WLN00027HREAP模式配置范例.docx
《WLN00027HREAP模式配置范例.docx》由会员分享,可在线阅读,更多相关《WLN00027HREAP模式配置范例.docx(21页珍藏版)》请在冰点文库上搜索。
WLN00027HREAP模式配置范例
【标题】H-REAP模式配置范例
【译者姓名】韩啸晨
【校对人】
【翻译完成时间】2008-12-12
【原文英文标题】H-REAPModesofOperationConfigurationExample
【原文链接】
【翻译内容】
介绍
本文介绍混合远端边缘AP模式,并提供配置范例
配置条件
必要条件
在配置前,请先确定掌握以下知识点:
(1)WLC的基础知识,并且具有配置WLC的基础
(2)远程边缘AP(REAP)
(3)WPA
(4)外部DHCP以及DNS服务器
(5)ACS中配置用户
(6)基本的思科路由器广域网接口
(7)基本的路由协议
使用说明
本文涉及的信息基于以下软件及硬件版本:
(1)使用固件4.0的思科2000系列的WLC
(2)思科1131AG的LAP
(3)使用软件版本12.4(11)T的思科2800系列路由器
(4)使用固件2.5的思科802.11a/b/g无线客户端
(5)使用软件版本2.5的思科桌面软件
(6)使用软件版本3.2的思科准入控制ACS
文档中描述的是在实验环境,所有设备都是初始配置,请先确定各命令的意义,再做配置。
规定
请参考以下网址,获得更多信息
知识点
H-REAP模式是解决分支办公机构无线覆盖的解决方案,当远端办公室没有本地WLC的时候,它允许通过WAN链路的连接,控制远端AP.
当与WLC失去联系后,H-REAP仍然可以传输本地数据,进行本地的认证,当恢复和WLC的连接后,H-REAP可以将数据传输到WLC.
以下设备支持H-REAP:
(1)在WLC软件版本4.0及以后,1131,1242以及1250AP
(2)2000,4000和2106系列WLC
(3)内置WLC的思科3750G交换机
(4)思科6500系列的WISM模块
(5)内置WLC的思科ISR路由器
在H-REAP模式下,数据可以本地传输,或者发送到WLC,这取决于无线网络的配置,本地传输的数据可以被封装成802.1Q的帧,并传递给有线网络.在广域网线路断开后,H-REAP模式的AP仍然可以传输本地数据,并做认证。
【译者注】当AP工作在H-REAP模式,并且本地传输数据时,不支持通过RADIUS认证服务器做动态指定的VLAN功能,然而,可以通过在AP上配置VLAN与SSID的静态绑定,做相应的功能,因此,可以通过此功能,达到VLAN与SSID的对应关系。
【译者注】如果在WLAN中传输语音,AP要工作在本地模式,以便支持CCKM和CAC,这两个功能在H-REAP模式并不支持。
知识点
在REAP上的H-REAP
请参考以下文档,察看更多REAP的信息
H-REAP改进了很多REAP的功能:
(1)REAP不支持有线网络的分离,这个取决于802.1Q的支持,数据在同一个有线网络中终结
(2)在WAN中断后,REAP的AP不能提供服务,除非在WLC中之前定义
H-REAP通过以下方法解决前两个问题:
(1)提供dot1Q和VLAN与SSID的绑定支持,配置此功能前,请先确定连接的交换机端口是否提供此功能。
(2)为本地数据转换提供服务
配置
网络拓扑
配置
WLC上的基本配置:
(1)管理IP-172.16.1.10/16
(2)AP管理IP-172.16.1.11/16
(3)默认网关IP-172.16.1.25/16
(4)虚拟网关地址-1.1.1.1
【译者注】此文档中不包含WAN的路由器,以及连接AP的交换机的配置
配置AP成为H-REAP
如果在LWAPP协议不被支持的远端办公区中使AP连接到WLC,可以使用填写方法,手工输入WLC的地址。
将具有H-REAP功能的AP连接后,在启动过程中,首先找到的IP地址作为自己的IP地址,一旦通过DHCP获得IP地址后,它将启动,并执行注册到WLC的过程。
H-REAP的AP可以通过以下方法获得WLC的地址:
其中一个方法是通过DHCP选项43获得WLC的地址,然后加入到WLC,下载最新的软件版本和配置文件,初始射频接口,保存相应的配置到自己的非易失性的内存中,以便在独立模式下使用。
当AP注册到WLC后,执行以下步骤:
1.在WLC界面,点击Wireless>AccessPoints.
