| 手把手教你如何完成无线局域网WLAN中的(AC和AP)基本配置步骤 | 您所在的位置:网站首页 › 电脑的配置是怎么看的呀 › 手把手教你如何完成无线局域网WLAN中的(AC和AP)基本配置步骤 |
手把手教你如何完成无线局域网WLAN中的(AC和AP)基本配置步骤
|
文章目录
前言一、基本概念二、配置思路三、配置注意事项四、实验拓扑图五、操作步骤1. 配置HDCP服务器2. 配置 AP 上线3. 配置业务下发4. 终端接入
六、实验配置命令汇总总结
前言
本次实验案例主要是参考历年R考中的WLAN试题配置,主要针对R考试题,但众所周知(从严谨的角度)每年试题都会有一些错题,不过没事儿,只要整体的思路没问题,最后也会进行连通性测试。我会把关键步骤依次罗列出来,并且把每一步都进行详细的解释。 一、基本概念IEEE 80211是现今无线局域网通用的标准,它是由国际电机电子工程学会(IEEE)定义的无线网络通信的标准。 WLAN网络是指利用频率为2.4GHz或5GHz的射频信号作为传输介质的无线局域网,相对于有线网络的铺设成本高,不便于网络调整和扩展、位置固定,移动性差等缺点;WLAN网络以其低廉的铺设成本、便捷的网络调整和扩展、灵活的可移动性获得了越来越广泛的应用。 协议标准发布时间频率范围非重叠信道调制技术最高速率实际吞吐兼容性802.1119972.4GHz3FHSS/DSSS2M200KN/A802.11b19992.4GHz3CCK/DSSS11M5M与802.11g的产品可以互通802.11a19995GHz5OFDM54M22M与802.11b/g的产品不能互通802.11g20032.4GHz3CCK/OFDM54M22M与802.11b的产品可以互通802.11n20092.4GHz/5GHz3+5OFDM300M/600M100+M向下兼容802.11b/g/a802.11ac20125GHz5OFDM6900M900M向下兼容802.11a/n802.11ax20182.4GHz/5GHz3+5OFDMA9600M1G以上向下兼容802.11a/n基本的WLAN组网架构: FAT AP(胖AP)架构,主要适用于小型网络场景;FIT AP(瘦AP)架构,适合中大型网络场景;敏捷分布式AP架构,将AP拆分为中心AP和敏分AP两部分,中心AP可管理多台敏分AP,成本低,覆盖好,适用于房间分布密集的场景WLAN AP按照应用场景主要分为:室内放装型AP、室内面板型AP、室内分布型AP、室外放装型AP和轨交场景AP。 AC与AP的组网方式:二层组网(同一广播域)、三层组网(需配置DHCP_option43或DNS来与AC进行关联)。 AC再网络中的连接方式分为:直连式组网(用户的业务流必定经过AC)、旁挂式组网(用户业务流不一定经过AC) 旁挂式组网中数据的转发方式为:隧道转发(比后者更安全,同时也会消耗AC一些性能)、直接转发(比前者数据转发速度快) 2.4GHz频段:被划分为14个(我国只使用13个)有重叠的信道和频率宽度为20MHz的信道。其中包含重叠信道和非重叠信道。 5GHz频段:支持更宽频谱,频率资源更为丰富,AP不仅支持20MHz带宽的信道,还支持40MHz、80MHz及更大带宽的信道。 概念全称描述BSS基本服务集无线网络的基本服务单元,通常由一个AP和若干无线终端组成ESS扩展服务集由多个使用相同SSID的BSS组成,解决BSS覆盖范围有限的问题SSID服务集标识符用来区分不同的无线网络BSSID基本服务集标识符在链路层上用来区分同一个AP上的不同VAP,也可以用来区分同一个ESS中的BSSESSID扩展服务集标识符一个或一组无线网络的标识,和SSID是相同的VAP虚拟接入点AP设备上虚拟出来的业务功能实体。用户可以在一个AP上创建不同的VAP来为不同的用户群体提供无线接入服务常用安全策略: 安全策略认证方式数据加密方式说明WEPPSK(预共享密钥)RC4不安全的策略WPA(802.11i草案)802.1XRC4(增强) + TKIP实现完整性认证和防重放攻击,适用于大型企业WPA2(802.11i)PSKTKIP或AES/CCMP安全性高的策略,适用于中小型企业或家庭用户WPA3OWE(开放性无线加密)+ SAE(对等实体同时验证) + MFA(多因素认证) + PFS(完美向前保密)CCMP 或 Suite-B安全套件 + HMAC-SHA-384 + BIP-CMAC-128为个人用户和企业用户提供了更强的数据保护和网络访问控制 二、配置思路 配置 AP 上线 FIT AP需完成上线过程,AC才能实现对AP的集中管理和控制,以及业务下发。AP获取IP地址; AP发现AC并与之建立CAPWAP隧道(Discovery Request/Response); AP接入控制(Join Request/Response); AP版本升级(可选,Image Data Request/Response); CAPWAP隧道维持(数据隧道:Keepalive;控制隧道:Echo Request/Response)。 WLAN业务配置下发 AC向AP发送Configuration Update Request请求消息,AP回应Configuration Update Response消息,AC再将AP的业务配置信息下发给AP。配置网络互通:配置DHCP服务器,为AP和STA分配IP地址,也可将AC设备配置为DHCP服务器配置AP到DHCP服务器间的网络互通;配置AP到AC之间的网络互通。 创建AP组:每个AP都会加入并且只能加入到一个AP组中,AP组通常用于多个AP的通用配置。 