点连接的以太网交换机端口可配置为接入端口。该接入端口通常分配给接入点的本地 VLAN，不一定是 VLAN 1。这会导致以太网交换机生成警告消息，表明带 802.1q 标记的数据流从接入点发出。

如果禁用 Keepalive 功能，则可以删除交换机上的额外消息。

如果您在部署 VLAN 及 Cisco Aironet 无线设备时，忽略了以上概念中次要的方面，您可能会遇到意外情况，例如：

• 无法将中继上允许的 VLAN 限制在无线设备的定义值范围内。

  如果交换机上定义了 VLAN 1、10、20、30 和 40，但无线设备上只定义了 VLAN 1、10 和 30，那么您必须从中继交换机端口中删除其他 VLAN。

• 误用基础架构 SSID 的指定。

  在安装接入点时，只有在以下设备中使用 SSID 时才能分配基础架构 SSID：

  • 工作组网桥设备

  • 转发器接入点

  • 非根网桥

  将只带无线便携式计算机的 SSID 的基础架构 SSID 指定给客户端是一种错误配置，可能导致无法估计的后果。

  在网桥安装中，只能有一个基础架构 SSID。基础架构 SSID 必须是与本地 VLAN 关联的 SSID。

• 误用或不正确设计访客模式 SSID 指定。

  当您在 Cisco Aironet 无线设备上定义多个 SSID/VLAN 时，只能指定一 (1) 个 SSID 为访客模式 SSID，支持 802.11 无线电导航台的 SSID 广播。其他 SSID 没有广播。客户端设备必须指示连接哪个 SSID。

• 无法识别指示多个 OSI 模型第 3 层子网的多个 VLAN 和 SSID。

  已作废的 Cisco Aironet 软件版本允许将多个 SSID 绑定到一个 VLAN。当前版本不允许。

• OSI 模型第 3 层路由故障或设计不正确。

  每个 SSID 及其链接的 VLAN 必须具有路由设备和某些客户端寻址源，如 DHCP 服务器或 DHCP 服务器上的范围。

• 误解或错误配置本地 VLAN。

  组成网络物理基础架构的路由器和交换机的管理方式，与连接到该物理基础架构的客户端 PC 的管理方法不同。路由器和交换机接口所属的 VLAN 称为本地 VLAN（默认情况下为 VLAN 1）。客户端 PC 是不同 VLAN 的成员，而 IP 电话又是另外的 VLAN 的成员。接入点或网桥的管理接口（接口 BVI1）均视为并算作本地 VLAN 的一部分，无论无线设备经过哪个 VLAN 或 SSID。

本地 VLAN 的意义

当您使用 IEEE 802.1Q 中继端口时，除配置为“本地 VLAN”的 VLAN 上的帧之外，该端口的其他所有帧均进行标记。本地 VLAN 上的帧始终以无标记方式传输，并且通常以无标记方式接收。因此，当 AP 连接到该交换机端口时，在 AP 上配置的本地 VLAN 必须与在交换机端口上配置的本地 VLAN 匹配。

注意：如果本征VLAN不匹配，帧将被丢弃。

下面通过示例来更详细地阐释此方案。如果交换机端口上的本地 VLAN 配置为 VLAN 12，AP 上的本地 VLAN 配置为 VLAN 1，则当 AP 将其本地 VLAN 上的帧发送到交换机时，交换机将该帧视为属于 VLAN 12，因为来自 AP 本地 VLAN 的帧无标记。这会引起网络混乱并导致连接问题。当交换机端口从其本地 VLAN 向 AP 转发帧时，情况同样如此。

如果您的无线网络中设置了转发器 AP，则本地 VLAN 的配置变得更加重要。转发器 AP 上不能配置多个 VLAN。转发器 AP 仅支持本地 VLAN。因此，根 AP、与 AP 相连的交换机端口以及转发器 AP 上的本地 VLAN 配置必须相同。否则，通过交换机的数据流无法通过转发器 AP。

