小型网络WLAN基本业务示例ACAP.docx
《小型网络WLAN基本业务示例ACAP.docx》由会员分享,可在线阅读,更多相关《小型网络WLAN基本业务示例ACAP.docx(9页珍藏版)》请在冰豆网上搜索。
小型网络WLAN基本业务示例ACAP
配置小型网络WLAN基本业务示例(IPv4网络)
配置流程
WLAN不同的特性和功能需要在不同类型的模板下进行配置和维护,这些模板统称为WLAN模板,如域管理模板、射频模板、VAP模板、AP系统模板、AP有线口模板、WIDS模板、WDS模板、Mesh模板。
当用户在配置WLAN业务功能时,需要在对应功能的WLAN模板中进行参数配置,配置完成后,须将此模板引用到AP组或AP中,配置才会自动下发到AP,进而配置的功能在AP上生效。
由于模板之间是存在各相互引用关系的,因此在用户配置过程中,需要以前了解各个模板之间存在的逻辑关系。
模板的逻辑关系和基本配置流程请参见WLAN业务配置流程。
组网需求
如图1所示,AC直接与AP连接。
现某企业分支机构为了保证工作人员可以随时随地的访问公司网络,需要通过部署WLAN基本业务实现移动办公。
具体要求如下:
∙提供名为“wlan-net”的无线网络。
∙工作人员分配到的IP地址网段为10.23.101.0/24。
图1配置小型网络WLAN基本业务组网图
配置思路
采用如下的思路配置小型网络的WLAN基本业务:
1.配置AP、AC和上层网络设备之间实现二层互通。
2.配置AC作为DHCP服务器为STA和AP分配IP地址。
3.配置AP上线。
a.创建AP组,用于将需要进行相同配置的AP都加入到AP组,实现统一配置。
b.配置AC的系统参数,包括国家码、AC与AP之间通信的源接口。
c.配置AP上线的认证方式并离线导入AP,实现AP正常上线。
4.配置WLAN业务参数,实现STA访问WLAN网络功能。
表1数据规划表
配置项
数据
DHCP服务器
AC作为DHCP服务器为STA和AP分配IP地址
AP的IP地址池
10.23.100.2~10.23.100.254/24
STA的IP地址池
10.23.101.2~10.23.101.254/24
AC的源接口IP地址
VLANIF100:
10.23.100.1/24
AP组
∙名称:
ap-group1
∙引用模板:
VAP模板wlan-vap、域管理模板domain1
域管理模板
∙名称:
domain1
∙国家码:
CN
SSID模板
∙名称:
wlan-ssid
∙SSID名称:
wlan-net
安全模板
∙名称:
wlan-security
∙安全策略:
WPA2+PSK+AES
∙密码:
a1234567
VAP模板
∙名称:
wlan-vap
∙转发模式:
隧道转发
∙业务VLAN:
VLAN101
∙引用模板:
SSID模板wlan-ssid、安全模板wlan-security
配置注意事项
∙纯组播报文由于协议要求在无线空口没有ACK机制保障,且无线空口链路不稳定,为了纯组播报文能够稳定发送,通常会以低速报文形式发送。
如果网络侧有大量异常组播流量涌入,则会造成无线空口拥堵。
为了减小大量低速组播报文对无线网络造成的冲击,建议配置组播报文抑制功能。
配置前请确认是否有组播业务,如果有,请谨慎配置限速值。
▪业务数据转发方式采用直接转发时,建议在直连AP的交换机接口上配置组播报文抑制。
▪业务数据转发方式采用隧道转发时,建议在AC的流量模板下配置组播报文抑制。
配置方法请参见如何配置组播报文抑制,减小大量低速组播报文对无线网络造成的冲击?
