使用無線LAN控制器配置AP組VLAN

簡介

本檔案將示範如何使用無線LAN控制器(WLC)和輕量存取點(LAP)設定存取點(AP)群組VLAN。

必要條件

需求

嘗試此組態之前，請確保符合以下要求：

• LAP和Cisco WLC配置的基本知識

• 輕量型存取點通訊協定(LWAPP)基礎知識

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Cisco 4400 WLC（執行韌體版本4.0）

• Cisco 1000系列LAP

• 執行韌體版本2.6的Cisco 802.11a/b/g無線使用者端配接器

• 執行Cisco IOS^®軟體版本12.4(2)XA的Cisco 2811路由器

• 兩台執行Cisco IOS軟體版本12.0(5)WC3b的Cisco 3500 XL系列交換器

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

慣例

如需文件慣例的詳細資訊，請參閱思科技術提示慣例。

背景資訊

在典型的部署方案中，每個WLAN對映到每個WLC的一個動態介面，但請考慮支援最大AP數量(100)的4404-100 WLC的部署方案。 現在考慮一個場景，其中25個使用者與每個AP關聯。這將導致2500個使用者共用一個VLAN。某些客戶設計可能需要更小的子網大小。解決此問題的一種方法是將WLAN拆分為多個網段。WLC的AP分組功能允許控制器上的多個動態介面(VLAN)上支援單個WLAN。當AP組對映到特定動態介面時，將完成此操作。AP可以按員工工作組進行邏輯分組，也可以按位置進行物理分組。

AP組VLAN用於需要通用WLAN（服務集識別符號[SSID]）的設定，但客戶端需要通過與其關聯的物理LAP進行區分（位於WLC上配置的不同介面上）。

AP組VLAN（也稱為站點特定的VLAN）是一種通過建立Cisco LAP組（覆蓋WLAN通常提供的介面）來在WLAN上實現負載均衡的方法。當客戶端加入WLAN時，所使用的介面由與其關聯的LAP確定，並查詢該LAP的AP組VLAN和WLAN。

將介面分配給裝置的傳統方法基於SSID或AAA策略覆蓋。在這種情況下，如果使用者端想要將資訊廣播到WLAN上的另一個使用者端，該WLAN上的所有使用者端都會接收該廣播，而不論該廣播是否針對這些使用者端。

AP組VLAN功能是用於將廣播域限製為最小值的另一種方法。這可以通過將WLAN邏輯分割為不同的廣播域來實現。它將WLAN的廣播限製為較小的LAP組。這有助於更有效地管理負載平衡和頻寬分配。AP組VLAN功能在控制器中建立一個新表，其中列出了每個WLAN ID的介面。表中的每個條目都使用位置名稱（定義LAP組）索引。

注意：AP組不允許跨組邊界進行組播漫遊。AP組允許同一控制器上的AP將相同的WLAN(SSID)對映到不同的VLAN。如果客戶端在不同組中的AP之間漫遊，則組播會話無法正常工作，因為當前不支援此功能。目前，WLC僅針對WLAN上設定的VLAN轉送多點傳送，不會考慮在AP群組內設定的VLAN。

此清單顯示可在WLC上設定的AP群組的最大數量：

• 思科2100系列控制器和控制器網路模組最多支援50個接入點組

• Cisco 4400系列控制器、Cisco WiSM和Cisco 3750G無線LAN控制器交換機最多可有300個接入點組

• Cisco 5500系列控制器最多支援500個接入點組

本文提供一個組態範例，說明此功能的使用，並說明如何設定站台特定的VLAN。

網路設定

在此網路設定中，有兩棟獨立的建築。1號樓住學生，2號樓住員工。每棟建築都有自己的一組LAP，這些LAP與同一個WLC通訊，但只通告一個名為School的WLAN(SSID)。1號樓有5個LAP，2號樓有5個LAP。

建築1中的LAP應分組到繫結到名為Student-VLAN的動態介面的AP組Students中。大樓2中的LAP應分組到繫結到名為Staff-VLAN的動態介面的AP組Staff。在WLC上配置該配置後，所有與Building 1中的LAP關聯的客戶端都會置於學生 — VLAN介面上，並從為Students AP組配置的DHCP作用域中分配一個IP地址。與Building 2中的LAP關聯的客戶端被放置在Staff-VLAN介面上，並從為Staff AP組配置的DHCP範圍中分配IP地址，即使所有客戶端都關聯到同一個WLAN(SSID)，即School。

此範例顯示如何為此設定設定WLC和LAP。以下引數用於本文檔中的網路設定：

AP Group 1: 							
AP Group Name : Students
Dynamic Interface : Student-VLAN
DHCP server: 172.16.1.30 (Internal DHCP Server on the WLC)
DHCP Scope: 10.0.0.2-10.0.0.15
Authentication : none
SSID: School

