WLAN简介
概念
1、WLAN概念:
1)即WirelessLAN(无线局域网),是指通过无线技术构建的无线局域网络。
2、WLAN的分类
1)WPAN (Wireless Personal AreaNetwork):个人无线网络
常用技术有:蓝牙、NFC
2)WLAN (Wireless Local Area Network):无线局域网,
常用技术有:Wi-Fi
3)WWAN (Wireless Wide Area Network):无线广域网,
常用技术有:2G技术:GSM、CDMA、
3G技术: WCDMA、TD-SCDMA、
4G技术:LTE
5G技术:NR
在移动通信中,"G"是"Generation"的缩写 :一代 的意思
- 1G:第一代移动通信,是在20世纪80年代初开始使用的模拟移动电话系统,主要用于语音通信。
- 2G:第二代移动通信,采用数字技术,语音质量好、安全性高,能发短信。
- 3G:第三代移动通信,数据传输速度快,支持包括互联网访问
- 4G:第四代移动通信,数据速度快,延迟低,实现了高质量的视频数据传输和其他高带宽应用。
- 5G:第五代移动通信,超高的数据速度(比4G快10到100倍)和超低的延迟,
支持新的应用和服务,如物联网、自动驾驶车辆、虚拟现实等
2、Wi-Fi技术:802.11
WLAN无线局域网的简称,通过无线电波进行传输数据,使用802.11协议,
目前用的较多的协议标准是:
802.11n (2.4GHz和5GHz)
801.11ac协议,称之为wifi5
802.11ax协议称之为wifi6—2019年
WLAN场景和特点
1)场景
2)特点
WLAN设备
1、AP:Access Point : 无线接入点
1)AP的分类
FAT AP(胖AP)
FIT AP(瘦AP)
云管理AP三种工作模式
2)FAT AP:家用无线路由器
3) FIT AP:适用于大中型企业:
需要配合AC使用,由AC统一管理和配置,需要专业网络工程师部署和管理。
需要配置 用户接入、AP上线、认证、路由、AP管理、安全协议
主要应用于:大中型 企业、高校、行政单位、酒店、机场、高铁站、购物中心、医院 用做无线覆盖用的无线AP
4)云管理:适用于中小型企业:
由云管理平台统一管理和配置,功能丰富,即插即用,对网络维护人员的技能要求低。
主要应用于,家庭,餐馆、连锁超市
2、无线接入控制器 (AC,Access Controller)
统一配置和管理无线AP的设备
3、PoE交换机
1)PoE(Powerover Ethernet,以太网供电)是指通过以太网网络进行供电,
也被称为基于局域网的供电系统PoL(Powerover LAN)或有源以太网
2)PoE允许电功率通过传输数据的线路或空闲线路传输到终端设备。
3)在WLAN网络中,可以通过PoE交换机对AP设备进行供电。
无线术语
AP设备:接入点, 就是无线交换机,用来连接手机和电脑的交换机(类似于家里的无线路由)
POE交换机:可以给无线AP通过网线提供电力支持, 不需要给AP单独配电源
AC控制器:对无线AP进行统一管理的(无线路由器+无线防火墙+上网行为管理)
工作站STA:支持无线联网的终端设备(笔记本,手机,连接无线网卡的台式电脑)
射频信号:可以远距离传输的无线电波 目前主用的 2.4G或5G频段的电磁波
SSID : 说人话就是无线网的名字, 叫服务集标识符
组网方式
1、企业用:AC+POE+瘦AP 架构
有线侧组网(扩展)
1、有线侧组网
1)有线侧组网
什么是CAPWAP隧道:
CAPWAP协议:Control And Provisioning of Wireless Access Points Protocol
名称:无线接入点控制和配置协议
CAPWAP隧道功能:
作用:通过该协议让AC对AP进行管理和配置
即AC通过CAPWAP隧道来实现对AP的集中管理和控制, 配置下发
CAPWAP是基于UDP进行传输的应用层协议
▫CAPWAP协议在传输层运输两种类型的消息:
▪业务数据流量:手机和电脑访问互联网的数据报文,称为数据流量
▪管理流量:AC控制AP的协议报文,称为管理流量
▫CAPWAP数据和控制报文基于不同的UDP端口发送:
▪管理流量端口为UDP端口5246。
▪业务数据流量端口为UDP端口5247。
2、AP和AC间的组网分为:
3、AC的连接方式分为:直连式组网和旁挂式组网
直连模式:
▫AC部署在用户的转发路径上,
▫用户流量要经过AC,AC负载过大,对AC设备的性能要求高
▫AC可能会成为整个无线网络带宽的瓶颈
▫组网简单,实施方便,适用于小企业
旁挂式组网:
▫使用率比较高,适用于大中型企业,扩展性非常好
▫在旁挂式组网中,管理流封装在CAPWAP隧道中传输
数据业务流可以通过CAPWAP数据隧道经AC转发,
也可以不经过AC转发直接转发
无线侧组网(扩展)
1、无线侧组网
基本服务集BSS(Basic Service Set):
▫一个AP所覆盖的范围。
▫在一个BSS的服务区域内,STA(电脑和手机)可以相互通信
▫为了区分BSS,每个BSS都有唯一的BSSID,用AP的MAC地址来做BSSID
BSSID是MAC地址,特别不容易记忆,用SSID来表示
服务集标识符SSID (Service Set Identifier):
▫是无线网络的一个身份标识,无线网的名字
▫为了便于用户区分不同的无线网络,用SSID代替BSSID。
2、虚拟接入点VAP