∙建议在设备与AP直接相连的接口上配置端口隔离,如果不配置端口隔离,尤其是业务数据转发方式采用直接转发时,可能会在VLAN内存在不必要的广播报文,或者导致不同AP间的WLAN用户二层互通的问题。
∙隧道转发模式下,管理VLAN和业务VLAN不能配置为同一VLAN。
操作步骤
1.配置AC,使AP与AC之间能够传输CAPWAP报文
#配置AC,将接口GE0/0/1加入VLAN100(管理VLAN)。
system-view
[AC6605]sysnameAC
[AC]vlanbatch100101
[AC]interfacegigabitethernet0/0/1
[AC-GigabitEthernet0/0/1]portlink-typetrunk
[AC-GigabitEthernet0/0/1]porttrunkpvidvlan100
[AC-GigabitEthernet0/0/1]porttrunkallow-passvlan100
[AC-GigabitEthernet0/0/1]quit
2.配置AC与上层网络设备互通
说明:
根据实际组网情况在AC上行口配置业务VLAN透传,和上行网络设备互通。
#配置AC上行接口GE0/0/2加入VLAN101(业务VLAN)。
[AC]interfacegigabitethernet0/0/2
[AC-GigabitEthernet0/0/2]portlink-typetrunk
[AC-GigabitEthernet0/0/2]porttrunkallow-passvlan101
[AC-GigabitEthernet0/0/2]quit
3.配置AC作为DHCP服务器,为STA和AP分配IP地址
#配置基于接口地址池的DHCP服务器,其中,VLANIF100接口为AP提供IP地址,VLANIF101为STA提供IP地址。
[AC]dhcpenable
[AC]interfacevlanif100
[AC-Vlanif100]ipaddress10.23.100.124
[AC-Vlanif100]dhcpselectinterface
[AC-Vlanif100]quit
[AC]interfacevlanif101
[AC-Vlanif101]ipaddress10.23.101.124
[AC-Vlanif101]dhcpselectinterface
[AC-Vlanif101]quit
4.配置AP上线
#创建AP组,用于将相同配置的AP都加入同一AP组中。
[AC]wlan
[AC-wlan-view]ap-groupnameap-group1
[AC-wlan-ap-group-ap-group1]quit
#创建域管理模板,在域管理模板下配置AC的国家码并在AP组下引用域管理模板。
[AC-wlan-view]regulatory-domain-profilenamedomain1
[AC-wlan-regulatory-domain-prof-domain1]country-codecn
[AC-wlan-regulatory-domain-prof-domain1]quit
[AC-wlan-view]ap-groupnameap-group1
[AC-wlan-ap-group-ap-group1]regulatory-domain-profiledomain1
Warning:
Modifyingthecountrycodewillclearchannel,powerandantennagainconfigurationsoftheradioandresettheAP.Continu
e?
[Y/N]:
y
[AC-wlan-ap-group-ap-group1]quit
[AC-wlan-view]quit
#配置AC的源接口。
[AC]capwapsourceinterfacevlanif100
#在AC上离线导入AP,并将AP加入AP组“ap-group1”中。
假设AP的MAC地址为60de-4476-e360,并且根据AP的部署位置为AP配置名称,便于从名称上就能够了解AP的部署位置。
例如MAC地址为60de-4476-e360的AP部署在1号区域,命名此AP为area_1。
说明:
apauth-mode命令缺省情况下为MAC认证,如果之前没有修改其缺省配置,可以不用执行apauth-modemac-auth。
举例中使用的AP为AP6010DN-AGN,具有射频0和射频1两个射频。
AP6010DN-AGN的射频0为2.4GHz射频,射频1为5GHz射频。
[AC]wlan
[AC-wlan-view]apauth-modemac-auth
[AC-wlan-view]ap-id0ap-mac60de-4476-e360
[AC-wlan-ap-0]ap-namearea_1
[AC-wlan-ap-0]ap-groupap-group1
Warning:
ThisoperationmaybecauseAPreset.Ifthecountrycodechanges,itwillclearchannel,powerandantennagainconfigurati
onsoftheradio,Whethertocontinue?
[Y/N]y
[AC-wlan-ap-0]quit
#将AP上电后,当执行命令displayapall查看到AP的“State”字段为“nor”时,表示AP正常上线。
[AC-wlan-view]displayapall
TotalAPinformation:
nor:
normal[1]
-------------------------------------------------------------------------------------
IDMACNameGroupIPTypeStateSTAUptime
-------------------------------------------------------------------------------------
060de-4476-e360area_1ap-group110.23.100.254AP6010DN-AGNnor010S
-------------------------------------------------------------------------------------
Total:
1
5.配置WLAN业务参数
#创建名为“wlan-security”的安全模板,并配置安全策略。
说明:
举例中以配置WPA2+PSK+AES的安全策略为例,密码为“a1234567”,实际配置中请根据实际情况,配置符合实际要求的安全策略。
[AC-wlan-view]security-profilenamewlan-security
[AC-wlan-sec-prof-wlan-security]securitywpa2pskpass-phrasea1234567aes
[AC-wlan-sec-prof-wlan-security]quit
#创建名为“wlan-ssid”的SSID模板,并配置SSID名称为“wlan-net”。
[AC-wlan-view]ssid-profilenamewlan-ssid
[AC-wlan-ssid-prof-wlan-ssid]ssidwlan-net
Warning:
Thisactionmaycauseserviceinterruption.Continue?
