配置大型網路WLAN基本業務示例
WLAN不同的特性和功能需要在不同型別的模板下進行配置和維護,這些模板統稱為WLAN模板,如域管理模板。射頻模板、VAP模板、AP系統模板、AP有線口模板、WIDS模板、WDS模板、Mesh模板,當用戶在配置WAN業務功能時,需要在對應功能的WLAN模板中進行引數配置,配置完成後,須將此模板引用到AP組或AP中,配置下發到AP,進而配置的功能在AP上生效。由於模板之間是存在相互引用關係的,因此在使用者配置過程中,需要提前瞭解各個模板之間存在的邏輯關係。
1。組網需求
如圖所示,某大型企業的現網中,匯聚交換機 Switch B下行連線接入交換機 Switch A。上行連線router。使用者希望能在儘可能少的更改現有組網架構的情況下部署WLAN網路
使用者的具體需求為
(1)企業辦公樓的前臺大廳部署SSID為“guest”的無線網路,為來訪的客戶提供無線網路接入
(2)辦公區域部署SSID為” employee“的無線網路,為企業員工提供無線網路連線
2。配置思路
採用如下的思路配置大型網路WLAN基本業務
()置SwitchA和SwitchB,實現二層互通:配置SwitchB、Router和AC,實現三層互通
(2)在 Router上配置基於全域性地址池的DHCP伺服器為AP和STA分配ip地址
(3)配置VLAN pool,用於作為業務VLAN
(4)配置AP上線。a、建立AP組,用於將需要進行相同配置的AP都加入到AP組,實現統一配置,b、配置AC的系統引數包活國家碼、AC與AP之間通訊的源介面,c、配置AP上線的認證方式並離線匯入AP,實現AP正常上線。
(5)配置WLAN業務引數,實現STA訪問WLAN網路功能
資料規劃表
1、DHCP伺服器;router為STA和AP分IP地址
2、AP的IP地址池
10。23。100。2-10。23。100。254/24
3、STA的P地址池
訪客使用者的P地址範圍
10。23。101。2-10。23。101。254/24
10。23。102。2-10。23。102。254/24
企業員工的P地址範圍
10。23。103。2-10。23。103。254/24
10。23。104。2-10。23。104。254/24
4、AC的源介面|P地址
VLANIF200:10。45。200。1/24
5、VLAN pool
名稱: sta-pool1
為訪客使用者分配ip地址
VLAN pool中加入的VLAN:101、102
名稱: sta-pool2
為企業員工分配ip地址
VLAN pool中加入的VLAN:103、104
6、域管理模板
名稱:domain1
國家碼:CN
7、AP組
名稱: guest
引用模板:VAP模板guest,域管理模板domain1
名稱: employee
引用模板:VAP模板 employee、域管理模板 domain1
8、SSID模板
名稱:guest
SSID名稱:guest
名稱:employee
SSID名稱:employee
9、安全模板
名稱:guest
安全策略:WPA2+PSK+AES
密碼:a1234567
名稱:employee
安全策略:WPA2+PSK+AES
密碼:b1234567
10、VAP模板:
名稱:guest
轉發模式:隧道轉發
業務vlan:sta-pool1
引用模板:SSID模板guest、安全模板guest
名稱:employee
轉發模式:隧道轉發
業務vlan:sta-pool2
引用模板:SSID模板employee、安全模板employee
相關配置:
配置互通
配置接入交換機 Switch A,將介面GE0/0/1-GE0/0/5都加入VLAN100(管理VLAN),介面 GE0/O/1-GE0/0/4下的配置完全一數,以配置介面GE0/0/1為例,介面GE0/0/2-GE0/0/4的配置請參考介面
GEO/0/1。
sysname SwitchA
vlan batch 100
interface gigabitethernet0/0/1
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100
port-isolate enable 埠隔離啟用
quit
interface gigabitethernet0/0/5
port link-type trunk
port trunk allow-pass vlan 100
q
GEO/0/2 GEO/0/3 GEO/0/4
因為是隧道轉發,所以只有vlan 100 ,vlan101、102、103、104都會封裝capwap封裝vlan100
配置匯聚交換機 SwitchB。配置介面GE0/0/1加入VLAN100。GE0/0/2加入WAN101-VLAN10
4和VLAN200,GE0/0/3加入VLAN201
system-view
sysname SwitchB
vlan batch 100 to 104 200 201
interface gigabitethernet 0/0/1
port link-type trunk
port trunk allow-pass vlan 100
quit
interface gigabitethernet 0/0/2
port link-type trunk
port trunk allow-pass vlan 101 to 104 200
quit
interface gigabitethernet 0/0/3
port link-type trunk
port trunk allow-pass vlan 201
port trunk pvid vlan 201
quit
(0/0/3介面也可以設定成access鏈路)
在匯聚交換機 SwitchB上建立VLANIF100-VLANIF104、 VLANIF200和 VLANIF201並配置ip地地址,其中 VLANIF100為AP的閘道器, VLANIF101和VLANIF102為訪客使用者的閘道器, VLANIF103和 VLANIF104為企業員工的閘道器,VLANIF200用於witchB與AC通訊,VLANF201用於5wthB與Router通值
SWB:
interface vlanif 100
ip address 10。23。100。1 24
quit
interface vlanif 101
ip address 10。23。101。1 24
q
interface vlanif 102
ip address 10。23。102。1 24
quit
interface vlanif 103
ip address 10。23。103。1 24
quit
interface vlanif 104
ip address 10。23。104。1 24
q
interface vlanif 200
ip address 10。45。200。2 24
q
interface vlanif 201
ip address 10。67。201。2 24
quit
配置AC連線匯聚交換機 Switch B的介面GE0/0/1加入VLAN101-VLAN104和VLAN200。
sysname AC
vlan batch 101 to 104 200
interface vlanif 200
ip address 10。45。200。1 24
quit
interface gigabitethernet 0/0/1
port link-type trunk
port trunk allow-pass vlan 101 to 104 200
配置 Router的介面並目配置ip地址使 Router能與 Switch B通訊
sysname Route
interface gigabitethernet 0/0/0
ip address 10。67。201。1 24
q
配置 Router到 Switch B的路由
ip route-static 10。23。100。0 24 10。67。201。2
ip route-static 10。23。101。0 24 10。67。201。2
ip route-static 10。23。102。0 24 10。67。201。2
ip route-static 10。23。103。0 24 10。67,201。2
ip route-static 10。23。104。0 24 10。67。201。2
ip route-static 10。23。200。0 24 10。67。201。2
配置 Switch B的預設路由,下一跳為 Router的VLANIF201
ip route-static 0。0。0。0 0。0。0。0 10。67。201。1
配置AC到AP的路由,下一跳為 Switch B的 VLANIF200
ip route-static10。23。100。0 24 10。45。200。2
配置DHCP服務,為AP和STA分配|P地址
配置swithB作為DHCP中繼
dhcp enable
interface vlanif 100
dhcp select relay
dhcp relay server-ip 10。67。201。1
quit
interface vlanif 101
dhcp select relay
dhcp relay server-ip 10。67 201。1
quit
interface vlanif 102
dhcp select relay
dhcp relay server-ip 10。67。201。1
q
interface vlanif 103
dhcp select relay
dhcp relay server-ip 10。67。201。1
quit
interface vlanif 104
dhcp select relay
dhcp relay server-ip 10。67。201。1
q
配置由router作為dhcp伺服器給ap和sta分配IP地址,ap和ac間為三層網路時需要透過配置option 43向ap通告ac的ip地址
Route:
dhcp enable
Ip pool ap
network 10。23。100。0 mask 24
gateway-list 10。23。100。1
option 43 sub-option 3 ascii 10。45。200。1
q
Ip pool sta1
network 10。23。101。0 mask 24
gateway-list 10。23 101。1
quit
ip pool sta2
network 10。23。102。0 mask 24
gateway-list 10。23。102。1
quit
ip pool sta3
network 10, 23 103。0 mask 24
gateway-list 10。23。103。1
quit
ip pool sta4
network 10。23。104。0 mask 24
gateway-list 10。23。104。1
quit
interface g0/0/0
dhcp select global dhcp選擇全域性
quit
配置 VLAN pool用於作為業務VLAN
新建兩個 VLAN pool,sta-pool1和 sta-pool2,將VLAN101和VLAN102加入sta-pool1,VLAN103
