14.WLAN基础

文章发布时间:

最后更新时间:

页面浏览: 加载中...

组网概念

  1. 二层组网:
    AP 与 AC 处于相同的广播域中,可以通过二层广播的方式进行连接(一般相同 VLAN 和相同网段)
    适合于中小型的网络,AP 数量较少

  2. 三层组网:
    AP 与 AC 处于三层网络(一般隔离广播域或者地理位置,需要通过路由器或交换设备三层互联)
    AP 与 AC 之间需要通过可达的单播路由传递数据(跨 VLAN 和不同网段的组网)
    适合于大型组网,AP 数量较多且分布在不同的接入交换设备上

  3. 直通连接
    AC 在数据的转发路径上(参与数据转发)

  4. 旁挂连接
    AC 不参与数据转发,连接在核心或汇聚交换机上,只提供 AP 管理和用户信息认证等功能

工作过程

1. AP 与 AC 建立 CAPWAP 隧道

隧道用于 AC 与 AP 之间传输控制信息(配置命令、状态检测报文、用户上线等信息)
也可以通过隧道转发的方式,由 AP 与 AC 之间的隧道转发用户数据

1. AP 设备需要先通过 DHCP 服务器或者 IP 地址信息

(在 AP 接入的交换机上配置 DHCP 地址池)

配置命令:(接入交换设备)

  1. 开启 DHCP 服务
    1
    dhcp enable 
  2. 配置地址池(全局接口)
    1
    2
    3
    4
    5
    vlan  10				// 创建管理 VLAN 10
    interface VLANIF 10
    ip address 192.168.10.254 24 // 网关地址及地址池范围
    dhcp select interface // 开启接口地址池模式
    dhcp server excluded-ip-address 192.168.10.100 (排除 AC 设备的 IP 地址)

2. 交换机连接 AP 的接口需要放行相关 VLAN,保证接入的 AP 设备能够获取到 IP 地址

(如:DHCP 服务器在 VLANIF 10,交换机的接口需要放行 VLAN 10 并且配置 PVID 10)

配置命令:进入(LSW 与 AP 连接的接口)

  1. 进入接口
    1
    interface  G0/0/X
  2. 放行 VLAN 以及配置 PVID
    1
    2
    3
    4
    port link-type  trunk
    port trunk allow-pass vlan 10 (允许管理 VLAN 通,让 AP 获取 IP 地址)
    port trunk pvid vlan 10 // 因为 AP 发出的数据帧不带标签,需要向 VLANIF 10 获取 IP 地址,必须添加 VLAN 10 的标签
    (收到一个不带标签的数据帧,设备会根据 PVID 打上标签)
  • 查看:在 AP 设备上
    1
    display  ip  interface  brief   	// 查看 AP 是否获取到 IP 地址(如果没有检测以上的配置命令,如果配置无误,则重启 AP)

3. AC 设备需要手工配置 IP 地址(如:二层组网)则在 VLANIF 10 中配置相同网段的 IP 地址并且AC、交换机以及与 AP 互联的端口都要放行 VLAN 10(保障 AP 能与 AC 通信)

配置命令:(AC)

  1. 创建通信接口
    1
    2
    3
    vlan 10
    interface vlanif 10
    192.168.10.100 24 // 在 AC 上配置 VLAN 及 IP 地址
  2. 进入 AC 与 LSW 互联的接口,放行 VLAN 10
    1
    2
    3
    interface G0/0/X
    port link-type trunk
    port trunk allow-pass vlan 10 (允许管理 VLAN 10 通过,使得 AC 与 AP 能够通信)
  3. 进入 LSW 与 AC 互联的接口,反向也需要放行 VLAN 10
    1
    2
    3
    interface G0/0/X
    port link-type trunk
    port trunk allow-pass vlan 10 (允许管理 VLAN 10 通过,使得 AC 与 AP 能够通信)
  • 测试:使用 AP ping AC,或 AC ping AP 能通信即可,如果无法通信,检测接口的 VLAN 是否放行

4. AC 设备设置 CAPWAP 的隧道源 IP 地址(或者接口)用于 AC 与 AP 之间通信

配置命令:(AC)

1.

