VLAN’s op Aironet access points - Configuratievoorbeeld
Inhoud
Inleiding
Dit document biedt een configuratievoorbeeld dat toont hoe u VLAN’s op Cisco Aironet Access Point (AP’s) kunt configureren met gebruik van de opdrachtregel-interface (CLI).
Voorwaarden
Vereisten
Zorg ervoor dat u aan deze vereisten voldoet voordat u deze configuratie probeert:
-
Kennis van de basisconfiguratie van Aironet APs
-
Kennis van de configuratie van Aironet 802.11a/b/g-clientadapter met het Aironet-desktophulpprogramma
-
Basiskennis van de configuratie van Cisco Catalyst switches en Cisco-routers
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
-
Aironet 1240AG Series AP die Cisco IOS-softwarerelease 12.4(3g)JA1 runt
-
Aironet 802.11a/b/g clientadapter
-
Aironet desktop hulpprogramma dat firmware versie 2.5 draait
-
Catalyst 2950 switch met Cisco IOS-softwarerelease 12.1(19)EA1
-
2800 ISR-router met Cisco IOS-softwarerelease 12.4(11)T
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Conventies
Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.
Netwerkdiagram
Dit document maakt gebruik van deze netwerkinstellingen.
Een Aironet 1200 Series AP heeft drie VLANs-VLAN 2, VLAN 20, en VLAN 30. De opstelling in dit document gebruikt VLAN 2 als inheems VLAN, VLAN 20 voor de administratieve (admin) afdeling, en VLAN 30 voor gastgebruikers. Draadloze gebruikers die behoren tot de beheerafdeling moeten verbinding maken met de AP en moeten verbinding kunnen maken met de beheergebruikers op het bekabelde netwerk (op VLAN 20). De draadloze gastgebruikers moeten in staat zijn om met een web server te verbinden die op het draadsegment op VLAN 30 is. Een Catalyst 2950 switch sluit AP aan op het bekabelde netwerk. Een 2800 ISR router sluit aan op de zelfde switch en werkt als een server van DHCP voor draadloze cliënten die tot VLAN 20 en VLAN 30 behoren. De router moet IP adressen aan klanten van hun respectieve ubnet toewijzen. U moet de AP, de switch van de Catalyst, en de router voor een implementatie van deze opstelling configureren.
Hieronder staat de lijst met IP-adressen die voor de apparaten in het document zijn gebruikt. Alle IP adressen gebruiken/24 Subnet masker
-
AP Bridge-Group Virtual Interface (BVI) IP-adres (VLAN 2)-172.16.1.20
-
Draadloze client (SSID Admin) die verbinding maakt met VLAN 20 krijgt een IP-adres vanaf de DHCP-server van de router vanaf 172.16.2.0
-
Draadloze client (SSID Guest) die verbinding maakt met VLAN 30 krijgt een IP-adres vanaf de DHCP-server van de router vanuit subsysteem 172.16.3.0
-
Admin-gebruiker op het bekabelde netwerk op VLAN 20-172.16.2.60 (Statische IP)
-
Webserver op VLAN 30-172.16.3.60 (statische IP)
-
Subinterface van de router in VLAN 2-172.16.1.1
-
Subinterface van de router in VLAN 20-172.16.2.1
-
Subinterface van de router in VLAN 30-172.16.3.1
Configureren
Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.
N.B.: Gebruik het Opdrachtupgereedschap (alleen geregistreerde klanten) om meer informatie te vinden over de opdrachten die in dit document worden gebruikt.
