发帖
雷达卡
一、案例目标
- 掌握小型网络的组网设计方法,重点学习无线AC控制器的配置流程,并对无线设备覆盖范围、无线认证机制以及信道选择进行深入分析。
- 综合应用路由技术、NAT协议与无线AC控制器,实现多技术融合的网络架构部署。
- 利用无线AC控制器集中管理网络中的无线AP设备,设定合理的无线规则和认证策略;同时配置DHCP地址池,为AP及其接入终端提供动态IP地址分配服务。
二、案例分析
Cloud1
网络拓扑结构如下所示:
VLAN划分与链路配置
首先对接入交换机进行VLAN划分,并完成各链路的基础配置。在实际通信过程中,PC发出的数据帧本身不携带VLAN标签,该标签是在数据帧进入交换机端口时由交换机添加的。具体而言,在标准以太网帧中,VLAN Tag被插入到源MAC地址(SA)与类型字段(Type)之间,其中包含VLAN ID信息。VLAN ID的取值范围为0~4095,共4096个,除去默认使用的VLAN 1及保留的VLAN 4096后,可用ID数量为4094个。
交换机通过识别数据帧中的VLAN标签来区分不同VLAN的流量。例如,当PCA向PCB发送数据帧时,该帧进入交换机后会被打上VLAN 10标签,随后交换机依据其VLAN转发表将数据从对应端口转发给PCB。由于原始PC数据无标签,因此在数据帧离开交换机前,交换机会将其携带的VLAN标签剥离,再发送至目标主机。
The device is running!
<Huawei>system-view
[Huawei]sysname SW1
[SW1]vlan batch 100 101
[SW1]interface GigabitEthernet 0/0/2
[SW1-GigabitEthernet0/0/2]port link-type trunk
[SW1-GigabitEthernet0/0/2]port trunk allow-pass vlan 101 100
[SW1-GigabitEthernet0/0/2]port trunk pvid vlan 101 ****##剥离标签****
[SW1-GigabitEthernet0/0/2]display this
port link-type trunk
port trunk pvid vlan 101
port trunk allow-pass vlan 100 to 101
#
return
[SW1-GigabitEthernet0/0/2]quit
[SW1]interface GigabitEthernet 0/0/3
[SW1-GigabitEthernet0/0/3]port link-type trunk
[SW1-GigabitEthernet0/0/3]port trunk allow-pass vlan 100 101
[SW1-GigabitEthernet0/0/3]port trunk pvid vlan 101
[SW1-GigabitEthernet0/0/3]display this
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk pvid vlan 101
port trunk allow-pass vlan 100 to 101
#
return
[SW1-GigabitEthernet0/0/3]quit
[SW1]interface GigabitEthernet 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type trunk
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 101
[SW1-GigabitEthernet0/0/1]quit
[SW1]
DHCP服务与VlanIF接口配置
VLAN划分完成后,同一VLAN内的设备可直接通信,但跨VLAN用户无法互通。为实现不同VLAN之间的通信,需配置三层逻辑接口——即VlanIF接口。当交换机需要与三层网络设备通信时,可通过创建基于VLAN的虚拟接口(VlanIF)来完成路由功能。
接下来开启DHCP服务,并为相关VLAN创建对应的VlanIF接口并配置IP参数:
[SW1]dhcp enable ## 开启DHCP服务
[SW1]interface Vlanif 100
[SW1-Vlanif100]ip address 10.10.100.1 22 ## 绑定IP地址与子网掩码
上述配置完成后,交换机即可作为DHCP服务器为指定VLAN内的客户端分配IP地址,同时支持跨VLAN通信需求。
[AC1]vlan batch 100 101 [AC1]dhcp enable [AC1]interface GigabitEthernet 0/0/1 [AC1-GigabitEthernet0/0/1]port link-type trunk [AC1-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 to 101 [AC1-GigabitEthernet0/0/1]display this # interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 100 to 101 # return [AC1-GigabitEthernet0/0/1]quit [AC1]interface Vlanif 101 [AC1-Vlanif101]ip address 172.16.101.1 24 [AC1-Vlanif101]dhcp select interface [AC1-Vlanif101]quit [SW1-Vlanif100]dhcp select interface ## 设置DHCP地址池接口 [SW1-Vlanif100]dhcp server dns-list 114.114.114.114 223.5.5.5 ## 配置DHCP域名解析服务器地址 [SW1-Vlanif100]quit [SW1] [AC1]wlan [AC1-wlan-view]ap-group name ap-group1 ## 创建AP组 ap-group1 [AC1-wlan-ap-group-ap-group1]regulatory-domain-profile default ## 绑定默认域管理模板到ap-group1 Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continue?[Y/N]:y [AC1-wlan-ap-group-ap-group1]quit [AC1]capwap source interface Vlanif 101 ## 指定CAPWAP通信源接口为Vlanif101,确保AP可通过该接口与AC建立连接 [AC1-wlan-view]ap auth-mode mac-auth ## 配置AP采用MAC地址认证方式 [AC1-wlan-view]ap-id 0 ap-mac 00e0-fc46-1bf0 ## 配置AP的ID为0,并绑定其MAC地址(可通过display arp命令获取) [AC1-wlan-ap-0]ap-name area_1 ## 将AP-0命名为area_1 [AC1-wlan-ap-0]ap-group ap-group1 ## 将AP-0加入ap-group1组 Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y Info: This operation may take a few seconds. Please wait for a moment.. done. [AC1-wlan-ap-0]quit [AC1-wlan-view]ap-id 1 ap-mac 00e0-fc9a-5350 ## 添加第二个AP,配置其ID和MAC地址 [AC1-wlan-view]quit The device is running!
