华三无线实验AC三层旁挂组网+本地转发
- 实验目的
了解H3C模拟器无线实验中的AC旁挂三层组网数据转发路径,小型企业组网中,为了防止AC成为无线网络转发瓶颈,一般使用AC旁挂组网,使无线流量直接通过核心交换机到出口路由器/防火墙出去。
2.适用场景
在小型企业网无线组环境中,AC和AP通过CAPWAP协议控制管理,在华三的AC+AP组网中,默认用户流量经过AP到AC,再由AC转发出去,属于隧道转发,当用户多流量大的时候,AC可能会成为网络转发的瓶颈,此时需要将AC进行旁挂,使得流量不经过AC直接转发出去。
3.组网需求
如图:AC旁挂在核心交换机S2下,S2作为DHCP服务器为AP和Client分配IP地址,其中AC与S2互联使用VLAN10, AC属于VLAN 10,AP属于VLAN30,AC和AP之间跨三层建立网络,Client通过VLAN20接入网络。
4.配置步骤
①先配置基本网络互通
核心交换机S2
<H3C>system
[H3C]sysn S1
[S1]vlan 2 10 20 30 #批量创建vlan,该版本模拟器支持批量创建不连续vlan,其他版本好像要单独创建
[s1]interface g1/0/1 #连接AC的接口
[s1-g1/0/1]port link-type trunk #配置为干道接口
[s1-g1/0/1]port trunk permit vlan 10 #放行vlan10
[s1-g1/0/1]undo port trunk permit vlan 1 #拒绝放行vlan1
[S1]interface GigabitEthernet1/0/2 #连接接入(POE)交换机接口
[s1-g1/0/1] port link-type trunk
[s1-g1/0/1] undo port trunk permit vlan 1
[s1-g1/0/1] port trunk permit vlan 20 30 #放行管理vlan30和业务vlan20
配置vlanif虚拟接口
[s2]interface Vlan-interface10 #和AC互联接口
[s2-in-vlif10]ip address 10.23.10.254 255.255.255.0
[s2]interface Vlan-interface20 #终端地址网关接口
[s2-in-vlanif20]ip address 10.23.20.254 255.255.255.0
[s2]interface Vlan-interface30 #连接AP接口
[s2-int-vlan30]ip address 10.23.30.254 255.255.255.0
S2和路由器使用vlan2互通,在交换机上创建vlanif2接口,连接路由器的接口配置成access,放行vlan2.
[S2]interface vlanif2
[s2-int-vlanif2]ip add 10.23.2.2 30
[s2-g1/0/3]port access vlan 2
AC配置
[AC]vlan 10
[AC]interface Vlan-interface10
[AC-int-vlif10] ip address 10.23.10.253 255.255.255.0
[AC]interface GigabitEthernet1/0/0 #配置连接S2的接口
[AC-G1/0/0]port link-type trunk
[AC-G1/0/0] undo port trunk permit vlan 1
[AC-G1/0/0] port trunk permit vlan 10
有部分配置需要使用web界面配置更加直观,添加主机与本地虚拟网卡进行连接。
[AC] interface GigabitEthernet1/0/1
[AC-G1/0/1]port link-mode route #将该接口改成路由接口对接本机虚拟网卡,地址在同一网段即可
[AC-G1/0/1]ip address 192.168.1.2 255.255.255.0 #配置IP地址 ,同时作为web界面登录地址
接入交换机S3配置
[S3]vlan 20 30
[s3]interface GigabitEthernet1/0/1 #配置连接AC的接口
[s3-g1/0/1]port link-type trunk
[s3-g1/0/1] undo port trunk permit vlan 1
[s3-g1/0/1] port trunk permit vlan 20 30
[s3-g1/0/2]interface GigabitEthernet1/0/2 #连接AP的接口
[s3-g1/0/2] port link-type trunk
[s3-g1/0/2] port trunk permit vlan 20 30
[s3-g1/0/2] port trunk pvid vlan 30 #将默认的PVID 1改成AP的管理VLAN30,否则AP拿不到地址
同理S3上连接的其它AP的接口和该接口同配置,配置略
当然也可以使用端口组的方式同时快速批量配置,如下配置:
[s3] interface range GigabitEthernet 1/0/2 to G1/0/4 #同时配置2,3,4口
[S3-if-range] port link-type trunk
[S3-if-range] port trunk permit vlan 20 30
[S3-if-range] port trunk pvid vlan 30
路由器配置
[R8]int g0/0
[r8-g0/0]ip add 10.23.2.1 30
[r8-loopback0] ip add 9.9.9.9 24 #创建环回口,用于测试
②配置路由
由于AC和AP不在同一个网段,为了保证CAPWAP报文能正常发送,需要配置静态路由(或者协议路由)互通
[AC] ip route-static 0.0.0.0 0 10.23.10.254
核心交换机作为网关设备,需要具有去往外网的默认路由
[S2] ip route-static 0.0.0.0 0 10.23.2.1 #下一跳为路由器接口地址
路由器需要具有回程路由
[R8] ip route-static 10.23.0.0 16 10.23.2.2
③DHCP配置
S2作为dhcp服务器
[S2]dhcp enable #全局开启DHCP服务
[S2]dhcp server ip-pool 20 #配置地址池20,为client设备分配IP地址
[S2-dhcp-pool-20]gateway-list 10.23.20.254
[S2-dhcp-pool-20] network 10.23.20.0 mask 255.255.255.0
[S2-dhcp-pool-20] dns-list 8.8.8.8
[S2-dhcp-pool-20]dhcp server ip-pool 30 #配置地址池30,为AP分配地址
[S2-dhcp-pool-30]gateway-list 10.23.30.254
[S2-dhcp-pool-30]network 10.23.30.0 mask 255.255.255.0
[S2-dhcp-pool-30]option 43 hex 80070000010a170afd #配置option选项,在分配地址时候,将AC的地址通告给AP,便于发现AC并传递CAPWAP报文
为DHCP服务器配置option 43选项,AP管理网段为vlan30
option43格式简要说明:
80 07 00 00 01 0a 17 0a fd
80:固定值,不用改变;
07:长度字段,其后面所跟数据的字节长度;
00 00:固定值,不用改变;
01:表示后面的IP地址的个数,此处为一个IP地址;
0a 17 0a fd:为16进制的IP地址,转换成十进制为10.23.10.253
配置完成后,可以在DHCP服务器上查看是否获得了IP地址
④配置AP上线
创建无线服务模板
[AC1]wlan service-template ser-test #创建模板,命名为ser-test
[AC1-wlan-st-ser-test] ssid zsdt-guest #创建SSID名称
[AC1-wlan-st-ser-test] vlan 20 #创建业务VLAN
[AC1-wlan-st-ser-test] client forwarding-location ap vlan 20 #配置转发模式为本地转发,也就是通过AP转发,并且确定转发的业务vlan
[AC1-wlan-st-ser-test] service-template enable #开启模板
【如果需要配置无线网加密,请在此模板中配置加密服务即可】
配置AP
[AC] wlan ap ap111 model WA6320-HCL #创建手工AP,名称为AP111,型号为WA6320-HCL
[AC-wlan-ap-ap1] serial-id H3C_6E-A0-36-69-04-00 #配置AP序列号,可以在AP上使用命令disp dev maninfo查看序列号,型号和MAC地址等信息
[AC] wlan ap-group test #创建ap组
[AC-wlan-ap-group-test] ap ap1 #设置AP名称入组规则
[AC-wlan-ap-group-test] ap-model WA6320-HCL #进入ap组的ap型号
[AC-wlan-ap-group-group1-ap-model-WA6320-HCL] radio 1 #进入射频1
[AC-wlan-ap-group-group1-ap-model-WA6320-HCL-radio-1] service-template ser-test vlan 20 #将无线服务模板绑定到射频1上。有两个射频5G和2.4G,此处只绑定了一个,可以在ap组型号视图下再绑定射频2,此处只演示一个,另一个在web界面演示
[AC-wlan-ap-group-group1-ap-model-WA6320-HCL-radio-1] radio enable #开启射频功能
此时可以在AC上使用命令查看到已经有一个AP上线
以上是手工AP方式上线,在实际项目中,AP数量比较大的时候,需要使用自动AP上线
[AC]wlan auto-ap enable #开启自动AP功能
[AC]wlan auto-persistent enable #开启自动固化
等待几分钟后,新的AP上线了,默认是以MAC地址命名
可以对该AP进行改名,本实验不改名
此时该AP没有加组,需要把它添加到我们之前配置的test组中,获得相应的无线服务和射频信息
[AC1-wlan-ap-group-test]ap 72d9-640e-0c00 #加入到test组
上传apcfg.txt文件到AC,使得AC可以将配置同步到AP设备,用于实现本地转发功能
配置文件为:
sys
#
vlan 20
#
int g0/0/0
port link-type trunk
port trunk permit vlan 20
#
解释:vlan20为本实验中的业务vlan,需要在AP上创建,并将AP连接POE交换机的接口配置为干道接口类型,放行业务vlan通过,注意不能拒绝vlan1,因为VLAN1为ap的管理接口,通过该接口获取管理地址。
Web界面配置上传apcfg.txt文件
在进入web界面前,需要在CLI界面更改配置,便于进入
[AC]undo password-control length enable #关闭密码长度限制
[AC]undo password-control composition enable #关闭密码复杂度要求
[AC]local-user admin #创建用户名为admin
[AC-luser-manage-admin]password simple 123 #创建对应密码
[AC-luser-manage-admin]service-type http https #开启相应服务
[AC-luser-manage-admin]authorization-attribute user-role level-15 #更改权限为15级别
[AC]ip http enable # 开启Web管理
[AC]ip https enable # 开启Web管理
在登录界面输入用户名和密码
admin
123
选择本地已经配置好的的txt文件上传即可
CLI界面查看AC配置文件:
5.结果测试
终端拿到的是20网段的地址,和AP不在同一网段
说明:ping测试的目的地址9.9.9.9是在路由器上创建的环回口地址,测试结果正常。
抓包查看结果
以上无线网没有做密码认证,但是在实验时,添加密码认证后,终端就拿不到地址了,删除密码认证,就又正常了,不知道是不是模拟器bug