Om AP te vormen om aan een specifiek VLAN te verbinden, moet u de hulp reeks ID (SSID) configureren om het VLAN te herkennen. Ofwel een VLAN-id of een naam identificeert een VLAN. Daarom, als u SSID op een AP vormt om een specifiek VLAN ID of een naam te herkennen, kunt u een verbinding aan VLAN opstellen. Na het opzetten van de verbinding, worden de draadloze klanten die aan AP met gebruik van de specifieke SSID verbinden aan dat VLAN toegewezen. Omdat u tot 16 SSIDs op AP kunt vormen, kunt u 16 VLANs op AP creëren. Om VLAN’s op AP’s te configureren en connectiviteit in te stellen, moet u deze stappen voltooien:
Configuratie van Inheems VLAN op AP
Het VLAN, waaraan het Access Point zelf en andere infrastructurele apparaten zoals de switch, waaraan het access point verbonden is, wordt genoemd inheems VLAN. Native VLAN van het access point is gewoonlijk anders dan andere VLAN’s die op het access point zijn geconfigureerd. Het is BVI interface, die voor het beheer van het access point wordt gebruikt dat een IP-adres in het native VLAN-subnetwerk wordt toegewezen. Het verkeer, bijvoorbeeld, beheerverkeer, dat naar en door het access point zelf wordt verstuurd veronderstelt het inheemse VLAN en het wordt niet getagd. Al untagged verkeer dat op een de boompoort van de IEEE 802.1Q (dot1q) wordt ontvangen wordt met het inheemse VLAN doorgestuurd dat voor de haven wordt gevormd. Als een pakket een VLAN-id heeft dat hetzelfde is als de oorspronkelijke VLAN-id van de verzendende poort, stuurt de switch het pakket zonder een tag. Anders stuurt de switch het pakje met een tag.
Om een inheems VLAN op een AP te configureren geeft u deze opdrachten in globale configuratiemodus op de AP uit:
AccessPoint<config>#interface fastethernet 0.2 AccessPoint<config-subif>#encapsulation dot1q 2 native !--- Configure the encapsulation as dot1q and assign VLAN 2 as the native VLAN !--- on the Fast Ethernet interface. AccessPoint<config-subif>#exit AccessPoint<config>#interface dot11radio 0.2 AccessPoint<config-subif>#encapsulation dot1q 2 native !--- Configure the encapsulation as dot1q and assign VLAN 2 as the native VLAN !--- on the radio interface. AccessPoint<config-subif>#end
VLAN’s configureren voor Guest-gebruikers en beheerder-gebruikers op het AP
Hier, moet u twee VLAN's configureren, één voor de gastgebruikers en de andere voor de beheerder gebruikers. U moet ook de SSID’s aan de specifieke VLAN’s koppelen. Dit voorbeeld vormt:
-
VLAN 20 voor de beheerder en gebruikt SSID Admin
-
VLAN 30 voor gastgebruikers en gebruikt de SSID Guest
Om deze VLAN’s te configureren voert u deze opdrachten in de mondiale configuratiemodus in:
AccessPoint#configure terminal !--- Enter global configuration mode. AccessPoint(config)#interface dot11radio 0 !--- Enter radio interface configuration mode. AccessPoint(config-if)#ssid Admin !--- Configure the SSID "Admin". AccessPoint(config-if-ssid)#vlan 20 !--- Assign VLAN 20 to the SSID. AccessPoint(config-if-ssid)#authentication open !--- Configure open authentication for the SSID. AccessPoint(config-if-ssid)#end
AccessPoint(config) interface fastethernet 0.20 !--- Enter subinterface mode on the Fast Ethernet interface. AccessPoint(config-subif) encapsulation dot1Q 20 !--- Set the encapsulation as dot1q for VLAN 20. AccessPoint(config-subif) bridge-group 20 !--- Assign the subinterface to bridge group 20. AccessPoint(config-subif) exit
AccessPoint(config) interface dot11radio 0.20 !--- Enter subinterface mode on the radio interface. AccessPoint(config-subif) encapsulation dot1Q 20 !--- Set the encapsulation as dot1q for VLAN 20. AccessPoint(config-subif) bridge-group 20 !--- Assign the subinterface to bridge group 20. AccessPoint(config-subif) exit
Herhaal de zelfde procedure om VLAN 30 voor de admingebruikers te vormen:
AccessPoint#configure terminal AccessPoint(config)#interface dot11radio 0 AccessPoint(config-if)#ssid Guest AccessPoint(config-if-ssid)#vlan 30 AccessPoint(config-if-ssid)#authentication open AccessPoint(config-if-ssid)#end
AccessPoint(config) interface fastethernet 0.30 AccessPoint(config-subif) encapsulation dot1Q 30 AccessPoint(config-subif) bridge-group 30 AccessPoint(config-subif) exit
AccessPoint(config) interface dot11radio 0.30 AccessPoint(config-subif) encapsulation dot1Q 30 AccessPoint(config-subif) bridge-group 30 AccessPoint(config-subif) exit
Opmerking: Dit document gebruikt open verificatie voor zowel SSID’s Admin als Guest. De authenticatietypen zijn verbonden met de SSID’s die u voor de AP configureren. Zie Verificatietypen configureren voor informatie over het configureren van verschillende verificatietypen op de AP.