转发器 AP 的本地 VLAN 配置的不匹配会导致问题，例如，当与根 AP 相连的交换机之后有一个 DHCP 服务器时。在这种情况下，与转发器 AP 关联的客户端不接收来自 DHCP 服务器的 IP 地址，因为来自转发器 AP 的本地 VLAN（不同于根 AP 和交换机）的帧（此例中为 DHCP 请求）已丢失。

此外，在配置交换机端口时，请保证在 AP 上配置的所有 VLAN 在交换机端口上都是可允许的。例如，如果 AP（无线网络）上存在 VLAN 6、7 和 8，则交换机端口上必须允许这些 VLAN。可以在交换机中使用以下命令来执行此操作：

switchport trunk allowed vlan add 6,7,8

默认情况下，配置为中继的交换机端口允许所有 VLAN 穿过中继端口。有关如何配置交换机端口的详细信息，请参阅与相关交换机交互。

注意：在某些情况下，在AP上允许所有VLAN也会出现问题，尤其是在它是大型网络的情况下。这会导致 AP 上 CPU 使用率过高。可减少交换机上的 VLAN，以便仅 AP 感兴趣的 VLAN 数据流穿过 AP，从而避免高 CPU 使用率。

接入点上的 VLAN

本部分提供有关如何配置本文档所述功能的信息。

注意：要查找有关本文档中所用命令的其他信息，请使用命令查找工具(仅限注册客户)。

接入点概念

本部分讨论了有关如何在接入点上部署 VLAN 的概念，并提供了网络图。

在以下网络示例中，VLAN 1 是本地 VLAN，此外还有 VLAN 10、20、30 和 40，且中继到另一个交换机机箱。仅 VLAN 10 和 30 扩展到无线域。本地 VLAN 必须提供管理功能和客户端认证功能。

接入点配置

为配置接入点的 VLAN，请完成以下步骤：

1. 在AP GUI中，单击Services > VLAN，导航至Services： VLAN页面。

   1. 首先配置本地 VLAN。从 Current VLAN 列表中，选择 New。

   2. 在 VLAN ID 框中输入本地 VLAN 的 VLAN 编号。VLAN 编号必须与在交换机上配置的本地 VLAN 相匹配。

   3. 由于接口 BVI 1 与本地 VLAN 的子接口关联，因此分配给接口 BVI 1 的 IP 地址必须与网络上的其他基础架构设备位于相同的 IP 子网中（即，运行 CatOS 的 Catalyst 交换机上的接口 SC0）。

   4. 选中本地 VLAN 的复选框。

   5. 选中无线电接口或使用此 VLAN 的接口的复选框。

   6. 单击 Apply。

      

      或者，从 CLI 中发出以下命令：

      AP# configure terminal
      Enter configuration commands, one per line.  End with CNTL/Z.
      AP(config)# interface Dot11Radio0.1
      AP(config-subif)# encapsulation dot1Q 1 native
      AP(config-subif)# interface FastEthernet0.1
      AP(config-subif)# encapsulation dot1Q 1 native
      AP(config-subif)# end
      AP# write memory
      

2. 为配置其他 VLAN，请遵从以下步骤：

   1. 从 Current VLAN 列表中，选择 New。

   2. 在 VLAN ID 框中输入所需 VLAN 的 VLAN 编号。VLAN 编号必须与在交换机上配置的 VLAN 相匹配。

   3. 选中无线电接口或使用此 VLAN 的接口的复选框。

   4. 单击 Apply。

      

      或者，从 CLI 中发出以下命令：

      AP# configure terminal
      Enter configuration commands, one per line.  End with CNTL/Z.
      AP(config)# interface Dot11Radio0.10
      AP(config-subif)# encapsulation dot1Q 10
      AP(config-subif)# interface FastEthernet0.10
      AP(config-subif)# encapsulation dot1Q 10
      AP(config-subif)# end
      AP# write memory
      

   5. 对于每个所需的 VLAN，可重复步骤 2a 到 2d，或在 CLI 中输入以下命令，并对子接口和 VLAN 编号进行适当更改：

      AP# configure terminal
      Enter configuration commands, one per line.  End with CNTL/Z.
      AP(config)# interface Dot11Radio0.30
      
