目录
一、实验介绍
1.实验
本实验通过多个配置任务完成基础WLAN的门构建。在本实验的 WLAN 中,AC负责对AP进行统一管理,并且进行 WLAN的配置, 使无线客户端 STA(Station,站点)能够连接到AP并访问网络。本实验需要完成以下任务。
2、实验目的:
1、将AP注册在AC上
2、使AC下发WLAN业务参数至AP
3、使STA通过AP连接到WLAN
3、项目说明
ACWLAN控制器,控制AP的配置,实现集中管理
{注意:AC默认是关闭STP,为了避免形成环路,建议打开。 stp enable stp mode rstp}
AP 无线接入点,一般瘦AP,不允许配置。
(查看AP的MAC地址,dispstp或者dispintervlanif1)
STA无线终端(手机,笔记本)。
4、实验地址和拓扑图
AC6005 | vlanif 10 | 192.168.10.100 | 255.255.255.0 | 192.168.10.1 |
S1 | vlanif 10 | 192.168.10.1 | 255.255.255.0 | |
vlanif 20 | 192.168.20.1 | 255.255.255.0 | ||
AP | G0/0/1 | 192.168.10.10 | 255.255.255.0 | 192.168.10.1 |
STA | E0/0/1 | 192.168.20.20 | 255.255.255.0 | 192.168.20.1 |
二、实验配置详情
1、基础配置
步骤一:完成连通性
我们需要在 AC 上配置 VLAN 10,在 S1 上配置VLAN 10 和VLAN 20,将相应的端口配置为Trunk模式并放行相应VLAN的流量。VLAN10 作为管理VLAN,负责传输AP与AC之间的CAPWAP消息,因此AC与 AP之间的端口需要放行VLAN 10的流量。VLAN 20作为业务VLAN,负责传输STA的流量,因此 S1 的端口 G0/0/2 上既需要放行 VLAN 10的流量,也需要放行VLAN 20的流量。
1)AC上的VLAN配置
stp enable
vlan 10
quit
interface GigabitEthernet 0/0/1
port link-type trunk
port trunk allow-pass vlan
2)S1上的VLAN配置
PVID的作用:当这个接口收到了流量,并且该流量不携带什何1Q Tag(VLAN-ID信息),该接口便认为这些流量属于PVID对应的 VLAN。
vlan batch 10 20
interface GigabitEthernet 0/0/1
port link-type trunk
port trunk allow-pass vlan 10
interface GigabitEthernet 0/0/2
port link-type trunk
port trunk pvid vlan 10
port trunk allow-pass vlan 10 20
步骤二:S1配置为DHCP服务器
dhcp enable
interface vlanif 10
ip address 192.168.10.1 24
dhcp select interface
dhcp server excluded-ip-address 192.168.10.11 192.168.10.254
quit
interface vlanif 20
ip address 192.168.20.1 24
dhcp select interface
dhcp server excluded-ip-address 192.168.20.11 192.168.20.254
quit
步骤三:测试AC与S1之间的连通性
ping 192.168.10.1
2、配置ACL上线
步骤一:配置AP组
wlan:系统视图命令,用来进入 WLAN 视图。在进行 WLAN 特性的相关配置时,需要先使用 wlan 命令进入WLAN图,与WLAN特相所有配置命令均需要在WLAN 视图或其子视图下进行配置。
ap-group name group-name:WLAN 视图命令,用来创建AP组并进入AP组视图,若系统中已存在该 AP 组,则直接进入 AP 组视图。缺奢情况下,系统中存在一个名为 default 的 AP 组。当管理员将多个需要使用相同参数的 AP 加入同一个 AP组后这些AP都会使用AP组中的配置,无须对每个 AP进行单独配置,通过集中式管理简了配置工作。
1)创建AP 组
wlan
ap-group name hcia-group
步骤二、配置AC系统参数
regulatory-domain-profile profile-name:WLAN视图合令,用来创建域管理模板并进入域模板视图,若该模板已创建则直接进入模板视图
coustry-code cowntry-code:域管理模板视图命令,用来配置设备的国家码标识,缺省情况下,华为设备的国家码标识为cn。当一个AC 管理的AP分别位于不同国家或地区时,需要通过不同的国家码来满足不同国家或地区对于射频特性的要求(比如功率和信道规范)。域管理模板下的国家码配置发生变化后,应用了该模板的 AP会自动重启。
wlan
regulatory-domain-profile name hcia-domain
country-code cn
想要使创建的域管理模板生效,需要对其进行应用
wlan
ap-group name hcia-group
regulatory-domain-profile hcia-domain
步骤三:选择AC的源接口
capwap source interface {loopback lo opback-number| vlanif vlan-id }:系统视图命令,用来指定AC与AP建立CAPWAP隧道的源接口,可以使用环回接口或 VLANIF 接口。缺省情况下未指定源接口。在指定源持接口之前,设备上需要已经配置了相应的环回接口地址或 VLANIF 接口地址。
capwap source interface vlanif 10
步骤四:导入AP
1)导入AP
