WLAN组网(1):二层AC+AP
组网图如下:
wlan工作流程:
为保障AP能够正常上线,需要预先配置如下内容:
域管理模板:域管理模板提供对AP的国家码、调优信道集合和调优带宽等的配置。国家码用来标识AP射频所在的国家,不同国家码规定了不同的AP射频特性,包括AP的发送功率、支持的信道等。配置国家码是为了使AP的射频特性符合不同国家或区域的法律法规要求。
配置AC的源接口或源地址:每台AC都必须唯一指定一个IP地址、VLANIF接口或者Loopback接口,该AC设备下挂接的AP学习到此IP地址或者此接口下配置的IP地址,用于AC和AP间的通信。此IP地址或者接口称为源地址或源接口。只有为每台AC指定唯一一个源接口或源地址,AP才能与AC建立CAPWAP隧道。设备支持使用VLANIF接口或Loopback接口作为源接口,支持使用VLANIF接口或Loopback接口下的IP地址作为源地址。
添加AP设备:即配置AP认证模式,AP上线。添加AP有三种方式:离线导入AP、自动发现AP以及手工确认未认证列表中的AP。
AC配置流程图: AC配置.xmind
配置VAP模版:
数据转发方式:
◆控制报文是通过CAPWAP的控制隧道转发的,用户的数据报文分为隧道转发(又称为“集中转发”)方式、直接转发(又称为“本地转发”)方式。这部分内容在后面的课程中会详细介绍。
业务VLAN:
◆由于WLAN无线网络灵活的接入方式,STA可能会在某个地点(例如办公区入口或体育场馆入口)集中接入到同一个WLAN无线网络中,然后漫游到其它AP覆盖的无线网络环境下。
●业务VLAN配置为单个VLAN时,在接入STA数众多的区域容易出现IP地址资源不足、而其它区域IP地址资源浪费的情况。业务VLAN配置为VLAN pool时,可以在VLAN pool中加入多个VLAN,然后通过将VLAN pool配置为VAP的业务VLAN,实现一个SSID能够同时支持多个业务VLAN。
●新接入的STA会被动态的分配到VLAN pool中的各个VLAN中,减少了单个VLAN下的STA数目,缩小了广播域;同时每个VLAN尽量均匀的分配IP地址,减少了IP地址的浪费。
采用隧道转发模式:
步骤①:交换机与AC基本配置
交换机1配置:
[SW1]vlan batch 10 100 to 101
[SW1-GigabitEthernet0/0/1] port link-type access
[SW1-GigabitEthernet0/0/1] port default vlan 10
[SW1]interface GigabitEthernet0/0/3
[SW1-GigabitEthernet0/0/3] port link-type trunk
[SW1-GigabitEthernet0/0/3] port trunk allow-pass vlan 100 to 101
[SW1]interface GigabitEthernet0/0/2
[SW1-GigabitEthernet0/0/2] port link-type trunk
[SW1-GigabitEthernet0/0/2] port trunk allow-pass vlan 100
[SW1]dhcp enable
[SW1]interface vlanif 101
[SW1-Vlanif101]ip address 192.168.1.254 255.255.255.0
[SW1-Vlanif101]dhcp select interface
[SW1]interface vlanif10
[SW1-Vlanif10]ip address 10.0.0.2 24
[SW1]ip route-static 2.2.2.0 24 10.0.0.2
交换机2配置;
[SW2]vlan batch 100 to 101
[SW2]interface GigabitEthernet0/0/1
[SW2-GigabitEthernet0/0/1] port link-type trunk
[SW2-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
[SW2]interface GigabitEthernet0/0/2
[SW2-GigabitEthernet0/0/2]port link-type trunk
[SW2-GigabitEthernet0/0/2]port trunk pvid vlan 100
[SW2-GigabitEthernet0/0/2]port trunk allow-pass vlan 100
[SW2]interface GigabitEthernet0/0/3
[SW2-GigabitEthernet0/0/3]port link-type trunk
[SW2-GigabitEthernet0/0/3]port trunk pvid vlan 100
[SW2-GigabitEthernet0/0/3]port trunk allow-pass vlan 100
AC配置如下:
[AC1]vlan batch 100 to 101
[AC1]wlan
[AC1-wlan-view]regulatory-domain-profile name hcip //创建域管理模版
[AC1-wlan-regulate-domain-hcip]country-code cn //指定国家码
[AC1-wlan-view]ap-group name linus
[AC1-wlan-ap-group-linus]regulatory-domain-profile hcip //在ap-group中引入域管理模版
[AC1]capwap source interface Vlanif 100 //指定capwap隧道建立的接口或者源地址
[AC1]wlan
[AC1-wlan-view]ap auth-mode mac-auth //配置认证模式,此处为MAC地址认证
[AC1-wlan-ap-1]ap-id 1 type-id 56 ap-mac 00e0-fce5-3400 ap-sn 21023544831089034427
[AC1-wlan-ap-1]ap-name AP1
[AC1-wlan-ap-1]ap-group linus
[AC1-wlan-ap-2]ap-id 2 type-id 56 ap-mac 00e0-fc60-0490 ap-sn 2102354483104A7EAA12
[AC1-wlan-ap-2]ap-name AP2
[AC1-wlan-ap-2]ap-group linus
[AC1-wlan-view]security-profile name wlan-net //配置安全模版
[AC1-wlan-sec-prof-wlan-net]security wpa-wpa2 psk pass-phrase 12345678 aes
[AC1-wlan-view]ssid-profile name wlan-net //配置ssid模版
[AC1-wlan-ssid-prof-wlan-net]ssid HCIP2001
[AC1-wlan-view]vap-profile name wlan-net
[AC1-wlan-vap-prof-wlan-net] forward-mode tunnel //指定转发模式:隧道转发 直通转发
[AC1-wlan-vap-prof-wlan-net] service-vlan vlan-id 101 //配置业务VLAN
[AC1-wlan-vap-prof-wlan-net] ssid-profile wlan-net //ssid模版引入ap-group
[AC1-wlan-vap-prof-wlan-net] security-profile wlan-net //安全模版引入ap-group
[AC1-wlan-ap-group-linus]vap-profile wlan-net wlan 1 radio 1 //在ap组中应用vap模版
[AC1-wlan-ap-group-linus]vap-profile wlan-net wlan 1 radio 2
隧道转发:访客接入访问网络时,不希望访客通过内部网络访问,采用隧道方式。
直接转发:既可以访问内部资源,有可以访问外部资源。
实验结果如下:
