AC+核心+二层+AP设备配置要义

一、 配置注意事项
1.瘦AP组网模式AC与AP的关系：
1）AC：为无线控制器，在瘦AP架构中扮演对AP进行管理
2）瘦AP组网当中，AP必须配合AC共同完成无线网络的工作内容
3）AC和AP之间的网络没有要求，只要IP可达即可
2.AP+AC连接方式（分三种）：

3.工作原理
1）CAPWAP 无线接入点控制与配置协议 用于AC对AP集中管理和数据通信服务
2）控制通道用于配置和收集设备状态信息
3）数据通道用于承载设备间的数据业务流量
4.上线工作流程
1）AP获取IP地址
瘦模式为零配置，需要通过DHCP地址池，来获取IP地址及网关IP
在通过DHCP获取IP地址的过程中，通过DHCP中的ption138获取AC的IP地址
可以通过option138获取AC的IP的地址每一台AP是通过138属性获取到AC到一个IP地址(热备情况下，ap获取138IP地址会有两个，ap在获取ip地址和ac的地址后，进入了ap发现ac的过程)
2）AP发现AC
AP获取到AC的IP地址后，AP发送报文后从CAPWAP状态进入Discovery状态
采用了广播、组播及单播方式发送
3）AP加入AC
Ap发出报文并得到回应，则开始准备加入到该AC
4）Ap配置确认
当AP进入Run状态，说明AP与AC的控制和数据通道建立完成，我们在对AP进行相应的配置设置
5）CAPWAP隧道转发数据
数据隧道加密，我们一般考点为WPA共享密码认证 WPA2加密认证
WPA共享密码认证配置方法：
Ruijie(config)# wlansec 1
Ruijie(config-wlansec)#security wpa enable ---->开启无线加密功能
Ruijie(config-wlansec)#security wpa ciphers aes enable ---->无线启用AES加密
Ruijie(config-wlansec)#security wpa akm psk enable ---->无线启用共享密钥认证方式
Ruijie(config-wlansec)#security wpa akm psk set-key ascii 1234567890 ---->无线密码，密码位数不能小于8位
Ruijie(config-wlansec)#exit
WPA2共享密钥认证配置方法：
Ruijie(config)#wlansec 1
Ruijie(config-wlansec)#security rsn enable ---->开启无线加密功能
Ruijie(config-wlansec)#security rsn ciphers aes enable ---->无线启用AES加密
Ruijie(config-wlansec)#security rsn akm psk enable ---->无线启用共享密钥认证方式
Ruijie(config-wlansec)#security rsn akm psk set-key ascii 1234567890 ---->无线密码，密码位数不能小于8位
Ruijie(config-wlansec)#exit
5.配置要点
1)一个可达
AP到AC IP可达（AP注册上线的基础）
2)两组地址池
AP的地址池（AP管理地址池）：一般在交换机上
STA的地址池（无线用户地址池）：一般在AC上（两者也都可以在AC和交换机上）
3)两个网关（两个网关与两个地址池相互对应）
AP的网关
STA的网关（用户网关）
4)三种vlan
交换机管理VLAN：管理VLAN的网关
瘦AP VLAN
STA VLAN:与AP的SSID关联（AP与AC之间所有交换机的管理vlan）
6.瘦AP+AC基本组网数据通信过程
简单的VLAN、DHCP、路由应用
我们先对二层接入交换机做相应配置(创建 APvlan、接口配置)
Ruijie>enable
Ruijei#config terminal
Ruije (config)#vlan 99
Ruije (config-vlan)#exit
Ruije (config)#intface gigabitEthernet 0/1
Ruije (config-if-GigabitEthernet 0/1)#switchport access vlan 99 //允许AP的VLAN99通过
POE(config)# intface gigabitEthernet 0/2
POE(config-if-GigabitEthernet 0/2)# switchport mode trunk //将上联核心的交换机设置为trunk口，允许可以允许多个VLAN 通过，可以接收和发送多个VLAN 的报文，一般用于交换机之间连接的端口；
POE(config-if-GigabitEthernet 0/2)#exit