配置AC的国家码(域管理模板):国家码用来标识AP射频所在的国家,不同国家码规定了不同的AP射频特性,包括AP的发送功率、支持的信道等。 配置源接口或源地址(与AP建隧道):每台AC都必须唯一指定一个IP地址或接口,该AC设备下挂接的AP学习到此IP地址或者此接口下配置的IP地址,用于AC和AP间的通信,以及CAPWAP隧道的建立。 配置AP上线时自动升级(可选):自动升级是指AP在上线过程中自动对比自身版本与AC或SFTP或FTP服务器上配置的AP版本是否一致,如果版本不一致,则进行升级,然后AP自动重启再重新上线。 添加AP设备(配置AP认证模式):添加AP有三种方式:离线导入AP、自动发现AP以及手工确认未认证列表中的AP。 STA接入 CAPWAP隧道建立完成后,用户就可以接入无线网络; STA接入过程分为六个阶段:扫描阶段、链路认证阶段、关联阶段、接入认证阶段、DHCP、用户认证。扫描阶段: STA可以通过主动扫描,定期搜索周围的无线网络,获取到周围的无线网络信息; 根据Probe Request帧(探测请求帧)是否携带SSID,可以将主动扫描分为两种:携带有指定SSID的主动扫描方式、携带空SSID的主动扫描方式。 链路认证阶段: 管理帧:负责监督,主要用来加入或退出无线网络以及处理基站之间连接的转移事宜(Beacon信标帧、Probe Request检测请求帧、Probe Response检测应答帧、Authentication认证帧/De-Authentication解除认证帧、Association Request连接请求帧/Re-Association Request重新连接请求帧、Association Response连接应答帧); 控制帧:通常与数据帧搭配使用,负责区域的清空信道的取得以及载波监听的维护,并在收到数据时予以正面的应答,借此促进工作站间数据传输的可靠性(RTS请求发送、CTS允许发送、ACK应答、PS-Poll省电模式-轮询帧); 数据帧:负责在工作站之间传输数据。 关联阶段: 完成链路认证后,STA会继续发起链路服务协商,具体的协商通过Association报文实现; 终端关联过程实质上就是链路服务协商的过程,协商内容包括:支持的速率信道等。 接入认证阶段: 接入认证即对用户进行区分,并在用户访问网络之前限制其访问权限。相对于链路认证,接入认证安全性更高; 主要包含:PSK认证和802.1X认证。 DHCP地址分配阶段: STA获取到自身的IP地址,是STA正常上线的前提条件; 如果STA是通过DHCP方式获取IP地址,可以用AC设备或汇聚交换机作为DHCP服务器为STA分配IP地址。一般情况下使用汇聚交换机作为DHCP服务器。 用户认证:用户认证是一种“端到端”的安全结构,包括:802.1X认证、MAC认证和Portal认证。 WLAN业务数据管理转发 CAPWAP中的数据包括控制报文(管理报文)和数据报文(业务报文)。 控制报文是通过CAPWAP的控制隧道转发的;用户的数据报文分为隧道转发(又称为“集中转发”)方式和直接转发(又称为“本地转发”)方式。用户数据报文转发: 隧道转发:通过AC上的CAPWAP隧道转发数据,比直接转发更安全,同时也会消耗AC一些性能; 直接转发:不经过CAPWAP隧道,直接由设备完成数据转发。 三、配置注意事项 数据转发方式为直接转发时,建议在直接连接AP的设备接口上配置端口隔离,如果不配置端口隔离,可能会在VLAN内存在不必要的广播报文,或者导致不同AP间的WLAN用户二层互通的问题。配置管理VLAN和业务VLAN: 隧道转发模式下,业务报文会封装在CAPWAP数据隧道中进行传输,发送给AC,然后由AC再转发到上层网络或AP,所以只要配置AC与AP间的网络加入管理VLAN,AC与上层网络间的网络加入业务VLAN,就能正常传输业务报文和管理报文。直接转发模式下,业务报文不会进行CAPWAP封装,而是直接转发给上层网络或AP,所以需要配置AC与AP间的网络加入管理VLAN,AP与上层网络间的网络加入业务VLAN,才能正常传输业务报文和管理报文。配置源接口方式: 配置源接口的方式是在系统视图下执行命令capwap source interface { loopback loopback-number | vlanif vlan-id }纯组播报文由于协议要求在无线空口没有ACK机制保障,且无线空口链路不稳定,为了纯组播报文能够稳定发送,通常会以低速报文形式发送。如果网络侧有大量异常组播流量涌入,则会造成无线空口拥堵。为了减小大量低速组播报文对无线网络造成的冲击,建议配置组播报文抑制功能。配置前请确认是否有组播业务,如果有,请谨慎配置限速值。 业务数据转发方式采用直接转发时,建议在直连AP的交换机接口上配置组播报文抑制;业务数据转发方式采用隧道转发时,建议在AC的流量模板下配置组播报文抑制。 四、实验拓扑图图中AP1中彩色的射频信号是配置后才能出现,AP2才是初始状态(此实验中AP2未让其上线) 端口的基本配置在最后的“实验配置命令汇总”里面, 各设备上静态路由的绑定 [Router]ip route-static 0.0.0.0 0.0.0.0 10.23.99.2 [AC]ip route-static 0.0.0.0 0.0.0.0 10.23.100.2 [SwitchA]ip route-static 0.0.0.0 0.0.0.0 10.23.102.2端口的IP配置完成,首先保证设备之间可以正常通信,否则不要进行下一步 1. 