目录
Ⅰ 锐捷AP虚拟化部署实施指南
Ⅱ 方案介绍
1、方案背景
在中大型企业办公无线网络中,一般会对无线网络划分为:业务网、娱乐网、访客网。
企业为了安全考虑,要求这三网要能够相互隔离,三网用户无法访问到各自网络之外的资源,例如对于存在不安全因素的访客网,希望访客网上的用户数据不经过任何中间网络直接送至DMZ区,之后转发至出口,确保访客在访客网上从物理上就没有任何机会接触到业务网,避免访客窃取公司的机密信息。实现访客网与业务网、娱乐网在物理上处于隔离状态,达到极高的安全性。
根据AP虚拟化技术,达到这种高安全性要求,根据AP上联口个数有两种上联链路构建:
图1-1-1 AP单上联连接
1)如图1-1-1各逻辑AP通过同一个上联口(双上联口配置成聚合口也看成单上联口)与对应的AC建立CAPWAP连接,在集中转发的情况下,逻辑AP的管理AC不一样,可以有不一样的安全策略,提高了安全性,解决了管理AC的单点故障,提高了网络的稳定性。
图1-1-2 AP双上联连接
2)如图1-1-2各逻辑AP通过不同的上联口与对应的AC建立CAPWAP连接,实现两逻辑AP的数据在链路转发上的完全物理隔离,极高的安全性,解决了管理AC的单点故障,提高了网络的稳定性。
2、方案组件及版本
产品名称 | 功能描述 | 版本 | 备注 |
无线AP | 无线接入点 | 11.1(5)B40及之后 | 只有特定型号版本支持 |
无线AC | 无线控制器 | 11.8(2)B3及之后 | 只有特定型号版本支持 |
Ⅲ 方案部署准备
设备选型
目前支持AP虚拟化的设备型号如下:
AP型号及整机支持能力如下:
产品名称 | 上联口个数 | 虚拟AP个数(含主AP) | WLAN个数 | STA个数 | 占主控AC的license | 占分控AC的license |
AP740-I | 2 | 4 | 16 | 612 | 1 | 0 |
AP740-I(C) | 2 | 4 | 16 | 512 | 1 | 0 |
AP720-I | 2 | 4 | 16 | 256 | 1 | 0 |
AP720-L | 1 | 4 | 16 | 256 | 1 | 0 |
AP520(W2) | 1 | 4 | 16 | 256 | 1 | 0 |
AP520-I | 2 | 4 | 16 | 256 | 1 | 0 |
AP520-I(G2) | 2 | 4 | 16 | 256 | 1 | 0 |
AC型号及支持的能力如下:
产品名称 | 单AC最大AP数 | 单AC最大STA数 | AP虚拟化模板数 | 虚拟AP可配WLAN数 | 虚拟AP可配STA数 |
WS6816 | 2560 | 81920 | 100 | 16 | 128 |
WS6812 | 1024 | 32768 | 100 | 16 | 128 |
WS6108 | 320 | 10240 | 100 | 16 | 128 |
WS6008 | 224 | 7168 | 100 | 16 | 128 |
M6000-WS | 128 | 4096 | 100 | 16 | 128 |
M8600E-WS-ED | 2560 | 81920 | 100 | 16 | 128 |
M18000-WS-ED | 2560 | 81920 | 100 | 16 | 128 |
主控AC和分控AC都可以采用AC虚拟化方案,AC虚拟化时支持的AP虚拟化模板数、虚拟AP支持WLAN数和虚拟AP支持STA数和单机一样,但AC虚拟化支持的AP数和STA数,这个请查看AC虚拟化相关指标。
AP在分控AC上不占用license,但占用总支持的AP连接数。
Ⅳ AP单上联实施向导
3.1准备
1) 将AP、AC升级到支持AP虚拟化的版本(可以AP、AC连接建立后进行升级);
2) 确定AP的主控AC是哪台,虚拟AP对应的分控AC是哪台;
3) 确定AP的DHCP地址池;
4) 确定各管理AC对应的STA使用的VLAN和SSID及DHCP地址池,不同管理AC上的SSID不能配置一样;
3.2配置实施
本章节描述如何部署及配置AP虚拟化,不包含无线业务的部署。拓扑的部署原则是:AP通过CAPWAP的discovery报文,只能发现主控AC,并与主控AC建立CAPWAP连接。因为只有主控AC才能对AP下发AP虚拟化的配置,虚拟子AP创建后,才能有分控AC进行管理使用。
需要通过以下方式,避免物理主AP直接与分控AC直接建立隧道,否则,物理AP将无发获取主控AC上虚拟AP配置,无法进行虚拟AP部署。
