实验环境:
说明:
1.Cloud1桥接到本机的vm8(192.1618.18.0/24)网卡,实现本机利用WEB页面管理AC1的目的。
2.vlanif1:AC与AP之间建立CAPWAP隧道;
vlanif172:客户流量访问公网的地址。
实验步骤:
1.配置AC1 GE0/0/1接口的IP地址。(AC1相当于三层交换机,接口先绑定vlan,再配置SVI地址)
[AC1]interface Vlanif 1
[AC1-Vlanif1]ip address 192.168.18.100 24
[AC1-Vlanif1]quit
测试连通性:
2.AC1开启HTTP服务,使本机访问AC的WEB页面。
3.使用本机登录AC1。默认用户名:admin,默认密码:[email protected],第一次登录AC会引导重新设置密码。
4.修改密码之后,AC首页面如下:
5.维护-->AC维护-->服务管理-->系统管理-->启动telnet
维护-->AC维护-->服务管理-->管理员-->admin-->勾选telnet
6.配置SW1的管理VLAN的地址:
[SW1]interface vlanif 1
[SW1-Vlanif1]ip address 192.168.18.250 24
[SW1-Vlanif1]quit
测试连通性:
7.在SW1上创建环回口0,模拟公网。
[SW1]interface LoopBack 0
[SW1-LoopBack0]ip address 8.8.8.8 32
[SW1-LoopBack0]quit
8.在SW1上配置vlanif172的地址,该地址为用户上网的网关地址。
[SW1]vlan 172
[SW1-vlan172]quit
[SW1]interface Vlanif 172
[SW1-Vlanif172]ip address 172.16.1.1 24
[SW1-Vlanif172]quit
9.AC通过vlan1给AP下发管理地址,AP连接的用户使用vlanif172的地址访问公网,所以交换机划trunk接口
[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[SW1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/3
[SW1-GigabitEthernet0/0/3]port link-type trunk
[SW1-GigabitEthernet0/0/3]port trunk allow-pass vlan all
[SW1-GigabitEthernet0/0/3]interface GigabitEthernet 0/0/4
[SW1-GigabitEthernet0/0/4]port link-type trunk
[SW1-GigabitEthernet0/0/4]port trunk allow-pass vlan all
[SW1-GigabitEthernet0/0/4]quit
10.使用WEB页面在AC上配置vlan,地址等信息。
配置-->AC配置-->vlan-->新建-->
测试:
诊断-->诊断工具-->ping
AC1和交换机SW1的这一段已经可以正常通信,AC现在能否访问8.8.8.8这个公网呢?
11.配置-->AC配置-->IP-->路由-->新建-->
第四步的下一条:可以选172.16.1.1,也可以选192.168.18.250
12.配置-->AP配置-->AP组配置-->新建
13.配置-->AC配置-->IP配置-->DHCP地址池-->开启DHCP-->新建-->
厂商自定义:通过optiuon43获得AC的IP地址,使AP向AC发送发现请求。
14.查看AP1和AP2通过AC配置的DHCP获得的IP地址。
15.类似的做法,再做一个给用户上网使用的DHCP地址池office。地址池使用接口为vlanif172
16.此时,通过抓取AP1的GE0/0/1口的包,可以发现:
AP与AC正在进行CAPWAP隧道的建立-Discovery
AP使用AC发现机制来获取哪些AC是可用的,决定与最佳AC来建立CAPWAP的连接。
(AP的发现过程是可选的,如果AP上已经静态配置;额AC,那么就不需要完成AC的发现过程)
AP启动CAPWAP协议的发现机制,以单播的形式发送发现请求报文试图关联AC,AC收到AP的discovery requsest以后,会发送一个单播discover response给AP,AP可以通过discover reponse中所带的AC优先级或者AC上当前连接AP的个数等,确定与哪个AC建立回话。
17.配置-->AP配置-->模板管理-->域管理模板-->新建-->office
点击确定之后,如果一直在加载的情况下,直接刷新页面就好,此时的配置已经可以再命令行中查看刚才新建的模板:
18.配置-->AC配置-->基本配置-->AC基本信息-->添加AC源地址
19.选择两台AP的MAC地址,进行认证
20.抓包分析
21.
