簡介
本文說明如何配置WGB以支援不同場景下的多個虛擬區域網(VLAN)。
必要條件
需求
思科建議您瞭解AireOS無線LAN控制器(WLC)和處於自主模式配置的接入點(AP)的基本知識。
採用元件
- WLC v8.2
- 自治AP v15.3(3)JD4
- 無線存取點(CAPWAP)AP的控制和布建
- 支援交換機802.1q
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
設定
具有與CAPWAP AP關聯的多個VLAN的WGB
此示例說明如何配置支援與CAPWAP AP關聯的多個VLAN的WGB。接入點可以處於本地模式或網橋模式(網狀)。此方案要求WGB連線到支援802.1q的交換機,否則WGB無法支援多個VLAN。在此範例中,WGB連線到Cisco交換器3560。
如果交換機不支援802.1q,則所有客戶端都將分配給本徵VLAN。
在此示例中,WGB分配給VLAN 210,連線到WGB後交換機的客戶端分配給VLAN 2601和2602。
WLC還必須配置屬於客戶端vlan的動態介面。在本例中,WLC的VLAN 2601、2602和210上必須具有動態介面。
網路圖表
WLC組態
步驟 1.開啟WLC的圖形使用者介面(GUI),然後導覽至CONTROLLER > Interfaces,以驗證WLC上目前設定的動態介面。如果尚未設定需要的VLAN,請按一下New,然後新增需要的VLAN。
輸入介面的資訊
註:如果您的WLC已啟用連結彙總(LAG),則您無法選擇連線埠號碼。
步驟 2.導覽至WLANs > Create New > Go。
步驟 3.選擇SSID和配置檔案的名稱,然後按一下Apply。
CLI:
> config wlan create <id> <profile-name> <ssid-name>
步驟 4.將WGB的本徵VLAN分配給WLAN
步驟 5.分配WGB用於與SSID關聯的預共用金鑰。
導覽至Security > Layer 2 > Authentication Key Management。 選擇PSK並填寫密碼。
步驟 6.確保WLAN啟用了Aironet IE,否則WGB無法關聯。
註:在本示例中,SSID使用WPA2/PSK安全性,如果需要使用更強的安全方法(如WPA2/802.1x)配置WLAN,可以參考以下連結:802.1x驗證與PEAP、ISE 2.1和WLC 8.3
步驟 7.啟用WLC以支援來自WGB的多個VLAN
>config wgb vlan enable
WGB配置
步驟 1.新增每個VLAN所需的子介面。在此示例中,VLAN 210(本徵)、2601和2602被新增到WGB配置中。
WGB# config t
WGB# interface dot11radio 0.210
WGB# encapsulation dot1q 210 native
WGB# interface dot11radio 0.2601
WGB# encapsulation dot1q 2601
WGB# bridge-group 21
WGB# interface dot11radio 0.2602
WGB# encapsulation dot1q 2602
WGB# bridge-group 22
WGB# interface dot11radio 1.210
WGB# encapsulation dot1q 210 native
WGB# interface dot11radio 1.2601
WGB# encapsulation dot1q 2601
WGB# bridge-group 21
WGB# interface dot11radio 1.2602
WGB# encapsulation dot1q 2602
WGB# bridge-group 22
WGB# interface gigabit 0.210
WGB# encapsulation dot1q 210 native
WGB# interface gigabit 0.2601
WGB# encapsulation dot1q 2601
WGB# bridge-group 21
WGB# interface gigabit 0.2602
WGB# encapsulation dot1q 2602
WGB# bridge-group 22
注意:子介面2601和2602的網橋組為21和22,因為網橋組的有效範圍為1到255。
注意:沒有為子介面210指定網橋組,因為在將本徵VLAN分配給子介面時,它會自動分配網橋組1。
步驟 2.建立服務集識別符號(SSID)。
在此示例中,SSID使用WPA2/PSK,如果您需要WGB與具有較強安全性的SSID(如WPA2/802.1x)關聯,您可以參考以下連結:
使用PEAP身份驗證的工作組網橋配置示例
WGB# config t
WGB# dot11 ssid wgb-tst
WGB# vlan 210
WGB# authentication open
WGB# authentication key-management wpa version 2
WGB# infrastructure-ssid
WGB# wpa-psk ascii 0 cisco123
步驟 3.將SSID新增到用於與CAPWAP AP關聯的介面中。
此步驟還使用命令station-role workgroup-bridge將AP設定為工作組網橋。
註:在本示例中,WGB使用其2.4GHz介面與CAPWAP AP關聯,如果您需要WGB與其5GHz介面關聯,請將此配置新增到介面Dot11Radio1。
WGB# config t
WGB# interface Dot11Radio0
WGB# encryption vlan 210 mode ciphers aes-ccmp
WGB# ssid WGB-tst
WGB# station-role workgroup-bridge
步驟 4.啟用WGB統一VLAN功能。
此命令可讓WGB通知WLC應將使用者端分配到的VLAN。
WGB# config t
WGB# workgroup-bridge unified-vlan-client
交換機配置
步驟 1.建立 VLAN。
SW# config t
SW# vlan 210, 2601, 2602
步驟 2.配置WGB插入的埠。
SW# config t
SW# interface <interface-id>
SW# switchport mode trunk
SW# switchport trunk native vlan 210
SW# switchport trunk allowed vlan 210, 2601, 2602
步驟 3.將客戶端插入的介面分配到所需的VLAN。
SW# config t
SW# interface <interface-id>
SW# switchport mode access
SW# switchport access vlan <vlan-id>
WGB帶802.1q交換機,以及根模式下與自治AP關聯的多個VLAN。
網路圖表
根AP配置
步驟 1.新增每個VLAN所需的子介面。
在此示例中,VLAN 210(本徵)、2601和2602將按照WGB的步驟1中的說明新增到根AP配置,其中多個VLAN與CAPWAP AP - WGB配置相關聯。
步驟 2.建立服務集識別符號(SSID)。
在本示例中,SSID使用WPA2/PSK,如果您需要使用SSID配置根AP,使其使用更強大的安全方法(如WPA2/802.1x),可以參考以下連結:
在自發 AP 上設定 SSID 和 VLAN
Root-AP# config t
Root-AP# dot11 ssid WGB-tst
Root-AP# vlan 210
Root-AP# authentication open
Root-AP# authentication key-management wpa version 2
Root-AP# infrastructure-ssid
Root-AP# wpa-psk ascii 0 cisco123
步驟 3.將SSID新增到根AP用於廣播SSID的介面。
註:在本示例中,根AP使用其2.4GHz介面廣播SSID,如果您需要根AP使用其5GHz介面廣播該SSID,請將此配置新增到介面Dot11Radio1。
Root-AP# config t
Root-AP# interface Dot11Radio0
Root-AP# encryption vlan 210 mode ciphers aes-ccmp
Root-AP# ssid WGB-tst
Root-AP# infrastructure-client
Root-AP# no shut
infrastructure-client 指令允許根AP尊重WGB對其有線使用者端所具有的VLAN分配。如果沒有此命令,根AP會將所有客戶端分配給本徵VLAN。
WGB配置
步驟 1.新增每個VLAN所需的子介面。
在此示例中,VLAN 210(本徵)、2601和2602將按照WGB的步驟1中的說明新增到根AP配置,其中多個VLAN與CAPWAP AP - WGB配置相關聯。
步驟 2.建立服務集識別符號(SSID)。
在此示例中,SSID使用WPA2/PSK,如果您需要WGB與具有較強安全性的SSID(如WPA2/802.1x)關聯,您可以參考以下連結:
使用PEAP身份驗證的工作組網橋配置示例
WGB# config t
WGB# dot11 ssid WGB-tst
WGB# vlan 210
WGB# authentication open
WGB# authentication key-management wpa version 2
WGB# infrastructure-ssid
WGB# wpa-psk ascii 0 cisco123
步驟 3.將SSID新增到用於與CAPWAP AP關聯的介面中。
此步驟還使用命令station-role workgroup-bridge將AP設定為工作組網橋。
註:在本示例中,WGB使用其2.4GHz介面與CAPWAP AP關聯,如果您需要WGB與其5GHz介面關聯,請將此配置新增到介面Dot11Radio1。
WGB# config t
WGB# interface Dot11Radio0
WGB# encryption vlan 210 mode ciphers aes-ccmp
WGB# ssid WGB-tst
WGB# station-role workgroup-bridge
WGB# no shut
交換機配置
對於與CAPWAP AP關聯的多個VLAN的WGB上的交換機,您可以遵循相同的配置。