1)早期的AP只支持1个BSS,如果要在同一空间内部署多个BSS,则需要安放多个AP,这不但增加了成本,还占用了信道资源。为了改善这种状况,现在的AP通常支持创建出多个虚拟AP (Virtual Access Point, VAP)。
2)虚拟接入点VAP:
▫VAP就是在一个物理AP上虚拟出的多个虚拟AP。
▫每一个被虚拟出的AP就是一个VAP。每个VAP提供和物理AP一样的功能。
▫每个VAP对应1个BSS,这样1个物理AP,就可以支持多个BSS,可以设置多个不同的SSID。
VLAN Pool
1)现有网络面临的挑战
▫在无线网络环境下,使用手机或者平板上网很多,无线网络下,用户移动性增强,可能导致某一个区域IP地址请求较多。
▫通过情况下,一个SSID只能对应一个业务VLAN,通常一个VLAN对应一个C类地址池,只有253个可以分发的IP地址,如果在同一个VLAN内,扩大地址池范围,会导致广播报文增多
▫VLAN Pool:就是VLAN池, 就是把多个VLAN放在一个VLAN池子中
2)VLAN Pool的优势
▫VLAN pool配置为无线用户的业务VLAN,实现一个SSID能够同时支持多个业务VLAN。
▫新接入的用户会被动态地分配到VLAN pool中的各个VLAN中,减少了单个VLAN下的用户数,缩小了广播域;同时每个VLAN尽量均匀地分配IP地址,减少了IP地址的浪费。
VLAN Pool 分配方式(扩展)
1)顺序分配算法:把用户按上线顺序依次划分到不同的VLAN中。
2)HASH分配算法:根据用户MAC地址HASH值分配VLAN。
3)华为默认是HASH分配算法
4)两种分配方式的比较:
5)命令:格式
assignment命令用来配置VLAN pool中的VLAN分配算法。
undo assignment命令用来恢复VLAN pool中的VLAN分配算法为缺省值。
[AC6605]vlan pool bangong [AC6605-vlan-pool-bangong]assignment ? even Even //顺序分配 hash Hash //哈希分配 [AC6605-vlan-pool-bangong]assignment even //按照顺序分配
分配VLAN流程(扩展)
1)用户终端从VAP接入,判断VAP是否有绑定VLAN Pool
2)如果该VAP模板绑定了VLANPool,使用VLANPool分配一个VLAN
3)给终端分配一个VLAN
4)终端从VLANPool分配的VLAN上线
VLAN Pool应用 (扩展)
WLAN工作流程-扩展
工作流程
1、AC+POE-FIT AP组网架构:
1)通过AC对AP进行统一的管理,所有的配置都是在AC上进行的
2、工作流程:
1)AP上线:
AP获取IP地址并发现AC,与AC建立连接
说人话:
1)让AP拿到IP地址
2)让AP认识AC —option 43
3) 在AC中创建capwap隧道
4) 把AP的MAC地址填写到AC上,让AC能控制AP
2)WLAN业务配置下发
AC将WLAN业务配置下发到AP
说人话:
1) 在AC中的WLAN下创建域管理配置文件—定义国家码
2) 在AC中的WLAN下创建AP组: 把多个物理AP设备加入一个AP组
3) 在AC中的WLAN下创建SSID配置文件—无线网的名字
4) 在AC中的WLAN下创建安全配置文件—无线网的密码和加密方式
5) 在AC中创建vlan 池,在池子里加入多个vlan
6)在AC中的WLAN下创建VAP配置文件:
在VAP的配置文件中:绑定SSID 模版,绑定安全模版,绑定VLAN池子
7) 在AC中,在将VAP配置文件和AP组的设备进行绑定,并且定义射频的频段
总结:就是把针对无线网的所有配置,下发给AP组的设备
3)STA接入
STA(手机和电脑)搜索到AP发射的无线网名(SSID)并连接上线,接入网络
说人话:手机,电脑,连接无线网
4)WLAN业务数据转发
WLAN网络开始转发业务数据
说人话:手机和电脑开始访问网络
AP上线
只有AP完成上线,AC才能对AP的集中管理和控制,以及业务下发
1、AP的上线步骤:
1)AP获取IP地址
2)AP发现AC 、AC和AP建立CAPWAP隧道
3)AP接入控制
4)AP版本升级—有需要才会升级
5)CAPWAP隧道维持
2、AP必须获得IP地址才能够与AC通信,WLAN网络才能够正常工作
1)AP获取IP地址:通过DHCP方式
3、CAPWAP隧道建立
AC通过CAPWAP隧道来实现对AP的集中管理和控制
CAPWAP隧道建立:两个阶段
1)AP发现AC阶段:Discovery阶段
动态发现:AP通过发送Discovery Request报文,找到可用的AC
AP通过DHCP获取IP地址,并通过DHCP协议中的Option43字段返回AC地址
在DHCP服务器上配置DHCP响应报文中携带Option43
且Option43携带AC的IP地址
2)建立CAPWAP隧道阶段
AP与AC关联,完成CAPWAP隧道建立
3)capwap隧道包括数据隧道和控制隧道:
▫ 数据隧道:转发电脑或手机访问网络时的数据报文的交互(数据流量)
▫ 控制隧道:AP与AC之间的协议报文的交互(管理流量)
4、AP接入控制。
1)AC上支持三种对AP的认证方式:MAC认证、序列号(SN)认证和不认证
2)MAC认证:把AP的MAC地址填写到AC控制器中
5、AP的版本升级