      AP(config-subif)# encapsulation dot1Q 30
      
      AP(config-subif)# interface FastEthernet0.30
      
      AP(config-subif)# encapsulation dot1Q 30
      
      AP(config-subif)# end
      AP# write memory
      

3. 下一步是将配置的 VLAN 关联到 SSID。为此，可单击 Security > SSID Manager。

   注意：您不需要将接入点上定义的每个VLAN与SSID相关联。例如，出于安全原因，多数接入点安装并不将 SSID 与本地 VLAN 关联。

   1. 为创建新的 SSID，请选择 New。

   2. 在 SSID 框中输入所需的 SSID（区分大小写）。

   3. 从下拉列表中选择需要关联到此 SSID 的 VLAN 编号。

      注意：为了将本文档限制在预期范围内，不会涉及SSID的安全性。

   4. 单击 Apply-RadioX 在所选无线电上创建 SSID，或单击 Apply-all 在所有无线电上创建 SSID。

      

      或者，从 CLI 中发出以下命令：

      AP# configure terminal
      Enter configuration commands, one per line.  End with CNTL/Z.
      AP(config)# interface Dot11Radio0
      AP(config-if)# ssid Red
      AP(config-if-ssid)# vlan 10
      AP(config-if-ssid)# end
      AP# write memory
      

4. 对于每个所需的 SSID，重复步骤 3a 到 3d，或在 CLI 中输入以下命令，其中 SSID 进行适当更改。

   AP# configure terminal
   Enter configuration commands, one per line.  End with CNTL/Z.
   AP(config)# interface Dot11Radio0
   AP(config-if)# ssid Green
   AP(config-if-ssid)# vlan 30
   AP(config-if-ssid)# end
   AP# write memory
   

   注意：这些示例不包括身份验证。客户端关联必须进行某些形式的认证（Open、Network-EAP）。

网桥上的 VLAN

网桥概念

本部分讨论了有关如何在网桥上部署 VLAN 的概念，并提供了网络图。

在以下网络示例中，VLAN 1 是本地 VLAN，此外还有 VLAN 10、20、30 和 40。仅 VLAN 10 和 30 扩展到链路的另一端。无线链路已加密。

为了对通过无线链路的数据进行加密，可只对本地 VLAN 的 SSID 应用加密。该加密适用于其他所有 VLAN。当您进行桥接时，无需将各个 SSID 与每个 VLAN 关联。根网桥和非根网桥的 VLAN 配置是相同的。

网桥配置

为配置网桥上的 VLAN，如网络图示例，请完成以下步骤：

1. 在AP GUI中，单击Services > VLAN，导航至Services： VLAN页。

   1. 首先配置本地 VLAN。为此，请从 Current VLAN 列表中选择 <New>。

   2. 在 VLAN ID 框中输入本地 VLAN 的 VLAN 编号。该编号必须与在交换机上配置的本地 VLAN 相匹配。

   3. 由于接口 BVI 1 与本地 VLAN 的子接口关联，因此分配给接口 BVI 1 的 IP 地址必须与网络上的其他基础架构设备位于相同的 IP 子网中（即，运行 CatOS 的 Catalyst 交换机上的接口 SC0）。

   4. 选中本地 VLAN 的复选框。

   5. 单击 Apply。

      

      或者，从 CLI 中发出以下命令：

      bridge# configure terminal
      Enter configuration commands, one per line.  End with CNTL/Z.
      bridge(config)# interface Dot11Radio0.1
      bridge(config-subif)# encapsulation dot1Q 1 native
      bridge(config-subif)# interface FastEthernet0.1
      bridge(config-subif)# encapsulation dot1Q 1 native
      bridge(config-subif)# end
      bridge# write memory
      

2. 为配置其他 VLAN，请遵从以下步骤：

   1. 从 Current VLAN 列表中，选择 New。

   2. 在 VLAN ID 框中输入所需 VLAN 的 VLAN 编号。VLAN 编号必须与在交换机上配置的 VLAN 相匹配。

   3. 单击 Apply。

      