我们再对AC做相应的配置（vlan:用户 vlan、与核心相连 vlan；路由和 AC 接口）
Ruijie>enable
Ruijei#config terminal
Ruije (config)#vlan 10 //创建用户vlan
Ruije (config-vlan)#vlan 100 //创建STAvlan
Ruije (config-vlan)#exit
Ruije (config)#int vlan 100
Ruije (config-vlan 100)#ip address 172.16.20.2 255.255.255.0 //配置与核心交换机通讯的SVI口，否则无法转发用户数据
Ruije (config-vlan 100)exit
Ruije (config)#intface loopback 0
Ruije (config-if-loopback 0)#ip address 1.1.1.1 255.255.255.0 //（AP用户地址池需要指向option 138的地址）
Ruije (config-if-loopback 0)#exit
Ruije (config)#interface gigabitEthernet 0/1
Ruije (config-if-gigabitEthernet 0/1)#switchport mode trunk //将连接核心的物理口设置为trunk，否则用户数据无法到达AC
Ruije (config)#ip route 0.0.0.0 0.0.0.0 172.16.20.1

对核心交换机做配置（AP与用户的DHCP地址池都在核心上；与 AC 接口、路由；vlan 网关；DHCP）
Ruijie>enable

Ruijei#config terminal
Ruije (config)#vlan 10 APvlan
Ruije (coanfig-vlan)#vlan 99 用户vlan
Ruije (config-vlan)#vlan 100 管理vlan
Ruije (config-vlan)#exit
Ruije ( config)#int vlan 10
Ruije (onfig-vlan 10)#ip address 172.16.1.254 255.255.255.0
Ruije (config-vlan 10)#exit
Ruije (config)#int vlan 99
Ruije (config-vlan 99)#ip address 10.10.10.254 255.255.255.0
Ruije (config-vlan 99)#exit
Ruije (config)#int vlan 100
Ruije (config-vlan 100)#ip address 172.16.20.1 255.255.255.0
Ruije (config-vlan 100)#exit
Ruije (config)#interface gigabitEthernet 0/1
Ruije (config-if-gigabitEthernet 0/1)#switchport mode trunk
Ruije (config-if-gigabitEthernet 0/1)#exit
Ruije (config)#interface gigabitEthernet 0/2
Ruije (config-if-gigabitEthernet 0/2)#switchport mode trunk
Ruije (config-if-gigabitEthernet 0/2)#exit
Ruije (config)#service dhcp //开启DHCP地址池功能
Ruije (config)#ip dhcp pool AP //设置DHCP地址池的名称并且进入DHCP
Ruije (config-dhcp)#option 138 ip 1.1.1.1 //配置AP的地址池是必须配置option138，否则AC无法找到AP
Ruije (config-dhcp)#network 10.10.10.0 255.255.255.0 //设置DHCP地址池网段
Ruije (config-dhcp)#default-route 10.10.10.254 //设置DHCP地址池网关
Ruije (config-dhcp)#exit
Ruije (config)#ip dhcp pool user
Ruije (config-dhcp)#network 172.16.1.0 255.255.255.0
Ruije (config-dhcp)#default-route 172.16.1.254
Ruije (config-dhcp)#exit
uije (config)#ip route 1.1.1.1 255.255.255.0 172.16.20.2 //（指向 AC 的静态路由）核心指静态路由到AC，否则AP与AC不能建立Capwap隧道
二、历年知识点统计及配置
11. ARP防欺骗
1)配置要点
1、AC开启dhcp snooping并且配置信任端口
2、配置ARP防护功能
3、清除arp及 proxy_arp表
2)配置步骤
（1）AC开启dhcp snooping并且配置信任端口
AC(config)#ip dhcp snooping ----->全局启用dhcp snooping
AC(config)#interface gigabitEthernet 0/1
AC(config-if-GigabitEthernet 0/1)#ip dhcp snooping trust ----->上联接口配置为信任端口,如果DHCP服务器在AC上，那么不用配置该命令
AC(config-if-GigabitEthernet 0/1)#exit
