目录
一、组网需求
1. S2交换机支持WLAN-AC功能(若实际环境所用交换机不支持,可用普通AC替代),作为AC使用(后面内容中的AC就是实际的S2交换机)。
2. AC采用旁挂组网方式,AC与AP处于同一个二层网络。
3. AC作为DHCP服务器给AP分配IP地址,S1交换机作为DHCP服务器给接入的STA分配IP地址。
4. 业务数据采用直接转发模式。
二、eNSP实验视频:
重播 播放 00:00 / 00:00 正在直播 00:00 进入全屏 点击按住可拖动视频三、配置思路
1. 配置有线网络侧互联互通
2. 配置AP上线。
1)创建AP组,用于将需要进行相同配置的AP都加入到AP组,实现统一配置。
2)配置AC的系统参数,包括国家码、AC与AP之间通信的源接口。
3)配置AP上线的认证方式并离线导入AP,实现AP正常上线。
3. 配置WLAN业务参数并下发给AP,实现STA访问WLAN网络功能。
四、配置步骤
数据规划
配置项
配置参数
AP管理VLAN
VLAN100
STA业务VLAN
VLAN101
DHCP服务器
AC作为DHCP服务器为AP分配IP地址
S1作为DHCP服务器为STA分配IP地址,STA的默认网关为192.168.101.254
AP的IP地址池
192.168.100.1-192.168.100.253/24
STA的IP地址池
192.168.101.1-192.168.101.253/24
AC的源接口IP地址
VLANIF100:192.168.100.254/24
AP组
名称:ap-group1
引用模板:VAP模板HCIA-wlan、域管理模板default
域管理模板
名称:default
国家码:中国(CN)
SSID模板
名称:HCIA-WLAN
SSID名称:HCIA- WLAN
安全模板
名称:HCIA- WLAN
安全策略:WPA-WPA2+PSK+AES
密码:HCIA-Datacom
VAP模板
名称:HCIA- WLAN
转发模式:直接转发
业务VLAN:VLAN101
引用模板:SSID模板HCIA- WLAN、安全模板HCIA- WLAN
步骤 1 设备基本配置
# 设备设备命名(拓扑中的S2命名为AC)
略。
# 关闭S1和AC中间的多余链路,只针对《HCIA-Datacom实验室搭建指南V1.0》所描述的环境,其他环境可以忽略此步骤。
[S1] interface GigabitEthernet 0/0/11
[S1-GigabitEthernet0/0/11]shutdown
[S1-GigabitEthernet0/0/11]quit
[S1] interface GigabitEthernet 0/0/12
[S1-GigabitEthernet0/0/12]shutdown
[S1-GigabitEthernet0/0/12]quit
# 开启S3和S4上连接AP接口的PoE供电功能
[S3]interface GigabitEthernet 0/0/4
[S3-GigabitEthernet0/0/4]poe enable
poe enable命令用来使能接口的PoE功能。当接口检测到接口下有受电(PD)设备时,会通过接口给接口下接的PD设备供电。缺省情况下,接口PoE功能处于使能状态。故此处执行此命令仅为示例,实际环境下可以不执行。
[S4]interface GigabitEthernet 0/0/4
[S4-GigabitEthernet0/0/4]poe enable
步骤 2 有线侧网络配置
# VLAN配置
[S1]vlan batch 100 101
Info: This operation may take a few seconds. Please wait for a moment...done.
[S1]interface GigabitEthernet 0/0/13
[S1-GigabitEthernet0/0/13]port link-type trunk
[S1-GigabitEthernet0/0/13]port trunk allow-pass vlan 100 101
[S1-GigabitEthernet0/0/13]quit
[S1]interface GigabitEthernet 0/0/14
[S1-GigabitEthernet0/0/14]port link-type trunk
[S1-GigabitEthernet0/0/14]port trunk allow-pass vlan 100 101
[S1-GigabitEthernet0/0/14]quit
[S1]interface GigabitEthernet 0/0/10
[S1-GigabitEthernet0/0/10]port link-type trunk
[S1-GigabitEthernet0/0/10]port trunk allow-pass vlan 100 101
[S1-GigabitEthernet0/0/10]quit
[AC]vlan batch 100 101
Info: This operation may take a few seconds. Please wait for a moment...done.
[AC]interface GigabitEthernet 0/0/10
[AC-GigabitEthernet0/0/10]port link-type trunk
[AC-GigabitEthernet0/0/10]port trunk allow-pass vlan 100 101
[AC-GigabitEthernet0/0/10]quit
[S3]vlan batch 100 101
Info: This operation may take a few seconds. Please wait for a moment...done.
[S3]interface GigabitEthernet 0/0/1
[S3-GigabitEthernet0/0/1]port link-type trunk
[S3-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 101
[S3-GigabitEthernet0/0/1]quit
[S3]interface GigabitEthernet 0/0/4
[S3-GigabitEthernet0/0/4]port link-type trunk
[S3-GigabitEthernet0/0/4]port trunk pvid vlan 100
[S3-GigabitEthernet0/0/4]port trunk allow-pass vlan 100 101
[S3-GigabitEthernet0/0/4]quit
[S4]vlan batch 100 101
Info: This operation may take a few seconds. Please wait for a moment...done.
[S4]interface GigabitEthernet0/0/1
[S4-GigabitEthernet0/0/1] port link-type trunk
[S4-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 to 101
[S4-GigabitEthernet0/0/1]quit
[S4]interface GigabitEthernet0/0/4
[S4-GigabitEthernet0/0/4] port link-type trunk
[S4-GigabitEthernet0/0/4] port trunk pvid vlan 100
[S4-GigabitEthernet0/0/4] port trunk allow-pass vlan 100 to 101
[S4-GigabitEthernet0/0/4]quit
# 配置接口IP地址
[S1]interface Vlanif 101
[S1-Vlanif101]ip address 192.168.101.254 24
STA的网关。
[S1-Vlanif101]quit
[S1]interface LoopBack 0
[S1-LoopBack0] ip address 10.0.1.1 32
后续做测试用,无实际用途。
[S1-LoopBack0]quit
[AC]interface Vlanif 100
[AC-Vlanif100]ip address 192.168.100.254 24
# DHCP配置
[S1]dhcp enable
Info: The operation may take a few seconds. Please wait for a moment.done.
[S1]ip pool sta
Info:Its successful to create an IP address pool.
创建STA接入时所使用的IP地址池。
[S1-ip-pool-sta]network 192.168.101.0 mask 24
[S1-ip-pool-sta]gateway-list 192.168.101.254
[S1-ip-pool-sta]quit
[S1]interface Vlanif 101
[S1-Vlanif101]dhcp select global
[S1-Vlanif101]quit
[AC]dhcp enable
Info: The operation may take a few seconds. Please wait for a moment.done.
[AC]ip pool ap
Info: It is successful to create an IP address pool.
创建AP接入时所使用的IP地址池。
[AC-ip-pool-ap]network 192.168.100.254 mask 24
[AC-ip-pool-ap]gateway-list 192.168.100.254
[AC-ip-pool-ap]quit
[AC]interface Vlanif 100
[AC-Vlanif100]dhcp select global
[AC-Vlanif100]quit
S1作为STA的DHCP Server ,AC作为AP的DHCP Server,分别配置DHCP服务。
步骤 3 配置AP上线
# 创建名为ap-group1的AP组
[AC]wlan
[AC-wlan-view]ap-group name ap-group1
Info: This operation may take a few seconds. Please wait for a moment.done.
[AC-wlan-ap-group-ap-group1]quit
# 创建域管理模板,在域管理模板下配置AC的国家码
[AC]wlan
[AC-wlan-view]regulatory-domain-profile name default
域管理模板提供对AP的国家码、调优信道集合和调优带宽等的配置。
缺省情况下,系统上存在名为default的域管理模板。故当前进入了默认存在的default模板。
[AC-wlan-regulate-domain-default]country-code cn
Info: The current country code is same with the input country code.
国家码用来标识AP射频所在的国家,不同国家码规定了不同的AP射频特性,包括AP的发送功率、支持的信道等。配置国家码是为了使AP的射频特性符合不同国家或区域的法律法规要求。缺省情况下,设备的国家码标识为“CN”。
[AC-wlan-regulate-domain-default]quit
# 在AP组下引用域管理模板
[AC]wlan
[AC-wlan-view]ap-group name ap-group1
[AC-wlan-ap-group-ap-group1]regulatory-domain-profile default
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continue?[Y/N]:y
在AP组视图下,regulatory-domain-profile命令用来将指定的域管理模板引用到AP或AP组。缺省情况下,AP组下引用名为default的域管理模板,AP下未引用域管理模板。缺省的域管理模板中国家码为中国,2.4G调优信道包括1、6、11,5G调优信道集合包括149、153、157、161、165 。故这一步和上一步的配置在实际操作时可以省略。
[AC-wlan-ap-group-ap-group1]quit
# 配置AC建立CAPWAP隧道的源接口
[AC]capwap source interface Vlanif 100
capwap source interface命令用来配置AC建立CAPWAP隧道使用的接口,作为AC的源接口,用于AC和AP间建立CAPWAP隧道通信。
# 在AC上离线导入AP,并将AP加入配置好的AP组“ap-group1”中。
AC上添加AP的方式有三种:
• 离线导入AP:预先配置AP的MAC地址和SN,当AP与AC连接时,如果AC发现AP和预先增加的AP的MAC地址和SN匹配,则AC开始与AP建立连接。
• 自动发现AP:当配置AP的认证模式为不认证或配置AP的认证模式为MAC或SN认证且将AP加入AP白名单中,则当AP与AC连接时,AP将被AC自动发现并正常上线。
• 手工确认未认证列表中的AP:当配置AP的认证模式为MAC或SN认证,但AP没有离线导入且不在已设置的AP白名单中,则该AP会被记录到未授权的AP列表中。需要用户手工确认后,此AP才能正常上线。
[AC]wlan
[AC-wlan-view]ap auth-mode mac-auth
ap auth-mode命令用来配置AP认证模式,只有通过认证的AP才能允许上线。除了MAC地址认证之外,还支持SN认证和不认证。缺省情况下,AP认证模式为MAC地址认证。
注:AP的MAC地址和SN可以通过设备包装箱内MAC地址标签和SN标签查询得到。
[AC-wlan-view]ap-id 0 ap-mac 60F1-8A9C-2B40
ap-id命令用来离线增加AP设备或进入AP视图。
当增加AP时,若使用MAC认证,需要配置ap-mac参数;若使用SN认证,则需要配置ap-sn参数。
当进入AP视图时,只需要输入ap-id即可进入相应的AP视图。
[AC-wlan-ap-0]ap-name ap1
ap-name命令用来配置单个AP的名称,注意各个AP的名字不能重复。如果未配置AP的名称,那么AP上线后默认的名称为AP的MAC地址。
[AC-wlan-ap-0]ap-group ap-group1
ap-group命令用来配置AP所加入的组,AC会给AP下发相应ap-group内的配置。比如此处AP1被加入了ap-group1,那么ap-group1关联的域管理模板、射频模板、VAP模板都会被下发给AP1。缺省情况下,未配置AP加入的组,修改AP所加入的组后,下发配置,AP自动重启,会加入到修改后的AP组中。
Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y //需要输入y来确认继续
Info: This operation may take a few seconds. Please wait for a moment.. done.
[AC-wlan-ap-0]quit
[AC-wlan-view]ap-id 1 ap-mac B4FB-F9B7-DE40
[AC-wlan-ap-1]ap-name ap2
[AC-wlan-ap-1]ap-group ap-group1
Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y //需要输入y来确认继续
Info: This operation may take a few seconds. Please wait for a moment.. done.
[AC-wlan-ap-1]quit
# 查看当前的AP信息
[AC]wlan
[AC-wlan-view]display ap all
Info: This operation may take a few seconds. Please wait for a moment.done.
Total AP information:
nor : normal [2]
-----------------------------------------------------------------------------------------------------------------------------------------
ID MAC Name Group IP Type State STA Uptime
-------------------------------------------------------------------------------------------------------------------------------------------
0 00e0-fc25-0ed0 ap1 ap-group1 192.168.100.206 AirEngine5760 nor 0 30M:4S
1 00e0-fc0f-07a0 ap2 ap-group1 192.168.100.170 AirEngine5760 nor 0 31M:31S
-----------------------------------------------------------------------------------------------------------------------------------------
Total: 2
display ap命令用来查看AP信息,包括AP的IP地址、AP的型号(AirEngine5760)、AP的状态(normal)、上线时长等。
此外,还可以在命令后面加by-state state、by-ssid ssid来查筛选处于特定状态或者使用指定SSID的AP。
可以看到此时两台AP都处于正常状态。(更多状态描述请看本实验附录)
步骤 4 配置WLAN业务参数
# 创建名为“HCIA-WLAN”的安全模板,并配置安全策略。
[AC-wlan-view]security-profile name HCIA-WLAN
[AC-wlan-sec-prof-HCIA-WLAN]security wpa-wpa2 psk pass-phrase HCIA-Datacom aes
security psk命令用来配置WPA/WPA2的预共享密钥认证和加密。
当前使用WPA和WPA2混合方式,用户终端使用WPA或WPA2都可以进行认证。预共享秘钥(PSK)为HCIA-Datacom。通过AES加密算法加密用户数据。
[AC-wlan-sec-prof-HCIA-WLAN]quit
# 创建名为“HCIA-WLAN”的SSID模板,并配置SSID名称为“HCIA-WLAN”。
[AC]wlan
[AC-wlan-view]ssid-profile name HCIA-WLAN
创建名为“HCIA-WLAN”的SSID模板。
[AC-wlan-ssid-prof-HCIA-WLAN]ssid HCIA-WLAN
配置SSID名称为“HCIA-WLAN”。
Info: This operation may take a few seconds, please wait.done.
[AC-wlan-ssid-prof-HCIA-WLAN]quit
# 创建名为“HCIA-WLAN”的VAP模板,配置业务数据转发模式、业务VLAN,并且引用安全模板和SSID模板。
[AC]wlan
[AC-wlan-view]vap-profile name HCIA-WLAN
vap-profile命令用来创建VAP模板。
在VAP模板下可以配置数据转发模式,此外,VAP模板能够引用SSID模板、安全模板、流量模板等。
[AC-wlan-vap-prof-HCIA-WLAN]forward-mode direct-forward
forward-mode命令用来配置VAP模板下的数据转发方式,缺省情况下,VAP模板下的数据转发方式为直接转发。
[AC-wlan-vap-prof-HCIA-WLAN]service-vlan vlan-id 101
service-vlan命令用于配置VAP的业务VLAN,当STA接入无线网络之后,从AP转发出来的用户数据就会带上service-VLAN的tag。
Info: This operation may take a few seconds, please wait.done.
[AC-wlan-vap-prof-HCIA-WLAN]security-profile HCIA-WLAN
引用安全模板“HCIA-WLAN”。
Info: This operation may take a few seconds, please wait.done.
[AC-wlan-vap-prof-HCIA-WLAN]ssid-profile HCIA-WLAN
引用SSID模板“HCIA-WLAN”。
Info: This operation may take a few seconds, please wait.done.