De Catalyst Switch configureren
De volgende stap is het configureren van de switch poorten die AP's en de router verbinden met het bekabelde netwerk. U dient de poort van de switch te configureren die zich met AP en de router verbindt als boompoort omdat deze poort verkeer van alle VLAN's op het draadloze netwerk transporteert. In dit voorbeeld, zijn VLANs VLANs VLAN 20, VLAN 30, en het autochtone VLAN 2. Wanneer u de haven van de switch vormt, die op AP en de router aansluit, zorg ervoor dat de autochtone VLANs die u vormt overeenkomt met het autochtone VLAN op AP en de router. Anders worden frames achtergelaten. Om de boomstampoort op de switch te configureren geeft u deze opdrachten van de CLI op de switch uit:
N.B.: Dit document gebruikt de Catalyst 2950 switch. De configuraties op de poort van de switch kunnen variëren, wat afhankelijk is van het model van de switch dat u gebruikt. Zoals in het diagram wordt getoond, sluit interface fastethernet 0/5 aan op de router, en sluit interface fastethernet 0/10 aan op het access point.
Switch#configure terminal Switch<config>#interface fastethernet 0/5 !--- Enter the interface mode for Fast Ethernet 0/5. Switch<config-if>#switchport mode trunk !--- Configure the switch port mode to trunk mode. Switch<config-if>#switchport trunk encapsulation dot1q !--- Configure the encapsulation on the switch port to dot1q. Switch<config-if>#switchport trunk native vlan 2 !--- Configure the native VLAN as VLAN 2. Switch<config-if>#switchport trunk allowed vlan add 2,20,30 !--- Configure the list of VLANs that are allowed on the trunk port. Switch<config-if>#switchport nonegotiate Switch#configure terminal Switch<config>#interface fastethernet 0/10 !--- Enter the interface mode for Fast Ethernet 0/10 Switch<config-if>#switchport mode trunk !--- Configure the switch port mode to trunk mode. Switch<config-if>#switchport trunk encapsulation dot1q !--- Configure the encapsulation on the switch port to dot1q. Switch<config-if>#switchport trunk native vlan 2 !--- Configure the native VLAN as VLAN 2. Switch<config-if>#switchport trunk allowed vlan add 2,20,30 !--- Configure the list of VLANs that are allowed on the trunk port. Switch<config-if>#switchport nonegotiate
Opmerking: Cisco IOS-softwarerelease Aironet draadloze apparatuur ondersteunt Dynamic Trunking Protocol (DTP) niet. Daarom moet de switch niet proberen om over DTP te onderhandelen.
De router configureren
De router wordt geconfigureerd als de DHCP-server voor de draadloze clients in VLAN 20 en VLAN 30. De router heeft drie sub-interfaces, één voor elk VLAN 2, 20 en 30 zodat het IP-adressen aan klanten in het subtype van hun respectievelijke VLAN kan toewijzen en routing tussen VLAN’s kan uitvoeren.
Router#configure terminal Router<config>#interface fastethernet 0/0.2 !--- Configures a Sub-interface .2 on fastethernet 0/0 Router<config-subif>#encapsulation dot1q 2 native !--- configures the encapsulation as dot1q and assigns VLAN 2 to the sub-interface This command also makes VLAN 2 as the Native VLAN. Here number 2 is the VLAN-id. Router<config-subif>#ip address 172.16.1.1 255.255.255.0 !--- Assign ip address from Native VLAN 2 subnet - 172.16.1.0 /24 to the sub-interface Router<config-subif>#exit Router<config>#interface fastethernet 0/0.20 !--- Configures a Sub-interface .20 on fastethernet 0/0 Router<config-subif>#encapsulation dot1q 20 !--- configures the encapsulation as dot1q and assigns VLAN 20 to the sub-interface Here number 20 is the VLAN-id. Router<config-subif>#ip address 172.16.2.1 255.255.255.0 !--- Assign ip address from VLAN 20 subnet - 172.16.2.0 /24 to the sub-interface Router<config-subif>#exit Router<config>#interface fastethernet 0/0.30 !--- Configures a Sub-interface .30 on fastethernet 0/0 Router<config-subif>#encapsulation dot1q 30 !--- configures the encapsulation as dot1q and assigns VLAN 30 to the sub-interface Here number 30 is the VLAN-id. Router<config-subif>#ip address 172.16.3.1 255.255.255.0 !--- Assign ip address from VLAN 30 subnet - 172.16.3.0 /24 Router<config-subif>#exit DHCP Configuration starts here Router<config>#ip dhcp excluded-address 172.16.2.1 Router<config>#ip dhcp excluded-address 172.16.3.1 !--- excluded-address command is used to exclude the specified ip addresses from the DHCP pool. In this case router's sub-interface addresses are excluded. Router<config>#ip dhcp pool pool1 !