ap auth-mode {mac-auth| no-auth|sn-auth}: WLAN 视图命令,用来指定Ap的认证模式,必需关键字分别为使用 MAC 地址认证、不认证,以及使用设备序列号认证
ap-id ap-id {ap-mac ap-mac | ap-sn ap-sn | ap-mac ap-mac ap-sn ap-sn }: WLAN视图命令,用来离线添加 AP设备或进入 AP视图。在添加AP时,必须输入AP的M/地址、序列号,或者同时输入MAC 地址和序列号。如果设置了 MAC 认证,则必须输入MAC 地址:如果设置了序列号认证,则必须输入序列号。如需进入 AP视图,只需要输入AP ID 即可。
ap-name ap-name:AP 视图命令,用来为 AP 设置可识别的名称。
ap-group ap-group:AP 视图命令,用来指定 AP 所属的 AP 组。
wlan
ap auth-mode mac-auth
ap-id 0 ap-mac 00e0-fc32-4210
ap-name hcia-ap
ap-group hcia-group
2)查看离线配置的AP
dis ap all
3)启动AP
4)AP上发生的变化
5) AC上AP的信息
dis ap all
3、配置WLAN业务参数
步骤一:创建SSID模板
sid-profile name profile-name: WLAN视图命令,用来创建SSID模板并进入SSID板视图,若该模板已存在则直接进入 SSID 模板视图。缺省情况下,系统中存在一个名为default 的 SSID 模板,且该模板不能删除。
SSID 模板有以下注意事项:在创建 SSID 模板后,需要在 VAP 模板中应用 SSID模板,然后再在AP组视图中应用VAP模板,形成一个嵌套关系;已经在 VAP模板中应用的SSID模板不能删除,如需删除的话,需要先从VAP模板中解除应用的SSID模板:当VAP模板已经被应用到AP组或单个AP时,对SSID模板的修改会导致业务中断。
ssid ssid:SSID模板视图命令,用来指定当前SSID模板中的SSID名称,当STA搜索可接入的无线网络时,看到的网络名称就是 SSID
1)配置SSID模板
wlan
ssid-profile name hcia-ssid
ssid hcia-wlan
2)查看设备中的SSID模板
dis ssid-profile all
3)查看SSID模板的详细信息
dis ssid-profile name hcia-ssid
步骤二:创建安全模板
①security-profile name profile-name WLAN视图命令,用来创建安全模板并进入
安全模板视图。缺省情况下,系统中已有 名为default、default-wds和default-mesh的安
全模板。
② security {wpa| wpa2| wpa-wpa2 psk {pass-phrase| hex} key-value {aes| tkip
aes-tkip}:安全视图命令,用来配置WPA WPA2 预共享密钥认证和加密。本实验任务需要选wpa-wpa2混合方式,即STA使用WPA或WPA2 进行认证;密码选择使用 pass-phrase并将密码设置为Huawei@123,这个密码在配置中会以密文形式显示;最后选择使用aes作为数据加密机制。
安全模板配置命令
1)查看
wlan
security-profile name hcia-sec
security wpa-wpa2 psk pass-phrase huawei@123
2)设备中的安全模板
dis security-profile all
3)查看安全模板的详细信息
dis security-profile name hcia-sec
步骤三:创建VAP模板
vap-profile name profile-name: WLAN 视图命令,用来创建 VAP 模板作进入 VAI模板视图,若该模板已存在则直接进入模板视图,缺省情况下,系统中存在一个名为 efait 的VAP 模板,管理员在创建 VAP 模板后,需要在 AP 组视图中应用这个 VAP 模板,模板中的设置才会生效。
forward-mode (direct-forward tunnel}:VAP 模板视图命令,用来配置数据转发方式,缺省情况下,VAP模板中的数据转发方式为真接转发
service-vlan vian-id vlan-id:VAP 模板视图命令,用来配置 VAP 的业务 VLAN.缺省情况下,VAP 模板中的业务VLAN 为VLAN 1。需要注意的是,在配置已生效的情况下更改业务 VLAN 会导致 STA 业务中断。
ssid-profile profile-name:VAP模板视图命令,用来应用 SSID模板,缺省情况下 VAP 模板中应用的是名为default 的SSID 模板。只有在VAP模板中应用了 SSID 模板后 SSID模板中的配置才会对使用了该VAP模板的所有AP生效。
security-profile profile-name:VAP 模板视图命令,用来应用安全模板,缺省情况下,VAP模板中应用的是名为default 的安全模板。
1) VAP模板命令
wlan
vap-profile name hcia-vap
forward-mode direct-forward
service-vlan vlan-id 20
ssid-profile hcia-ssid
security-profile hcia-sec
2)查看VAP模板
dis vap-profile all
3) 查看VAP模板的详细信息
dis vap-profile name hcia-vap
步骤四:在AP组中应用VAP模板
vap-profile profile-name wlan wlan-id radio {rac dio-id| all}:本实验需要在 AP 组视图下执行这条命令,这条命令会将VAP模板应用到具体的射频
1)在AP组应用VAP模板
wlan
ap-group name hcia-group
vap-profile hcia-vap wlan 1 radio 0
vap-profile hcia-vap wlan 1 radio 1
2)查看创建的VAP
dis vap ssid hcia-wlan