terça-feira, 23 de fevereiro de 2016

Configuração de Multi-SSID no Cisco Aironet via CLI

Olá Pessoal,

Este é mais um artigo sobre a configuração do AP Cisco Aironet através da linha de comando (CLI), dessa vez com o objetivo de listar o processo de configuração de um ambiente de WLAN em que existem múltiplos SSIDs lógicos no(s) mesmo(s) equipamento(s) físico(s). Para demonstrar esse processo, as configurações apresentadas serão baseadas na topologia da figura abaixo. 


Observem que existe um AP fisicamente conectado em modo trunk na interface g0/1 do Switch Catalyst. O AP possui dois SSIDs, cada um associado com sua respectiva VLAN e sub-rede. Um SSID é exclusivo para uso dos funcionários da empresa que têm acesso aos servidores, enquanto que outro é aberto para visitantes terem acesso à Internet. A configuração do switch em que o AP está conectado é simples, sendo necessário apenas setar a interface g0/1 em modo trunk com encapsulamento 802.1q para que seja possível fazer a separação lógica das VLANs 07 (do SSID EMPRESA) e 08 (do SSID VISITANTE).

Switch# configure terminal
Switch(config)# interface g0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport trunk native vlan 1
Switch(config-if)# switchport trunk allowed vlan 1,7,8
Switch(config-if)# end

A configuração do AP consiste, primeiramente, na criação dos SSIDs e associação de cada um com sua respectiva VLAN. Na sequência informaremos a interface física do rádio 2.4 GHz (interface dot11radio 0) que existem múltiplos SSIDs e definimos o método de autenticação. A configuração é finalizada com a criação de duas sub-interfaces lógicas para cada VLAN. É necessário criar as sub-interfaces lógicas a partir da(s) interface(s) de rádio e também da interface ethernet, já que existe uma função de bridge responsável pela integração das interfaces físicas do AP.

!--- Configuração dos SSIDs e Associação c/ VLANs
ap# configure terminal
ap(config)# dot11 ssid EMPRESA
ap(config-ssid)# vlan 7
ap(config-ssid)# authentication open
ap(config-ssid)# authentication key-management wpa version 2
ap(config-ssid)# wpa-psk ascii PASSWORD1
ap(config-ssid)# mbssid guest-mode
ap(config-ssid)# exit
ap(config)# dot11 ssid VISITANTE
ap(config-ssid)# vlan 8
ap(config-ssid)# authentication open
ap(config-ssid)# authentication key-management wpa version 2
ap(config-ssid)# wpa-psk ascii PASSWORD2
ap(config-ssid)# mbssid guest-mode
ap(config-ssid)# exit

 !-- Configuração da Interface do Rádio 2.4 GHz 
ap(config)# interface dot11radio 0
ap(config-if)# mbssid
ap(config-if)# channel 6
ap(config-if)# encryption vlan 7 mode ciphers aes-ccm
ap(config-if)# encryption vlan 8 mode ciphers aes-ccm
ap(config-if)# ssid EMPRESA
ap(config-if)# ssid VISITANTE
ap(config-if)# no shut
ap(config-if)# exit

 !-- Configuração das Sub-Interfaces Lógicas dos Múltiplos SSIDs
ap(config)# interface dot11radio0.7
ap(config-subif)# encapsulation dot1q 7
ap(config-subif)# bridge-group 7
ap(config-subif)# exit
ap(config)# interface dot11radio0.8
ap(config-subif)# encapsulation dot1q 8
ap(config-subif)# bridge-group 8
ap(config-subif)# exit

 !-- Configuração da Interface Ethernet Conectada no Switch
ap(config)# interface g0
ap(config-if)# no shutdown
ap(config)# interface g0.7
ap(config-subif)# encapsulation dot1q 7
ap(config-subif)# bridge-group 7
ap(config-subif)# exit
ap(config)# interface g0.8
ap(config-subif)# encapsulation dot1q 8
ap(config-subif)# bridge-group 8
ap(config-subif)# exit

 !-- Integrating Routing and Bridging
ap(config)# bridge irb
ap(config)# bridge 1 route ip
ap(config)# end

Ao final foi necessário ativar o recurso Integrated Routing and Bridging (IRB) porque as funções de bridge (camada 2) e de roteamento (camada 3) utilizam protocolos diferentes. No caso dos APs que são dispositivos da camada de enlace, todas as interfaces que fazem parte de um mesmo grupo bridge-group possuem um endereço IP coletivo em alguma interface roteável. Por exemplo, ambas as sub-interfaces dot11radio0.7 e fastethernet0.7 fazem parte do mesmo grupo e estão associadas a uma VLAN que, por sua vez, está vinculada a uma interface virtual do switch multi-layer (SVI) que é roteável. No caso desse cenário, trata-se da interface VLAN7 (SVI) que possui um IP na sub-rede 192.168.7.0/24 e que é utilizado pelas demais máquinas como gateway. Um destaque importante é que o acesso de gerência ao AP acontece através da interface BVI1 que faz comunicação com o switch através da VLAN 1 (nativa), sendo possível alterar essa VLAN.

