hAP AC(以下hAP-AC)を2台使った簡易オフィス環境ネットワークの構築を行ってみましょう。
今回の事例は横に長いフロアで有線・無線クライアントを収容する想定です。
2台のhAP-AC間にLANケーブルの敷設ができない事とし、WDSによる無線接続を行います。
hAP-ACは2波を同時に利用する事ができるので、このような事例には便利な無線ルーターです。
OS-Level4のライセンスを搭載しているので、各種pppプロトコルやIPSec等トンネルも利用可能。
(L2TP/IPSecでIKEv2が最新のRCで実装されました。)
収容台数が多い場合はhAP-ACをL2APとして利用し、上流にキャパの大きなルーターを
配置する事で、収容キャパを増やす事も可能です。
hap-office2

●収容はONUからPPPoEの払い出しでIPv4を収容
●クライアント向け無線の払い出しは5GHz、WDS間通信は2.4GHz
●hAP-1、hAP-2間のクライアント無線通信の分離
hap-office
設定に必要な項目は以下の通り。

1)PPPoEのインターフェイス並びに接続設定
 pppインターフェイスの作成、PPPoEクライアント設定
2)各接続インターフェイスのIP設定
 有線・無線収容用のBridgeインターフェイス作成、IP設定
3)2.4GHz WDS用に無線の設定
 WDS用のProfile作成、2.4GHzの無線設定、WDS設定
4)5GHzのクライアント接続用に無線の設定、接続ユーザー設定
 クライアント接続Profile作成、5GHzの無線設定、SecurityProfile作成
5)IP払い出しの設定(DHCP)
 各IP払い出し範囲の設定、DHCPサーバーの設定
5)Routeの設定、FireWall,NATの設定
 デフォルトゲートウェー設定、各インターフェイスからの相互NAT設定、各種フィルタ設定
6)SW向けのVLAN設定
 各スイッチへのVLAN設定




▼(1)各接続インターフェイスのIP設定
有線・無線収容用のBridgeインターフェイス作成、IP設定します。

○hAP-1にETH5を管理用に設定し、Bridgeを4つ作成します。

Interface->Interface
インターフェイス5をダブルクリック
Master Portがnoneになっている事を確認、なっていなければnoneへ

IP->Address
+(ADD)

Address: 192.168.50.1/24
Network:192.168.50.0
Interface:ETH5 ←インターフェイス5番を選択

これで、5番ポートにIPが設定できましたので、
変更したIPで接続してください。

【CLI】
/ip address
add address=192.168.50.1/24 interface=ETH5 network=192.168.50.0

次に、以下のBridgeを作成します。

Bridge-wds -WDS接続用
Bridge-wan -無線接続用
Bridge-lan1 -有線接続用1
Bridge-lan2 -有線接続用2

Bridge->Bridge
+(ADD)

[Bridge-General]
Name:ブリッジ名前 Bridge-wds
他のパラメーターは今回いじらないのでOKで作成

[Port]
+(ADD)
[General]
Interface: wlan1 ←デフォルトではwlan1が2.4GHz wlan2が5Ghz
Bridge: Bridge-wds

+(ADD)
[Bridge-General]
Name:ブリッジ名前 Bridge-wan
他のパラメーターは今回いじらないのでOKで作成

[Port]
+(ADD)
[General]
Interface: wlan2 ←デフォルトではwlan1が2.4GHz wlan2が5Ghz
Bridge: Bridge-wan

+(ADD)
[Bridge-General]
Name:ブリッジ名前 Bridge-lan1
他のパラメーターは今回いじらないのでOKで作成

[Port]
+(ADD)
[General]
Interface: ETH2
Bridge: Bridge-lan1

+(ADD)
[Bridge-General]
Name:ブリッジ名前 Bridge-lan2
他のパラメーターは今回いじらないのでOKで作成

[Port]
+(ADD)
[General]
Interface: ETH3
Bridge: Bridge-lan2

※インターフェイスの名前や構成は初期テンプレートが入っていると
うまく切れない場合がありますので、調整してください。
(Master/SlaveをNoneにして分離、名前もわかりやすい物へ変更)