[AC-wlan-vap-prof-HCIA-WLAN]quit
# 配置AP组引用VAP模板,AP上射频0和射频1都使用VAP模板“HCIA-WLAN”的配置。
[AC]wlan
[AC-wlan-view]ap-group name ap-group1
[AC-wlan-ap-group-ap-group1]vap-profile HCIA-WLAN wlan 1 radio all
vap-profile命令用来将指定的VAP模板引用到射频。执行该命令之后,VAP下所有的配置,包括VAP引用的各类模板下的配置都会下发给到AP的射频。
Info: This operation may take a few seconds, please wait...done.
[AC-wlan-ap-group-ap-group1]quit
六、配置参考
S1的配置
#
sysname S1
#
undo info-center enable
#
vlan batch 100 to 101 201
#
ip pool sta
gateway-list 192.168.101.254
network 192.168.101.0 mask 255.255.255.0
dns-list 8.8.8.8
#
interface Vlanif101
ip address 192.168.101.254 255.255.255.0
dhcp select global
#
interface Vlanif201
ip address 192.168.201.1 255.255.255.0
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 201
#
interface GigabitEthernet0/0/10
port link-type trunk
port trunk allow-pass vlan 100 to 101
#
interface GigabitEthernet0/0/11
#
interface GigabitEthernet0/0/12
#
interface GigabitEthernet0/0/13
port link-type trunk
port trunk allow-pass vlan 100 to 101
#
interface GigabitEthernet0/0/14
port link-type trunk
port trunk allow-pass vlan 100 to 101
#
ip route-static 0.0.0.0 0.0.0.0 192.168.201.2
#
user-interface con 0
user-interface vty 0 4
#
return
AC的配置
#
sysname AC
#
vlan batch 100 to 101
#
dhcp enable
#
ip pool ap
gateway-list 192.168.100.254
network 192.168.100.0 mask 255.255.255.0
dns-list 8.8.8.8
#
interface Vlanif100
ip address 192.168.100.254 255.255.255.0
dhcp select global
#
interface MEth0/0/1
undo negotiation auto
duplex half
#
interface GigabitEthernet0/0/10
port link-type trunk
port trunk allow-pass vlan 100 to 101
#
undo info-center enable
#
capwap source interface vlanif100
#
wlan
traffic-profile name default
security-profile name default
security-profile name HCIA-WLAN
security wpa-wpa2 psk pass-phrase %^%#y+UE#^q{AS"<F`BZ<$I/("n_=K~1kERl@b5fHU+T
%^%# aes #密码是
security-profile name default-wds
security-profile name default-mesh
ssid-profile name default
ssid-profile name HCIA-WLAN
vap-profile name default
vap-profile name HCIA-WLAN
service-vlan vlan-id 101
ssid-profile HCIA-WLAN
security-profile HCIA-WLAN
wds-profile name default
mesh-handover-profile name default
mesh-profile name default
regulatory-domain-profile name default
air-scan-profile name default
rrm-profile name default
radio-2g-profile name default
radio-5g-profile name default
wids-spoof-profile name default
wids-profile name default
wireless-access-specification
ap-system-profile name default
port-link-profile name default
wired-port-profile name default
serial-profile name preset-enjoyor-toeap
ap-group name default
ap-group name ap-group
ap-group name ap-group1
radio 0
vap-profile HCIA-WLAN wlan 1
radio 1
vap-profile HCIA-WLAN wlan 1
radio 2
vap-profile HCIA-WLAN wlan 1
ap-id 0 type-id 56 ap-mac 00e0-fcb8-71c0 ap-sn 0895FA473
ap-name ap4
ap-group ap-group1
ap-id 1 type-id 47 ap-mac 00e0-fc37-3e90 ap-sn 0051FFA31
ap-name ap3
ap-group ap-group1
provision-ap
#
dot1x-access-profile name dot1x_access_profile
#
mac-access-profile name mac_access_profile
#
return
S3的配置
#
sysname S3
#
vlan batch 100 to 101
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 to 101
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100 to 101
#
return
S4的配置
#
sysname S4
#
vlan batch 100 to 101
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 to 101
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100 to 101
#
return