本案例将说明采用AC+FIT架构、旁挂二层组网和隧道转发方式下构建WLAN的基本配置过程。网络拓扑如图3-1-14所示。
图3-1-14旁挂二层组网隧道转发
1. 参数规划
二层组网时,AC和AP在同一个网段,管理VLAN只有一个。AC的源接口IP地址是AC与AP建立CAPWAP隧道时AC的IP地址,通常手动配置。
表3-1-9参数规划表 |
|
项目 |
数据 |
AP管理VLAN |
VLAN100 |
STA业务VLAN |
VLAN101 |
SW2与Router互通 |
VLAN200: SW2创建VLANIF200并配置IP地址10.1.200.2/24;Router接口G0/0/0配置IP地址10.1.200.1/24 |
DHCP服务器 |
AC作为DHCP服务器为AP分配IP地址 汇聚交换机SW2作为DHCP服务器为STA分配IP地址,STA的默认网关为10.1.101.1 |
AP的IP地址池 |
10.1.100.2~10.1.100.254/24 |
STA的IP地址池 |
10.1.101.2~10.1.101.254/24 |
AC的源接口IP地址 |
VLANIF100:10.1.100.1/24 |
AP组 |
|
域管理模板 |
|
SSID模板 |
|
VAP模板 |
|
2. 配置步骤
参照配置流程进行设备配置。
1)配置网络互通
# 配置接入交换机SW1的GE0/0/1和GE0/0/2接口加入VLAN100,GE0/0/1的缺省VLAN为VLAN100。隧道转发模式下,无线控制报文和业务报文均通过CAPWAP隧道进行传输,所以,SW1的G0/0/1接口只放行管理VLAN100,不放行业务VLAN101。另外,在与AP直连的设备接口上配置端口隔离,如果不配置端口隔离,尤其是业务数据转发方式采用直接转发时,可能会在VLAN内形成大量不必要的广播报文,导致网络阻塞,影响用户体验。
[HUAWEI] sysname SW1
[SW1] vlan batch 100
[SW1] interface gigabitethernet 0/0/1
[SW1-GigabitEthernet0/0/1] port link-type trunk
[SW1-GigabitEthernet0/0/1] port trunk pvid vlan 100
[SW1-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
[SW1-GigabitEthernet0/0/1] port-isolate enable
[SW1-GigabitEthernet0/0/1] quit
[SW1] interface gigabitethernet 0/0/2
[SW1-GigabitEthernet0/0/2] port link-type trunk
[SW1-GigabitEthernet0/0/2] port trunk allow-pass vlan 100
[SW1-GigabitEthernet0/0/2] quit
# 配置汇聚交换机SW2的接口GE0/0/1加入VLAN100,GE0/0/2加入VLAN100和VLAN101,接口GE0/0/3加入VLAN200。隧道转发模式下,由于无线控制和业务报文都需要通过CAPWAP隧道传输到AC再经过AC转发,所以与AC直连的SW2的GE0/0/2接口首先需要放行管理VLAN100;考虑来自网络的数据报文,其目的地址是无线客户端,则需要由SW2通过G0/0/2端口转发给AC,AC再通过CAPWAP隧道进行转发,因此,SW2的GE0/0/2接口需要放行业务VLAN101。
[HUAWEI] sysname SW2
[SW2] vlan batch 100 101 200
[SW2] interface gigabitethernet 0/0/1
[SW2-GigabitEthernet0/0/1] port link-type trunk
[SW2-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
[SW2-GigabitEthernet0/0/1] quit
[SW2] interface gigabitethernet 0/0/2
[SW2-GigabitEthernet0/0/2] port link-type trunk
[SW2-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101
[SW2-GigabitEthernet0/0/2] quit
[SW2] interface gigabitethernet 0/0/3
[SW2-GigabitEthernet0/0/3] port link-type access
[SW2-GigabitEthernet0/0/3] port default vlan 200
[SW2-GigabitEthernet0/0/3] quit
# 在SW2上配置VLANIF200接口的IP地址。
[SW2] interface vlanif 200
[SW2-Vlanif200] ip address 10.1.200.2 24
# Router的接口GE0/0/0配置IP地址10.1.200.1/24。
[Huawei] sysname Router
[Router] interface gigabitethernet 0/0/0
[Router-GigabitEthernet0/0/0] ip address 10.1.200.1 24
[Router-Vlanif101] quit
# 在Router上配置目的地址为用户网段的静态路由。
[Router]ip route-static 10.1.101.0 24 10.1.200.2
# 配置AC的接口GE0/0/1加入VLAN100和VLAN101。
[AC6605] sysname AC
[AC] vlan batch 100 101
[AC] interface gigabitethernet 0/0/1
[AC-GigabitEthernet0/0/1] port link-type trunk
[AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101
[AC-GigabitEthernet0/0/1] quit
2)配置DHCP服务器为STA和AP分配IP地址
# 在AC上配置VLANIF100接口为AP提供IP地址。
[AC] dhcp enable
[AC] interface vlanif 100
[AC-Vlanif100] ip address 10.1.100.1 24
[AC-Vlanif100] dhcp select interface
[AC-Vlanif100] quit
# 在SW2上配置VLANIF101接口为STA提供IP地址。
[SW2] dhcp enable
[SW2] interface vlanif 101