【CLI】
/interface bridge port
add bridge=bridge-wan interface=wlan1
add bridge=bridge-wan interface=wlan2
add bridge=bridge-lan1 interface=ETH2
add bridge=bridge-lan2 interface=ETH3


各bridgeへIPを設定

IP->Address
+(ADD)
Address: 10.1.1.1/24
Network:10.1.1.0
Interface:Bridge-lan1

+(ADD)
Address: 10.2.1.1/24
Network:10.2.1.0
Interface:Bridge-lan2

+(ADD)
Address: 10.3.1.1/24
Network:10.3.1.0
Interface:Bridge-wds

+(ADD)
Address: 10.4.1.1/24
Network:10.4.1.0
Interface:Bridge-wan

【CLI】
/ip address
add address=10.1.1.1/24 interface=Bridge-lan1 network=10.1.1.0
add address=10.2.1.1/24 interface=Bridge-lan2 network=10.2.1.0
add address=10.3.1.1/24 interface=Bridge-wds network=10.3.1.0
add address=10.4.1.1/24 interface=Bridge-wan network=10.4.1.0



○hAP-2にETH5を管理用に設定し、Bridgeを2つ作成します。

Interface->Interface
インターフェイス5をダブルクリック
Master Portがnoneになっている事を確認、なっていなければnoneへ

IP->Address
+(ADD)

Address: 192.168.50.2/24
Network:192.168.50.0
Interface:ETH5 ←インターフェイス5番を選択

【CLI】
/ip address
add address=192.168.50.2/24 interface=ETH5 network=192.168.50.0

これで、5番ポートにIPが設定できましたので、
変更したIPで接続してください。

次に、以下のBridgeを作成します。

Bridge-wds -WDS接続用
Bridge-wan -無線接続用


Bridge->Bridge
+(ADD)

[Bridge-General]
Name:ブリッジ名前 Bridge-wds
他のパラメーターは今回いじらないのでOKで作成

[Port]
+(ADD)
[General]
Interface: wlan1 ←デフォルトではwlan1が2.4GHz wlan2が5Ghz
Bridge: Bridge-wds

+(ADD)
[Bridge-General]
Name:ブリッジ名前 Bridge-wan
他のパラメーターは今回いじらないのでOKで作成

[Port]
+(ADD)
[General]
Interface: wlan2 ←デフォルトではwlan1が2.4GHz wlan2が5Ghz
Bridge: Bridge-wan

【CLI】
/interface bridge port
add bridge=bridge-wan interface=wlan1
add bridge=bridge-wan interface=wlan2


各bridgeへIPを設定

IP->Address
+(ADD)
Address: 10.3.1.2/24
Network:10.3.1.0
Interface:Bridge-wds

+(ADD)
Address: 10.5.1.1/24
Network:10.4.1.0
Interface:Bridge-wan

【CLI】
/ip address
add address=10.3.1.1/24 interface=Bridge-wds network=10.3.1.0
add address=10.5.1.1/24 interface=Bridge-wan network=10.5.1.0


▼(2)PPPoEのインターフェイス並びに接続設定
hAP-1へETH1をONU側に接続してEth1からPPPoE接続でWAN側のIPを取得させます。

PPP->Interface
+(ADD) PPPoE Client

[General]
NAME:pppoe-out1 ← Interfaceの名前
Max MTU: このインターフェイスのMTU OCNなら1452辺り
Max MRU:

Interface: PPPoEを動かすインターフェイス 今回の事例ならETH1
8
[DialOut]
User: PPPoE接続用ユーザー名
Password: PPPoE接続用パスワード

Use Peer DNS チェック
Add Default Route チェック

Allow
chap/pap チェック

【CLI】
/interface pppoe-client
add add-default-route=yes allow=pap,chap default-route-distance=1 disabled=no interface=ETH1 max-mru=1454 max-mtu=1454 name=pppoe-out1 password="PPPoE接続パスワード" use-peer-dns=yes user="PPPoE接続ユーザー名"

接続情報が問題なければ

[Status]
Link Up time
Uptime
MTU
MRU
Local Address
Remote Address
Active Links
Active AC Name
AC MAC Address

上記が表示されます。


▼(3)2.4GHz WDS用に無線の設定
WDSを使う事で、2つの無線APが有線でつながっているように通信する事が出来ます。

WDS用のSSID:Wds-Interface-wlan とする。
今回の設定ではWDS-Securityは導入しない。SSIDでの接続制御となるので、
できるだけ長いSSIDを設定する事

○hAP-1 hAP2間の接続用にWDSを設定、hAP-1の設定。

WDS接続用のSecurity Profileを作成
Wireless->Security Profile
+(ADD)

Name:wds-profile
Mode:none

【CLI】
/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=allowed name=wds-prof supplicant-identity=""


Wireless->Interface
wlan1をダブルクリック

[Wireless]
右のAdvance Modeを押す

Mode:ap bridge
Band:2GHz-B/G/N
Channel Width:20/40MHz Ce
Frequancy:2412
SSID: Wds-Interface-wlan
ScanList:default
WIewless Protocol:802.11
Security Profile:wds-profile

Freequancy Mode:regulatory-domain
Country:japan

Hide SSID チェック

[Wireless-WDS]
WDS Mode:dynamic
WDS Default Bridge: Bridge-wds

【CLI】
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce country=japan disabled=no distance=indoors frequency-mode=regulatory-domain  hide-ssid=yes mode=ap-bridge security-profile=wds-prof ssid=Wds-Interface-wlan wds-default-bridge=bridge-wds wds-mode=dynamic wireless-protocol=802.11


○hAP-1 hAP2間の接続用にWDSを設定、hAP2の設定。

WDS接続用のSecurity Profileを作成
Wireless->Security Profile
+(ADD)

Name:wds-profile
Mode:none

【CLI】
/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=allowed name=wds-prof supplicant-identity=""


Wireless->Interface
wlan1をダブルクリック

[Wireless]

右のAdvance Modeを押す

Mode:ap bridge
Band:2GHz-B/G/N
Channel Width:20/40MHz Ce
Frequancy:2412
SSID: Wds-Interface-wlan
ScanList:default
WIewless Protocol:802.11
Security Profile:wds-profile

Freequancy Mode:regulatory-domain
Country:japan

Hide SSID チェック

[Wireless-WDS]
WDS Mode:dynamic
WDS Default Bridge: Bridge-wds

【CLI】
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce country=japan disabled=no distance=indoors frequency-mode=regulatory-domain hide-ssid=yes mode=ap-bridge security-profile=wds-prof ssid=Wds-Interface-wlan wds-default-bridge=bridge-wds wds-mode=dynamic wireless-protocol=802.11

正常につながると、Wireless->Interfaceにwdsインターフェイスが表示され、
相手のwdsインターフェイスが表示される。


▼(4)5GHzのクライアント接続用に無線の設定、接続設定
クライアント接続Profile作成、5GHzの無線設定、SecurityProfile作成
無線クライアントの接続用にhAP-1、hAP-2に5GHzの設定を行う。

○hAP-1へ設定

ここのSecurityProfileで5GHzのSSIDに対してのパスワード設定を行います。
WAN接続用のSecurity Profileを作成
Wireless->Security Profile
+(ADD)

Name:wan-profile
Mode:dynamic-keys
Auth-Type:WPA PSK/WPA2 PSK チェック
Unicast Ciphers aes ccm チェック
Group Ciphers aes ccm チェック
WPA  Pre-Shard Key:接続用キー hAP-1接続用パスワード(WPA)
WPA2  Pre-Shard Key:接続用キー hAP-1接続用パスワード(WPA2)

【CLI】
/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=wan-prof supplicant-identity="" wpa-pre-shared-key="接続用キー" wpa2-pre-shared-key="接続用キー"

Wireless->Interface
wlan2をダブルクリック

[Wireless]
右のAdvance Modeを押す

Mode:ap bridge
Band:5GHz-a/n/ac
Channel Width:20/40/80mhz-Ceee
Frequancy:5520
SSID: office-wlan002
ScanList:default
WIewless Protocol:802.11
Security Profile:wan-profile

