Configuration de VLANs les points d'accès Aironet sur les points d'accès Aironet ccnp_cch ccnp_cch

Sommaire • Introduction - Prérequis - Composants utilisés - Schéma du réseau • Configuration - Configurer le VLAN natif sur l'AP - Configurer les VLAN pour les utilisateurs Guest et Admin sur l'AP - Configurer le commutateur Catalyst - Configurer le routeur • Vérification • Résolution de problèmes - Procédure de résolution de problèmes - Commandes pour résolution de problèmes ccnp_cch

Introduction ccnp_cch Ce document fournit un exemple de configuration qui montre comment configurer les VLANs sur les point d'accès Aironet (APs) en utilisant l'interface ligne de commande (CLI). Prérequis Assurez-vous d'avoir les prérequis suivants avant de tenter cette configuration:  Connaissance de la configuration de base des APs Aironet  Connaissance de la configuration de l'adaptateur Client Aironet 802.11 a/b/g avec l'utilitaire Aironet Desktop Utility.  Connaissance de base de la configuration des commutateurs Cisco Catalyst et des routeurs Cisco. Composants utilisés Les informations présentées dans ce document sont basées sur les configurations lo- gicielles et matérielles suivantes:  AP Aironet Série 1240AG qui opère avec Cisco IOS® Software Release 12.4(3g)JA1  Adaptateur Client Aironet 802.11a/b/g  Aironet Desktop Utility qui opère avec un firmware version 2.5  Catalyst 2950 switch qui opère avec Cisco IOS Software Release 12.1(19)EA1  Routeur 2800 ISR qui opère avec Cisco IOS Software Release 12.4(11)T Schéma du réseau Un AP Aironet Série 1200 a trois VLANs qui sont VLAN 2, VLAN 20 et VLAN 30. La con- figuration présentée dans ce document utilise le VLAN 2 comme VLAN natif, le VLAN 20 pour le département administration (admin) et le VLAN 30 pour les utilisateurs invités (Guest). Les utilisateurs sans-fil qui appartiennent au département admin doivent se connecter à l'AP et doivent être capables de se connecter ave les utilisateurs du dépar- tement admin sur le réseau câble (VLAN 20). Les utilisateurs sans-fil invités doivent être capables de se connecter au serveur Web qui est sur le réseau câblé (VLAN 30). Un commutateur Catalyst 2950 connecte l'AP au réseau câblé. Un routeur 2800 ISR se connecte au même réseau et agit comme serveur DHCP pour les clients sans-fil appar- tenants au VLAN 20 et au VLAN 30. Le routeur doit affecter des adresses IP aux clients à partir de leurs sous-réseaux respectifs. vous devez configurer l'AP, le commutateur Catalyst et le routeur pour implémenter cette configuration. ccnp_cch

Configuration ccnp_cch Routeur 2800 ISR Utilisateur Admin (VLAN 20) Serveur Web (VLAN 30) Fa0/5 Fa0/3 Fa0/4 Fa0/10 Commutateur Catalyst 2950 AP Cisco 1240 Client Sans-fil (VLAN 20) Client Sans-fil (VLAN 30) SSID Admin SSID Guest Voici la liste des adresses IP utilisées pour les équipements présentés dans cette confi- guration. Toutes les adresses IP ont un masque de sous-réseau /24.  AP Bridge−Group Virtual Interface (BVI) - Adresse IP 172.16.1.20 (VLAN 2)  Client Sans-fil (SSID Admin) connecté au VLAN 20 obtient une adresse IP à partir du serveur DHCP du routeur dans le sous-réseau 172.16.2.0.  Client sans-fil (SSID Guest) connecté au VLAN 30 obtient une adresse IP à partie du serveur DHCP du routeur dans le sous-réseau 172.16.3.0  Utilisateur Admin du réseau câble dans le VLAN 20 a l'adresse IP 172.16.2.60 (adresse IP statique)  Serveur Web dans le VLAN 30 a l'adresse IP 172.16.3.60 (Adresse IP Statique)  Sous−interface du routeur dans le VLAN 2 a l'adresse IP 172.16.1.1  Sous−interface du routeur dans le VLAN 20 a l'adresse IP 172.16.2.1  Sous−interface du routeur dans le VLAN 30 a l'adresse IP 172.16.3.1 Configuration Dans cette section sont présentées les informations nécessaires pour configurer les fonctionnalités décrites dans ce document. Pour configurer l'AP pour se connecter à un VLAN particulier, vous devez configurer le SSID (Service Set Identifier) pour reconnaître le VLAN. Soit un VLAN ID ou un nom identifie un VLAN. Par conséquent si vous configurez le SSID sur un AP pour recon- ccnp_cch

