实战系列说明
实战系列,每个星期一发送一到两篇,预计18篇左右,整理跟排版都需要时间,博主也只是业余时间写写技术文档,请大家见谅,大家觉得不错的话,可以推荐给朋友哦,博主会努力推出更好的系列文档的,点击上面可以查看汇总文档。如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路博客,http://ccieh3c.com。
拓扑
拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)
无线架构之无线业务部署
说明:无线的实现,在这个架构中,我们使用的是二层旁挂本地转发模式,对于Guest的SSID使用2.4G,并且开放认证,不需要输入用户名密码,只能访问内部的特点WEB服务器与外网,而内部用的SSID则需要认证,可以访问内部网络与外网。
特别说明:由于现网中暂时没有无线设备,所以这块的实现以模拟器实现,功能跟实际设备是一样的。【AC使用6605 V2003C,AP使用的是AP 6010】,而且新版V2003C是不区分有线侧跟无线侧的,老版本才区分。
8.1、AC配置第一步【AC上线】
[AC6605]int vlan 1
[AC6605-Vlanif1]ip address 192.168.1.251 24
说明:配置一个IP地址,该接口地址用来与AP通信的。
[AC6605]wlan
[AC6605-wlan-view]wlan ac source interface Vlanif 1
[AC6605-wlan-view]ap-auth-mode sn-auth
[AC6605-wlan-view]ap id 1 type-id 19 sn 21023544831069236750
说明:定义了AC的源地址为VLAN 1,该地址是与AP进行建立CAPWAP隧道的,启用了AP认证功能,使用序列号,然后在AP定义了一个ID为1,然后AP类型为19,序列号为那个。其中type-id是可以查看的,SN则在AP上面查看。
可以通过display ap-type all 查看该AC支持的AP类型,其中AP6010DN ID为19,所以定义ID为19,至于序列号怎么查看,在AP上面通过displa system-information 查看
结果验证
目前来看,AP还没有获取到地址,这个是定期发送DHCP报文获取的。
通过查看已经获取到了IP地址了,然后即可与AC建立CAPWAP隧道,这个过程需要一定的时间,后面可以看到CAPWAP隧道已经建立了
查看隧道状态为RUN。
可以看到AC上面也有对应的AP信息了。至此AP上线完成。
分析:是否需要Option 43功能。
我们这里介绍下华为与Windows DHCP服务器情况下怎么设置
8.1.1、Windows DHCP option 43定义
之前已经定义了DCHP地址池了,所以这里只需要创建作用域选项,其实像DNS Domain等参数都是选项,只是常用的功能被微软简化了操作。
03 0f 31 39 32 2e 31 36 38 2E 31 30 30 2E 32 35 34 ,这个值而二进制,怎么换算,可以看下面的说明
03为固定值
0f是十六进制,换成十进制为15,代表长度,表示192.168.100.254,加上小数点,从左往右数,正好15个长度
十六进制31对应ASCII值是1,而39则为9,32为2,则是192,依次类推
2E就是小数点.