AP通过CAPWAP的discovery报文发现AC的类型有:广播、组播、DNS、DHCP和单播(单播有acip配置和集群配置)。
步骤一.检查设备上是否有配置发现分控AC相关的配置
此步骤目的是屏蔽AP通过单播发现分控AC的方式。
1) 检查AP设备端是否配置了acip和集群配置是分控AC的地址,如果有配置acip,那么可以通过AP(config)#no acip ipv4删除,如果是集群,那么就等AP连接到AC后,删除对应的集群配置。
2) 检查AC端是否有配置acip和集群配置是分控AC的地址,如果有,则删除。
步骤二.AP的DHCP地址池option 138 ip地址配置为主控AC的地址,而不能是分控AC的地址。
此步骤目的是屏蔽AP通过DHCP发现分控AC的方式。
如果主控AC是采用loopback 0地址,那么AP的DHCP地址池的option 138 ip地址就用loopback 0的地址;如果主控AC配置了capwap ctrl-ip,那么AP的DHCP地址池的option 138 ip地址就用capwap ctrl-ip配置的地址。
步骤三.升级版本至支持AP虚拟化的版本
升级AP、AC支持AP虚拟化的版本。
步骤四.屏蔽二层CAPWAP discovery报文发现分控AC
此步骤目的是屏蔽AP通过二层报文发现分控AC的方式。
CAPWAP discovery二层报文发现AC的方式有:广播、组播和DNS。即要求这三种的报文不能发送给分控AC,或者分控AC不应答这些报文。
1) 如果分控AC与AP之间是走三层网络,那么已经是隔离了二层报文,分控AC可以不进行配置,这种比较适合在主控AC与分控AC是不同管理员的时候使用。
2) 如果分控AC与AP之间是走二层网络,那么要求在分控AC上配置不应答这三种CAPWAP discovery报文:
分控AC(config-ac)#capwap discovery-type unknown forbidden # 不应答广播和组播发现的discovery报文。 分控AC (config-ac)#capwap discovery-type dns forbidden # 不应答DNS发现的discovery报文。
如果配置forbidden之前,这个AC有AP关联上来了,那么需要将想要AP虚拟化的AP踢下线,让AP重新上线,或者AC重启。
由于之前的AC版本,不支持这个命令的保存,所以配置这个命令的时候,需要先升级AC版本。
步骤五.主控AC创建AP虚拟化模板
AP虚拟化模板,即创建一个虚拟AP的模板,将模板信息下发给AP,AP就会创建一个虚拟AP。
具体配置命令的含义见5.3.1章节。
比如增加一个叫test的模板信息
主控AC(config)#virtual-ap test
%Warning: If you modify the configuration, the AP of the application configured will be reconnection.
ac-ip 2.2.2.2
wlan-capacity 2
sta-capacity 10
配置说明:创建一个叫test的AP虚拟化模板;warning只是一打印提示,含义是如果AP已经是AP虚拟化了,那么修订模板信息,相关的AP就会和所有AC的CAPWAP隧道断开重新连接;此AP虚拟化模板创建的虚拟AP连接的分控AC是2.2.2.2这台,允许对这个虚拟AP配置2个WLAN,允许10个用户接入。
注意:如果AC-IP忘了配置,那么在AP上将不会创建用于建立第二条隧道的BVI 2445接口。
步骤六.主控AC应用AP虚拟化模板到AP上
AP应用一个AP虚拟化模板,AP就会创建一个虚拟AP,并与模板中配置的ac-ip建立隧道。详细说明请查看5.3.1.2章节。应用AP虚拟化模板可以基于AP配置模式、AP组配置模式和所有AP配置模式,只要有一个模式应用了就可以。
例如基于AP配置模式:
主控AC(config)# ap-config ap1
主控AC(config-ap)# virtual-ap test id 1
例如基于AP组配置模式:
主控AC (config)# ap-group vap_group_1
主控AC (config-group)# virtual-ap test id 1
例如基于所有AP配置模式:
主控AC(config)# ap-config all
主控AC(config-ap)# virtual-ap test id 1
配置说明:为名字ap1的AP应用一个名叫test的AP虚拟化配置,ap1就会创建一个虚拟AP,并且虚拟AP的编号是1.
