les équipements sans-fil

Slides:



Advertisements
Présentations similaires
Effacer la Configuration LWAPP sur un LAP
Advertisements

Configuration de Groupes VLANs d'APs sur un Wireless LAN Controller
TP Sécurité - Sécuriser l’accès d’administration en utilisant
Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
TP Sécurité - Configuration de Base d'un Routeur avec SDM
QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne
CCNP Réseau de Campus Concepts et Modèles cch_ccnp.
Sécurité - Cisco ASA Outil de capture WebVPN
Registre de Configuration (Configuration Register)
Sécurité - Configuration du PIX
Sécurité - VPN - Configurer la mise à jour du client
Sécurité - ASA7.x/PIX 6.x et plus
Configuration EIGRP et IGRP
Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77
Plateformes supportées d'adresse MAC unique sur des interfaces VLAN
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration BGP de base
de listes d'accès filtres
(Switch Database Management)
TP VLAN Trunking VTP Server, Transparent, Client
OSPF - Configuration initiale sur Liaisons Non-Broadcast
Spanning-Tree classique
TP - Spanning-Tree - Per-VLAN Spanning-tree
Configuration Routeur SOHO77
Sous-résaux LAN dupliqués
TP Hot Standby Router Protocol (HSRP)
Hot Standby Router Protocol standby preempt et standby track
Configuration de VLANs les points d'accès Aironet
Sécurité - Configuration de
- Instructions NAT - PAT
Intégration de NAT avec les VPNs MPLS
Proxy ARP ccnp_cch ccnp_cch.
CCNP Routage Chapitre 4 - Questionnaire N°1
Configuration NAT Utilisation de la commande outside source list
Support de NAT pour IPSec ESP Phase II
Configuration de Voice VLAN
QoS - Configuration RSVP
OSPF - Commande show ip ospf neighbor.
Sécurité - Configuration de -
QoS - Appliquer la QoS à des Sous-interfaces
Configuration Routeur SOHO77
Pile IGMPv3 de Host.
Changer les critères de nommage
RIP - Configuration des Extensions.
Comment fonctionne RADIUS?
SONET - Bref aperçu de Packet Over SONET APS
Equilibrage de charge VLAN entre trunks en utilisant
interfaces de couche 3 Commutateur Catalyst 4006
Sécurité - VLANs privés
Commande show dialer ccnp_cch ccnp_cch.
TP - Spanning-Tree - Multiple Spanning-tree
OSPF - Routage Inter-Area
Configuration EIGRP - Agrégation de routes
Configuration d'une adresse IP
Commande show vtp ccnp_cch ccnp_cch.
IOS Firewall - Blocage d'applets Java
QoS - Configuration de NBAR (Network-Based Application Recognition)
Configuration de groupes l'autorisation via ASDM
(Switch Database Management)
QoS - Configuration Fragmentation
Configuration Routeur SOHO77
EtherChannel et 802.1Q Trunking entre
EtherChannel et 802.1Q Trunking sur Catalyst 2950
Configuration de VLANs Contrôleur LAN sans-fil
Les VLANs Virtual Local Area Network Guillaume Le Grand IR3 – Ingénieurs 2000.
Transcription de la présentation:

les équipements sans-fil Utiliser les VLANs sur les équipements sans-fil Aironet ccnp_cch ccnp_cch

Sommaire • Introduction - Prérequis - Composants utilisés - Produits liés • Rappel de théorie • Signification du VLAN natif • VLANs sur les point d'accès - Concepts des Points d'Accès - Configuration du Point d'Accès • VLANs sur les ponts - Concepts des Ponts - Configuration de Pont • Configuration de Bridge Group sur point d'accès et pont - IRB (Integrated Routing and Bridging • Interaction avec les commutateurs - Configuration de commutateur avec Catalyst OS - Configuration de commutateur avec IOS - Configuration de commutateurs Catalyst 2900/XL et 3500XL • Vérification - Vérification de l'équipement sans-fil - Vérification du commutateur ccnp_cch