和ⅥLAN104加入sta-pool2,配置兩個 VLAN pool中的VLAN分配演算法為”hash“
IACI vlan pool sta-pool1
vlan 101 102
assignment hash 分配演算法是hash
quit
vlan pool sta-pool2
vlan 103 104
assignment hash
q
配置AP上線
建立AP組”guest“和 ”employee“
AC:
wlan
ap-group name guest
q
ap-group name employee
q
建立域管理模板,在域管理模板下配置AC的國家碼井在AP組下引用域管理模板
wlan
regulatory-domain-profile name domain1
country-code cn
quit
ap-group name guest
regulatory-domain-profile domain1
y
q
ap-group name employee
regulatory-domain-profile domain1
Q
配置ac的源介面
capwap source interface vlanif 200
在AC上離線匯入AP,將部署在前臺大廳的AP都加入到AP組 ”quest”,部署在辦公區域的AP都加入到AP組 “employee”,並且根據AP的部署位置為AP配置名稱,便於從名稱上就能夠了解AP的部署位置例如MAC地址為60de4749640的AP部署在辦公區域2樓的1號房間,命名此AP為“office2-1”
wlan
ap auth-mode mac-auth
ap-id 0 ap-mac 60de-4476-0360
ap-name lobby-1
ap-group guest
y
q
ap-id 1 ap-mac 60de-4476-e380
ap-name lobby-2
ap-group guest
quit
ap id 2 ap-mac 60de-4474-9640
ap-name office2-1
ap-group employee
quit
ap-id 3 ap-mac 60de-4474-9660
ap-name office2-2
ap-group employee
quit
將AP上電後,當執行命令 display ap all檢視到AP的ste欄位為“nor”時,表示AP正常上線
display ap all
配置wlan業務引數
建立名為 guest和 employee的安全模板,並配置安全策略
wlan
security-profile name guest
security wpa2 psk pass-phrase a1234567 aes
q
security-profile name employee
security wpa2 psk pass-phrase b1234567 aes
q
建立名為guest和employee的SSID模板,並分別配置SSID名稱為guest和employee
wlan
ssid-profile name guest
ssid guest
y
q
ssid-profile name employee
ssid employee
y
q
建立名為 guest和 employee的VAP模板,配置業務資料轉發模式,業務VLAN,並且引用安全模板和SS|D橫板
wlan
vap-profile name guest
forward-mode tunnel
service-vlan vlan-pool sta-pool1
security-profile guest
ssid-profile guest
q
vap-profile name employee
forward-mode tunnel
service-vlan vlan-pool sta-pool2
security-profile employee
ssid-profile employee
quit
配置AP組引用VAP模板,AP上射頻0和射頻1都使用VAP模板的配置
ap-group name guest
vap-profile guest wlan 1 radio 0
vap-profile guest wlan 1 radio 1
q
ap-group name employee
vap-profile employee wlan 1 radio 0
vap-profile employee wlan 1 radio 1
quit
配置AP射頻的通道和功率
關閉射頻的通道和功率自動調優功能,射頻的通道和功率自動調優功能預設開啟,如果不關閉此功能則會導致手動配置不生效
wlan
rrm-profile name default
calibrate auto-channel-select disable
calibrate auto-txpower-select disable
配置ap射頻0的通道
ap-id 0
radio 0
channel 20mhz 6
y
q
配置ap射頻1的通道
ap-id 0
radio 1
channel 20mhz 149
y
q
r
驗證配置結果
WLAN業務配置會自動下發給AP,配置完成後,透過執行命令 display vap ssid guest和display vap ssid employee直看如下資訊,當“ Status”項顯示為“ON”時,表示AP對應的射頻上的VAP已建立成功
display vap ssid guest
display vap ssid employee
連線客戶端
display station ssid guest
display station ssid employee