naître un VLAN ID donné ou un nom, vous pouvez établir une connexion avec le VLAN. Après établissement de la connexion, les clients sans-fil qui se connectent à l'AP en utilisant un SSIDF spécifique sont affectés à ce VLAN. Comme vous pouvez configurer 16 SSIDs sur un AP, vous pouvez créer 16 VLANs sur un AP. Pour configurer des VLANs sur un AP et établir la connectivité, vous devez exécuter ces étapes: 1. Configurer le VLAN natif sur l'AP 2. Configurer les VLANs pour les utilisateurs guets et les utilisateurs admin sur l'AP. 3. Configurer le commutateur Catalyst 4. Configurer le routeur Configurer le VLAN natif sur l'AP Le VLAN vers lequel le point d'accès lui-même et les autres équipements comme le com- mutateur se connectent est appelé VLAN natif. Le VLAN natif du point d'accès est usu- ellement différent des autres VLANs configurés sur le Point d'Accès. C'est l'interface BVI qui est utilisée pour l'administration du point d'accès et qui a une adresse affectée dans le sous-réseau du VLAN natif. Le trafic, par exemple le trafic d'administration, transmis et reçu par le point d'accès lui-même utilise le VLAN natif et n'est pas marqué. Tout trafic non marqué qui est reçu sur un port trunk IEEE 802.1Q (dot1q) est acheminé avec le VLAN natif configuré sur le port. Si un paquet a un VLAN ID qui est le même que le VLAN ID du VLAN natif du port émetteur alors le commutateur transmet le pa- quet non marqué. Autrement le commutateur transmet le paquet avec une marque. Pour configurer le VLAN natif su un AP, entrez ces commandes en mode de configura- tion global sur l'AP. AccessPoint<config>#interface fastethernet 0.2 AccessPoint<config−subif>#encapsulation dot1q 2 native !−−− Configure l'encapsulation dot1q et désigne le VLAN 2 comme !−−− VLAN natif sur la sous-interface. AccessPoint<config−subif>#exit AccessPoint<config>#interface dot11radio 0.2 !−−− VLAN natif sur l'interface radio. AccessPoint<config−subif>#end Configurer les VLAN pour les utilisateurs Guest et Admin sur l'AP Ici vous avez besoin de configurer deux VLANs, un pour les utilisateurs invités (guest) et un pour les utilisateurs du département admin. Vous avez également besoin d'asso- cier les SSIDs à des VLANs spécifiques. Cet exemple montre la configuration de:  VLAN 20 pour le département Admin avec le SSID Admin  VLAN 30 pour les utilisateurs invités avec le SSID Guest ccnp_cch

Pour configurer ces VLANs, entrez ces commandes en mode de configuration global. AccessPoint#configure terminal !−−− Entre en mode de configuration global. AccessPoint(config)#interface dot11radio 0 !−−− Entre en mode de configuration interface radio. AccessPoint(config−if)#ssid Admin !−−− Configure le SSID "Admin". AccessPoint(config−if−ssid)#vlan 20 !−−− Affecte le VLAN 20 au SSID. AccessPoint(config−if−ssid)#authentication open !−−− Configure l'authentification ouverte pour le SSID. AccessPoint(config−if−ssid)#end AccessPoint(config) interface fastethernet 0.20 !−−− Entre en mode sous-interface pour l'interface FastEthernet. AccessPoint(config−subif) encapsulation dot1Q 20 !−−− Fixe l'encapsulation dot1q pour le VLAN 20. AccessPoint(config−subif) bridge−group 20 !−−− Affecte la sous-interface au bridge group 20. AccessPoint(config−subif) exit AccessPoint(config) interface dot11radio 0.20 !−−− Entre en mode sous-interface sur l'interface radio. Répétez la même procédure pour configurer le VLAN 30 pour les utilisateurs admin. AccessPoint(config−if)#ssid Guest AccessPoint(config−if−ssid)#vlan 30 ccnp_cch

