1 拓撲
拓撲可以保存到本地,然後擴大查看,這樣才能看的更清楚。
2 無線架構之無線業務部署
說明:無線的實現,在這個架構中,我們使用的是二層旁掛本地轉發模式,對於Guest的SSID使用2.4G,並且開放認證,不需要輸入用戶名密碼,只能訪問內部的特點WEB服務器與外網,而內部用的SSID則需要認證,可以訪問內部網絡與外網。
特別說明:由於現網中暫時沒有無線設備,所以這塊的實現以模擬器實現,功能跟實際設備是一樣的。【AC使用6605 V2003C,AP使用的是AP 6010】,而且新版V2003C是不區分有線側跟無線側的,老版本才區分。
4 AC配置第一步【AC上線】
[AC6605]int vlan 1
[AC6605-Vlanif1]ip address 192.168.1.251 24
說明:配置一個IP地址,該接口地址用來與AP通信的。
[AC6605]wlan
[AC6605-wlan-view]wlan ac source interface Vlanif 1
[AC6605-wlan-view]ap-auth-mode sn-auth
[AC6605-wlan-view]ap id 1 type-id 19 sn 21023544831069236750
說明:定義了AC的源地址為VLAN 1,該地址是與AP進行建立CAPWAP隧道的,啟用了AP認證功能,使用序列號,然後在AP定義了一個ID為1,然後AP類型為19,序列號為那個。其中type-id是可以查看的,SN則在AP上面查看。
可以通過display ap-type all 查看該AC支持的AP類型,其中AP6010DN ID為19,所以定義ID為19,至於序列號怎麼查看,在AP上面通過displa system-information 查看
結果驗證
目前來看,AP還沒有獲取到地址,這個是定期發送DHCP報文獲取的。
通過查看已經獲取到了IP地址了,然後即可與AC建立CAPWAP隧道,這個過程需要一定的時間,後面可以看到CAPWAP隧道已經建立了
查看隧道狀態為RUN。
可以看到AC上面也有對應的AP信息了。至此AP上線完成。
4 分析:是否需要Option 43功能。
可以看到這裡AP已經上線了,並沒有分配DHCP Option43功能,主要是因為AP分配的網段與AC的通信管理VLAN在一個網段中,都為192.168.1.0/24,二層網絡的話,CAPWAP是會廣播尋找AC的,所以尋找後則自動建立了CAPWAP隧道。而三層則不同,三層的話,就是AP分配的網段與AC的管理VLAN網段不在同一個網段中,也就是不同網段了,這時候我們則需要通過DHCP Option 43來告訴AP ,AC的地址是什麼,然後通過其他設備轉發與AC建立CAPWAP隧道。
我們這裡介紹下華為與Windows DHCP服務器情況下怎麼設置
5 Windows DHCP option 43定義
之前已經定義了DCHP地址池了,所以這裡只需要創建作用域選項,其實像DNS Domain等參數都是選項,只是常用的功能被微軟簡化了操作。
03 0f 31 39 32 2e 31 36 38 2E 31 30 30 2E 32 35 34 ,這個值而二進制,怎麼換算,可以看下面的說明
03為固定值
0f是十六進制,換成十進制為15,代表長度,表示192.168.100.254,加上小數點,從左往右數,正好15個長度
十六進制31對應ASCII值是1,而39則為9,32為2,則是192,依次類推
2E就是小數點.
對於涉及到多個AC,Option 43要填寫多個IP地址的情形(比如AC 雙鏈路備 份組網等),IP地址之間以逗號“,”間隔,逗號“,”對應的ASCII值為2C,如主備 AC的IP地址分別為:192.168.100.2,192.168.100.3,那Option 43屬性應該填寫為: 031B3139322E3136382E3130302E322C3139322E3136382E3130302E33 。其中,03為固定值,代表Option 43的子選項類型;十六進制1B(“1B”等於十進制數“27”) 表示兩個IP地址字符的個數,包含中間間隔的逗號“,”和小數點“.”,十六進制 數31對應字符“1”的ASCII值,32對應字符“2”的ASCII值,依此類推。十六進制 數2E對應字符小數點“.”的ASCII值,十六進制2C對應字符逗號“,”的ASCII 值,即值3139322E3136382E3130302E322C3139322E3136382E3130302E33表示AC 的IP地址192.168.100.2,192.168.100.3。
6 華為設備定義
systerm-view
[Quidway] dhcp enable
[Quidway] ip pool huawei
[Quidway-ip-pool-huawei] network 192.168.100.0 255.255.255.0
[Quidway-ip-pool-huawei] gateway-list 192.168.100.1
配置Option 43,使AP能夠獲得AC的IP地址。假設AC的IP地址為10.10.10.1。
[Quidway-ip-pool-huawei] option 43 sub-option 3 hex 31302E31302E31302E31
說明:還可以執行命令option 43 hex 030A31302E31302E31302E31或者option 43 sub-option 3 ascii 10.10.10.1來完成Option 43的配置。
7 AP域與WMM定義
[AC6605]wlan
[AC6605-wlan-view]ap-region id 1
[AC6605-wlan-ap-region-1]ap id 1
說明:默認存在一個與為 0,建議的是不同業務或者部門可以加入不同的域,這樣的話後續調整射頻參數、調優等參數則隻影響該域的參數。
WMM模板是提供了QOS等服務等級,將數據報文按照優先級從高到低分為4個接入類AC(Access Category):AC_VO(語音)、AC_VI(視頻)、AC_BE(盡力而為)、AC_BK(背景),高優先級的AC佔用信道的機會大於低優先級的AC。
[AC6605]wlan
[AC6605-wlan-view]wmm-profile name Ap1
說明:WMM默認情況下有默認策略的,沒有特別需求的話,可以直接使用默認的。
8 射頻模板定義
射頻模板參數內容包括:射頻類型、射頻速率、射頻信道模式、射頻功率模式、丟包/錯包率門限、衝突率門限、分段門限、RTS/CTS門限、短/長幀最大重傳次數門限、是否支持短前導碼、DTIM週期、beacon幀週期、WMM參數等。
