规划一个小型无线局域网拓扑图
旁挂式AC无线局域网
根据规划,开始配置拓扑:
将二层设备汇聚交换机和AP划分到vlan 10里,核心交换机和AC划分到vlan 100。
如下图 :
开始配置WLAN无线局域网:
规划IP地址:
WLAN的配置方法:(一到四为DHCP部分,)
一、汇聚交换机:
两台汇聚交换机配置相同
1、创建vlan 10
vlan 10
2、将LSW1连接AP的接口用trunk接口划分到vlan 10
int g 0/0/1
port link-type trunk
port trunk pvid vlan 10
port trunk allow-pass vlan 10
int g 0/0/3
port link-type trunk
port trunk pvid vlan 10
port trunk allow-pass vlan 10
3、然后将汇聚交换机连接核心交换机的接口都使用trunk接口放行vlan 10
int g0/0/2
port link-type trunk
port trunk allow-pass vlan 10
二、核心交换机:
1、创建vlan 10
vlan 10
2、连接汇聚交换机的接口放行vlan 10
int g 0/0/1
port link-type trunk
port trunk allow-pass vlan 10
int g 0/0/2
port link-type trunk
port trunk allow-pass vlan 10
3、给vlan 10配置IP地址(int vlan 10 //vlanif虚拟接口里配置)
int vlan 10
ip add 192.168.1.1 24
4、创建vlan 100,核心交换机与AC连接的接口使用trunk放通vlan 100
vlan 100
int g 0/0/3
port link-type trunk
port trunk allow-pass vlan 100
5、给vlan 100配置IP地址:
int vlan 100
ip add 192.168.100.1 24
三、AC配置
AC配置方法与交换机类似,可以把AC当交换机配置
1、AC上创建vlan 100
vlan 100
2、进入vlan 100,配置IP地址
int vlan 100
ip add 192.168.100.254 24
3、AC连接核心交换机的接口使用trunk模式,放行vlan 100
int g0/0/1
port link-type trunk
port trunk allow-pass vlan 100
4、开启DHCP服务
dhcp enable
5、创建地址池,并配置
ip pool ap //将地址池命名为AP,因为这个地址池是给AP分配地址使用的
network 192.168.1.0 mask 24 //可分配的地址范围为192.168.1.0这个网段的地址
gateway-list 192.168.1.1 //不想1.1被分配出去,所以设置为地址池网关
6、进入vlan 100里面启用DHCP,地址池分配方式:
int vlan 100 //进入vlanif 100虚拟接口
dhcp select global //地址池分配方式,选择的地址池为接口网关同网段的地址池
7、配置缺省路由到核心交换机,下一跳地址
ip rou 0.0.0.0 0 192.168.100.1 //将发出去的数据都往这个接口转发
四、进入核心交换机,配置DHCP中继
底部有DHCP中继功能的原理介绍
1、进入核心交换机的vlan 10虚拟接口
int vlan 10
2、核心交换机开启中继功能,配置DHCP中继服务器地址
dhcp select relay //开启中继功能
dhcp relay server ip 192.168.100.254 //DHCP中继服务器地址为AC的地址
3、配置option 43
命令作用:
如果AC与AP间处于不同的网段,AP通过DHCP服务器获取地址后,无法通过广播方式发现AC,此时需要在DHCP服务器上配置option 43字段,在字段内填入AC的IP地址用于通告AP,使AP能够发现AC。
option 43 sub-option 3 ascii 192.168.100.254 //AC的管理地址
配置了中继后,AP需要获取地址时发的广播就会由核心交换机转发给AC,如下图:
核心交换机发送 DHCP Discover报文给AC,也就是中继代理将DHCP请求广播转为单播传给中继服务器 。
然后AP就可以获取到地址了
五、AC配置域管理模板,配置AP上线
1、在AC上创建两个业务vlan (AP给用户分配地址使用的)
业务vlan是给用户获取IP地址使用的,创建好后,AC和核心交换机都要放行业务vlan。
vlan 101 102
2、创建vlan池,将业务vlan划分进vlan池,并设置哈希的方式分配。
vlan pool sta-pool //创建vlan池,取名为sta-pool,创建好后会自动进入vlan 池
vlan 101 102 //将业务vlan绑定到vlan池里
assignment hash //通过哈希的方式去分配
注意:AC和核心交换机相互连接的接口需要放通业务vlan
int g 0/0/1
port link-type trunk
port trunk allow-pass vlan 101 102
AC和核心交换机连接AP的接口都要放行业务vlan,这样用户才能获取到业务vlan分配的DHCP地址
AC需要放行的vlan,自己的管理vlan 100,和业务vlan 101、102 ,
3、 进入核心交换机,配置业务vlanIP地址,并开启DHCP,并放行业务vlan
dhcp enable //核心交换机开启DHCP功能
int vlan 101 //进入业务vlan
ip add 192.168.101.254 24 //配置IP地址
dhcp select interface //dhcp分配模式为接口模式
int vlan 102
ip add 192.168.102.254 24
dhcp select interface
配置好后在各接口放行业务vlan 101、102
进入各接口
port link-type trunk
port trunk allow-passs vlan 101 102
核心交换机连接AC和AP的接口同样都需要放行业务VLAN101、102
4、回到AC,创建AP组
wlan //进入WLAN视图,系统视图下输入WLAN即可