      或者，从 CLI 中发出以下命令：

      bridge# configure terminal
      Enter configuration commands, one per line.  End with CNTL/Z.
      bridge(config)# interface Dot11Radio0.10
      bridge(config-subif)# encapsulation dot1Q 10
      bridge(config-subif)# interface FastEthernet0.10
      bridge(config-subif)# encapsulation dot1Q 10
      bridge(config-subif)# end
      bridge# write memory
      

   4. 对于每个所需的 VLAN，可重复步骤 2a 到 2c，或在 CLI 中输入以下命令，其中子接口和 VLAN 编号进行适当更改：

      AP# configure terminal
      Enter configuration commands, one per line.  End with CNTL/Z.
      bridge(config)# interface Dot11Radio0.30
      
      bridge(config-subif)# encapsulation dot1Q 30
      
      bridge(config-subif)# interface FastEthernet0.30
      
      bridge(config-subif)# encapsulation dot1Q 30
      
      bridge(config-subif)# end
      bridge# write memory
      

3. 在 SSID Manager（位于 Security > SSID Manager 菜单项下）中，将本地 VLAN 与 SSID 关联。

   注意：桥接时，您必须与VLAN关联的唯一SSID就是与本地VLAN关联的SSID。必须将此 SSID 指定为基础架构 SSID。

   1. 从 Current SSID 列表中，选择 New。

   2. 在 SSID 框中输入所需的 SSID（区分大小写）。

   3. 从下拉列表中选择与本地 VLAN 有关的 VLAN 编号。

      注意：为了将本文档限制在预期范围内，不会涉及SSID的安全性。

   4. 单击 Apply 针对无线电创建 SSID 并关联至本地 VLAN。

      

   5. 滚动到页面底部，在 Global Radio0-802.11G SSID Properties 下，从 Set Infrastructure SSID 下拉列表中选择 SSID。单击 Apply。

      或者，从 CLI 中发出以下命令：

      AP# configure terminal
      Enter configuration commands, one per line.  End with CNTL/Z.
      AP(config)# interface Dot11Radio0
      AP(config-if)# ssid Black
      AP(config-if-ssid)# vlan 1
      AP(config-if-ssid)# infrastructure-ssid
      AP(config-if-ssid)# end
      AP# write memory
      

      注意：使用VLAN时，SSID在物理Dot11Radio接口下配置，而不是在任何逻辑子接口下配置。

      注意：本示例不包括身份验证。根网桥和非根网桥必须进行某些形式的认证（Open、Network-EAP 等）才能关联。

使用 RADIUS 服务器将用户分配给 VLAN

您可以配置 RADIUS 认证服务器，在用户或用户组向网络进行认证时将其分配到特定 VLAN。有关此功能的信息，请参阅文档 Cisco Aironet 接入点的 Cisco IOS 软件配置指南，12.4(3g)JA & 12.3(8)JEB 的使用 RADIUS 服务器将用户分配到 VLAN 部分。

使用 RADIUS 服务器进行动态移动组分配

您还可以配置 RADIUS 服务器，将移动组动态地分配给用户或用户组。这样一来，无需在接入点上配置多个 SSID，只需每个接入点配置一个 SSID。有关此功能的信息，请参阅文档 Cisco Aironet 接入点的 Cisco IOS 软件配置指南，12.4(3g)JA & 12.3(8)JEB 的使用 RADIUS 服务器进行动态移动组分配部分。

接入点和网桥上的网桥组配置

一般来说，网桥组创建分段的交换域。数据流被限制在每个网桥组内，而不是网桥组之间的主机中。交换机只在网桥组所包含的主机之间转发数据流，从而将广播和组播数据流（泛洪）限制在这些主机内。由于网桥组将数据流分段到网络的某些区域，因而缓解了网络拥塞并提高了网络安全性。

