Escolar Documentos
Profissional Documentos
Cultura Documentos
101
• Nome
• Rapidez e autonegociação
• Estado da porta
• Porta de rede. Uma porta de rede é uma porta de switch de camada 2 que conecta o WSS a outros dispositivos de rede, como
switches e roteadores.
• Porta de acesso AP. Uma porta de acesso AP conecta o WSS a um AP. A porta também pode fornecer energia ao AP. Sem fio
os usuários são autenticados na rede por meio de uma porta de acesso AP.
Observação. Um AP distribuído, que está conectado a WSSs por meio de redes intermediárias de Camada
2 ou Camada 3, não usa uma porta de acesso de AP. Para configurar para um AP distribuído, consulte
“Configurando para um AP” na página 104 e “Configurando APs” na página 257.
• Porta de autenticação com fio. Uma porta de autenticação com fio conecta o WSS a dispositivos de usuário, como estações de trabalho, que
deve ser autenticado para acessar a rede.
Todas as portas WSS são portas de rede por padrão. Você deve definir o tipo de porta para as portas conectadas diretamente às portas de acesso
AP e às estações de usuário com fio que devem ser autenticadas para acessar a rede. Quando você altera o tipo de porta, o software WSS aplica as
configurações padrão apropriadas para o tipo de porta. A Tabela 1 lista as configurações padrão aplicadas para cada tipo de porta. Por exemplo, a
coluna AP lista as configurações padrão que o software WSS aplica quando você altera um tipo de porta para ap (ponto de acesso).
Tipo de porta
Parâmetro
Acesso AP Autenticação com fio Rede
Associação à VLAN VLANs. Você não pode não pode atribuir uma porta de
atribuir uma porta de autenticação com fio a uma VLAN.
Nota: Se você limpar
acesso AP a uma VLAN. O O software WSS atribui
software WSS atribui automaticamente portas de uma porta, o WSS
automaticamente portas de autenticação com fio para VLANs com Software redefine a porta
acesso AP a VLANs com base no tráfego do usuário.
base no tráfego do usuário.
como uma porta de rede,
mas não adiciona a porta de
volta a nenhuma VLAN. Você
deve adicionar explicitamente
a porta à(s) VLAN(s)
desejada(s).
Árvore de abrangência Não aplicável Não aplicável Com base nos estados STP das
Protocolo (STP) VLANs em que a porta está.
Tipo de porta
Parâmetro
Acesso AP Autenticação com fio Rede
Snooping IGMP Habilitado quando os usuários Ativado à medida que os Ativado à medida que a porta é
são autenticados e usuários são autenticados e ingressam em VLANs.adicionada às VLANs.
ingressam em VLANs.
A Tabela 2 lista quantos APs você pode configurar em um WSS e quantos APs um switch pode inicializar. Os números são para APs conectados
diretamente e Distribuídos combinados.
2360/2361 30 12
2350 8 3
Observação. Antes de configurar uma porta como uma porta de acesso AP, você deve usar o comando set system
countrycode para definir os regulamentos específicos do país IEEE 802.11 no WSS.
(Consulte “Especificando o país de operação” na página 289.)
Você deve especificar uma lista de portas de um ou mais números de porta, o número do modelo AP e o estado PoE. (Para obter
detalhes sobre listas de portas, consulte “Listas de portas” na página 49.)
Em modelos de AP de dois rádios, um rádio é sempre 802.11a. O outro rádio é 802.11b/g, mas pode ser configurado exclusivamente para
802.11b ou 802.11g. Se o país de operação especificado pelo código de país do sistema definido
comando não permite 802.11g, o padrão é 802.11b.
Observação. Você não pode configurar nenhuma porta Ethernet gigabit, ou porta 7 ou 8 em um switch 2360/2361, ou porta
1 em um 2350 ou porta 3 em um 2382 como uma porta AP. Para gerenciar um AP em um modelo de switch que não tenha portas
Ethernet 10/100, configure uma conexão de AP distribuído no switch. (Consulte “Configurando para um AP” na página 104.)
Os modelos a seguir possuem antenas internas, mas também possuem conectores para uso opcional de antenas externas 2330, 2330A,
2330B e Série 2332. (O suporte de antena em um modelo específico é limitado às antenas certificadas para uso com esse modelo.) Para
especificar a antena modelo, use o comando set ap radio antenatype .
(Consulte “Configurando o modelo de antena externa” na página 317.)
Para definir as portas 4 a 6 para o modelo AP 2330 e habilitar PoE nas portas, digite o seguinte comando:
WSS# set ap <apnum> porta 4-6 modelo 2330 poe {habilitar | desabilitar}
Isso pode afetar a energia aplicada nas portas configuradas. Você gostaria de continuar? (s/n) [n]s
Observação. É necessária configuração adicional para colocar um AP em operação. Para obter informações, consulte
“Configurando APs” na página 257.
Configurando para um AP
Para configurar uma conexão para um AP (referido como AP na CLI), use o seguinte comando:
O parâmetro ap-num identifica a conexão AP para o AP. O intervalo de números de ID de conexão válidos depende do modelo WSS. A Tabela
3 lista os intervalos de valores ap-num válidos para cada modelo.