配置HDCP服务器把 SwitchA 配置成全局地址池为终端分配IP地址 dhcp enable # 全局使能 DHCP 功能 ip pool vlan101 # 创建名为 vlan101 的地址池,并进入该视图 gateway-list 10.23.101.1 # 配置网关 network 10.23.101.0 mask 255.255.255.0 # 配置所分配的网段 excluded-ip-address 10.23.101.2 10.23.101.100 # 配置不参与分配的地址 lease day 0 hour 2 minute 0 # 配置租期为2小时 dns-list 114.114.114.144 # 配置 DNS 为 114.114.114.114 domain-name abc.com # 配置域名为 abc.com interface Vlanif102 # 进入 vlan 102 的接口视图 ip address 10.23.102.1 255.255.255.252 # 配置 IP 地址 dhcp select global # 配置基于全局的 DHCP在 SwitchB 上启用 DHCP Relay 功能 dhcp enable interface Vlanif101 ip address 10.23.101.1 255.255.255.0 dhcp select relay # 开启 DHCP 中继功能 dhcp relay server-ip 10.23.102.1 # 配置所指向的 DHCP 服务器地址 10.23.102.1 请求 DHCP 服务在 AC 上配置接口地址池为AP分配IP地址 dhcp enable interface Vlanif100 ip address 10.23.100.1 255.255.255.0 dhcp select interface # 配置基于接口的 DHCP dhcp server excluded-ip-address 10.23.100.1 10.23.100.100 dhcp server lease day 0 hour 2 minute 0 dhcp server dns-list 114.114.114.114 dhcp server domain-name abc.com 2. 配置 AP 上线关键命令如下: [AC]wlan # 进入 wlan 配置视图 [AC-wlan-view]regulatory-domain-profile name default # 配置域管理模版,名称是 default [AC-wlan-regulate-domain-default]country-code cn # 配置国家代码,cn 代表ZG Info: The current country code is same with the input country code. [AC-wlan-regulate-domain-default]quit [AC-wlan-view]ap-group name ap-group1 # 配置AP组,名称是 ap-group1 Info: This operation may take a few seconds. Please wait for a moment.done. [AC-wlan-ap-group-ap-group1]regulatory-domain-profile default Warning: Modifying the country code will clear channel, power and antenna gain c onfigurations of the radio and reset the AP. Continue?[Y/N]:y [AC-wlan-ap-group-ap-group1]quit [AC]capwap source interface vlanif 100 # 配置 CAPWAP 隧道源地址是 Vlanif100 接口所对应的IP地址 [AC-wlan-view]ap auth-mode mac-auth # AP 上线有三种认证方式:MAC 认证、不认证和 SN 码认证,这里选择 MAC 认证 [AC-wlan-view]ap-id 1 ap-mac 00E0-FCAC-4F50 # 配置需要认证 AP 的 MAC 地址,并添加到索引号为1的 AP 表中 [AC-wlan-ap-1]ap-name AP1 # 配置索引号为1的 AP 命名为 AP1 [AC-wlan-ap-1]ap-group ap-group1 # 将 AP1 加入 ap-group1 组 Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to c ontinue? [Y/N]:y # 按 Y ,确认重启 Info: This operation may take a few seconds. Please wait for a moment.. done. [AC-wlan-ap-1]quit [AC-wlan-view]display ap all # 查看 AP 上线情况,state 栏为 nor(normal) 表示正常 Info: This operation may take a few seconds. Please wait for a moment.done. Total AP information: nor : normal [1] -------------------------------------------------------------------------------------------- ID MAC Name Group IP Type State STA Uptime -------------------------------------------------------------------------------------------- 1 00e0-fcac-4f50 AP1 ap-group1 10.23.100.208 AP5030DN nor 0 4M:31 S -------------------------------------------------------------------------------------------- Total: 1在AP上查看上线情况,下面为正常上线提示 ===== CAPWAP LINK IS UP!!! ===== 3. 配置业务下发命令如下: [AC]wlan [AC-wlan-view]security-profile name wlan-net # 创建安全模板,名称为 wlan-net [AC-wlan-sec-prof-wlan-net]security wpa-wpa2 psk pass-phrase a1234567 aes # TPA-WPA2 方式认证,预共享密钥为a1234567,数据加密算法采用 AES [AC-wlan-sec-prof-wlan-net]quit [AC-wlan-view]ssid-profile name wlan-net # 创建 SSID 模板,名称为 wlan-net [AC-wlan-ssid-prof-wlan-net]ssid wlan-net # SSID 名称为 wlan-net Info: This operation may take a few seconds, please wait.done. [AC-wlan-ssid-prof-wlan-net]quit [AC-wlan-view]vap-profile name wlan-net # 创建 VAP 模板,名称为 wlan-net [AC-wlan-vap-prof-wlan-net]forward-mode direct-forward # 配置业务流量的转发模式为直接转发 [AC-wlan-vap-prof-wlan-net]service-vlan vlan-id 101 # 配置业务 VLAN 的 ID 为 100 Info: This operation may take a few seconds, please wait.done. [AC-wlan-vap-prof-wlan-net]security-profile wlan-net # 调用安全模板 wlan-net Info: This operation may take a few seconds, please wait.done. [AC-wlan-vap-prof-wlan-net]ssid wlan-net # 调用 SSID 模板 wlan-net Info: This operation may take a few seconds, please wait.done. [AC-wlan-vap-prof-wlan-net]quit [AC-wlan-view]ap-group name ap-group1 # 进入 AP 组 ap-group1 中 [AC-wlan-ap-group-ap-group1]vap-profile wlan-net wlan 1 radio 0 # 将指定的 VAP 模板引用到射频( redio 0 表示 2.4GHz,radio 1 表示 5GHz) Info: This operation may take a few seconds, please wait...done. [AC-wlan-ap-group-ap-group1]vap-profile wlan-net wlan 2 radio 1 Info: This operation may take a few seconds, please wait...done. 4. 终端接入按照步骤完成终端接入测试 查看本地配置命令信息:display current-configuration 显示接口信息:display interface GigabitEthernet 0/0/1 在AC上查看AP上线情况:display ap all 命令汇总如下: #sysname Router interface GigabitEthernet0/0/0 ip address 10.23.99.1 255.255.255.252 ip route-static 0.0.0.0 0.0.0.0 10.23.99.2 #sysname AC dhcp enable interface Vlanif100 ip address 10.23.100.1 255.255.255.0 dhcp select interface dhcp server excluded-ip-address 10.23.100.1 10.23.100.100 dhcp server lease day 0 hour 2 minute 0 dhcp server dns-list 114.114.114.114 dhcp server domain-name abc.com interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 99 to 100 ip route-static 0.0.0.0 0.0.0.0 10.23.100.2 wlan regulatory-domain-profile name default country-code cn ap-group name ap-group1 regulatory-domain-profile default capwap source interface vlanif 100 wlan ap auth-mode mac-auth ap-id 1 ap-mac 00E0-FCAC-4F50 ap-name AP1 ap-group ap-group1 ssid-profile name wlan-net ssid wlan-net security-profile name wlan-net security wpa-wpa2 psk pass-phrase a1234567 aes vap-profile name wlan-net service-vlan vlan-id 101 ssid-profile wlan-net security-profile wlan-net ap-group name ap-group1 vap-profile wlan-net wlan 1 radio 0 vap-profile wlan-net wlan 1 radio 1 #sysname SwitchA vlan batch 99 to 102 dhcp enable ip pool vlan101 gateway-list 10.23.101.1 network 10.23.101.0 mask 255.255.255.0 excluded-ip-address 10.23.101.2 10.23.101.100 lease day 0 hour 2 minute 0 dns-list 114.114.114.144 domain-name abc.com interface Vlanif102 ip address 10.23.102.1 255.255.255.252 dhcp select global interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 99 101 to 102 ip route-static 0.0.0.0 0.0.0.0 10.23.102.2 #sysname SwitchB vlan batch 99 to 102 dhcp enable interface Vlanif99 ip address 10.23.99.2 255.255.255.252 interface Vlanif100 ip address 10.23.100.2 255.255.255.252 interface Vlanif101 ip address 10.23.101.1 255.255.255.0 dhcp select relay dhcp relay server-ip 10.23.102.1 interface Vlanif102 ip address 10.23.102.2 255.255.255.252 interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 100 to 101 interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 100 to 101 interface GigabitEthernet0/0/3 port link-type trunk port trunk allow-pass vlan 99 102 interface GigabitEthernet0/0/24 port link-type access port default vlan 99 #sysname POE vlan batch 99 to 102 interface GigabitEthernet0/0/1 port link-type trunk port trunk pvid vlan 100 port trunk allow-pass vlan 100 to 102 port-isolate enable group 1 interface GigabitEthernet0/0/2 port link-type trunk port trunk pvid vlan 100 port trunk allow-pass vlan 100 to 102 port-isolate enable group 1 interface GigabitEthernet0/0/3 port link-type trunk port trunk allow-pass vlan 100 to 102如果(配置一模一样)还是不行,在全局模式用命令save保存配置后,尝试重启设备 总结该文章初衷是为了简单实现WLAN组网的基本配置实验,仅供参考,有任何疑问请留言。 本人是一个网络爱好者,也是初学者,喜欢琢磨一些基础知识,以上都是自学时的笔记,由于技术和表达能力都有限,希望优秀的你能够看懂 人生语录:我不是知识的缔造者,但我想通过优美的句子进行传颂,作它永远的信徒 |
连通性测试 
如果完成到这一步就算成功了,如果没有完成可以对照下面的实验配置命令汇总进行命令的完整性核查【本文地址】