目录
规划一个小型无线局域网拓扑图
旁挂式AC无线局域网
根据规划,开始配置拓扑:
将二层设备汇聚交换机和AP划分到vlan 10里,核心交换机和AC划分到vlan 100。
如下图 :
开始配置WLAN无线局域网:
规划IP地址:
核心交换机:
vlanif 10 接口地址:192.168.1.1 /24 //AP的管理地址,vlan10做DHCP中继 (中继作用,下面有介绍)
vlanif 100 接口地址:192.168.100.254 /24 //AC的网关
AC配置
vlanif 100 接口地址: 192.168.100.1 /24 //AC的IP地址(AC的管理地址)
WLAN的配置方法:(一到四为DHCP部分,)
一、汇聚交换机:
两台汇聚交换机配置相同
1、创建vlan 10
vlan 102、将LSW1连接AP的接口用trunk接口划分到vlan 10
int g 0/0/1
port link-type trunk
port trunk pvid vlan 10
port trunk allow-pass vlan 10
int g 0/0/3
port link-type trunk
port trunk pvid vlan 10
port trunk allow-pass vlan 103、然后将汇聚交换机连接核心交换机的接口都使用trunk接口放行vlan 10
int g0/0/2
port link-type trunk
port trunk allow-pass vlan 10
二、核心交换机:
1、创建vlan 10
vlan 102、连接汇聚交换机的接口放行vlan 10
int g 0/0/1
port link-type trunk
port trunk allow-pass vlan 10
int g 0/0/2
port link-type trunk
port trunk allow-pass vlan 103、给vlan 10配置IP地址(int vlan 10 //vlanif虚拟接口里配置)
int vlan 10
ip add 192.168.1.1 244、创建vlan 100,核心交换机与AC连接的接口使用trunk放通vlan 100
vlan 100
int g 0/0/3
port link-type trunk
port trunk allow-pass vlan 1005、给vlan 100配置IP地址:
int vlan 100
ip add 192.168.100.1 24
三、AC配置
AC配置方法与交换机类似,可以把AC当交换机配置
1、AC上创建vlan 100
vlan 1002、进入vlan 100,配置IP地址
int vlan 100
ip add 192.168.100.254 243、AC连接核心交换机的接口使用trunk模式,放行vlan 100
int g0/0/1
port link-type trunk
port trunk allow-pass vlan 100
4、开启DHCP服务
dhcp enable
5、创建地址池,并配置
ip pool ap //将地址池命名为AP,因为这个地址池是给AP分配地址使用的
network 192.168.1.0 mask 24 //可分配的地址范围为192.168.1.0这个网段的地址
gateway-list 192.168.1.1 //不想1.1被分配出去,所以设置为地址池网关6、进入vlan 100里面启用DHCP,地址池分配方式:
int vlan 100 //进入vlanif 100虚拟接口
dhcp select global //地址池分配方式,选择的地址池为接口网关同网段的地址池7、配置缺省路由到核心交换机,下一跳地址
ip rou 0.0.0.0 0 192.168.100.1 //将发出去的数据都往这个接口转发四、进入核心交换机,配置DHCP中继
底部有DHCP中继功能的原理介绍
1、进入核心交换机的vlan 10虚拟接口
int vlan 102、核心交换机开启中继功能,配置DHCP中继服务器地址
dhcp select relay //开启中继功能
dhcp relay server ip 192.168.100.254 //DHCP中继服务器地址为AC的地址3、配置option 43
命令作用:
如果AC与AP间处于不同的网段,AP通过DHCP服务器获取地址后,无法通过广播方式发现AC,此时需要在DHCP服务器上配置option 43字段,在字段内填入AC的IP地址用于通告AP,使AP能够发现AC。
option 43 sub-option 3 ascii 192.168.100.254 //AC的管理地址
配置了中继后,AP需要获取地址时发的广播就会由核心交换机转发给AC,如下图:
核心交换机发送 DHCP Discover报文给AC,也就是中继代理将DHCP请求广播转为单播传给中继服务器 。
然后AP就可以获取到地址了
