1、配置AP-Groups的先决条件
- 必须在为某个子网或VLAN服务的路由器上定义所需的ACL。
- AP-Groups VLAN支持组播流量,如果客户端从一个AP漫游到其他的AP了,客户端可能会停止接收组播流量。除非启用了IGMP Snooping。
- 对于FlexConnect是支持的。
对于Flex模式的AP,如果需要将一个WLAN对应多个VLAN,可以使用的方式:
①使用AP-Group将一个Branch的不同AP分为多个组,每个组将同一WLAN对应不同的VLAN,这样实现。
②Interface-Group可以对Local模式AP实现,对于Flex AP不支持(但是我认为集中认证,集中转发可以啊)如开启了本地转发,才需要去配置vlan-mapping吧。
③使用AAA override,授权不同的VLAN
2、支持AP-Group的硬件型号
|
Controller Platform |
AP Groups Supported |
|
Cisco 2500 Series Wireless Controller |
50 |
|
Cisco 5500 Series Wireless Controller |
500 |
|
Cisco Virtual Wireless Controller |
200 |
|
Cisco 7500 Series Wireless Controller |
6000 |
|
Cisco 8500 Series Wireless Controller |
6000 |
|
Cisco Wireless Services Module 2 |
1000 |
3、关于配置AP-Groups的限制
- 假设一个AP-Group Table中WLAN 映射的interface和WLAN interface一样。如果WLAN interface改变了,那么AP-Group Table中映射的interface也会随之改变成新的WLAN interface;假设AP-Group Table中WLAN映射的interface和WLAN interface不一样,如果WLAN interface改变了,AP-Group中WLAN映射的interface不会改变。
- 如果你在WLC清除了配置,所有的AP-Group都会消失,除了default-group,这是默认创建的,无法清除。
- default-group中最多关联16个WLAN,所以default-group中的WLAN ID必须小于等于16,如果WLAN ID超过16,那么将无法广播出该SSID,WLAN ID超过16的WLAN需要自定义一个AP-Group。
- OEAP600系列AP支持最多2个WLAN和一个Remote LAN,这也适用于AP-Group,如果OEAP600在default-group中,那么WLAN或Remote LAN的ID必须要低于8.
- 所有的OEAP(Office-Extend)都应该在同一个AP-Group,并且那个AP-Group不能超过15个WLAN。因为对于AP-Group存在OEAP,控制器只向连接的OEAP发布最多15个WLAN,还有一个是personal SSID预留的WLAN。
- 思科建议在同一个AP-Group和FlexConnect Group中配置在同一个mesh tree里的所有Flex-Bridge AP,以便完整的继承WLAN-VLAN映射。
4、关于AP-Group
当你在WLC创建了最多512个WLAN后,你可以通过使用AP-Group去选择放出哪些SSID,以便更好的管理你的网络。在典型的部署中,一个WLAN上的所有用户可能都被映射到单一的接口。因此,这个WLAN上的所有用户都在同一Subnet或VLAN。然而,你可以选择创建AP-Group,根据特定的条件(例如“部门”)在多个interface或一组用户之间分担负载(换句话说,可以通过AP-Group来实现多个VLAN的使用,而不是一个WLAN对应一个VLAN)。此外,可以在不同的VLAN中配置这些AP-Group以简化网络管理。
5、配置AP-Group
Step1:配置相应的dynamic-interface并将其映射到所需的VLAN
Step2:创建AP-Group
Step3:创建RF profile
Step4:分配AP到响应的AP-Group
Step5:将RF profile应用到AP-Group
5.1-GUI配置:
第一步:创建AP-Group:
默认情况,所有的AP都在default-group中。这个default-group你不能去修改,它动态的更新前16个WLAN,如果AP不属于任何一个组,那会被分配进default-group,并且使用改组的WLAN,如果一个AP加入WLC,它使用的AP-Group在WLC上未定义,那它还是保持这个AP-Group名字,但是WLAN会使用default-group组中的。
如果你尝试删除一个AP-Group,请将该组中的所有的AP移到另一个AP-Group,不然会报错。
第二步:添加WLAN到AP-Group:
default-group中的interface name和WLAN interface一样。
第三步:添加AP到AP-Group:
如果某个AP目前未将它分配给一个组,那它的Group-name就是default-group。
AP从一个组被移动到另一个AP-Group,会重启。
如果想在AP层面去修改它所在组,可以通过如下方式:
choose Wireless > Access Points > All APs > ap_name > Advanced tab,从AP Group Name drop-down list, and click Apply.
5.2-CLI配置:
(Cisco Controller) >config wlan apgroup add AP-G2
(Cisco Controller) >config wlan apgroup description AP-G2 "AP Group 2"
(Cisco Controller) >config wlan apgroup interface-mapping add AP-G2 1 vlan11
(Cisco Controller) >config wlan apgroup wlan-radio-policy AP-G2 1 all
(Cisco Controller) >config ap group-name AP-G2 AP1702I
5.3-查看AP-Group:
(Cisco Controller) >show wlan apgroups
(Cisco Controller) >show ap wlan 802.11a/b AP1702I
(Cisco Controller) >show ap config 802.11a/b AP1702I
(Cisco Controller) >debug group enable
6、实现同一个WLAN可以分配到不同VLAN
我们这里创建了两个AP-Group,即AP-G1和AP-G2
在AP-G1中分配了WLAN1关联的接口为vlan11,WLAN关联的接口为vlan12.
在AP-G2中分配的WLAN1关联的接口vlan12.
而目前在default-group中的WLAN,看到关联的接口是management
假设我们有20个AP,将AP1,3,5,7,9分给AP-G1,将AP2,4,6,8,10分配给AP-G2,其余的AP11-20保留默认在default-group,针对于Hello的这个WLAN来看,AP-G1中放出的SSID关联的接口是vlan11,而AP-G2中放出的SSID关联的接口是vlan12,default-group中的SSID关联的是management,这样实际上一个WLC下的同一个WLAN,已经是三个网段的。