1)AP根据收到的AC的发来的报文中的参数判断当前的系统软件版本是否与AC上指定的一致。 如果不一致,则AP通过发送报文给AC请求软件版本,然后进行版本升级,
2)升级方式包括AC模式:FTP模式:SFTP模式。
在AC上给AP升级方式:
1)自动升级:
主要用于AP还未在AC中上线的场景,通常先配置好AP上线时的自动升级参数,
然后再配置AP接入。AP在之后的上线过程中会自动完成升级。
如果AP已经上线,配置完自动升级参数后,任意方式触发AP重启,AP也会进行自动升级。
但相比于自动升级,使用在线升级方式升级能够减少业务中断的时间。
▪AC模式:AP升级时从AC上下载升级版本,适用于AP数量较少时的场景。
▪FTP模式:AP升级时从FTP服务器上下载升级版本,适用于网络安全性要求不是很高的文件传输场景中,
采用明文传输数据,存在安全隐患。
▪SFTP模式:AP升级时从SFTP服务器上下载升级版本,适用于网络安全性要求高的场景,
对传输数据进行了严格加密和完整性保护。
2)在线升级:主要用于AP已经在AC中上线并已承载了WLAN业务的场景。
3)定时升级:主要用于AP已经在AC中上线并已承载了WLAN业务的场景。
通常指定在网络访问量少的时间段升级。
5、为确保AP能够上线,AC需预先配置如下内容
WLAN业务配置下发
1、AP上线后,首先会主动向AC获取当前配置,
而后统一由AC对AP进行集中管理和业务配置下发
2、方便维护:
1)创建AP组的优势:WLAN网络有大量的AP,为了简化AP的配置步骤可以将AP加入到AP组中,在AP组中统一对AP进行同样的配置
2)针对AP灵活性设置:如果AP组内的某个AP和其他AP需求不同,不便于通过AP组来进行统一配置,这类个性化的需求,可以直接在AP下配置
3)优先级:如果同时对AP和AP组都进行了配置, 针对AP的配置优先级高于针对AP的配置
4)为了方便AC下发配置,设计了各种类型的模板,这些模板统称为WLAN模板。
AP组和AP下都能够引用以下模板: 域管理模板 AP系统模板 射频模板 VAP模板 域管理模板: 国家码用来标识AP射频所在的国家,不同国家码规定了不同的AP射频特性, 包括AP的发送功率、支持的信道等。 配置国家码是为了使AP的射频特性符合不同国家或区域的法律法规要求。
5)VAP模板
SSID模板: 主要用于配置WLAN网络的SSID名称
为了保护无线网的安全性,可以隐藏SSID
安全模板 :配置WLAN安全策略,可以对无线终端进行身份验证,对用户的报文进行加密,
保护WLAN网络和用户的安全。
WLAN安全策略支持开放认证、WEP、WPA/WPA2-PSK、WPA/WPA2-802.1X等
数据转发方式:
1)制报文是通过CAPWAP的控制隧道转发的
2)用户的数据报文分为隧道转发(又称为“集中转发”)方式、直接转发(又称为“本地转发”)方式。
业务VLAN:
业务VLAN配置为单个VLAN时,在接入STA数众多的区域容易出现IP地址资源不足、
而其它区域IP地址资源浪费的情况。
业务VLAN配置为VLAN pool时,可以在VLAN pool中加入多个VLAN,
然后通过将VLAN pool配置为VAP的业务VLAN,实现一个SSID能够同时支持多个业务VLAN。
新接入的STA会被动态的分配到VLAN pool中的各个VLAN中,减少了单个VLAN下的STA数目,
缩小了广播域;同时每个VLAN尽量均匀的分配IP地址,减少了IP地址的浪费。
STA接入
1、STA接入
1)CAPWAP隧道建立完成后,用户就可以接入无线网络
2)STA接入过程分为六个阶段:
扫描阶段
链路认证阶段
关联阶段
接入认证阶段
DHCP
用户认证
2、STA可以通过主动扫描,定期搜索周围的无线网络,获取到周围的无线网络信息
1)携带有指定SSID的主动扫描方式:适用于STA通过主动扫描接入指定的无线网络。
2)携带空SSID的主动扫描方式:适用于STA通过主动扫描可以获知是否存在可使用的无线服务
3、无线接入安全协议
1)WLAN安全提供了WEP、WPA、WPA2等安全策略机制。\
WEP(WiredEquivalent Privacy):安全性低
WPA/WPA2(Wi-Fi Protected Access):安全性高
WPA2采用安全性更高的区块密码锁链
4、STA地址分配
1)STA通常是通过DHCP方式获取IP地址
WLAN业务数据转发
•隧道转发方式:
▫优点:AC集中转发数据报文,安全性好,方便集中管理和控制。
▫缺点:业务数据必须经过AC转发,报文转发效率比直接转发方式低,AC所受压力大。
•直接转发方式:
▫优点:数据报文不需要经过AC转发,报文转发效率高,AC所受压力小。
▫缺点:业务数据不便于集中管理和控制。
WLAN-完整实验
1、拓扑
2、需求:无线终端可以连接无线网络,实现数据互通
3、配置思路
公司部署WLAN,规划了两个AP组
办公组(bangong)的信息:
AP所在的VLAN: vlan 100
STA的VLAN : vlan 101 vlan 102 (笔记电脑所在的vlan)
DHCP服务器的地址: 192.168.210.1/24
DHCP中继的地址: 192.168.100.254 (AP设备网关地址)
192.168.101.254 (笔记本电脑的网关)
192.168.102.254 (笔记本电脑的网关)
AP设备的IP地址的范围: 192.168.100.0/24