ccnp_cch AccessPoint(config) interface fastethernet 0.30 AccessPoint(config−subif) encapsulation dot1Q 30 AccessPoint(config−subif) bridge−group 30 AccessPoint(config−subif) exit AccessPoint(config) interface dot11radio 0.30 Note: Ce document utilise l'authentification ouverte pour les SSIDs Admin et Guest. Les types d'authentification sont liés aux SSIDs que vous configurez sur l'AP. Configurer le commutateur Catalyst L'étape suivante est la configuration des ports du commutateur qui seront connectés à l'AP et au routeur du réseau câblé. Vous devez configurer le port du commutateur qui est connecté à l'AP et au routeur comme port trunk car ce port transporte le trafic de tous les VLANs sur l'AP. Dans cet exemple, les VLANs sont les VLANs 20, VLAN 30 et le VLAN natif VLAN 2. Quand vous configurer les ports du commutateur qui connec- tent l'AP et le routeur, assurez-vous que le VLAN natif que vous configurez correspond au VLAN natif sur l'AP et sur le routeur sinon les trames seront éliminées. Pour confi- gurer le port trunk sur le commutateur, entrez ces commandes à partir de la CLI sur le commutateur. Note: Ce document utilise un commutateur Catalyst 2950. Les configurations des ports sur les commutateurs varient selon le modèle de commutateur que vous utilisez. Comme cela est montré dans le schéma, l'interface FastEthernet 0/5 est connectée au routeur et l'interface FastEthernet 0/10 est connectée au point d'accès. Switch#configure terminal Switch<config>#interface fastethernet 0/5 !−−− Entre en mode de configuration interface FastEthernet 0/5. Switch<config−if>#switchport mode trunk !−−− Configure mode de port en mode trunk. Switch<config−if>#switchport trunk encapsulation dot1q !−−− Configure l'encapsulation dot1q sur le port. Switch<config−if>#switchport trunk native vlan 2 !−−− Configure le VLAN 2 comme natif. Switch<config−if>#switchport trunk allowed vlan add 2,20,30 !−−− Configure la liste des VLANs autorisés sur le port trunk. Switch<config−if>#switchport nonegotiate ccnp_cch

ccnp_cch Switch#configure terminal Switch<config>#interface fastethernet 0/10 !−−− Entre en mode de configuration interface FastEthernet 0/10. Switch<config−if>#switchport mode trunk !−−− Configure mode de port en mode trunk. Switch<config−if>#switchport trunk encapsulation dot1q !−−− Configure l'encapsulation dot1q sur le port. Switch<config−if>#switchport trunk native vlan 2 !−−− Configure le VLAN 2 comme natif. Switch<config−if>#switchport trunk allowed vlan add 2,20,30 !−−− Configure la liste des VLANs autorisés sur le port trunk. Switch<config−if>#switchport nonegotiate Note: Le logiciel IOS cisco de l'équipement sans-fil Aironet ne supporte pas DTP (Dyna- mic Trunking Protocol). par conséquent le commutateur ne tentera pas de négociation DTP. Configurer le routeur Le routeur est configuré come serveur DHCP pour les clients sans-fil dans le VLAN 20 et le VLAN 30. le routeur a trois sous-interfaces, une pour chacun des VLANs (VLAN2, 20 et 30) ainsi il peut affecter des adresses IP aux clients dans le sous-réseau de leurs VLANs respectifs et réaliser le routage inter-VLAN. Router#configure terminal Router<config>#interface fastethernet 0/0.2 !−−− Configure la sous-interface .2 sur FastEthernet 0/0 Router<config−subif>#encapsulation dot1q 2 native !−−− Configure l'encapsulation dot1q et affecte le VLAN 2 à la !--- sous−interface. Cette commande fait également du VLAN 2 le !--- VLAN natif. Ici le nombre 2 est le VLAN ID. Router<config−subif>#ip address 172.16.1.1 255.255.255.0 !−−− Affecte l'adresse IP 172.16.1.1/24 dans le sous-réseau du VLAN !--- natif 2 à la sous-interface. Router<config−subif>#exit Router<config>#interface fastethernet 0/0.20 !−−− Configure la sous-interface .20 sur FastEthernet 0/0 Router<config−subif>#encapsulation dot1q 20 !−−− Configure l'encapsulation dot1q et affecte le VLAN 20 à la !--- sous−interface. Ici le nombre 20 est le VLAN ID. ccnp_cch