2382 1 a 320
2380 1 a 300
2360/2361 1 a 30
2350 1a8
Para o parâmetro serial-id , especifique o serial ID do AP. O ID de série está listado na caixa do AP. Para exibir o serial ID usando a CLI, use o
comando show version details .
Os parâmetros model e radiotype têm as mesmas opções que têm com o comando set port type ap . Como o WSS não fornece energia a um
AP conectado indiretamente, o comando set ap não usa o parâmetro poe .
Para configurar a conexão AP 1 para o AP modelo 2330 com serial-ID 0322199999, digite o seguinte comando:
Para definir uma porta para um usuário de autenticação com fio, use o seguinte comando:
definir tipo de porta lista de portas de autenticação com fio [tag tag-list] [max-sessions num]
[auth-fall-thru {último recurso | nenhum | portal da internet}]
Você deve especificar uma lista de portas. Opcionalmente, você também pode especificar uma lista de tags para subdividir a porta em portas
virtuais, definir o número máximo de sessões de usuário simultâneas que podem estar ativas na porta e alterar o tipo de autenticação fallthru.
Por padrão, uma sessão de usuário pode estar ativa na porta por vez.
O tipo de autenticação fallthru é usado se o usuário não suportar 802.1X e não for autenticado pela autenticação MAC. O padrão é nenhum, o
que significa que o acesso ao usuário é negado automaticamente se a autenticação 802.1X ou a autenticação MAC não forem bem-sucedidas.
Para definir a porta 17 como uma porta de autenticação com fio, digite o seguinte comando:
Este comando configura a porta 17 como uma porta de autenticação com fio que suporta uma interface e uma sessão de usuário simultânea.
Para clientes 802.1X, a autenticação com fio funciona apenas se os clientes estiverem conectados diretamente à porta de autenticação com fio
ou estiverem conectados por meio de um hub que não bloqueie o encaminhamento de pacotes do cliente para o endereço do grupo PAE
(01:80:c2:00 :00:03). A autenticação com fio funciona de acordo com a especificação 802.1X, que proíbe um cliente
de enviar tráfego diretamente para o endereço MAC de um autenticador até que o cliente seja autenticado. Em vez de enviar tráfego para o
endereço MAC do autenticador, o cliente envia pacotes para o endereço do grupo PAE. A especificação 802.1X proíbe que dispositivos de
rede encaminhem pacotes de endereço de grupo PAE, porque isso possibilitaria que vários autenticadores adquirissem o mesmo cliente.
Para clientes não 802.1X, que usam autenticação MAC, AAA baseado na Web ou autenticação de último recurso, a autenticação com fio
funciona se os clientes estiverem conectados diretamente ou indiretamente.
Observação. Se os clientes estiverem conectados a uma porta de autenticação com fio por meio de um
switch de terceiros a jusante, o WSS tentará autenticar com base em qualquer tráfego proveniente do switch,
como BPDUs Spanning Tree Protocol (STP). Nesse caso, desative as emissões de tráfego repetitivas, como
STP BPDUs, dos switches downstream. Se você deseja fornecer um caminho de gerenciamento para um switch
downstream, use a autenticação MAC.
Cuidado! Quando você limpa uma porta, o WSS Software encerra as sessões do usuário que estão usando
a porta.
Para alterar o tipo de uma porta de acesso AP ou porta de autenticação com fio, você deve primeiro limpar a porta e, em seguida, definir o tipo de
porta.
A limpeza de uma porta remove todas as definições de configuração da porta e redefine a porta como uma porta de rede.
•
Se a porta for uma porta de acesso AP, limpar a porta desabilita a autenticação PoE e 802.1X.
•
Se a porta for uma porta autenticada com fio, limpar a porta desabilita a autenticação 802.1X.
•
Se a porta for uma porta de rede, a porta deve primeiro ser removida de todas as VLANs, o que remove a porta de todas as árvores de
extensão, grupos de portas de compartilhamento de carga e assim por diante.
Observação. Uma porta limpa não é colocada em nenhuma VLAN, nem mesmo na VLAN padrão (VLAN 1).
Por exemplo, para limpar as configurações relacionadas à porta da porta 5 e redefinir a porta como uma porta de rede, digite o seguinte
comando:
Limpando um AP
Cuidado! Quando você limpa um AP, o WSS Software encerra as sessões do usuário que estão usando o
AP.
limpar ap ap-num
Cada porta WSS tem um número, mas não tem um nome por padrão.
Observação. Para evitar confusão, a Nortel recomenda que você não use números como porta
nomes.
Apenas uma interface pode estar ativa em uma porta. Por padrão, a interface GBIC (fibra) está ativa. Você pode configurar uma
porta para usar sua interface RJ-45 (cobre).
Se você definir a interface da porta para RJ-45 em uma porta que já possui um link de fibra ativo, o WSS Software altera
imediatamente o link para a interface de cobre.
Para desabilitar a interface de fibra e habilitar a interface de cobre em uma porta 2380, use o seguinte comando:
1 GBIC
2 RJ45
3 GBIC
4 GBIC
Observação. Todas as portas nos switches 2380 suportam apenas o modo de operação full-duplex. Eles
não suportam operação half-duplex. As portas 10/100 nos switches 2360/2361 ou 2382 suportam operação
half-duplex e full-duplex.
