无线网络技术 (WLAN) 在现代社会中扮演着至关重要的角色,为各种设备和用户提供了灵活、便捷的连接方式。
本篇将介绍 ensp 中 AC 、 AP 的基础配置。
# WLAN 简介
无线局域网 (Wireless Local Area Networks; WLAN) 利用无线技术在空中传输数据、话音和视频信号。作为传统布线网络的一种替代方案或延伸,无线局域网把个人从办公桌边解放了出来,使他们可以随时随地获取信息,提高了员工的办公效率。
WLAN 的优点:它能够方便地联网,因为 WLAN 可以便捷、迅速地接纳新加入的雇员,而不必对网络的用户管理配置进行过多的变动;WLAN 在有线网络布线困难的地方比较容易实施,使用 WLAN 方案,则不必再实施打孔敷线作业,因而不会对建筑设施造成任何损害。
# 相关名词解释
# VLAN 配置
VLAN:可以想象成一个大房子(网络)里划分的不同房间(VLAN)。每个房间可以有自己的功能,比如一个用于睡觉(管理),另一个用于做饭(业务)。
- 管理 VLAN:这个房间(VLAN)是给管理员用的,有一个门牌号(IP 地址)。
- 业务 VLAN:另一个房间(VLAN)是给客户用的,也有一个门牌号(IP 地址)。
接口配置:
就像不同房间(VLAN)里的电器(接口),每个电器都有它的用途,比如有的用来冷藏食物(接口),有的用来冷冻食物(接口)。
这些电器(接口)需要接入相应的房间(VLAN),并且设置好相应的功能,比如是否需要供电(DHCP 服务)。
# AP(Access Point)配置
AP:可以看作是无线信号的发射器,就像无线遥控器一样,可以远程控制设备。
AP 组:把多个遥控器(AP)分在同一个组里,方便管理。
# 认证模式和 MAC 地址绑定
相当于给遥控器(AP)加个密码,只有知道密码的设备才能用它遥控。
# WLAN 安全配置
安全配置文件:就像是保险箱的密码组合,决定了谁能打开保险箱(网络)以及用什么方式打开(加密方式和密码)。
SSID 文件:相当于保险箱的标签,告诉你哪个是你要打开的保险箱(无线网络)。
# VAP(Virtual Access Point)配置
VAP 模板:可以想象成一种特殊的遥控器模板,按照这个模板制作的遥控器(VAP)都能按照预设的方式工作。
VAP 与 AP 组关联:就是告诉模板(VAP)要用哪些遥控器(AP)来执行任务。
# DHCP 服务配置
DHCP:就相当于自动分配门牌号的系统,当有新邻居(设备)搬进大楼(网络)时,自动给他们分配一个门牌号(IP 地址)。
# 网络设备
路由器、交换机:可以想象成大楼的交通枢纽,负责指引包裹(数据)的正确路径。
# 地址分配
就是给每个房间(VLAN)、电器(接口)、遥控器(AP)等贴上正确的门牌号(IP 地址),确保邮递员(数据)能正确派送包裹(数据包)。
# 隧道接口配置
隧道接口:可以想象成大楼里的特快电梯,能够快速将包裹(数据)从一个楼层(网络部分)传送到另一个楼层(网络部分)。
# AP
无线局域网的架构主要分为
- 基于控制器的 AP 架构 (瘦 AP,FitAP)
- 传统的独立 AP 架构 (胖 AP,FatAP)
近几年 WLAN 技术的发展,瘦 AP 正在迅速替代胖 AP 模式
# 胖 AP
除无线接入功能外,一般具备 WLAN、LAN 两个接口,多支持 DHCP 服务器、DNS 和 MAC 地址克隆,以及 VPN 接入、防火墙等安全功能
胖 AP 也称为独立 AP,所有的配置存储于自治型接入点本身,因此设备的管理和配置均由接入点处理。所有加解密和 MAC 层功能也由自治型接入点完成
胖 AP 的例子典型的是无线路由器
# 瘦 AP
无线局域网一体化发展的下一个阶段是集中式 WLAN 架构。这种模式使用位于网络核心的 WLAN 控制器,在集中式的无线局域网体系结构中,基于控制器的接入点,也称为轻量型 AP
为了实现 WLAN 网络的快速部署、网络设备的集中管理、精细化的用户管理,相比胖 AP 方式,企业用户以及运营商更倾向于采用集中控制性 WLAN 组网 (瘦 AP+AC)
AC 和 AP 之间采用 CAPWAP 协议
# 实验网络拓扑图
R1 为出口路由器,SW1 为核心交换机,SW2 和 SW3 为接入交换机。
AP 管理 vlan 100: 192.168.100.254/24
无线业务 vlan 101: 192.168.101.254/24
互联 vlan 10: 10.10.10.0/30
# 实验组网
配置思路如下:
基础配置部分(IP、接口配置)
- 接入交换机(SW2 、SW3):创建 vlan 100,101 ,上行 trunk 放通 100、101,下行 access 放通 vlan 100
- 核心交换机(SW1):创建 vlan 10,100,101 ,配置 vlan 10 和 vlan 101 的 IP,在 vlanif 101 使能 DHCP,上行 access 放通 vlan 10,其余接口 trunk 放通 vlan 100、101,配置到 R1 的默认路由。
- AC:创建 vlan 100,101,配置 vlan 100 的 IP,在 vlanif 100 使能 DHCP,互联接口 trunk 放通 100、101
- R1:配置接口 IP,配置回程路由。
WLAN 配置:
- 配置认证模式,上线 AP
- 创建域管理模板,配置国家代码
- 创建 ssid 模板,配置 ssid 名称
- 创建安全策略,设置 ssid 密码
- 创建 vap 模板,配置数据转发模式,绑定安全策略,ssid 模板,业务 vlan
- 创建 ap 组,绑定域管理模板,绑定 vap 模板到射频卡
- 将 ap 放入 ap 组
wlan 的配置结构如下:
1、AP 上线: AC capwap 绑定 vlan, 设置 mac 地址认证
2、创建 ap 组
- 绑定域模板
- 配置国家代码
- vap 模板
- 配置转发模式
- 绑定 ssid 模板
- 配置 ssid 名称
- 绑定安全策略模板
- 配置 ssid 密码
- 绑定业务 vlan
- 绑定 vap 到射频卡
