14.WLAN基础
文章发布时间:
最后更新时间:
页面浏览: 加载中...
最后更新时间:
页面浏览: 加载中...
组网概念
二层组网:
AP 与 AC 处于相同的广播域中,可以通过二层广播的方式进行连接(一般相同 VLAN 和相同网段)
适合于中小型的网络,AP 数量较少三层组网:
AP 与 AC 处于三层网络(一般隔离广播域或者地理位置,需要通过路由器或交换设备三层互联)
AP 与 AC 之间需要通过可达的单播路由传递数据(跨 VLAN 和不同网段的组网)
适合于大型组网,AP 数量较多且分布在不同的接入交换设备上直通连接
AC 在数据的转发路径上(参与数据转发)旁挂连接
AC 不参与数据转发,连接在核心或汇聚交换机上,只提供 AP 管理和用户信息认证等功能
工作过程
1. AP 与 AC 建立 CAPWAP 隧道
隧道用于 AC 与 AP 之间传输控制信息(配置命令、状态检测报文、用户上线等信息)
也可以通过隧道转发的方式,由 AP 与 AC 之间的隧道转发用户数据
1. AP 设备需要先通过 DHCP 服务器或者 IP 地址信息
(在 AP 接入的交换机上配置 DHCP 地址池)
配置命令:(接入交换设备)
- 开启 DHCP 服务
1
dhcp enable
- 配置地址池(全局接口)
1
2
3
4
5vlan 10 // 创建管理 VLAN 10
interface VLANIF 10
ip address 192.168.10.254 24 // 网关地址及地址池范围
dhcp select interface // 开启接口地址池模式
dhcp server excluded-ip-address 192.168.10.100 (排除 AC 设备的 IP 地址)
2. 交换机连接 AP 的接口需要放行相关 VLAN,保证接入的 AP 设备能够获取到 IP 地址
(如:DHCP 服务器在 VLANIF 10,交换机的接口需要放行 VLAN 10 并且配置 PVID 10)
配置命令:进入(LSW 与 AP 连接的接口)
- 进入接口
1
interface G0/0/X
- 放行 VLAN 以及配置 PVID
1
2
3
4port link-type trunk
port trunk allow-pass vlan 10 (允许管理 VLAN 通,让 AP 获取 IP 地址)
port trunk pvid vlan 10 // 因为 AP 发出的数据帧不带标签,需要向 VLANIF 10 获取 IP 地址,必须添加 VLAN 10 的标签
(收到一个不带标签的数据帧,设备会根据 PVID 打上标签)
- 查看:在 AP 设备上
1
display ip interface brief // 查看 AP 是否获取到 IP 地址(如果没有检测以上的配置命令,如果配置无误,则重启 AP)
3. AC 设备需要手工配置 IP 地址(如:二层组网)则在 VLANIF 10 中配置相同网段的 IP 地址并且AC、交换机以及与 AP 互联的端口都要放行 VLAN 10(保障 AP 能与 AC 通信)
配置命令:(AC)
- 创建通信接口
1
2
3vlan 10
interface vlanif 10
192.168.10.100 24 // 在 AC 上配置 VLAN 及 IP 地址 - 进入 AC 与 LSW 互联的接口,放行 VLAN 10
1
2
3interface G0/0/X
port link-type trunk
port trunk allow-pass vlan 10 (允许管理 VLAN 10 通过,使得 AC 与 AP 能够通信) - 进入 LSW 与 AC 互联的接口,反向也需要放行 VLAN 10
1
2
3interface G0/0/X
port link-type trunk
port trunk allow-pass vlan 10 (允许管理 VLAN 10 通过,使得 AC 与 AP 能够通信)
- 测试:使用 AP ping AC,或 AC ping AP 能通信即可,如果无法通信,检测接口的 VLAN 是否放行
4. AC 设备设置 CAPWAP 的隧道源 IP 地址(或者接口)用于 AC 与 AP 之间通信
配置命令:(AC)
1.