Observação. A Nortel recomenda que você não configure o modo de uma porta WSS para que um lado do
link seja configurado para negociação automática enquanto o outro lado seja configurado para full-duplex.
Embora o software WSS permita essa configuração, isso pode resultar em uma taxa de transferência lenta
no link. A taxa de transferência lenta ocorre porque o lado configurado para negociação automática volta
para half-duplex. Um fluxo de pacotes grandes enviados a uma porta WSS em tal configuração pode fazer
com que o encaminhamento no link pare.
• Velocidade
•
Autonegociação
• Estado da porta
• Estado PoE
Você também pode ativar e desativar o estado administrativo de uma porta e a configuração de PoE para redefinir a porta.
As portas Ethernet WSS 10/100 usam a negociação automática por padrão para determinar a velocidade de porta apropriada.
Para definir explicitamente a velocidade de uma porta 10/100, use o seguinte comando:
Observação. Se você definir explicitamente a velocidade da porta (selecionando uma opção diferente de auto) de 10/
100 Ethernet, o modo de operação é definido como full-duplex.
Observação. O software WSS permite que a velocidade da porta de uma porta gigabit seja definida como automática. No
entanto, essa configuração é inválida. Se você definir a velocidade da porta de uma porta gigabit como automática, o link
deixará de funcionar.
Para definir a velocidade da porta nas portas 1 e 5 a 10 Mbps, digite o seguinte comando:
As portas gigabit do WSS usam a negociação automática por padrão para determinar os recursos para os parâmetros de controle de fluxo 802.3z.
As portas gigabit podem responder a pacotes de controle de fluxo IEEE 802.3z. Alguns dispositivos usam esse recurso para evitar a perda de pacotes
pausando temporariamente a transmissão de dados.
Para desabilitar a negociação de controle de fluxo em uma porta WSS gigabit, use o seguinte comando:
Observação. As portas Gigabit Ethernet operam apenas a 1000 Mbps. Eles não alteram a velocidade para corresponder a links de
10 Mbps ou 100 Mbps.
Todas as portas são habilitadas por padrão. Para desabilitar administrativamente uma porta, use o seguinte comando:
Uma porta que está desabilitada administrativamente não pode enviar ou receber pacotes. Este comando não afeta o estado do link da porta.
Power over Ethernet (PoE) fornece energia CC a um dispositivo conectado a uma porta de acesso AP. O estado do PoE depende se você habilita ou
desabilita o PoE ao definir o tipo de porta. (Consulte “Definindo o tipo de porta” na página 102.)
Cuidado! Use o PoE do WSS somente para alimentar os APs da Nortel. Se você habilitar PoE em portas conectadas a outros
dispositivos, podem ocorrer danos.
Observação. PoE é suportado apenas em portas Ethernet 10/100. PoE não é suportado em nenhuma porta Ethernet gigabit,
ou nas portas 7 e 8 em um switch 2360/2361, ou na porta 1 em um 2350, ou
porta 3 em um 2382.
Você pode redefinir uma porta alternando seu estado de link e estado de PoE. O software WSS desativa o link da porta e o
PoE (se aplicável) por pelo menos um segundo e, em seguida, os reativa. Esse recurso é útil para forçar um AP conectado a
dois switches WSS a reinicializar usando a porta conectada ao outro switch.
• Estado PoE
• Estatísticas da porta
Você também pode configurar o WSS Software para exibir e atualizar regularmente as estatísticas da porta em uma janela separada.
11 acima acima
auto 100/rede completa 10/100BaseTx
22 acima
para baixo auto rede 10/100BaseTx
33 acima
para baixo auto rede 10/100BaseTx
44 acima
para baixo auto rede 10/100BaseTx
55 acima acima
auto 100/cheio ap 10/100BaseTx
66 acima acima
auto 100/cheio rede 10/100BaseTx
77 acima
para baixo auto rede sem conector
88 acima
para baixo auto rede sem conector
Neste exemplo, três das portas do switch, 1, 5 e 6, têm um status operacional de up, indicando que os links nas portas estão disponíveis. As portas
1 e 6 são portas de rede. A porta 5 é uma porta de acesso AP.
(Para obter mais informações sobre os campos na saída, consulte a Referência de linha de comando do Nortel WLAN Security Switch
2300 Series.)
Nome da porta Status do link Tipo de porta Configuração PoE PoE Draw
44 acima
PA ativado 1,44
Neste exemplo, o PoE está desabilitado na porta 2 e habilitado na porta 4. O AP conectado à porta 4 está consumindo 1,44 W de energia do WSS.
(Para obter mais informações sobre os campos na saída, consulte a Referência de linha de comando do Nortel WLAN Security Switch 2300 Series.)
Você pode especificar um tipo de estatística com o comando. Por exemplo, para exibir estatísticas de octetos para a porta 3, digite o seguinte
comando:
3 Up 27965420 34886544
(Para obter informações sobre os campos na saída, consulte a Referência de linha de comando do Nortel WLAN Security Switch 2300 Series.)
Observação. Para exibir todos os tipos de estatísticas com o mesmo comando, use o comando monitor port counters .
(Consulte “Monitorando as estatísticas da porta” na página 114.)
