配置小型网络WLAN基本业务示例
组网图形
图1配置小型网络WLAN基本业务组网图
- 小型WLAN网络简介
- 配置注意事项
- 组网需求
- 数据规划
- 配置思路
- 操作步骤
- 配置文件
小型WLAN网络简介
本文介绍的WLAN网络是指利用频率为2.4GHz或5GHz的射频信号作为传输介质的无线局域网,相对于有线网络的铺设成本高,不便于网络调整和扩展、位置固定,移动性差等缺点,WLAN网络以其低廉的铺设成本、便捷的网络调整和扩展、灵活的可移动性获得了越来越广泛的应用。
小型WLAN网络定位为中小型企业包括独立的小型园区网,也包括只在分支机构部署WLAN的场景。由于规模较小,小型WLAN网络通常只需要使用少量的网络设备部署一个简单的WLAN网络,为小范围内的用户提供WLAN网络服务。
配置注意事项
-
本举例使用的安全策略为WPA2-PSK-CCMP,为保证实际网络的安全性,请根据实际的需求配置合适的安全策略。
-
隧道转发模式下,管理VLAN和业务VLAN不能配置为同一VLAN。直接转发模式下,管理VLAN和业务VLAN建议也不要配置为同一VLAN。
-
数据转发方式为直接转发时,建议在直接连接AP的设备接口上配置端口隔离,如果不配置端口隔离,可能会在VLAN内存在不必要的广播报文,或者导致不同AP间的WLAN用户二层互通的问题。
-
配置管理VLAN和业务VLAN:
- 隧道转发模式下,业务报文会封装在CAPWAP数据隧道中进行传输,发送给AC,然后由AC再转发到上层网络或AP,所以只要配置AC与AP间的网络加入管理VLAN,AC与上层网络间的网络加入业务VLAN,就能正常传输业务报文和管理报文。
- 直接转发模式下,业务报文不会进行CAPWAP封装,而是直接转发给上层网络或AP,所以需要配置AC与AP间的网络加入管理VLAN,AP与上层网络间的网络加入业务VLAN,才能正常传输业务报文和管理报文。
-
配置源接口方式:
- V200R006版本中,配置源接口的方式是在WLAN视图 下执行命令wlan ac source interface { loopback loopback-number | vlanif vlan-id }
- V200R007和V200R008版本中,配置源接口的方式是在系统视图 下执行命令capwap source interface { loopback loopback-number | vlanif vlan-id }
-
纯组播报文由于协议要求在无线空口没有ACK机制保障,且无线空口链路不稳定,为了纯组播报文能够稳定发送,通常会以低速报文形式发送。如果网络侧有大量异常组播流量涌入,则会造成无线空口拥堵。为了减小大量低速组播报文对无线网络造成的冲击,建议配置组播报文抑制功能。配置前请确认是否有组播业务,如果有,请谨慎配置限速值。
- 业务数据转发方式采用直接转发时,建议在直连AP的交换机接口上配置组播报文抑制。
- 业务数据转发方式采用隧道转发时,建议在AC的流量模板下配置组播报文抑制。
配置方法请参见:如何配置组播报文抑制,减小大量低速组播报文对无线网络造成的冲击?