Introduction ccnp_cch Ce document fournit un exemple de configuration pour utiliser les VLANs avec des équipements sans-fil Cisco Aironet. Prérequis Assurez-vous d'avoir les prérequis suivants avant de tenter cette configuration:  Vous êtes familiarisé avec des équipements sans-fil Cisco Aironet  Vous êtes familiarisé avec les concepts de VLAN et VLAN trunking. Composants utilisés Les informations présentées dans ce document sont basées sur les configurations lo- gicielles et matérielles suivantes:  Points d'accès et ponts sans-fil Cisco Aironet  Commutateur Cisco Catalyst Rappel de théorie Un VLAN est une catégorie administrative d'équipement de réseau. Un VLAN couche 2 du modèle OSI est en parallèle avec un sous-réseau de couche 3. Quand vous connec- tez un équipement à un commutateur Cisco Catalyst, le port sur lequel l'équipement est connecté est membre du VLAN 1. L'adresse MAC de cet équipement fait partie du VLAN1. Vous pouvez définir plusieurs VLANs sur un seul commutateur et vous pou- vez configurer un port de commutateur sur la majorité des modèles comme membre de plusieurs VLANs. VLAN Ingénierie VLAN Marketing VLAN Comptabilité Routeur Cisco Etage 3 Etage 2 Etage 1 ccnp_cch

Quand le nombre de ports dans un réseau excède la capacité de ports d'un commuta- teur, vous devez interconnecter plusieurs commutateurs et définir un trunk. Un trunk n'est pas membre d'un VLAN mais c'est un conduit (canal) sur lequel passe du trafic pour un ou plusieurs VLANs. Vous pouvez étendre les VLANs dans le domaine sans-fil avec les équipements sans-fil Cisco Aironet. Par exemple, les employés et les invités peuvent accéder au réseau sans fil d'une société en même temps et être administrativement séparés. Un VLAN est map- pé avec un SSID et le client sans-fil s'attache au SSID approprié. Dans les réseaux avec ponts sans-fil, vous pouvez passer plusieurs VLANs sur la liaison sans-fil afin de fournir la connectivité à un VLAN à partir de différents endroits. Si vous ignorez les points mineurs dans ces concepts quand vous déployez des VLANs avec un équipement sans-fil Cisco Aironet, vous pourrez constater des performances inattendues comme par exemple:  Echec pour limiter les VLANs autorisés sur le trunk pour ceux définis sur cet équi- pement sans-fil. Si les VLANs 1, 10, 20, 30 et 40 sont définis sur le commutateur mais seuls les VLANs 1, 10 et 30 sont définis sur l'équipement sans-fil, vous devez retirer les au- tres VLANs du trunk du commutateur.  Mauvaise utilisation de la désignation de l'infrastructure SSID. Quand vous installez des points d'accès, affectez un SSID d'infrastructure unique- ment si ce SSID est utilisé pour:  Groupe d'équipements ponts  Points d'accès répéteurs  Ponts non-racines C'est une mauvaise configuration que de désigner le SSID d'infrastructure pour un SSID avec uniquement des ordinateurs portables comme clients et cela peut en- trainer des résultats imprévus. Dans les installations de ponts, vous pouvez avoir uniquement un SSID d'infra- structure. Le SSID d'infrastructure doit être le SSID qui est corrélé avec le VLAN natif.  Mauvaise utilisation ou conception incorrecte de la désignation du SSID mode invité Quand vous définissez plusieurs SSIDs/VLANs sur un équipement sans-fil Cisco Aironet, un (1) SSID peut être affecté comme SSID mode invité avec la diffusion du SSID dans les beacons radio 802.11. les autres SSIDs ne sont pas diffusés. Les équipements clients doivent indiquer le SSID pour se connecter.  Echec pour reconnaître que plusieurs VLANs et SSIDs indiquent plusieurs sous-ré- seaux de couche 3 du modèle OSI. ccnp_cch

Les anciennes versions de logiciel de Cisco Aironet permettaient de lier plusieurs SSIDs à un VLAN. Les versions courantes ne le font plus.  Echec de routage de couche 3 du modèle OSI ou conception incorrecte Chaque SSID et son VLAN lié ont un équipement de routage et des sources pour adresser les clients comme par exemple un serveur DHCP ou une étendue DHCP.  VLAN natif mal compris ou mal configuré Les routeurs et les commutateurs qui constituent l'infrastructure physique d'un réseau sont gérés avec une méthode différente de celle des PCs client qui sont rac- cordés à l'infrastructure. Le VLAN dont ces routeurs et commutateurs sont mem- bres est appelé VLAN natif (VLAN 1 par défaut). Les PCs client sont membres d'un VLAN différent tout comme les téléphones IP qui sont membres d'un autre VLAN. L'interface d'administration pour le point d'accès ou le pont (interface BVI 1) sont considérées et numérotées dans le VLAN natif sans tenir compte des VLANs ou SSIDs qui passent par l'équipement sans-fil. Signification du VLAN natif Quand vous utilisez un port trunk IEEE 802.1Q, toutes les trames sont marquées sauf celles du VLAN configuré comme VLAN natif sur le port. Les trames du VLAN natif sont toujours transmises non marquées et sont normalement reçues non marquées. Par conséquent, quand un AP est connecté à un port de commutateur, le VLAN natif confi- guré sur l'AP doit correspondre au VLAN natif configuré sur le port du commutateur. Note: S'il n'y a pas de correspondance entre les VLANs natifs configurés, les trames sont éliminées. Ce scénario est mieux compris avec un exemple. Si le VLAN natif sur le port de com- mutateur est configuré avec le VLAN 12 et sur l'AP le VLAN natif est le VLAN 1, quand l'AP transmet une trame sur son VLAN natif vers le commutateur, celui-ci considère que la trame appartient au VLAN 12 car les trames venant du VLAN natif de l'AP sont non marquées. Ceci entraine une confusion dans le réseau et cause des problèmes de connectivité. Le même phénomène se produit quand le port du commutateur ache- mine une trame de son VLAN natif vers l'AP. La configuration du VLAN natif devient même très importante quand vous avez un AP répéteur configuré dans votre réseau sans-fil. Vous ne pouvez pas configurer des VLANs multiples sur l'AP répéteur. L'AP répéteur supporte uniquement le VLAN natif. Par conséquent la configuration du VLAN natif sur l'AP racine, le port du commutateur sur lequel l'AP est connecté et l'AP répéteur doit être le même. Autrement le trafic ne passe pas à travers le commutateur de et vers l'AP répéteur. Un exemple de ce scénario est quand la configuration du VLAN natif dans l'AP répéteur peut créer des problèmes lorsqu'il y a un serveur DHCP après le commutateur sur le- quel l'AP racine est connecté. Dans ce cas les clients associés à l'AP répéteur ne rece- vront pas d'adresse IP du serveur DHCP car les trames (requêtes DHCP dans ce cas) venant du VLAN natif de l'AP répéteur (qui n'est pas le même que celui de l'AP racine et du commutateur) sont éliminés. ccnp_cch

Egalement quand vous configurez le port du commutateur, assurez-vous que tous les VLANs qui sont configurés sur l'AP sont autorisés sur le port du commutateur. Par exemple si les VLANs 6, 7 et 8 existent sur l'AP (réseau sans-fil), ces VLANs doivent être autorisés sur le port du commutateur. Ceci peut être fait en utilisant cette com- mande: switchport trunk allowed vlan add 6,7,8 Par défaut un port de commutateur configuré comme trunk permet à tous les VLANs de passer par le port trunk. Note: Permettre tous les VLANs sur l'AP peut également devenir un problème dans certains cas, spécialement si c'est un grand réseau. Ceci peut résulter en une utilisa- tion élevée de la CPU sur l'AP. Eliminez les VLANs sur le port du commutateur pour que seul le trafic qui est destiné à l'AP passe par l'AP pour éviter une charge CPU éle- vée. VLANs sur les point d'accès Dans cette section sont présentées les informations nécessaires pour configurer les fonctionnalités décrites dans ce document. Concepts des Points d'Accès Cette section traite des concepts sur comment déployer des VLANs sur les points d'ac- cès et fait référence à ce schéma de réseau. Dans cet exemple de réseau, le VLAN est le VLAN natif et les VLANs 10, 20, 30 et 40 sont configurés et passent par un port trunk vers un autre commutateur. Seuls les VLANs 10 et 30 sont étendus au domaine sans-fil. Le VLAN natif est requis pour four- nir des capacités d'administration et d'authentification de client. VLAN 1 (Natif) VLAN 10 VLAN 20 VLAN 30 VLAN 40 SSID "Red" SSID "Green" ccnp_cch