1 |
|
- AP 上线(AC 需要对 AP 的身份做认证,默认为:MAC 认证)
1
2wlan // 进入 WLAN 视图
ap-id 1 ap-mac XXXX-XXXX-XXXX // 把 AP 的 MAC 地址绑定到 AP-ID 1 中
- 查看 AP 是否上线,AC 上
1
display ap all // 状态为 nor(代表上线成功)
2. AC 可以通过 VAP 的配置,向 AP 下发配置命令和控制信息
AC 下发配置信息
- 进入 WLAN 配置(服务集、安全、VAP 模板)
1
2
3wlan
ssid-profile name A // 进入 WLAN 视图,创建 SSID 模板(A)
ssid Offiec // 设置服务集名称(Offiec) - 设置安全模板
1
2security-profile name A // 创建安全模板,名称:A
security wpa2 psk pass-phrase 12345678 aes // 密码为:12345678 使用 wpa2 认证,aes 加密 - 绑定模板到 VAP 中
1
2
3
4vap-profile name A // 创建 VAP 模板,名称 A
service-vlan vlan-id 20 // 指定服务 VLAN(与管理 VLAN 隔离,默认使用管理 VLAN 分配 IP 地址)
ssid-profile A // 把 Office 和密码 12345678 绑定在 VAP A 中
security-profile A - 调用 VAP
1
2ap-id 1 // 进入 AP 1 设备
vap-profile A wlan 1 radio 0 // 调用 VAP A,使用 WLAN ID=1,频道为:2.4GHZ(1和2都为 5GHZ)
- 如果出现信号圈,代表配置完成,否则查看以上配置是否缺漏,或者存在错误
三层组网(AC 与 AP 处于不同网段,中大型的组网配置)
1. 交换设备创建 VLAN(分别为业务 VLAN、管理 VLAN)
管理 VLAN:200(给 AP 分配 IP 地址)
- 业务 VLAN:10、20、30(给终端用户分配 IP 地址)
配置命令:1
vlan batch 10 20 30 200 // 创建管理 VLAN 和相关的业务 VLAN
- 配置地址池
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17vlan pool vlan10
network 192.168.10.0 mask 24
gateway-list 192.168.10.254
vlan pool vlan20
network 192.168.20.0 mask 24
gateway-list 192.168.20.254
vlan pool vlan30
network 192.168.30.0 mask 24 // 分别创建 3 个业务地址池
gateway-list 192.168.30.254 // 指定网关地址
vlan pool vlan200
network 200.1.1.0 mask 24 // 创建业务地址池
gateway-list 200.1.1.254 // 指定网关地址
option 43 sub-option 1 ip-address 100.1.1.1 // 配置选项字段 43(指定 AC 设备的 IP 地址,通过单播方式访问)
默认采用广播,但不同 VLAN 的设备无法广播互访,所以需要手工指定 AC 的 IP 地址
交换设备需要配置三层网关接口
1 |
|
2. 交换设备的接口需要放行 VLAN
- 进入 LSW 与 AP 互联的接口AP 设备上使用
1
2
3
4interface G0/0/X
port link-type trunk
port trunk allow-pass vlan 10 20 30 200 // 配置为 Trunk 接口,并放行相关的管理 VLAN 和业务 VLAN
port trunk pvid vlan 200 // 配置 PVID 使得 AP 能够通过 VLANIF 200 获取 IP 地址1
display ip interface brief // 查看 AP 设备是否获取到 IP 地址即可
3. AC 与 AP 可以实现互通
- AC 设备上配置 IP 地址
1
2
3vlan 100
interface Vlanif100
ip address 100.1.1.1 24 // 设置 AC 的通信地址 - AC 接口需要放行 VLAN
1
2
3
4interface G0/0/X // 进入 AC 与交换机互联的接口
port link-type trunk
port trunk allow-pass vlan 10 20 30 100 // 需要放行业务 VLAN 和通信 VLAN
(业务 VLAN 提前放行,用于后续配置 VLAN POOL) - 交换设备与 AC 互联的接口也需要放行 VLAN,并且配置相同网段的地址
1
2
3vlan 100
