任务描述
某公司需要在原有网络中部署WLAN,以满足员工的移动办公需求。由于原来的有线网络较为复杂,为满足WLAN组网的灵活性,管理员小赵准备采用AC+瘦AP旁挂式三层组网方案,AP1部署在销售部办公室,AP2部署在财务部办公室。由于个别移动终端(Phone1和STA3)非法接入,将对无线网络构成威胁,小赵拟配置黑名单,限制个别移动终端被完全拒绝接入或部分拒绝接入无线网络。
任务要求
(1)组建旁挂式三层无线局域网,网络拓扑图如图
(2)AC数据规划如表
(3)路由器、交换机和AC等网络设备端口IP地址规划如表
(4)组建AC+AP旁挂式三层无线局域网,AC作为DHCP服务器为AP和STA分配IP地址;汇聚交换机SW3B作为DHCP代理;采用隧道转发的业务数据转发方式。通过适当的配置实现AP上线、STA正确获取IP地址,各网络设备之间可以相互通信和使用黑名单功能拒绝非法接入无线局域网。
知识准备
1.三层组网
AC和AP之间通过三层网络进行连接的网络称为三层组网,如图所示。在三层组网中,AC和AP不在同一广播域中,AP需要通过DHCP代理从AC获得IP地址,或者额外部署DHCP服务器为AP分配IP地址。由于AP无法通过广播发现AC,所以需要在DHCP服务器上配置option 43来指明AC的IP地址。三层组网虽然比较复杂,但是由于AC和AP可以位于不同的网络,只需要它们之间IP包可达即可,因此部署非常灵活,适用于大型网络的无线组网。
2.旁挂式组网
图所示为旁挂式组网,AC并不在AP和核心网络的中间,而是位于网络的一侧(通常是旁挂在汇聚交换机或者核心交换机上)。由于实际组建WLAN时,大多情况下已经建好了有线网络,因为旁挂式组网不需要改变现有网络的拓扑,所以它是较为常用的组网方式。如果旁挂式组网采用直接转发模式,则移动终端的数据流不需要经过AC就能到达上层网络,AC的压力较小;如果旁挂式组网采用隧道转发模式,则移动终端的数据流要通过CAPWAP协议隧道发送到AC中,AC再把数据转发到上层网络中,AC也面临较大压力。
3.WLAN漫游
AP的信号覆盖范围为几米到几十米,当移动终端(STA)移动时,会发生WLAN漫游。WLAN漫游是指STA在不同AP覆盖范围之间移动,且保持用户业务不中断的行为。如图5.2.4所示,STA从AP1的覆盖范围移动到AP2的覆盖范围时保持业务不中断。 根据STA是否在同一个AC内漫游,可以分为AC内漫游和AC间漫游,同一AC内漫游无需额外配置。根据STA是否在同一个子网内漫游,可以将漫游分为:二层漫游、三层漫游。
4.黑白名单
面对安全威胁,WLAN常采用安全策略之一就是黑白名单。客户端黑白名单的实现效果与MAC地址认证是一样的,在无线客户端接入网络的时候,实现对无线客户端的接入控制,只允许合法的客户端正常接入WLAN网络。
(1)白名单列表。允许接入WLAN网络客户端的MAC地址列表,只有存在该列表的用户才能接入。如果启用未定义,等于所有用户可以接入。
(2)黑名单列表。拒绝接入WLAN网络客户端的MAC地址列表,存在该列表的用户不能接入WLAN网络。如果启用未定义,等于所有用户可以接入,不限制。 黑白名单可以基于全局或者VAP(服务集)配置。基于全局配置,名单会影响所有的AP;基于VAP(服务集)配置,只对某些SSID启用。如果两种都启用了的话,则会检查两个列表,如果两个列表里面没有包含该客户端的信息则通过或者不通过。 注意:对于同一个VAP或者同一个AP,STA白名单和STA黑名单不能同时配置,即同一个VAP模板或同一个AP系统模板内,STA白名单或STA黑名单仅一种生效。
5.关键技术命令格式
(1)方法一:基于AP方式创建黑名单或白名单,代码如下。
(2)方法二:基于VAP方式创建黑白名单,代码如下。
任务实施
1.网络设备的基础配置
参照图5.2.1搭建网络拓扑,连线全部使用直通线,开启所有设备电源。
交换机SW3A的基本配置。
交换机SW3B的基本配置。
路由器R1的基本配置。
无线控制器AC的基本配置。
2.默认路由的配置
配置AC到AP的路由。
配置R1的默认路由。
3.配置DHCP服务
在AC上配置DHCP服务器,为STA和AP动态分配IP地址。
在交换机SW3B上开启DHCP服务、配置DHCP中继。
查询无线AP1和AP2的MAC地址
5.配置AP上线
创建AP组,用于将相同配置的AP加入同一AP组。
创建域管理模板,配置AC的国家码,并在AP组下引用域管理模板。
配置AC的源端口。
在AC上离线导入AP1、AP2,并将AP加入AP监控组ap-group1中。
在AC上使用display ap all命令,结果显示查看到AP的"State"字段为"nor"时,表示AP正常上线。
6.配置WLAN业务
创建名为"wlan-net1"的安全模板、SSID模板和VAP模板,配置安全策略、密码、SSID名称和转发模式,并对模板进行引用。
创建名为"wlan-net2"的安全模板、SSID模板和VAP模板,配置安全策略、密码、SSID名称和转发模式,并对模板进行引用。
配置AP组引用VAP模板,A P上射频0和射频1同时使用用VAP模板"wlan-net1"和"wlan-net2"的配置。
配置AP射频信道和功率。
配置AP2射频信道和功率。注意,当AP1和AP2的信号覆盖有重叠时,信道值需要有一定的间隔。
7.配置黑名单
配置基于AP的STA黑名单。创建名为"black1"的STA黑名单模板,将终端STA3的MAC(54-89-98-FE-67-80)地址加入黑名单。
配置基于VAP的STA黑名单。将Phone1(54-89-98-80-5D-4D)加入STA黑名单,不允许Phone1连接,但允许其连接名为"Finances"的SSID。
任务验收
在AC上使用display vap ssid Sales命令,查看AP对应射频上的VAP创建信息,当"Status"字段为"ON"时,表示AP对应射频上的VAP已创建成功。
将STA1接入"Sales",STA2和Phone1接入"Finances"的无线网络后,在AC上使用display station ssid Sales和display station ssid Finances命令,查看已接入无线网络中的用户。
查看黑名单 使用display sta-blacklist-profile name black2命令可查看名为"black"的黑名单列表。通过对Phone1的连接测试,可验证Phone1只能连接"Finances"的SSID。
测试STA获取IP地址及漫游情况 (1)STA1和STA2正常关联无线网络后,使用ipconfig命令,查看STA1和STA2通过无线网络自动获取的IP地址。 (2)通过STA的"自动移动"功能测试漫游功能,漫游功能默认开启,无需配置。
测试STA1与Phone1等其他站点的网络连通性,结果显示全网通。
任务小结
(1)组建旁挂式三层无线局域网是比较常见的一种形式。 (2)Fit AP不能单独运行,需要由AC进行控制。 (3)在三层组网中,AC和AP不在同一个广播域中,需要在DHCP服务器上配置option43来指明AC的IP地址。