Configuration du point d'accès Pour configurer les points d'accès avec les VLANs, exécutez ces étapes: 1. A partir du VLAN Service (sous le menu Services> VLAN) fixez le VLAN natif. a. A partir de VLAN Current List, sélectionnez New. b. Entrez le numéro de VLAN du VLAN natif dans la boite VLAN ID. Le numéro de VLAN doit correspondre au VLAN natif configuré sur le commutateur. c. Comme l'interface BVI1 est associée à la sous-interface du VLAN natif, l'adresse IP affectée à l'interface BVI1 doit être dans le même sous-réseau IP que les au- tres équipements d'infrastructure sur le réseau (interface SC0 du commutateur Catalyst qui opère avec CATOS). d. Cochez la case pour le VLAN natif. e. Cochez les cases pour l'interface radio ou les interfaces auxquelles le VLAN est appliqué. f. Cliquez sur Apply. ccnp_cch

Ou utilisez ces commandes à partir de la CLI: AP# configure terminal Enter configuration commands, one per line. End with CNTL/Z. AP(config)# interface Dot11Radio0.1 AP(config−subif)# encapsulation dot1Q 1 native AP(config−subif)# interface FastEthernet0.1 AP(config−subif)# end AP# write memory 2. A partir de VLAN Service ( sous l'item du menu Services> VLAN), configurer tous les autres VLANs. a. A partir de Current VLAN List, sélectionnez New. b. Entrez le numéro de VLAN du VLAN désiré dans la boîte VLAN ID. Le numéro de VLAN doit correspondre au VLAN configuré sur le commutateur. c. Cochez les cases pour l'interface radio ou les interfaces sur lesquelles ce VLAN s'applique. d. Cliquez sur Apply. ccnp_cch

Ou utilisez ces commandes à partir de la CLI: AP# configure terminal Enter configuration commands, one per line. End with CNTL/Z. AP(config)# interface Dot11Radio0.10 AP(config−subif)# encapsulation dot1Q 10 AP(config−subif)# interface FastEthernet0.10 AP(config−subif)# end AP# write memory e. Répétez les étapes 2a à 2d pour chaque VLAN désiré ou entrez ces commandes à partir de la CLI avec les modifications appropriées pour la sous-interface et le numéro de VLAN. AP# configure terminal AP(config)# interface Dot11Radio0.30 AP(config−subif)# encapsulation dot1Q 30 AP(config−subif)# interface FastEthernet0.30 3. A partir du SSID Manager (item du menu Security> SSID Manager) associez les VLANs que vous voulez étendre au domaine sans-fil avec un SSID. Note: Vous n'avez pas besoin d'associer chaque VLAN défini sur le point d'accès un SSID. Par exemple, pour des raisons de sécurité, la majorité des installations de points d'accès n'associent pas de SSID au VLAN natif. a. A partir de Current SSID List, sélectionnez New. b. Entrez le SSID désiré (sensible à la casse) dans la boite SSID. de VLAN doit correspondre au VLAN configuré sur le commutateur. c. Sélectionnez le numéro de VLAN à associer avec ce SSID à partir de la liste dé- roulante. Note: Pour ne pas sortir du cadre de ce document, la sécurité SSID n'est pas traitée. d. Cliquez sur Apply-RadioX pour créer le SSID sur l'interface radio sélectionnée ou sur Apply-all pour créer le SSID sur toutes les interfaces radio. ccnp_cch

ccnp_cch Ou utilisez les commandes CLI suivantes: AP# configure terminal Enter configuration commands, one per line. End with CNTL/Z. AP(config)# interface Dot11Radio0 AP(config−if)# ssid Red AP(config−if−ssid)# vlan 10 AP(config−if−ssid)# end AP# write memory ccnp_cch