Router<config−subif>#ip address 172.16.2.1 255.255.255.0 !−−− Affecte l'adresse IP 172.16.2.1/24 dans le sous-réseau du VLAN !--- 20 à la sous-interface. Router<config−subif>#exit Router<config>#interface fastethernet 0/0.30 !−−− Configure la sous-interface .30 sur FastEthernet 0/0 Router<config−subif>#encapsulation dot1q 30 !−−− Configure l'encapsulation dot1q et affecte le VLAN 30 à la !--- sous−interface. Ici le nombre 30 est le VLAN ID. Router<config−subif>#ip address 172.16.3.1 255.255.255.0 !−−− Affecte l'adresse IP 172.16.3.1/24 dans le sous-réseau du VLAN !--- 30 à la sous-interface. La configuration DHCP débute ici Router<config>#ip dhcp excluded−address 172.16.2.1 Router<config>#ip dhcp excluded−address 172.16.3.1 !−−− La commande excluded−address est utilisée pour exclure les !--- adresses IP spécifiées du pool DHCP. Dans ce cas les adresses !--- des sous-interfaces du routeur sont exclues. Router<config>#ip dhcp pool pool1 !−−− Crée un pool DHCP avec le nom pool1 entre en mode de !--- configuration DHCP. Router<dhcp−config>#network 172.16.2.0 /24 !−−− A partir du pool pool1 sont affectées les adresses IP dans !--- le sous-réseau 172.16.2.0/24. Router<dhcp−config>#default−router 172.16.2.1 !−−− La passerelle par défaut affectée au client par ce pool est !--- 172.16.2.1. Router<dhcp−config>#exit Router<config>#ip dhcp pool pool2 !−−− Crée un pool DHCP avec le nom pool2 et entre en mode de Router<dhcp−config>#network 172.16.3.0 /24 !−−− A partir du pool pool2 sont affectées les adresses IP dans !--- le sous-réseau 172.16.3.0/24. Router<dhcp−config>#default−router 172.16.3.1 !--- 172.16.3.1. ccnp_cch

Vérification ccnp_cch Utilisez cette section pour confirmer que votre configuration fonctionne correctement. Vous pouvez vérifier si la configuration fonctionne comme attendu. Le client sans-fil (utilisateur admin) qui est configuré avec le SSID Admin doit se connecter au VLAN 20. Le même utilisateur doit être capable de communiquer avec l'utilisateur Admin sur le réseau câblé qui est aussi dans le même VLAN. Pour vérifier, activer le profil de client sans-fil pour l'utilisateur Admin. Note: Ce document n'explique pas comment configurer le client sans-fil pour fixer les profils. Cet exemple de fenêtre montre que le client sans-fil est associé à l'AP. La commande show dot11 associations sur l'AP vérifie également que le client s'est connecté au VLAN 20. AccessPoint#show dot11 associations 802.11 Client Stations on Dot11Radio0: SSID [Admin] : MAC Address IP address Device Name Parent State 0040.96ac.e657 172.16.2.50 CB21AG/PI21AG Admin User self Assoc ccnp_cch

Vous pouvez entrer la commande show vlans sur l'AP pour afficher les VLANs qui sont configurés. Voici un exemple: AccessPoint#show vlans Virtual LAN ID: 2 (IEEE 802.1Q Encapsulation) VLAN Trunk Interfaces: Dot11Radio0.2 FastEthernet0.2 This is configured as native Vlan for the following interface(s) : Dot11Radio0 FastEthernet0 Protocols Configured: Address: Received: Transmitted: Bridging Bridge Group 1 1380 712 Other 0 63 0 packets, 0 bytes input 733 packets, 50641 bytes output Bridging Bridge Group 1 1380 712 Other 0 63 1381 packets, 98016 bytes input 42 packets, 12517 bytes output Virtual LAN ID: 20 (IEEE 802.1Q Encapsulation) VLAN Trunk Interfaces: Dot11Radio0.20 FastEthernet0.20 Bridging Bridge Group 20 798 622 Other 0 19 247 packets, 25608 bytes input 495 packets, 43585 bytes output 552 packets, 37536 bytes input 148 packets, 21660 bytes output ccnp_cch

