第一部分:关于底层逻辑问题
1、WLAN二层组网与三层组网到底是指哪里是二层哪里是三层,两者有什么区别?
WLAN的二层组网与三层组网指的是AP与AC之间建立的Capwap隧道是二层的还是三层的,以此来区分是二层组网还是三层组网。注意:当进行WLAN三层组网时,AP在建立Capwap隧道时首先是发送的是单播Discover报文,当单播无法建立Capwap隧道后,再发送广播Discover报文建立Capwap隧道。
2、在进行旁挂组网时,配置底层网络时,各接口该如何配置VLAN?
(1)接入交换机上连接AP设备的接口配置trunk,且需要剥离管理VLAN的VLAN Tag;
(2)AC设备与核心交换机互联的接口配置trunk,必须允许通过的VLAN有:互联的VLAN、进行隧道转发的业务VLAN。
3、在进行旁挂组网时,配置底层网络时,路由需要如何配置?
(1)如果业务VLAN网关没有部署在AC上,则AC上必须配置去往业务VLAN的路由;
(2)当进行三层组网时,核心交换机上必须配置去往AC上的Capwap隧道的源地址路由。
4、什么时候需要配置option43选项?
当进行WLAN三层组网,若AC不作为管理VLAN的DHCP服务器时,则管理VLAN的DHCP服务器上需要配置DHCP option43选项指向AC上的Capwap隧道的源地址。
第二部分:WLAN三层组网配置实例
1、拓扑图
拓扑介绍
(1)、VLAN及地址的命名关系:VLAN的ID=IP地址的前8位总和(如:VLAN11=11.0.0.0/24)。
(2)、AR1的loopback0口模拟外部网络,AC的loopback0口作为Capwap隧道的源地址。
(3)、AP的业务VLAN以及管理VLAN都部署在SW1上
2、配置步骤
(1)、配置底层网络互通
(2)、在SW1(核心交换机)上配置DHCP地址池与DHCP功能
(3)、AC上配置WLAN功能
3、配置开始
(1)、配置底层网络互通
AR1上:
interface GigabitEthernet0/0/1
ip address 11.0.0.2 255.255.255.0
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
ip route-static 0.0.0.0 0.0.0.0 11.0.0.1 //回包路由
SW1上:
vlan batch 10 to 11 20 22 30 //创建VLAN
interface GigabitEthernet0/0/1 //配置与AR1互联接口
port link-type access
port default vlan 11
interface GigabitEthernet0/0/2 //配置与AC互联接口
port link-type trunk
port trunk allow-pass vlan 10 22
interface GigabitEthernet0/0/3 //配置与接入交换机SW2互联接口
port link-type trunk
port trunk allow-pass vlan 10 20 30
interface Vlanif10 //配置业务VLAN10接口地址
ip address 10.0.0.1 255.255.255.0
dhcp select global
#
interface Vlanif11 //配置互联VLAN11接口地址
ip address 11.0.0.1 255.255.255.0
#
interface Vlanif20 //配置业务VLAN20接口地址
ip address 20.0.0.1 255.255.255.0
dhcp select global
#
interface Vlanif22 //配置互联VLAN22接口地址
ip address 22.0.0.1 255.255.255.0
#
interface Vlanif30 //配置管理VLAN30接口地址
ip address 30.0.0.1 255.255.255.0
dhcp select global
ip route-static 1.1.1.1 255.255.255.255 11.0.0.2 //配置去往AR1的loopback0路由
ip route-static 10.10.10.10 255.255.255.255 22.0.0.2 //配置去往AC的loopback0路由
AC上:
vlan batch 10 22 //创建VLAN
interface GigabitEthernet0/0/2 //配置与SW1互联接口
port link-type trunk
port trunk allow-pass vlan 10 22
interface Vlanif22 //配置与SW1互联地址
ip address 22.0.0.2 255.255.255.0
interface LoopBack0 //配置loopback0接口地址
ip address 10.10.10.10 255.255.255.255
ip route-static 10.0.0.0 255.255.255.0 22.0.0.1 //配置去往业务VLAN10的路由(进行隧道转发的网段)
ip route-static 30.0.0.0 255.255.255.0 22.0.0.1 //配置去往AP管理VLAN30的路由
SW2上:
vlan batch 10 20 30 //创建VLAN
interface GigabitEthernet0/0/1 //连接AP的接口
port link-type trunk
port trunk pvid vlan 30 //剥离管理VLAN的VLAN TAG
port trunk allow-pass vlan 10 20 30