VLANs sur les ponts ccnp_cch 4. Répétez les étapes 3a à 3d pour chaque SSID désiré ou entrez ces commandes à partir de la CLI avec les modifications appropriées pour le SSID. AP# configure terminal Enter configuration commands, one per line. End with CNTL/Z. AP(config)# interface Dot11Radio0 AP(config−if)# ssid Green AP(config−if−ssid)# vlan 30 AP(config−if−ssid)# end AP# write memory VLANs sur les ponts Concepts des Ponts Cette section traite des concepts liés à comment déployer des VLANs sur les ponts et fait référence à ce schéma de réseau. Dans cet exemple de réseau, le VLAN 1 est le VLAN natif et les autres VLANs sont les VLANs 10, 20, 30 et 40. Seuls les VLANs 10 et 30 sont étendus à l'autre extrémité de la liaison. La liaison sans-fil est cryptée. VLAN 1 (Natif) VLAN 10 VLAN 20 VLAN 30 VLAN 40 Pour crypter les données qui passent sur la liaison radio, appliquez le cryptage uni- quement au SSID du VLAN natif. Ce cryptage s'applique à tous les autres VLANs. Quand on utilise un pont, il n'est pas nécessaire d'associer un SSID approprié à cha- que VLAN. Les configurations des VLAN sont identiques sur les ponts racine et non-racine. ccnp_cch

ccnp_cch Configuration du pont Pour configurer le pont pour les VLANs de l'exemple du schéma de réseau, exécutez ces étapes: 1. A partir du VLAN Service (sous le menu Services> VLAN) fixez le VLAN natif. a. A partir de VLAN Current List, sélectionnez New. b. Entrez le numéro de VLAN du VLAN natif dans la boite VLAN ID. Le numéro de VLAN doit correspondre au VLAN natif configuré sur le commutateur. c. Comme l'interface BVI1 est associée à la sous-interface du VLAN natif, l'adresse IP affectée à l'interface BVI1 doit être dans le même sous-réseau IP que les au- tres équipements d'infrastructure sur le réseau (interface SC0 du commutateur Catalyst qui opère avec CATOS). d. Cochez la case pour le VLAN natif. e. Cochez les cases pour l'interface radio ou les interfaces auxquelles le VLAN est appliqué. f. Cliquez sur Apply. ccnp_cch

Ou utilisez ces commandes à partir de la CLI: bridge# configure terminal Enter configuration commands, one per line. End with CNTL/Z. bridge(config)# interface Dot11Radio0.1 bridge(config−subif)# encapsulation dot1Q 1 native bridge(config−subif)# interface FastEthernet0.1 bridge(config−subif)# end bridge# write memory 2. A partir de VLAN Service ( sous l'item du menu Services> VLAN), configurer tous les autres VLANs. a. A partir de Current VLAN List, sélectionnez New. b. Entrez le numéro de VLAN du VLAN désiré dans la boîte VLAN ID. Le numéro de VLAN doit correspondre au VLAN configuré sur le commutateur. c. Cliquez sur Apply. ccnp_cch

Ou utilisez ces commandes à partir de la CLI: bridge# configure terminal Enter configuration commands, one per line. End with CNTL/Z. bridge(config)# interface Dot11Radio0.1 bridge(config−subif)# encapsulation dot1Q 1 native bridge(config−subif)# interface FastEthernet0.1 bridge(config−subif)# end bridge# write memory d. Répétez les étapes 2a à 2c pour chaque VLAN désiré ou entrez les commandes CLI avec les changements appropriés aux numéros de sous-interfaces et de VLANS. AP# configure terminal bridge(config)# interface Dot11Radio0.30 bridge(config−subif)# encapsulation dot1Q 30 bridge(config−subif)# interface FastEthernet0.30 3. A partir du SSID Manager (item du menu Security> SSID Manager) associez le VLAN natif avec un SSID. Note: Quand vous utilisez un pont, le seul SSID que vous devez associer avec un VLAN est celui qui est en corrélation avec le VLAN natif. Vous devez désigner ce SSID comme SSID d'infrastructure. a. A partir de Current SSID List, sélectionnez New. b. Entrez le SSID désiré (sensible à la casse) dans la boite SSID. de VLAN doit correspondre au VLAN configuré sur le commutateur. c. Sélectionnez le numéro de VLAN qui est en corrélation avec le VLAN natif à partir de la liste déroulante. Note: Pour ne pas sortir du cadre de ce document, la sécurité SSID n'est pas traitée. d. Cliquez sur Apply pour créer le SSID sur l'interface radio et l'associer au VLAN natif. ccnp_cch

e. Allez en bas de la page et sous "Global SSID Properties" sélectionnez le SSID à partir de la liste déroulante "Set Infrastructure SSID". Cliquez sur Apply. ccnp_cch