有关详细信息，请参阅桥接概述。

在无线网络中，在无线接入点和网桥上配置网桥组的目的，是为了在无线介质与有线端之间传送 VLAN 的数据流。

在 AP CLI 中执行此步骤，以在接入点/网桥上全局启用网桥组。

本示例使用网桥组编号 1。

Ap(configure)#bridge 1

注意：您可以将网桥组编号为1到255。

将无线设备的无线电接口和快速以太网接口配置在同一个网桥组中。这会在这两个不同接口之间创建一个路径，并且它们位于同一个 VLAN 中以便于标记。结果，从无线端发出的数据通过无线电接口传送到有线网络连接的以太网接口，反之亦然。换句话说，属于同一网桥组的无线电接口和以太网接口实际上是在它们之间桥接数据。

在接入点/网桥中，您需要为每个 VLAN 配置一个网桥组，以便在有线端与无线端之间传递数据流。跨无线端传递数据流所需的 VLAN 越多，需要的网桥组就越多。

例如，如果您的网络中只有一个 VLAN 将数据流从无线端传递到有线端，那么在 AP/网桥的 CLI 中只配置一个网桥组。如果有多个 VLAN 在无线端与有线端之间传递数据流，那么在无线电子接口以及快速以太网子接口中，为每个 VLAN 配置网桥组。

1. 在无线接口中采用bridge group dot11radio接口命令配置网桥组。

   示例如下。

   AP# configure terminal
   Enter configuration commands, one per line.  End with CNTL/Z.
   AP(config)# interface Dot11Radio0.1
   Ap(config-subif)# encapsulation dot1q 1 native
   Ap(config-subif)# bridge group 1
    !--- Here "1" represents the bridge group number. 
   
   ap(config-subif)# exit
   

2. 在快速以太网接口中采用同一个网桥组编号（本例中为“1”）配置网桥组，以便 VLAN 1 数据流通过无线接口传送到有线端，反之亦然。

   Ap(config)# interface fastEthernet0.1
   Ap(config-subif)# encapsulation dot1q 1 native
   Ap(config-subif)# bridge group 1
    !--- Here "1" represents the bridge group number. 
   
   Ap(config-subif)# exit
   

   注意：在无线电接口上配置网桥组时，将自动设置这些命令。

   • bridge-group 1 subscriber-loop-control

   • bridge-group 1 block-unknown-source

   • no bridge-group 1 source-learning

   • no bridge-group 1 unicast-flooding

   • bridge-group 1 spanning-disabled

   注意：在快速以太网接口上配置网桥组时，将自动设置以下命令。

   • no bridge-group 1 source-learning

   • bridge-group 1 spanning-disabled

集成路由与桥接 (IRB)

通过集成路由和桥接，可以在路由接口与网桥组之间，或不同网桥组之间路由特定协议。本地数据流或不可路由的数据流可在同一网桥组内的各个桥接接口之间进行桥接，而可路由的数据流可路由至其他路由接口或网桥组。

使用集成路由和桥接，您可以执行以下操作：

• 将数据包从桥接接口交换到路由接口。

• 将数据包从路由接口交换到桥接接口。

• 在同一个网桥组内交换数据包。

要在网桥组之间或路由接口与桥接接口之间路由数据流，可在无线接入点和网桥上启用 IRB。您需要外部路由器或第 3 层交换机，才能在网桥组之间或网桥组与路由接口之间进行路由。

发出以下命令，以在 AP/网桥中启用 IRB。

AP(configure)#bridge irb

集成路由和桥接使用网桥组虚拟接口 (BVI) 概念，以在路由接口与网桥组之间或不同网桥组之间路由数据流。

BVI 是第 3 层交换机路由器内的一个虚拟接口，其操作类似于正常的路由接口。BVI 不支持桥接，但实际上表示与第 3 层交换机路由器内的路由接口对应的网桥组。它具有适用于对应网桥组的所有网络层属性（如网络层地址和过滤器）。分配给此虚拟接口的接口编号对应于此虚拟接口所表示的网桥组。此编号是虚拟接口与网桥组之间的关联。

请执行以下步骤，在接入点和网桥上配置 BVI。

1. 配置 BVI 并将对应的网桥组编号分配给 BVI。在本例中，将网桥组编号 1 分配给 BVI。

   Ap(configure)#interface BVI 1 
   AP(config-if)#ip address 10.1.1.1 255.255.0.0 
    !--- Assign an IP address to the BVI. 
   