3、将 ap 放入 ap 组
# 基础网络配置
# 接入层 SW2、 SW3 配置
在上下行接口号一样的情况下,SW2 和 SW3 的配置基本一样
<Huawei>system-view | |
[Huawei] sysname SW2 | |
[SW2] vlan batch 100 101 | |
[SW2] int GigabitEthernet 0/0/1 | |
[SW2-GigabitEthernet0/0/1] port link-type trunk | |
[SW2-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101 | |
[SW2-GigabitEthernet0/0/1] q | |
[SW2] int GigabitEthernet 0/0/2 | |
[SW2-GigabitEthernet0/0/2] port link-type access | |
[SW2-GigabitEthernet0/0/2] port default vlan 100 |
# 核心层 SW1 配置
<Huawei>system-view | |
[Huawei] un in en | |
[Huawei] sysname SW1 | |
[SW1] vlan batch 10 100 101 | |
[SW1] dhcp enable | |
[SW1] int Vlanif 10 | |
[SW1-Vlanif10] ip address 10.1.1.1 30 | |
[SW1-Vlanif10] q | |
[SW1] int Vlanif 101 | |
[SW1-Vlanif101] ip address 192.168.101.254 24 | |
[SW1-Vlanif101] dhcp select interface | |
[SW1-Vlanif101] q | |
[SW1] int GigabitEthernet 0/0/23 | |
[SW1-GigabitEthernet0/0/23] port link-type access | |
[SW1-GigabitEthernet0/0/23] port default vlan 10 | |
[SW1-GigabitEthernet0/0/23] q | |
[SW1] int g0/0/1 | |
[SW1-GigabitEthernet0/0/1] port link-type trunk | |
[SW1-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101 | |
[SW1-GigabitEthernet0/0/1] q | |
[SW1] int g0/0/2 | |
[SW1-GigabitEthernet0/0/2] port link-type trunk | |
[SW1-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101 | |
[SW1-GigabitEthernet0/0/2] q | |
[SW1] int GigabitEthernet 0/0/24 | |
[SW1-GigabitEthernet0/0/24] port link-type trunk | |
[SW1-GigabitEthernet0/0/24] port trunk allow-pass vlan 100 101 | |
[SW1-GigabitEthernet0/0/24] q | |
[SW1] ip route-static 0.0.0.0 0 10.1.1.2 |
# R1 配置
<Huawei>system-view | |
[Huawei] un in en | |
[Huawei] sysname R1 | |
[R1] int g0/0/0 | |
[R1-GigabitEthernet0/0/0] ip address 10.1.1.2 30 | |
[R1-GigabitEthernet0/0/0] q | |
[R1] ip route-static 192.168.101.0 24 10.1.1.1 |
# AC 配置
<AC6605>system-view | |
[AC6605] un in en | |
[AC6605] sysname AC | |
[AC] vlan batch 100 101 | |
[AC] dhcp enable | |
[AC] int Vlanif 100 | |
[AC-Vlanif100] ip add | |
[AC-Vlanif100] ip address 192.168.100.254 24 | |
[AC-Vlanif100] dhcp select interface | |
[AC-Vlanif100] q | |
[AC] int g0/0/1 | |
[AC-GigabitEthernet0/0/1] port link-type trunk | |
[AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101 |
# AP 上线
为 capwap 绑定 vlan,设置 AP 认证模式为 MAC 地址认证
[AC] capwap source interface Vlanif 100 // 为 capwap 隧道绑定 vlan | |
[AC] wlan // 进入无线视图 | |
[AC-wlan-view] ap auth-mode mac-auth // 设置 AP 认证模式为 MAC 地址认证 |
绑定 AP 设备,首先在 AP 中使用 dis in vlan 查看 MAC
<Huawei>dis interface Vlanif | |
Vlanif1 current state : UP | |
Line protocol current state : UP | |