Configuration de Bridge Group sur point d'accès et pont Ou utilisez ces commandes à partir de la CLI: AP# configure terminal Enter configuration commands, one per line. End with CNTL/Z. AP(config)# interface Dot11Radio0 AP(config−if)# ssid Black AP(config−if−ssid)# vlan 1 AP(config−if−ssid)# infrastructure−ssid AP(config−if−ssid)# end AP# write memory Note: Quand les VLANs sont utilisés, les SSIDs sont configurés sous l'interface physique Dot11Radio et non sous l'interface logique. Note: Cet exemple n'inclut pas l'authentification. Les ponts racine et non-racine requièrent une forme d'authentification (Open, Network-EAP, etc) pour s'asso- cier. Configuration de Bridge Group sur point d'accès et pont En général les groupes pontés créent des domaines commutés segmentés. Le trafic est confiné aux hosts du même groupe ponté mais ne passe pas entre groupes pontés. Le commutateur achemine le trafic parmi les hosts qui constituent un groupe ponté ce qui restreint le trafic broadcast et multicast uniquement à ces hosts. Les groupes pon- tés réduisent la congestion réseau et fournissent une sécurité réseau supplémentaire quand ils segmentent le trafic à certaines zones du réseau. Dans un réseau sans-fil, les groupes pontés sont configurés sur les points d'accès sans-fil pour que le trafic de données d'un VLAN soit transmis du média sans-fil vers le côté réseau câblé et inversement. Exécutez cette commande à partir de la CLI de l'AP pour valider globalement les grou- pes pontés sur le point d'accès/pont. Cet exemple utilise le bridge-group numéro 1. AP(config)# bridge 1 Note: Vous pouvez noter les groupes pontés de 1 à 255. Configurez l'interface radio et l'interface Ethernet pour qu'elles soient dans le même groupe ponté. Cela crée un chemin entre ces deux interfaces différentes et elles sont dans le même VLAN pour des raisons de marquage. Le résultat est que les données transmises à partir du côté sans fil au travers de l'interface radio sont transmises vers l'interface Ethernet vers lequel le réseau câblé est connecté et inversement. En d'autres termes, les interfaces radio et Ethernet qui appartiennent au même goupe ponté pontent les données entre elles. Dans un point d'accès/pont, vous aurez besoin d'avoir un groupe ponté par VLAN pour que le trafic puisse passer de la partie câblée à la partie sans-fil et inversement. ccnp_cch

Plus vous avez de VLANs dont vous voulez passer le trafic vers le sans-fil plus vous avez besoin de groupes pontés. Par exemple si vous avez un seul VLAN dont le trafic doit passer de la partie sans fil vers la partie câblée de votre réseau, configurez uniquement un groupe ponté à partir de la CLI de l'AP/pont. Si vous avez plusieurs VLANs dont le trafic doit passer de la partie sans-fil vers la partie câblée et inversement, configurez des groupes pontés pour chaque VLAN à la sous-interface radio comme à la sous-interface Ethernet. 1. Configurez le groupe ponté sur l'interface sans-fil avec la commande bridge group en mode interface radio. Voici un exemple: AP# configure terminal Enter configuration commands, one per line. End with CNTL/Z. AP(config)# interface Dot11Radio0.1 Ap(config−subif)# encapsulation dot1q 1 native Ap(config−subif)# bridge group 1 !−−− Ici "1" représente le numéro de groupe ponté. ap(config−subif)# exit 2. Configurez le groupe ponté avec le même numéro de bridge group (1 par exemple) sur l'interface FastEthernet pour que le trafic du VLAN 1 passe par l'interface sans- fil vers le côté câblé et inversement. Ap(config)# interface fastEthernet0.1 Ap(config−subif)# exit Note: Quand vous configurez un groupe ponté sur l'interface radio, ces commandes sont entrées automatiquement. ▪ bridge−group 1 subscriber−loop−control ▪ bridge−group 1 block−unknown−source ▪ no bridge−group 1 source−learning ▪ no bridge−group 1 unicast−flooding ▪ bridge−group 1 spanning−disabled Note: Quand vous configurez un groupe ponté sur l'interface FastEthernet, ces commandes sont entrées automatiquement. ccnp_cch

