はじめに
このドキュメントでは、さまざまなシナリオにおいて WGB が複数の仮想ローカル エリア ネットワーク(VLAN)をサポートするように設定する方法を説明します。
前提条件
要件
自律型モード設定での AireOS ワイヤレス LAN コントローラ(WLC)およびアクセス ポイント(AP)の基本知識を持っていることが推奨されます。
使用するコンポーネント
- WLC v8.2
- 自律型 AP v15.3(3) JD4
- ワイヤレス アクセス ポイントの制御およびプロビジョニング(CAPWAP)AP
- スイッチ 802.1q 対応
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
設定
CAPWAP AP に関連付けられた複数の VLAN がある WGB
この例は、CAPWAP AP に関連付けられた複数の VLAN をサポートするように WGB を設定する方法について説明しています。アクセス ポイントは、ローカル モードまたはブリッジ モード(メッシュ)のどちらでもかまいません。このシナリオでは、WGB は 802.1q をサポートするスイッチに接続されている必要があります。そうでない場合、WGB は複数の VLAN をサポートできません。この例では、WGB は Cisco Switch 3560 に接続されています。
スイッチが 802.1q をサポートしない場合、すべてのクライアントはネイティブ VLAN に割り当てられます。
この例では WGB は VLAN 210 に割り当てられ、WGB の背後でスイッチに接続されたクライアントは、VLAN 2601 および 2602 に割り当てられます。
WLCには、クライアントのVLANに属するダイナミックインターフェイスも設定されている必要があります。この例では、WLCはVLAN 2601、2602、および210にダイナミックインターフェイスを備えている必要があります。
ネットワーク図
WLC の設定
ステップ 1:WLCのグラフィカルユーザインターフェイス(GUI)を開き、CONTROLLER > Interfacesの順に移動して、WLCに設定されている現在のダイナミックインターフェイスを確認します。必要なVLANがまだ設定されていない場合は、Newをクリックして必要なVLANを追加します。
インターフェイスの情報を入力します。
注:WLCでリンク集約(LAG)が有効になっている場合は、ポート番号を選択できません。
ステップ 2:WLANs > Create New > Goの順に移動します。
ステップ 3:SSIDとプロファイルの名前を選択し、Applyをクリックします。
CLI:
> config wlan create <id> <profile-name> <ssid-name>
ステップ 4:WGBのネイティブVLANをWLANに割り当てます。
ステップ 5:WGBがSSIDに関連付けるために使用する事前共有キーを割り当てます。
[Security] > [Layer 2] > [Authentication Key Management] に移動します。 [PSK] を選択し、パスワードを入力します。
手順 6:WLAN で Aironet IE が有効になっていることを確認します。有効でない場合、WGB は関連付けができません。
注:この例では、SSIDはWPA2/PSKセキュリティを使用しています。WPA2/802.1xなどのさらに強力なセキュリティメソッドを使用してWLANを設定する必要がある場合は、「PEAP、ISE 2.1、およびWLC 8.3による802.1x認証」を参照してください。
手順 7:WLCでWGBからの複数のVLANをサポートできるようにする
>config wgb vlan enable
WGB の設定
ステップ 1:VLANごとに必要なサブインターフェイスを追加します。この例では、VLAN 210(ネイティブ)、2601、および 2602 は WGB 設定に追加されます。
WGB# config t
WGB# interface dot11radio 0.210
WGB# encapsulation dot1q 210 native
WGB# interface dot11radio 0.2601
WGB# encapsulation dot1q 2601
WGB# bridge-group 21
WGB# interface dot11radio 0.2602
WGB# encapsulation dot1q 2602
WGB# bridge-group 22
WGB# interface dot11radio 1.210
WGB# encapsulation dot1q 210 native
WGB# interface dot11radio 1.2601
WGB# encapsulation dot1q 2601
WGB# bridge-group 21
WGB# interface dot11radio 1.2602
WGB# encapsulation dot1q 2602
WGB# bridge-group 22
WGB# interface gigabit 0.210
WGB# encapsulation dot1q 210 native
WGB# interface gigabit 0.2601
WGB# encapsulation dot1q 2601
WGB# bridge-group 21
WGB# interface gigabit 0.2602
WGB# encapsulation dot1q 2602
WGB# bridge-group 22
注:サブインターフェイス2601と2602のブリッジグループは21と22です。ブリッジグループの有効範囲は1 ~ 255であるためです。
注:ネイティブVLANは、サブインターフェイスに割り当てられている場合、自動的にブリッジグループ1を割り当てるため、サブインターフェイス210のブリッジグループは指定されません。
ステップ 2:Service Set Identifier(SSID)を作成します。
この例では、SSID は WPA2/PSK を使用しています。WGB を、WPA2/802.1x などのさらに強力なセキュリティ メソッドを使用した SSID に関連付ける必要がある場合は、以下のリンクを参照できます。
PEAP 認証が割り当てられたワークグループ ブリッジの設定例
WGB# config t
WGB# dot11 ssid wgb-tst
WGB# vlan 210
WGB# authentication open
WGB# authentication key-management wpa version 2
WGB# infrastructure-ssid