Façam seus testes...

Samuel.
Postado por às
Marcadores: , , , ,

12 comentários:

  1. Anônimo27 de fevereiro de 2016 às 10:41

    Profº. Samuel, Qual o Switch físico você indica para ficar treinando?

    ResponderExcluir
    Respostas
    1. Samuel Brito27 de fevereiro de 2016 às 13:22

      O ideal seria um Cisco Catalyst com suporte a PoE para alimentar os APs através do cabo de rede. Se você for usar sub-redes distintas, então vai precisar que o switch seja multi-layer ou terá que utilizar um roteador. Os switches 3550 e 3750 são boas opções.

      Excluir
  2. Anônimo27 de fevereiro de 2016 às 10:43

    Já usei o simulador, quero usar um Switch de verdade. Sou iniciante

    ResponderExcluir
  3. Unknown1 de março de 2016 às 11:08

    Não consigo acessar o AP através da console, quando conecto simplesmente não aparece nada, como fazer?

    ResponderExcluir
    Respostas
    1. Samuel Brito1 de março de 2016 às 11:17

      Verifique se a interface serial da máquina (ou o driver do adaptador USB-Serial) está instalado corretamente. Se estiver, basta usar qualquer software de conexão terminal para acessar a caixa seguindo os parâmetros padrões da Cisco:

      Bps: 9600bps
      Data Bits: 8
      Parity: None
      Stop Bits: 1
      Flow Controle: None

      Excluir
  4. Alisson Loyola17 de janeiro de 2017 às 15:10

    Boa tarde,

    Já tentei configurar diversas vezes meu aironet 1231G-A-K9 pela interface web e por linha de comando seguindo o seu tutorial, e toda vez que finalizo a configuração, eu percebo que o ap não associa um determinado SSID a uma determinada VLAN.
    Sempre que eu finalizo a configuração e vou verificar na interface web pra saber como ficou, aparece esse erro.

    Warning:
    SSID EMPRESA is not attached to any VLAN.
    Its old configuration is invalid and must be reconfigured.

    Já resetei o ap diversas vezes, e a versão de firmware do mesmo parece estar bem atualizada.

    ResponderExcluir
  5. Unknown4 de julho de 2017 às 13:00

    Não consigo utilizar o comando Conf t

    ResponderExcluir
    Respostas
    1. Samuel Brito4 de julho de 2017 às 13:39

      Certamente seu Aironet está com um firmware CAP que faz com que o AP seja totalmente dependente de uma controladora (WLC). Procure na página de suporte da Cisco pelos procedimentos para alterar o firmware e transformar seu Access Point em SAP (standalone).

      Excluir
    2. Samuel Brito31 de dezembro de 2017 às 02:15

      https://supportforums.cisco.com/t5/wireless/reiniciar-o-ap-cisco-com-as-configura%C3%A7%C3%B5es-iniciais/m-p/3301460#M240

      Excluir
  6. Lucas28 de setembro de 2018 às 10:25

    Samuel, Bom Dia!

    Parabens pelo tutorial...

    como faço para alterar a vlan da interface BVi1?

    Obrigado!

    ResponderExcluir
    Respostas
    1. Lucas Brain Tecnologia26 de dezembro de 2018 às 13:53

      Olá leitores do Blog.

      Resolvi este problema inserindo as seguintes linhas de na porta trunk do switch que liga ao AP

      #switchport trunk native vlan N - onde N deve ser a Vlan de onde você deseja gerenciar o equipamento.

      Excluir
  7. Felipe30 de novembro de 2018 às 14:50

    Olá.

    Estou começando a mexendo em aps Cisco e vendo seu artigo me veio uma dúvida.

    Para cada ssid tenho que criar uma vlan? Mexi um pouco na parte gráfica e recebia um mensagem:


    VLAN 1 is already mappted to SSID 'TesteSSID' on the Radio0-802.11N 2.4GHz.
    SSID to VLAN mapping should be unique on the interface.

    ResponderExcluir

Assinar: Postar comentários (Atom)