ccnp_cch Integrated Routing and Bridging (IRB) IRB (Integrated Routing and Bridging) rend possible de router un protocole spécifique entre interfaces routées et des groupes pontés ou de router un protocole spécifique entre groupes pontés. Le trafic local ou non routable peut être ponté parmi les inter- faces pontées dans le même groupe ponté tandis que le trafic routable peut être routé vers d'autres interfaces routées ou des groupes pontés. Avec IRB (Integrated Routing and Bridging) vous pouvez faire ceci:  Commuter des paquets d'une interface pontée vers une interface routée.  Commuter des paquets d'une interface routée vers une interface pontée  Commuter des paquets dans le même groupe ponté Validez IRB sur les points d'accès sans-fil pour router votre trafic entre les groupes pontés ou entre interfaces routées et groupes pontés. Vous avez besoin d'un routeur externe ou d'un commutateur de couche 3 pour router entre groupes pontés ou entre groupes pontés et interfaces routées. Entrez cette commande pour valider IRB sur l'AP/Pont: AP(configure)#bridge irb IRB (Integrated Routing and Bridging) utilise le concept d'interface BVI (Bridge Virtual Interface) pour router le trafic entre interfaces routées et groupes pontés ou entre grou- pes pontés. Une interface BVI est une interface virtuelle dans un commutateur routeur de couche 3 qui agit comme une interface routée normale. Une interface BVI ne supporte pas le pontage mais représente le groupe ponté correspondant aux interfaces routées dans le commutateur routeur de couche 3. Elle a tous les attributs de couche réseau (tels que l'adresse réseau et les filtres) qui s'appliquent au groupe ponté correspondant. Le nu- méro d'interface affecté à cette interface virtuelle correspond au groupe ponté représen- té par cette interface virtuelle. Ce numéro est le lien entre l'interface virtuelle et le grou- pe ponté. 1. Configurez l'interface BVI et affectez le numéro correspondant au groupe ponté à l'interface BVI. Cet exemple affecte le numéro de bridge group 1 à l'interface BVI. Ap(configure)#interface BVI 1 AP(config−if)#ip address 10.1.1.1 255.255.0.0 !−−− Affecte une adresse IP à l'interface BVI. 2. Validez une interface BVI pour accepter et router les paquets routables reçus de son groupe ponté correspondant. Ap(config)# bridge 1 route ip !−−− Valide l'interface BVI pour qu'elle accepte et route les !--- paquets IP. ccnp_cch

Il est important de comprendre que vous avez seulement besoin d'une interface BVI pour l'administration/VLAN natif dans lequel l'AP est situé (VLAN 1 dans cet exemple). Vous n'avez pas besoin d'interface BVI pout tout autre sous-interface, indépendam- ment du nombre de VLANs et groupes pontés que vous avez configurés sur l'AP/Pont. C'est parce que le trafic est marqué dans tous les autres VLANs (sauf pour le VLAN 1 natif) et transmis en sortie du commutateur sur une interface trunk 802.1Q vers le réseau câblé. Par exemple si vous avez 2 VLANs sur votre réseau, vous avez besoin de deux groupes pontés mais une seule interface BVI qui correspond au VLAN d'adminis- tration est suffisante pour votre réseau sans-fil. Quand vous validez le routage pour un protocole donné sur l'interface virtuelle groupe ponté, les paquets qui viennent d'une interface routée et destinés à un host dans un domaine ponté sont routés vers l'interface virtuelle groupe ponté et ensuite acheminés vers l'interface pontée correspondante. Interaction avec les commutateurs Dans cette section sont présentées les informations nécessaires pour configurer ou vérifier la configuration des commutateurs Cisco qui connectent un équipement Cisco Aironet. Configuration de commutateur avec Catalyst OS Pour configurer un commutateur qui opère avec Catalyst OS et pour réaliser un trunk de VLANs vers un ooint d'accès, la syntaxe de la commande est: set trunk <module #/port #> on dot1q and set trunk <module #/port #> <vlan list>. Voici un exemple en relation avec le schéma du réseau de ce document: set trunk 2/1 on dot1q set trunk 2/1 1,10,30 Configuration de commutateur avec IOS A partir du mode de configuration interface, entrez ces commandes pour:  Configurer le port du commutateur en mode trunk pour les VLANs vers un point d'accès.  Sur un commutateur Catalyst qui opère avec l'IOS Cisco  L'IOS sur Catalyst comprend mais n'est pas limité à: ▪ Catalyst 6x00 ▪ Catalyst 4x00 ▪ Catalyst 35x0 ▪ Catalyst 295x ccnp_cch