Freequancy Mode:regulatory-domain
Country:japan

【CLI】
/interface wireless
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee country=japan disabled=no distance=indoors frequency=5220 frequency-mode=regulatory-domain mode=ap-bridge security-profile=wan-prof ssid=office-wlan001 wireless-protocol=802.11



○hAP-2へ設定

WAN接続用のSecurity Profileを作成
Wireless->Security Profile
+(ADD)

Name:wan-profile
Mode:dynamic-keys
Auth-Type:WPA PSK/WPA2 PSK チェック
Unicast Ciphers aes ccm チェック
Group Ciphers aes ccm チェック
WPA  Pre-Shard Key:接続用キー hAP-2接続用パスワード(WPA)
WPA2  Pre-Shard Key:接続用キー hAP-2接続用パスワード(WPA2)

【CLI】
/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=wan-prof supplicant-identity="" wpa-pre-shared-key="接続用キー" wpa2-pre-shared-key="接続用キー"

Wireless->Interface
wlan2をダブルクリック

[Wireless]
右のAdvance Modeを押す

Mode:ap bridge
Band:5GHz-a/n/ac
Channel Width:20/40/80mhz-Ceee
Frequancy:5280
SSID: office-wlan002
ScanList:default
WIewless Protocol:802.11
Security Profile:wan-profile

Freequancy Mode:regulatory-domain
Country:japan

【CLI】
/interface wireless
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee country=japan disabled=no distance=indoors frequency=5280 frequency-mode=regulatory-domain mode=ap-bridge security-profile=wan-prof ssid=office-wlan001 wireless-protocol=802.11

以上でメインの設定は完成。
残りはIPの払い出しと外部へのルーティング・NAT・フィルターの設定を
行う事で完成となります。










▼(5)IP払い出しの設定(DHCP)
各IP払い出し範囲の設定、DHCPサーバーの設定

○hAP-1へ設定

IP->POOL
+(ADD)
Name:ip-pool-wan ←IP-POOL名前
Address:払い出しアドレス範囲 10.4.1.10-10.4.1.50

+(ADD)
Name:ip-pool-lan1 ←IP-POOL名前
Address:払い出しアドレス範囲 10.1.1.10-10.1.1.50

+(ADD)
Name:ip-pool-lan2 ←IP-POOL名前
Address:払い出しアドレス範囲 10.2.1.10-10.2.1.50

【CLI】
/ip pool
add name=ip-pool-wan ranges=10.4.1.10-10.4.1.50
add name=ip-pool-lan1 ranges=10.1.1.10-10.1.1.50
add name=ip-pool-lan2 ranges=10.2.1.10-10.2.1.50


IP->DHCP Server
DHCP
+(ADD)
Name:dhcp-svr ←DHCP サーバー名
Interface:Bridge-wan
Address pool: ip-pool ←先に作成したIP-POOL

Network
Address:10.4.1.0/24
Gateway:10.4.1.1
Netmask:24

+(ADD)
Name:dhcp-svr-lan1 ←DHCP サーバー名
Interface:Bridge-lan1
Address pool: ip-pool-lan1 ←先に作成したIP-POOL

Network
Address:10.1.1.0/24
Gateway:10.1.1.1
Netmask:24


+(ADD)
Name:dhcp-svr-lan2 ←DHCP サーバー名
Interface:Bridge-lan2
Address pool: ip-pool-lan2 ←先に作成したIP-POOL

Network
Address:10.2.1.0/24
Gateway:10.2.1.1
Netmask:24

【CLI】
/ip dhcp-server
add address-pool=ip-pool disabled=no interface=bridge-wan name=dhcp-svr
add address-pool=ip-pool-lan1 disabled=no interface=bridge-lan1 name=dhcp-svr-lan1
add address-pool=ip-pool-lan2 disabled=no interface=bridge-lan2 name=dhcp-svr-lan2

/ip dhcp-server network
add address=10.1.1.0/24 gateway=10.1.1.1 netmask=24
add address=10.2.1.0/24 gateway=10.2.1.1 netmask=24
add address=10.4.1.0/24 gateway=10.4.1.1 netmask=24