五、AC配置域管理模板,配置AP上线
1、在AC上创建两个业务vlan (AP给用户分配地址使用的)
业务vlan是给用户获取IP地址使用的,创建好后,AC和核心交换机都要放行业务vlan。
vlan 101 1022、创建vlan池,将业务vlan划分进vlan池,并设置哈希的方式分配。
vlan pool sta-pool //创建vlan池,取名为sta-pool,创建好后会自动进入vlan 池
vlan 101 102 //将业务vlan绑定到vlan池里
assignment hash //通过哈希的方式去分配
注意:AC和核心交换机相互连接的接口需要放通业务vlan
int g 0/0/1
port link-type trunk
port trunk allow-pass vlan 101 102
AC和核心交换机连接AP的接口都要放行业务vlan,这样用户才能获取到业务vlan分配的DHCP地址AC需要放行的vlan,自己的管理vlan 100,和业务vlan 101、102 ,
3、 进入核心交换机,配置业务vlanIP地址,并开启DHCP,并放行业务vlan
dhcp enable //核心交换机开启DHCP功能
int vlan 101 //进入业务vlan
ip add 192.168.101.254 24 //配置IP地址
dhcp select interface //dhcp分配模式为接口模式
int vlan 102
ip add 192.168.102.254 24
dhcp select interface
配置好后在各接口放行业务vlan 101、102
进入各接口
port link-type trunk
port trunk allow-passs vlan 101 102 核心交换机连接AC和AP的接口同样都需要放行业务VLAN101、102
4、回到AC,创建AP组
wlan //进入WLAN视图,系统视图下输入WLAN即可
ap-group name apg-group1 //创建ap组,并取名为ap-group15、 创建域管理模板,设置国家代码为中国
regulatory-domain-profile name default //创建域管理模板,并取名为default
country-code cn //设置国家代码为中国6、进入创建的AP组,在里面应用设置好的域管理模板
regulatory-domain-profile default //AP组应用default这个域管理模板,所有AP成员都遵循这个模板制度。
输入:Y //确认应用此模板7、配置AC的源接口
AC与AP建立capwap隧道使用的接口,AC向AP发送capwap报文的地址,这里使用AC的vlan 100 接口地址。
#系统视图中配置
capwap source interface vlanif 100 //AC发送capwap报文的接口为vlanif 100六、在AC中配置AP认证
1、设置认证方式为mac认证
wlan //进入WLAN接口
ap auth-mode mac-auth //认证方式为mac认证## no-auth不认证,sn-auth序列号做认证
2、给每台AP做认证
mac认证方式需要先获取每台AP的mac地址
dis int vlan 1 //查看AP vlan 1接口的mac地址
ap-id +AP的序号(0~8191)ap-mac +AP的Mac地址 //给AP设置一个id,并输入他的MAC地址,做认证
例:
每台ap都要在ac中配置
ap-id 1 ap-mac 00e0-fc41-0df0 //给ap添加mac认证,
ap-name +名字(例如几楼的ap)[可选配置] //设置认证后就会进入该AP的认证视图,可以给AP设置名称,更好识别这个AP是在哪(做什么的)
quit //退出此台AP认证视图,继续配置下一台AP认证
ap-id 2 ap-mac 00e0-fcc6-3b10
......3、将AP加入AP组
将每台AP加入AP组
#后续配置完成后,如果需要,可以再进入某个AP做配置
ap-id 1 #进入id为1的AP的配置视图中(前提是进入了WLAN视图)
ap-group ap-group1 //将ap1加入名为ap-group1的AP组
输入y确认
ap-id 2 //进入2号ap
ap-group ap-group1 //将ap2加入名为ap-group1的AP组输入y确认
4、查看AP是否正常
将AP上电(开机后),在wlan视图下执行这条命令,查看AP的“State”字段为“nor”,表示AP正常上线
display ap all #查看ap状态信息(在WLAN视图下执行)八、配置WLAN业务
1、创建名为“wlan-net的”安全模板,并配置安全策略
需在AC的wlan视图下配置
security-profile name wlan-net //创建名为“wlan-net”的安全模板
security wpa-wpa2 psk pass-phrase a1234567 aes //安全机制为wpa2,域共享密码为“a1234567”,加密算法为aes
quit2、创建名为“wlan-net”的SSID模板,并配置SSID名称为“wlan-net”
ssid-profile name wlan-net //创建名为wlan-net的SSID模板
ssid wlan-net //设置SSID名称为wlan-net
quit3、创建名为“wlan-net”的VAP模板,配置业务数据转发模式、业务VLAN,并且应用刚刚创建的安全模板和SSID模板
分配到VAP模板里的业务VLAN是给用户接入AP时设备DHCP动态获取IP地址使用的,AP用户组分配到哪个业务VLAN,获取的DHCP地址就是哪个地址池的
下面有手动给VAP分配业务VLAN,也有自动从VLAN池里获取业务VLAN的配置方法
vap-profile name wlan-net //创建VAP模板,名为wlan-net
forward-mode tunnel //转发模式为隧道转发
service-vlan vlan-pool sta-pool //服务vlan在创建的vlan池里自动分配一个vlan
#service-vlan vlan-id 101 //手动分配服务vlan为vlan 101,而不是地址池分配(两种方式可以自选)
security-profile wlan-net //vap关联安全模板wlan-net
ssid-profile wlan-net //vap管理ssid模板wlan-net
quit4、配置AP组,应用VAP模板,AP上射频0和射频1都使用VAP模板“wlan-net”的配置
ap-group name ap-grou1 //进入ap组 ap-grou1
vap-profile wlan-net wlan 1 radio 0 //将VAP模板中的无线业务参数下发到AP组中所有AP成员上,射频0
vap-profile wlan-net wlan 1 radio 1 //两个射频(2.4G和5G的射频都去部署配置上)
quit 九、配置好后重启AP,等待一段时间
AP设备需要从AC中获取IP地址和一系列业务配置,所以准备时间需要比较久,耐心等待。
AP出现信号范围后,表示配置成功
放入可以连接无线的设备,比如笔记本,启动后就会出现两种信道的信号。
信道1是4G的,信道149是5G的。
点击连接,输入密码,笔记本就会通过AP与AC的CAPWAP隧道获取到业务vlan 101和vlan102的地址池中的地址。
十、如果用户需要上外网的配置方式
1、核心交换机、创建vlan300,用作虚拟接口连接外网路由器
vlan 300 //创建vlan 300
int vlan 300 //进入vlanif虚拟接口
ip add 192.168.3.1 24 //给虚拟接口配置IP地址
2、进入路由器
给路由器连接核心交换机接口配置IP地址
int g/0/0
ip add 192.168.3.254 24 //与核心交换机vlan 300同网段的IP地址
3、回到核心交换机,配置缺省路由
给业务vlan去外网配置路由,出去都走192.168.3.254这个接口
ip route-static 0.0.0.0 0 192.168.3.254 //将发出去的数据都交到192.168.3.254这个接口
4、进入路由器配置路由
路由器收到报文,回包时走的路由
ip route-static 192.168.101.0 24 192.168.3.1 //路由器给业务网段的数据回包时,走192.168.3.1这个接口
ip route-static 192.168.102.0 24 192.168.3.1 //两个业务vlan都要配置回来的路由华为官方文档查看方式:
1、进入网址
2、点击产品与服务--->技术支持--->产品支持--->
3、找到需要配置的设备,或服务
4、找到需要配置的设备
5、这里举例我们需要配置AC6000
找到相对应的文档,下载或直接在线观看都可(前提是要有华为账号)
配置中继的实验原理:
将AP划分到vlan 10,汇聚交换机将vlan 10放通,让AP获取IP地址的请求能够发送到核心交换机。核心交换机创建vlan 10,并在里面配置了IP地址192.168.1.1这个就是AP的网关。AP将DHCP请求发送到网关后,发现网关做了DHCP中继,中继地址配置的是192.168.100.254,所以核心交换机就会将DHCP请求广播转换成单播,发送给AC(DHCP服务器),然后AC再将分配的地址报文发送出去,AP确认后,获取到IP地址。
DHCP中继的作用:
DHCP中继(也叫做DHCP中继代理)是一个小程序,其可以实现在不同子网和物理网段之间处理和转发DHCP信息的功能。
如果DHCP客户机与DHCP服务器在同一个物联网段,则客户机可以正确地获得动态分配的IP地址。