1
capwap source ip-address 192.168.10.100	(指定 AC 与 AP 能够互通的 IP 地址)	
  1. AP 上线(AC 需要对 AP 的身份做认证,默认为:MAC 认证)
    1
    2
    wlan						// 进入 WLAN 视图
    ap-id 1 ap-mac XXXX-XXXX-XXXX // 把 AP 的 MAC 地址绑定到 AP-ID 1 中
  • 查看 AP 是否上线,AC 上
    1
    display  ap   all			// 状态为 nor(代表上线成功)

2. AC 可以通过 VAP 的配置,向 AP 下发配置命令和控制信息

AC 下发配置信息

  1. 进入 WLAN 配置(服务集、安全、VAP 模板)
    1
    2
    3
    wlan
    ssid-profile name A // 进入 WLAN 视图,创建 SSID 模板(A)
    ssid Offiec // 设置服务集名称(Offiec)
  2. 设置安全模板
    1
    2
    security-profile name A				// 创建安全模板,名称:A
    security wpa2 psk pass-phrase 12345678 aes // 密码为:12345678 使用 wpa2 认证,aes 加密
  3. 绑定模板到 VAP 中
    1
    2
    3
    4
    vap-profile name A					// 创建 VAP 模板,名称 A
    service-vlan vlan-id 20 // 指定服务 VLAN(与管理 VLAN 隔离,默认使用管理 VLAN 分配 IP 地址)
    ssid-profile A // 把 Office 和密码 12345678 绑定在 VAP A 中
    security-profile A
  4. 调用 VAP
    1
    2
    ap-id  1						// 进入 AP 1 设备
    vap-profile A wlan 1 radio 0 // 调用 VAP A,使用 WLAN ID=1,频道为:2.4GHZ(1和2都为 5GHZ)
  • 如果出现信号圈,代表配置完成,否则查看以上配置是否缺漏,或者存在错误

三层组网(AC 与 AP 处于不同网段,中大型的组网配置)

1. 交换设备创建 VLAN(分别为业务 VLAN、管理 VLAN)

管理 VLAN:200(给 AP 分配 IP 地址)

  1. 业务 VLAN:10、20、30(给终端用户分配 IP 地址)
    配置命令:
    1
    vlan  batch   10   20   30    200			// 创建管理 VLAN 和相关的业务 VLAN
  2. 配置地址池
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    vlan pool vlan10
    network 192.168.10.0 mask 24
    gateway-list 192.168.10.254

    vlan pool vlan20
    network 192.168.20.0 mask 24
    gateway-list 192.168.20.254

    vlan pool vlan30
    network 192.168.30.0 mask 24 // 分别创建 3 个业务地址池
    gateway-list 192.168.30.254 // 指定网关地址

    vlan pool vlan200
    network 200.1.1.0 mask 24 // 创建业务地址池
    gateway-list 200.1.1.254 // 指定网关地址
    option 43 sub-option 1 ip-address 100.1.1.1 // 配置选项字段 43(指定 AC 设备的 IP 地址,通过单播方式访问)
    默认采用广播,但不同 VLAN 的设备无法广播互访,所以需要手工指定 AC 的 IP 地址

交换设备需要配置三层网关接口

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
interface vlanif10
ip address 192.168.10.254 24
dhcp select global // 创建三层接口,调用全局地址池

interface vlanif20
ip address 192.168.20.254 24
dhcp select global

interface vlanif30
ip address 192.168.30.254 24
dhcp select global

interface vlanif200
ip address 200.1.1.254 24
dhcp select global

2. 交换设备的接口需要放行 VLAN

  1. 进入 LSW 与 AP 互联的接口
    1
    2
    3
    4
    interface G0/0/X
    port link-type trunk
    port trunk allow-pass vlan 10 20 30 200 // 配置为 Trunk 接口,并放行相关的管理 VLAN 和业务 VLAN
    port trunk pvid vlan 200 // 配置 PVID 使得 AP 能够通过 VLANIF 200 获取 IP 地址
    AP 设备上使用
    1
    display  ip  interface  brief   		// 查看 AP 设备是否获取到 IP 地址即可

3. AC 与 AP 可以实现互通

  1. AC 设备上配置 IP 地址
    1
    2
    3
    vlan 100
    interface Vlanif100
    ip address 100.1.1.1 24 // 设置 AC 的通信地址
  2. AC 接口需要放行 VLAN
    1
    2
    3
    4
    interface G0/0/X					// 进入 AC 与交换机互联的接口
    port link-type trunk
    port trunk allow-pass vlan 10 20 30 100 // 需要放行业务 VLAN 和通信 VLAN
    (业务 VLAN 提前放行,用于后续配置 VLAN POOL)
  3. 交换设备与 AC 互联的接口也需要放行 VLAN,并且配置相同网段的地址
    1
    2
    3
    vlan 100
    interface Vlanif100
    ip address 100.1.1.254 24 // 设置交换设备与 AC 通信的地址
  • 接口需要放行 VLAN
    1
    2
    3
    interface G0/0/X					// 进入 AC 与交换机互联的接口
    port link-type trunk
    port trunk allow-pass vlan 10 20 30 100 // 需要放行业务 VLAN 和通信 VLAN
  1. AC 需要配置路由条目访问 AP
    1
    ip route-static  200.1.1.0  24  100.1.1.254			// 访问 AP,下一跳指定为:LSW 的接口 IP 地址	
    配置完成后,可以在 AP 或者 AC 上 ping 对方进行测试

