配置工作組網橋(WGB)多個VLAN支援

簡介

本文說明如何配置WGB以支援不同場景下的多個虛擬區域網(VLAN)。 

必要條件

需求

思科建議您瞭解AireOS無線LAN控制器(WLC)和處於自主模式配置的接入點(AP)的基本知識。

採用元件

• WLC v8.2
• 自治AP v15.3(3)JD4
• 無線存取點(CAPWAP)AP的控制和布建
• 支援交換機802.1q

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

設定

具有與CAPWAP AP關聯的多個VLAN的WGB

此示例說明如何配置支援與CAPWAP AP關聯的多個VLAN的WGB。接入點可以處於本地模式或網橋模式（網狀）。此方案要求WGB連線到支援802.1q的交換機，否則WGB無法支援多個VLAN。在此範例中，WGB連線到Cisco交換器3560。

如果交換機不支援802.1q，則所有客戶端都將分配給本徵VLAN。

在此示例中，WGB分配給VLAN 210，連線到WGB後交換機的客戶端分配給VLAN 2601和2602。

WLC還必須配置屬於客戶端vlan的動態介面。在本例中，WLC的VLAN 2601、2602和210上必須具有動態介面。

網路圖表

WLC組態

步驟 1.開啟WLC的圖形使用者介面(GUI)，然後導覽至CONTROLLER > Interfaces，以驗證WLC上目前設定的動態介面。如果尚未設定需要的VLAN，請按一下New，然後新增需要的VLAN。

輸入介面的資訊

註:如果您的WLC已啟用連結彙總(LAG)，則您無法選擇連線埠號碼。

步驟 2.導覽至WLANs > Create New > Go。

步驟 3.選擇SSID和配置檔案的名稱，然後按一下Apply。

CLI:

> config wlan create <id> <profile-name> <ssid-name>

步驟 4.將WGB的本徵VLAN分配給WLAN

步驟 5.分配WGB用於與SSID關聯的預共用金鑰。

導覽至Security > Layer 2 > Authentication Key Management。 選擇PSK並填寫密碼。

步驟 6.確保WLAN啟用了Aironet IE，否則WGB無法關聯。

註:在本示例中，SSID使用WPA2/PSK安全性，如果需要使用更強的安全方法（如WPA2/802.1x）配置WLAN，可以參考以下連結：802.1x驗證與PEAP、ISE 2.1和WLC 8.3

步驟 7.啟用WLC以支援來自WGB的多個VLAN

>config wgb vlan enable

WGB配置

步驟 1.新增每個VLAN所需的子介面。在此示例中，VLAN 210（本徵）、2601和2602被新增到WGB配置中。

WGB# config t
WGB# interface dot11radio 0.210
WGB# encapsulation dot1q 210 native
 
WGB# interface dot11radio 0.2601
WGB# encapsulation dot1q 2601
WGB# bridge-group 21
 
WGB# interface dot11radio 0.2602
WGB# encapsulation dot1q 2602
WGB# bridge-group 22
 
WGB# interface dot11radio 1.210
WGB# encapsulation dot1q 210 native
 
WGB# interface dot11radio 1.2601
WGB# encapsulation dot1q 2601
WGB# bridge-group 21
 
WGB# interface dot11radio 1.2602
WGB# encapsulation dot1q 2602
WGB# bridge-group 22
 
WGB# interface gigabit 0.210
WGB# encapsulation dot1q 210 native
 
WGB# interface gigabit 0.2601
WGB# encapsulation dot1q 2601
WGB# bridge-group 21
 
WGB# interface gigabit 0.2602
WGB# encapsulation dot1q 2602
WGB# bridge-group 22

  

注意:子介面2601和2602的網橋組為21和22，因為網橋組的有效範圍為1到255。

注意:沒有為子介面210指定網橋組，因為在將本徵VLAN分配給子介面時，它會自動分配網橋組1。

步驟 2.建立服務集識別符號(SSID)。

在此示例中，SSID使用WPA2/PSK，如果您需要WGB與具有較強安全性的SSID（如WPA2/802.1x）關聯，您可以參考以下連結：

使用PEAP身份驗證的工作組網橋配置示例

WGB# config t
WGB# dot11 ssid wgb-tst
WGB# vlan 210
WGB# authentication open
WGB# authentication key-management wpa version 2
WGB# infrastructure-ssid
WGB# wpa-psk ascii 0 cisco123

步驟 3.將SSID新增到用於與CAPWAP AP關聯的介面中。

此步驟還使用命令station-role workgroup-bridge將AP設定為工作組網橋。

註：在本示例中，WGB使用其2.4GHz介面與CAPWAP AP關聯，如果您需要WGB與其5GHz介面關聯，請將此配置新增到介面Dot11Radio1。

WGB# config t
WGB# interface Dot11Radio0
WGB# encryption vlan 210 mode ciphers aes-ccmp
WGB# ssid WGB-tst
WGB# station-role workgroup-bridge

步驟 4.啟用WGB統一VLAN功能。

此命令可讓WGB通知WLC應將使用者端分配到的VLAN。

WGB# config t
WGB# workgroup-bridge unified-vlan-client

交換機配置

步驟 1.建立 VLAN。

SW# config t
SW# vlan 210, 2601, 2602

步驟 2.配置WGB插入的埠。 

SW# config t
SW# interface <interface-id>
SW# switchport mode trunk
SW# switchport trunk native vlan 210
SW# switchport trunk allowed vlan 210, 2601, 2602

步驟 3.將客戶端插入的介面分配到所需的VLAN。

SW# config t
SW# interface <interface-id>
SW# switchport mode access
SW# switchport access vlan <vlan-id>

WGB帶802.1q交換機，以及根模式下與自治AP關聯的多個VLAN。

網路圖表

根AP配置

步驟 1.新增每個VLAN所需的子介面。

在此示例中，VLAN 210（本徵）、2601和2602將按照WGB的步驟1中的說明新增到根AP配置，其中多個VLAN與CAPWAP AP - WGB配置相關聯。

步驟 2.建立服務集識別符號(SSID)。

在本示例中，SSID使用WPA2/PSK，如果您需要使用SSID配置根AP，使其使用更強大的安全方法（如WPA2/802.1x），可以參考以下連結：

在自發 AP 上設定 SSID 和 VLAN

Root-AP# config t
Root-AP# dot11 ssid WGB-tst
Root-AP# vlan 210
Root-AP# authentication open
Root-AP# authentication key-management wpa version 2
Root-AP# infrastructure-ssid
Root-AP# wpa-psk ascii 0 cisco123

步驟 3.將SSID新增到根AP用於廣播SSID的介面。

註：在本示例中，根AP使用其2.4GHz介面廣播SSID，如果您需要根AP使用其5GHz介面廣播該SSID，請將此配置新增到介面Dot11Radio1。

Root-AP# config t
Root-AP# interface Dot11Radio0
Root-AP# encryption vlan 210 mode ciphers aes-ccmp
Root-AP# ssid WGB-tst
Root-AP# infrastructure-client
Root-AP# no shut

  

infrastructure-client 指令允許根AP尊重WGB對其有線使用者端所具有的VLAN分配。如果沒有此命令，根AP會將所有客戶端分配給本徵VLAN。

WGB配置

步驟 1.新增每個VLAN所需的子介面。

在此示例中，VLAN 210（本徵）、2601和2602將按照WGB的步驟1中的說明新增到根AP配置，其中多個VLAN與CAPWAP AP - WGB配置相關聯。

步驟 2.建立服務集識別符號(SSID)。

在此示例中，SSID使用WPA2/PSK，如果您需要WGB與具有較強安全性的SSID（如WPA2/802.1x）關聯，您可以參考以下連結：

使用PEAP身份驗證的工作組網橋配置示例

WGB# config t
WGB# dot11 ssid WGB-tst
WGB# vlan 210
WGB# authentication open
WGB# authentication key-management wpa version 2
WGB# infrastructure-ssid
WGB# wpa-psk ascii 0 cisco123

步驟 3.將SSID新增到用於與CAPWAP AP關聯的介面中。

此步驟還使用命令station-role workgroup-bridge將AP設定為工作組網橋。

註：在本示例中，WGB使用其2.4GHz介面與CAPWAP AP關聯，如果您需要WGB與其5GHz介面關聯，請將此配置新增到介面Dot11Radio1。

WGB# config t
WGB# interface Dot11Radio0
WGB# encryption vlan 210 mode ciphers aes-ccmp
WGB# ssid WGB-tst
WGB# station-role workgroup-bridge
WGB# no shut

