取消
显示结果 
搜索替代 
您的意思是: 
cancel
6900
查看次数
23
有帮助
11
评论

[postbg]1.jpg[/postbg]

1、配置AP-Groups的先决条件

 

  • 必须在为某个子网或VLAN服务的路由器上定义所需的ACL
  • AP-Groups VLAN支持组播流量,如果客户端从一个AP漫游到其他的AP了,客户端可能会停止接收组播流量。除非启用了IGMP Snooping

 

  • 对于FlexConnect是支持的。

 

对于Flex模式的AP,如果需要将一个WLAN对应多个VLAN,可以使用的方式:
①使用AP-Group将一个Branch的不同AP分为多个组,每个组将同一WLAN对应不同的VLAN,这样实现。
②Interface-Group可以对Local模式AP实现,对于Flex AP不支持(但是我认为集中认证,集中转发可以啊)如开启了本地转发,才需要去配置vlan-mapping吧。
③使用AAAoverride,授权不同的VLAN

 

2、支持AP-Group的硬件型号
Controller Platform
AP Groups Supported
Cisco 2500 Series Wireless Controller
50
Cisco 5500 Series Wireless Controller
500
Cisco Virtual Wireless Controller
200
Cisco 7500 Series Wireless Controller
6000
Cisco 8500 Series Wireless Controller
6000
Cisco Wireless Services Module 2
1000

 

3、关于配置AP-Groups的限制

 

  • 假设一个AP-Group TableWLAN 映射的interfaceWLAN interface一样。如果WLAN interface改变了,那么AP-Group Table中映射的interface也会随之改变成新的WLAN interface;假设AP-Group TableWLAN映射的interfaceWLAN interface不一样,如果WLAN interface改变了,AP-GroupWLAN映射的interface不会改变。
  • 如果你在WLC清除了配置,所有的AP-Group都会消失,除了default-group,这是默认创建的,无法清除。

 

  • default-group中最多关联16WLAN,所以default-group中的WLAN ID必须小于等于16,如果WLAN ID超过16,那么将无法广播出该SSIDWLAN ID超过16WLAN需要自定义一个AP-Group

 

  • OEAP600系列AP支持最多2WLAN和一个Remote LAN,这也适用于AP-Group,如果OEAP600default-group中,那么WLANRemote LANID必须要低于8.
  • 所有的OEAPOffice-Extend)都应该在同一个AP-Group,并且那个AP-Group不能超过15WLAN。因为对于AP-Group存在OEAP,控制器只向连接的OEAP发布最多15WLAN,还有一个是personal SSID预留的WLAN
  • 思科建议在同一个AP-GroupFlexConnect Group中配置在同一个mesh tree里的所有Flex-Bridge AP,以便完整的继承WLAN-VLAN映射。

 

4、关于AP-Group
当你在WLC创建了最多512个WLAN后,你可以通过使用AP-Group去选择放出哪些SSID,以便更好的管理你的网络。在典型的部署中,一个WLAN上的所有用户可能都被映射到单一的接口。因此,这个WLAN上的所有用户都在同一Subnet或VLAN。然而,你可以选择创建AP-Group,根据特定的条件(例如“部门”)在多个interface或一组用户之间分担负载(换句话说,可以通过AP-Group来实现多个VLAN的使用,而不是一个WLAN对应一个VLAN)。此外,可以在不同的VLAN中配置这些AP-Group以简化网络管理。

 

5、配置AP-Group
Step1:配置相应的dynamic-interface并将其映射到所需的VLAN
Step2:创建AP-Group
Step3:创建RF profile
Step4:分配AP到响应的AP-Group
Step5:将RF profile应用到AP-Group


由于超出限制,所以上传了Word文档!

评论
wuhao0015
Spotlight
Spotlight
回复支持下~~! .
sufee
Level 1
Level 1
8.5.161版本vWLC和ME不支持吗?
sufee 发表于 2021-2-24 10:54
8.5.161版本vWLC和ME不支持吗?

vWLC当然是支持的。
ME的话,应该是在8.6及之后支持吧。
wuhao0015 发表于 2021-2-24 10:19
回复支持下~~! .

多谢支持~~:lol
Tiandao
Level 1
Level 1
wuhao0015 发表于 2021-2-24 10:19
回复支持下~~! .

AireOS WLC中的interface IP有什么实际意义(管理的除外)吗?

@Tiandao @AireOS WLC中的Interface,可以看做是L2 Switch的SVI,实际上WLC本身就是一个 L2设备。如果使用过WLC,您可能会注意到,在WLC上几乎没有配置什么路由协议,包括静态路由

我们看到的show interface summary其中至少包含了management,用作WLC&AP管理;Service port用作带外管理(OOM),后还有Virtual,通常建议配置的是192.0.2.1等保留地址,它在DHCP和WEB认证等方面发挥重要作用;如果有HA的部署,还应该注意有RMI interface,它和management在同一个网段,主要是主备WLC的冗余管理地址;同时redundancy port也会copy RMI的后24 bits的内容,形成169.254.x.x的IP地址,最后是dynamic interface,这些就干脆理解为vlan interface好了,一般是为了和WLAN关联VLAN,当然,如果只使用management 网段,也可以不用配置dynamic,但是一般不建议将管理网段应用在业务网段。

964574679
Level 1
Level 1

我想基于接入点(AP)来分配地址(vlan),在相同的SSID配置了不同的AP组(对应不同的vlan),但实际上客户端连接后,没有做到隔离,而是能漫游所有vlan了。根据文档的设置,不知道问题出在哪里呢

你的意思是,通过AP Group在划分AP,然后在WLANs设置的时候,不同的AP Group下APs的相同WLAN,使用不同的interface(对应不同的vlan),以实现在不同AP Group下关联的CLient属于不同的VLAN的意思吧?

客户端连接之后隔离怎么理解呢?客户端不同vlan吗还是客户端之间不同通信呢?如果是不同vlan的话,在AP Group下的WLANs配置时可以生效的,如果是客户端之间不互通,可以试试P2P Blocking。

关于你说的漫游所有vlan,是指客户端在不同的AP Group的AP下关联,获取到了不同的vlan的IP吗?这个是预期现象啊(如果本来就针对不同AP Group下的WLAN分配了不同的int(vlan)的话)

964574679
Level 1
Level 1

感谢解答:

 

你的意思是,通过AP Group在划分AP,然后在WLANs设置的时候,不同的AP Group下APs的相同WLAN,使用不同的interface(对应不同的vlan),以实现在不同AP Group下关联的CLient属于不同的VLAN的意思吧?--------------是的

 

关于你说的漫游所有vlan,是指客户端在不同的AP Group的AP下关联,获取到了不同的vlan的IP吗?这个是预期现象啊(如果本来就针对不同AP Group下的WLAN分配了不同的int(vlan)的话)

--------------------------------------

我的需求是如上的,但实际不是预期现象,以下是我的设置:

我在AP Group 中创建组A 对应 SSID (test) 的interface 为vlan 10;组B对于 SSID (test) 的interface 为vlan 20;

在WLANs中创建 SSID (test) 对应的interface 为vlan 10;

将AP1属于 组A, AP2属于 组B,但是我的客户端连接到AP1的时候,获取的是vlan 20。

 

已经查看了客户端确认是关联在AP1上了吗?可以show client detail <mac-add>看看。

964574679
Level 1
Level 1

@Rps-Cheers 是的,确认关联没问题。我的WLC版本为8.5.161.0,接入点AP1700

入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接