[SW2-Vlanif101] ip address 10.1.101.1 24
[SW2-Vlanif101] dhcp select interface
[SW2-Vlanif101] quit
3)配置AP上线
# 创建AP组,用于将相同配置的AP都加入同一AP组中。
[AC] wlan
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] quit
# 创建域管理模板,在域管理模板下配置AC的国家码并在AP组下引用域管理模板。
[AC-wlan-view] regulatory-domain-profile name default
[AC-wlan-regulate-domain-default] country-code cn
[AC-wlan-regulate-domain-default] quit
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] regulatory-domain-profile default
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
e?[Y/N]:y
[AC-wlan-ap-group-ap-group1] quit
[AC-wlan-view] quit
# 配置AC的源接口。
[AC] capwap source ip-address 10.1.100.1
# 在AC上离线导入AP,并将AP加入AP组“ap-group1”中。假设AP的MAC地址为60e2-4586-e310,并且根据AP的部署位置为AP配置名称,便于从名称上就能够了解AP的部署位置。例如MAC地址为60e2-4586-e310的AP部署在办公区域,命名此AP为office。
ap auth-mode命令缺省情况下为MAC认证,如果之前没有修改其缺省配置,可以不用执行ap auth-mode mac-auth。
举例中使用的AP为AP4050,具有射频0和射频1两个射频。AP4050的射频0为2.4GHz射频,射频1为5GHz射频。
[AC] wlan
[AC-wlan-view] ap auth-mode mac-auth
[AC-wlan-view] ap-id 0 ap-mac 60e2-4586-e310这个是所对应AP设备的MAC地址
[AC-wlan-ap-0] ap-name office
Warning: This operation may cause AP reset. Continue? [Y/N]y
[AC-wlan-ap-0] ap-group ap-group1
Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration
s of the radio, Whether to continue? [Y/N]:y
[AC-wlan-ap-0] quit
# 将AP上电后,当执行命令display ap all查看到AP的“State”字段为“nor”时,表示AP正常上线。
4)配置WLAN业务参数
# 创建名为“WLAN-SZ”的SSID模板,并配置SSID名称为“WLAN-SZ”。
[AC-wlan-view] ssid-profile name WLAN-SZ
[AC-wlan-ssid-prof-WLAN-SZ] ssid WLAN-SZ
[AC-wlan-ssid-prof-WLAN-SZ] quit
# 创建名为“WLAN-SZ”的VAP模板,配置业务数据转发模式为隧道转发(tunnel)、业务VLAN,并且引用SSID模板。
[AC-wlan-view] vap-profile name WLAN-SZ
[AC-wlan-vap-prof-WLAN-SZ] forward-mode tunnel
[AC-wlan-vap-prof-WLAN-SZ] service-vlan vlan-id 101
[AC-wlan-vap-prof-WLAN-SZ] ssid-profile WLAN-SZ
[AC-wlan-vap-prof-WLAN-SZ] quit
# 配置AP组引用VAP模板,AP上射频0和射频1都使用VAP模板“WLAN-SZ”的配置。
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] vap-profile WLAN-SZ wlan 1 radio 0
[AC-wlan-ap-group-ap-group1] vap-profile WLAN-SZ wlan 1 radio 1
[AC-wlan-ap-group-ap-group1] quit
5)配置AP射频的信道和功率
举例中AP射频的信道和功率仅为示例,实际配置中请根据AP的国家码和网规结果进行配置。
#关闭射频的信道和功率自动调优功能。射频的信道和功率自动调优功能默认开启,如果不关闭此功能则会导致手动配置不生效。
[AC-wlan-view] rrm-profile name default
[AC-wlan-rrm-prof-default] calibrate auto-channel-select disable
[AC-wlan-rrm-prof-default] calibrate auto-txpower-select disable
[AC-wlan-rrm-prof-default] quit
# 配置AP射频0的信道和功率。
[AC-wlan-view] ap-id 0
[AC-wlan-ap-0] radio 0
[AC-wlan-radio-0/0] channel 20mhz 6
Warning: This action may cause service interruption. Continue?[Y/N]y
[AC-wlan-radio-0/0] eirp 127
[AC-wlan-radio-0/0] quit
# 配置AP射频1的信道和功率。
[AC-wlan-ap-0] radio 1
[AC-wlan-radio-0/1] channel 20mhz 149
Warning: This action may cause service interruption. Continue?[Y/N]y
[AC-wlan-radio-0/1] eirp 127
[AC-wlan-radio-0/1] quit
[AC-wlan-ap-0] quit
6)验证配置结果
WLAN业务配置会自动下发给AP,配置完成后,通过执行命令display vap ssid WLAN-SZ查看如下信息,当“Status”项显示为“ON”时,表示AP对应的射频上的VAP已创建成功。
STA搜索到名为“WLAN-SZ”的无线网络,并正常关联后,在AC上执行display station ssid WLAN-SZ命令,可以查看到用户已经接入到无线网络“WLAN-SZ”中。
测试连通性:STA ping Router,观察结果。
最后这是拓扑的结果: