Cisco Aironet: Crear Bridge Group entre las VLAN WiFi y Ethernet

El interfaz web de los Cisco Aironet no permite vincular distintos SSID a diferentes VLANs. Puesto que todos los paquetes de la WiFi están tageados con su respectiva VLAN, es necesario modificar la configuración de los switches o bien modificar la configuración de los AP en caso de querer enrutar el tráfico entre las VLAN del AP y el switch.

En esta entrada se verá como crear un Integrated Routing and Bridging (IRB) en el AP para puentear las distintas VLAN de cada SSID. Es decir, en la red WiFi cada dispositivo estará en su propia VLAN, pero en la cableada se comportarán como si todos estuvieran en la misma VLAN (VLAN de Datos).

Conceptos

• VLAN es una red lógica con su propio dominio de difusión dentro de una misma red física.
• Bridge es un puente que conecta distintos segmentos de red. A nivel funcional es similar a un router ya que ambos, bridge y router, encaminan los datos para conectar segmentos de red diferentes. La diferencia está en la capa del modelo OSI en la que trabaja cada uno; así los bridges operan en la capa 2 (capa de enlace de datos) y los routers operan en la capa 3 (capa de red). Es decir, la decisión de reenvio en el bridge se toma en base a la dirección MAC de destino y en el router en base a la dirección IP de destino. Más información sobre bridge en Configuring Transparent Bridging.
• Bridge Group, es un conjunto de puentes, identificados por un número, donde el tráfico de red es puenteado a todas las interfaces que pertenecen al mismo bridge group. Es decir, conecta todos los segmentos de red que forman parte del mismo bridge group. Las decisiones de reenvio se basan en la dirección MAC de destino.
• BVI (Bridge Group Virtual Interface), es un interfaz virtual de enrutado para bridges donde las decisiones de reenvio se basan en la dirección IP de destino.
• IRB (Integrated Routing and Bridging), permite el reenvio entre dominios puenteados con Bridge Group y dominios enrutados con BVI. Más información Understanding and Configuring VLAN Routing and Bridging on a Router Using the IRB Feature.

Diagrama de enrutado

El router mantiene la misma MAC y VLAN en ambos segmentos de red.

Imágen de Understanding and Configuring VLAN Routing and Bridging on a Router Using the IRB Feature.

Diagrama de Bridge Group Virtual Interface (BVI)

El router solo mantiene la misma VLAN en ambos segmentos de red, pero cambia la MAC.

Imágen de Understanding and Configuring VLAN Routing and Bridging on a Router Using the IRB Feature.

Diagrama de Integrated Routing and Bridging (IRB)

El router cambia la MAC y VLAN.

Imágen de Understanding and Configuring VLAN Routing and Bridging on a Router Using the IRB Feature.

Objetivo

Partiendo del supuesto de las siguientes VLAN:

• SWITCH:
  • VLAN 1: Internet
  • VLAN 2: Voz
  • VLAN 3: Intranet
• AP:
  • VLAN
    • VLAN 1 (BG 1): Internet (SSID: Internet_Corporate - Radius Server Policy Corporate)
    • VLAN 2 (BG 2): Voz (SSID: hide)
    • VLAN 3 (BG 3): Intranet (SSID: hide)
    • VLAN 4 (BG 4): Internet (SSID: Internet_Guest - Radius Server Policy Guest)
  • Bridge Group
    • BG 1: sale a la VLAN 1 de la red cableada
    • BG 2: sale a la VLAN 2 de la red cableada
    • BG 3: sale a la VLAN 3 de la red cableada
    • BG 4: sale a la VLAN 4 de la red cableada

Es decir, en este supuesto tenemos:

• VLAN 1 que está asociada al SSID Internet_Corporate a través del sub-interface dot11radio0.1 que es miembro del bridge group 1.
• VLAN 2 que está asociada a un SSID oculto a través del sub-interface dot11radio0.2 que es miembro del bridge group 2.
• VLAN 3 que está asociada a un SSID oculto a través del sub-interface dot11radio0.3 que es miembro del bridge group 3.
• VLAN 4 que está asociada al SSID Internet_Guest a través del sub-interface dot11radio0.4 que es miembro del bridge group 4.