说明:上述配置流程实现了通过CAPWAP协议完成无线接入点(AP)与无线控制器(AC)之间的通信对接。CAPWAP(Control And Provisioning of Wireless Access Points)协议用于在AC和AP之间建立隧道,实现对AP的集中管理、配置下发以及STA数据的封装转发。
主要功能包括:AP自动发现AC、状态机维护、AC对AP的认证与配置管理、业务参数下发,以及用户数据通过CAPWAP隧道进行传输。在此过程中,需预先规划VLAN、启用DHCP服务以分配IP地址,并正确设置端口类型及允许通过的VLAN范围。
此外,通过配置capwap source interface指定AC侧的源接口,确保AP能够基于此IP地址发起连接;同时使用MAC认证方式对AP进行身份验证,保障网络安全性。每个AP需绑定唯一的ID和MAC地址,并可归属至特定AP组以便统一策略管理。
[AC1-wlan-view]ap-name area_2 ## 将AP-1设备命名为area_2 [AC1-wlan-ap-1]ap-group ap-group1 ## 将该AP加入到ap-group1组中 Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio. Continue? [Y/N]:y Info: This operation may take a few seconds. Please wait for a moment... done. [AC1-wlan-ap-1]quit [AC1-wlan-view]display ap all ## 查看所有AP的当前状态信息 Info: This operation may take a few seconds. Please wait for a moment... done. Total AP information: fault: fault [2] ----------------------------------------------------------------------------------- ID MAC Name Group IP Type State STA Uptime ----------------------------------------------------------------------------------- 0 00e0-fc46-1bf0 area_1 ap-group1 - AP2050DN fault 0 - 1 00e0-fc9a-5350 area_2 ap-group1 - AP2050DN fault 0 - ----------------------------------------------------------------------------------- Total: 2 当AC与AP之间尚未建立通信时,AP1默认使用的IP地址为169.254.1.1。一旦AC与AP1成功通信,AP1将自动从AC所在网段获取动态分配的IP地址。
4. WLAN业务配置说明
a)安全模板配置
安全模板用于设定WLAN网络的安全策略,实现对无线终端的身份认证和用户数据报文的加密处理,从而保障WLAN网络及用户的整体安全性。支持的安全认证方式包括:开放认证、WEP、WPA/WPA2-PSK、WPA/WPA2-802.1X、WAPI-PSK以及WAPI证书认证等。用户可根据实际需求在安全模板中选择其中一种方式进行配置。需要注意的是,若采用开放认证或WPA/WPA2-802.1X方式,则需结合NAC功能进行联合配置,以实现对接入用户的精细化管理。 b)SSID模板配置
SSID模板用于定义无线网络的服务集标识(即用户可见的网络名称),并在STA搜索可用网络时展示出来。除设置SSID名称外,该模板还支持多种高级功能配置: 1. 隐藏SSID功能:出于安全考虑,管理员可启用SSID隐藏功能。启用后,无线网络不会对外广播其名称,只有已知SSID名称的用户才能手动连接,提升网络访问控制能力。 2. 单个VAP最大关联用户数限制:为保证每个接入用户的网络体验质量,可根据实际带宽和接入密度情况,设置单个VAP下允许同时在线的最大用户数量。避免因用户过多导致资源争抢、速率下降等问题。 3. 用户数达上限时自动隐藏SSID:开启此功能后,当接入用户数量达到预设上限,系统将自动停止广播SSID,使新用户无法发现该网络,有效防止过载接入。 4. 禁止非HT终端接入:仅支持802.11a/b/g协议的非HT终端传输速率较低,一旦接入会拖慢整个网络中支持802.11n/ac的高速终端性能。因此可通过配置禁止此类设备接入,保障高带宽终端的通信效率。 5. STA关联老化时间设置:用于设定用户空闲断线时间阈值。若AP在指定时间段内未收到某STA的数据报文,则判定其已离线并自动将其下线,释放占用资源,提高系统整体运行效率。
在无线网络配置中,DTIM周期参数用于定义Beacon帧的发送间隔。具体而言,每经过DTIM个Beacon帧后,下一个Beacon帧将携带DTIM(Delivery Traffic Indication Message)指示信息,用以通知处于省电模式的STA(Station)有缓存在AP上的广播或组播数据即将被发送,从而唤醒这些设备进行接收。
VAP模板的作用是集中配置一系列无线服务参数,随后可在AP组或单个AP中引用该模板,使AP自动生成对应的VAP(Virtual Access Point),为STA提供无线接入服务。通过调整VAP模板中的各项设置,可实现对不同无线业务的支持能力,例如安全策略、SSID广播和数据转发模式等。
以下为典型的VAP模板及相关配置命令示例:
[AC1-wlan-view]security-profile name Internet ## 创建名为“Internet”的安全模板
[AC1-wlan-sec-prof-Internet]security wpa-wpa2 psk pass-phrase a1234567 aes ## 配置WPA-WPA2混合认证方式,设置预共享密钥及AES加密算法
[AC1-wlan-sec-prof-Internet]quit
[AC1-wlan-view]ssid-profile name Internet ## 建立SSID配置模板,命名为“Internet”
[AC1-wlan-ssid-prof-Internet]ssid Internet ## 设置实际对外广播的无线网络名称为“Internet”
Info: This operation may take a few seconds, please wait.done.