○hAP-2へ設定

IP->POOL
+(ADD)
Name:ip-pool ←IP-POOL名前
Address:払い出しアドレス範囲 10.5.1.10-10.5.1.50

【CLI】
/ip pool
add name=ip-pool ranges=10.5.1.10-10.5.1.50


IP->DHCP Server
DHCP
+(ADD)
Name:dhcp-svr ←DHCP サーバー名
Interface:Bridge-wan
Address pool:ip-pool ←先に作成したIP-POOL

Network
Address:10.5.1.0/24
Gateway:10.5.1.1
Netmask:24

【CLI】
/ip dhcp-server
add address-pool=ip-pool disabled=no interface=bridge-wan name=dhcp-svr
/ip dhcp-server network
add address=10.5.1.0/24 gateway=10.5.1.1 netmask=24



▼(5)Routeの設定、FireWall,NATの設定
デフォルトゲートウェイ設定、各インターフェイスからの相互NAT設定、各種フィルタ設定

○hAP-1へ設定

外部からのフィルター(Firewall)を設定する。
※設定項目が多いのでCLIで設定してください。

/ip firewall filter

add action=accept chain=input comment="accept-from nict-ntp" dst-port=123 protocol=udp src-address=133.243.238.163-133.243.238.164
add action=accept chain=input comment="accept-from nict-ntp" dst-port=123 protocol=udp src-address=133.243.238.243-133.243.238.244
add action=drop chain=input comment="Block NTP" dst-port=123 in-interface=pppoe-out1 log=yes protocol=udp
(NTPからの接続攻撃があるので、ntp.nict.jp以外からの接続禁止 ※範囲変更しました。20161226)

add action=drop chain=input comment=Block_inbound_DNS dst-port=53 in-interface=pppoe-out1 protocol=tcp
add action=drop chain=input comment=Block_inbound_DNS dst-port=53 in-interface=pppoe-out1 protocol=udp
(ポート53DNSに対しての遮断)

add action=reject chain=input comment=Block_ICMP protocol=icmp reject-with=icmp-protocol-unreachable
(ICMPに対しての遮断)

add action=drop chain=input comment=Block_inbound_webUI dst-port=80 in-interface=pppoe-out1  protocol=tcp
add action=drop chain=input comment=Block_inbound_ftp dst-port=21 in-in-interface=pppoe-out1  protocol=tcp
add action=drop chain=input comment=Block_inbound_tftp dst-port=69 in-interface=pppoe-out1  log=yes protocol=udp src-port=""
add action=drop chain=input comment=Block_inbound_ssh dst-port=22 in-interface=pppoe-out1 log=yes protocol=tcp
add action=drop chain=input comment=Block_inbound_telnet dst-port=23 in-interface=pppoe-out1 protocol=tcp
add action=drop chain=input comment="Block Inbound UPnP(5000)" dst-port=5000 in-interface=pppoe-out1 protocol=tcp
(IPサービスへの接続遮断)

add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Port scanners to list " protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="dropping port scanners" src-address-list="port scanners"
(NMAPやスキャンツールからのアクセスを遮蔽)


PPPoEへ内側からのNAT設定を行う。

IP->Firewall
NAT

+(ADD)
[General]
Chain:srcnat
Out Interface:pppoe-out1
[Action]
Action:masquarade

/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1

IP->Route
デフォルトゲートウェイがPPPoE側から設定されているか、確認。
手動で設定する場合は、
+(ADD)
[General]
Dst Address:0.0.0.0/0
Gateway:xxx.xxx.xxx.xxx ←PPPoEが取得しているIP

【CLI】
/ip route
add distance=1 dst-address=0.0.0.0/0 gateway=xxx.xxx.xxx.xxx

以上で、hAP-1へ外線へ出れる設定の導入は完了。
コンソールから ping www.google.com等でIPと到達時間が返ってくるか確認
うまく接続できない場合は各項目の設定確認を行う。


○hAP-2へ設定

WDS側へNAT設定を行う。

IP->Firewall
NAT

+(ADD)
[General]
Chain:srcnat
Out Interface:Bridge-wds
[Action]
Action:masquarade