至此,AP就可以同时受主控和分控AC进行同时管理了,其中主控AC管理物理AP、分控AC管理所创建的虚拟AC,当然分控AC也可以正常单独管理其他物理AP(这部分AP与主控AC无关)。
3.3验收
以ap740为例。
1)各管理AC上show ap-config summary查看AP是否上线。分控AC radio的状态显示V,信道和功率显示 -
show ap-config summary
主控AC#show ap-config summary
========= show ap status =========
Radio: Radio ID or Band: 2.4G = 1#, 5G = 2#
E = enabled, D = disabled, N = Not exist, V = Virtual AP
Current Sta number
Channel: * = Global
Power Level = Percent
Online AP number: 1
Offline AP number: 0
AP Name IP Address Mac Address Radio Radio Up/Off time State
--------------- -------------- ------------------ -------------- ------------------- --------------- -----------
ap740 11.11.11.2 1234.1234.5656 1 E 0 6 100 2 E 0 157* 100 0:00:00:25 Run
3 E 0 161* 100 4 N - - -
分控AC#show ap-config summary
========= show ap status =========
Radio: Radio ID or Band: 2.4G = 1#, 5G = 2#
E = enabled, D = disabled, N = Not exist, V = Virtual AP
Current Sta number
Channel: * = Global
Power Level = Percent
Online AP number: 1
Offline AP number: 0
AP Name IP Address Mac Address Radio Radio Up/Off time State
---------------------------------------- --------------- ------------------ -------------- -------
ap740 22.22.22.2 1234.1234.5656 1 V 0 - - 2 V 0 -- 0:00:02:04 Run
3 V 0 - - 4 N - --
2)主控AC查看具体AP的各逻辑AP隧道状态,及生效的情况是否符合配置
show ap-config virtual-ap detail ap740
主控AC#show ap-config virtual-ap detail ap740
AP(ap740) is Master
WLAN capacity: 16
Max stations : 612
Master AP:
WLAN : 1 - 14
Max STA: 602
Link ID: 1
Virtual AP: 1
Address: 2.2.2.2 # 分控AC的IP地址
State : Run # Run表示虚拟AP与分控AC已建立CAPWAP隧道
WLAN : 15 – 16 # AP虚拟化模板配置wlan-capacity是2
Max STA: 10 # AP虚拟化模板配置sta-capacity是10
Link ID: 0 # 0是link-interface命令的默认值,表示和主AP使用一样的上联口
3) 查看AP在各管理AC上的角色是否正确。
show ap-config summary virtual-ap-role
主控AC#show ap-config summary virtual-ap-role
========= show virtaul ap role =========
Master AP number: 1 # 主AP的个数,即选择当前AC是主控AC的AP数
Virtual AP number: 0 # 虚拟AP的个数,即选择当前AC是分控AC的AP数
Normal AP number: 0 # 支持AP虚拟化,但还没配置AP虚拟化配置的AP数
Nonsupport AP number: 0 # 不支持AP虚拟化的AP数
AP Name IP Address Mac Address Virtual AP Role
---------------------------------------- --------------- -------------- ---------- ----------
ap740 11.11.11.2 1234.1234.5656 Support Master