[Y/N]y
[AC-wlan-ssid-prof-wlan-ssid]quit
#创建名为“wlan-vap”的VAP模板,配置业务数据转发模式、业务VLAN,并且引用安全模板和SSID模板。
[AC-wlan-view]vap-profilenamewlan-vap
[AC-wlan-vap-prof-wlan-vap]forward-modetunnel
Warning:
Thisactionmaycauseserviceinterruption.Continue?
[Y/N]y
[AC-wlan-vap-prof-wlan-vap]service-vlanvlan-id101
[AC-wlan-vap-prof-wlan-vap]security-profilewlan-security
[AC-wlan-vap-prof-wlan-vap]ssid-profilewlan-ssid
[AC-wlan-vap-prof-wlan-vap]quit
#配置AP组引用VAP模板,AP上射频0和射频1都使用VAP模板“wlan-vap”的配置。
[AC-wlan-view]ap-groupnameap-group1
[AC-wlan-ap-group-ap-group1]vap-profilewlan-vapwlan1radioall
[AC-wlan-ap-group-ap-group1]quit
6.验证配置结果
WLAN业务配置会自动下发给AP,配置完成后,通过执行命令displayvapssidwlan-net查看如下信息,当“Status”项显示为“ON”时,表示AP对应的射频上的VAP已创建成功。
[AC-wlan-view]displayvapssidwlan-net
WID:
WLANID
--------------------------------------------------------------------------------
APIDAPnameRfIDWIDSSIDBSSIDStatusAuthtypeSTA
--------------------------------------------------------------------------------
0area_101wlan-net60DE-4476-E360ONWPA2-PSK0
0area_111wlan-net60DE-4476-E370ONWPA2-PSK0
-------------------------------------------------------------------------------
Total:
2
STA搜索到名为“wlan-net”的无线网络,输入密码“a1234567”并正常关联后,在AC上执行displaystationssidwlan-net命令,可以查看到用户已经接入到无线网络“wlan-net”中。
[AC-wlan-view]displaystationssidwlan-net
Rf/WLAN:
RadioID/WLANID
Rx/Tx:
linkreceiverate/linktransmitrate(Mbps)
---------------------------------------------------------------------------------
STAMACAPIDApnameRf/WLANBandTypeRx/TxRSSIVLANIPaddress
---------------------------------------------------------------------------------
e019-1dc7-1e080area_11/15G11n46/59-6810110.23.101.254
---------------------------------------------------------------------------------
Total:
12.4G:
05G:
1
配置文件
∙AC的配置文件
∙#
∙sysnameAC
∙#
∙vlanbatch100to101
∙#
∙dhcpenable
∙#
∙interfaceVlanif100
∙ipaddress10.23.100.1255.255.255.0
∙dhcpselectinterface
∙#
∙interfaceVlanif101
∙ipaddress10.23.101.1255.255.255.0
∙dhcpselectinterface
∙#
∙interfaceGigabitEthernet0/0/1
∙portlink-typetrunk
∙porttrunkpvidvlan100
∙porttrunkallow-passvlan100
∙#
∙interfaceGigabitEthernet0/0/2
∙portlink-typetrunk
∙porttrunkallow-passvlan101
∙#
∙capwapsourceinterfacevlanif100
∙#
∙wlan
∙security-profilenamewlan-security
∙securitywpa2pskpass-phrase%^%#m"tz0f>~7.[`^6RWdzwCy16hJj/Mc!
}s`X*B]}A%^%#aes
∙ssid-profilenamewlan-ssid
∙ssidwlan-net
∙vap-profilenamewlan-vap
∙forward-modetunnel
∙service-vlanvlan-id101
∙ssid-profilewlan-ssid
∙security-profilewlan-security
∙regulatory-domain-profilenamedomain1
∙ap-groupnameap-group1
∙regulatory-domain-profiledomain1
∙radio0
∙vap-profilewlan-vapwlan1
∙radio1
∙vap-profilewlan-vapwlan1
∙ap-id0type-id19ap-mac60de-4476-e360ap-sn210235554710CB000042
∙ap-namearea_1
∙ap-groupap-group1
升级会员 