对于涉及到多个AC,Option 43要填写多个IP地址的情形(比如AC 双链路备 份组网等),IP地址之间以逗号“,”间隔,逗号“,”对应的ASCII值为2C,如主备 AC的IP地址分别为:192.168.100.2,192.168.100.3,那Option 43属性应该填写为: 031B3139322E3136382E3130302E322C3139322E3136382E3130302E33 。其中,03为固定值,代表Option 43的子选项类型;十六进制1B(“1B”等于十进制数“27”) 表示两个IP地址字符的个数,包含中间间隔的逗号“,”和小数点“.”,十六进制 数31对应字符“1”的ASCII值,32对应字符“2”的ASCII值,依此类推。十六进制 数2E对应字符小数点“.”的ASCII值,十六进制2C对应字符逗号“,”的ASCII 值,即值3139322E3136382E3130302E322C3139322E3136382E3130302E33表示AC 的IP地址192.168.100.2,192.168.100.3。
8.1.2 华为设备定义Option 43
[Quidway] dhcp enable
[Quidway] ip pool huawei
[Quidway-ip-pool-huawei] network 192.168.100.0 255.255.255.0
[Quidway-ip-pool-huawei] gateway-list 192.168.100.1
配置Option 43,使AP能够获得AC的IP地址。假设AC的IP地址为10.10.10.1。
[Quidway-ip-pool-huawei] option 43 sub-option 3 hex 31302E31302E31302E31
说明:还可以执行命令option 43 hex 030A31302E31302E31302E31或者option 43 sub-option 3 ascii 10.10.10.1来完成Option 43的配置。
8.2.1 AP域定义
[AC6605]wlan
[AC6605-wlan-view]ap-region id 1
[AC6605-wlan-ap-region-1]ap id 1
说明:默认存在一个与为 0,建议的是不同业务或者部门可以加入不同的域,这样的话后续调整射频参数、调优等参数则只影响该域的参数。
8.2.2 WMM模板定义
WMM模板是提供了QOS等服务等级,将数据报文按照优先级从高到低分为4个接入类AC(Access Category):AC_VO(语音)、AC_VI(视频)、AC_BE(尽力而为)、AC_BK(背景),高优先级的AC占用信道的机会大于低优先级的AC。
[AC6605]wlan
[AC6605-wlan-view]wmm-profile name Ap1
说明:WMM默认情况下有默认策略的,没有特别需求的话,可以直接使用默认的。
8.2.3 射频模板定义
射频模板参数内容包括:射频类型、射频速率、射频信道模式、射频功率模式、丢包/错包率门限、冲突率门限、分段门限、RTS/CTS门限、短/长帧最大重传次数门限、是否支持短前导码、DTIM周期、beacon帧周期、WMM参数等。
[AC6605-wlan-view]radio-profile name 2.4G
[AC6605-wlan-radio-prof-2.4G]wmm-profile name ap1
[AC6605-wlan-view]radio-profile name 5G
[AC6605-wlan-radio-prof-5G]wmm-profile name ap1
[AC6605-wlan-radio-prof-5G]radio-type 80211an
说明:这里模板默认情况下只需要调用WMM模板,其余的都有默认策略,比如默认情况下,信道模式为Auto,也就是AC会自动根据AP周围的信道自动合理规划信道,射频类型等。这里定义2个是一个作为2.4G使用,另外一个使用5G
8.2.4 安全模板定义
[AC6605]wlan
[AC6605-wlan-view]security-profile name open
[AC6605-wlan-view]security-profile name pre-authen
[AC6605-wlan-sec-prof-pre-authen]security-policy wpa2
[AC6605-wlan-sec-prof-pre-authen]wpa2 authentication-method psk pass-phrase simple ccieh3c.taobao.com encryption-method ccmp
说明:安全模板定了2个,一个为Open,即默认策略,也就是后续定义的Guest,不进行认证,而后面定义了一个pre-auten则为WPA2进行密码认证,这个是给内部用的。
8.2.5 流量模板
流量模板可以实现为某个无线网络定制特定的优先级映射和流量监管功能。
[AC6605]wlan
[AC6605-wlan-view]traffic-profile name AP-1
说明:默认情况下流量模板下,有默认策略,比如802.1P映射,用户的限速、VAP限速等功能,这里先使用默认的,后续需求的话在进行调整。
8.2.6 定义WLAN-ESS接口
WLAN-ESS接口类似于一个模板,它的作用主要给一个AP可以虚拟多个VAP出来,VAP提供给不同的服务接入,而一个VAP对应一个WLAN-BDSS接口,而WLAN-ESS则是WLAN-BDSS属性模板,也就是AC动态创建一个VAP,则自动创建一个WLAN-BDSS,而属性则继承WLAN-ESS定义的。
[AC6605]interface Wlan-Ess 1
[AC6605-Wlan-Ess1]port hybrid untagged vlan 19
说明:创建了一个WLAN-ESS接口,并且允许了VLAN 19的流量不打标签进入该接口,默认情况下VLAN 1已经通过了,所以这里的流量即为VLAN 19与1。当然该接口还可以部署其他策略,比如dot1x、MAC认证等功能,注意的是,V200R3的版本是不需要启用DHCP功能的,默认就开启了。
8.2.7 定义WLAN服务集
服务集的功能就是来汇集之前定义的业务参数功能,比如定义SSID,转发模式,关联射频模板,认证策略等,然后调用在AP下,进行下发。
[AC6605]wlan
[AC6605-wlan-view]service-set name open
[AC6605-wlan-service-set-open]ssid Guest
[AC6605-wlan-service-set-open]forward-mode direct-forward
[AC6605-wlan-service-set-open]wlan-ess 1
[AC6605-wlan-service-set-open]service-vlan 19
[AC6605-wlan-service-set-open]security-profile name open
[AC6605-wlan-service-set-open]traffic-profile name AP-1
[AC6605-wlan-view]service-set name intrenet
[AC6605-wlan-service-set-intrenet]ssid intrent
[AC6605-wlan-service-set-intrenet]service-vlan 19
[AC6605-wlan-service-set-intrenet]wlan-ess 1
[AC6605-wlan-service-set-intrenet]security-profile name pre-authen
[AC6605-wlan-service-set-intrenet]forward-mode direct-forward
[AC6605-wlan-service-set-intrenet]traffic-profile name AP-1
说明:这里创建了2个服务集,一个用于Guest用的,一个用于intrenet,除了SSID与安全策略不一样外,其余的都一致。
8.2.8 射频配置
每个AP都有一个或多个射频模块,这个射频模块负责无线信号的收发、功率的调整以及信道的配置等功能。
[AC6605]wlan
[AC6605-wlan-view]ap 1 radio 0
[AC6605-wlan-radio-1/0]radio-profile name 2.4G
[AC6605-wlan-radio-1/0]service-set name open
[AC6605-wlan-view]ap 1 radio 1
[AC6605-wlan-radio-1/1]radio-profile name 5G
[AC6605-wlan-radio-1/1]service-set name intrenet
说明:这里定义了2个射频,一个给2.4G用,另外一个给intrenet,2.4G主要提供给Guest使用,而5G在内企业网内部使用,这里说明的是,radio 0为2.4G频率,而1为5G频率。
8.3 AC配置第三步【下放业务配置给AP】
[AC6605-wlan-view]commit ap 1
8.4 环境测试验证
可以看到2个客户端都已经连接上去了,默认情况下访客是不需要用户名密码认证,而内部用户则需要。
可以看到已经正常获取到IP地址了。
AP上面的变化
可以看到AP接口上联交换机变化,默认情况下是只允许VLAN 1通过的,现在多了一个VLAN 19,该就是业务VLAN,而管理VLAN还是1,所以与AC通信则是通过VLAN 1进行CAWAP,而VLAN 19则是给PC业务使用的,正真转发数据用的VLAN,而2个SSID创建了WLAN-BSS0与17,它的策略继承与之前配置的WLAN-ESS接口。
关于博客资源下载说明
(1)第一种是书籍PDF与视频类,全部放在博客分享,觉得对大家学习有帮助的博主会收集好、然后以博主的经验整理分类后排序好分享出来。
(2)第二种是技术性文章与视频,全部放在公众号(网络之路博客)/B站(网络之路Blog)发布,以博主原创为主,主要分享系列为主,由浅入深的带大家了解工作中常用到的一些网络技术,当然也会分享一些比较经典的案例。
(3)分享资源有涉及到您的利益以及版权问题,请联系博主,24小时候内删除。
学习视频系列(总有您想要的)
Book与实验手册(从初级到高级)
数通系列(路由交换 无线、防火墙VPN等)
实战系列(最贴近企业需求的案例)
想第一时间收到最新更新内容吗,点击获取~~~