ap-group name apg-group1 //创建ap组,并取名为ap-group1
5、 创建域管理模板,设置国家代码为中国
regulatory-domain-profile name default //创建域管理模板,并取名为default
country-code cn //设置国家代码为中国
6、进入创建的AP组,在里面应用设置好的域管理模板
regulatory-domain-profile default //AP组应用default这个域管理模板,所有AP成员都遵循这个模板制度。
输入:Y //确认应用此模板
7、配置AC的源接口
AC与AP建立capwap隧道使用的接口,AC向AP发送capwap报文的地址,这里使用AC的vlan 100 接口地址。
系统视图中配置
capwap source interface vlanif 100 //AC发送capwap报文的接口为vlanif 100
六、在AC中配置AP认证
1、设置认证方式为mac认证
wlan //进入WLAN接口
ap auth-mode mac-auth //认证方式为mac认证## no-auth不认证,sn-auth序列号做认证
2、给每台AP做认证
mac认证方式需要先获取每台AP的mac地址
dis int vlan 1 //查看AP vlan 1接口的mac地址
ap-id +AP的序号(0~8191)ap-mac +AP的Mac地址 //给AP设置一个id,并输入他的MAC地址,做认证
例:
每台ap都要在ac中配置
ap-id 1 ap-mac 00e0-fc41-0df0 //给ap添加mac认证,
ap-name +名字(例如几楼的ap)[可选配置] //设置认证后就会进入该AP的认证视图,可以给AP设置名称,更好识别这个AP是在哪(做什么的)
quit //退出此台AP认证视图,继续配置下一台AP认证
ap-id 2 ap-mac 00e0-fcc6-3b10
......
3、将AP加入AP组
将每台AP加入AP组
后续配置完成后,如果需要,可以再进入某个AP做配置
ap-id 1 #进入id为1的AP的配置视图中(前提是进入了WLAN视图)
ap-group ap-group1 //将ap1加入名为ap-group1的AP组
输入y确认
ap-id 2 //进入2号ap
ap-group ap-group1 //将ap2加入名为ap-group1的AP组输入y确认
4、查看AP是否正常
将AP上电(开机后),在wlan视图下执行这条命令,查看AP的“State”字段为“nor”,表示AP正常上线
display ap all #查看ap状态信息(在WLAN视图下执行)
八、配置WLAN业务
1、创建名为“wlan-net的”安全模板,并配置安全策略
需在AC的wlan视图下配置
security-profile name wlan-net //创建名为“wlan-net”的安全模板
security wpa-wpa2 psk pass-phrase a1234567 aes //安全机制为wpa2,域共享密码为“a1234567”,加密算法为aes
quit
2、创建名为“wlan-net”的SSID模板,并配置SSID名称为“wlan-net”
ssid-profile name wlan-net //创建名为wlan-net的SSID模板
ssid wlan-net //设置SSID名称为wlan-net
quit
3、创建名为“wlan-net”的VAP模板,配置业务数据转发模式、业务VLAN,并且应用刚刚创建的安全模板和SSID模板
分配到VAP模板里的业务VLAN是给用户接入AP时设备DHCP动态获取IP地址使用的,AP用户组分配到哪个业务VLAN,获取的DHCP地址就是哪个地址池的
下面有手动给VAP分配业务VLAN,也有自动从VLAN池里获取业务VLAN的配置方法
vap-profile name wlan-net //创建VAP模板,名为wlan-net
forward-mode tunnel //转发模式为隧道转发
service-vlan vlan-pool sta-pool //服务vlan在创建的vlan池里自动分配一个vlan
service-vlan vlan-id 101 //手动分配服务vlan为vlan 101,而不是地址池分配(两种方式可以自选)
security-profile wlan-net //vap关联安全模板wlan-net
ssid-profile wlan-net //vap管理ssid模板wlan-net
quit
4、配置AP组,应用VAP模板,AP上射频0和射频1都使用VAP模板“wlan-net”的配置
ap-group name ap-grou1 //进入ap组 ap-grou1
vap-profile wlan-net wlan 1 radio 0 //将VAP模板中的无线业务参数下发到AP组中所有AP成员上,射频0
vap-profile wlan-net wlan 1 radio 1 //两个射频(2.4G和5G的射频都去部署配置上)
quit
九、配置好后重启AP,等待一段时间
AP设备需要从AC中获取IP地址和一系列业务配置,所以准备时间需要比较久,耐心等待。
AP出现信号范围后,表示配置成功
放入可以连接无线的设备,比如笔记本,启动后就会出现两种信道的信号。
信道1是4G的,信道149是5G的。
点击连接,输入密码,笔记本就会通过AP与AC的CAPWAP隧道获取到业务vlan 101和vlan102的地址池中的地址。
十、如果用户需要上外网的配置方式
1、核心交换机、创建vlan300,用作虚拟接口连接外网路由器
vlan 300 //创建vlan 300
int vlan 300 //进入vlanif虚拟接口
ip add 192.168.3.1 24 //给虚拟接口配置IP地址
2、进入路由器
给路由器连接核心交换机接口配置IP地址
int g/0/0
ip add 192.168.3.254 24 //与核心交换机vlan 300同网段的IP地址
3、回到核心交换机,配置缺省路由
给业务vlan去外网配置路由,出去都走192.168.3.254这个接口
ip route-static 0.0.0.0 0 192.168.3.254 //将发出去的数据都交到192.168.3.254这个接口
4、进入路由器配置路由
路由器收到报文,回包时走的路由