ccnp_cch Virtual LAN ID: 30 (IEEE 802.1Q Encapsulation) VLAN Trunk Interfaces: Dot11Radio0.30 FastEthernet0.30 Protocols Configured: Address: Received: Transmitted: Bridging Bridge Group 30 693 609 Other 0 19 106 packets, 13373 bytes input 517 packets, 48029 bytes output 605 packets, 47531 bytes input 112 packets, 15749 bytes output Vous pouvez maintenant vérifier si l'utilisateur sans-fil admin est capable de communi- quer avec l'utilisateur Admin du réseau câblé qui est configuré sur le même VLAN. Entrez la commande ping sur le client sans-fil. Voici un exemple: D:\>ping 172.16.2.60 Pinging 172.16.2.60 with 32 bytes of data: Reply from 172.16.2.60: bytes=32 time<10ms TTL=255 Ping statistics for 172.16.2.60: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli−seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms De manière similaire, vous pouvez vérifier si les utilisateurs invités se connectent au VLAN 30. Vous pouvez entrer la commande ping sur le client sans-fil guest pour tester la connectivité avec le serveur Web sur le réseau câblé. Voici un exemple: D:\>ping 172.16.3.60 Pinging 172.16.3.60 with 32 bytes of data: Reply from 172.16.3.60: bytes=32 time<10ms TTL=255 Ping statistics for 172.16.3.60: ccnp_cch

Résolution de problèmes Utilisez cette section pour résoudre des problèmes de configuration. Procédure de résolution de problèmes Suivez ces instructions pour résoudre des problèmes de configuration. 1. Vérifiez si le VLAN natif qui est configuré sur le port du commutateur et connecté à l'AP correspond au VLAN natif de l'AP. S'il n'y a pas de correspondance avec le VLAN natif, la connectivité avec le commu- tateur ne se fera pas. 2. Assurez-vous que tous les VLANs qui sont configurés sur le réseau sans-fil sont autorisés sur le port du commutateur qui est configuré comme trunk. Par défaut tous les VLANs sont autorisés sur le port trunk. 3. Vérifiez si la commande bridge-group est configurée sur tous les VLANs excepté sur le VLAN natif. Vous n'avez pas besoin de configurer un bridge group sur la sous-interface que vous avez configuré comme VLAN natif. Ce bridge-group est automatiquement dé- placé vers la sous-interface native pour maintenir le lien vers BVI1 qui représente les interfaces Radio et Ehternet. Attention: Quand vous configurez la commande bridge-group, ces commandes sont automatiquement validées. bridge−group 10 subscriber−loop−control bridge−group 10 block−unknown−source no bridge−group 10 source−learning no bridge−group 10 unicast−flooding bridge−group 10 spanning−disabled Ce sont les paramètres standard par défaut et vous ne devez pas les changer sauf si vous y êtes obligé. Si vous retirez ces commandes, le VLAN peut ne pas fonction- ner comme attendu. Commandes pour résolution de problèmes Vous pouvez également utiliser ces commandes pour résoudre des problèmes de confi- guration de votre AP.  show vlans  show vlans dot1q  show dot11 associations ccnp_cch

Sur le commutateur Catalyst 2950, vous pouvez utiliser ces commandes pour résoudre les problèmes de configuration.  show vlans  show interface fastethernet x/x switchport  show interface fastethernet x/x trunk Sur le routeur, entrez ces commandes pour résoudre des problèmes de configuration.  debug ip dhcp server packet  show ip interface brief Voici une sortie de l'affectation réussie d'adresse IP pour le client dans le SSID Admin. Router#debug ip dhcp server packet *Nov 23 18:02:06.637: DHCPD: DHCPREQUEST received from client 0040.96ac.e657. !−−− Le Routeur reçoit une requête DHCP du client. *Nov 23 18:02:06.637: DHCPD: No default domain to append − abort update *Nov 23 18:02:06.637: DHCPD: Sending DHCPACK to client 0040.96ac.e657 (172.16.2.50). !−−− Le Router acquitte le requête du client. *Nov 23 18:02:06.637: DHCPD: creating ARP entry (172.16.2.2, 0040.96ac.e657. *Nov 23 18:02:06.637: DHCPD: unicasting BOOTREPLY to client 0040.96ac.e657 !−−− Le Router affecte l'adresse IP au client dans le sous-réseau du VLAN 10. ccnp_cch