4. AP 注册上线

  1. AC 设备上,需要指定 CAPWAP 隧道源的 IP 地址
    1
    capwap source ip-address 100.1.1.1	
  2. AC 设备还需要根据 AP 的 MAC 来进行注册(AC 配置)
    1
    2
    3
    wlan					// 进入 WLAN 视图
    ap-id 1 ap-mac XXXX-XXXX-XXXX // 把 AP 的 MAC 地址绑定到 AP-ID 中
    ``` (进入 AP 使用:display interface vlanif 可以获取 AP 的 MAC 地址)
    配置完成后,在 AC 上使用
    1
    display  ap  all		// AP 的状态为 nor 代表上线成功

5. 配置 AC 的业务

  1. AC 设备需要把服务 VLAN 划入到 VLAN POOL 中
    1
    2
    3
    vlan batch  10 20 30				// 创建 VLAN(10、20、30)业务 VLAN
    vlan pool A // 创建 VLAN 池,名称:A
    vlan 10 20 30 // VLAN 池包含的服务 VLAN 有(10、20、30)
  2. 进入 WLAN 视图,创建三个模板(SSID、安全、VAP)
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    ssid-profile name A				// 创建 SSID 模板
    ssid office // 设置 SSID 名称(wifi 信号覆盖范围标识)office
    (quit 返回 WLAN 视图,创建下一个模板)

    security-profile name A // 设置安全模板,名称:A
    security wpa2 psk pass-phrase 12345678 aes // 设置 WPA2 认证,AES 加密的密码,密码:12345678
    (quit 返回 WLAN 视图,创建下一个模板)

    vap-profile name A // 创建 VAP 模板,名称:A
    service-vlan vlan-pool A // 使用服务 VLAN POOL A(10、20、30)
    ssid-profile A // 使用的 SSID 名称:office
    security-profile A // 使用密码:12345678
  3. 返回 WLAN 视图,绑定 VAP 到 AP 设备上
    1
    2
    3
    ap-id 1
    vap-profile A wlan 1 radio 0 // 进入 AP-ID 1,调用 VAP 模板:A,使用 wlan 编号 1(radio 0 代表 2.4GHz)
    (1 和 2 则为 5GHz)
    如果出现相关的信号圈,则代表配置成功

6. 如果需要配置漫游,则额外添加一个 AP 设备,并参考一下配置

交换设备与新的 AP 互联接口,需要放行 VLAN

  1. 进入 LSW 与 AP 互联的接口
    1
    2
    3
    4
    interface G0/0/X
    port link-type trunk
    port trunk allow-pass vlan 10 20 30 200 // 配置为 Trunk 接口,并放行相关的管理 VLAN 和业务 VLAN
    port trunk pvid vlan 200 // 配置 PVID 使得 AP 能够通过 VLANIF 200 获取 IP 地址
  2. AC 上配置(AP 上线)
    AP 上线(AC 需要对 AP 的身份做认证,默认为:MAC 认证)
    1
    2
    3
    4
    wlan						// 进入 WLAN 视图
    ap-id 2 ap-mac XXXX-XXXX-XXXX // 把 AP 的 MAC 地址绑定到 AP-ID 2 中(更换 AP ID 为 2)
    MAC 地址为新接入 AP 的 MAC
    查看 AP 是否上线,AC 上 display ap all // 状态为 nor(代表上线成功)
  3. 新 AP 调用相同的模板
    1
    2
    ap-id 2
    vap-profile A wlan 2 radio 0 // 进入 AP-ID 2,调用 VAP 模板:A,使用 wlan 编号 2(radio 0 代表 2.4GHz) (1 和 2 则为 5GHz)
    出现信号圈代表上线成功和配置成功
    测试漫游 STA 接入 AP 后,
ping 网关 -t		// ping 地址 -t  会一直进行访问,访问时,把 STA 在不同的 AP 覆盖范围内移动,查看数据是否中断
```						(一般 1-2 个数据包,或不中断代表漫游成功)