笔记本电脑的IP地址的范围:192.168.101.0/24
192.168.102.0/24
AC设备的管理IP地址: 192.168.200.10/24
AC创建的capwap隧道的源接口和源地址:
源接口:vlanif200 (AC上的vlanif200)
源地址:192.168.200.10
AP组:bangong
AP组的设备: AP1和AP2
AP1的名字:bangong1 MAC地址:00e0-fc80-6220
AP2的名字:bangong2 MAC地址:00e0-fcde-7810
AP组绑定的模版:
1、域管理模版:
域管理模版名字:ntd2305
域管理模版作用:定义国家码
2、VAP模版
VAP模版名字:bangong
VAP模版绑定的哪些模版:
1)SSID模版
SSID模版名字:bangong
SSID模版作用:定义无线网名 :bangong
2)安全模版
安全模版的名字:bangong
安全模版的作用:
&:定义无线安全策略:wpa/wpa2
&:定义的无线密钥:psk 口令:a12345678
&:定义的数据加密方式:aes
3)vlan-pool:vlan池子
vlan-pool的名字:bangong
vlan-pool里面的vlan: 103 vlan 104
学习组的射频频段:
radio 0: 2.4GHz :信道 1
radio 1: 5.0GHz :信道 149
学习组(xuexi)的信息:
AP所在的VLAN: vlan 100
STA的VLAN : vlan 103 vlan 104 (笔记电脑所在的vlan)
DHCP服务器的地址: 192.168.210.1/24
DHCP中继的地址:192.168.100.254 (AP设备网关地址)
192.168.103.254 (笔记本电脑的网关)
192.168.104.254 (笔记本电脑的网关)
AP设备的IP地址的范围: 192.168.100.0/24
笔记本电脑的IP地址的范围:192.168.103.0/24
192.168.104.0/24
AC设备的管理IP地址: 192.168.200.10/24
AC创建的capwap隧道的源接口和源地址:
源接口:vlanif200 (AC上的vlanif200)
源地址:192.168.200.10
AP组:xuexi
AP组的设备: AP3和AP4
AP3的名字:xuexi1 MAC地址:00e0-fcd7-7ac0
AP4的名字:xuexi2 MAC地址:00e0-fc82-5580
AP组绑定的模版:
1、域管理模版:
域管理模版名字:ntd2305
域管理模版作用:定义国家码
2、VAP模版
VAP模版名字:xuexi
VAP模版绑定的哪些模版:
1)SSID模版
SSID模版名字:xuexi
SSID模版作用:定义无线网名 :xuexi
2)安全模版
安全模版的名字:xuexi
安全模版的作用:
&:定义无线安全策略:wpa/wpa2
&:定义的无线密钥:psk 口令:a12345678
&:定义的数据加密方式:aes
3)vlan-pool:vlan池子
vlan-pool的名字:xuexi
vlan-pool里面的vlan: 103 vlan 104
学习组的射频频段:
radio 0: 2.4GHz :信道 1
radio 1: 5.0GHz :信道 149
4、配置命令:
第一步:基础配置:让AP可以通过DHCP获取IP地址
1)汇聚交换机创建vlan, 配置端口角色
[Huawei]sys hj-sw1
[hj-sw1]vlan batch 100 101 102 103 104 200 210
[hj-sw1]port-group group-member g0/0/1 to g0/0/5
[hj-sw1-port-group]port link-type trunk
[hj-sw1-port-group]port trunk allow-pass vlan all
2)核心交换机创建vlan, 配置端口角色
[hx-sw2]vlan batch 100 101 102 103 104 200 210
[hx-sw2]int g0/0/2
[hx-sw2-GigabitEthernet0/0/2]port link-type trunk
[hx-sw2-GigabitEthernet0/0/2]port trunk allow-pass vlan all
[hx-sw2-GigabitEthernet0/0/2]quit
[hx-sw2]int g0/0/1
[hx-sw2-GigabitEthernet0/0/1]port link-type access
[hx-sw2-GigabitEthernet0/0/1]port default vlan 210
[hx-sw2-GigabitEthernet0/0/1]int g0/0/10
[hx-sw2-GigabitEthernet0/0/10]port link-type access
[hx-sw2-GigabitEthernet0/0/10]port default vlan 200
3)DHCP-R1配置DHCP功能,配置IP地址池
[R1-dhcp]dhcp enable
[R1-dhcp]ip pool vlan100
[R1-dhcp-ip-pool-vlan100]network 192.168.100.0 mask 24