interface Vlanif100
ip address 100.1.1.254 24 // 设置交换设备与 AC 通信的地址
- 接口需要放行 VLAN
1
2
3interface G0/0/X // 进入 AC 与交换机互联的接口
port link-type trunk
port trunk allow-pass vlan 10 20 30 100 // 需要放行业务 VLAN 和通信 VLAN
- AC 需要配置路由条目访问 AP配置完成后,可以在 AP 或者 AC 上 ping 对方进行测试
1
ip route-static 200.1.1.0 24 100.1.1.254 // 访问 AP,下一跳指定为:LSW 的接口 IP 地址
4. AP 注册上线
- AC 设备上,需要指定 CAPWAP 隧道源的 IP 地址
1
capwap source ip-address 100.1.1.1
- AC 设备还需要根据 AP 的 MAC 来进行注册(AC 配置)配置完成后,在 AC 上使用
1
2
3wlan // 进入 WLAN 视图
ap-id 1 ap-mac XXXX-XXXX-XXXX // 把 AP 的 MAC 地址绑定到 AP-ID 中
``` (进入 AP 使用:display interface vlanif 可以获取 AP 的 MAC 地址)1
display ap all // AP 的状态为 nor 代表上线成功
5. 配置 AC 的业务
- AC 设备需要把服务 VLAN 划入到 VLAN POOL 中
1
2
3vlan batch 10 20 30 // 创建 VLAN(10、20、30)业务 VLAN
vlan pool A // 创建 VLAN 池,名称:A
vlan 10 20 30 // VLAN 池包含的服务 VLAN 有(10、20、30) - 进入 WLAN 视图,创建三个模板(SSID、安全、VAP)
1
2
3
4
5
6
7
8
9
10
11
12ssid-profile name A // 创建 SSID 模板
ssid office // 设置 SSID 名称(wifi 信号覆盖范围标识)office
(quit 返回 WLAN 视图,创建下一个模板)
security-profile name A // 设置安全模板,名称:A
security wpa2 psk pass-phrase 12345678 aes // 设置 WPA2 认证,AES 加密的密码,密码:12345678
(quit 返回 WLAN 视图,创建下一个模板)
vap-profile name A // 创建 VAP 模板,名称:A
service-vlan vlan-pool A // 使用服务 VLAN POOL A(10、20、30)
ssid-profile A // 使用的 SSID 名称:office
security-profile A // 使用密码:12345678 - 返回 WLAN 视图,绑定 VAP 到 AP 设备上如果出现相关的信号圈,则代表配置成功
1
2
3ap-id 1
vap-profile A wlan 1 radio 0 // 进入 AP-ID 1,调用 VAP 模板:A,使用 wlan 编号 1(radio 0 代表 2.4GHz)
(1 和 2 则为 5GHz)
6. 如果需要配置漫游,则额外添加一个 AP 设备,并参考一下配置
交换设备与新的 AP 互联接口,需要放行 VLAN
- 进入 LSW 与 AP 互联的接口
1
2
3
4interface G0/0/X
port link-type trunk
port trunk allow-pass vlan 10 20 30 200 // 配置为 Trunk 接口,并放行相关的管理 VLAN 和业务 VLAN
port trunk pvid vlan 200 // 配置 PVID 使得 AP 能够通过 VLANIF 200 获取 IP 地址 - AC 上配置(AP 上线)
AP 上线(AC 需要对 AP 的身份做认证,默认为:MAC 认证)1
2
3
4wlan // 进入 WLAN 视图
ap-id 2 ap-mac XXXX-XXXX-XXXX // 把 AP 的 MAC 地址绑定到 AP-ID 2 中(更换 AP ID 为 2)
MAC 地址为新接入 AP 的 MAC
查看 AP 是否上线,AC 上 display ap all // 状态为 nor(代表上线成功) - 新 AP 调用相同的模板出现信号圈代表上线成功和配置成功
1
2ap-id 2
vap-profile A wlan 2 radio 0 // 进入 AP-ID 2,调用 VAP 模板:A,使用 wlan 编号 2(radio 0 代表 2.4GHz) (1 和 2 则为 5GHz)
测试漫游 STA 接入 AP 后,
ping 网关 -t // ping 地址 -t 会一直进行访问,访问时,把 STA 在不同的 AP 覆盖范围内移动,查看数据是否中断
``` (一般 1-2 个数据包,或不中断代表漫游成功)