Aironet APs: Bridge Groups y BVI

La configuración de la línea de comandos de los puntos de acceso de Cisco Aironet puede ser confusa para alguien que no entiende lo que sucede detrás de la escena. “¿Qué es un grupo puente (Bridge Group)? ¿En qué se diferencia de una VLAN? ¿Por qué tengo subinterfaces y una BVI?” En este artículo, veremos una configuración SSID múltiple múltiple en una sección de Aironet, una a la vez, y aclararemos cómo se usan los grupos de puentes para unir todo.

Nuestro ejemplo hará uso de dos SSID:

  • VLAN 10: Corporativo
  • VLAN 20: Invitado

Configuración

configuración global

dot11 ssid Corporate
   vlan 10
!
dot11 ssid Guest
   vlan 20
!
bridge irb

Dos funciones relevantes se realizan en el fragmento anterior. Primero, nuestros dos SSID (Corporativo e Invitado) están definidos y asociados con VLAN. En segundo lugar, el enrutamiento y el puenteo integrados (IRB) se habilitan con el comando bridge irb. Esto permite definir grupos de puentes y un BVI.

Configuración de la interfaz de radio

Nuestro punto de acceso tiene dos interfaces físicas de radio (inalámbricas): Dot11Radio0 (2.4 GHz) y Dot11Radio1 (5 GHz). Como queremos habilitar ambos SSID en ambos radios, las interfaces se configuran de manera idéntica.

interface Dot11Radio0
 no ip address
 !
 ssid Corporate
 !
 ssid Guest
 !
 mbssid
!
interface Dot11Radio0.10
 encapsulation dot1Q 10
 bridge-group 1
!
interface Dot11Radio0.20
 encapsulation dot1Q 20
 bridge-group 2
interface Dot11Radio1
 no ip address
 !
 ssid Corporate
 !
 ssid Guest
 !
 mbssid
!
interface Dot11Radio1.10
 encapsulation dot1Q 10
 bridge-group 1
!
interface Dot11Radio1.20
 encapsulation dot1Q 20
 bridge-group 2

Primero, asignamos ambos SSID a las interfaces de radio físicas . También incluimos el comando mbssidpara garantizar que cada SSID reciba un BSSID único (que es análogo a una dirección MAC).

A continuación, creamos una subinterfaz para cada SSID, .10 y .20. Cada subinterfaz se asigna tanto a una VLAN como a un grupo de puentes. Hablaremos más sobre los grupos de puentes en breve.

Configuración de la interfaz Ethernet

interface FastEthernet0
 no ip address
!
interface FastEthernet0.10
 encapsulation dot1Q 10
 bridge-group 1
!
interface FastEthernet0.20
 encapsulation dot1Q 20
 bridge-group 2

La configuración de nuestra interfaz FastEthernet debe ser similar a la de nuestras interfaces de radio. Dos subinterfaces están conectadas a la interfaz física, cada una vinculada a su VLAN y grupo de puentes respectivos.

Configuración de BVI

interface BVI1
 ip address 192.168.10.123 255.255.255.0
 no ip route-cache

Finalmente, configuramos la interfaz virtual del puente (BVI) para la administración. Una interfaz BVI se asigna a un grupo puente por su identificador numérico (en este caso, 1), similar a cómo se asigna una interfaz VLAN a una VLAN. Puede ser útil referirse a las interfaces VLAN como interfaces virtuales de conmutador (SVI); Las BVI son el mismo concepto pero se aplican a grupos de puentes en lugar de a redes VLAN.

BVI1 es la BVI predeterminada en los puntos de acceso de Aironet y no se puede eliminar:

ap(config)# no interface bvi1
%command not allowed, cannot remove BVI 1

Si bien puede crear BVI para otros grupos de puentes, solo a uno de ellos se le puede asignar una dirección IP para la administración (de manera similar a como un conmutador Catalyst de capa dos solo puede tener una interfaz VLAN activa). Y como BVI1 va a estar allí de todos modos, también podríamos usarlo.

Tenga en cuenta que la dirección IP asignada a BVI1 debe estar en la misma subred que cualquier SSID asignado al grupo puente (en este caso, el SSID corporativo).

Poniendolo todo junto

ap_bridge_groups.png

Trabajando de arriba a abajo, podemos ver que:

  • Los SSID se asignan a las VLAN.
  • Las VLAN se asignan a subinterfaces de radio.
  • Las subinterfaces de radio se asignan a grupos de puentes.
  • Las subinterfaces Ethernet también se asignan a grupos de puentes.
  • A BVI1 se le asigna una dirección IP vinculada al grupo puente 1.

Esta configuración mantiene el tráfico inalámbrico que pertenece a un SSID aislado del tráfico que pertenece al otro mientras transita el punto de acceso desde la interfaz alámbrica a la interfaz inalámbrica y viceversa. Tenga en cuenta que debido a que no hay una interfaz BVI2, el punto de acceso no tiene una dirección IP accesible directamente desde el SSID del invitado.

¿Qué pasa con esos otros comandos de Bridge Group?

Es posible que haya notado que, al asignar una interfaz de radio a un grupo puente con el bridge-groupcomando, también aparecen cuatro o cinco comandos adicionales de la nada. Por ejemplo, aquí está la configuración completa de la interfaz Dot11Radio0.10 de nuestro laboratorio tal como aparece en la configuración en ejecución:

interface Dot11Radio0.10
 encapsulation dot1Q 10
 no ip route-cache
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
 bridge-group 1 spanning-disabled

Estos son comandos predeterminados que modifican el comportamiento de los grupos de puentes en el punto de acceso, principalmente al deshabilitar el spanning-tree y compensar su ausencia. A menos que tenga una razón específica para modificarlos, simplemente deje que estos comandos sean.