   Ap(config-if)#no shut 
   

2. 使 BVI 从其对应的网桥组接受和路由可路由的数据包。

   Ap(config)# bridge 1 route ip!--- 
   
   !--- This example enables the BVI to accept and route the IP packet.
   
   

   请务必了解，只有 AP 所在的管理/本地 VLAN（本例中为 VLAN 1）才需要 BVI。无论您在 AP/网桥上配置了多少个 VLAN 和网桥组，其他任何子接口都不需要 BVI。这是因为您对其他所有 VLAN（除本地 VLAN 之外）中的数据流进行标记，并将其发送到交换机，通过 dot1q 中继接口到达有线端。例如，如果网络中有 2 个 VLAN，那么需要 2 个网桥组，但无线网络中只需要有一个 BVI 对应于管理 VLAN 就够了。

   当您在网桥组虚拟接口中启用给定协议的路由时，来自路由接口（但发往桥接域中的主机）的数据包将路由至网桥组虚拟接口，然后转发至对应的桥接接口。

   路由至网桥组虚拟接口的所有数据流都将作为桥接数据流转发给对应的网桥组。桥接接口中收到的所有可路由数据流都将路由至其他路由接口，好象直接来自网桥组虚拟接口一样。

   有关桥接和 IRB 的详细信息，请参阅配置桥接。

与相关交换机交互

本部分介绍了如何配置或验证与 Cisco Aironet 无线设备相连的 Cisco 交换机的配置。

注意：要查找有关本文档中所用命令的其他信息，请使用命令查找工具(仅限注册客户)。

交换机配置 — Catalyst OS

要配置运行 Catalyst OS 的交换机以将 VLAN 中继到接入点，命令语法为 set trunk <module #/port #> on dot1q 以及 set trunk <module #/port #> <vlan list>。

以网络图示例为例：

set trunk 2/1 on dot1q
set trunk 2/1 1,10,30

交换机配置 — 基于 IOS 的 Catalyst 交换机

如果您希望实现以下目的，请在接口配置模式下输入后面的命令：

• 配置交换机端口以将 VLAN 中继到接入点。

• 在运行 IOS 的 Catalyst 交换机上。

• CatIOS 包括但不限于：

  • 6x00

  • 4x00

  • 35x0

  • 295倍

switchport mode trunk
switchport trunk encapsulation dot1q
switchport nonegotiate
switchport trunk native vlan 1
switchport trunk allowed vlan add 1,10,30

注意：基于IOS的Cisco Aironet无线设备不支持动态中继协议(DTP)，因此交换机不能尝试协商它。

交换机配置— Catalyst 2900XL/3500XL

如果您希望配置交换机端口，以将 VLAN 中继到运行 IOS 的 Catalyst 2900XL 或 3500XL 交换机上的接入点，请在接口配置模式下输入以下命令：

switchport mode trunk
switchport trunk encapsulation dot1q
switchport trunk native vlan 1
switchport trunk allowed vlan 1,10,30

验证

使用本部分可确认配置能否正常运行。

验证无线设备

• show vlan — 显示接入点上当前配置的所有 VLAN 及其状态。

  ap#show vlan
  
  Virtual LAN ID:  1 (IEEE 802.1Q Encapsulation)
  
     vLAN Trunk Interfaces:  FastEthernet0.1
  Dot11Radio0.1
  Virtual-Dot11Radio0.1
  
   This is configured as native Vlan for the following interface(s) :
  FastEthernet0
  Dot11Radio0
  Virtual-Dot11Radio0
  
     Protocols Configured:   Address:          Received:        Transmitted:
          Bridging        Bridge Group 1          36954                   0
          Bridging        Bridge Group 1          36954                   0
  