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk pvid vlan 30
port trunk allow-pass vlan 10 20 30
#
interface GigabitEthernet0/0/3 //与SW1互联的接口
port link-type trunk
port trunk allow-pass vlan 10 20 30
(2)、在SW1(核心交换机)上配置DHCP地址池与DHCP功能
在SW1上:
ip pool vlan10 //业务VLAN10地址池
gateway-list 10.0.0.1
network 10.0.0.0 mask 255.255.255.0
#
ip pool vlan20 //业务VLAN20地址池
gateway-list 20.0.0.1
network 20.0.0.0 mask 255.255.255.0
#
ip pool vlan30 //管理VLAN30地址池
gateway-list 30.0.0.1
network 30.0.0.0 mask 255.255.255.0
option 43 sub-option 2 ip-address 10.10.10.10 //配置option 43 指向AC
(3)、AC上配置WLAN功能
regulatory-domain-profile name cmbc //配置域管理模板cmbc
country-code CN //国家码为中国
ap-group name cmbc //创建AP组cmbc
regulatory-domain-profile cmbc //绑定域管理模板cmbc
ap auth-mode no-auth //设置ap上线方式为不认证
capwap source interface loopback0 //指定建立capwap隧道的源地址为loopback0
此时可以执行:display ap all,查看AP的上线情况:
[AC1]display ap all
Info: This operation may take a few seconds. Please wait for a moment.done.
Total AP information:
fault: fault [2]
nor : normal [2]
--------------------------------------------------------------------------------
-------------------
ID MAC Name Group IP Type State STA Up
time
--------------------------------------------------------------------------------
-------------------
0 00e0-fcfd-53d0 00e0-fcfd-53d0 cmbc - AP4030TN fault 0 -
1 00e0-fc4c-42e0 00e0-fc4c-42e0 cmbc - AP4030TN fault 0 -
2 00e0-fc42-7cb0 00e0-fc42-7cb0 def 30.0.0.252 AP4050DN-E nor 1 1H
:19M:31S
3 00e0-fc6e-0200 00e0-fc6e-0200 def 30.0.0.251 AP4030TN nor 1 1H
:13M:9S
--------------------------------------------------------------------------------
-------------------
Total: 4
此时AR3、AR4为正常上线的AP,AP0、AP1为之前测试的AP,已删除设备,不用管。可以看到
AP组为缺省,且已从SW1上自动获取到了IP地址。
ssid-profile name cmbc //配置SSID模板
ssid cmbc
ssid-profile name guest
ssid guest
security-profile name cmbc //配置安全认证模板
security wpa-wpa2 psk pass-phrase cmbc1234 aes
security-profile name guest
security open //不认证
vap-profile name cmbc //配置VAP模板cmbc
forward-mode tunnel //数据转发模式为隧道模式
service-vlan vlan-id 10 //指定业务VLAN
ssid-profile cmbc //SSID模板
security-profile cmbc //安全模板
vap-profile name guest //配置VAP模板guest
forward-mode direct-forward //直接转发
service-vlan vlan-id 20
ssid-profile guest
security-profile guest
ap-group name cmbc_guest //进入AP组
vap-profile cmbc wlan 1 radio all //绑定VAP模板并指定射频
vap-profile guest wlan 2 radio all //绑定VAP模板并指定射频
(4)验证
验证命令1:dis vap ssid cmbc //验证VAP 的射频是否正常发布
验证命令2:display station ssid cmbc //查看无线终端连接状态
在移动终端上连接测试
注意:虽然设定了隧道转发模式,但是进行路径跟踪是不会显示报文到达AC,通过抓包可以看见报文经过了AC设备中转。