一、场景需求

随着无线网络技术的发展，WLAN已经成为人们生活和办公不可或缺的一部分。当前无线网络常见部署方式有两种：胖AP网络架构和瘦AP网络架构。

胖AP网络架构是指AP作为独立设备，用户直接对其进行配置和管理，其运维的成本较高，多见于家用无线路由器等少量AP部署。

瘦AP部署通过统一的无线控制器(AC)对多台AP进行配置和管理，向指定的AP或AP组下发配置，无需在各台AP上进行单独配置，极大地降低了运维成本，通常是企业无线网络的标准配备。

二层场景中，AP直连网关，AP通过网关供电和统一管理：

1、查看AP接入的用户、流量、IP/MAC地址、AP版本等；

2、管理AP： 更改SSID名称、密码、AP升级等。

通常情况下，POE交换机和AC控制器为独立的设备，额外购置独立的AC和POE设备增加了小型企业的运营成本，因此在网关上集成AC管理和POE供电功能既可达到AC控制器的管控效果、网关直接供电功能，又可以减少小型企业的成本。

 

二、拓扑说明

1.   网关下联直连多个AP，AP通过网关POE功能供电，AP切换为瘦模式且地址为dhcp自动获取

2.   网关通过内部集成AC模块对多个AP进行管理

3.   此种网络拓扑部署，AP网关以及地址池规划在网关集成AC上，地址池配置时必须配置option 138选项,通过无线的web页面导航配置默认会下发option138配置

4.   此种网络拓扑部署，STA网关以及地址池规划在网关集成AC上，网关上配置子接口对应STA的vlan，STA网关是网关子接口地址

5．无线终端用户经AP接入网络

注：此场景AP和STA属于不同vlan

1、不支持EG设备通过傻瓜交换机或非网管交换机来连接管理AP ；

2. 已知部分手机型号，不支持中文的Wifi网络名称。故不建议配置中文的Wifi网络名称。

三、网络部属配置过程

步骤一：无线网络规划

1.   AP管理vlan 1，STA vlan 203

2.   AP DHCP动态获取IP地址，DHCP Server配置在网关上，IP地址范围192.168.103.0/24，AP网关 Gi0/2主接口192.168.103.1

3.   STA DHCP动态获取IP地址，DHCP Server配置在网关上，IP地址范围192.168.203.0/24 ，STA网关网关 Gi0/2.203子接口192.168.203.1

4.   AP与AC隧道IP 1.1.1.1/32

 

步骤二：网关接口配置

1、以WEB管理页面配置为例，先配置外网口：

2、从配置菜单中选择【网络配置】---【接口配置】，选择一个外网口，选择外网口配置方式（静态IP、动态IP、PPPOE），这里以静态IP为例说明；

3、配置外网口的接口IP、子网掩码、下一跳地址；

4、勾选配置开启线路NAT功能，以使内网用户能够上网；

5、勾选配置开启缺省路由

6、点击保存设置，完成外网口配置。

 

配置连接AP的内网主接口：

在接口配置页面中，选择一个内网口，并配置内网主接口的IP地址；

点击保存设置，完成内网口配置。

此接口为AP管理vlan的默认网关

配置STA网关子接口（此选项也可通过无线配置向导配置）

在接口配置页面中选择子接口管理

配置接口名称和vlan ID，以及子接口IP地址掩码

点击添加设置

 

步骤四：配置AC功能

以WEB管理页面配置为例，首次通过向导配置AC管理：

从配置菜单中选择【AC管理】---【添加无线网络】，点击添加Wifi，开始配置无线网络；

点击下一步选择

此页面下发配置AP的DHCP地址池后台会下发option43/138选项配置IP为“AP与设备互联隧道IP”

配置WiFi名称、加密类型、WiFi密码等无线参数，完成配置后点击下一步

配置无线用户上网配置信息，如AP管理组、无线用户（STA）的VLAN ID等信息

点击【配置】，进入配置界面：

接口IP如果用户之前已经配置了Gi0/2.203的子接口地址这里会显示IP地址，如果之前未配置子接口地址需要用户输入规划的子接口地址，此接口为STA的网关

点击“完成配置”，如下：

管理的AP组，如不选择默认组，可以点击“关联AP组”后面蓝色问号跳转到AP关联，或者直接通过配置菜单中的【AC管理】à【AP管理】添加自定义AP组，本案例以默认用户组为例

完成无线上网用户信息配置后点击完成配置

至此完成无线网络添加，配置过程中如需修改均可点击上一步进行前面配置信息修改，完成配置后也可选择编辑进行配置修改

如拓扑说明连接好网络拓扑，以及完成网关配置，AP也正常接入上电，在AP和网关版本配套的前提下，此时无线终端可以搜索到Eweb_CE301的无线信号，连接无线网络，输入密码123456789关联无线

无线用户管理，进入【AC管理】---【AP管理】可以查看AP连接状态和无线用户（STA）在线用户数量

如果刚开始拓扑选择错了也可以通过修订【更改拓扑】来重新配置（此时会将之前配置的都清掉），如下图：

点击?更改拓扑?，如下图

      

       CLI下发命令：

       !

wlan-config 1 Eweb_CE301----------------配置SSID编号及名称，编号默认从1开始

 ssid-code utf-8--------------配置SSID编码，默认UTF8，可以设置为GBK

 tunnel local--------------设置转发方式为本地转发

!

ap-group default-------------默认ap组

 interface-mapping 1 203 ap-wlan-id 1--------------将wlan 1与vlan 203关联，下发到ap的本地wlan id为1

!

ap-config all

!

ac-controller

 wqos fs enable

 capwap ctrl-ip 3.3.33.3----------配置隧道ip为1.1.1.1

 no ac-control disable----------打开无线开关

 country CN

 802.11g network rate 1 disabled

 802.11g network rate 2 disabled

 802.11g network rate 5 disabled

 802.11g network rate 6 supported

 802.11g network rate 9 supported

 802.11g network rate 11 mandatory

 802.11g network rate 12 supported

 802.11g network rate 18 supported

 802.11g network rate 24 supported

 802.11g network rate 36 supported

 802.11g network rate 48 supported

 802.11g network rate 54 supported

 802.11b network rate 1 disabled

 802.11b network rate 2 disabled

 802.11b network rate 5 disabled

 802.11b network rate 11 mandatory

 802.11a network rate 6 mandatory

 802.11a network rate 9 supported

 802.11a network rate 12 mandatory

 802.11a network rate 18 supported

 802.11a network rate 24 mandatory

 802.11a network rate 36 supported

 802.11a network rate 48 supported

 802.11a network rate 54 supported

!

ip dhcp pool VLAN_203_DHCP_AUTO-------------配置无线用户dhcp 地址池

 network 192.168.203.0 255.255.255.0

 dns-server 8.8.8.8

 default-router 192.168.203.1

!

ip dhcp pool ap_dhcp_pool---------------配置ap的dhcp地址池

 option 43 ip 1.1.1.1 -------------option 43和138地址为隧道地址

 option 138 ip 1.1.1.1

 network 192.168.103.0 255.255.255.0 192.168.103.2 192.168.103.254

 dns-server 8.8.8.8

 default-router 192.168.103.1

 !

wlansec 1-------------------------无线加密配置

 security rsn enable-----------------启用WPA2

 security rsn ciphers aes enable---------------加密方式为AES

 security rsn akm psk enable-------------------认证方式为预共享密钥

 security rsn akm psk set-key ascii 123456789----------------配置密钥为123456789

 security wpa enable-----------------启用WPA2

 security wpa ciphers aes enable---------------加密方式为AES

 security wpa akm psk enable-------------------认证方式为预共享密钥

 security wpa akm psk set-key ascii 123456789----------------配置密钥为123456789

 !

 interface GigabitEthernet 0/2.203------------------无线用户网关接口2.203配置

 encapsulation dot1Q 203

 ip address 192.168.203.1 255.255.255.0

 ip nat inside

步骤五：配置二层网络无线DHCP安全功能

如果用户需求开启无线安全功能，可通过【无线】-->【DHCP安全】来配置，如下图：

 

 CLI下发命令：（主要是在wlan下面开启动态防ARP欺骗）

 ip dhcp snooping verify mac-address-------------检查dhcp终端mac地址，防止mac地址洪泛耗尽dhcp地址池

 ip dhcp snooping

 wlansec 1

 arp-check---------开启arp-check

 ip verify source port-security----------检查源地址

 

四、验证效果

点击【无线】-->【无线管理首页】可以查看到当前AP的状态信息，如下：

查看无线安全表现，【无线】-->【DHCP安全】-->【查看DHCP安全信息】，【查看合法用户信息】

 

 

五、注意问题

1、AP的管理VLAN规划的如不是默认VLAN1，则需要在网关上再启用一个子接口做为AP管理vlan的默认网关，如AP管理VLAN 103，则需添加配置一个Gi0/2.103的接口。配置步骤四时，AP和AC互联接口选择对应子接口

2、AP与网关的版本必须是配套的，具体配套的AP型号及版本如下，也可通过web页面查看点击【无线】-->【AP管理】

3、扩展网络下的AP管理地址网络必须和之前的AP管理网络不是相同网络，因为AP连接到网关的不同物理接口，网关的物理接口为路由口方式不同路由接口不允许配置相同IP地址网段