Last line protocol up time : 2025-01-30 17:45:34 UTC-05:13 | |
Description:HUAWEI, AP Series, Vlanif1 Interface | |
Route Port,The Maximum Transmit Unit is 1500 | |
Internet Address is allocated by DHCP, 192.168.100.221/24 | |
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fcd7-0410 | |
Current system time: 2025-01-30 18:06:18-05:13 | |
Input bandwidth utilization : -- | |
Output bandwidth utilization : -- |
在 AC 中,使用 ap-id X ap-mac XXXX-XXXX-XXXX 设置 ap 的 id 号,并绑定 mac 地址
[AC] wlan // 进入无线视图 | |
[AC-wlan-view] ap-id 1 ap-mac 00e0-fcd7-0410 // 绑定 AP1 的 MAC 地址,ID 为 1 | |
[AC-wlan-ap-1] ap-name ap-1 // 设置 AP 名称为 ap-1 | |
[AC-wlan-ap-1] q | |
[AC-wlan-view] ap-id 2 ap-mac 00e0-fc98-11c0 | |
[AC-wlan-ap-2] ap-name ap-2 |
在 AC 中,使用 dis ap all 查看 AP 上线情况, State 为 nor 表示 AP 上线成功
[AC] dis ap all // 此时 AP 未上线 | |
Info: This operation may take a few seconds. Please wait for a moment.done. | |
Total AP information: | |
idle : idle [2] | |
------------------------------------------------------------------------------- | |
ID MAC Name Group IP Type State STA Uptime | |
------------------------------------------------------------------------------- | |
1 00e0-fcd7-0410 ap-1 default - - idle 0 - | |
2 00e0-fc98-11c0 ap-2 default - - idle 0 - | |
------------------------------------------------------------------------------- | |
Total: 2 | |
[AC] dis ap all // 此时 AP 上线 | |
Info: This operation may take a few seconds. Please wait for a moment.done. | |
Total AP information: | |
nor : normal [2] | |
-------------------------------------------------------------------------------- | |
------------ | |
ID MAC Name Group IP Type State STA Uptim | |
e | |
-------------------------------------------------------------------------------- | |
------------ | |
1 00e0-fcd7-0410 ap-1 default 192.168.100.221 AP3030DN nor 0 33S | |
2 00e0-fc98-11c0 ap-2 default 192.168.100.223 AP3030DN nor 0 15S | |
-------------------------------------------------------------------------------- | |
------------ | |
Total: 2 |
# WLAN 配置
[AC] wlan // 进入无线视图 | |
[AC-wlan-view] regulatory-domain-profile name ap1-regu // 创建域管理模板,名称为 ap1-regu | |
[AC-wlan-regulate-domain-ap1-regu] country-code CN // 配置国家代码 | |
[AC-wlan-regulate-domain-ap1-regu] q | |
[AC-wlan-view] ssid-profile name ap1-ssid // 创建 SSID 模板,名称为 ap1-ssid | |
[AC-wlan-ssid-prof-ap1-ssid] ssid Mygo // 配置 SSID 名称为 MyGo | |
[AC-wlan-ssid-prof-ap1-ssid] q | |
[AC-wlan-view] security-profile name ap1-sec // 创建安全策略,名称为 ap1-sec | |
[AC-wlan-sec-prof-ap1-sec] security wpa2 psk pass-phrase 12345678 aes // SSID 密码为 123456789 | |
[AC-wlan-sec-prof-ap1-sec] q | |
