一、适用场景:
1、跨复杂区域覆盖WIFI。支持多房间、多栋、多层复式楼、别墅、自建房的无线WIFI覆盖。
2、强大的漫游功能。楼上楼下移动使用WIFI时,需要支持WIFI的信号漫游,更换地理位置不掉线、不中断。
3、用户量或网络流量的负载均衡功能。能根据接入用户量的多少,各无线AP接入点进行负载均衡,或根据网络流量大小进行负载均衡。
4、网络WIFI覆盖可无缝扩展。支持地理位置面积的WIFI扩展,智能家居或物联网等多设备联网的基础设施。
5、局域网WIFI流量大的支撑帮手。当终端设备接入无线语音视频摄像头时,几个或更多的摄像头监控视频保存时,所需的无线局域网数据流量急剧增加,可使用NAS系统或硬盘录像机,避开存储卡的寿命问题,及使用普通路由器传输的瓶颈。
6、性能稳定,运行免维护。避免像路由器使用一段日期后,需要重启才体验效果恢复正常。
二、网络的规划
1、本例的拓扑图
说明:本例中,为做好AC+POE+Ap的测试,使用了办公网络中的其中一个端口作为外网出口,在USG6310S上做NAT源地址转换,左侧模拟家庭网络的ip地址都转换为办公网络中的192.168.172.200/24,从而实现STA1与手机上网。本例并不对拓扑图右侧untrust区域的设备配置做详细解说,untrust区域在本例中使用到的“H3C办公交换机”的G1/0/4端口配置为access模式,允许vlan 172通过。
2、逻辑网络规划
(1)网络结构设计,如上面拓扑图的树型结构网络,内网的传输流量以H3C S5500为中心交换机,使将来部署的监控摄像头、NAS系统或硬盘录像机之间的流量在内网无瓶颈,且S5500的接口有24电口+4光口,可适应光或电的终端接入,外网边缘使用防火墙提高网络安全性。
(2)物理层技术选择,在H3C S5500与无线控制器AC之间采用光纤+光模块传输,本例使用的是1000Base-LX 1310nm 1.25G 10KM单模双芯LC接头的光模块;华为USG6310S防火墙只有电口,所以防火墙与H3C S5500之间采用超五类或六类双绞线的1000base-T技术实现内部骨干网络之间的千兆传输。(从原理上来说,机柜中短距离的光纤应该采用1000Base-SX的62.5/125多模光纤可支持传输220米,50/125多模光纤可支持传输500米;或使用1000Base-LX的多模光纤可传输550米。如果使用单模光纤应加上光衰减器)基于对机柜中单模双芯光模块与光纤在实际工作中的应用,华为网络设备+华为光模块+单模双芯光纤,从2016年到2023年使用的近7年的情况来看运行稳定,华为光口查看光衰dBM值的指令如下图供参考。
(3)局域网技术选择与应用,主要采用成熟的vlan技术,让管理网络与业务网络分离,管理网络使用vlan 1,业务网络使用vlan 10;在H3C 5500上开启MSTP生成树协议,防止网络环路,让环路产生后能自动切割为树型网络,并快速收敛。使用3个DHCP地址池服务为管理网络、无线终端用户、有线终端设备分配动态ip地址,监控网络设备使用静态C类的ip地址。
(4)广域网技术选择与应用,考虑是家庭使用广域网,且对服务器映射与NAS系统映射的要求并非必须,使用拨号光纤的非对称网络更为划算。
(5)地址设计,管理网络的vlan 1的ip范围为192.168.200.0/24,无线业务网络的vlan 10的ip范围为192.168.199.0/24,有线终端设备vlan 100的ip范围为192.168.198.0/24,监控网络设备的静态ip地址范围为192.168.197.0/24,(本例主要对vlan 1的无线管理网络与vlan 10的无线业务网络操作,有线终端与监控网络设备的vlan可在后期添加)。
(6)路由协议选择,因网络结构简单,采用静态路由+缺省路由的方式,实现三层网络的连接,且使用静态路由不需要设备进行动态路由的产生、计算与转发,可以提高网络的性能。
(7)网络管理方案,采用SSH协议、Stelnet服务、HTTPS协议实现设备的管理功能,比telnet服务、http协议相对更为安全;并指定有线网络连接的设备才可以远程登录到设备进行管理,屏蔽无线网络终端与监控网络远程登录到设备进行管理。
(8)网络安全方案设计,网络的边缘采用硬件防火墙华为USG6310S,确保外网与内网之间需要通过安全策略的审核才可以访问;在防火墙上完成DDOS、SYN Flood、UDP Flood、ICMP Flood、HTTP/HTTPS Flood、DNS request Flood、DNS Response Flood、SIP Flood等各种攻击的防御配置。
三、本例的实战设备说明
(一)H3C WX3010E(同一个设备2个模块:AC+PoE三层交换机)
1、WX3010E的AC控制器模块,可对无线接入点多个AP管理,本例中AP的管理网络使用VLAN 1配置的ip地址池。WX3010 E的AC能识别83种H3C的无线AP,分别是:LA2608、LA3608E、LA3608E-DB、LA4310、LA4310V、LA4320、LA4320V、LA4320X、WA1208E-AG、WA1208E-AGP、WA1208E-DG、WA1208E-G、WA1208E-GNP、WA1208E-GP、WA1208E-GP-H20、WA2100、WA2110GN、WA2210-AG、WA2210E-GE、WA2210X-GE、WA2220-AG、WA2220E-AG、WA2220X-AG、WA2220X-AGE、WA2220X-AGP、WA2610AGN、WA2610-GN、WA2610-GNE、WA2610E、WA2610E-AGN、WA2610E-F、WA2610E-GNE、WA2610E-GNP、WA2610H、WA2610H-GN、WA2610H-GN-H20、WA2610X、WA2610X-GNP、WA2610i-GN、WA2612、WA2612-AGN、WA2612-H20、WA2620、WA2620-AGN、WA2620-AGN-C、WA2620-AGN-S、WA2620E、WA2620E–AGN、WA2620E–D、WA2620E–F、WA2620E–X、WA2620X、WA2620-AGNP、WA2620i-AGN、WA3610i-GN、WA3610i-AGN、WA3628i-AGN、WA3628i-AGN-X、WA4320、WA4320-ACN、WA4320-ACN-C、WA4320-ACN-D、WA4320-ACN-E、WA4320-ACN-PI、WA4320-ACN-SI、WA4320-TQ、WA4320-TS、WA4320H、WA4320H-ACN、WA4320H-ACN-H20、WA4320H-ACN-HI、WA4320H-EI、WA4320X、WA4320X-H20、WA4320i-ACN、WA4320i-X、WA4330-ACN、WA4620E-ACN、WA4620i-ACN、WB2320X-AGE、WB2360X-ANP、WH2530X-DAG、WTU430。
2、WX3010E的POE交换机模块,支持给无线AP的POE供电、摄像头的POE供电的同时,还支持以太网数据传输。
(二)H3C WA2620E、WA4320无线AP
1、AP在无线工作站和有线主干之间起网桥的作用,实现了无线与有线的无缝集成。AP既允许无线工作站访问网络资源,同时又为有线网络增加了可用资源。
2、在无线 AP、AC的通信中,它会将数据转换成无线信号,然后通过天线发送出去。这个过程中,无线 AP、AC会使用一种叫做 OFDM(正交频分复用)的技术,它可以将数据分成多个子信道,然后将它们同时传输。这样可以提高数据传输的速度和可靠性。
3、OFDM 技术的原理是将数据分成多个子信道,每个子信道都有自己的频率和相位。这些子信道之间是正交的,也就是说它们之间没有干扰。这样可以提高数据传输的可靠性,因为即使某个子信道受到干扰,其他子信道仍然可以正常传输数据
4、在无线AP AC的通信中,还会使用一种叫做 MIMO(多输入多输出)的技术。这个技术可以利用多个天线同时传输和接收数据,从而提高数据传输的速度和可靠性。MIMO 技术的原理是利用多个天线同时传输和接收数据,然后将它们合并起来。这样可以提高数据传输的速度和可靠性,因为即使某个天线受到干扰,其他天线仍然可以正常传输数据。
5、本例中接入无线AP接入的用户,使用vlan 10的DHCP 地址池中的ip地址作为内网ip。
6、WLAN网络中的几个概念
(1)射频信号
这是802.11系列标准WLAN无线网络的传输信号——电磁波。用于无线网络的连接,目前WLAN采用的是具有远距离传输能力的高频电磁波,如2.4GHz或5GHz
(2)STA
STA是支持802.11标准的终端设备,类似于有线网络中的PC、笔记本电脑,只不过它们装的都是WLAN无线网卡。
(3)AP
AP位STA提供基于802.11系列标准的无线接入服务。AP上通常也带有线以太网端口,用于有线设备进行网络连接,另一端于STA连接的是“空口”,通过无线方式进行连接。
(4)AC
AC对无线局域网中所有的AP进行控制和管理,为WLAN用户提供认证、管理等服务。
(5)FAT AP(胖接入点)
FAT AP在自治式网络架构(AP集成AC功能的组网结构)中除了提供STA的无线接入服务外,还能提供一部分AC功能,如安全和管理功能。
(6)FIT AP(瘦接入点)
FIT AP,即没有集成AC功能的纯AP设备,企业网络大多数采用FIT AP+AC的方案,由专门的AC负责WLAN安全认证和管理工作
(7)VAP(虚拟接入点)
VAP是AP设备上虚拟出来的业务功能实体,一个AP可以分出多个VAP,为不同的用户提供隔离的无线接入服务。同一个AP上配置的所有VAP共享同一个AP的软件和硬件资源,所有的VAP的同频段用户共享相同的信道资源,所以AP的总容量是不变的,并不会随着VAP数量的增加而成倍增加。
(8)BSS(基本服务集)
BSS是无线网络的服务单元,通常由一个AP和若干个STA组成。早期的AP只支持一个BSS,新的AP都支持VAP,每个VAP对应一个BSS,每个BSS对应一个BSSID(基本服务集标识符),每个BSS收发的报文都会携带对应的BSSID,以便区分,在同一个BSS服务区域的STA可以互通信。
(9)SSID(服务集标识符)
SSID(通常是一个字符串)表示一个特定无线网络的标识,用来区分不同的无线网络。根据标识又可以分为一下两种:
BSSID
对于没有划分VAP的AP来说,为了区分BSS,要求每个BSS都有唯一的BSSID,因此使用AP的MAC地址来保证其唯一性。支持VAP时,每个VAP都配有一个唯一的MAC地址作为相应VAP的BSSID。为了便于用户标识,一般使用SSID来代替BSSID。
ESSID(扩展服务集标识符)
由多个SSID相同的BSS组成,是一个更大的虚拟BSS。当然多个AP的SSID也可以一样,STA可以先扫描所有的网络,然后选择特定的SSID接入某个特定的无线网络,通常,我们所指的SSID即ESSID。
(10)ESS(扩展服务集)
ESS是由采用相同SSID的多个BSS(对应多个VAP,可以分布在多个AP上)组成更大规模的虚拟BSS。ESS所覆盖的设备不限于单个AP,只要SSID相同即认为在同一个ESS中,即可以直接互通,用户可以带着终端在ESS内自由移动和漫游,不管用户移动到哪里,都可以被认为是使用同一个WLAN。
(三)华为USG6310S防火墙
1、本例中的USG6310S防火墙主要用于接入外网(光纤拨号或ip城域网专线均可),实现路由器的NAT地址转换功能,多个内网用户使用1个公网地址上网。
2、安全防护,阻止拒绝非法连接,配置域间策略,只对允许的域间实现访问,配置外网接口,例如常见的各类攻击,如DDOS、SYN Flood、UDP Flood、ICMP Flood、HTTP/HTTPS Flood、DNS request Flood、DNS Response Flood、SIP Flood等各种攻击进行防御,对已知ip的攻击加入黑名单等。
上图为华为USG6310S的接口示意图
3、QOS带宽策略的配置,总的原则让每个接入网络的用户或终端都能正常使用流量,不会因某个终端或用户使用P2P、视频、游戏之类的软件,把整条外网的带宽用完,而导致其他的用户无法正常流畅地访问外网。
4、还可配置NAT的服务器映射,当需要从外网访问内网的服务器时使用NAT的服务器映射;VPN隧道的远程访问配置(如L2TP、基于ipsec的VPN等),从外网拨入到内网中,就像使用内网资源一样方便。
上图是华为USG6310S的状态指示灯
(四)H3C S5500三层交换机
1、H3C S5500的三层交换使用光纤接口与H3C WX3010E的光纤接口对接,让通过无线WIFI网络接入到外网的用户业务网络流量从该三层交换机转发。
2、家庭局域网的数据流量都从H3C S5500进行转发,若后期配备有NAS系统或硬盘录像机后,S5500成为主要内网转发设备,它与AC、防火墙之间都采用三层网络,通过静态路由实现通信。
上图是H3C S5500的接口与状态指示灯
四、配置过程
(一)H3C WX3010E(AC控制器模块的配置):
1、通过usb-com的console配置线一端接入到WX3010E的console接口,另一端接入到电脑的以太网口,以太网口配置ip地址为192.168.200.250 255.255.255.0。
2、安装好USB转com的console配置线驱动程序,从设备管理器里面查看新增加的端口名称com11(在不同的电脑上安装驱动后显示的接口名称可能不同,注意记录一下)。
3、再查看com11的具体属性,USB-serial CH340的属性参数及波特率如下图:
4、PC电脑端打开secureCRT软件,与com口对应后,建立连接,点“新建会话”,如下图:
5、从secureCRT协议右侧的下拉列表中选择serial串口,如下图:
6、在secureCRT软件中配置好serial串口的参数,与第3步中看到的USB-serial参数一致,如下图:
7、给新建的配置会话取名称(自定义,能区分与别的配置和com接口即可),如下图:
8、在对话框中选中serial-com11,点连接,如下图:
9、点连接后,按几次回车,进入到console口的CLI配置界面,最初的命令提示符默认名称是,下图中是已经修改了设备名称之后的显示:
应读者朋友的要求,想使用中文的图形化界面进行配置,所以本例中尽量采用图形化界面,也会把必要的指令部分写出来,并做好注释说明
10、进入AC模块的配置,输入以下指令:
System-view #进入系统视图
Sysname H3C_WX3010E_200.254 #给AC控制器取名,以区分同一硬件设备的POE交换机
interface Vlan-interface1 #配置vlan 1的ip地址,用于网络登录到AC
ip address 192.168.200.254 255.255.255.0 #配置用于管理AC控制器模块的ip地址
oap management-ip 192.168.200.254 slot 0 #指定用于管理AC的ip地址
local-user admin #创建用户admin,用于网络登录到AC
password cipher a1234567 #配置用户的密码
authorization-attribute level 3 #指定用户的权限等级
service-type telnet #配置用户的远程登录类型(可使用ssh的
stelnet,请参考之前写过的文章)
service-type web #指定用户可使用WEB网页方式登录
11、在浏览器中,输入刚才配置好的ip地址192.168.200.254,会出现H3C WX3010E的配置登录界面,再输入用户名admin和密码登录a1234567,如下图:
12、登录AC控制器成功后,会显示H3C WX3010E的设备概览,如下图:
13、添加AP到AC控制器,在左侧列表点AP后,再单击AP设置,新建AP,输入AP名称,选择型号,手动指定AP的序列号(AP的型号与序列号可以在AP背后的标签上查看,也可以使用console配置线接到AP的console口,等AP启动后,使用display version命令查看),填写正确后,点确定,如下图:
14、当所有的AP添加到AC控制器完成后,现在AP上还没有管理网络的ip地址,连接到AP上的终端也没有业务网络ip地址,需要在AC控制器模块上配置管理网络的DHCP地址池,且在POE交换机模块上也要配置,操作如下:
(1)将USB转COM的console配置线接入到H3C WX3010E的console接口,如下图:
(2)按回车进入AC控制器模块的命令状态,输入以下指令:
System-view #进入系统视图
dhcp enable #开启DHCP服务功能,用于给AP与无线终端分配ip
dhcp server ip-pool ap #创建DHCP服务的ip地址池,取名为ap,用于给ap分配管理ip
network 192.168.200.0 mask 255.255.255.0 #指定地址池的范围
dhcp server forbidden-ip 192.168.200.250 192.168.200.254 #指定地址池排除的ip地址范围
Vlan 10 #创建无线终端的业务网络vlan 10
interface Vlan-interface10 #配置无线终端的业务网络vlan 10
ip address 192.168.199.254 255.255.255.0 #配置无线终端的业务网络vlan 10的ip
dhcp server ip-pool client #创建无线终端的业务网络vlan 10的地址池
network 192.168.199.0 mask 255.255.255.0 #配置无线终端的业务网络的ip范围
gateway-list 192.168.199.254 #指定无线终端的业务网络的网关
dns-list 8.8.8.8 #指定无线终端的业务网络的域名解析服务器ip
dhcp server forbidden-ip 192.168.199.250 192.168.199.254 #指定地址池排除的ip地址范围
interface Bridge-Aggregation1 #配置链路聚合,出厂时默认已经创建,用于H3C WX3010E
这个硬件设备中的2个模块之间的连接,即AC与POE交换机之间。
port link-type trunk #配置链路聚合为干道模式
port trunk permit vlan 1 10 #配置链路聚合干道中允许通过的管理vlan 1,与无线终端使
用的vlan 10
arp detection trust #配置接口为ARP信任接口
interface GigabitEthernet1/0/1 #配置AC上的接口G1/0/1,以下指令用于查看链路聚合是
port link-type trunk #否配置成功,如果配置成功,则会自动添加上干道模式
port trunk permit vlan 1 10 #与干道模式上的链路聚合允许通过的vlan 1、vlan 10
port link-aggregation group 1 #G1/0/1接口在出厂时就已经自动加入到链路聚合中
interface GigabitEthernet1/0/2 #同样,在G1/0/2上查看验证链路聚合配置的结果
port link-type trunk #是否有链路聚合配置后的干道模式和
port trunk permit vlan 1 10 #干道模式允许通过的vlan 1、vlan 10
port link-aggregation group 1 # G1/0/1接口在出厂时就已经自动加入到链路聚合中
ip route-static 0.0.0.0 0.0.0.0 10.0.0.2 #配置从防火墙以外的未知网络到AC的缺省路由
ip route-static 192.168.199.0 24 192.168.200.252 #配置从无线业务终端到AC的静态路由
ip route-static 10.0.0.0 255.0.0.0 10.0.0.2 #配置从防火墙和S5500到AC的静态路由
(二)H3C WX3010E上的POE交换机模块配置
1、当完成H3C WX3010E上的AC控制器模块的DHCP地址池与链路聚合后,再配置H3C WX3010E上的POE交换机模块,此时需要通过执行如下指令:
2、Quit #从AC控制器模块退出到< H3C_WX3010E_200.254>提示符为这个状态
3、Oap connect slot 0 #从H3C WX3010E上的AC控制器模块切换到H3C WX3010E上的POE交换机模块,输入后按回车,会提示已经切换到POE交换机模块,如下图所示:
4、H3C WX3010E的POE交换机模块上的配置:
System-view #进入系统视图
Sysname POE_switch_200.252 #给POE交换机命名
oap management-ip 192.168.200.252 slot 1 #指定管理POE交换机模块的ip地址
vlan 1 #创建vlan 1
vlan 10 to 11 #创建vlan 10用于无线终端业务网络、vlan 11
用于与S5500的三层网络连接
interface Bridge-Aggregation1 #配置POE交换机模块上的链路聚合,用于与
AC模块上的链路聚合匹配
port link-type trunk #配置链路聚合为二层干道模式
port trunk permit vlan 1 10 #配置链路聚合的干道模式允许通过无线AP的管理
网络vlan 1与无线终端用户的业务网络vlan 10
interface Vlan-interface1 # 配置POE交换机模块的vlan 1
ip address 192.168.200.252 255.255.255.0 #配置POE交换机模块的管理ip地址
interface Vlan-interface11 #配置POE交换机模块的vlan 11
ip address 10.0.0.1 255.255.255.0 #配置POE交换机模块的ip地址,与S5500对
接时的三层ip地址
interface GigabitEthernet1/0/1 #配置配置POE交换机模块的G1/0/1接口
port link-type hybrid #配置接口为混合模式(也可以配置为access)
port hybrid pvid vlan 1 #配置接口默认使用vlan 1
port hybrid vlan 1 untagged #配置接口仅允许vlan 1不带标签通过
poe enable #开启接口的poe功能用于给AP供电
port-group manual 1 #创建一个端口组,同时对多个端口配置
group member g 1/0/2 to g 1/0/8 #端口组成员是G1/0/2、3、4、5、6、7、8
port link-type access #配置端口为access模式
port access vlan 1 #默认通过vlan 1,这条指令可不用输入
poe enable #开启7个端口的poe供电功能
interface GigabitEthernet1/0/10 #配置G1/0/10端口
description to H3C_S5500_G1/0/28 #描述该端口连接到对端的S5500的G1/0/28端口
port access vlan 11 #配置该端口允许通过vlan 11
interface GigabitEthernet1/0/11 #配置POE交换机上的接口G1/0/11,以下指令用于查看链路聚合是否配置成功,如果配置成功,则会自动添加上干道模式
port link-type trunk # 查看与链路聚合匹配即可,不用手动输入
port trunk permit vlan 1 10 #干道模式上的链路聚合允许通过的vlan 1、vlan 10
port link-aggregation group 1 #G1/0/11接口在出厂时就已经自动加入到链路聚合中
interface GigabitEthernet1/0/12 #同样该接口下的配置查看即可
port link-type trunk #若与链路聚合的配置匹配就不用修改
port trunk permit vlan 1 10 #允许链路聚合通过ap的管理网络vlan 1、用户业务vlan 10
port link-aggregation group 1 #出厂时该端口已经加入到链路聚合中
ip route-static 0.0.0.0 0.0.0.0 10.0.0.2 #配置从防火墙以外的未知网络到AC的缺省路由
ip route-static 10.0.0.0 255.255.0.0 192.168.200.254 #配置从防火墙、S5500的三层网络到AC的静态路由
ip route-static 192.168.199.0 255.255.255.0 192.168.200.254 #配置连接AP的无线终端业务网络vlan 199到AC的静态路由
(三)验证AP上线,从AC获取到的管理ip地址
1、现在无线AP已经可以从AC控制器的模块地址池中获取到AP的管理ip地址192.168.200.0/24了,我们在AC上使用命令display dhcp server ip-in-use all查看,有3个地址池中的地址被使用,如下图:
2、WEB登录到H3C WX3010E的AC控制器模块上,同样验证可以看到3个AP获取到的vlan 1的管理ip地址,与MAC地址、SN序列号的对应关系,如下图:
(四)配置AP的无线WIFI上线
1、创建无线接入点的SSID,即后面用于连接的WIFI名称
(1)通过WEB方式登录到AC控制器模块,192.168.200.254,添加2个无线接入服务,分别用于2.4Ghz与5Ghz的接入,操作时,先点左侧的“接入服务”,再“新建”,已经建立好接入服务后如下图:
(2)新建时可设置WIFI密码,输入无线服务名称和无线服务类型,crypto 表示为加密无线网络,none 表示开放网络。
2、修改配置无线SSID的密码,即俗称WIFI密码
(1)选择一个SSID,点右侧“操作”中的第1个小图标“修改”,配置接入点参数,展开高级设置,配置关联最大用户数,默认64 (每个AP接入的用户数,并非接入点最大用户数),展开安全设置,选择加密类型TKIP,安全IE为WPA2展开端口安全,端口设置,端口模式 PSK 与共享密钥为 pass-phrase 后面自行输入接入点的密码。
(2)2个SSID的无线wifi完成安全设置后,点确定,如下图:
3、开启SSID,勾选2个SSID后,点开启,如下图:
(1)点开启SSID时,开启过程成功,显示OK,如下图
(2)2个SSID都开启完成后,服务状态为“开启”如下图:
4、绑定SSID及安全配置到无线AP的射频上
(1)绑定5Ghz的SSID到AP的5GHZ射频1上,在上图中点5G的SSID右边“操作”最右侧的8字环锁状图标后,勾选802.11n(5GHz)和802.11ac(5GHz),分别代表了2个AP的5Ghz射频,如下图:
(2)点“绑定”,绑定成功,显示OK
(3)绑定2.4Ghz的SSID到AP的2.4GHZ射频2上,在上图中点2.4G的SSID右边“操作”最右侧的8字环锁状图标后,勾选2个AP所对应的802.11n(2.4Ghz)射频。
勾选后,点“绑定”,绑定成功后,如下图:
5、开启2.4GHz与5GHz射频
(1)点左侧的“射频”——>“射频设置”,选中所有射频后,点开启,如下图:
(2)开启射频成功时,如下图:
(3)开启射频成功后,观察“状态”栏,都显示为“开启”,如下图:
6、用手机和电脑连接wifi
(1)此时用手机和电脑都可以看到AP发射出来的WIFI名称,如下图:
(2)客户端开始分别连接wifi的2.4Ghz与5Ghz的频道,输入之前配置的WIFI密码后,从“概览”的“客户端”列表可以看到,有2个设备分别连接了2.4Ghz与5Ghz,如下图:
(五)配置各AP的负载均衡与WIFI的信道优化
1、从左侧的高级设置,“负载均衡”展开后,可根据用户的会话数量或网络流量大小进行负载均衡的配置,如下图:
2、配置射频功率优化,2.4Ghz每个AP分别使用1,6,11,相邻之间错开使用不同的信道,5GHz每相邻的2个AP使用不同的信道,36、40、44、48、52、56、60、64、149、153、157、161、165如下图:
至此,无线AC控制器模块,POE交换机模块,AP连接到AC上线,客户端连接到AP上线都已经完成,AP能获取到DHCP地址池中vlan 1的管理ip地址192.168.200.0/24,客户端能正常连接WIFI,获取到DHCP地址池中vlan 10的业务ip地址192.168.199.0/24,但此时手机和电脑还无法上网,需要继续完成三层交换机和防火墙的配置。若是家庭用户,则接上路由器,配置好路由器与AC之间的静态路由,即可实现上网。
(六)AC控制器的无线网络配置指令(与上面的图形化配置效果相同)
1、创建SSID的5GHz模板
wlan service-template 1 crypto #创建服务模板1,采用加密模式
ssid cyc_601_5G #创建5G用的SSID,5G的WIFI名称
bind WLAN-ESS 1 #绑定5G的SSID与WLAN-ESS无线射频1
client max-count 20 #配置客户端连接数最大为20
cipher-suite tkip #配置加密模式为tkip
security-ie rsn #安全信息元素为RSN
service-template enable #开启服务模板
2、创建SSID的2.4GHz模板
wlan service-template 2 crypto #创建服务模板2,采用加密模式
ssid cyc_601_2.4G #创建2.4G用的SSID,2.4G的WIFI名称
bind WLAN-ESS 0 #绑定2.4G的SSID与WLAN-ESS无线射频2
client max-count 8 #配置客户端连接数最大为8
cipher-suite tkip #配置加密模式为tkip
security-ie rsn #安全信息元素为RSN
service-template enable #开启服务模板
3、通过无线的WLAN_ESS0接口配置WIFI密码
interface WLAN-ESS0 #创建WLAN-ESS0接口
port access vlan 10 #配置该接口允许通过ap的无线终端、客户端的vlan 10
port-security max-mac-count 40 #配置端口安全最大量允许40个MAC地址
port-security port-mode psk #配置身份认证与密钥管理模式为PSK模式
port-security tx-key-type 11key #配置身份认证与传输方式为11key
port-security preshared-key pass-phrase cipher $c
3
3
3v8qBKUlV2Nc #配置WIFI密码
interface WLAN-ESS1 #创建WLAN-ESS0接口
port access vlan 10 #配置该接口允许通过ap的无线终端、客户端的vlan 10
port-security port-mode psk #配置身份认证与密钥管理模式为PSK模式
port-security tx-key-type 11key #配置身份认证与传输方式为11key
port-security preshared-key pass-phrase cipher $c
3
3
3++qSV2p+c+dou #配置WIFI密码
wlan ap 487a-da2e-6500 model WA2620E id 1 #添加无线AP到AC控制器,型号WA2620E,
id1号为1
serial-id 219801A0ECC163000210 #AP的序列号
radio 1 #配置射频1
channel 149 #配置5G的通信信道为149
service-template 1 #绑定AP到的射频1到服务模板1
mimo 2x2 #配置AP的同时2入2出功能
radio enable #开启5G射频
radio 2 #配置射频2
channel 1 #配置2.4G的通信信道为1
service-template 2 #绑定AP到的射频2到服务模板2
mimo 2x2 #配置AP的同时2入2出功能
radio enable #开启2.4G射频
wlan ap 74ea-cb07-7180 model WA4320 id 2 #添加无线AP到AC控制器,型号WA4320,
id号为2
serial-id 219801A0UE8176E03144 # AP的序列号
country-code CN #指定国家代码为中国
radio 1 #配置射频1
channel 52 #配置5G的通信信道为52
service-template 1 #绑定AP到的射频1到服务模板1
mimo 2x2 #配置AP的同时2入2出功能
radio enable #开启5G射频
radio 2 #配置射频2
channel 11 #配置2.4G的通信信道为11
service-template 2 #绑定AP到的射频2到服务模板2
mimo 2x2 #配置AP的同时2入2出功能
radio enable #开启2.4G射频
wlan ap 74ea-cb08-0080 model WA4320 id 3 #添加无线AP到AC控制器,型号WA4320,
id1号为3
serial-id 219801A0UE8176E04288 #AP的序列号
radio 1 #配置射频1
channel 60 #配置5G的通信信道为60
service-template 1 #绑定AP到的射频1到服务模板1
mimo 2x2 #配置AP的同时2入2出功能
radio enable #开启5G射频
radio 2 #配置射频2
channel 6 #配置2.4G的通信信道为6
service-template 2 #绑定AP到的射频2到服务模板2
mimo 2x2 #配置AP的同时2入2出功能
radio enable #开启2.4G射频
wlan ids #配置无线ids检测
attack-detection enable all #使能所有攻击检测功能
wlan load-balance-group 1 #配置负载均衡组1
description blance #描述为blance
ap 74ea-cb08-0080 radio 1 #AP1的5G射频加入到负载均衡组
ap 74ea-cb08-0080 radio 2 #AP1的2.4G射频加入到负载均衡组
ap 74ea-cb07-7180 radio 1 #AP2的5G射频加入到负载均衡组
ap 74ea-cb07-7180 radio 2 #AP2的2.4G射频加入到负载均衡组
ap 487a-da2e-6500 radio 1 #AP3的5G射频加入到负载均衡组
ap 487a-da2e-6500 radio 2 #AP3的2.4G射频加入到负载均衡组
(六)配置H3C三层交换机S5500:
1、H3C S5500的配置指令(S500与AC控制器连接,S5500与防火墙连接,有线网络与监控网络的vlan及规划配置,此处暂不详解,主要让无线WIFI网络能互联)
System-view #进入系统视图
vlan 1 #默认创建的vlan 1
vlan 10 to 11 #创建vlan 10与vlan 11
#interface Vlan-interface10 #配置vlan 10用于与防火墙连接
ip address 10.0.1.1 255.255.255.0 #给vlan 10配置ip地址
interface Vlan-interface11 #配置vlan 11用于与AC控制连接
ip address 10.0.0.2 255.255.255.0 #给vlan 11配置ip地址
interface GigabitEthernet1/0/2 #配置接口G1/0/2
port access vlan 10 #允许接口通过的vlan 10,使该接口具有ip
description to Firewall_g 0/0/6_neiwang #描述该接口与防火墙的g0/0/6相连
interface GigabitEthernet1/0/28 #配置G1/0/28接口
description to H3C_WX3010E_g1/0/10_AC #描述该接口与WX3010E的交换机G1/0/10相连
port access vlan 11 #允许该接口能通过的VLAN 11
ip route-static 0.0.0.0 0.0.0.0 10.0.1.3 #配置缺省路由,让从防火墙之外的未知网络的下一
跳指向防火墙的接口
ip route-static 192.168.199.0 255.255.255.0 10.0.0.1 #配置无线终端的静态路由下一跳指
向POE交换机的光口
2、H3C S5500三层交换机配置完成后,查看它的路由表中有AP终端用户的路由与POE交换机的路由(防火墙上的路由,需要把防火墙的ip及路由配置完成后才会显示,10.0.1.0/24则是防火墙上的路由)。
(七)华为USG6310S防火墙配置
1、配置防火墙各接口的ip地址,192.168.0.1是默认的G0/0/0管理接口,WEB登录防火墙时,8443是端口号,192.168.172.200是无线终端的外网出口地址,10.0.1.3是与S5500连接的三层接口,如下图:
2、配置防火墙上的静态路由与缺省路由,缺省路由指定防火墙以外的未知网络下一跳为H3C办公交换机上的ip地址;静态路由用来配置无线终端用户的下一跳为S5500上的10.0.1.1。
3、配置防火墙的区域及安全策略,将G0/0/1加入到untrust区域,将G0/0/6加入到trust区域,配置安全策略如下图:
从内网trust访问外网untrust的源地址配置为192.168.199.0/24,动作为允许访问
如果有服务器映射或NAS映射到外网时,需要配置从外网untrust访问内网的DMZ区域,本例不做详解。
4、配置NAT策略,让所有无线终端192.168.199.0/24网段通过192.168.172.200这个ip出到办公外网,与192.168.172.254对接,从而实现多个无线终端使用1个公网ip上网。
5、上图指定源地址为无线终端网段192.168.199.0/24,下图配置外网出口地址为192.168.172.200
至此,三层交换机H3C S5500、华为USG6310S防火墙、H3C WX3010E(含AC控制器+POE交换机)都配置完成,接下来验证外网的连通性。
五、验证结果
1、使用1台电脑连接到WIFI,在AC控制器上查看DHCP地址使用的情况,可以看到有3个ip地址:192.168.200.1、192.168.200.2、192.168.200.3是无线AP的管理ip地址,192.168.199.1是电脑连接无线WIFI后获取的ip地址。说明DHCP服务工作正常,AP的管理网络正常,无线终端的业务局域网网络正常。
2、在PC电脑上ping DNS服务器、百度网站,打开网页正常,如下图
3、查看PC电脑端的ip地址,192.168.199.1是无线业务网络的192.168.199.0/24范围之一,如下图:
六、可扩展规划:
1、在S5500交换机上,可用于有线网络的扩展,如:台式有线PC网络、电视机。逻辑网络上可再规划不同的VLAN用于有线网络业务。
2、无线控制器上,可根据地理范围的增大,继续扩充AP的数量,H3C WX3010E默认可管理12台AP,若超过该数量的AP时,需要购买授权协议。
3、监控视频网络若家庭安装的摄像头数量不多,IP摄像头供电可直接在POE交换机上接入,无线摄像头使用的WLAN网络有AP的5G与2.4G负载均衡,完全够局域网内传输监控视频到硬盘录像机或NAS系统。
本文至此结束,所用的企业级H3C WX3010E、华为USG6310S、H3C S5500均在闲鱼上所淘,价格实惠,可自行斟酌。错误之处敬请批评指正。