  Virtual LAN ID:  10 (IEEE 802.1Q Encapsulation)
  
     vLAN Trunk Interfaces:  FastEthernet0.10
  Dot11Radio0.10
  Virtual-Dot11Radio0.10
  
     Protocols Configured:   Address:          Received:        Transmitted:
          Bridging        Bridge Group 10          5297                   0
          Bridging        Bridge Group 10          5297                   0
          Bridging        Bridge Group 10          5297                   0
  
  Virtual LAN ID:  30 (IEEE 802.1Q Encapsulation)
  
     vLAN Trunk Interfaces:  FastEthernet0.30
  Dot11Radio0.30
  Virtual-Dot11Radio0.30
  
     Protocols Configured:   Address:          Received:        Transmitted:
          Bridging        Bridge Group 30          5290                   0
          Bridging        Bridge Group 30          5290                   0
          Bridging        Bridge Group 30          5290                   0
  
  ap#

• show dot11 associations — 按SSID/VLAN显示关联的客户端的有关信息。

  ap#show dot11 associations
  
  802.11 Client Stations on Dot11Radio0:
  
  SSID [Green] :
  
  SSID [Red] :
  
  Others:  (not related to any ssid)
  
  ap#

验证交换机

• 在基于 Catalyst OS 的交换机上，show trunk <module #/port #> — 显示给定端口上中继的状态。

  Console> (enable) show trunk 2/1
  * - indicates vtp domain mismatch
  Port      Mode         Encapsulation  Status        Native vlan
  --------  -----------  -------------  ------------  -----------
   2/1      on           dot1q          trunking      1
  
  Port      Vlans allowed on trunk
  --------  ----------------------------------------------------------------
   2/1      1,10,30
  
  Port      Vlans allowed and active in management domain
  --------  ----------------------------------------------------------------
   2/1      1,10,30
  
  Port      Vlans in spanning tree forwarding state and not pruned
  --------  ----------------------------------------------------------------
   2/1      1,10,30
  Console> (enable)

• 在基于 IOS 的交换机上，show interface fastethernet <module #/port #> trunk — 显示给定接口上中继的状态。

  2950g#show interface fastEthernet 0/22 trunk
  
  Port        Mode         Encapsulation  Status        Native vlan
  Fa0/22      on           802.1q         trunking      1
  
  Port        Vlans allowed on trunk
  Fa0/22      1,10,30
  
  Port        Vlans allowed and active in management domain
  Fa0/22      1,10,30
  
  Port        Vlans in spanning tree forwarding state and not pruned
  Fa0/22      1,10,30
  2950gA#

• 在Catalyst 2900xl/3500XL交换机上，show interface fastethernet <module #/port #> switchport — 显示给定接口上中继的状态。

  cat3524xl#show interface fastEthernet 0/22 switchport
  Name: Fa0/22
  Switchport: Enabled
  Administrative mode: trunk
  Operational Mode: trunk
  Administrative Trunking Encapsulation: dot1q
  Operational Trunking Encapsulation: dot1q
  Negotiation of Trunking: Disabled
  Access Mode VLAN: 0 ((Inactive))
  Trunking Native Mode VLAN: 1 (default)
  Trunking VLANs Enabled: 1,10,30,1002-1005
  Trunking VLANs Active: 1,10,30
  Pruning VLANs Enabled: 2-1001
  
  Priority for untagged frames: 0
  Override vlan tag priority: FALSE
  Voice VLAN: none
  Appliance trust: none
  Self Loopback: No
  wlan-cat3524xl-a#

故障排除

目前没有针对此配置的故障排除信息。

相关信息

• 配置 VLAN（接入点配置指南）
• 配置 VLAN（网桥配置指南）
• 中继技术支持
• 与相关交换机交互
• 实施中继的系统要求
• 桥接概述
• 固定 ISR 上的无线认证类型配置示例
• 通过 SDM 的固定 ISR 上的无线认证类型配置示例
• 使用带 WEP 加密和 LEAP 认证的 ISR 连接无线局域网配置示例
• 基本的无线局域网连接配置示例
• 技术支持和文档 - Cisco Systems