22.配置-->AP配置-->模板管理-->无线业务-->VAP模板-->新建office模板(模拟器不可以实现),下面使用命令行:
[AC1]wlan
[AC1-wlan-view]vap-profile name office-vap
[AC1-wlan-vap-prof-office-vap]service-vlan vlan-id 172
创建名为office-vap的模板,业务vlan为172
23.使用命令行创建SSID模板:
[AC1]wlan
[AC1-wlan-view]ssid-profile name office-ssid
[AC1-wlan-ssid-prof-office-ssid]ssid office
24.VAP模板关联SSID模板
[AC1]wlan
[AC1-wlan-view]vap-profile name office-vap
[AC1-wlan-vap-prof-office-vap]ssid-profile office-ssid
25.添加VAP模板
可以看到2.4G和5G的信号已经发射出来
26.测试STA1是否可以连接SSID名为office的无线
信道1:2.4G,信道5:5G
查看STA1获取的IP地址:
查看Cellphone1获取的IP地址:
测试两台PC之间的连接:
测试PC访问公网:
27.套用安全模板:
[AC1]wlan
[AC1-wlan-view]security-profile name office-sec
[AC1-wlan-sec-prof-office-sec]security wpa2 psk pass-phrase 12345678 aes
uppercase letters A to Z, digits, and special characters. Continue? [Y/N]:y
[AC1-wlan-sec-prof-office-sec]quit
[AC1-wlan-view]vap-profile name office-vap
[AC1-wlan-vap-prof-office-vap]security-profile office-sec
Warning: This action may cause service interruption. Continue?[Y/N]y
<AC1>save
关联安全模板之后,两台PC已断开连接,需要手动输入officd无线的密码即可再次访问公网
28
测试:
连接同一AC的两个AP之间的无线漫游
两个区域的不重复认证
注:
CAPWAP隧道的建立--DHCP
Discovery
Offer
Request
Ack
CAPWAP隧道建立--Discovery
AP使用AC发现机制来获取哪些AC是可用的,决定与最佳AC来建立CAPWAP的连接。
(AP的发现过程是可选的,如果AP上已经静态配置;额AC,那么就不需要完成AC的发现过程)
AP启动CAPWAP协议的发现机制,以单播的形式发送发现请求报文试图关联AC,AC收到AP的discovery requsest以后,会发送一个单播discover response给AP,AP可以通过discover reponse中所带的AC优先级或者AC上当前连接AP的个数等,确定与哪个AC建立回话。
CAPWAP隧道建立--DTLS(可选,加密用的)
DTLS握手:AP根据此IP地址与AC协商,AP收到响应消息后开始与AC建立CAPWAP隧道,这个阶段可以选择CAPWAP隧道是否采用DTLS加密传输UDP报文。
DTLS:数据报传输层安全协议
CAPWAP隧道建立--Join:
在完成DTLS握手之后,AC与AP开始建立控制通道,在建立控制的交互过程中,AC回应的Join reponse报文中会携带用户配置的升级版本号,握手报文间隔/超时时间,控制报文优先级等信息。
AC会检查AP的当前版本:
如果AP的版本无法与AC要求的相匹配时,AP和AC会进入Image Data状态进行固件升级,以此来更新AP的版本,AP在软件版本更新完成后重新启动,重复进行AC发现、建立CAPWAP隧道,加入的过程。
如果AP的版本符合要求,则进入configuration状态
CAPWAP隧道建立--configure
为了做AP的现有配置和AC设定配置的匹配检查,AP发送configuration request到AC,该信息中包含现有的AP配置,当AP当前的配置与AC要求不符时,AC会通过configuration reponse通知AP。
CAPWAP隧道维护--Run(Data)
AP发送keeplive到AC,AC收到keeplive后表示数据隧道建立,AC回应keeplive,AP进入normal状态,开始工作。
CAPWAP隧道维护--Run(Control)
AP接入控制的流程: