一、场景需求
随着无线网络技术的发展,WLAN已经成为人们生活和办公不可或缺的一部分。当前无线网络常见部署方式有两种:胖AP网络架构和瘦AP网络架构。
胖AP网络架构是指AP作为独立设备,用户直接对其进行配置和管理,其运维的成本较高,多见于家用无线路由器等少量AP部署。
瘦AP部署通过统一的无线控制器(AC)对多台AP进行配置和管理,向指定的AP或AP组下发配置,无需在各台AP上进行单独配置,极大地降低了运维成本,通常是企业无线网络的标准配备。
精装房场景中,AP直连网关,AP通过网关供电和统一管理:
1、查看AP接入的用户、流量、IP/MAC地址、AP版本等;
2、管理AP: 更改SSID名称、密码、AP升级等。
通常情况下,POE交换机和AC控制器为独立的设备,额外购置独立的AC和POE设备增加了小型企业的运营成本,因此在网关上集成AC管理和POE供电功能既可达到AC控制器的管控效果、网关直接供电功能,又可以减少小型企业的成本。
二、拓扑说明
1. 网关下联直连多个AP,AP通过网关POE功能供电,AP切换为瘦模式且地址为dhcp自动获取
2. 网关通过内部集成AC模块对多个AP进行管理
3. 此种网络拓扑部署,AP网关以及地址池规划在网关集成AC上,地址池配置时必须配置option 138选项,通过无线的web页面导航配置默认会下发option138配置
4. 此种网络拓扑部署,STA网关以及地址池规划在网关集成AC上,网关上配置子接口对应STA的vlan,STA网关是网关子接口地址
5.无线终端用户经AP接入网络
注:此场景AP和STA默认都是属于同一个vlan的(完成快速配置向导自动下发)
1、不支持EG设备通过傻瓜交换机或非网管交换机来连接管理AP ;
2. 已知部分手机型号,不支持中文的Wifi网络名称。故不建议配置中文的Wifi网络名称。
三、网络部属配置过程
步骤一:无线网络规划
已默认配置。
1. AP管理vlan 和STA vlan默认同属于vlan 1
2. AP和STA DHCP动态获取IP地址,DHCP Server配置在网关上,IP地址范围192.168.1.0/24,AP和STA网关 Gi0/2主接口192.168.1.1
3. AP与AC隧道IP 3.3.33.3/32
步骤二:网关接口配置
1、以WEB管理页面配置为例,先配置外网口:
2、从配置菜单中选择【网络配置】---【接口配置】,选择一个外网口,选择外网口配置方式(静态IP、动态IP、PPPOE),这里以静态IP为例说明;
3、配置外网口的接口IP、子网掩码、下一跳地址;
4、勾选配置开启线路NAT功能,以使内网用户能够上网;
5、勾选配置开启缺省路由
6、点击保存设置,完成外网口配置。
配置连接AP的内网主接口:
在接口配置页面中,选择一个内网口,并配置内网主接口的IP地址(已默认配置);此接口为AP管理vlan的默认网关
配置STA网关子接口(此选项也可通过无线配置向导配置,已默认配置)
在接口配置页面中选择子接口管理,配置接口名称和vlan ID,以及子接口IP地址掩码(已默认配置)。
步骤四:配置AC功能
首次通过快速配置向导配置完成,已默认下发,无需单独配置。
以WEB管理页面为例,首次通过快速向导完成配置后缺省下发的AC配置:
CLI下发命令:
!
wlan-config 1 RJ_XXX----------------配置SSID编号及名称,编号默认从1开始
ssid-code utf-8--------------配置SSID编码,默认UTF8,可以设置为GBK
tunnel local--------------设置转发方式为本地转发
!
ap-group default-------------默认ap组
interface-mapping 1 1 ap-wlan-id 1--------------将wlan 1与vlan 1关联,下发到ap的本地wlan id为1
!
ap-config all
!
ac-controller
wqos fs enable
capwap ctrl-3.3.33.3----------配置隧道ip为3.3.33.3
no ac-control disable----------打开无线开关
country CN
802.11g network rate 1 disabled
802.11g network rate 2 disabled
802.11g network rate 5 disabled
802.11g network rate 6 supported
802.11g network rate 9 supported
802.11g network rate 11 mandatory
802.11g network rate 12 supported
802.11g network rate 18 supported
802.11g network rate 24 supported
802.11g network rate 36 supported
802.11g network rate 48 supported
802.11g network rate 54 supported
802.11b network rate 1 disabled
802.11b network rate 2 disabled
802.11b network rate 5 disabled
802.11b network rate 11 mandatory
802.11a network rate 6 mandatory
802.11a network rate 9 supported
802.11a network rate 12 mandatory
802.11a network rate 18 supported
802.11a network rate 24 mandatory
802.11a network rate 36 supported
802.11a network rate 48 supported
802.11a network rate 54 supported
!
ip dhcp pool ap_dhcp_pool---------------配置ap的dhcp地址池
option 43 ip 3.3.33.3 -------------option 43和138地址为隧道地址
option 138 ip 3.3.33.3
network 192.168.1.0 255.255.255.0 192.168.1.1 192.168.1.254 -------------配置无线用户dhcp 地址池
dns-server 114.114.114.114
default-router 192.168.1.1
!
wlansec 1-------------------------无线加密配置
security rsn enable-----------------启用WPA2
security rsn ciphers aes enable---------------加密方式为AES
security rsn akm psk enable-------------------认证方式为预共享密钥
security rsn akm psk set-key ascii 123456789----------------配置密钥为123456789
security wpa enable-----------------启用WPA2
security wpa ciphers aes enable---------------加密方式为AES
security wpa akm psk enable-------------------认证方式为预共享密钥
security wpa akm psk set-key ascii 123456789----------------配置密钥为123456789
!
interface GigabitEthernet 0/2
no ip unreachables
no ip redirects
no ip mask-reply
ip address 192.168.1.1 255.255.255.0
ip nat inside
步骤五:配置二层网络无线DHCP安全功能
如果用户需求开启无线安全功能,可通过【无线】-->【DHCP安全】来配置,如下图:
CLI下发命令:(主要是在wlan下面开启动态防ARP欺骗)
ip dhcp snooping verify mac-address-------------检查dhcp终端mac地址,防止mac地址洪泛耗尽dhcp地址池
ip dhcp snooping
wlansec 1
arp-check---------开启arp-check
ip verify source port-security----------检查源地址
四、验证效果
点击【无线】-->【无线管理首页】可以查看到当前AP的状态信息,如下:
查看无线安全表现,【无线】-->【DHCP安全】-->【查看DHCP安全信息】,【查看合法用户信息】
五、注意问题
1、AP的管理VLAN规划的如不是默认VLAN1,则需要在网关上再启用一个子接口做为AP管理vlan的默认网关,如AP管理VLAN 103,则需添加配置一个Gi0/2.103的接口。配置步骤四时,AP和AC互联接口选择对应子接口
2、AP与网关的版本必须是配套的,具体配套的AP型号及版本如下,也可通过web页面查看点击【无线】-->【AP管理】
3、扩展网络下的AP管理地址网络必须和之前的AP管理网络不是相同网络,因为AP连接到网关的不同物理接口,网关的物理接口为路由口方式不同路由接口不允许配置相同IP地址网段