[AC-wlan-view] vap-profile name ap1-vap // 创建 VAP 模板,名称为 ap1-vap | |
[AC-wlan-vap-prof-ap1-vap] forward-mode tunnel // 配置业务数据转发模式 | |
[AC-wlan-vap-prof-ap1-vap] security-profile ap1-sec // 绑定安全策略 | |
[AC-wlan-vap-prof-ap1-vap] ssid-profile ap1-ssid // 绑定 SSID 模板 | |
[AC-wlan-vap-prof-ap1-vap] service-vlan vlan-id 101 // 绑定业务 VLAN | |
[AC-wlan-vap-prof-ap1-vap] q | |
[AC-wlan-view] ap-group name ap1-group // 创建 AP 组,名称为 ap1-group | |
[AC-wlan-ap-group-ap1-group] regulatory-domain-profile ap1-regu // 绑定域模板 | |
[AC-wlan-ap-group-ap1-group] vap-profile ap1-vap wlan 1 radio 0 // 绑定 vap 模板到射频卡 0 上,radio 0 表示 2.4g 信号 | |
[AC-wlan-ap-group-ap1-group] vap-profile ap1-vap wlan 1 radio 1 // 绑定 vap 模板到射频卡 1 上,radio 1 表示 5g 信号 | |
[AC-wlan-ap-group-ap1-group] q | |
[AC-wlan-view] ap-id 1 | |
[AC-wlan-ap-1] ap-group ap1-group // 将 ID 为 1 的 ap 放入到 ap-group 组中,AP 的 ID 使用 display ap all 查看 | |
[AC-wlan-ap-1] q | |
[AC-wlan-view] ap-id 2 | |
[AC-wlan-ap-2] ap-group ap1-group |
# 实验验证
配置完成后稍等一会,AP 将会有范围显示,无线终端检测到 vap,可通过输入密码连接,连接后,使用终端能够 ping 通出口地址 10.1.1.2
STA>ipconfig | |
Link local IPv6 address...........: :: | |
IPv6 address......................: :: / 128 | |
IPv6 gateway......................: :: | |
IPv4 address......................: 192.168.101.250 | |
Subnet mask.......................: 255.255.255.0 | |
Gateway...........................: 192.168.101.254 | |
Physical address..................: 54-89-98-7B-5F-2E | |
DNS server........................: | |
STA>ping 10.1.1.2 | |
Ping 10.1.1.2: 32 data bytes, Press Ctrl_C to break | |
From 10.1.1.2: bytes=32 seq=1 ttl=254 time=218 ms | |
From 10.1.1.2: bytes=32 seq=2 ttl=254 time=188 ms | |
From 10.1.1.2: bytes=32 seq=3 ttl=254 time=187 ms | |
From 10.1.1.2: bytes=32 seq=4 ttl=254 time=219 ms | |
From 10.1.1.2: bytes=32 seq=5 ttl=254 time=188 ms | |
--- 10.1.1.2 ping statistics --- | |
5 packet (s) transmitted | |
5 packet (s) received | |
0.00% packet loss | |
round-trip min/avg/max = 187/200/219 ms |
# F & Q
# 一、在 WLAN 配置中,有哪些转发模式?
在 WLAN 配置中,主要的转发模式包括直接转发和隧道转发。
直接转发模式(Direct Forward):
配置: [AC-wlan-vap-prof-ap1-vap] forward-mode direct-forward
含义:在直接转发模式下,无线接入点(AP)将接收到的业务数据直接转发给目的设备,而不通过无线控制器(AC)进行中转。
特点:
- 低延迟:由于数据直接在 AP 和终端之间传输,减少了通过 AC 的环节,从而降低了延迟。
- 网络架构简单:网络架构相对简单,适用于小型网络或对延迟要求较高的应用。
- 广播控制:需要在与 AP 直连的设备接口上配置端口隔离,以避免大量不必要的广播报文导致网络阻塞。
隧道转发模式(Tunnel Forward):
配置: [AC-wlan-vap-prof-ap1-vap] forward-mode tunnel
含义:在隧道转发模式下,所有业务数据都通过 AP 和 AC 之间的 CAPWAP 隧道进行传输,即数据先从 AP 传输到 AC,再由 AC 转发到目的设备。
特点:
- 集中管理:所有数据通过 AC 集中管理,便于进行统一的安全策略和 QoS 策略配置。
- 安全性高:由于数据通过隧道传输,可以提供更高的安全性,适合需要严格数据管控的环境。
- VLAN 配置:管理 VLAN 和业务 VLAN 不能配置为同一 VLAN,且 AP 和 AC 之间只能放通管理 VLAN,不能放通业务 VLAN。