Você pode exibir estatísticas de porta em um formato que atualiza continuamente os contadores. Quando você ativa o monitoramento das estatísticas da
porta, o software WSS limpa a janela da sessão CLI e exibe as estatísticas na parte superior da janela. O software WSS atualiza as estatísticas a cada 5
segundos. Este intervalo não pode ser configurado.
• Erros de transmissão
• Colisões
• Receba estatísticas Ethernet
• Transmitir estatísticas Ethernet
Cada tipo de estatística é exibido separadamente. Pressione a barra de espaço para percorrer as exibições de cada tipo.
Se você usar uma opção para especificar um tipo de estatística, a exibição começará com esse tipo de estatística. Você pode usar uma
opção de estatística com o comando.
Esc Sai do monitor. O software WSS para de exibir as estatísticas e exibe um novo
prompt de comando.
Para monitorar estatísticas de porta começando com estatísticas de octeto (o padrão), digite o seguinte comando:
Assim que você pressionar Enter, o WSS Software limpará a janela e exibirá as estatísticas na parte superior da janela.
Neste exemplo, as estatísticas do octeto são exibidas primeiro.
Para alternar a exibição para o próximo conjunto de estatísticas, pressione a barra de espaço. Neste exemplo, as estatísticas do pacote
são exibidas a seguir:
(Para obter informações sobre os campos na saída, consulte a Referência de linha de comando do Nortel WLAN Security Switch
2300 Series.)
Um grupo de portas é um conjunto de portas físicas que funcionam juntas como um único link e fornecem compartilhamento de carga e redundância de link.
Somente portas de rede podem participar de um grupo de portas.
Você pode configurar até 16 portas em um grupo de portas, em qualquer combinação de portas. Os números de porta não precisam ser contíguos e você
pode usar portas Ethernet 10/100 e portas Ethernet gigabit no mesmo grupo de portas.
Partilha de carga
Um WSS equilibra o tráfego do grupo de portas entre as portas físicas do grupo atribuindo fluxos de tráfego às portas com base nos endereços MAC de origem
e destino do tráfego. O switch atribui um fluxo de tráfego a uma porta individual e usa a mesma porta para todo o tráfego subsequente desse fluxo.
Redundância de links
Um grupo de portas garante a estabilidade do link fornecendo conexões redundantes para o mesmo link. Se uma porta individual em um grupo falhar, o WSS
reatribuirá o tráfego às portas restantes. Quando a porta com falha começa a operar novamente, o WSS começa a usá-la para novos fluxos de tráfego. O tráfego
que pertencia à porta antes da falha continua a ser atribuído a outras portas.
Observação. Não use traços ou hífens em um nome de grupo de portas. O software WSS não
exibirá nem salvará o grupo de portas.
O parâmetro mode adiciona ou remove portas para um grupo que já está configurado. Para modificar um grupo:
• Adicionando portas—Digite as portas que deseja adicionar e, em seguida, entre no modo ativado.
• Removendo portas—Digite as portas que deseja remover e, em seguida, entre no modo off.
Para configurar um grupo de portas chamado server1 contendo as portas 1 a 5 e habilitar o link, digite o seguinte comando:
Para configurar um grupo de portas chamado server2 contendo as portas 15 e 17 e adicionar as portas à VLAN padrão , digite os seguintes comandos:
Para indicar que as portas estão configuradas como um grupo de portas, a saída show vlan config lista o nome do grupo de portas em vez dos
números de portas individuais.
Para exibir a configuração e o status do port group server2, digite o seguinte comando:
Os grupos de portas de compartilhamento de carga são interoperáveis com os recursos do Cisco Systems EtherChannel. Para configurar um
switch Cisco Catalyst para interoperar com um Nortel WSS, use o seguinte comando no switch Catalyst:
Observação. Os comandos CLI neste capítulo configuram VLANs em portas de rede WSS. Os
comandos não configuram a associação de VLAN para usuários de autenticação com ou sem fio.
Para atribuir um usuário a uma VLAN, configure o atributo RADIUS Tunnel-Private-Group-ID ou o atributo
específico do fornecedor de nome de VLAN (VSA) para esse usuário. (Para obter mais informações, consulte
“Configurando AAA para usuários de rede” na página 541.)
Somente portas de rede podem ser pré-configuradas para serem membros de uma ou mais VLAN(s). Você configura VLANs nas
portas de rede de um WSS configurando-as no próprio switch. Você configura uma VLAN atribuindo um nome e portas de rede à
VLAN. Opcionalmente, você pode atribuir valores de tag VLAN em portas de rede individuais.
Você pode configurar várias VLANs nas portas de rede de um WSS. Opcionalmente, cada VLAN pode ter um endereço IP.
As VLANs não são configuradas em portas de acesso AP ou portas de autenticação com fio, porque a associação à VLAN desses
tipos de portas é determinada dinamicamente por meio do processo de autenticação e autorização. Os usuários que exigem
autenticação se conectam por meio de portas WSS configuradas para APs ou acesso de autenticação com fio. Os usuários são
atribuídos a VLANs automaticamente por meio de mecanismos de autenticação e autorização, como 802.1X.
Por padrão, nenhuma das portas de um WSS está em VLANs. Um switch não pode encaminhar tráfego na rede até que você
configure VLANs e adicione portas de rede a essas VLANs.