[AC1-wlan-ssid-prof-Internet]quit
[AC1-wlan-view]vap-profile name Internet ## 创建VAP配置模板
[AC1-wlan-vap-prof-Internet]forward-mode direct-forward ## 设定数据转发模式为直转模式
[AC1-wlan-vap-prof-Internet]service-vlan vlan-id 100 ## 指定业务流量所属的VLAN编号为100
Info: This operation may take a few seconds, please wait.done.
[AC1-wlan-vap-prof-Internet]security-profile Internet ## 关联之前创建的安全模板
Info: This operation may take a few seconds, please wait.done.
[AC1-wlan-vap-prof-Internet]ssid-profile Internet ## 绑定SSID配置模板
Info: This operation may take a few seconds, please wait.done.
[AC1-wlan-vap-prof-Internet]quit
[AC1-wlan-view]ap-group name ap-group1 ## 进入AP组“ap-group1”的配置视图
[AC1-wlan-ap-group-ap-group1]vap-profile Internet wlan 1 radio 0 ## 在2.4GHz频段(radio 0)启用VAP实例
Info: This operation may take a few seconds, please wait...done.
[AC1-wlan-ap-group-ap-group1]vap-profile Internet wlan 1 radio 1 ## 在5GHz频段(radio 1)启动相同VAP
Info: This operation may take a few seconds, please wait...done.
[AC1-wlan-ap-group-ap-group1]quit
配置完成后,可通过查看ARP表项验证网络连通性状态:
[AC1-wlan-view]display arp all
IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE
VLAN/CEVLAN PVC
------------------------------------------------------------------------------
172.16.101.1 00e0-fcb3-31e4 I - Vlanif101
172.16.101.106 00e0-fc9a-5350 12 D-0 GE0/0/1
101/-
172.16.101.54 00e0-fc46-1bf0 11 D-0 GE0/0/1
101/-
Total:3 ????????Dynamic:2 ??????Static:0 ????Interface:1 [AC1-wlan-view] 请确认系统数据是否已更改,并及时保存配置信息 配置控制台超时,请按任意键重新登录 开启无线通信功能启动STA1设备并输入无线密码以连接WiFi网络
使用STA1对网关地址(10.10.100.1)执行ping操作进行连通性测试
5. 配置AC的图形化管理界面 首先创建VLAN 200: [AC1]vlan batch 200 将GigabitEthernet 0/0/2接口配置为接入模式并划分至VLAN 200: [AC1]interface GigabitEthernet 0/0/2 [AC1-GigabitEthernet0/0/2]port link-type access [AC1-GigabitEthernet0/0/2]port default vlan 200 [AC1-GigabitEthernet0/0/2]quit 配置VLANIF 200接口的IP地址,作为管理接口: [AC1]interface Vlanif 200 [AC1-Vlanif200]ip address 192.168.100.10 24 [AC1-Vlanif200]quit 测试与目标地址192.168.100.1之间的网络可达性: [AC1]ping 192.168.100.1 PING 192.168.100.1: 56 ?data bytes, press CTRL_C to break Reply from 192.168.100.1: bytes=56 Sequence=1 ttl=64 time=30 ms Reply from 192.168.100.1: bytes=56 Sequence=2 ttl=64 time=1 ms Reply from 192.168.100.1: bytes=56 Sequence=3 ttl=64 time=1 ms Reply from 192.168.100.1: bytes=56 Sequence=4 ttl=64 time=1 ms Reply from 192.168.100.1: bytes=56 Sequence=5 ttl=64 time=1 ms --- 192.168.100.1 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 1/6/30 ms 启用HTTP服务器功能,用于访问Web管理界面: [AC1]http server enable This operation will take several minutes, please wait... Info: Succeeded in starting the HTTP server 注意事项:在尝试访问前,请确保关闭计算机上的防火墙设置 确认无线AC设备已成功开启HTTP服务: [AC1]http server enable 在浏览器地址栏中输入管理地址 http://192.168.100.10,进入AC的Web管理页面
登录凭证如下: 用户名:admin 密码:admin@huawei.com
登录后显示的首页界面如下所示
AC设备的整体管理界面展示
AP设备的管理与状态界面
京公网安备 11010802022788号