WGB沒有後置交換機,並且有多個VLAN與根模式下的自治AP關聯。
此範例允許WGB使用2個不同的VLAN(本徵VLAN和另一個VLAN),如果您需要有兩個以上的VLAN,則需要在WGB後面新增一個具備802.1q功能的交換器,並連線其上的使用者端。然後按照WGB(後置802.1q交換機)和根模式下與自治AP關聯的多個VLAN上的說明進行操作。
網路圖表
根AP配置
步驟 1.新增每個VLAN所需的子介面。
子介面配置與CAPWAP AP關聯多個VLAN的WGB的步驟1 - WGB配置中相同,但是在這種情況下,您只需要配置VLAN 210(本徵)和VLAN 2602(客戶端VLAN)。
步驟 2.建立服務集識別符號(SSID)。
在本示例中,SSID使用WPA2/PSK,如果您需要使用SSID配置根AP,使其使用更強大的安全方法(如WPA2/802.1x),可以參考以下連結:
在自發 AP 上設定 SSID 和 VLAN
Root-AP# config t
Root-AP# dot11 ssid WGB-tst
Root-AP# vlan 210
Root-AP# authentication open
Root-AP# authentication key-management wpa version 2
Root-AP# infrastructure-ssid
Root-AP# wpa-psk ascii 0 cisco123
步驟 3.將SSID新增到根AP用於廣播SSID的介面。
註:在本示例中,根AP使用其2.4GHz介面廣播SSID,如果您需要根AP使用其5GHz介面廣播該SSID,請將此配置新增到介面Dot11Radio1。
Root-AP# config t
Root-AP# interface Dot11Radio0
Root-AP# encryption vlan 210 mode ciphers aes-ccmp
Root-AP# ssid WGB-tst
Root-AP# infrastructure-client
Root-AP# no shut
指令 infrastructure-client 允許根AP尊重WGB為其有線客戶端分配的VLAN。如果沒有此命令,根AP會將所有客戶端分配給本徵VLAN。
WGB配置
步驟 1.新增每個VLAN所需的子介面。在此示例中,VLAN 210(本徵)和2601被新增到WGB配置中。
子介面配置與在上的 第1步,共步 WGB與多個VLAN關聯到CAPWAP AP - WGB配置,但是在本例中,您只需要配置VLAN 210(本徵)和VLAN 2602(客戶端VLAN)。
步驟 2.建立服務集識別符號(SSID)。
在此示例中,SSID使用WPA2/PSK,如果您需要WGB與具有較強安全性的SSID(如WPA2/802.1x)關聯,您可以參考以下連結:
使用PEAP身份驗證的工作組網橋配置示例
WGB# config t
WGB# dot11 ssid WGB-tst
WGB# vlan 210
WGB# authentication open
WGB# authentication key-management wpa version 2
WGB# infrastructure-ssid
WGB# wpa-psk ascii 0 cisco123
步驟 3.將SSID新增到用於與CAPWAP AP關聯的介面中。
此步驟還使用命令station-role workgroup-bridge將AP設定為工作組網橋。
註:在本示例中,WGB使用其2.4GHz介面與CAPWAP AP關聯,如果您需要WGB與其5GHz介面關聯,請將此配置新增到介面Dot11Radio1。
WGB# config t
WGB# interface Dot11Radio0
WGB# encryption vlan 210 mode ciphers aes-ccmp
WGB# ssid WGB-tst
WGB# station-role workgroup-bridge
WGB# no shut
步驟 4.指定客戶端VLAN。
WGB# config t
WGB# workgroup-bridge client-vlan 2601
驗證
運行此命令以驗證WGB是否與根AP關聯,以及根AP是否可以看到在WGB後連線的有線客戶端:
WGB# show dot11 associations
802.11 Client Stations on Dot11Radio0:
SSID [WGB-tst] :
MAC Address IP address IPV6 address Device Name Parent State
00eb.d5ee.da70 200.200.200.4 :: ap1600-Parent Root-AP - Assoc
Root-AP# show dot11 associations
802.11 Client Stations on Dot11Radio0:
SSID [WGB-tst] :
MAC Address IP address IPV6 address Device Name Parent State
0035.1ac1.78c7 206.206.206.2 :: WGB-client - 00f6.6316.4258 Assoc
00f6.6316.4258 200.200.200.3 :: WGB WGB self Assoc