【CLI】
/ip firewall nat
add action=masquerade chain=srcnat out-interface=Bridge-wds


hAP-2からhAP-1のセグメントアクセス遮断
※CLIから入力してください。
/ip firewall filter
add action=drop chain=output dst-address=10.4.1.0/24
add action=drop chain=output dst-address=10.1.1.0/24
add action=drop chain=output dst-address=10.2.1.0/24

IP->Route
デフォルトゲートウェイをwds対抗へ設定。
+(ADD)
[General]
Dst Address:0.0.0.0/0
Gateway:10.3.1.1 ←wds対抗のIP

【CLI】
/ip route
add distance=1  gateway=10.3.1.1

コンソールから wds対応へ接続を確認、正常につながっていれば、
ping 8.8.8.8等で外線からのIPと到達時間が返ってくるか確認


ここまでうまく設定ができれば、
hAP-1からSSID:office-wlan001
hAP-2からSSID:office-wlan002

各5GHzで接続できるはずです。設定した接続キーで接続、
正常にIPアドレスの払い出しがされ、外線へ出られれば各無線設定は成功です。

ETH2とETH3にはそれぞれ別セグメントのDHCPサーバーがうごいていますので、
配下のSWからDHCPクライアントでアクセスすればIPの払い出しを受けられます。

▼(6)配下SWに合わせてVLAN設定を行う

ETH2/ETH3配下のSWへVLANの設定を行い、同VLAN間通信の設定を行います。
ETH2/ETH3配下のSWポートにVLAN10/20を設定し、hAP-ACのETH2/3へVLANの設定を行います。

[SW側の設定例(Cisco Cat2960G-8TC-L-A)]

interface GigabitEthernet0/1
switchport mode access 
switchport access vlan 10
!
interface GigabitEthernet0/2
switchport mode access 
switchport access vlan 10
!
interface GigabitEthernet0/3
switchport mode access 
switchport access vlan 10
!
interface GigabitEthernet0/4
switchport mode access 
switchport access vlan 10
!
interface GigabitEthernet0/5
switchport mode access 
switchport access vlan 10
!
interface GigabitEthernet0/6
switchport mode access 
switchport access vlan 10
!
interface GigabitEthernet0/7
switchport mode access 
switchport access vlan 10
!
interface GigabitEthernet0/8
 switchport access vlan 10
 switchport mode trunk
!
interface Vlan10
 ip address 10.1.1.2 255.255.255.0

[SW側の設定例(Cisco Cat2960G-8TC-L-B)]

interface GigabitEthernet0/1
switchport mode access 
switchport access vlan 20
!
interface GigabitEthernet0/2
switchport mode access 
switchport access vlan 20
!
interface GigabitEthernet0/3
switchport mode access 
switchport access vlan 20
!
interface GigabitEthernet0/4
switchport mode access 
switchport access vlan 20
!
interface GigabitEthernet0/5
switchport mode access 
switchport access vlan 20
!
interface GigabitEthernet0/6
switchport mode access 
switchport access vlan 20
!
interface GigabitEthernet0/7
switchport mode access 
switchport access vlan 20
!
interface GigabitEthernet0/8
 switchport access vlan 20
 switchport mode trunk
!
interface Vlan20
 ip address 10.2.1.2 255.255.255.0

[hAP側の設定]

Interface->VLAN
+(ADD)
Name:vlan10
Vlan-id:10
Interface:ETH2

Interface->VLAN
+(ADD)
Name:vlan20
Vlan-id:20
Interface:ETH3

先にETH2/ETH3へ振ったIPをVLANインターフェイスへ変更します。

IP->Address
Address:10.1.1.1/24
Network:10.1.1.0
Interface:vlan10 ←変更

IP->Address
Address:10.2.1.1/24
Network:10.2.1.0
Interface:vlan20 ←変更

上記設定でvlan10-20での通信が可能になります。


※DHCPサーバーの設定を変更
Bridge-lan1/Bridge-lan2へブリッジ所属している物理IF-ETH2/ETH3をvlan10/vlan20へ変更する事で、
DHCPの払い出しが行えます。(20161221変更)



※図版等は随時追加予定です。
外部認証等の設定は応用設定として、追記する予定です。