Observação. Um cliente sem fio não pode ingressar em uma VLAN se as portas de rede físicas no
WSS na VLAN estiverem inativas. No entanto, um cliente sem fio que já esteja em uma VLAN cujas
portas de rede físicas estejam inativas permanece na VLAN mesmo que a VLAN esteja inativa.
Você deve atribuir o endereço IP do sistema a uma das VLANs, para comunicações entre WSSs e para comunicações não
solicitadas, como interceptações SNMP e mensagens de contabilidade RADIUS. Qualquer endereço IP configurado em um WSS
pode ser usado para acesso de gerenciamento, a menos que seja explicitamente restrito. (Para obter mais informações sobre o
endereço IP do sistema, consulte “Configurando e gerenciando interfaces e serviços IP” na página 145.)
Usuários e VLANs
Quando um usuário se autentica com sucesso na rede, o usuário é atribuído a uma VLAN específica. Um usuário permanece
associado à mesma VLAN durante toda a sessão do usuário na rede, mesmo quando estiver em roaming de um WSS para outro
dentro do Mobility Domain.
Você atribui um usuário a uma VLAN configurando um dos seguintes atributos nos servidores RADIUS ou no banco de dados de
usuários local:
• Tunnel-Private-Group-ID — Este atributo é descrito em RFC 2868, atributos RADIUS para túnel
Suporte de protocolo.
Especifique o nome da VLAN, não o número da VLAN. Os exemplos neste capítulo assumem que a VLAN é atribuída em um servidor RADIUS
com qualquer um dos atributos válidos. (Para obter mais informações, consulte “Configurando AAA para usuários de rede” na página 541.)
Nomes de VLAN
Para criar uma VLAN, você deve atribuir um nome a ela. Os nomes de VLAN devem ser globalmente exclusivos em um domínio de mobilidade para
garantir a conectividade do usuário pretendida conforme determinado por meio de autenticação e autorização.
Cada VLAN em um WSS tem um nome de VLAN, usado para fins de autorização, e um número de VLAN. Os números de VLAN podem variar
exclusivamente para cada WSS e não estão relacionados aos valores de tag 802.1Q.
Você não pode usar um número como o primeiro caractere em um nome de VLAN.
Roaming e VLANs
Os WSSs em um domínio de mobilidade contêm o tráfego de um usuário dentro da VLAN à qual o usuário está atribuído. Por exemplo, se você atribuir
um usuário à VLAN red, os WSSs no Mobility Domain conterão o tráfego do usuário dentro da VLAN red configurada nos switches.
O WSS através do qual um usuário é autenticado não precisa ser um membro da VLAN à qual o usuário está atribuído. Você não é obrigado a configurar
o VLAN em todos os WSSs no Mobility Domain. Quando um usuário faz roaming para um switch que não é membro da VLAN ao qual o usuário está
atribuído, o switch pode encapsular o tráfego para o usuário por meio de outro switch que seja membro da VLAN. O tráfego pode ser de qualquer tipo de
protocolo. (Para obter mais informações sobre o Mobility Domains, consulte “Configurando e gerenciando o roaming do Mobility Domain” na página 225.)
Observação. Como a VLAN padrão (VLAN 1) pode não estar na mesma sub-rede em cada switch, a
Nortel recomenda que você não renomeie a VLAN padrão nem a use para tráfego de usuários. Em vez
disso, configure outras VLANs para tráfego de usuários.
Encaminhamento de tráfego
Um WSS comuta o tráfego na camada 2 entre portas na mesma VLAN. Por exemplo, suponha que você configure as portas 4 e 5 para pertencerem à
VLAN 2 e as portas 6 e 7 para pertencerem à VLAN 3. Como resultado, o tráfego entre a porta 4 e a porta 5 é comutado, mas o tráfego entre a porta 4 e
a porta 6 não é comutado e precisa ser roteado por um roteador externo.
Marcação 802.1Q
Os recursos de marcação do WSS são muito flexíveis. Você pode atribuir valores de tag 802.1Q por VLAN, por porta. A mesma VLAN pode ter
valores de tag diferentes em portas diferentes. Além disso, o mesmo valor de tag pode ser usado por VLANs diferentes, mas em portas de rede
diferentes.
Se você usar um valor de tag, a Nortel recomenda que você use o mesmo valor que o número da VLAN. O software WSS não exige que o número da
VLAN e o valor da tag sejam os mesmos, mas alguns dispositivos de outros fornecedores exigem.
Observação. Não atribua a mesma VLAN várias vezes usando valores de tag
diferentes para a mesma porta de rede. Embora o Software WSS não o proíba de fazer
isso, a configuração não é suportada.
O software WSS atribui automaticamente valores de tag aos APs distribuídos. Cada um desses valores de tag representa uma combinação exclusiva
de rádio, tipo de criptografia e VLAN. Esses valores de tag não correspondem necessariamente aos valores de tag que você configura nas portas VLAN
através das quais o AP distribuído está conectado ao WSS.
Afinidade do túnel
Os WSSs configurados como um domínio de mobilidade permitem que os usuários façam roaming sem problemas entre APs e até mesmo entre WSSs.
Embora um switch que não seja membro da VLAN de um usuário não possa encaminhar diretamente o tráfego para o usuário, o switch pode
encapsular o tráfego para outro WSS que seja membro da VLAN do usuário.