分控AC#show ap-config summary virtual-ap-role
========= show virtaul ap role =========
Master AP number: 0
Virtual AP number: 1
Normal AP number: 0
Nonsupport AP number: 0
AP Name IP Address Mac Address Virtual AP Role
---------------------------------------- --------------- -------------- ---------- ----------
ap740 22.22.22.2 1234.1234.5656 Support Virtual
4) 各管理AC对AP配置WLAN,STA连接这些WLAN
在STA网关没有配置联通路由的情况下,连接在不同逻辑AP上的各STA不能相互ping通。
Ⅴ AP双上联实施向导
4.1准备
1) 将AP、AC升级到支持AP虚拟化的版本(可以AP、AC连接建立后进行升级);
2) 确定AP的主控AC是哪台,虚拟AP对应的分控AC是哪台;
3) AP是双上联,走的不一样的物理链路,要划分好哪个上联口对应主控AC网络,哪个上联口对应分控AC网络(在多个分控AC的情况下,有些分控AC也可以走和主控AC一样的上联链路)。
4) 确定AP的DHCP地址池,双上联连接的时候,AP要有两个不一样网段的IP地址,对应两个上联口,所以要求两个DHCP地址池。与主控AC使用同个上联口的逻辑AP,使用同个IP地址,可以DHCP动态获取,也可以静态配置;与主控AC使用不同上联口的逻辑AP,使用的IP地址只能是DHCP动态获取,并且此地址池不能配置option 138 ip地址。
5) 确定各管理AC对应的STA使用的VLAN和SSID及DHCP地址池,不同管理AC上的SSID不能配置一样,不用使用VLAN 2445(逻辑AP内部使用,不能冲突);
4.2配置实施
本章节描述如何部署及配置AP虚拟化,不包含无线业务的部署。拓扑的部署原则是:AP通过CAPWAP的discovery报文,只能发现主控AC,并与主控AC建立CAPWAP连接。和第3章节AP单上联部署是一样的原理,各步骤也和AP单上联部署基本是一样的,不同的地方或者需要增加配置的地方,如下:
步骤一.检查设备上是否有配置发现分控AC相关的配置
和3.2章节单AP上联实施步骤的描述一样。
步骤二.AP的DHCP地址池option 138 ip地址配置
与主控AC对应上联口链路AP的DHCP地址池的option 138 ip配置成主控AC的IP地址,这个和AP单上联实施步骤的描述一样;
与主控AC对应不一样的上联链路AP的DHCP地址池不能配置option 138 ip。
步骤三.交换机上移除多余的VLAN
1)如果AP的两个上联口对应同一个上联交换机,那么允许通过的VLAN要不一样,否则AP会产生环路,而down掉一个上联口,无法建立双上联链路。
2)两个上联口连接不一样的上联交换机,在WLAN本地转发的情况下,报文在双上联都广播出去,可能导致报文转发错误用户无法上线或者其他问题,所以需要根据不同AP上的不同业务VLAN进行相应的VLAN修剪。
必须保留的VLAN:AP DHCP地址池绑定的VLAN;WLAN配置绑定的VLAN(即AC上interface-mapping配置的vlan),有线LAN口配置的VLAN。
移除VLAN(或者只允许某些VLAN通过)命令。例如:只允许VLAN 11和VLAN 99通过,配置如下:
interface FastEthernet 0/1
poe enable # 配置使能poe供电
switchport mode trunk # 配置trunk模式
switchport trunk native vlan 11 # 配置native vlan是11
switchport trunk allowed vlan remove 1-10,12-98,100-4094 # 配置只允许vlan11和99通过,其他vlan都remove移除了。
步骤四.升级版本至支持AP虚拟化的版本
与AP单上联实施步骤的描述一样。
步骤五.屏蔽二层CAPWAP discovery报文发现分控AC
与AP单上联实施步骤的描述一样。
步骤六.主控AC创建AP虚拟化模板
只增加介绍link-interface,其他配置命令参考第3章节的配置实施中的 主控AC配置AP虚拟化相关配置,命令详细说明见5.3.1.1章节。
主控AC(config)#virtual-ap test
link-interface other
配置说明:配置成other就说明,此AP虚拟化模板配置创建的虚拟AP连接的分控AC与主AP连接的主控AC是走不一样的上联链路的,具体命令详解见5.3.1.1中的link-interface配置章节。
步骤七.主控AC应用AP虚拟化模板到AP上
与AP单上联实施步骤的描述一样。
4.3验收
与AP单上联实施验收一样。
Ⅵ 部署注意事项
5.1AP虚拟化未支持的业务