ip route-static 192.168.101.0 24 192.168.3.1 //路由器给业务网段的数据回包时,走192.168.3.1这个接口
ip route-static 192.168.102.0 24 192.168.3.1 //两个业务vlan都要配置回来的路由
华为官方文档查看方式:
企业网络 - 华为企业业务
1、进入网址
2、点击产品与服务--->技术支持--->产品支持--->
3、找到需要配置的设备,或服务
4、找到需要配置的设备
5、这里举例我们需要配置AC6000
找到相对应的文档,下载或直接在线观看都可(前提是要有华为账号)
配置中继的实验原理:
将AP划分到vlan 10,汇聚交换机将vlan 10放通,让AP获取IP地址的请求能够发送到核心交换机。核心交换机创建vlan 10,并在里面配置了IP地址192.168.1.1这个就是AP的网关。AP将DHCP请求发送到网关后,发现网关做了DHCP中继,中继地址配置的是192.168.100.254,所以核心交换机就会将DHCP请求广播转换成单播,发送给AC(DHCP服务器),然后AC再将分配的地址报文发送出去,AP确认后,获取到IP地址。
DHCP中继的作用:
DHCP中继(也叫做DHCP中继代理)是一个小程序,其可以实现在不同子网和物理网段之间处理和转发DHCP信息的功能。
如果DHCP客户机与DHCP服务器在同一个物联网段,则客户机可以正确地获得动态分配的IP地址。
如果不在同一个物理网段,则需要DHCP Relay Agent(中继代理)
小知识:
中继模式可以将接收到的广播转换成单播,然后传输给中继服务器。这里核心交换机使用中继技术,将接收的AP发送请求IP地址的广播转为单播发送给中继服务器(AC),然后AC收到后,发送分配的地址回去。
DHCP 中继原理
1、当dhcp client 启动并进行dhcp 初始化时,它会在本地网络广播配置请求报文。
2、如果本地网络存在dhcp server,则可以直接进行dhcp 配置,不需要dhcp relay。
3、如果本地网络没有dhcp server,则与本地网络相连的具有dhcprelay 功能的网络设备收到该广播报文后,将进行适当处理并转发给指定的其它网络上的dhcp server。
4、dhcp server 根据dhcp client 提供的信息进行相应的配置,并通过dhcp relay 将配置信息发送给dhcp client,完成对dhcp client 的动态配置。
事实上,从开始到最终完成配置,需要多个这样的交互过程。
1、dhcp relay设备修改dhcp消息中的相应字段,把dhcp的广播包改成单播包,并负责在服务器与客户机之间转换。
2、在这个实验中,核心交换机就属于中继代理。
DHCP服务器在不同的网段,设备还是需要这个DHCP服务器动态获取地址时,就需要配置DHCP中继。
WLAN二层组网
Later 13:59:35
AC
第一步:注册AP上线
vlan batch 100 to 102
dhcp enable
interface Vlanif100
ip address 10.1.100.1 255.255.255.0
dhcp select interface
interface Vlanif101
ip address 10.1.101.1 255.255.255.0
dhcp select interface
interface Vlanif102
ip address 10.1.102.1 255.255.255.0
dhcp select interface
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100 to 102
capwap source interface vlanif100
wlan
regulatory-domain-profile name D1
country-code CN
ap auth-mode mac-auth
ap-group name AP1
regulatory-domain-profile D1
(AP组里面的AP使用该域管理模板)
ap-mac 00e0-fc00-18d0
ap-group AP1
ap-mac 00e0-fc2e-2f40
ap-group AP1
使用display ap all查看AP状态
第二步:WLAN业务下发
security-profile name S1
security wpa-wpa2 psk pass-phrase 88888888(WiFi密码) aes
ssid-profile name HW1
ssid HW1(Wifi名称)
ssid-profile name HW2
ssid HW2
vap-profile name HW1
service-vlan vlan-id 101
ssid-profile HW1
security-profile S1
vap-profile name HW2
service-vlan vlan-id 102
ssid-profile HW2
security-profile S1
ap-group name AP1
vap-profile HW1 wlan 1 radio all
vap-profile HW2 wlan 2 radio all
Later 13:59:43
SW2
sysname SW2
undo info-center enable
vlan batch 100 to 102
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 to 102
interface GigabitEthernet0/0/2
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100 to 101
interface GigabitEthernet0/0/3
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100 102
Later 13:59:49
SW1
sysname SW1
undo info-center enable
vlan batch 100 to 102
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 to 102
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 to 102
Later 14:00:06