AP Group 2: 
AP Group Name : Staff
Dynamic Interface : Staff-VLAN
DHCP server: 172.16.1.30 (Internal DHCP Server on the WLC)
DHCP Scope: 192.168.1.2-192.168.1.15
Authentication : none
SSID: School

設定

在配置AP組VLAN功能之前，必須配置WLC進行基本操作並將LAP註冊到WLC。本檔案假設WLC已設定為基本操作，且LAP已註冊到WLC。如果您是嘗試設定WLC以使用LAP執行基本操作的新使用者，請參閱向無線LAN控制器(WLC)註冊輕量AP(LAP)。

在LAP註冊到WLC後，您可以配置AP組VLAN功能。

完成以下任務，以便為此設定配置LAP和WLC:

1. 配置Student-VLAN和Staff-VLAN動態介面。

2. 為學生和員工建立AP組。

3. 將LAP分配到相應的AP組。

4. 驗證設定.

網路圖表

配置Student-VLAN和Staff-VLAN動態介面

完成以下步驟，以便在WLC上建立動態介面：

1. 前往WLC GUI並選擇Controller > Interfaces。

   出現「Interfaces（介面）」視窗。此視窗列出控制器上配置的介面。其中包括以下介面：

   • 管理介面

   • ap-manager介面

   • 虛擬介面

   • 服務連線埠介面

   • 使用者定義的動態介面

   按一下「New」以建立一個新的動態介面。

   

2. 在Interfaces > New視窗中，輸入介面名稱和VLAN ID。然後按一下「Apply」。

   在本例中，動態介面命名為Student-VLAN，VLAN ID分配為10。

   

3. 在Interfaces > Edit視窗中，輸入動態介面的IP地址、子網掩碼和預設網關。將其分配給WLC上的物理埠，並輸入DHCP伺服器的IP地址。然後按一下「Apply」。

   在本例中，以下引數用於學生VLAN介面：

   Student-VLAN
   IP address: 10.0.0.1
   Netmask: 255.0.0.0
   Default gateway: 10.0.0.50
   Port on WLC: 1
   DHCP server: 172.16.1.30 (Internal DHCP server on the WLC)

   

4. 重複步驟1至3，為Staff-VLAN建立動態介面。

   此示例對Staff-VLAN介面使用以下引數：

   Staff-VLAN
   IP address: 192.168.1.1
   Netmask: 255.255.255.0
   Default gateway: 192.168.1.50
   Port on WLC: 1
   DHCP server: 172.16.1.30 (Internal DHCP server on the WLC)

   

   

   一旦建立了兩個動態介面，「介面」視窗就會彙總控制器上配置的介面清單：

   

下一步是在WLC上配置AP組。

為學生和員工建立AP組

完成以下步驟，以便在WLC上為學生和職員建立AP群組：

1. 前往控制器GUI，然後選擇WLANs > AP Groups VLAN。

   系統將顯示AP組VLAN頁面。

2. 選中AP Group VLANs Feature Enable，然後按一下Apply以啟用AP Group VLAN功能。

3. 輸入AP組名稱和說明，然後按一下新建AP組以建立新的AP組。

   在此設定中，建立兩個AP組。一個AP組用於大樓1中的LAP（用於學生訪問WLAN網路），名稱為Students。第二個AP組用於2號樓中的LAP（用於員工訪問WLAN），名稱為Staff。

   

   注意：發出以下命令以便從CLI啟用AP組VLAN功能：

   config location enable/disable
   

   注意：發出以下命令以使用CLI定義位置字串（AP組名稱）：

   config location add 
           
            
           
   

4. 對於名為Students的新AP組，請按一下Detail。從WLAN SSID下拉選單中選擇適當的SSID以及要與此AP組進行對映的介面。

   對於AP組Students，選擇SSID School，並將其對映到Students-VLAN介面。按一下Add Interface Mapping。以下螢幕截圖顯示了示例：

   

   

5. 按一下「Apply」。

   注意：發出以下命令，以便通過CLI將介面對映到AP組：

   config location interface-mapping add 
           
            
             
              
             
           
   

6. 重複步驟3至5，建立名為Staff的第二個AP組。

   對於AP組Staff，選擇SSID School，並將其對映到介面Staff-VLAN。以下螢幕截圖顯示了示例：

   

   

   從無線區域網控制器版本4.1.181.0開始，使用CLI配置AP組的命令已更改。在4.1.181.0版中，以下是用於使用CLI配置新AP組的命令：

   要啟用AP組，請使用以下命令：

   config wlan apgroup add <apgroup name> <description>

   要刪除現有組，請使用以下命令：

   config wlan apgroup delete <apgroup name>

   要向AP組新增描述，請使用以下命令：

   config wlan apgroup description <apgroup name> <description>

   要建立新的AP組/WLAN/介面對映，請使用以下命令：

   config wlan apgroup interface-mapping add <apgroup name> <WLAN Id> <Interface Name>