--- Creates a DHCP pool with a name pool1 and enters the DHCP config mode router<dhcp-config>#network 172.16.2.0 /24 !--- From this pool Clients are assigned ip addresses from 172.16.2.0 /24 Subnet i.e. from 172.16.2.2 - 172.16.2.254 router<dhcp-config>#default-router 172.16.2.1 !--- Default-gateway assigned to the client from this pool is 172.16.2.1 . Default-router is nothing but default-gateway Router<config>#ip dhcp pool pool2 !--- Creates a DHCP pool with a name pool2 and enters the DHCP config mode router<dhcp-config>#network 172.16.3.0 /24 !--- From this pool Clients are assigned ip addresses from 172.16.3.0 /24 Subnet i.e. from 172.16.3.2 - 172.16.3.254 router<dhcp-config>#default-router 172.16.3.1 !--- Default-gateway assigned to the client from this pool is 172.16.3.1 .
Verifiëren
Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.
U kunt controleren of de configuratie werkt zoals verwacht. De draadloze client (admin-gebruiker) die met SSID Admin is ingesteld, moet zijn aangesloten op VLAN 20. Dezelfde gebruiker moet verbinding kunnen maken met de beheerder gebruiker op het bekabelde netwerk, dat ook op hetzelfde VLAN is. Activeer het draadloze clientprofiel voor de beheerder om het te controleren.
N.B.: Dit document verklaart niet hoe u de draadloze client kunt configureren om profielen in te stellen. Raadpleeg voor informatie over het configureren van de draadloze clientadapter de clientadapter configureren.
Dit voorbeeldvenster toont aan dat de draadloze client aan AP is verbonden:
De show dot11 associaties opdracht op AP verifieert ook dat de client wordt aangesloten op VLAN 10:
Opmerking: Uitvoer Tolk (alleen geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.
AccessPoint#show dot11 associations 802.11 Client Stations on Dot11Radio0: SSID [Admin] : MAC Address IP address Device Name Parent State 0040.96ac.e657 172.16.2.50 CB21AG/PI21AG Admin User self Assoc
U kunt de opdracht Show VLAN's op de AP uitgeven om de VLAN's weer te geven die op AP worden gevormd. Hierna volgt een voorbeeld:
AccessPoint#show vlans
Virtual LAN ID: 2 (IEEE 802.1Q Encapsulation)
vLAN Trunk Interfaces: Dot11Radio0.2
FastEthernet0.2
This is configured as native Vlan for the following interface(s) :
Dot11Radio0
FastEthernet0
Protocols Configured: Address: Received: Transmitted:
Bridging Bridge Group 1 1380 712
Other 0 63
0 packets, 0 bytes input
733 packets, 50641 bytes output
Bridging Bridge Group 1 1380 712
Other 0 63
1381 packets, 98016 bytes input
42 packets, 12517 bytes output
Virtual LAN ID: 20 (IEEE 802.1Q Encapsulation)
vLAN Trunk Interfaces: Dot11Radio0.20
FastEthernet0.20
Protocols Configured: Address: Received: Transmitted:
Bridging Bridge Group 20 798 622
Other 0 19
247 packets, 25608 bytes input
495 packets, 43585 bytes output
Bridging Bridge Group 20 798 622
Other 0 19
552 packets, 37536 bytes input
148 packets, 21660 bytes output
Virtual LAN ID: 30 (IEEE 802.1Q Encapsulation)
vLAN Trunk Interfaces: Dot11Radio0.30
FastEthernet0.30
Protocols Configured: Address: Received: Transmitted:
Bridging Bridge Group 30 693 609
Other 0 19
106 packets, 13373 bytes input
517 packets, 48029 bytes output
Bridging Bridge Group 30 693 609
Other 0 19
605 packets, 47531 bytes input
112 packets, 15749 bytes output
U kunt nu controleren of de draadloze beheerder in staat is om verbinding te maken met de beheerder gebruiker aan de bekabelde kant, die voor hetzelfde VLAN is ingesteld. Geef de ping opdracht op de draadloze client uit. Hierna volgt een voorbeeld:
D:\>ping 172.16.2.60
Pinging 172.16.2.60 with 32 bytes of data:
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Reply from 172.16.2.60: bytes=32 time<10ms TTL=255
Ping statistics for 172.16.2.60:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Op dezelfde manier kunt u controleren of de gastgebruikers aangesloten worden op VLAN 30. U kunt het ping bevel op de gast draadloze client uitgeven om de connectiviteit aan de web server op de bedrade kant te testen. Hierna volgt een voorbeeld:
D:\>ping 172.16.3.60
Pinging 172.16.3.60 with 32 bytes of data:
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Reply from 172.16.3.60: bytes=32 time<10ms TTL=255
Ping statistics for 172.16.3.60:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Problemen oplossen
Gebruik dit gedeelte om de configuratie van het probleem op te lossen.
