L04新一代WNAC智能无线控制器的集中转发模式wlan三层接口.docx

1、L04新一代WNAC智能无线控制器的集中转发模式wlan三层接口新一代WNAC智能无线控制器的集中转发模式（wlan三层接口方式）新一代WNAC智能无线控制器的集中转发模式有两种：1. 给wlan设置三层虚接口，用户连入SSID后，直接以wlan虚接口作为网关，就像电脑直接连在AC的wlan“端口”上一样，通过三层路由去访问目标地址。此时需要AC做DHCP Server给wlan下的用户分配IP，或者Relay其他DHCP Server的IP。2. 设置EBR（Extended Bridge），将AC上的Radio三层虚接口与AC某个物理三层接口绑定到EBR，在EBR内的所有接口将失去三层功能

2、，用户数据通过无线虚接口二层透传到物理接口转发。此种应用主要用于需要AC集中转发，但又不想通过三层方式访问某些资源（例如要用其他DHCP Server但不用AC做DHCP Relay）的场景。本文主要描述第一种集中转发方式，文章会描述如何创建安全策略、创建集中转发模式的wlan（三层接口）以及手工和自动方式关联AP，使AP将所有信息，包括管理信息和用户信息，都上传到AC，再由AC负责转发出去。通过本例，可以了解到以下内容： AC上三层接口的配置 AP通过DHCP Option43获取AC地址 AC上DHCP Sever的建立 AC上创建静态路由 无线安全策略的建立 无线wlan的创建 wlan

3、三层接口的配置 无线AP与AC的关联操作方式以Web页面为主，但有些内容也会描述命令行的方式。一、 案例介绍一台三层核心交换机上旁挂了一台AC，三层交换机与AC之间互相用三层接口相连。交换机vlan1连接路由器，两台AP也连在vlan1内。两台AP都广播两个SSID，分别为NG1（不加密）和NG2（WPA-PSK）。用户连入NG1后，会从AC上获取一个网段的地址；连入NG2，会获取另一个网段地址。具体拓扑结构如下图：二、 配置三层接口例中AC旁挂于三层交换机，使用三层接口与交换机通讯。三层接口的配置如下：1. 进入“控制”“端口管理”“功能配置”，选择1-12端口，将模式选择为route。2.

4、 系统会自动跳转到“配置IP”页面，可以给1-12配置IP地址和掩码。点“确定”保存后，三层接口即配置成功。3. 命令行中配置上述内容SYSTEM(config)# interface eth1-12SYSTEM(config-if)# ip address 192.168.10.1/24三、 配置静态路由1. 为了AP1和AP2通讯能跟AC关联，AC必须跟这些AP路由可通。所以需要在AC上建立静态路由，与AP所在VLAN（即交换机vlan1）可通；另外用户也需要访问Internet，所以可以在AC上配置一条默认路由，通过交换机的eth1-24口访问AP和互联网。（具体设置方法可参考L02）注

5、：三层交换机上也要有返回路由指向wlan1和wlan2。2. 命令行中配置上述内容SYSTEM(config)# ip route 0.0.0.0/0 192.168.10.254 2四、 配置DHCP服务器由于AC跟AP是跨三层部署，所以需要用到DHCP Option43的方式让AP发现AC。由于有的三层交换机的DHCP Server功能不带Option功能，所以我们可以用AC来做DHCP服务器，在三层交换机上做DHCP Relay，实现AP通过Option43获得AC地址的功能。1. 在AC上创建一个DHCP池，对应vlan1。其中Option43处“类型”设置为“17”（使用WNAC做O

6、ption 43时，这里都用17），并添加AC的IP地址。2. 另外还需要创建一个对应eth1-12本身IP的地址池，即192.168.10.x的地址池，否则DHCP服务不能正常启动。3. 再创建两个地址池，分别对应wlan1和wlan2（后面内容会说明wlan的建立方法），给wlan1和wlan2下的用户分配地址。配置好后的地址池如下：五、 创建无线安全策略要建立无线SSID，首先要建立安全策略，然后再把安全策略绑定到相关SSID上。创建无线安全策略的方法如下：1. 进入“无线”“无线安全”“创建安全策略”，建立一个名为“open”的安全策略。2. 同样方法建立一个名为“wpa-psk”的安

7、全策略。完成后在“安全策略列表”中可以看到两个策略，但默认都是802.1x类型，需要手工修改。3. 鼠标移到要修改的策略后面的小三角后，选“配置”，修改加密方式，点“确定”保存。4. 设置完后，可在列表中看到保存后的安全策略。5. 上述配置的命令行方式如下SYSTEM(config)# create security 1 open /创建一个叫做open的安全策略，ID为1security profile 1 was successfully created. /系统自动提示，下同SYSTEM(config)# config security 1SYSTEM(config-security)#

8、 security type opensecurity type set successfullySYSTEM(config-security)# encryption type noneencryption type successfully set.SYSTEM(config-security)# exitSYSTEM(config)# create security 2 wpa-psk /创建一个叫做wpa-psk的安全策略，ID为2security profile 2 was successfully created.SYSTEM(config)# config security 2S

9、YSTEM(config-security)# security type wpa_psecurity type set successfullySYSTEM(config-security)# encryption type tkipencryption type successfully set.SYSTEM(config-security)# security ascii key 12345678security key set successfulSYSTEM(config-security)# exitSYSTEM(config)#六、 设置wlanWlan是AC里面重要的一个概念，

10、它包含了安全策略、SSID等信息，并决定了本地转发和集中转发模式的选择。1. 进入“无线”“WLAN”“创建WLAN”，建立两个SSID。其中WLAN ESSID为AP广播出来的SSID号。在“WLAN列表”中可以看到已经建立的wlan。2. 配置wlan的三层虚接口。在wlan1的后方小箭头处选择“L3接口”设置wlan1对应的IP地址和掩码，点“映射”。同样方法设置wlan2三层虚接口的IP地址。这是可看到“WLAN列表”中wlan1和wlan2的“三层接口策略”变成了“WLAN_IF”。3. 在wlan1的后方小箭头处选择“配置”选择wlan1要使用的安全策略号，和绑定的接口。注：wla

11、n绑定的接口意思是：绑定的接口可以向下面AP发送这个wlan的信息。例如本例中wlan1绑定了eth1-12，则所有通过eth1-12与AC交互信息的AP，都可以获取wlan1的信息。然后将WLAN服务设为enable4. 同样设置wlan2的安全策略和绑定接口。6. 上述配置的命令行方式如下SYSTEM(config)# create wlan 1 wlan1 NG1 /创建wlan1，ID为1，SSID为NG1Wlan 1 was successfully created.SYSTEM(config)# config wlan 1SYSTEM(config-wlan)# apply sec

12、urityID 1 /绑定安全策略1Security 1 was successfully binded.SYSTEM(config-wlan)# wlan apply interface eth1-12 /绑定端口eth1-12wlan 1 binding interface eth1-12 successfully.SYSTEM(config-wlan)# exitSYSTEM(config)# create wlan 2 wlan2 NG2 /创建wlan2，ID为2，SSID为NG2Wlan 2 was successfully created.SYSTEM(config)# conf

13、ig wlan 2SYSTEM(config-wlan)# apply securityID 2 /绑定安全策略2Security 2 was successfully binded.SYSTEM(config-wlan)# wlan apply interface eth1-12 /绑定端口eth1-12wlan 2 binding interface eth1-12 successfully.SYSTEM(config-wlan)# exitSYSTEM(config)# interface wlan1 /配置wlan1的三层虚接口SYSTEM(config-if)# ip address

14、 10.1.1.1/24 /设置wlan1的IP地址SYSTEM(config-if)# exitSYSTEM(config)# interface wlan2 /配置wlan2的三层虚接口SYSTEM(config-if)# ip address 10.1.2.1/24 /设置wlan2的IP地址SYSTEM(config-if)# exitSYSTEM(config)# config wlan 1SYSTEM(config-wlan)# service enable /将wlan1启用Wlan 1 enable successfullySYSTEM(config-wlan)# exitSY

15、STEM(config)# config wlan 2SYSTEM(config-wlan)# service enable /将wlan2启用SYSTEM(config-wlan)# exitSYSTEM(config)#七、 关联AP在关联AP之前，先到“无线”“无线接入点”“AP模式”中检查一下，看看自己AP的型号在不在其中，如果不在其中，则无法关联成功。AP模式是AC系统内部参数，请不要擅自修改。一） 手动关联AP1. 进入“无线”“无线接入点”“创建AP”，输入AP ID，AP名，选择AP型号，并填入AP的MAC地址。2. 创建了两个AP后，可在“AP列表”中看到AP的状态，当前是没

16、有启用的。3. 点击AP1的“配置”将AP1绑定至eth1-12，并将状态改为used。注：AP绑定的接口的意思是AP是通过哪个接口与AC发生通讯的。若AP绑定的接口与wlan绑定的接口不匹配，那么AP就无法应用这个wlan。同样将AP2也绑定到eth1-12，状态改为used。若AP已经正常连接并获取到了IP和Option43信息，就可以看到AP已经启动。4. 点击AP1的“详细信息”在详细信息页面最下方，点击AP1的Radio的“配置”在出来的页面中，将“绑定WLAN”选择1，点“确定”；再重复一次，选择2，再点“确定”。这样就让AP1同时绑定了wlan1和wlan2。同样设置AP2也绑定

17、wlan1 和wlan2。5. 上述方法的命令行如下：SYSTEM(config)# create wtp 1 WG102-500-1 model&mac WG102-500 mac 00:22:3F:D8:B5:B0 /创建AP1WTP 1 was successfully created.SYSTEM(config)# config wtp 1SYSTEM(config-wtp)# wtp apply interface eth1-12 /将AP绑定到端口eth1-12wtp 1 bind interface eth1-12 successfully.SYSTEM(config-wtp)#

18、 exitSYSTEM(config)# config radio 4 /对于单频AP来说，radio 4相当于AP1（radio 8相当于AP2，依此类推）SYSTEM(config-radio)# radio apply wlan 1 /绑定wlan1radio 4 apply wlan 1 successfullySYSTEM(config-radio)# radio apply wlan 2 /绑定wlan2radio 4 apply wlan 2 successfullySYSTEM(config-radio)# exitSYSTEM(config)# create wtp 2 WG

19、103-1 model&mac WG103 mac 00:24:B2:64:8A:A0WTP 2 was successfully created.SYSTEM(config)# config wtp 2SYSTEM(config-wtp)# wtp apply interface eth1-12wtp 2 bind interface eth1-12 successfully.SYSTEM(config-wtp)# exitSYSTEM(config)# config radio 8SYSTEM(config-radio)# radio apply wlan 1radio 8 apply w

20、lan 1 successfullySYSTEM(config-radio)# radio apply wlan 2radio 8 apply wlan 2 successfullySYSTEM(config-radio)# exitSYSTEM(config)# config wtp 1SYSTEM(config-wtp)# wtp used /启用AP1wtp used successfully.SYSTEM(config-wtp)# exitSYSTEM(config)# config wtp 2SYSTEM(config-wtp)# wtp used /启用AP2wtp used su

21、ccessfully.SYSTEM(config-wtp)# exitSYSTEM(config)#二） 自动关联AP注：1） 自动关联的方式适用于所有AP都是用相同的无线策略，即所有AP广播的都是相同的SSID2） 用Web界面配置的话，请严格按照下文的步骤配置，否则很容易出错。1. 进入“无线”“无线接入点”“配置动态AP策略”，选择绑定接口为eth1-12，点“确定”。2. 选择“绑定WLAN”中wlan1和wlan2（按Ctrl键可多选），对应到接口eth1-12。点“确定”。3. 选择“保存动态AP策略”为enable，点“确定”。注：此处选enable的意思是动态关联上来的AP会保

22、存在AC上，就算动态AP策略删除了或修改了，原来自动关联上来的AP也不会消失。4. 选择“动态AP策略”为enable，点确定。5. 在“显示动态AP策略”页面中，可看到动态策略的配置。6. 在“AP列表”中，可以找到自动搜索到的AP，并且AP已经自动启动了。7. 上述方法的命令行如下：SYSTEM(config)# set auto_ap_login interface uplink eth1-12 /设置自动发现的端口为eth1-12set wireless-control dynamic_ap_login_interface uplink eth1-12 successfullySYST

23、EM(config)# set auto_ap_login wlan 1 base interface eth1-12 /设置通过eth1-12跟AC进行关联的AP都绑定wlan1set wireless-control dynamic_ap_login_binding wlan 1 successfullySYSTEM(config)# set auto_ap_login wlan 2 base interface eth1-12 /设置通过eth1-12跟AC进行关联的AP都绑定wlan2set wireless-control dynamic_ap_login_binding wlan

24、2 successfullySYSTEM(config)# set auto_ap_login save_config_switch enable /保存动态AP策略set wireless-control dynamic_ap_login_save_config_switch enable successfullySYSTEM(config)# set auto_ap_login switch enable /启用动态策略set wireless-control dynamic_ap_login_switch enable successfully八、 配置效果当配置完成后，用户连入任一台AP的NG1，都会获得10.1.1.x的地址；连入任一台AP的NG2，都会获得10.1.2.x的地址。无线用户通过wlan的虚接口，经由AC的三层路由，访问目的网络。