AP虚拟化目前暂不支持如下功能:IPv6、热备、分级AC、SmartAP、RIPT、组播、WIS、WDS桥接。即不管是在主控AC还是在分控AC上都不能对虚拟化的AP配置这些功能。如果配置这些功能,将会出现以下状况:
热备环境或者分级AC(AP所在的ap-group加入到热备的context中,并且wlan hot-backup enable):
1) 如果AP已经是AP虚拟化形式的时候,主控AC上将AP加入到热备环境中,AP上所有CAPWAP隧道断开,重新和主控AC建立隧道连接后,AP虚拟化配置不下发给AP,热备生效。配置AP离开热备环境(ap-group在热备的context中移除或者删除了热备配置或者no wlan hot-backup enable),AP虚拟化配置重新下发给AP,AP端所有CAPWAP隧道都断开,重新与主控AC和分控AC建立CAPWAP隧道。
2) 如果AP已经是AP虚拟化形式的时候,分控AC上将该虚拟子AP加入到热备环境中,该虚拟子AP与当前分控AC连接的CAPWAP隧道断开,不能与此分控AC建立CAPWAP隧道;如果配置该虚拟子AP离开热备环境,AP又能和此分控AC建立CAPWAP连接。
3) 如果AP没配置AP虚拟化的时候,AP是热备环境,AC上对AP配置AP虚拟化配置,此时AP虚拟化配置不下发给AP,热备继续生效;如果配置AP离开热备环境,那么下发AP虚拟化配置,又回到第1)点上。
SmartAP:
1) 在配置了AP虚拟化配置后,将AP切换成SmartAP形式,需要将AP重启下。
2) 支持AP虚拟化配置的AP,配置成了SmartAP形式,那么此AP建立CAPWAP隧道后,在AC端通过show ap-config summary virtual-ap-role查看到此AP是不支持AP虚拟化的,如果有离线配置了AP虚拟化配置,那么基于ap-config 单AP配置的AP虚拟化配置就会被删除。
WIDS:只支持用户隔离的二层隔离(只在集中转发下生效)。
WQoS:分控AC对应的虚拟子AP,只支持基于WLAN、基于用户的限速。
5.2分控AC未支持的业务
以下功能只有主控AC支持管理配置物理AP,分控AC不支持对虚拟化AP进行配置:频谱分析、RF Ping、RRM、智能天线、无线定位。
5.3配置类
5.3.1 AP虚拟化配置
AP虚拟化配置包括两部分:1)创建AP虚拟化模板;2)AP虚拟化模板配置应用在AP上,AP创建一个拥有此模板(模板中配置)相关能力的虚拟AP。
5.3.1.1AP虚拟化模板创建
AP虚拟化模板即为虚拟AP创建一种类型,可以下发给多个AP,那么这多个AP创建的虚拟AP都具有相同的能力值。
AP虚拟化模板包含的配置有:ac-ip(分控AC的IP地址)、wlan-capacity(虚拟AP支持的WLAN个数)、sta-capacity(虚拟AP支持的STA接入个数)、link-interface(虚拟AP与分控AC连接使用的上联口ID)。
virtual-ap创建AP虚拟化模板
创建AP虚拟化模板,然后可以对此模板配置各种能力。
ac-ip配置
配置分控AC的IPV4地址,指明AP虚拟化配置创建的虚拟AP连接的分控AC。
在AP虚拟化模板中这个是必须配置的,如果没有配置ac-ip,那么AP端创建的虚拟AP就无法与分控AC建立连接。
配置分控AC的IPV4地址,是分控AC的loopback 0地址或者分控AC有配置capwap ctrl-ip时,是分控AC的capwap ctrl-ip配置的地址。
wlan-capacity配置
配置虚拟AP支持的WLAN个数。主AP支持的WLAN个数不能配置,是AP端计算得出的,AP整机支持的WLAN个数减去其他逻辑AP支持的总数。
由于AP型号的不同,AP整机支持的WLAN个数可能也不同,所以AP虚拟化模板配置应用在AP上的时候,需要考虑AP整机支持的WLAN个数,以防AP上的某些虚拟AP配置支持的WLAN个数过大,导致其他某些逻辑AP支持的WLAN个数为0。WLAN支持个数为0的逻辑AP不能释放SSID,导致这些支持WLAN个数为0的逻辑AP无法对外提供服务。
AP上可以应用多个AP虚拟化模板配置,创建多个虚拟AP,这些虚拟AP配置的WLAN个数总和可能超过了AP整机支持的WLAN个数,并且主AP支持的WLAN个数是依赖这些虚拟AP支持的情况。针对AP端各逻辑AP最后支持WLAN个数生效的情况有如下几种,以整机支持16个WLAN为例:
1) 某个虚拟AP配置的WLAN个数超过或者刚好是AP整机支持的个数。那么这个虚拟AP支持所有的WLAN个数,其他逻辑AP支持WLAN数为0。
2) 某些虚拟AP配置的WLAN个数超过或者刚好是AP整机支持的个数。例如给AP下发3个AP虚拟化模板,如下图:
3) 各虚拟AP配置的WLAN个数总和没超过AP整机支持的个数。例如给AP下发3个AP虚拟化模板,如下图:
4) AP虚拟化模板中wlan-capacity也可不配置,采用默认不配置的话,AP端减去有配置的虚拟AP支持WLAN的个数,将剩余的WLAN个数平均分配给主AP和没有配置的虚拟AP,如下图:
由于整机16个减去虚拟AP1(3个)和虚拟AP3(4个),剩余9个,两个逻辑AP平均下是4个(整数分配,不能有小数点),最剩余1个分配给主AP。
5) 多个AP虚拟化模板不配置wlan-capacity的情况,如下图:
由于整机16个减去虚拟AP3(5个),剩余1个,三个逻辑AP平均下是3个(整数分配,不能有小数点),最剩余2个,先分配给主AP 1个,再将剩余的个数,从虚拟AP编号(虚拟AP编号参考5.3.1.2章节)从小到大依次分配,所以将剩余的1个分配给虚拟AP1。
也可以所有的AP虚拟化模板不配置wlan-capacity,分配和上述一样,整机支持的个数所有逻辑AP平分,分不尽的,再从主AP先配置,然后根据虚拟AP编号,从小到大依次分配。
各逻辑AP间WLAN能力不能抢占。比如,虚拟AP1支持4个WLAN,虚拟AP2支持3个WLAN,虚拟AP1对应的分控AC为这个AP配置了5个WLAN,而虚拟AP2对应的分控AC没有给此AP配置WLAN,那么虚拟AP1只能生效4个WLAN,不能因为虚拟AP2对应的分控AC没有下发WLAN或者此分控AC不存在而占用它的WLAN能力。
sta-capacity配置
配置虚拟AP支持的STA接入个数。主AP支持的个数不能配置,是AP端计算得出的,AP整机支持的个数减去其他逻辑AP支持的总数。
由于AP型号的不同,AP整机支持的STA个数可能也不同,所以AP虚拟化模板配置应用在AP上的时候,需要考虑AP整机支持的STA个数,以防AP上的某些虚拟AP配置支持的STA个数过大,导致其他某些逻辑AP支持的STA个数为0。STA支持个数为0的逻辑AP不允许用户接入。
主控AC配置的sta-capacity在AP端实际生效的个数,原理和wlan-capacity分配的算法一样,参考wlan-capacity配置,这里不再说明。
AP虚拟化模板中sta-capacity最大可配置128,但如果不配置,AP端平均分配的话,可能超过128,比如某个AP支持600个STA接入,只配置了一个AP虚拟化模板,那么此虚拟AP和主AP平分,就可以到达300。各逻辑AP间STA接入个数的能力不能抢占,和WLAN一样。
link-interface配置
配置虚拟AP与分控AC连接使用的上联口ID。
ID在AP设备的外壳上有标注,每个AP都至少有1个上联口。比如AP520(W2)只有1个上联口即ID是1,标注是LAN/POE;AP520-I 1口是LAN/POE, 2口是LAN2;AP740-I 1口是LAN1/POE,2口是LAN2/POE。
虚拟AP使用哪个上联口命令格式: link-interface [other 或者ID];参数:other或者ID。
other参数说明:other意思是选择出与主控AC互联接口的另外一个接口。例如:如果主AP上联ID是1口,配置other的话,虚拟AP自动选择的ID是2口;如果主AP上联ID是2口,配置other的话,虚拟AP自动选择的ID是1口。
注意:这个other参数只能在2个上联口的AP上配置,如果AP只有一个上联口的时候配置成other,由于一个上联口的时候,主AP使用的ID是1口,虚拟AP会找2口连接,由于找不到2口,导致虚拟AP无法与分控AC建立CAPWAP隧道。
ID参数说明:上图为例
1) 配置虚拟AP与分控AC1建立CAPWAP隧道。因为AP与分控AC1和主控AC是走一样的上联链路,那么这个ID就应该配置成主AP使用的上联口ID。AP虚拟化模板中不配置link-interface即采用默认值,默认情况下,虚拟AP就会使用主AP使用的上联口ID;也可以在主控AC上show ap-config virtual-ap detail ap的名字,查看主AP使用的ID,然后AP虚拟化模板中link-interface就可以配置成主AP使用的ID。
2) 配置虚拟AP与分控AC2建立CAPWAP隧道。因为AP与分控AC2和主控AC是走不一样的上联链路,如果不配置成other参数的话,就需要在主控AC上show ap-config virtual-ap detail ap的名字,查看主AP使用的ID,然后AP虚拟化模板中link-interface就可以配置成和主AP使用的ID不一样的ID。比如show查看到主AP使用1口,这个就可以配置2;如果show查看的主AP使用2口,这个就可以配置成1。
如果配置的link-interface指向的是一个不存在的上联口,就会导致这个AP虚拟化模块创建的虚拟AP,报文发送不了无法建立CAPWAP隧道;
如果配置的link-interface指向的是一个存在但是错误的上联口(此上联口连接的链路上没有ac-ip对应的AC设备),就会导致这个AP虚拟化模块创建的虚拟AP,报文发送出去后,因为上联链路上没有ac-ip对应的分控AC,导致报文无法转发,而被链路丢弃,最终使得虚拟AP无法建立CAPWAP隧道。
5.3.1.2AP虚拟化模板应用
AP应用一个AP虚拟化模板配置,AP就创建一个虚拟AP,AP可以应用多个不同的AP虚拟化模板,即AP创建多个虚拟AP。
AP虚拟化模板的应用可以基于ap-config单AP模式或者AP的组模式或者所有AP模式下配置。优先级是单AP配置模式高于AP组配置模式高于所有AP模式。