將LAP分配給適當的AP組

最後的任務是將這些LAP分配給相應的AP組。第1號樓中有五個LAP，第2號樓中有五個LAP。將第1號樓中的LAP分配給「學生」AP組，將第2號樓中的LAP分配給「教職員工」AP組。

完成以下步驟即可完成此操作：

1. 前往控制器GUI，然後選擇Wireless > Access Points > All APs。

   All APs頁面列出當前註冊到控制器的LAP。

2. 按一下LAP的Detail連結以將LAP分配給AP組。

   在選定LAP的「所有AP」>「詳細資訊」頁面中，從「AP組名稱」下拉選單中選擇適當的AP組。

   

   在本示例中，將Building 1中的一個LAP分配給Students AP組。按一下「Apply」。

   注意：從控制器CLI發出以下命令，以便將AP組分配給LAP:

   config ap group-name 
           
            
           
           
   

3. 對需要對映到AP組Students的所有五個LAP以及需要對映到AP組Staff的五個LAP，重複步驟1和2。

   以下是對應AP組Staff的其中一個LAP的螢幕截圖：

   

完成這些步驟後，您已配置了兩個名為Staff and Students的AP組，並且將Building 1中的五個LAP對映到AP組Students，將Building 2中的五個LAP對映到AP組Staff。現在，Building 1中的客戶端使用SSID School連線到WLAN時，它們會被對映到AP組Students，並從為動態介面Student-VLAN定義的DHCP範圍中分配一個IP地址。同樣，當來自建築2的客戶端使用SSID School連線到WLAN時，它們會被對映到AP組Staff，並從為Staff-VLAN動態介面定義的DHCP範圍分配IP地址。

注意：當您配置兩個控制器以允許AP加入它們並在它們上定義AP組時，以便客戶端在不同控制器之間從一個接入點組漫遊到另一個接入點組時，SSID將對映到不同AP組上的不同介面。由於您目前的多點傳送實作，使用者端無法接收多點傳送封包。組播模式不適用於包括AP組、動態VLAN分配等的任何介面覆蓋功能。

驗證

若要驗證設定，可以使用show location summary指令。以下提供範例。

(Cisco Controller) >show location summary

Status........................................... enabled

Site Name....................................... Staff
Site Description................................. AP Group - Staff in Building2
    WLAN......................................... 2
        Interface Override....................... staff-vlan

Site Name....................................... Students
Site Description................................. AP Group - Students in Building1
    WLAN......................................... 1
        Interface Override....................... student-vlan

對於運行版本4.1.181.0或更高版本的WLC，使用此命令驗證AP組VLAN配置。

show wlan apgroups

為了驗證此設定，此示例顯示了當客戶端與建築1中的某個LAP關聯時會發生的情況。當客戶端在建築1中啟動時，它會使用SSID學校與建築1中的某個LAP關聯。它會自動對映到動態介面Student-VLAN，並從為Student-VLAN介面定義的範圍內分配IP地址。

當客戶端首次與控制器上的LAP1關聯時，控制器將應用所配置的AP組VLAN覆蓋策略。當客戶端漫遊到同一控制器上的另一個LAP時，將重新應用LAP1 AP組VLAN指定的策略。在單個會話期間，當客戶端在單個控制器上的AP之間漫遊以實現無縫漫遊時，不會更改VLAN。

在與不同控制器關聯的LAP間漫遊時，系統根據常規漫遊規則運行。

當客戶端與第二個控制器上的AP關聯時，該客戶端將對映到覆蓋指定的介面。如果AP是同一AP組的成員，則您有一個第2層移動事件。

如果AP是不同AP組的成員，則您有第3層移動事件。VLAN用於確定移動事件，而不是確定WLAN的配置介面。

請參閱設定行動化組的行動化概觀一節，以取得更多有關在基於WLC的WLAN中如何進行漫遊的資訊。

疑難排解

您可以使用這些debug指令對組態進行疑難排解。

• debug dot11 mobile enable — 使用此命令配置802.11移動事件的調試。

如果測試移動性，您還可以使用以下調試：

• debug mobility handoff enable — 使用此命令可開始調試移動選項。

• debug pem {packet/events} — 使用此命令可配置訪問策略管理器調試選項。

  • 輸入packet以配置策略管理器事件的調試。

  • 輸入events以配置策略管理器狀態機的調試。

相關資訊

• 部署Cisco 440X系列無線LAN控制器
• 思科無線LAN控制器組態設定指南4.1版
• 無線支援頁面
• 技術支援與文件 - Cisco Systems