AC直连式二层组网

pxwhfs

已于 2022-09-01 12:09:36 修改

阅读量5.5k

点赞数 4

分类专栏： WLAN（华为）文章标签：网络

于 2022-08-31 11:24:04 首次发布

本文链接： https://blog.csdn.net/padefe123/article/details/126599193

版权

WLAN（华为）专栏收录该内容

3 篇文章 6 订阅

订阅专栏

实验相关知识点

什么是CAPWAP隧道

CAPWAP(无线接入点控制和配置协议)：该协议定义了如何对AP进行管理、业务配置，即AC通过CAPWAP隧道来实现对AP的集中管理和控制。

功能：

AP对AC的自动发现。

AP和AC间的状态维护。

AC通过CAPWAP隧道对AP进行管理、业务配置下发。

当采用隧道转发模式是，AP将STA发出的数据通过CAPWAP隧道实现与AC之间的交互

CAPWAP隧道有两种转发方式：

直接转发、隧道转发

直接转发：用户的数据报文到达AP后，不经过CAPWAP的隧道封装而直接转发到上层网络。AC只对AP进行管理，业务数据都是由本地直接转发。

优势:数据流量不经过AC，AC负担小，万兆园区推荐方案

隧道转发：业务数据报文由AP统一封装后到达AC实现转发，AC不但进行对AP管理，还作为AP流量的转发中枢。

用户数据报文经过CAPWAP隧道封装后再由AC转发到上层网络。

优势：数据流量和管理流量全部经过AC，可以更容易对无线用户实施安全控制策略。

拓扑设计

该实验拓扑为AC直连式二层组网+隧道转发，适用于小型组网

AP和用户的网关都在AC上

所有流量都会先到达AC，再经由AC往上层网络

实验拓扑

wlan数据规划

管理vlan：负责传输通过CAPWAP隧道转发的报文，包括管理报文和通过CAPWAP隧道转发的业务数据报文。

业务vlan：负责传输业务数据报文。

DHCP服务器	AC作为dhcp服务器为AP和用户（STA、cellphone1）分配IP地址，同时也作为它们的网关
AP的IP地址池	vlan100：172.16.100.2~172.16.100.254/24
用户（STA、cellphone1）	vlan101：172.16.101.2~172.16.101.254/24
AC的源接口IP地址	vlanif100 172.16.100.1/24
AP组	名称为ap-group1、引用模板（VAP模板、域管理模板）
域管理模板	名称为domain1、国家码为cn
ssid模板	名称为ssid-profile1、ssid名称为ssid1
安全模板	名称为security-profile1的安全模板，安全策略：WAP-WAP2+PSK+AES，密码是“admin123456”
VAP模板	名称为vap-profile1，转发模式为隧道转发，业务vlan为vlan101，引用模板：名为ssid-prodile1的ssid模板跟安全模板security-profile1

实验配置

基础配置

直连AP的交换机端口配置为STP边缘端口，这样可以让AP快速的加入网络。

隧道转发方式下：管理vlan和业务vlan不能配置为同一个vlan，否则会导致mac地址漂移，报文转发出错，并且AP和AC之间只能放通管理vlan，不能放通业务vlan。

LSW1

system-view

sysname LSW1

vlan 100

interface GigabitEthernet0/0/1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 100
#

interface GigabitEthernet0/0/2
port link-type trunk
port trunk pvid vlan 100
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 100
stp edged-port enable

port-isolate enable group 1

system-view

sysname AC

vlan batch 100 101

interface GigabitEthernet0/0/1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 100
#

配置DHCP服务

配置AC1作为DHCP服务器，以及配置管理vlan的IP地址，因为这是二层组网，不用配置option

配置基于全局地址池的DHCP服务器，其中，vlan100接口为AP提供IP地址，vlan101为用户业务提供IP地址。

interface Vlanif100
ip address 172.16.100.1 255.255.255.0
dhcp select interface
#
interface Vlanif101
ip address 172.16.101.1 255.255.255.0
dhcp select interface
#