交換機配置

對於與CAPWAP AP關聯的多個VLAN的WGB上的交換機，您可以遵循相同的配置。

WGB沒有後置交換機，並且有多個VLAN與根模式下的自治AP關聯。

此範例允許WGB使用2個不同的VLAN（本徵VLAN和另一個VLAN），如果您需要有兩個以上的VLAN，則需要在WGB後面新增一個具備802.1q功能的交換器，並連線其上的使用者端。然後按照WGB(後置802.1q交換機)和根模式下與自治AP關聯的多個VLAN上的說明進行操作。

網路圖表

根AP配置

步驟 1.新增每個VLAN所需的子介面。

子介面配置與CAPWAP AP關聯多個VLAN的WGB的步驟1 - WGB配置中相同，但是在這種情況下，您只需要配置VLAN 210（本徵）和VLAN 2602（客戶端VLAN）。

步驟 2.建立服務集識別符號(SSID)。

在本示例中，SSID使用WPA2/PSK，如果您需要使用SSID配置根AP，使其使用更強大的安全方法（如WPA2/802.1x），可以參考以下連結：

在自發 AP 上設定 SSID 和 VLAN

Root-AP# config t
Root-AP# dot11 ssid WGB-tst
Root-AP# vlan 210
Root-AP# authentication open
Root-AP# authentication key-management wpa version 2
Root-AP# infrastructure-ssid
Root-AP# wpa-psk ascii 0 cisco123

步驟 3.將SSID新增到根AP用於廣播SSID的介面。

註：在本示例中，根AP使用其2.4GHz介面廣播SSID，如果您需要根AP使用其5GHz介面廣播該SSID，請將此配置新增到介面Dot11Radio1。

Root-AP# config t
Root-AP# interface Dot11Radio0
Root-AP# encryption vlan 210 mode ciphers aes-ccmp
Root-AP# ssid WGB-tst
Root-AP# infrastructure-client
Root-AP# no shut

指令 infrastructure-client 允許根AP尊重WGB為其有線客戶端分配的VLAN。如果沒有此命令，根AP會將所有客戶端分配給本徵VLAN。

WGB配置 

步驟 1.新增每個VLAN所需的子介面。在此示例中，VLAN 210（本徵）和2601被新增到WGB配置中。

子介面配置與在上的 第1步，共步 WGB與多個VLAN關聯到CAPWAP AP - WGB配置，但是在本例中，您只需要配置VLAN 210（本徵）和VLAN 2602（客戶端VLAN）。

步驟 2.建立服務集識別符號(SSID)。

在此示例中，SSID使用WPA2/PSK，如果您需要WGB與具有較強安全性的SSID（如WPA2/802.1x）關聯，您可以參考以下連結：

使用PEAP身份驗證的工作組網橋配置示例

WGB# config t
WGB# dot11 ssid WGB-tst
WGB# vlan 210
WGB# authentication open
WGB# authentication key-management wpa version 2
WGB# infrastructure-ssid
WGB# wpa-psk ascii 0 cisco123

步驟 3.將SSID新增到用於與CAPWAP AP關聯的介面中。

此步驟還使用命令station-role workgroup-bridge將AP設定為工作組網橋。

註：在本示例中，WGB使用其2.4GHz介面與CAPWAP AP關聯，如果您需要WGB與其5GHz介面關聯，請將此配置新增到介面Dot11Radio1。

WGB# config t
WGB# interface Dot11Radio0
WGB# encryption vlan 210 mode ciphers aes-ccmp
WGB# ssid WGB-tst
WGB# station-role workgroup-bridge
WGB# no shut

步驟 4.指定客戶端VLAN。

WGB# config t
WGB# workgroup-bridge client-vlan 2601

  

驗證

運行此命令以驗證WGB是否與根AP關聯，以及根AP是否可以看到在WGB後連線的有線客戶端：

WGB# show dot11 associations

802.11 Client Stations on Dot11Radio0:

SSID [WGB-tst] :

MAC Address    IP address      IPV6 address                           Device        Name            Parent         State     
00eb.d5ee.da70 200.200.200.4   ::                                     ap1600-Parent Root-AP         -              Assoc    


Root-AP# show dot11 associations

802.11 Client Stations on Dot11Radio0:

SSID [WGB-tst] :

MAC Address    IP address      IPV6 address                           Device        Name            Parent         State     
0035.1ac1.78c7 206.206.206.2   ::                                     WGB-client    -               00f6.6316.4258 Assoc    
00f6.6316.4258 200.200.200.3   ::                                     WGB           WGB             self           Assoc