Se o WSS que não estiver na VLAN do usuário tiver a opção de mais de um outro WSS através do qual encapsular o tráfego do usuário, o switch
selecionará o outro switch com base em um valor de afinidade. Este é um valor numérico que cada WSS dentro de um Mobility Domain anuncia, para
cada uma de suas VLANs, para todos os outros switches no Mobility Domain. Um switch fora da VLAN do usuário seleciona o outro switch operacional
que tem o valor de afinidade mais alto para a VLAN do usuário para encaminhar o tráfego para o usuário.
Se mais de um WSS tiver o valor de afinidade mais alto, o WSS Software selecionará aleatoriamente um dos switches para o túnel.
• Número de VLAN
• Nome da VLAN
•
Lista de portas (as portas na VLAN)
•
Valor de tag por porta (um valor 802.1Q que representa uma porta virtual na VLAN)
•
Afinidade de túnel (um valor que influencia as conexões de túnel para roaming)
• Lista de restrições de MAC (se você quiser impedir que os clientes se comuniquem diretamente
Camada 2)
Especifique um número de VLAN de 2 a 3583 e especifique um nome com até 16 caracteres alfabéticos.
Você não pode usar um número como o primeiro caractere em um nome de VLAN. A Nortel recomenda que você não use o mesmo nome
com letras maiúsculas diferentes para VLANs ou ACLs. Por exemplo, não configure duas VLANs separadas com os nomes red e RED.
Observação. A Nortel recomenda que você não use o nome padrão. Esse nome já é usado para a
VLAN 1. A Nortel também recomenda que você não renomeie a VLAN padrão.
Você deve atribuir um nome a uma VLAN antes de poder adicionar portas à VLAN. Você pode configurar o nome e adicionar portas com um
único comando set vlan ou comandos set vlan separados .
Depois de atribuir um número de VLAN a uma VLAN, você não pode alterar o número. No entanto, você pode alterar o nome de uma VLAN.
Por exemplo, para atribuir o nome red à VLAN 2, digite o seguinte comando:
Depois de criar uma VLAN, você pode usar o número da VLAN ou o nome da VLAN nos comandos. Além disso, o nome da VLAN aparece
nas telas do software de gerenciamento de CLI e WLAN.
Observação. O software WSS não remove uma porta de outras VLANs quando você adiciona a porta
a uma nova VLAN. Se uma nova VLAN causar um conflito de configuração com uma VLAN mais antiga,
remova a porta da VLAN mais antiga antes de adicionar a porta à nova VLAN.
Por exemplo, para adicionar as portas 2 a 4 e a porta 8 à VLAN vermelha, digite o seguinte comando:
Opcionalmente, você também pode especificar um valor de tag a ser usado em portas 802.1Q troncalizadas.
Para atribuir o nome calêndula à VLAN 4, adicione as portas 4 a 6 e a porta 7 e atribua o valor de tag 11 à porta 7, digite
os seguintes comandos:
Cuidado! Quando você remove uma VLAN, o software WSS remove completamente a VLAN da
configuração e também remove todas as informações de configuração que usam a VLAN.
Se você deseja remover apenas uma porta específica da VLAN, certifique-se de especificar o número da
porta no comando.
O comando clear vlan com um ID de VLAN, mas sem uma lista de portas ou valor de tag, limpa todas as portas e
valores de tag da VLAN.
Observação. Você não pode remover a VLAN padrão (VLAN 1). No entanto, você pode
adicionar e remover portas. Você também pode renomear a VLAN padrão, mas a Nortel não recomenda isso.
Por padrão, os clientes em uma VLAN podem se comunicar diretamente na Camada 2. Você pode aprimorar a segurança da rede restringindo
o encaminhamento da Camada 2 entre clientes na mesma VLAN. Quando você restringe o encaminhamento da camada 2 em uma VLAN, o
software WSS permite o encaminhamento da camada 2 apenas entre um cliente e um conjunto de endereços MAC, geralmente os roteadores
padrão da VLAN. Os clientes dentro da VLAN não podem se comunicar diretamente entre si. Para se comunicar com outro cliente, o cliente deve
usar um dos roteadores padrão especificados.
Observação. Para redes com clientes somente IP, você pode restringir o encaminhamento de cliente para cliente usando
ACLs. (Consulte “Restringindo o encaminhamento de cliente para cliente entre clientes somente IP” na página 515.)
A restrição do tráfego do cliente não começa até que você habilite a lista de MAC permitido. Use a opção de ativação do modo com este
comando.
Para alterar um endereço MAC, use o comando clear security l2-restrict para removê-lo e, em seguida, use o set security l2-restrict
comando para adicionar o endereço correto.
Observação. Pode haver um pequeno atraso antes que funções como ping entre clientes fiquem disponíveis
novamente depois que as restrições da camada 2 forem levantadas. Mesmo que os pacotes sejam passados
imediatamente depois que as restrições da camada 2 desaparecerem, pode levar 10 segundos ou mais para que
os protocolos da camada superior atualizem seus caches ARP e recuperem sua funcionalidade.