[AC6605-wlan-view]radio-profile name 2.4G
[AC6605-wlan-radio-prof-2.4G]wmm-profile name ap1
[AC6605-wlan-view]radio-profile name 5G
[AC6605-wlan-radio-prof-5G]wmm-profile name ap1
[AC6605-wlan-radio-prof-5G]radio-type 80211an
說明:這裡模板默認情況下只需要調用WMM模板,其餘的都有默認策略,比如默認情況下,信道模式為Auto,也就是AC會自動根據AP周圍的信道自動合理規劃信道,射頻類型等。這裡定義2個是一個作為2.4G使用,另外一個使用5G
9 安全模板定義
[AC6605]wlan
[AC6605-wlan-view]security-profile name open
[AC6605-wlan-view]security-profile name pre-authen
[AC6605-wlan-sec-prof-pre-authen]security-policy wpa2
[AC6605-wlan-sec-prof-pre-authen]wpa2 authentication-method psk pass-phrase simple ccieh3c.taobao.com encryption-method ccmp
說明:安全模板定了2個,一個為Open,即默認策略,也就是後續定義的Guest,不進行認證,而後面定義了一個pre-auten則為WPA2進行密碼認證,這個是給內部用的。
10 流量模板
流量模板可以實現為某個無線網絡定製特定的優先級映射和流量監管功能。
[AC6605]wlan
[AC6605-wlan-view]traffic-profile name AP-1
說明:默認情況下流量模板下,有默認策略,比如802.1P映射,用戶的限速、VAP限速等功能,這裡先使用默認的,後續需求的話在進行調整。
11 定義WLAN-ESS接口
WLAN-ESS接口類似於一個模板,它的作用主要給一個AP可以虛擬多個VAP出來,VAP提供給不同的服務接入,而一個VAP對應一個WLAN-BDSS接口,而WLAN-ESS則是WLAN-BDSS屬性模板,也就是AC動態創建一個VAP,則自動創建一個WLAN-BDSS,而屬性則繼承WLAN-ESS定義的。
[AC6605]interface Wlan-Ess 1
[AC6605-Wlan-Ess1]port hybrid untagged vlan 19
說明:創建了一個WLAN-ESS接口,並且允許了VLAN 19的流量不打標籤進入該接口,默認情況下VLAN 1已經通過了,所以這裡的流量即為VLAN 19與1。當然該接口還可以部署其他策略,比如dot1x、MAC認證等功能,注意的是,V200R3的版本是不需要啟用DHCP功能的,默認就開啟了。
12 定義WLAN服務集
服務集的功能就是來彙集之前定義的業務參數功能,比如定義SSID,轉發模式,關聯射頻模板,認證策略等,然後調用在AP下,進行下發。
[AC6605]wlan
[AC6605-wlan-view]service-set name open
[AC6605-wlan-service-set-open]ssid Guest
[AC6605-wlan-service-set-open]forward-mode direct-forward
[AC6605-wlan-service-set-open]wlan-ess 1
[AC6605-wlan-service-set-open]service-vlan 19
[AC6605-wlan-service-set-open]security-profile name open
[AC6605-wlan-service-set-open]traffic-profile name AP-1
[AC6605-wlan-view]service-set name intrenet
[AC6605-wlan-service-set-intrenet]ssid intrent
[AC6605-wlan-service-set-intrenet]service-vlan 19
[AC6605-wlan-service-set-intrenet]wlan-ess 1
[AC6605-wlan-service-set-intrenet]security-profile name pre-authen
[AC6605-wlan-service-set-intrenet]forward-mode direct-forward
[AC6605-wlan-service-set-intrenet]traffic-profile name AP-1
說明:這裡創建了2個服務集,一個用於Guest用的,一個用於intrenet,除了SSID與安全策略不一樣外,其餘的都一致。
13 射頻配置
每個AP都有一個或多個射頻模塊,這個射頻模塊負責無線信號的收發、功率的調整以及信道的配置等功能。
[AC6605]wlan
[AC6605-wlan-view]ap 1 radio 0
[AC6605-wlan-radio-1/0]radio-profile name 2.4G
[AC6605-wlan-radio-1/0]service-set name open
[AC6605-wlan-view]ap 1 radio 1
[AC6605-wlan-radio-1/1]radio-profile name 5G
[AC6605-wlan-radio-1/1]service-set name intrenet
說明:這裡定義了2個射頻,一個給2.4G用,另外一個給intrenet,2.4G主要提供給Guest使用,而5G在內企業網內部使用,這裡說明的是,radio 0為2.4G頻率,而1為5G頻率。
14 下發配置
[AC6605-wlan-view]commit ap 1
15 環境測試驗證
可以看到2個客戶端都已經連接上去了,默認情況下訪客是不需要用戶名密碼認證,而內部用戶則需要。
可以看到已經正常獲取到IP地址了。
16 AP上面的變化
可以看到AP接口上聯交換機變化,默認情況下是隻允許VLAN 1通過的,現在多了一個VLAN 19,該就是業務VLAN,而管理VLAN還是1,所以與AC通信則是通過VLAN 1進行CAWAP,而VLAN 19則是給PC業務使用的,正真轉發數據用的VLAN,而2個SSID創建了WLAN-BSS0與17,它的策略繼承與之前配置的WLAN-ESS接口。
閱讀更多 思恆科技 的文章