只有应用了AP虚拟化模板的AP并且下发到AP端了,AP才会创建虚拟AP及自动生成一个主AP。主AP与主控AC连接,虚拟AP与AP虚拟化模板中配置的ac-ip对应的分控AC连接。
AP虚拟化模板应用,只需要配置一条命令即可,如下:
virtual-ap应用AP虚拟化模板
格式是virtual-ap xxx id x,xxx是AP虚拟化模板名,x是对应AP端创建的虚拟AP的编号。这个编号与wlan-capacity和sta-capacity分配有关,见5.3.1.1章节。
虚拟AP编号是可选配置,如果不配置,默认从1开始递增。但需要注意比如应用了2个AP虚拟化模板id是1和2,删除id是1的配置,接着再应用一个AP虚拟化模板,不指定id的情况下,会选择id 1。
相同的AP虚拟化模板,可以应用的不同的AP或者AP组中。
AP离线状态下,对此AP进行ap-config单AP配置,如果此AP是不支持AP虚拟化技术方案的,那么该AP上线后,会清除ap-config单AP下的AP虚拟化模板的应用配置。
5.3.1.3AP虚拟化EWEB配置
AP虚拟化模板和AP虚拟化模板的应用可以在EWEB上操作。如下AP虚拟化EWEB配置.docx
5.3.1.4AP虚拟化隧道特点
1)如果AP虚拟化模板已经应用到某个AP了,并且这个AP是在线状态,那么修订AP虚拟化模板的任何配置,有应用此AP虚拟化模板的AP都会断开重建所有CAPWAP隧道。
2)对在线AP,增加或删除应用的AP虚拟化模板配置,AP都会断开重建所有CAPWAP隧道。
3)当虚拟AP与分控AC的隧道断开后,虚拟AP会不断尝试连接分控AC,直到隧道建立成功。
4)主AP与主控AC的隧道断开了,并且虚拟AP与分控AC隧道一直连接状态,那么虚拟AP这个隧道连接可以保持一定的时间,默认是1天(用命令ap-idle-timeout可修改,范围是0到14,单位天,配置成0的话,也不是主AP断开,虚拟AP隧道马上断开,会保持2分钟,防止主AP隧道抖动),时间到了之后,所有隧道都会断开,如果主AP隧道还没建立,虚拟AP就不尝试连接分控AC,等到主AP隧道建立后,虚拟AP才开始尝试连接分控AC。
5)主AP与主控AC的隧道断开了,并且ap-idle-timeout配置的时间里,虚拟AP与分控AC隧道发生断开,那么此虚拟AP不与分控AC建立隧道,而是要等到主AP与主控AC隧道建立后,此虚拟AP才开始尝试连接分控AC。
5.3.2 SSID配置
由于各逻辑AP对应的管理AC配置的WLAN加密等配置都不一样,如果配置相同的SSID,那么,终端在不同WLAN的相同SSID间由于信号强弱而自动切换时,可能造成无法认证成功;不同逻辑AP的WLAN所在的管理AC不一样,相互间一般ping不通,终端WLAN的切换,造成想要的资源可能访问无法漫游等问题。
5.3.3 AP聚合口配置
AP配置了两个上联口为聚合口,那么AP就只能当做AP单上联使用,不能做为AP双上联使用。
如果要当做AP双上联使用,那么要求要先删除聚合口配置。
如果AP双上联使用的时候,要改成聚合口,那么要先删除AP虚拟化配置,再对AP配置聚合口。
5.3.4 AP静态地址配置
只能主控AC可以配置静态指定主AP使用的IP地址。
如果虚拟AP使用的上联口和主AP使用的是一样,那么这个虚拟AP也是使用这个IP地址。
如果虚拟AP使用的上联口和主AP使用的不一样,这个虚拟AP目前只能从DHCP获取地址。
配置或清除主AP的静态地址,AP端所有CAPWAP隧道会断开并重新建立。
5.3.5 ap-vlan配置
只能主控AC可以配置主AP使用的上联口的VLAN(如果有其他逻辑AP也是使用和主AP一样的上联口。
AP虚拟化采用双上联口连接(非聚合功能)的时候,与要求物理隔离的分控AC连接的上联口采用VLAN 2445,所以主控AC的ap-vlan不能配置2445,否则地址冲突。
配置或清除AP的ap-vlan配置,AP端所有CAPWAP隧道会断开并重新建立。
5.3.6 集群配置
只能主控AC配置,生效在主AP上。配置的集群IP地址,不能是分控AC的IP,否则AP发送集群单播类型的discovery报文发现分控AC,AP选择分控AC建立CAPWAP连接,而分控AC没有AP虚拟化的配置,导致AP无法实现AP虚拟化。
当集群发现有高优先级的AC存在时,AP断开主AP的CAPWAP隧道,选择高优先级的AC为主控AC建立CAPWAP隧道,但这个AC与原先的主控AC配置可能不一样,比如信道配置等,在AP上可能引起射频的DOWN/UP或者shutdown等操作,导致关联在此射频上的用户下线。
5.3.7 acip配置
只能主控AC配置,生效在主AP上。配置的acip地址,不能是分控AC的IP,否则AP发送acip单播类型的discovery报文发现分控AC,AP选择分控AC建立CAPWAP连接,而分控AC没有AP虚拟化的配置,导致AP无法实现AP虚拟化。
5.3.8 分控AC配置
分控AC对AP的管理有一定的限制,并不是所有的配置都能下发给AP,分控AC可以对AP管理是:下发WLAN配置及WLAN相关的其他配置(如安全配置)、配置用户和WLAN的限速、配置STA的接入个数、配置基于WLAN的调度、配置基于AP序列号的接入认证、配置负载均衡、配置CAPWAP相关信息(加密、分片、最大重传次数、MTU、保活间隔)、配置AP组。
分控AC上配置clock set不会同步给虚拟AP。
5.4 AP管理类
分控AC上show ap-config summary显示虚拟AP的radio状态为V,信道和功率显示成 - 。
分控AC上对离线AP进行配置,如果该配置在分控AC上不支持,AC上线后,配置不会下发到AP端生效,但AC端可能不会恢复成默认值,导致show显示的配置和主控AC及AP端生效的不一致,比如分控AC上show ap-config running显示虚拟AP的信道、功率等与AP端生效的不一致。
AP的公用资源(接口流量信息、射频的统计数据、CPU/内存信息等等)只上报给主控AC,分控AC上的数据是和AP端不一致的。
5.5 STA管理类
AP虚拟化技术,主控AC为各逻辑AP分配了可接入的STA个数(AP虚拟化模板配置的时候,sta-capacity的配置),这个数是整个虚拟AP支持接入的STA个数,即所有Radio接入的个数总和。
某些逻辑AP在某个Radio接入的总数达到了此Radio的最大支持数,那么此Radio就不能再支持STA的接入,比如Radio 1总共支持128个STA,有3个逻辑AP(主AP,虚拟AP1,虚拟AP2),如果主AP在Radio 1接入了100个STA,虚拟AP1在Radio 1接入了28个STA,而虚拟AP2就无法在Radio 1上接入STA,并且在分控AC上也是无法感知到的,只是一直无法接入。
5.6 AC/AP升级类
5.6.1 AC升级
主控AC和分控AC独立升级。
5.6.2 AP升级
只能主控AC给AP升级,分控AC对AP升级不了。
5.7 SNMP管理类
AP虚拟化下,AP的MAC地址在主控AC和分控AC上是一样的,SNMP获取信息的时候,无法处理同个AP MAC在不同的AC控制器上的情况,所以SNMP不能同时管理主控AC和分控AC,需要独立的SNMP来管理主控AC和各分控AC。
接口流量和射频统计相关信息及CPU、内存等共用资源信息只在主控AC上生效,分控AC获取的数据是和AP端不一致的。
5.8 SNC配置类
AP虚拟化下,AP的MAC地址在主控AC和分控AC上是一样的,需要独立的SNC来管理主控AC和各分控AC。
如果用这管理软件给分控AC配置的时候,如果该配置在分控AC不支持,AC端可能配置成功,但AP端不会生效,即分控AC的配置和AP生效的可能不一样。
5.9 分级分权管理类
目前分级分权功能是基于AC的web界面实现的,这里的描述是基于AC的web界面配置而言的。
AP虚拟化模板的创建和删除,只能是超级管理员才有权限。
Ⅶ AP虚拟化关键配置检查列表
1、拓扑配置的检查
1) 确保AP发送的discovery二层报文只能到达主控AC(与分控AC三层网络,有路由隔离)或者分控AC不应答这个报文(配置对应discovery类型的forbidden)。
2) 不能有集群、acip是分控AC的IP地址。
3) AP双上联连接的时候,接入交换机要移除多余的VLAN,确保本地转发的时候没问题。
2、 配置的检查
1) AP虚拟化模板中的link-interface是否正确。
2) 主控AC上show ap-config virtual-ap detail [apname] 检查各逻辑AP分配的信息是否合理。
3) 各逻辑AP间不能配置相同的SSID。
4) AP双上联连接的时候,ap-vlan不能配置2445。
5) Radio的信道需要配置指定,没配置在主AP掉线重新上线后,可能信道变化,引起该Radio的所有用户下线。
6) AP双上联连接的时候,不能配置AP两上联口为聚合口。
Ⅷ 常见问答
1、虚拟AP连接在分控AC上占用license吗?
虚拟AP在分控AC上不占用license,但会占用AC支持的AP总数。
2、分控AC telnet到AP重启设备等操作怎么办?
主控AC通过credential命令给AP配置登录的用户名和密码。
Ⅸ 常见问题定位
1、AP与主控AC隧道重建后,分控AC的STA下线
主控AC没有对AP配置信道,AP每次重连的时候,主控AC随机分配的信道可能和AP之前使用的不一样,信道的变化,导致STA下线,要求主控AC要对AP配置信道。
2、分控AC没操作但看到虚拟AP隧道断开
AP虚拟化模板配置的修订和AP应用AP虚拟化模板的增删都会引起该AP的所有隧道断开。所以先核对下主控AC是否有相关的修订。
3、分控AC的STA无故下线
这类问题,基本是是主控AC配置变化引起的:
1) 主控AC是否配置了射频口关闭的动作。
2) 主控AC是否配置了引起射频口变化的动作,比如信道、国家码、天线掩码、射频口支持能力等等的变化。
比如网络的优化这个动作要考虑到分控AC下用户的使用情况,协调好了,再进行配置。
4、配置丢失
离线的时候有一些配置(比如ript、禁用radio等),在AP上线后,show run配置就没有了,在AP虚拟化技术中,如果该配置是不支持的,那么就有可能被恢复成默认值(即清除配置了),建议配置先保存一份,不不需要AP虚拟化的时候,好恢复回去。