WGB# wpa-psk ascii 0 cisco123
ステップ 3:CAPWAP APへの関連付けに使用するインターフェイスにSSIDを追加します。
この手順ではさらに、コマンド station-role workgroup-bridge を使用して、AP を作業グループ ブリッジとして設定します。
注:この例では、WGBは2.4GHzインターフェイスを使用してCAPWAP APに関連付けます。WGBをその5GHzインターフェイスに関連付ける必要がある場合は、この設定をインターフェイスDot11Radio1に追加します。
WGB# config t
WGB# interface Dot11Radio0
WGB# encryption vlan 210 mode ciphers aes-ccmp
WGB# ssid WGB-tst
WGB# station-role workgroup-bridge
ステップ 4:WGB Unified VLAN機能を有効にします。
このコマンドにより、WGB は WLC に、どの VLAN でクライアントが割り当てられるかを通知できます。
WGB# config t
WGB# workgroup-bridge unified-vlan-client
スイッチの設定
ステップ 1:VLANを作成します。
SW# config t
SW# vlan 210, 2601, 2602
ステップ 2:WGBがプラグインされているポートを設定します。
SW# config t
SW# interface <interface-id>
SW# switchport mode trunk
SW# switchport trunk native vlan 210
SW# switchport trunk allowed vlan 210, 2601, 2602
ステップ 3:クライアントがプラグインされているインターフェイスを必要なVLANに割り当てます。
SW# config t
SW# interface <interface-id>
SW# switchport mode access
SW# switchport access vlan <vlan-id>
背後に 802.1q スイッチがある WGB、およびルート モードで自律型 AP に関連付けられている複数の VLAN
ネットワーク図
ルート AP の設定
ステップ 1:VLANごとに必要なサブインターフェイスを追加します。
この例では、VLAN 210(ネイティブ)、2601、および 2602 は、「CAPWAP AP に関連付けられた複数の VLAN がある WGB」のステップ 1 で説明されているとおり、ルート AP 設定に追加されます。
ステップ 2:Service Set Identifier(SSID)を作成します。
この例では、SSID は WPA2/PSK を使用しています。ルート AP を、WPA2/802.1x などのさらに強力なセキュリティ メソッドを使用した SSID で設定する必要がある場合は、次のリンクを参照できます。
自律型 AP での SSID および VLAN の設定
Root-AP# config t
Root-AP# dot11 ssid WGB-tst
Root-AP# vlan 210
Root-AP# authentication open
Root-AP# authentication key-management wpa version 2
Root-AP# infrastructure-ssid
Root-AP# wpa-psk ascii 0 cisco123
ステップ 3:ルートAPがSSIDのブロードキャストに使用するインターフェイスにSSIDを追加します。
注:この例では、ルートAPは2.4GHzインターフェイスを使用してSSIDをブロードキャストします。ルートAPを5GHzインターフェイスでブロードキャストする必要がある場合は、この設定をインターフェイスDot11Radio1に追加します。
Root-AP# config t
Root-AP# interface Dot11Radio0
Root-AP# encryption vlan 210 mode ciphers aes-ccmp
Root-AP# ssid WGB-tst
Root-AP# infrastructure-client
Root-AP# no shut
コマンド infrastructure-client により、ルート AP は WGB がその有線クライアントに対して行う VLAN 割り当てを順守できます。このコマンドを実行しない場合、ルート AP はすべてのクライアントをネイティブ VLAN に割り当てます。
WGB の設定
ステップ 1:VLANごとに必要なサブインターフェイスを追加します。
この例では、VLAN 210(ネイティブ)、2601、および 2602 は、「CAPWAP AP に関連付けられた複数の VLAN がある WGB」のステップ 1 で説明されているとおり、ルート AP 設定に追加されます。
ステップ 2:Service Set Identifier(SSID)を作成します。
この例では、SSID は WPA2/PSK を使用しています。WGB を、WPA2/802.1x などのさらに強力なセキュリティ メソッドを使用した SSID に関連付ける必要がある場合は、次のリンクを参照できます。
PEAP 認証が割り当てられたワークグループ ブリッジの設定例
WGB# config t
WGB# dot11 ssid WGB-tst
WGB# vlan 210
WGB# authentication open
WGB# authentication key-management wpa version 2
WGB# infrastructure-ssid
WGB# wpa-psk ascii 0 cisco123
ステップ 3:CAPWAP APへの関連付けに使用するインターフェイスにSSIDを追加します。
この手順ではさらに、コマンド station-role workgroup-bridge を使用して、AP を作業グループ ブリッジとして設定します。
注:この例では、WGBは2.4GHzインターフェイスを使用してCAPWAP APに関連付けます。WGBをその5GHzインターフェイスに関連付ける必要がある場合は、この設定をインターフェイスDot11Radio1に追加します。
WGB# config t
WGB# interface Dot11Radio0
WGB# encryption vlan 210 mode ciphers aes-ccmp
WGB# ssid WGB-tst
WGB# station-role workgroup-bridge
WGB# no shut