Procedure voor probleemoplossing
Volg deze instructies om uw configuratie problemen op te lossen:
-
Controleer of het inheemse VLAN dat op de haven van de switch wordt gevormd en op AP wordt aangesloten het inheemse VLAN van AP aanpast.
Als er een mismatch in het inheemse VLAN is, gebeurt de connectiviteit door de switch niet.
-
Zorg ervoor dat alle VLAN’s die aan de draadloze kant zijn geconfigureerd, zijn toegestaan op de switch poort die als stam is geconfigureerd.
Standaard worden alle VLAN’s door de boomstampoort toegestaan.
-
Controleer of de opdracht bridge-group op alle VLAN’s behalve het oorspronkelijke VLAN is geconfigureerd.
U hoeft geen bridge group op de subinterface te configureren die u als het oorspronkelijke VLAN hebt ingesteld. Deze bridge group wordt automatisch naar de native subinterface verplaatst om de link naar BVI 1 te behouden, die zowel de radio- als Ethernet-interfaces vertegenwoordigt.
Waarschuwing: Wanneer u de opdracht bridge-group configureren, worden deze opdrachten automatisch ingeschakeld:bridge-group 10 subscriber-loop-control bridge-group 10 block-unknown-source no bridge-group 10 source-learning no bridge-group 10 unicast-flooding bridge-group 10 spanning-disabled
Dit zijn standaard standaardinstellingen en u dient deze niet te wijzigen, tenzij u zelf instructies hebt. Als u deze opdrachten verwijdert, kan het WLAN niet functioneren zoals verwacht.
Waarschuwing: Wanneer u de opdracht bridge-group configureren, worden deze opdrachten automatisch ingeschakeld:Opdrachten voor troubleshooting
U kunt deze opdrachten ook gebruiken om problemen met uw configuratie op het AP op te lossen:
Opmerking: Uitvoer Tolk (alleen geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.
-
show vlaanderen
-
vlans dot1q tonen
-
show dot11 associaties
In de Catalyst 2950 switch kunt u deze opdrachten gebruiken om een oplossing te vinden voor de configuratie:
-
show vlaanderen
-
Toon interface fastethernet x/x omschakeling
-
Toon interface fastethernet x/x stam
Op de router, geef deze opdrachten uit om de configuratie problemen op te lossen.
-
debug van IP-serverpakket
-
ip-interfacekaart tonen
Hier is een output van succesvolle IP-adrestoewijzing naar de client in SSID Admin.
Router#debug ip dhcp server packet *Nov 23 18:02:06.637: DHCPD: DHCPREQUEST received from client 0040.96ac.e657. !--- Router receives the DHCP Request from the client *Nov 23 18:02:06.637: DHCPD: No default domain to append - abort update *Nov 23 18:02:06.637: DHCPD: Sending DHCPACK to client 0040.96ac.e657 (172.16.2.50). !--- Router acknowledges the client's request *Nov 23 18:02:06.637: DHCPD: creating ARP entry (172.16.2.2, 0040.96ac.e657). *Nov 23 18:02:06.637: DHCPD: unicasting BOOTREPLY to client 0040.96ac.e657 (172.16.2.50). !--- Router assigns ip address to the client from the VLAN 10 subnet
Gerelateerde informatie
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)