配置AP上线

创建AP组，用于将相同配置的AP都加入同一个AP组中。如下：

[AC1]wlan #进入wlan视图

[AC1-wlan-view] ap-group name ap-group1 #创建名为ap-group1的AP组

[AC1-wlan-ap-group-ap-group1] quit

#创建域管理模板，在域管理模板下配置AC的国家码并在AP组下引用域管理模板

[AC1-wlan-view] regulatory-domain-profile name domain1 #创建名为domain1的域管理模板

[AC1-wlan-regulate-domain-domain1] country-code cn #配置AC的国家码为cn

[AC1-wlan-regulate-domain-domain1] quit

[AC1-wlan-view] ap-gorup name ap-group1 #进入名为ap-group1的AP组

[AC1-wlan-ap-group-ap-group1] regulatory-domain-profile domain1 #在AP组下引用域管理模板

Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continue?[Y/N]:y

#警告：修改国家/地区代码将清除收音机的频道、电源和天线增益配置，并重置AP。继续？[是/否]：是

[AC1-wlan-ap-group-ap-group1] quit

[AC1-wlan-view] quit

[AC1] capwap source interface vlan 100 #配置AC源接口

#在AC1上离线导入AP，并将AP加入名为ap-group1的AP组中，AP的mac地址可用display interface gigabit Ethernet0/0/0查看，此实验中AP的mac地址是00e0-fcfd-3f80

[AC1] wlan

[AC1-wlan-view] ap auth-mode mac-auth #缺省情况下是mac认证

[AC1-wlan-view] ap-id 1 ap-mac 00e0-fcfd-3f80 #AP ID号为1类型AP MAC地址是00e0-fcfd-3f80
[AC1-wlan-view] ap-name area1 #设置AP名称为area1
[AC1-wlan-view] ap-group ap-group1 #将名为ap-group1的AP组配置运用到AP上

测试配置结果：

执行display ap all 查看AP上线情况，查看到AP的State状态为“nor"时，表示AP正常上线。

配置wlan业务参数

创建名为security-profile1的安全模板，并配置安全策略，配置WAP-WAP2+PSK+AES的安全策略，密码是“admin123456”

[AC1 ]wlan
[AC1-wlan-view] security-profile name security-profile1

[AC1-wlan-sec-prof-security-profile1] security wpa-wpa2 psk pass-phrase admin123456 aes

[AC1-wlan-sec-prof-security-profile1] quit

创建名为ssid-profile1的SSID模板，并配置SSID名称为ssid1

[AC1-wlan-view] ssid-profile name ssid-profile1
[AC1-wlan-ssid-prof-ssid-profile1] ssid ssid1
Info: This operation may take a few seconds, please wait.done.
[AC1-wlan-ssid-prof-ssid-profile1] quit

配置名为vap-profile1的VAP模板，配置业务数据转发模式为隧道转发、业务vlan。并引用安全模板和ssid模板。

[AC1-wlan-view] vap-profile name vap-profile1
[AC1-wlan-vap-prof-vap-profile1] forward-mode tunnel
Info: This operation may take a few seconds, please wait.done.

[AC1-wlan-vap-prof-vap-profile1] service-vlan vlan-id 101
Info: This operation may take a few seconds, please wait.done.

[AC1-wlan-vap-prof-vap-profile1] security-profile security-profile1
Info: This operation may take a few seconds, please wait.done.

[AC1-wlan-vap-prof-vap-profile1] ssid-profile ssid-profile1
Info: This operation may take a few seconds, please wait.done.
[AC1-wlan-vap-prof-vap-profile1] quit
#

配置AP组引用VAP模板，AP上射频0和射频1都使用VAP模板vap-profile1的配置

[AC1-wlan-view] ap-group name ap-group1
[AC1-wlan-ap-group-ap-group1] vap-profile vap-profile1 wlan 1 radio 0
Info: This operation may take a few seconds, please wait...done.
[AC1-wlan-ap-group-ap-group1] vap-profile vap-profile1 wlan 1 radio 1
Info: This operation may take a few seconds, please wait...done.
[AC1-wlan-ap-group-ap-group1] quit
[AC1-wlan-view]

实验结果验证

在两台终端设备上都可以成功获取到IP地址信息，也可以连通自己的IP地址网关。

配置命令

LSW1

system-view

sysname LSW1

vlan 100

interface GigabitEthernet0/0/1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 100
#

interface GigabitEthernet0/0/2
port link-type trunk
port trunk pvid vlan 100
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 100
stp edged-port enable

port-isolate enable group 1

AC1

system-view

sysname AC1

vlan batch 100 101

interface GigabitEthernet0/0/1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 100

quit

interface Vlanif100
ip address 172.16.100.1 255.255.255.0
dhcp select interface
#
interface Vlanif101
ip address 172.16.101.1 255.255.255.0
dhcp select interface
#

wlan

ap-group name ap-group1

quit

regulatory-domain-profile name domain1

country-code cn

quit

ap-gorup name ap-group1

regulatory-domain-profile domain1

Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continue?[Y/N]:y

quit

capwap source interface vlan 100

wlan