Vérification ccnp_cch switchport mode trunk switchport trunk encapsulation dot1q switchport nonegotiate switchport trunk native vlan 1 switchport trunk allowed vlan add 1,10,30 Note: L'équipement sans-fil Cisco Aironet ne supporte pas DTP (Dynamic Trunking Protocol) aussi le commutateur ne devra pas négocier le trunk. Configuration de commutateurs Catalyst 2900/XL et 3500XL A partir du mode de configuration interface, entrez ces commandes si vous voulez con- figurer le port du commutateur en mode trunk pour les VLANs vers un point d'accès sur un commutateur Catalyst 2900XL /3500XL qui opère avec l'IOS.* switchport trunk allowed vlan 1,10,30 Vérification Utilisez cette section pour confirmer que votre configuration fonctionne correctement. Vérification de l'équipement sans-fil  show vlan - Affiche les VLANs configurés sur le point d'accès ainsi que leur état. ap#show vlan Virtual LAN ID: 1 (IEEE 802.1Q Encapsulation) vLAN Trunk Interfaces: FastEthernet0.1 Dot11Radio0.1 Virtual−Dot11Radio0.1 Ceci est configuré comme Vlan natif pour les interfaces suivantes: FastEthernet0 Dot11Radio0 Virtual−Dot11Radio0 Protocols Configured: Address Received: Transmitted: Bridging Bridge Group 1 36954 0 ccnp_cch

ccnp_cch Virtual LAN ID: 10 (IEEE 802.1Q Encapsulation) vLAN Trunk Interfaces: FastEthernet0.10 Dot11Radio0.10 Virtual−Dot11Radio0.10 Protocols Configured: Address: Received: Transmitted: Bridging Bridge Group 10 5297 0 Virtual LAN ID: 30 (IEEE 802.1Q Encapsulation) vLAN Trunk Interfaces: FastEthernet0.30 Dot11Radio0.30 Virtual−Dot11Radio0.30 Bridging Bridge Group 30 5290 0 ap#  show dot11 associations - Affiche des informations au sujet des clients associés par SSID/VLAN. ap#show dot11 associations 802.11 Client Stations on Dot11Radio0: SSID [Green] : SSID [Red] : Others: (not related to any ssid) ccnp_cch

ccnp_cch Vérifier le commutateur  Sur un commutateur avec Catalyst OS, la commande show trunk <module#/port#> affiche l'état d'un trunk sur un port donné. Console> (enable) show trunk 2/1 * − indicates vtp domain mismatch Port Mode Encapsulation Status Native vlan −−−−−−−− −−−−−−−−−−− −−−−−−−−−−−−− −−−−−−−−−−−− −−−−−−−−−−− 2/1 on dot1q trunking 1 Port Vlans allowed on trunk −−−−−−−− −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−− 2/1 1,10,30 Port Vlans allowed and active in management domain Port Vlans in spanning tree forwarding state and not pruned Console> (enable)  Sur un commutateur avec IOS, la commande show interface FastEthernet <module#/port#> trunk affiche l'état d'un trunk sur une interface donnée. 2950g#show interface fastEthernet 0/22 trunk Port Mode Encapsulation Status Native vlan Fa0/22 on 802.1q trunking 1 Port Vlans allowed on trunk Fa0/22 1,10,30 Port Vlans allowed and active in management domain Port Vlans in spanning tree forwarding state and not pruned 2950gA# ccnp_cch

 Sur un commutateur Catalyst 2900XL/3500XL, la commande show interface FastEthernet <module#/port#> switchport affiche l'état d'un trunk sur une in- terface donnée. cat3524xl#show interface fastEthernet 0/22 switchport Name: Fa0/22 Switchport: Enabled Administrative mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: Disabled Access Mode VLAN: 0 ((Inactive)) Trunking Native Mode VLAN: 1 (default) Trunking VLANs Enabled: 1,10,30,1002−1005 Trunking VLANs Active: 1,10,30 Pruning VLANs Enabled: 2−1001 Priority for untagged frames: 0 Override vlan tag priority: FALSE Voice VLAN: none Appliance trust: none Self Loopback: No wlan−cat3524xl−a# ccnp_cch