（2）配置ARP防护功能（开启arp防护需要让已经在线的终端下线再关联无线）
未开启Web认证功能时
AC(config)#wlansec 1
AC(config-wlansec)#ip verify source port-security ----->开启IP防护功能
AC(config-wlansec)#arp-check ----->开启ARP检测功能
AC(config-wlansec)#end
AC#write
开启Web认证功能时（非11.1(5)b8p3以及11.1(5)b9p5版本）
AC(config)#web-auth dhcp-check ----->开启web认证下的dhcp检测功能（IP防护功能类似）
AC(config)#http redirect direct-arp 192.168.51.1 ------>必须开放无线用户网关arp，让无线客户端可以发起http请求【必须配置】
AC(config)#wlansec 1
AC(config-wlansec)#arp-check ----->ARP检测功能
AC(config-wlansec)#end
AC#write
开启Web认证功能时（11.1(5)b8p3以及11.1(5)b9p5版本）
AC(config)#wlansec 1
AC(config-wlansec)#ip verify source port-security ----->开启IP防护功能
AC(config-wlansec)#arp-check ----->开启ARP检测功能
AC(config-wlansec)#end
AC#write
2．黑白名单
1）配置要点
配置白名单（完成白名单配置之后未 无法接入无线网络）
配置黑名单（完成黑名单配置之后在黑名单内的无线用户均无法接入无线网络）
2）配置步骤
配置白名单，测试MAC：（6809.27b0.169f、 8ca9.829a.b1ea）
Ruijie(config)#wids
Ruijie(config-wids)#whitelist mac-address 6809.27b0.169f -----> 6809.27b0.169f允许接入无线网络，不在白名单中的默认是拒绝。
Ruijie(config-wids)#whitelist max 1024 ----->调整白名单容量，可选（10.x 1-1024，11.x 1-2048）
Ruijie(config-wids)#ex it
配置黑名单，测试MAC：（6809.27b0.169f、 8ca9.829a.b1ea）
Ruijie(config)#wids
Ruijie(config-wids)#static-blacklist mac-address 6809.27b0.169f ----->6809.27b0.169f不允许接入无线网络，不在黑名单中的sta默认是放通的
Ruijie(config-wids)#static-blacklist max 1024 ----->调整黑名单容量，可选（10.x 1-1024，11.x 1-2048）
Ruijie(config-wids)#exit
保存配置
Ruijie(config)#end
Ruijie#write
3.AP隔离
1）配置要点
1、确认无线用户隔离类型
2、配置无线用户隔离
3、配置允许列表
2）配置步骤
1、无线用户隔离类型有4种：基于AC用户隔离、基于AP用户隔离、基于AC-SSID用户隔离、基于AP-SSID用户隔离
1）基于AC用户隔离，即开启AC下不同AP间的用户不能互相访问
AC(config)#wids
AC(config-wids)#user-isolation ac enable
AC(config-wids)#exit
2）基于AP用户隔离，同一个AP用户不能互相访问
AC(config)#wids
AC(config-wids)#user-isolation ap enable
AC(config-wids)#exit
3）基于AC-SSID用户隔离，即AC下不同AP间相同WLAN的用户不能互相访问
AC(config)#wids
AC(config-wids)#user-isolation ssid-ac enable
AC(config-wids)#exit
4）基于AP-SSID用户隔离，即AP上相同WLAN内用户不能互相访问
AC(config)#wids
AC(config-wids)#user-isolation ssid-ap enable
AC(config-wids)#exit
2、配置允许列表，在允许列表内的用户不受用户隔离限制
AC(config)#wids
AC(config-wids)#user-isolation permit-mac 0811.9692.244c
AC(config-wids)#exit
3、保存配置
AC(config)#end
AC#write
4．隐藏SSID
1）配置要点
1、将SSID模式调整为非广播模式
2）配置步骤
瘦模式（在AC上配置）：
1）、将SSID模式调整为非广播模式
Ruijie(config)#wlan-config 1 ruijie
Ruijie(config-wlan)#no enable-broad-ssid ----->关闭广播SSID
Ruijie(config-wlan)#exit
2）、保存配置
Ruijie(config)#end
Ruijie#write
胖模式（在AP上配置）：
1）、将SSID模式调整为非广播模式
Ruijie(config)#dot11 wlan 1
Ruijie(dot11-wlan-config)#no broadcast-ssid ----->关闭广播SSID
Ruijie(config-wlan)#exit
2）、保存配置
Ruijie(config)#end
Ruijie#write