-
适用的产品和版本如下表所示。
软件版本 产品形态 配套AP形态和版本 V200R005C00 S7700,S9700 V200R005C00: AP2010DN,AP3010DN-AGN,AP5010DN-AGN,AP5010SN-GN,AP5030DN,AP5130DN,AP6010SN-GN,AP6010DN-AGN,AP6310SN-GN,AP6510DN-AGN,AP6610DN-AGN,AP7110DN-AGN,AP7110SN-GN V200R006C00 S5720-HI,S7700,S9700 V200R005C00: AP2010DN,AP3010DN-AGN,AP5010DN-AGN,AP5010SN-GN,AP5030DN,AP5130DN,AP6010SN-GN,AP6010DN-AGN,AP6310SN-GN,AP6510DN-AGN,AP6610DN-AGN,AP7110DN-AGN,AP7110SN-GN V200R007C00 S5720-HI,S7700,S9700 V200R005C10: AP2010DN,AP3010DN-AGN,AP5010DN-AGN,AP5010SN-GN,AP5030DN,AP5130DN,AP6010SN-GN,AP6010DN-AGN,AP6310SN-GN,AP6510DN-AGN,AP6610DN-AGN,AP7110DN-AGN,AP7110SN-GN,AP8030DN,AP8130DN V200R005C20: AP7030DE,AP9330DN V200R008C00 S5720-HI,S7700,S9700 V200R005C10: AP2010DN,AP3010DN-AGN,AP5010DN-AGN,AP5010SN-GN,AP5030DN,AP5130DN,AP6010SN-GN,AP6010DN-AGN,AP6310SN-GN,AP6510DN-AGN,AP6610DN-AGN,AP7110DN-AGN,AP7110SN-GN,AP8030DN,AP8130DN V200R005C20: AP7030DE,AP9330DN V200R005C30: AP2030DN,AP3030DN,AP4030DN,AP4130DN [表1举例适用的产品和版本] 对于S7700,建议使用S7712或S7706,不建议使用S7703。
对于S9700,建议使用S9712或S9706,不建议使用S9703。
组网需求
某企业分支机构规模较小,为了保证工作人员可以随时随地的访问公司网络,通过部署小型WLAN网络实现移动办公。
如图1所示,AC通过PoE交换机与AP连接,PoE交换机为AP供电。通过在AC上配置WLAN业务的相关内容,下发给AP生成WLAN网络供用户接入。
数据规划
| 准备项 | 数据 | 说明 |
|---|---|---|
| AC的源接口IP地址 | 192.168.10.1/24 | 无 |
| WMM模板 | 名称:wmm | 无 |
| 射频模板 | 名称:radio | 无 |
| 安全模板 | * 名称:security * 安全与认证策略:WPA2+PSK * 认证密钥:YsHsjx_202206 * 加密方式:CCMP | 无 |
| 流量模板 | 名称:traffic | 无 |
| 服务集 | * 名称:test * SSID:test * WLAN虚接口:WLAN-ESS 1 * 业务数据转发模式:隧道转发 | 无 |
| DHCP服务器 | AC作为DHCP服务器,为AP和STA分配地址 | 无 |
| AP的网关及IP地址池范围 | VLANIF 100:192.168.10.1/24 192.168.10.2~192.168.10.254/24 | 无 |
| STA的网关及IP地址池范围 | VLANIF 101:192.168.11.1/24 192.168.11.2~192.168.11.254/24 | 无 |
| [表2数据规划表] |
配置思路
采用如下的思路配置小型网络的WLAN基本业务:
- 配置AP、AC、SwitchA和上层网络设备之间实现二层互通。
- 在AC上配置基于接口的DHCP服务器为STA和AP分配IP地址。
- 配置AC的系统参数,包括国家码、AC ID、运营商标识和AC与AP之间通信的源接口。
- 配置AP上线的认证方式,并把AP加入AP域中,实现AP正常工作。
- 配置VAP,下发WLAN业务,实现STA访问WLAN网络功能。
- 配置AP对应的WMM模板、射频模板,使用WMM模板和射频模板的默认配置,并在射频模板下绑定WMM模板,实现STA与AP之间的无线通信参数配置。
- 配置WLAN-ESS接口,实现报文到达AC后能够送至WLAN业务处理模块处理。
- 配置AP对应的安全模板、流量模板,使用安全模板和流量模板的缺省配置,配置服务集并在服务集下绑定WLAN-ESS接口、安全模板、流量模板,实现STA接入网络安全策略及QoS控制。
- 配置VAP并下发,实现STA能够通过WLAN网络访问Internet。
操作步骤
-
在AC上配置NAC模式为统一模式(缺省值,不需配置)。配置SwitchA和AC,使AP与AC之间能够传输CAPWAP报文
javascript# 配置SwitchA连接AP的接口GE0/0/1加入VLAN100(管理VLAN),SwitchA连接AC的接口GE0/0/2加入VLAN100。 <HUAWEI> system-view [HUAWEI] sysname SwitchA [SwitchA] vlan batch 100 [SwitchA] interface gigabitethernet 0/0/1 [SwitchA-GigabitEthernet0/0/1] port link-type trunk [SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100 [SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 [SwitchA-GigabitEthernet0/0/1] quit [SwitchA] interface gigabitethernet 0/0/2 [SwitchA-GigabitEthernet0/0/2] port link-type trunk [SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 [SwitchA-GigabitEthernet0/0/2] quit # 配置AC连接SwitchA的接口GE1/0/1加入VLAN100。 <HUAWEI> system-view [HUAWEI] sysname AC [AC] vlan batch 100 101 [AC] interface gigabitethernet 1/0/1 [AC-GigabitEthernet1/0/1] port link-type trunk [AC-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 [AC-GigabitEthernet1/0/1] quit -
配置AC与上层网络设备互通
根据实际组网情况在AC上行口配置业务VLAN透传,和上行网络设备互通。
javascript# 配置AC上行接口GE1/0/2加入VLAN101(业务VLAN)。 [AC] interface gigabitethernet 1/0/2 [AC-GigabitEthernet1/0/2] port link-type trunk [AC-GigabitEthernet1/0/2] port trunk allow-pass vlan 101 [AC-GigabitEthernet1/0/2] quit -
配置AC作为DHCP服务器,为STA和AP分配IP地址
javascript# 配置基于接口地址池的DHCP服务器,其中,VLANIF100接口为AP提供IP地址,VLANIF101为STA提供IP地址。 [AC] dhcp enable //使能DHCP功能 [AC] interface vlanif 100 [AC-Vlanif100] ip address 192.168.10.1 24 [AC-Vlanif100] dhcp select interface //配置基于接口的地址池 [AC-Vlanif100] quit [AC] interface vlanif 101 [AC-Vlanif101] ip address 192.168.11.1 24 [AC-Vlanif101] dhcp select interface [AC-Vlanif101] quit -
配置AC的系统参数
javascript# 配置AC的国家码。 [AC] wlan ac-global country-code cn Warning: Modify the country code may delete configuration on those AP which use the global country code and reset them, continue?[Y/N]:y # 配置AC ID和运营商标识。 [AC] wlan ac-global ac id 1 carrier id other //AC ID缺省为0,修改为1 # 配置AC的源接口。 [AC] wlan [AC-wlan-view] wlan ac source interface vlanif 100 -
在AC上管理AP
javascript# 现场获取AP的MAC地址后,查看AP的设备类型ID。 [AC-wlan-view] display ap-type all All AP types information: ------------------------------------------------------------------------------ ID Type ------------------------------------------------------------------------------ 17 AP6010SN-GN 19 AP6010DN-AGN 21 AP6310SN-GN 23 AP6510DN-AGN 25 AP6610DN-AGN 27 AP7110SN-GN 28 AP7110DN-AGN 29 AP5010SN-GN 30 AP5010DN-AGN 31 AP3010DN-AGN 33 AP6510DN-AGN-US 34 AP6610DN-AGN-US 35 AP5030DN 36 AP5130DN 37 AP7030DE 38 AP2010DN 39 AP8130DN 40 AP8030DN 42 AP9330DN 43 AP4030DN 44 AP4130DN 45 AP3030DN 46 AP2030DN ------------------------------------------------------------------------------ Total number: 23 # 配置AP认证模式为MAC地址认证(缺省值,不需配置)。根据查询到的AP设备类型ID,离线添加AP。假设AP的类型为AP6010DN-AGN,其MAC地址为00e0-fc11-1111。 [AC-wlan-view] ap id 0 type-id 19 mac 00e0-fc11-1111 [AC-wlan-ap-0] quit # 配置AP域并将AP加入到AP域。 [AC-wlan-view] ap-region id 10 //新建AP域10 [AC-wlan-ap-region-10] quit [AC-wlan-view] ap id 0 [AC-wlan-ap-0] region-id 10 //将AP加入域10 [AC-wlan-ap-0] quit # 将AP上电后,可以查看到AP的"AP State"字段为"normal"。 [AC-wlan-view] display ap all All AP information: Normal[1],Fault[0],Commit-failed[0],Committing[0],Config[0],Download[0] Config-failed[0],Standby[0],Type-not-match[0],Ver-mismatch[0] ------------------------------------------------------------------------------ AP AP AP Profile AP AP /Region ID Type MAC ID State Sysname ------------------------------------------------------------------------------ 0 AP6010DN-AGN 00e0-fc11-1111 0/10 normal ap-0 ------------------------------------------------------------------------------ Total number: 1,printed: 1 -
配置WLAN业务参数
javascript# 创建名为"wmm"的WMM模板。 [AC-wlan-view] wmm-profile name wmm id 1 [AC-wlan-wmm-prof-wmm] quit # 创建名为"radio"的射频模板,绑定WMM模板"wmm"。 [AC-wlan-view] radio-profile name radio id 1 [AC-wlan-radio-prof-radio] wmm-profile name wmm [AC-wlan-radio-prof-radio] quit [AC-wlan-view] quit # 创建WLAN-ESS接口1。 [AC] interface wlan-ess 1 [AC-Wlan-Ess1] port trunk allow-pass vlan 101 [AC-Wlan-Ess1] quit # 创建名为"security"的安全模板。 [AC] wlan [AC-wlan-view] security-profile name security id 1 [AC-wlan-sec-prof-security] security-policy wpa2 //配置安全策略为WPA2 [AC-wlan-sec-prof-security] wpa2 authentication-method psk pass-phrase cipher YsHsjx_202206 encryption-method ccmp //配置加密方式为PSK+CCMP [AC-wlan-sec-prof-security] quit # 创建名为"traffic"的流量模板。 [AC-wlan-view] traffic-profile name traffic id 1 [AC-wlan-traffic-prof-traffic] quit # 创建名为"test"的服务集并绑定WLAN-ESS接口、安全模板和流量模板。 [AC-wlan-view] service-set name test id 1 [AC-wlan-service-set-test] ssid test //配置SSID名称为test [AC-wlan-service-set-test] wlan-ess 1 [AC-wlan-service-set-test] security-profile name security [AC-wlan-service-set-test] traffic-profile name traffic [AC-wlan-service-set-test] service-vlan 101 //缺省情况下服务集的VLAN ID为1,修改服务集的VLAN ID为101 [AC-wlan-service-set-test] forward-mode tunnel //配置业务转发模式为隧道转发 [AC-wlan-service-set-test] quit -
配置VAP并下发
javascript# 配置VAP。 [AC-wlan-view] ap 0 radio 0 [AC-wlan-radio-0/0] radio-profile name radio //配置射频模板绑定到射频上 [AC-wlan-radio-0/0] service-set name test //配置服务集绑定到射频上 [AC-wlan-radio-0/0] quit # 提交配置。 [AC-wlan-view] commit ap 0 Warning: Committing configuration may cause service interruption, continue?[Y/N]:y -
验证配置结果
javascript配置完成后,通过display vap ap 0 radio 0命令,可以查看到VAP已创建成功。 [AC-wlan-view] display vap ap 0 radio 0 All VAP Information(Total-1): SS: Service-set BP: Bridge-profile MP: Mesh-profile ---------------------------------------------------------------------- AP ID Radio ID SS ID BP ID MP ID WLAN ID BSSID Type ---------------------------------------------------------------------- 0 0 1 - - 1 00E0-FC11-1111 service ---------------------------------------------------------------------- Total: 1 STA搜索到名为"test"的无线网络并关联后,无线PC能够被分配相应的IP地址,用户输入预共享密钥可以访问无线网络,在AC上执行display station assoc-info命令,可以查看到用户已经接入到无线网络"test"中。 [AC-wlan-view] display station assoc-info ap 0 radio 0 ------------------------------------------------------------------------------ STA MAC AP ID RADIO ID SS ID SSID ------------------------------------------------------------------------------ 00e0-fc11-1113 0 0 1 test ------------------------------------------------------------------------------ Total stations: 1
配置文件
javascript
接入交换机的配置文件
#
sysname SwitchA
#
vlan batch 100
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100
#
return
AC的配置文件
#
sysname AC
#
vlan batch 100 to 101
#
wlan ac-global carrier id other ac id 1
#
dhcp enable
#
interface Vlanif100
ip address 192.168.10.1 255.255.255.0
dhcp select interface
#
interface Vlanif101
ip address 192.168.11.1 255.255.255.0
dhcp select interface
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 100
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 101
#
interface Wlan-Ess1
port trunk allow-pass vlan 101
#
wlan
wlan ac source interface vlanif100
ap-region id 10
ap id 0 type-id 19 mac 00e0-fc11-1111 sn 210235419610CB002287
region-id 10
wmm-profile name wmm id 1
traffic-profile name traffic id 1
security-profile name security id 1
security-policy wpa2
wpa2 authentication-method psk pass-phrase cipher %@%@}PSoXN{buC{{i+L![@/I<|C"%@%@ encryption-method ccmp
service-set name test id 1
forward-mode tunnel
wlan-ess 1
ssid test
traffic-profile id 1
security-profile id 1
service-vlan 101
radio-profile name radio id 1
wmm-profile id 1
ap 0 radio 0
radio-profile id 1
service-set id 1 wlan 1
#
return