Para exibir informações de configuração e estatísticas para restrição de encaminhamento da camada 2, use o seguinte comando:
WSS# set security l2-restrict vlan abc_air mode enable permit-mac aa:bb:cc:dd:ee:ff
11:22:33:44:55:66
11:22:33:44:55:66 9
O campo En indica se a restrição está habilitada. O campo Drops indica quantos pacotes foram endereçados diretamente
de um cliente para outro e descartados pelo WSS Software. O campo Hits indica quantos pacotes o roteador padrão
permitido recebeu dos clientes.
VLAN VLAN de administrador Estado do túnel Porta Affin Etiqueta de porta Estado
Nome Status
2 Nenhum Acima
3 Nenhum Acima
4 Nenhum Acima
6 Nenhum Acima
Observação. A exibição pode incluir portas de acesso AP e portas de autenticação com fio, porque o software WSS
adiciona dinamicamente essas portas a uma VLAN ao manipular o tráfego do usuário para a VLAN.
(Para obter informações sobre os campos na saída, consulte a Referência de linha de comando do Nortel WLAN Security Switch 2300 Series.)
Um WSS usa um banco de dados de encaminhamento de camada 2 (FDB) para encaminhar o tráfego dentro de uma VLAN. As entradas
no banco de dados de encaminhamento mapeiam endereços MAC para as portas físicas ou virtuais conectadas a esses endereços MAC
em uma VLAN específica. Para encaminhar um pacote para outro dispositivo em uma VLAN, o WSS procura no banco de dados de
encaminhamento o endereço MAC de destino do pacote e, em seguida, encaminha o pacote pela porta associada ao endereço MAC.
• Dinâmico—Uma entrada dinâmica é uma entrada temporária que permanece no banco de dados somente até que a entrada não seja mais usada.
Por padrão, uma entrada dinâmica expira se não for usada por 300 segundos (5 minutos). Todas as entradas dinâmicas serão removidas se o WSS for
desligado ou reinicializado.
• Estático—Uma entrada estática não expira, independentemente da frequência com que a entrada é usada. No entanto, como entradas dinâmicas,
as entradas estáticas são removidas se o WSS for desligado ou reinicializado.
• Permanente—Uma entrada permanente não expira, independentemente da frequência com que a entrada é usada. Além disso, um permanente
entrada permanece no banco de dados de encaminhamento mesmo após uma reinicialização ou um ciclo de energia.
Uma entrada entra no banco de dados de encaminhamento de uma das seguintes maneiras:
• Aprendeu com o tráfego recebido pelo WSS — Quando o WSS recebe um pacote, o switch adiciona o
endereço MAC de origem do pacote para o banco de dados de encaminhamento se o banco de dados ainda não contiver uma entrada para
esse endereço MAC.
• Adicionado pelo administrador do sistema—Você pode adicionar entradas unicast estáticas e permanentes ao banco de dados de encaminhamento.
(Você não pode adicionar um endereço multicast ou broadcast como uma entrada de banco de dados de encaminhamento permanente ou
estático.)
• Adicionado pelo próprio WSS—Por exemplo, os protocolos de autenticação podem adicionar entradas para redes com e
usuários de autenticação sem fio. O WSS também adiciona quaisquer entradas estáticas adicionadas pelo administrador do sistema e salvas
no arquivo de configuração.
Você pode exibir o tamanho do banco de dados de encaminhamento e as entradas contidas no banco de dados.
Para exibir o número de entradas contidas no banco de dados de encaminhamento, use o seguinte comando:
Por exemplo, para exibir o número de entradas dinâmicas que o banco de dados de encaminhamento contém, digite o seguinte comando:
Para exibir as entradas no banco de dados de encaminhamento, use um dos seguintes comandos:
mostrar fdb {perm | estático | dinâmico | sistema | all} [port port-list | vlan vlan-id]
O parâmetro mac-addr-wildcard pode ser um endereço individual ou uma parte de um endereço com o caractere curinga asterisco (*) representando
de 1 a 5 bytes. O curinga permite que o parâmetro indique uma lista de endereços MAC que correspondem a todos os caracteres, exceto o
asterisco.
Use dois pontos entre cada byte no endereço (por exemplo, 11:22:33:aa:bb:cc ou 11:22:33:*). Você pode inserir o asterisco (*) no início
ou no final do endereço como curinga, em qualquer limite de byte.
Para exibir todas as entradas no banco de dados de encaminhamento, digite o seguinte comando:
1 00:01:97:13 1 [TUDO]
:0b:1f
1 aa:bb:cc:dd: * 3 [TUDO]
ee:ff
1 00:0b:0e:02 1 [TUDO]
:76:f5
Para exibir todas as entradas que começam com 00, digite o seguinte comando:
1 00:01:97:13:0b:1f 1 [TUDO]
1 00:0b:0e:02:76:f5 1 [TUDO]
(Para obter informações sobre os campos na saída, consulte a Referência de linha de comando do Nortel WLAN Security Switch 2300 Series.)
Para adicionar uma entrada ao banco de dados de encaminhamento, use o seguinte comando:
definir fdb {perm | static} mac-addr port port-list vlan vlan-id [tag tag-value]
Para adicionar uma entrada permanente para o endereço MAC 00:bb:cc:dd:ee:ff nas portas 3 e 5 na VLAN azul, digite o seguinte comando:
limpar fdb {perm | estático | dinâmico | port port-list} [vlan vlan-id] [tag tag-value]
Para limpar todas as entradas do banco de dados de encaminhamento dinâmico que correspondem a todas as VLANs, digite o seguinte comando:
O período de tempo limite de envelhecimento especifica por quanto tempo uma entrada dinâmica pode permanecer sem uso antes que o software remova a
entrada do banco de dados.
