Архитектура решения при подключении ТД предполагает, что на коммутаторе доступа (к которому подключена ТД) будут выделены VLAN для подсети управления ТД (подается на ТД в нативном виде) и VLAN для подсетей пользователей SSID/VAP (подается на ТД в тегированном виде).
В случае использования SoftGRE-туннелей выделение VLAN на коммутаторе доступа для SSID/VAP не требуется. Тегированный клиентский трафик передается внутри туннеля SoftGRE, между ТД и контроллером, используя L3-связность между ТД и контроллером.
Более подробно схема взаимодействия ТД и контроллера, а также процесс настройки описаны в разделе Настройка контроллера WLC.
Настройка правил firewall не будет описываться в рамках данного раздела.
Настройка физических интерфейсов контроллера содержит следующие этапы:
- Выбор режима работы сетевого порта:
- switchport — L2-режим. Возможно разрешение vlan, но запрещает назначение IP-адреса и создание sub-/qinq-интерфейсов;
- routerport — L3-режим. Возможно назначение IP-адреса и создание sub-/qinq-интерфейсов.
- Добавление VLAN/sub на интерфейс;
- Добавление VLAN/sub в бридж (рекомендуется).
Пример настройки физических интерфейсов в режиме switchport
Конфигурация интерфейсов # Создаем VLAN 110 для подключения точек доступа: wlc(config)# vlan 110 wlc(config-vlan)# name MNGT_AP wlc(config-vlan)# exit # Конфигурируем интерфейсы для подключения точек доступа: wlc(config)# interface gigabitethernet 1/0/1 wlc(config-if-gi)# mode switchport wlc(config-if-gi)# switchport access vlan 110 wlc(config-if-gi)# exit # Создаем VLAN 115 для подключения пользователей: wlc(config)# vlan 115 wlc(config-vlan)# force-up wlc(config-vlan)# name USERS wlc(config-vlan)# exit
Терминирование VLAN в bridge
Рекомендуется использовать интерфейс типа bridge, так как данный подход более универсален и предоставляет более гибкие возможности для дальнейшего переконфигурирования интерфейсов согласно логике изменения построения сети.
# Конфигурация параметров интерфейса управления ТД. wlc(config)# bridge 10 #создаём bridge с наименованием "10" wlc(config)# description MNGT_AP #для удобства чтения и навигации по конфигурации можно добавить краткое описание интерфейса wlc(config-bridge)# vlan 110 #VLAN ID – номер VLAN для передачи management-трафика wlc(config-bridge)# no spanning-tree #отключаем протокол STP wlc(config-bridge)# ip address 192.168.1.1/24 #указываем ip address подсети управления wlc(config-bridge)# ip firewall disable #отключаем firewall wlc(config-bridge)# enable #активируем bridge wlc(config-bridge)# exit # Конфигурация параметров интерфейса для пользователей WI-FI. wlc(config)# bridge 15 wlc(config)# description USERS #для удобства чтения и навигации по конфигурации можно добавить краткое описание интерфейса wlc(config-bridge)# vlan 115 #VLAN ID – номер VLAN для передачи пользовательского трафика wlc(config-bridge)# no spanning-tree #отключаем протокол STP wlc(config-bridge)# ip address 192.168.2.1/24 #указываем ip address подсети пользователей wlc(config-bridge)# ip firewall disable #отключаем firewall wlc(config-bridge)# enable wlc(config-bridge)# exit
Пример настройки физических интерфейсов в режиме routerport
Основная задача bridge заключается в объединении нескольких L2-доменов в единый общий домен, который в дальнейшем может использоваться как на уровне L2, так и на L3.
Основная функция sub-интерфейсов разделение одного физического интерфейса на несколько логических, это позволяет использовать один интерфейс для работы с несколькими L2/L3-доменами.
Настройка с помощью sub-interface
Sub-интерфейсы могут быть использованы для назначения IP-адресов в рамках отдельных VLAN, что позволяет маршрутизировать трафик между VLAN или подключать L3-устройства к L2-сетям.
wlc(config)# interface gigabitethernet 1/0/3 #для создания sub-интерфейса необходимо перевести порт в режим routerport wlc(config-if-gi)# mode routerport #создаём sub-интерфейс для управления точками доступа, где 111 - VLAN ID управления wlc(config)# interface gigabitethernet 1/0/3.111 #sub-интерфейс с такой конфигурацией инкапсулирует/декапсулирует трафик с VID непосредственно на интерфейсе wlc(config-if-sub)# ip address 192.168.1.1/24 #указываем ip address подсети управления wlc(config-if-sub)# exit
Также возможно терминировать созданные sub-интерфейсы в интерфейс типа bridge и назначать IP-адрес на bridge-интерфейсе.
# Создаём интерфейс bridge: wlc(config)# bridge 11 #создаём bridge с наименованием "11" wlc(config-bridge)# no spanning-tree #отключаем протокол STP wlc(config-bridge)# ip address 192.168.11.1/24 #указываем ip address подсети wlc(config-bridge)# ip firewall disable #отключаем firewall wlc(config-bridge)# enable #активируем bridge wlc(config-bridge)# exit # Создаём sub-интерфейс: wlc(config)# interface gigabitethernet 1/0/3 wlc(config-if-gi)# interface gigabitethernet 1/0/3.111 wlc(config-if-sub)# bridge-group 11 #добавляем sub-интерфейс в ранее созданный bridge
Терминирование трафика SoftGRE-туннелей
Для терминирования трафика пользователей, передаваемого внутри SoftGRE-туннелей (Настройка SoftGRE-туннелей) нужно использовать только интерфейс типа bridge, т. к. терминируемые SoftGRE-туннели обеспечивают L2-связность и могут быть включены только в данный тип интерфейсов. Возможно использование созданных для этих целей интерфейсов типа bridge и для терминирования трафика sub-интерфейсов.
# Создаем VLAN 111 для пользователей: wlc(config)# vlan 111 wlc(config-vlan)# force-up wlc(config-vlan)# exit # Создаём интерфейс bridge: wlc(config)# bridge 11 #создаём bridge с наименованием "11" wlc(config-bridge)# vlan 111 #VLAN ID – номер VLAN для передачи трафика пользователей от SSID (внутри SoftGRE-туннеля) wlc(config-bridge)# no spanning-tree #отключаем протокол STP wlc(config-bridge)# mtu 1458 #устанавливаем размер mtu 1458 для компенсации туннелирования трафика wlc(config-bridge)# ip firewall disable #отключаем firewall wlc(config-bridge)# enable #активируем bridge wlc(config-bridge)# exit
Все внесённые изменения в конфигурации необходимо записать в постоянную память устройства.
wlc-30# commit
Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds. #изменения сохранены и запущен таймер
wlc-30# confirm
Configuration has been confirmed. Commit timer canceled. #изменения подтверждены и применены