5．无线网络采用本地WEB认证方式
部署web认证前，请确保前期网络部署已经完成，数据通信都正常。下面的配置只截取的web认证的相关配置
1）配置要点
1、启用内置portal AAA认证
2、配置本地帐号
3、放通网关和sta的arp报文
4、开启内部重定向端口
5、在AC上对wlan1开启web认证
2）配置步骤
1、启用内置portal AAA认证
AC#config terminal
AC(config)#aaa new-model ------>启用AAA认证功能
AC(config)#aaa accounting network default start-stop none------>关闭审计功能
AC(config)#aaa authentication iportal default local ------>内置portal使用本地账号认证，local表示本地
2、配置本地帐号
AC(config)#username ruijie password ruijie ------>【10.x】配置本地帐号ruijie，密码ruijie。该账号即是web本地认证部署，认证用户的账号和密码
AC(config)#username admin web-auth password admin ------>【11.x】版本配置用户密码的方式
3、放通网关和sta的arp报文
AC(config)#http redirect direct-arp 192.168.51.1 ------>没有配置arp-check情况下，可以不配置网关arp直通；如果有配置arp-check，则必须开放无线用户网关arp
AC(config)#http redirect direct-site 172.18.10.3 ------>设置172.18.10.3为免认证网络资源，即用户没有认证前就可以访问的资源（非必需）
AC(config)#web-auth direct-host 192.168.51.129 ------>设置192.168.33.129为免认证用户，即不用认证就可以上网的用户（非必需）
4、在AC上对wlan1开启web认证功能
AC(config)# ----->【11.X需要增加的命令】配置内置portal
AC(config.tmplt.iportal)#exit
AC(config)#wlansec 1 ------>这个wlansec后面的数字，取决于配置无线信号发射时使用的wlan-id，这里假设配置的是wlan 1
AC(config-wlansec)#web-auth portal iportal ------>启用内置web认证
AC(config-wlansec)#webauth ------>启用web认证功能
AC(config-wlansec)#end
AC#write ------>保存配置
注：热备环境下不支持web一代认证及内置web认证
6．时间调度
1）配置要点
1.定义关闭信号时间的调度
2.在WLAN下应用调度
2.）配置步骤
1、定义关闭信号时间的调度
AC-1(config)#schedule session 1  //定义时间调度 
AC-1(config)#schedule session 1 time 20:00 to 08:00 //每天晚上8点到早上8点
定时关闭AP信号 
AC-1(config)#schedule session 1 period Sun to Sat
2、在wlan下应用调度 
AC-1(config)#wlan-config 1
AC-1(config-wlan)# schedule session 1

7．无线AP边缘感知功能
3）配置要点
1．开启AP的RIPT功能。
2．配置WLAN的转发模式为本地转发。
4）配置步骤
AC无线交换机配置
（1）创建wlan，配置转发模式为本地转发。
Ruijie#configure terminal
Ruijie(config)#wlan-config 1 ssid
Ruijie(config-wlan)#tunnel local----->配置为本地转发，才能让AP与AC断开后，STA的通信不中断
Ruijie(config-wlan)#exit
（2）ap-group 映射wlan id 和vlan id配置
Ruijie(config)#ap-group group1 ----->创建AP组
Ruijie(config-ap-group)#interface-mapping 1 10 ----->将需要部署的wlan与vlan映射
Ruijie(config-ap-group)#exit
（3）配置AP所属的ap-group，并开启RIPT
Ruijie(config)#ap-config ap1 //ap1是AP实际的名字
Ruijie(config-ap)#ap-group group1----->加入AP组，AP加入AP组才能部署wlan配置
Ruijie(config-ap)#ript enable ----->开启RIPT功能