[R1-dhcp-ip-pool-vlan100]gateway-list 192.168.100.254
[R1-dhcp-ip-pool-vlan100]dns-list 8.8.8.8
[R1-dhcp-ip-pool-vlan100]ip pool vlan101
[R1-dhcp-ip-pool-vlan101]network 192.168.101.0 mask 24
[R1-dhcp-ip-pool-vlan101]gateway-list 192.168.101.254
[R1-dhcp-ip-pool-vlan101]dns-list 8.8.8.8
[R1-dhcp-ip-pool-vlan101]ip pool vlan102
[R1-dhcp-ip-pool-vlan102]network 192.168.102.0 mask 24
[R1-dhcp-ip-pool-vlan102]gateway-list 192.168.102.254
[R1-dhcp-ip-pool-vlan102]dns-list 8.8.8.8
[R1-dhcp-ip-pool-vlan102]ip pool vlan103
[R1-dhcp-ip-pool-vlan103]network 192.168.103.0 mask 24
[R1-dhcp-ip-pool-vlan103]gateway-list 192.168.103.254
[R1-dhcp-ip-pool-vlan103]dns-list 8.8.8.8
[R1-dhcp-ip-pool-vlan103]ip pool vlan104
[R1-dhcp-ip-pool-vlan104]network 192.168.104.0 mask 24
[R1-dhcp-ip-pool-vlan104]gateway-list 192.168.104.254
[R1-dhcp-ip-pool-vlan104]dns-list 8.8.8.8
[R1-dhcp-ip-pool-vlan104]quit
[R1-dhcp]int g0/0/0
[R1-dhcp-GigabitEthernet0/0/0]ip add 192.168.210.1 24
[R1-dhcp-GigabitEthernet0/0/0] dhcp select global
4)核心交换机SW2配置vlanif 网关地址
[hx-sw2]int vlan 100
[hx-sw2-Vlanif100]ip add 192.168.100.254 24
[hx-sw2-Vlanif100]int vlan 101
[hx-sw2-Vlanif101]ip add 192.168.101.254 24
[hx-sw2-Vlanif101]int vlan102
[hx-sw2-Vlanif102]ip add 192.168.102.254 24
[hx-sw2-Vlanif102]int vlan103
[hx-sw2-Vlanif103]ip add 192.168.103.254 24
[hx-sw2-Vlanif103]int vlan 104
[hx-sw2-Vlanif104]ip add 192.168.104.254 24
[hx-sw2-Vlanif104]int vlan200
[hx-sw2-Vlanif200]ip add 192.168.200.254 24
[hx-sw2-Vlanif200]int vlan210
[hx-sw2-Vlanif210]ip add 192.168.210.254 24
5)核心交换机SW2配置DHCP中继
[hx-sw2]dhcp enable
[hx-sw2]int vlan 100
[hx-sw2-Vlanif100]dhcp select relay
[hx-sw2-Vlanif100]dhcp relay server-ip 192.168.210.1
[hx-sw2-Vlanif100]int vlan 101
[hx-sw2-Vlanif101]dhcp select relay
[hx-sw2-Vlanif101]dhcp relay server-ip 192.168.210.1
[hx-sw2-Vlanif101]int vlan 102
[hx-sw2-Vlanif102]dhcp select relay
[hx-sw2-Vlanif102]dhcp relay server-ip 192.168.210.1
[hx-sw2-Vlanif102]int vlan103
[hx-sw2-Vlanif103]dhcp select relay
[hx-sw2-Vlanif103]dhcp relay server-ip 192.168.210.1
[hx-sw2-Vlanif103]int vlan104
[hx-sw2-Vlanif104]dhcp select relay
[hx-sw2-Vlanif104]dhcp relay server-ip 192.168.210.1
6) DHCP-R1 配置去往中继的回程路由(默认路由)
[R1-dhcp]ip route-static 0.0.0.0 0.0.0.0 192.168.210.254
7)在hj-SW1中修改g0/0/2-g0/0/5的pvid为vlan100
[hj-sw1]port-group group-member g0/0/2 to g0/0/5