スイッチの設定
スイッチに対して、「CAPWAP AP に関連付けられた複数の VLAN がある WGB」と同じ設定に従うことができます。
背後にスイッチがない WGB、およびルート モードで自律型 AP に関連付けられている複数の VLAN
この例では、WGBが2つの異なるVLAN(ネイティブと別のネイティブ)を使用できるようにします。3つ以上のVLANが必要な場合は、WGBの背後に802.1qスイッチ対応を追加し、その上のクライアントを接続する必要があります。それから、「背後に 802.1q スイッチがある WGB、およびルート モードで自律型 AP に関連付けられている複数の VLAN」にある説明に従います。
ネットワーク図
ルート AP の設定
ステップ 1:VLANごとに必要なサブインターフェイスを追加します。
サブインターフェイスの設定のステップは、「CAPWAP AP に関連付けられた複数の VLAN がある WGB」のステップ 1 と同じですが、この場合に必要であるのは、VLAN 210(ネイティブ)と VLAN 2602(クライアント VLAN)の設定のみです。
ステップ 2:Service Set Identifier(SSID)を作成します。
この例では、SSID は WPA2/PSK を使用しています。ルート AP を、WPA2/802.1x などのさらに強力なセキュリティ メソッドを使用した SSID で設定する必要がある場合は、次のリンクを参照できます。
自律型 AP での SSID および VLAN の設定
Root-AP# config t
Root-AP# dot11 ssid WGB-tst
Root-AP# vlan 210
Root-AP# authentication open
Root-AP# authentication key-management wpa version 2
Root-AP# infrastructure-ssid
Root-AP# wpa-psk ascii 0 cisco123
ステップ 3:ルートAPがSSIDのブロードキャストに使用するインターフェイスにSSIDを追加します。
注:この例では、ルートAPは2.4GHzインターフェイスを使用してSSIDをブロードキャストします。ルートAPを5GHzインターフェイスでブロードキャストする必要がある場合は、この設定をインターフェイスDot11Radio1に追加します。
Root-AP# config t
Root-AP# interface Dot11Radio0
Root-AP# encryption vlan 210 mode ciphers aes-ccmp
Root-AP# ssid WGB-tst
Root-AP# infrastructure-client
Root-AP# no shut
インフラストラクチャクライアント ルートAPは、WGBがその有線クライアントに対して持つVLAN割り当てを順守できます。このコマンドを実行しない場合、ルート AP はすべてのクライアントをネイティブ VLAN に割り当てます。
WGB の設定
ステップ 1:VLANごとに必要なサブインターフェイスを追加します。この例では、VLAN 210(ネイティブ)と 2601 は WGB 設定に追加されます。
サブインターフェイスの設定は、次の例と同じです。 ステップ1/ CAPWAP APに関連付けられた複数のVLANがあるWGB:WGB設定ただし、この場合に必要なのはVLAN 210(ネイティブ)とVLAN 2602(クライアントVLAN)の設定だけです。
ステップ 2:Service Set Identifier(SSID)を作成します。
この例では、SSID は WPA2/PSK を使用しています。WGB を、WPA2/802.1x などのさらに強力なセキュリティ メソッドを使用した SSID に関連付ける必要がある場合は、次のリンクを参照できます。
PEAP 認証が割り当てられたワークグループ ブリッジの設定例
WGB# config t
WGB# dot11 ssid WGB-tst
WGB# vlan 210
WGB# authentication open
WGB# authentication key-management wpa version 2
WGB# infrastructure-ssid
WGB# wpa-psk ascii 0 cisco123
ステップ 3:CAPWAP APへの関連付けに使用するインターフェイスにSSIDを追加します。
この手順ではさらに、コマンド station-role workgroup-bridge を使用して、AP を作業グループ ブリッジとして設定します。
注:この例では、WGBは2.4GHzインターフェイスを使用してCAPWAP APに関連付けます。WGBをその5GHzインターフェイスに関連付ける必要がある場合は、この設定をインターフェイスDot11Radio1に追加します。
WGB# config t
WGB# interface Dot11Radio0
WGB# encryption vlan 210 mode ciphers aes-ccmp
WGB# ssid WGB-tst
WGB# station-role workgroup-bridge
WGB# no shut
ステップ 4:クライアントVLANを指定します。
WGB# config t
WGB# workgroup-bridge client-vlan 2601
確認
このコマンドを実行して、WGB がルート AP に関連付けられているかどうか、およびルート AP が WGB の背後で接続されている有線クライアントを参照できるかどうかを確認します。
WGB# show dot11 associations
802.11 Client Stations on Dot11Radio0:
SSID [WGB-tst] :
MAC Address IP address IPV6 address Device Name Parent State
00eb.d5ee.da70 200.200.200.4 :: ap1600-Parent Root-AP - Assoc
Root-AP# show dot11 associations
802.11 Client Stations on Dot11Radio0:
SSID [WGB-tst] :
MAC Address IP address IPV6 address Device Name Parent State
0035.1ac1.78c7 206.206.206.2 :: WGB-client - 00f6.6316.4258 Assoc
00f6.6316.4258 200.200.200.3 :: WGB WGB self Assoc