如果不在同一个物理网段,则需要DHCP Relay Agent(中继代理)
小知识:
中继模式可以将接收到的广播转换成单播,然后传输给中继服务器。这里核心交换机使用中继技术,将接收的AP发送请求IP地址的广播转为单播发送给中继服务器(AC),然后AC收到后,发送分配的地址回去。
DHCP 中继原理
1、当dhcp client 启动并进行dhcp 初始化时,它会在本地网络广播配置请求报文。
2、如果本地网络存在dhcp server,则可以直接进行dhcp 配置,不需要dhcp relay。
3、如果本地网络没有dhcp server,则与本地网络相连的具有dhcprelay 功能的网络设备收到该广播报文后,将进行适当处理并转发给指定的其它网络上的dhcp server。
4、dhcp server 根据dhcp client 提供的信息进行相应的配置,并通过dhcp relay 将配置信息发送给dhcp client,完成对dhcp client 的动态配置。
事实上,从开始到最终完成配置,需要多个这样的交互过程。
1、dhcp relay设备修改dhcp消息中的相应字段,把dhcp的广播包改成单播包,并负责在服务器与客户机之间转换。
2、在这个实验中,核心交换机就属于中继代理。
DHCP服务器在不同的网段,设备还是需要这个DHCP服务器动态获取地址时,就需要配置DHCP中继。
WLAN二层组网
Later 13:59:35
AC
第一步:注册AP上线
vlan batch 100 to 102
#
dhcp enable
#
interface Vlanif100
ip address 10.1.100.1 255.255.255.0
dhcp select interface
#
interface Vlanif101
ip address 10.1.101.1 255.255.255.0
dhcp select interface
#
interface Vlanif102
ip address 10.1.102.1 255.255.255.0
dhcp select interface
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100 to 102
#
capwap source interface vlanif100
#
wlan
regulatory-domain-profile name D1
country-code CN
ap auth-mode mac-auth
ap-group name AP1
regulatory-domain-profile D1
(AP组里面的AP使用该域管理模板)
ap-mac 00e0-fc00-18d0
ap-group AP1
ap-mac 00e0-fc2e-2f40
ap-group AP1
使用display ap all查看AP状态
第二步:WLAN业务下发
security-profile name S1
security wpa-wpa2 psk pass-phrase 88888888(WiFi密码) aes
ssid-profile name HW1
ssid HW1(Wifi名称)
ssid-profile name HW2
ssid HW2
vap-profile name HW1
service-vlan vlan-id 101
ssid-profile HW1
security-profile S1
vap-profile name HW2
service-vlan vlan-id 102
ssid-profile HW2
security-profile S1
ap-group name AP1
vap-profile HW1 wlan 1 radio all
vap-profile HW2 wlan 2 radio all
Later 13:59:43
SW2
sysname SW2
#
undo info-center enable
#
vlan batch 100 to 102
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 to 102
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100 to 101
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100 102
Later 13:59:49
SW1
sysname SW1
#
undo info-center enable
#
vlan batch 100 to 102
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 to 102
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 to 102
Later 14:00:06