Você pode alterar o período de tempo limite de envelhecimento em uma base de VLAN individual. Você pode alterar o período de tempo limite para um valor
de 0 a 1.000.000 segundos. O período de tempo limite de envelhecimento padrão é de 300 segundos (5 minutos). Se você alterar o período de tempo limite
para 0, o envelhecimento será desabilitado.
Para exibir a configuração atual do período de tempo limite de envelhecimento, use o seguinte comando:
Por exemplo, para exibir o período de tempo limite de envelhecimento para todas as VLANs configuradas, digite o seguinte comando:
Por exemplo, para definir o período de tempo limite de envelhecimento da VLAN de 2 a 600 segundos, digite o seguinte comando:
1 Atribua nomes às portas para identificar suas funções e verifique a alteração da configuração. Digite o seguinte
comandos:
2 finanças acima
baixa auto rede 10/100BaseTx
3 contabilidade acima
baixa auto rede 10/100BaseTx
4 envio acima
baixa auto rede 10/100BaseTx
5 saguão acima
baixa auto rede 10/100BaseTx
6 conf_room1 acima
baixa auto rede 10/100BaseTx
7 conf_room2 acima
baixa auto rede 10/100BaseTx
10 acima
baixa auto rede 10/100BaseTx
fabricação
11 acima
baixa auto rede 10/100BaseTx
fabricação
12 acima
baixa auto rede 10/100BaseTx
fabricação
13 acima
baixa auto rede 10/100BaseTx
fabricação
14 rsrch_dev acima
baixa auto rede 10/100BaseTx
15 rsrch_dev acima
baixa auto rede 10/100BaseTx
16 rsrch_dev acima
baixa auto rede 10/100BaseTx
17 rsrch_dev acima
baixa auto rede
18 rsrch_dev acima
baixa auto rede 10/100BaseTx
2 Configure o código do país para operação nos EUA e verifique a alteração da configuração. Digite os seguintes
comandos:
WSS# define o código do país do sistema US
sucesso: mudança aceita.
Sistema de exibição WSS#
================================================== =============================
Contato do sistema:
IP do sistema: 0.0.0.0 Tempo
limite ocioso do sistema: 3600
MAC do sistema: 00:0B:0E:00:04:0C
================================================== =============================
3 Configure as portas 2 a 16 para conexão com o AP modelo 2330 e verifique as alterações de configuração.
Digite os seguintes comandos:
8 fabricando acima
auto 100/ap completo 10/100BaseTx
9 fabricando acima
auto 100/ap completo 10/100BaseTx
10 acima acima
auto 100/ap completo 10/100BaseTx
fabricação
11 acima acima
auto 100/ap completo 10/100BaseTx
fabricação
12 acima acima
auto 100/ap completo 10/100BaseTx
fabricação
13 acima acima
auto 100/ap completo 10/100BaseTx
fabricação
17 rsrch_dev acima
baixa auto
18 rsrch_dev acima
baixa auto rede 10/100BaseTx
1 - Desativado
wss_mgmt acima
desligado
2 finança acima
PA ativado 7.04
3 contabilidade acima
PA ativado 7.04
4 envio acima
PA ativado 7.04
5 salão acima
PA ativado 7.04
9 acima
PA ativado 7.04
fabricação
10 fabricando PA ativado 7.04
14 rsrch_dev acima
PA ativado 7.04
15 rsrch_dev acima
PA ativado 7.04
16 rsrch_dev acima
PA ativado 7.04
19 baixa - Desativado
mobilidade desligado
baixa - Desativado
20 mobilidade desligado
4 Configure as portas 17 e 18 como portas de autenticação com fio e verifique a alteração da configuração. Digite os
seguintes comandos:
WSS # define o tipo de porta com fio de autenticação 17,18
8 fabricando acima
auto 100/ap completo 10/100BaseTx
9 fabricando acima
auto 100/ap completo 10/100BaseTx
10 fabricando acima
auto 100/ap completo 10/100BaseTx
11 fabricando acima
auto 100/ap completo 10/100BaseTx
12 fabricando acima
auto 100/ap completo 10/100BaseTx
13 fabricando acima
auto 100/ap completo 10/100BaseTx
5 Configure as portas 21 e 22 como um grupo de portas de compartilhamento de carga para fornecer um link redundante ao backbone e verifique a alteração
na configuração. Digite os seguintes comandos:
WSS# definir o modo da porta do backbonelink do nome do grupo de portas 21,22 ativado
sucesso: mudança aceita.
6 Adicione a porta 1 à VLAN padrão (VLAN 1), configure uma VLAN denominada roaming nas portas 19 e 20 e verifique as alterações de configuração. Digite
os seguintes comandos:
VLAN Administrador Status da VLAN Porto Affin do Estado do Túnel Etiqueta de porta Estado
Nome
1 Nenhum Acima
2 em roaming Acima 5
19 Nenhum Acima
20 Nenhum Acima