2.找到相应的AP点击Details
3.在APs>Details界面,定义WLC的名字,点击Apply
可以定义三个WLC的名字(分为主,中,次),AP会根据配置找寻相应的WLC
【译者注】在以上截图中,你可以看到AP被指定为静态模式,配置的是静态的IP地址,因为这个AP要工作在远程办公区域,所以在第一次通过DHCP得到IP地址后,要手工定义模式,以便以后再远程办公区域中使用。
4.配置AP为H-REAP模式
在APs>Details界面,选择APmode定义H-REAP
【译者注】也可以通过CLI方式,定义WLC的IP地址
H-REAP的操作理论
H-REAP的AP具有以下两种模式
(1)连接模式
当WLC与AP可以进行LWAPP通讯,意味着广域网(WAN)链路完好
(2)独立模式
当WLC与AP不能进行通讯
认证的方法可以被定义为中心或者本地:
(1)中心-通过WLC进行认证
(2)本地-不经过WLC进行
【译者注】不论AP是什么模式,所有802.11的认证方法或者关联都发生在H-REAP下。
在连接模式下,AP通过WLC执行认证和关联。
在H-REAP下,在WLC的无线配置可以有以下两种:
(1)中心交换-在H-REAP下的AP,通过隧道与WLC联系
(2)本地交换-在H-REAP下的AP,通过本地连接,传输本地数据
【译者注】只有VLAN1-8可以应用在H-REAP,因为只有1130,1240和1250支持H-REAP
H-REAP交换状态
结合认证以及前面提到的模式,H-REAP可以被定义为以下状态
(1)中心认证,中心交换
(2)认证失败,交换失败
(3)中心认证,本地交换
(4)认证失败,本地交换
(5)本地认证,本地交换
中心认证,中心交换
在此模式下,AP转发所有的客户认证以及数据信息到WLC,只有在连接模式下,H-REAP才支持此状态.
配置以下信息:
(1)SSID名称:
central
(2)二层安全:
802.1x/LEAP
(3)H-REAP本地交换模式:
disable
配置WLC的相应设置
1.点击WLANs配置WLAN
2.因为使用中心认证,所以在二层安全选择802.1x认证
3.在认证服务器选项处,填写服务器地址
4.因为使用中心交换,需要关闭本地交换选项
5.选择Security>RadiusAuthentication配置服务器信息
【译者注】使用相同的共享密钥在WLC与ACS之间,此文档中没有涉及使用EAP的认证方法,获取相关信息,请参考
检测中心认证,中心交换
1.配置无线客户端同样的SSID以及安全设置
2.输入用户名与密码激活在ACS上配置的用户
【译者注】此文档中的客户端使用静态IP地址172.18.1.5,也可以使用DHCP配置
认证失败,本地交换失败
WLC使用每秒一次,共五次心跳,检测AP与WLC的联系。
如果没有收到,将停止AP与WLC的注册
在WLC上debuglwappeventsenable后,相应的输出:
ThuJan1803:
19:
322007:
00:
15:
c7:
ab:
55:
90Didnotreceiveheartbeatreplyfrom
AP00:
15:
c7:
ab:
55:
90
ThuJan1803:
19:
322007:
00:
15:
c7:
ab:
55:
90apfSpamProcessStateChangeInSpamConte
xt:
DownLWAPPeventforAP00:
15:
c7:
ab:
55:
90slot0
ThuJan1803:
19:
322007:
00:
15:
c7:
ab:
55:
90apfSpamProcessStateChangeInSpamConte
xt:
DeregisterLWAPPeventforAP00:
15:
c7:
ab:
55:
90slot0
ThuJan1803:
19:
322007:
00:
15:
c7:
ab:
55:
90apfSpamProcessStateChangeInSpamConte
xt:
DownLWAPPeventforAP00:
15:
c7:
ab:
55:
90slot1
ThuJan1803:
19:
322007:
00:
15:
c7:
ab:
55:
90apfSpamProcessStateChangeInSpamConte
xt:
DeregisterLWAPPeventforAP00:
15:
c7:
ab:
55:
90slot1
ThuJan1803:
19:
322007:
00:
15:
c7:
ab:
55:
90ReceivedLWAPPDowneventforAP00:
15:
c7:
ab:
55:
90slot0!
ThuJan1803:
19:
322007:
00:
15:
c7:
ab:
55:
90DeregisterLWAPPeventforAP00:
15:
c7:
ab:
55:
90slot0
ThuJan1803:
19:
322007:
00:
15:
c7:
ab:
55:
90ReceivedLWAPPDowneventforAP00:
15:
c7:
ab:
55:
90slot1!
ThuJan1803:
19:
322007:
00:
15:
c7:
ab:
55:
90DeregisterLWAPPeventforAP00:
15:
c7:
ab:
55:
90slot1
H—REAP变为独立模式,debuglwappreap可以检测到相应输出
因为之前的数据已经被中心认证,中心交换,控制信息和数据都被转发到WLC,因此,没有WLC的存在,客户端不能保持相应的连接,一下是相应的客户端显示
中心认证,本地交换
在这个模式下,WLC认证所有客户信息,但是H-REAP本地交换数据。
在客户端成功认证后,WLC发送控制信息到H-REAP,使其本地交换数据,每当一个客户被成功认证后,就会发送相应的控制信息,这个状态只能用在连接模式。
配置信息:
(1)SSID名称:
central-local
(2)二层安全:
802.1x/LEAP.
(3)H—REAP本地交换-Enabled
配置WLC
1.配置WLAN的SSID,点击WLANs
2.因为使用中心认证,所以在二层安全选项中选上802.1xauthentication
3.在认证服务器相应选项中,配置认证服务器信息
4.选中H-REAPLocalSwitching
检测中心认证,本地交换
1.配置无限客户端的SSID与WLC的配置相同
2.输入用户名和密码,要和在认证服务器上配置的一致
3.点击ok
认证失败,本地交换
如果在WLC上配置了任何认证方式的本地数据交换(比如EAP认证,动态WEP/WPA/WPA2/802.11i,web认证,或是NAC),在WAN断线后,会转变为认证失败,本地交换的状态,在这个状态下,H-REAP拒绝新的试图认证的客户端,然而,继续为已经连接上的客户端转发数据,此状态只能在独立模式下运行.
如果WAN链路断开,WLC停止H-REAP的注册.
一旦没有注册到WLC,H-REAP会运行至独立模式,这个转换的过程可以通过在CLI命令下,通过debuglwappREAP察看.
REAP:
REAPAPSwitchingtoStandalonemode,
ConnectedtoController1
LWAPP_CLIENT_ERROR_DEBUG:
GOINGBACKTODISCOVERMODE
WIDS-6-DISABLED:
IDSSignatureisremovedanddisabled.
LWAPP-5-CHANGED:
LWAPPchangedstatetoDISCOVERY
已经连接上的客户仍然能保持连接,但由于和WLC不能通讯,无法进行新客户的认证,H-REAP停止新客户的连接.
可以通过利用新客户端连接WLAN网络,进行上述的验证.
【译者注】当没有客户连接到WLAN时,H-REAP上的802.11功能将会停止,将转换为下一个H-REAP的状态:
认证停止,交换停止.
本地认证,本地交换
在这个状态下,H-REAP的AP会本地认证客户端,本地交换数据.这个状态只能在独立模式,并且配置为本地认证的情况下存在.
先前讲述的中心认证,本地交换的状态,如果要转换到此状态,要配置AP为独立本地认证方式,如果没有配置本地认证状态,例如802.1x的认证,在独立模式下,H-REAP进入停止认证,本地交换的模式.
以下是AP在独立模式下常用的几种认证方法:
(1)开放式
(2)共享式
(3)WPA-PSK
(4)WPA2-PSK
【译者注】当AP在连接模式下,所以得认证都会经过WLC进行,当H-REAP在独立模式下,以上的认证模式都会本地进行.
范例中使用以下配置:
(1)SSID:
local1
(2)二层安全:
WPA-PSK
(3)H-REAP本地交换:
enabled
在WLC上配置以下步骤:
1.点击WLANs配置WLAN
2.因为使用本地认证方法,选择二层的本地认证方法,例如WPA-PSK
3.配置Pre-sharedKey,确定客户端与AP配置的相同
4.配置H-REAP的模式,H-REAPLocalSwitching
检测本地认证,本地交换
完成以下步骤:
(1)配置同样的SSID和认证方法,此例中使用SSID:
local1认证方法:
WPA-PSK
(2)配置客户端的SSID
(3)关闭WAN的链路
WLC停止注册H-REAP,H-REAP进入独立模式
(4)转换过程可以通过CLI命令debuglwappRE察看
(5)使用其它客户端登陆WLAN,检测认证情况
排错
使用以下命令
showlwappreapassociation
debuglwappclients