[hj-sw1-port-group]port trunk pvid vlan 100
备注:修改接口的pvid的目的是:
让AP和核心交换机中的网关地址-DHCP中继地址(192.168.100.254)能够通信
AP和DHCP中继能够互通后,AP发送的DHCP发现报文才能被中继设备转发给DHCP服务器
AP才可以获取到IP地址
验证:验证AP是否能够获取IP地址
<Huawei>dis system-information //在AP中验证是否获取IP地址
System Information
===============================================
Serial Number : 21023544831070413239 :SN码
System Name : Huawei :系统名字(华为的设备)
Country Code : US :国家代码:US (美国)
MAC Address : 00:e0:fc:80:62:20 :MAC地址
Radio 0 MAC Address : 00:00:00:00:00:00 :射频信号频段 2.4GHz
Radio 1 MAC Address : 00:00:00:00:00:10 : 射频信号频段 5GHz
IP Address : 192.168.100.252 :成功从dhcp 获取IP地址
Subnet Mask : 255.255.255.0
Default Gateway : 192.168.100.254
<Huawei>display ip int brief //查看vlanif 的接口IP地址
<R1-dhcp>display ip pool name vlan100 used //在dhcp 服务器上验证
Pool-name : vlan100
-----------------------------------------------------------------------------
Start End Total Used Idle(Expired) Conflict Disable
-----------------------------------------------------------------------------
192.168.100.1 192.168.100.254 253 4 249(0) 0 0
-----------------------------------------------------------------------------
Network section :
--------------------------------------------------------------------------
Index IP MAC Lease Status
--------------------------------------------------------------------------
249 192.168.100.250 00e0-fc82-5580 158 Used
250 192.168.100.251 00e0-fcde-7810 158 Used
251 192.168.100.252 00e0-fc80-6220 159 Used
252 192.168.100.253 00e0-fcd7-7ac0 161 Used
<hx-sw2>display arp all //在核心上查看ARP表
第二步:配置AP上线 : 在AC和AP之间建立capwap隧道
1)在AC中创建vlan200 并且把g0/0/10加入vlan200, 改为access
[AC6605]vlan 200
[AC6605-vlan200]quit
[AC6605]int vlan 200
[AC6605-Vlanif200]ip add 192.168.200.10 24
[AC6605-Vlanif200]int g0/0/10
[AC6605-GigabitEthernet0/0/10]port link-type access
[AC6605-GigabitEthernet0/0/10]port default vlan 200
2)在AC中配置默认路由,能够实现和AP互联互通
[AC6605]ip route-static 0.0.0.0 0.0.0.0 192.168.200.254
备注:让AC可以和不同网段的AP实现互联互通
3)在DHCP服务中配置dhcp option 43:让AP知道AC的管理地址
[R1-dhcp]
[R1-dhcp]ip pool vlan100
[R1-dhcp-ip-pool-vlan100]option 43 sub-option 1 ip-address 192.168.200.10
备注:修改完option 43后,记得重启一下所有的AP设备
备注:AC要统一管理几百台AP设备,AP和AC之间的协议报文-管理流量要实现交互
所以AP和AC要建立capwap 隧道, 所以AP必须知道AC的管理IP地址
但是AP不清楚AC的管理IP地址是多少,所以就要让DHCP服务器告诉所有的AP
为什么要选择DHCP服务器呢,因为每一台AP开机的时候,都要从DHCP哪里获取IP地址
DHCP怎么告诉AP,AC的管理IP地址呢?
利用dhcp报文中,option 43 字段,下发AC的管理IP地址,给AP
option 43 的编码方式,默认是3种 (option 43只针对IPv4地址)
1)ascll : ascll编码,优势:标点符号也可以编进去,可以连续写多个IP地址
2)hex: 16进制,要把IP地址改成16进制数,填写
3)ip-address :10进制,把IP地址填写进去
通过抓包:获取dhcp报文中option 43的值
01:04:c0:a8:c8:0a
备注: c0:a8:c8:0a 16进制数翻译为ipv4地址为 :192.168.200.10
4) 在AC中配置capwap 隧道 --在AC和AP之间建立隧道
[AC6605]capwap source ip-address 192.168.200.10
备注:创建capwap 隧道,指定隧道的源地址为AC的管理IP:192.168.200.10
=========================================
备注:可以定义源接口,也可以定义源IP地址 :两条命令
capwap source ip-address 192.168.200.10
capwap source interface vlanif 200
=========================================
5)在AC中填写AP的MAC地址,让AC知道AP的存在
[AC6605]wlan
[AC6605-wlan-view]ap-id 1 ap-mac 00e0-fc80-6220
[AC6605-wlan-ap-1]ap-id 2 ap-mac 00e0-fcde-7810
[AC6605-wlan-ap-2]ap-id 3 ap-mac 00e0-fcd7-7ac0
[AC6605-wlan-ap-3]ap-id 4 ap-mac 00e0-fc82-5580
验证:
[AC6605]ping 192.168.200.254
[AC6605]ping 192.168.100.253
[AC6605]ping 192.168.100.252
[AC6605]ping 192.168.100.251
[AC6605]ping 192.168.100.250
[AC6605] dis ap all //AC上查看ap注册信息
=========================================================================
排错方法:
1.检查AC能否ping通AP1 ---检查网络是否通
2.检查option参数 ---去dhcp服务器中ip pool 100中检查 option 是否配置
3.检查capwap隧道地址 --在AC中,检查capwap 隧道是否配置
4.重启ap --等待3分钟,看是否上线,如果不上线,重启ap
6)验证AP是否上线
[AC6605]dis ap all
--------------------------------------------------------------------------------
ID MAC Name Group IP Type State
--------------------------------------------------------------------------------
1 00e0-fc80-6220 00e0-fc80-6220 default 192.168.100.253 AP6050DN nor
2 00e0-fcde-7810 00e0-fcde-7810 default 192.168.100.252 AP6050DN nor
3 00e0-fcd7-7ac0 00e0-fcd7-7ac0 default 192.168.100.250 AP6050DN nor
4 00e0-fc82-5580 00e0-fc82-5580 default 192.168.100.251 AP6050DN nor
--------------------------------------------------------------------------------
第三步:AC下发配置给AP
1)创建域管理配置文件-绑定国家码
[AC6605]wlan //配置wlan
[AC6605-wlan-view]regulatory-domain-profile name ntd2305 //创建域管理模版
[AC6605-wlan-regulate-domain-ntd2305]country-code cn //配置国家码
[AC6605-wlan-regulate-domain-ntd2305]quit
2)创建AP组-绑定域管理配置文件
[AC6605]wlan //配置wlan
[AC6605-wlan-view]ap-group name bangong //创建ap组,命名为bangong
[AC6605-wlan-ap-group-bangong]regulatory-domain-profile ntd2305 //绑定域管理模版
[AC6605-wlan-ap-group-bangong]quit
[AC6605-wlan-view]ap-group name xuexi //创建ap组,命名为xuexi
[AC6605-wlan-ap-group-xuexi]regulatory-domain-profile ntd2305 //绑定域管理模版
3)创建AP组,在AP组里添加物理AP设备
[AC6605]wlan
[AC6605-wlan-view]ap-id 1 //配置ap 1
[AC6605-wlan-ap-1]ap-name bangong1 //给ap1 命名为 bangong1
[AC6605-wlan-ap-1]ap-group bangong //把ap1 加入bangong 组
[AC6605-wlan-ap-1]quit
[AC6605-wlan-view]ap-id 2 //配置ap 2
[AC6605-wlan-ap-2]ap-name bangong2 //给ap2 命名为 bangong2
[AC6605-wlan-ap-2]ap-group bangong //把ap2 加入bangong 组
[AC6605-wlan-ap-2]quit
[AC6605-wlan-view]ap-id 3 //配置ap 3
[AC6605-wlan-ap-3]ap-name xuexi1 //给ap3 命名为 xuexi1
[AC6605-wlan-ap-3]ap-group xuexi //把ap3 加入xuexi组
[AC6605-wlan-ap-3]quit
[AC6605-wlan-view]ap-id 4 //配置ap 4
[AC6605-wlan-ap-4]ap-name xuexi2 //给ap4 命名为 xuexi2
[AC6605-wlan-ap-4]ap-group xuexi //把ap4 加入xuexi组
4)验证AP设备是否加入AP组
<AC6605>dis ap-group all
--------------------------------------------------------------------------------
Name APs
--------------------------------------------------------------------------------
bangong 0
default 4
xuexi 0
--------------------------------------------------------------------------------
备注:我们要把4台AP分别放在 bangong 组 和 xuexi组
5)创建SSID模板-定义无线网名
[AC6605]wlan
[AC6605-wlan-view]ssid-profile name bangong //创建ssid模版,命名为bangong
[AC6605-wlan-ssid-prof-bangong]ssid bangong //定义ssid的名字(无线网名)
[AC6605-wlan-ssid-prof-bangong]quit
[AC6605-wlan-view]ssid-profile name xuexi //创建ssid模版,命名为xuexi
[AC6605-wlan-ssid-prof-xuexi]ssid xuexi //定义ssid的名字(无线网名)
6)创建安全模板-定义无线网安全策略 预共享密钥,加密方式
[AC6605]wlan
[AC6605-wlan-view]security-profile name bangong //创建安全模版,命名为bangong
[AC6605-wlan-sec-prof-bangong]security wpa-wpa2 psk pass-phrase a1234567 aes
[AC6605-wlan-sec-prof-bangong]quit
[AC6605-wlan-view]security-profile name xuexi
[AC6605-wlan-sec-prof-xuexi]security wpa-wpa2 psk pass-phrase a12345678 aes
//定义安全策略,定义预共享密钥,定义加密方式
7)创建VLAN池-绑定多个VLAN: 给STA(电脑和手机)用的VLAN
[AC6605]vlan pool bangong //创建vlan池,命名为bangong
[AC6605-vlan-pool-bangong]vlan 101 102 //将vlan 101 102 加入bangong池
[AC6605-vlan-pool-bangong]quit
[AC6605]vlan pool xuexi //创建vlan池,命名为xuexi
[AC6605-vlan-pool-xuexi]vlan 103 104 //将vlan 103 104 加入xuexi池
8)创建VAP模板--绑定VLAN池子, 绑定SSID配置文件, 绑定安全配置文件
[AC6605]wlan
[AC6605-wlan-view]vap-profile name bangong //创建vap模版,命名为bangong
[AC6605-wlan-vap-prof-bangong]ssid-profile bangong //绑定ssid模版
[AC6605-wlan-vap-prof-bangong]security-profile bangong //绑定安全模版
[AC6605-wlan-vap-prof-bangong]service-vlan vlan-pool bangong //绑定vlan池
[AC6605-wlan-vap-prof-bangong]quit
[AC6605-wlan-view]vap-profile name xuexi //创建vap模版,命名为xuexi
[AC6605-wlan-vap-prof-xuexi]ssid-profile xuexi //绑定ssid模版
[AC6605-wlan-vap-prof-xuexi]security-profile xuexi //绑定安全模版
[AC6605-wlan-vap-prof-xuexi]service-vlan vlan-pool xuexi //绑定vlan池
9)将VAP配置文件绑定到AP组,把配置下发给AP组的物理设备
[AC6605]wlan
[AC6605-wlan-view]ap-group name bangong //进入ap组
[AC6605-wlan-ap-group-bangong]vap-profile bangong wlan 1 radio 0
[AC6605-wlan-ap-group-bangong]vap-profile bangong wlan 1 radio 1
[AC6605-wlan-ap-group-bangong]quit
[AC6605-wlan-view]ap-group name xuexi
[AC6605-wlan-ap-group-xuexi]vap-profile xuexi wlan 1 radio 0
[AC6605-wlan-ap-group-xuexi]vap-profile xuexi wlan 1 radio 1
//在ap设备组里绑定vap模版,并且定义射频频段
-指定AP组的射频频段: 2.4GHz 5.0GHz
第四步:笔记本连接无线网:bangong
STA>ipconfig
Link local IPv6 address...........: ::
IPv6 address......................: :: / 128
IPv6 gateway......................: ::
IPv4 address......................: 192.168.101.253
Subnet mask.......................: 255.255.255.0
Gateway...........................: 192.168.101.254
Physical address..................: 54-89-98-A3-6A-D6
DNS server........................: 8.8.8.8
第五步:网络互连互通
显示图:
其他配置信息—仅供了解
1、在AC上添加AP设备(离线导入AP信息): AP的注册方式
[AC6605]wlan
[AC6605-wlan-view]ap auth-mode ?
mac-auth MAC authenticated mode, default authenticated mode :默认是MAC认证
no-auth No authenticated mode :无认证
sn-auth SN authenticated mode :SN码认证
[AC6605-wlan-view]ap auth-mode sn-auth //认证方式改为sn码认证
[AC6605-wlan-view]ap auth-mode mac-auth //认证方式改为MAC认证
2、在VAP模版中,定义数据流量的转发方式
[AC6605]wlan
[AC6605-wlan-view]vap-profile name bangong //进入vap的配置文件
[AC6605-wlan-vap-prof-bangong]forward-mode ?
direct-forward Direct forward :直接转发
softgre Softgre profile :soft 隧道
tunnel Tunnel :capwap 隧道转发
[AC6605-wlan-vap-prof-bangong]forward-mode tunnel //定义为隧道转发
备注:AP和AC之间交互的协议报文,也叫管理流量,必然走capwap 隧道
我们这个配置,定义的STA(电脑和手机)上网的流量,数据报文,数据流量
默认情况下,数据流量直接转发,不走capwap 隧道,如果你想让数据流量走capwap 隧道
你就执行上面的命令,即可,但是通常企业都是执行直接转发
3、修改vlan pool中vlan的分配方式
[AC6605]vlan pool bangong
[AC6605-vlan-pool-bangong]assignment ?
even Even :顺序分配
hash Hash :哈希分配
[AC6605-vlan-pool-bangong]assignment even //修改顺序分配
5283
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