Por tanto el objetivo es modificar la VLAN 4 para añadirla al bridge group 1. Es decir, finalmente debería quedar como:

• VLAN 4 que está asociada al SSID Internet_Guest a través del sub-interface dot11radio0.4 que es miembro del bridge group 4 y 1.

Verificar la configuración actual del AP

Configuración del interface inalámbrico

Aironet-1041_P04#sh interface Dot11Radio0.4
Dot11Radio0.4 is up, line protocol is up
  Hardware is 802.11N 2.4GHz Radio, address is 1ce6.cxxx.axxx (bia 1ce6.cxxx.axxx)
  MTU 1500 bytes, BW 54000 Kbit/sec, DLY 1000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation 802.1Q Virtual LAN, Vlan ID  4.
  ARP type: ARPA, ARP Timeout 04:00:00
  Last clearing of "show interface" counters never

Configuración de los bridge group

Aironet-1041_P04#sh bridge verbose
 
Total of 300 station blocks, 297 free
Codes: P - permanent, S - self
 
BG Hash      Address      Action  Interface      VC    Age   RX count   TX count
 1 12/0   5435.3xxx.bxxx forward  Do0.1           -     P     7342244      39682
 1 85/0   6036.dxxx.1xxx forward  Do0.1           -     P     2647371     129258
 1 9E/0   5435.3xxx.bxxx forward  Do0.1           -     P        1012        425
 
Flood ports (BG 1)           RX count    TX count
Dot11Radio0.1                15227985    12616784
GigabitEthernet0.1            2696610    15227985
 
Flood ports (BG 2)           RX count    TX count
Dot11Radio0.2                  312299      356451
GigabitEthernet0.2              44178      312299
 
Flood ports (BG 3)           RX count    TX count
Dot11Radio0.3                       0           0
GigabitEthernet0.3                  0           0
 
Flood ports (BG 4)           RX count    TX count
Dot11Radio0.4                      51          51
GigabitEthernet0.4                  0          51

Configurar los bridge group del interfaz

Aironet-1041_P04#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Aironet-1041_P04(config)#interface Dot11Radio0.4
Aironet-1041_P04(config-subif)#bridge-group 1

Verificar la configuración del AP tras los cambios

Configuración de los bridge-group

Aironet-1041_P04#sh bridge verbose
 
Total of 300 station blocks, 296 free
Codes: P - permanent, S - self
 
BG Hash      Address      Action  Interface      VC    Age   RX count   TX count
 1 12/0   5435.3xxx.bxxx forward  Do0.1           -     P       20734          4
 1 2D/0   68a0.fxxx.5xxx forward  Do0.4           -     P        3100       4853
 1 85/0   6036.dxxx.1xxx forward  Do0.1           -     P       14047        822
 1 9E/0   5435.3xxx.bxxx forward  Do0.1           -     P        1012        425
 
Flood ports (BG 1)           RX count    TX count
Dot11Radio0.1                   23623       30908
Dot11Radio0.4                      21       30908
GigabitEthernet0.1               7267       23644
 
Flood ports (BG 2)           RX count    TX count
Dot11Radio0.2                  312302      357473
GigabitEthernet0.2              45197      312302
 
Flood ports (BG 3)           RX count    TX count
Dot11Radio0.3                       0           0
GigabitEthernet0.3                  0           0
 
Flood ports (BG 4)           RX count    TX count
Dot11Radio0.4                      51          51
GigabitEthernet0.4                  0          51

Conclusiones finales

Ahora los SSID Internet_Corporate e Internet_Guest esán asociados al mismo Bridge Group. En este punto la configuración es:

• VLAN 1 que está asociada al SSID Internet_Corporate a través del sub-interface dot11radio0.1 que es miembro del bridge group 1.
• VLAN 2 que está asociada a un SSID oculto a través del sub-interface dot11radio0.2 que es miembro del bridge group 2.
• VLAN 3 que está asociada a un SSID oculto a través del sub-interface dot11radio0.3 que es miembro del bridge group 3.
• VLAN 4 que está asociada al SSID Internet_Guest a través del sub-interface dot11radio0.4 que es miembro del bridge group 4 y 1.

Más información

• Autonomous AP and Bridge Basic Configuration Template
• Two SSID on same vlan for autonomous APs

Entradas de interés

• Cisco: Gestión básica de usuarios
• Obtener el puerto del switch al cual está conectado el servidor