月度归档: 2022 年 1 月

华为无线基本实验(1)旁挂AC直接转发方式

WLAN网络中的报文分为管理报文(控制报文)和数据报文(业务报文)。管理报文通过CAPWAP的控制隧道进行转发;用户数据报文则根据是否通过CAPWAP的数据隧道转发分为隧道转发(又称为“集中转发”)方式、直接转发(又称为“本地转发”)方式和Soft-GRE转发方式。

隧道转发方式是指用户的数据报文到达AP后,需要经过CAPWAP数据隧道封装后发送给AC,然后由AC再转发到上层网络,如图所示。

隧道转发

直接转发方式是指用户的数据报文到达AP后,不经过CAPWAP的隧道封装而直接转发到上层网络,如图1-2所示。

表1-1 隧道转发与直接转发的优缺点

数据转发方式优点缺点
隧道转发AC集中转发数据报文,安全性好,方便集中管理和控制,新增设备部署配置方便,对现网改动小。业务数据必须经过AC转发,报文转发效率比直接转发方式低,AC所受压力大。
直接转发业务数据不需要经过AC转发,报文转发效率高,AC所受压力小。业务数据不便于集中管理和控制,新增设备部署对现网改动大。

配置调整原则

直接转发和隧道转发之间的配置调整,除了VAP下的转发方式的配置调整外,最主要的就是各接口下管理VLAN和业务VLAN的配置调整

  • 直接转发方式下,建议管理VLAN和业务VLAN分别使用不同的VLAN,否则可能导致业务不通。例如,业务VLAN如果和管理VLAN相同,且交换机连接AP的端口配置了PVID为管理VLAN,则下行到用户的报文出连接AP的交换机时业务VLAN会被终结,从而导致业务不通。
  • 隧道转发方式下,管理VLAN和业务VLAN不能配置为同一VLAN,否则会导致MAC漂移,报文转发出错。并且AP和AC之间只能放通管理VLAN,不能放通业务VLAN

实验拓扑

sw1 配置

vlan batch 100 to 105
#
stp disable

interface Vlanif100
ip address 10.1.100.1 255.255.255.0
dhcp select relay
dhcp relay server-ip 10.1.102.2
#
interface Vlanif101
#
interface Vlanif102
ip address 10.1.102.1 255.255.255.0
#
interface Vlanif103
ip address 10.1.103.1 255.255.255.0
dhcp select relay
dhcp relay server-ip 10.1.102.2
#
interface Vlanif104
ip address 10.1.104.1 255.255.255.0
dhcp select relay
dhcp relay server-ip 10.1.102.2
#
interface Vlanif105
ip address 10.1.105.1 255.255.255.0

interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 // 和AC 相连的接口只允许管理vlan通过
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 105
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 100 to 105 //允许业务vlanc通
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 102

ip route-static 0.0.0.0 0.0.0.0 10.1.105.2

Sw2配置

vlan batch 100 103 to 104

interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 to 105
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100 to 105
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 104
stp edged-port enable
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100 to 105

【思考1】:如果 为隧道转发为什么SW2只创建VLAN100,不用创建VLAN103,104?
解析:因为我们用的是隧道转发,数据到达AC1后,才会打上103,104标记然后发给LSW1
【思考2】:为什么连接AP的接口要打port trunk pvid vlan 100?
解析:交换机收到AP的数据帧打上100的tag发送,把带上100tag的数据帧去掉然后发给AP

AC 配置

vlan batch 100

interface Vlanif100
ip address 10.1.100.2 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 100 //如果为隧道转发要加上业务vlan ID,业务vlan 要通过AC 转发

第一步 创建AP 组

wlan

ap-group apgoup01

第二步 创建管理模板并关联到AP 组

wlan
regulatory-domain-profile name profile01 //创建域管理模板,名字叫profile01
country-code cn //国家代码选择中国

ap-group name apgroup01
regulatory-domain-profile profile01 //AP组的域管理模板是profile01
Warning: Modifying the country code will clear channel, power and antenna gain c
onfigurations of the radio and reset the AP. Continue?[Y/N]:y


第三步:配置AC的接口源地址
[AC1]capwap source interface Vlanif 100 //AC的接口源地址为VLAN100

第四步:离线导入AP
wlan
ap auth-mode mac-auth //AP的认证模式为MAC认证
ap-id 1 ap-mac 00e0-fc94-4640 //AP的编号和MAC地址
ap-name AP1 //AP的名字为ds
ap-group apgroup01 //AP属于AP组x
ap-id 2 ap-mac 00e0-fc19-42c0 //AP的编号和MAC地址
ap-name AP2 //Ap的名字
ap-group apgroup01 //AP属于AP组x
Warning: This operation may cause AP reset. If the country code changes, it will
clear channel, power and antenna gain configurations of the radio, Whether to c
ontinue? [Y/N]:y
思考:AP的MAC地址是怎么知道的?
读者可以通过在ap上使用命令“display interface Vlanif 1”查看当前ap的mac地址,然后再将mac地址进行绑定。

第五步:配置VLAN业务参数

第1步:创建安全模板

wlan
security-profile name secprofile01 //安全模板的名字叫secprofile01
security wpa-wpa2 psk pass-phrase huawei@123 aes //密码是huawei@123,用AES加密。
quit
第2步:创建SSID模板
wlan
ssid-profile name ssidprofile01 //ssid的模板名字叫ssidprofile01
ssid wifi01 //ssid的名称叫wifi01
quit

第3步:创建VAP模板
wlan
vap-profile name vapprofile01 //vap模板的名字叫vapprofile01
forward-mode direct-forward //转发模式为隧道
service-vlan vlan-id 103 //服务的VLAN为103
security-profile secprofile01//调用安全模板secprofile01
ssid-profile ssidprofile01 //调用SSID模板ssidprofile01
quit
第4步:在AP组里面调用VAP模板
[AC1-wlan-view]ap-group name x
[AC1-wlan-ap-group-x]vap-profile vapprofile01 wlan 1 radio 0 //调用VAP模板
[AC1-wlan-ap-group-x]vap-profile y wlan 1 radio 1 //
思考:radio0 1 2 是什么意思?

DHCP Server 配置

vlan batch 100 to 105
#
stp disable

dhcp enable
#
ip pool vlan103
gateway-list 10.1.103.1
network 10.1.103.0 mask 255.255.255.0
#
ip pool vlan104
gateway-list 10.1.104.1
network 10.1.104.0 mask 255.255.255.0
#
ip pool vlan100
gateway-list 10.1.100.2
network 10.1.100.0 mask 255.255.255.0
option 43 sub-option 2 ip-address 10.1.100.2

interface Vlanif100
dhcp select global
#
interface Vlanif103
dhcp select global
#
interface Vlanif104
dhcp select global

interface GigabitEthernet0/0/0
ip address 10.1.102.2 255.255.255.0
dhcp select global

ip route-static 0.0.0.0 0.0.0.0 10.1.102.1









网工 无线网络基本概念

STA Station 工作站

RF(射频信息)Radio frequency signal

提供基于802.11标准的WLAN技术的传输介质,是具有远距离传输能力的高频电磁波。本课程指的射频信号是2.4G或5G频段的无线电磁波。

CAPWAP

无线接入点控制与规范CAPWAP (Control And Provisioning of Wireless Access Points):由RFC5415协议定义的,实现AP和AC之间的互通的一个通用封装和传输机制。

该协议定义了AC如何对AP进行管理、业务配置,即AC与AP间首先会建立CAPWAP隧道,然后AC通过CAPWAP隧道来实现对AP的集中管理和控制

CAPWAP是基于UDP进行传输的应用层协议,CAPWAP协议在传输层运输两种类型的流量:

  • 业务数据流量,封装转发无线数据帧 。——通过CAPWAP数据隧道
  • 管理流量,管理AP和AC之间交换的管理消息 。——通过CAPWAP控制隧道

CAPWAP数据和控制报文基于不同的UDP端口发送:

  • 管理流量端口为UDP端口5246。
  • 业务数据流量端口为UDP端口5247。

AC 连接方式

AC的连接方式分为:直连式组网和旁挂式组网。

生产网络一般是采用旁挂组网方式

在旁挂式组网中,AC只承载对AP的管理功能,管理流封装在CAPWAP隧道中传输数据业务流可以通过CAPWAP数据隧道经AC转发,也可以不经过AC转发直接转发,后者无线用户业务流经汇聚交换机由汇聚交换机传输至上层网络。

BSS/SSID/BSSID

分别是基本服务集BSS (Basic Service Set)、基本服务集标识符BSSID (Basic Service Set Identifier)、服务集标识符SSID (Service Set Identifier)。

  1. BSS:一个AP所覆盖的范围,在一个BSS的服务区域内,STA可以相互通信
  2. BSSID:是无线网络的一个身份标识,用AP的MAC地址表示。
  3. SSID:表示无线网络的标识,用来区分不同的无线网络。例如,当我们在笔记本电脑上搜索可接入无线网络时,显示出来的网络名称就是SSID。
  4. VAP
    早期的AP只支持1个BSS,如果要在同一空间内部署多个BSS,则需要安放多个AP,这不但增加了成本,还占用了信道资源。为了改善这种状况,现在的AP通常支持创建出多个虚拟AP (Virtual Access Point, VAP)。如图16-13所示,它相当于交换机中的VLAN
  5. ESS 为了满足实际业务的需求,需要对BSS的覆盖范围进行扩展。同时用户从一个BSS移动到另一个BSS时,不能感知到SSID的变化,则可以通过扩展服务集ESS (Extend Service Set)实现。如图6-14所示,这是由多个使用相同SSID的BSS组成,是采用相同的SSID的多个BSS组成的更大规模的虚拟BSS。

WLAN基本业务配置流程

AP发现AC有静态和动态两种方式:

  • 静态方式

AP上预先配置了AC的静态IP地址列表。AP上线时,AP分别发送Discovery Request单播报文到所有预配置列表对应IP地址的AC。然后AP通过接收到AC返回的Discovery Response报文,选择一个AC开始建立CAPWAP隧道。

  • 动态方式

动态发现AC又分为:DHCP方式、DNS方式和广播方式,下面我们主要介绍一下DHCP方式。

DHCP方式:AP通过DHCP服务获取AC的IP地址(IPv4报文通过在DHCP服务器上配置DHCP响应报文中携带Option 43,且Option 43携带AC的IP地址列表;IPv6报文通过在DHCP服务器上配置DHCP响应报文中携带Option 52,且Option 52携带AC的IP地址列表),然后向AC发送Discovery Request单播报文。AC收到后,向AP回应Discovery Response报文。

wlan 业务数据转发方式

1、隧道转发方式

隧道转发方式是指用户的数据报文到达AP后,需要经过CAPWAP数据隧道封装后发送给AC,然后由AC再转发到上层网络,

隧道转发方式的优点是AC集中转发数据报文,安全性好,方便集中管理和控制。缺点是业务数据必须经过AC转发,报文转发效率比直接转发方式低,AC所受压力大。

2、直接转发方式

直接转发方式是指用户的数据报文到达AP后,不经过CAPWAP的隧道封装而直接转发到上层网络。

直接转发方式的优点是数据报文不需要经过AC转发,报文转发效率高,AC所受压力小。缺点是业务数据不便于集中管理和控制。

Aruba 无线AP的部署方式

Aruba在无线配置方面的主要特点:使用以profile为单元的方式分解无线配置参数,根据无线配置参数的功能,分解成一个个独立的profiles,下层Profile可以提供给多个上层profile进行使用,上层profile也可以包含多个不同功能的下层profile。以这样的方式达到参数重用的最大化,减少参数保存冗余。

1、总线型方式

2、串联方式

3、二层组网方式

4、三层组网方式

区别

  • 二层上线过程中AP是通过广播方式发现AC。
  • 三层上线又分为option 43方式和DNS方式:
    • option43方式中,AP在获取IP地址时就同时获取了AC的IP地址,然后通过单播的方式发现AC。
    • DNS方式中,AP在获取自身IP地址的同时获取DNS服务器的地址和AC的域名,然后AP再向DNS服务器请求解析AC域名,从而获得AC的IP地址,通过单播的方式发现AC。

Aruba AC基础配置

1、Vlan配置

(YK_Master) # configure terminal
(YK_Master) (config) #vlan 10 ##建立VLAN
(YK_Master) (config) #interface vlan 10
(YK_Master) (config-subif)#ip address 172.18.x.x 255.255.255.0
(YK_Master) (config-subif)#description Wlan-User-10 ##VLAN描述
(YK_Master) (config-subif)#operstate up ##永久enable,即使该VLAN没有端口的up。
(YK_Master) (config-subif)#ip helper-address 172.18.50.20 ##配置DHCP中继
(YK_Master) (config-subif)#exit

2、端口配置

Trunk 模式

(YK_Master) (config) #interface gigabitethernet 1/4
(YK_Master) (config-if)#description link-core
(YK_Master) (config-if)#switchport mode trunk
(YK_Master) (config-if)#switchport trunk allowed vlan 1,10
(YK_Master) (config-if)#switchport trunk native vlan 1
(YK_Master) (config-if)#speed 1000
(YK_Master) (config-if)#duplex full
(YK_Master) (config-if)#no shutdown
(YK_Master) (config-if)#exit

Access 模式

(YK_Master) (config) #interface gigabitethernet 1/4
(YK_Master) (config-if)#description link-core
(YK_Master) (config-if)#switchport mode trunk
(YK_Master) (config-if)#switchport trunk allowed vlan 1,10
(YK_Master) (config-if)#switchport trunk native vlan 1
(YK_Master) (config-if)#speed 1000
(YK_Master) (config-if)#duplex full
(YK_Master) (config-if)#no shutdown
(YK_Master) (config-if)#exit

3、IP 路由设置

静态路由

#configure terminal 2 (YK_Master) (config)

#ip route 172.18.100.0 255.255.255.0 172.18.2.254 10 ##最后10是跃点数,当多条相同目标网络的静态路由时,该值越小,优先及越高

默认路由(缺省路由)

1 (YK_Master) #configure terminal

2 (YK_Master) (config) # ip default-gateway 172.18.0.0

4、IP Dhcp

(YK_Master) # configure terminal
(YK_Master) (config) #service dhcp ##开启DHCP
(YK_Master) (config) #ip dhcp excluded-address 172.18.70.200 172.18.70.254 ## 配置排除地址
(YK_Master) (config) #ip dhcp pool user-vlan-10 ##建立地址池
(YK_Master) (config) #network 172.18.70.0 255.255.255.0 ##关联到VLAN
(YK_Master) (config) #default-router 172.18.70.1 ##缺省网关
(YK_Master) (config) #dns-server 172.18.50.20 255.255.255.0 ##DNS服务器
(YK_Master) (config-dhcp)#option 43 ip 172.18.70.250 ##option43
(YK_Master) (config-dhcp)#option 60 text ArubaAP ##option60
(YK_Master) (config) #lease 0 8 0 ## 租约时间 天|小时|分

配置option问题:

在由AC+Fit AP构成的组网中,AC通过与Fit AP建立的CAPWAP隧道控制和管理AP,在建立CAPWAP隧道之前,AP首先要发现AC。

若AC与AP之间是二层网络,在上线过程中,AP会发送Discovery Request广播报文自动发现AC,然后通过AC响应的Discovery Response报文选择一个待关联的AC建立CAPWAP隧道。

但是当AC与AP之间是三层网络时,AP无法通过广播方式发现AC,需要通过DHCP服务器上配置DHCP响应报文中携带的Option 43信息发现AC:

  • ①AP通过DHCP Server获取IP地址和Option 43属性。
  • ②AP通过Option 43中的信息获取到AC的地址
  • ③AP通过获取到的AC IP地址,向AC发送单播的发现请求。
  • ④接收到发现请求报文的AC会检查该AP是否有接入本机的权限,如果有则回应发现响应。
  • ⑤AP和AC进行信息交互,建立CAPWAP隧道。

Aruba AC开机初始化

无线控制器刚启动的时候,是没有任何配置的,需要进行初始化配置才能进行管理。

通过无线控制器的console端口连接无线控制器,启动无线控制器,进入到以下初始配置界面完成初始配置:

Enter System name [Aruba7200]: Aruba-master

Enter VLAN 1 interface IP address [172.16.0.254]: 172.18.x.x      —–设置AC  ip地址

Enter VLAN 1 interface subnet mask [255.255.255.0]: 255.255.255.0    —–设置子网掩码

Enter IP Default gateway [none]: 

Enter Switch Role, (master|local) [master]: master     —–设置AC角色, master或者local

Enter Country code (ISO-3166), <ctrl-I> for supported list: CN       —–设置国别代码  中国

You have chosen Country code GB for United Kingdom (yes|no)?: yes

Enter Time Zone [PST-8:0]: GMT-0:0      —–设置时区

Enter Time in GMT [14:27:05]: 14:27:05

Enter Date (MM/DD/YYYY) [2/20/2016]: 1/15/2018

Enter Password for admin login (up to 32 chars): admin     —–设置管理员用户名和密码

Re-type Password for admin login: admin

Enter Password for enable mode (up to 15 chars): enable     —–设置是否启用enable密码

Re-type Password for enable mode: ******

Do you wish to shutdown all the ports (yes|no)? [no]: yes

Current choices are:    显示出当前的选择或者配置

System name: Aruba_master

VLAN 1 interface IP address: 172.18.x.x     

VLAN 1 interface subnet mask: 255.255.255.0

IP Default gateway: none

Switch Role: master

Time Zone: GMT-0:0

Ports shutdown: no

If you accept the changes the switch will restart!

Type <ctrl-P> to go back and change answer for any question

Do you wish to accept the changes (yes|no)yes

Creating configuration… Done.

System will now restart!

初始化配置完成后,设备会重新启动

重启完成以后进入到以下配置界面,用刚刚初始化配置的用户名和密码进行登陆。

(Aruba_master)

User: admin

Password: *****

(Aruba-master) >enable

Password:******