ENSP中小企业网示例[五]:无线网络AC配置
一、本篇简介
注意:这是一个系列性的教程,当前章节的配置可能需要依赖之前章节的相关配置而生效;如果读者仅查看本章节内容,相关配置命令仅供参考;
本篇的操作设备对象包括:AC控制器[AC]、核心交换机[LSW]、接入层交换机[LSW_1];
目标为在命令行配置界面下对AC控制器[AC]、核心交换机[LSW]、接入层交换机[LSW_1]进行相关配置,组建企业内的无线网络。在当前的环境下,企业网内的无线网络基本上等价于有线网络的重要性,无线网络在企业中的运用基本上已是不可缺失。本示例中,将会为每一个VLAN[部门]建立其相对应的无线网络。之所以不另外新建立一个VLAN用于无线网络应用,是考虑到可能有部门用户需要使用相应的无线网线访问部门内的服务,如果企业内所有部门使用同一无线网络,那么在此情况下,不利于安全性。关于本示例中的无线密钥,对各部门及访客网络设定了不同的"安全策略模板"[见配置命令中说明],如此配置,比较符合现实中对安全性的考虑。最后,本示例还将配置一个专用的无线网络,用于企业访客在企业内访问互联网,详见以下的配置。
二、实现方法-模板配置
本节的重点是AC控制器上的AP无线模板配置,AP设备的无线模板配置如下;
目标设备:AC控制器-AC[AC6005]
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 |
[管理VLAN创建] <AC6005>system-view [AC6005]sysname AC ==========================区域模板========================== [无线配置-区域模板] [AC]wlan # 进入AC无线配置视图; [AC-wlan-view]regulatory-domain-profile name TEMP_DOMAIN # 创建[区域模板];本处区域模板名称为"TEMP_DOMAIN"; [AC-wlan-regulate-domain-TEMP_DOMAIN]country-code CN # 配置国家代码[这是默认值,不输入本配置也可]; [AC-wlan-regulate-domain-TEMP_DOMAIN]quit # 退出视图; ==========================SSID模板========================== [无线配置-SSID模板_AD] [AC-wlan-view]ssid-profile name SSID_OFFICE_AD # 创建[SSID模板],名称为"SSID_OFFICE_AD"; # 规划用于"VLAN 10"[AD-行政部]的2.4G无线网络的SSID配置; [AC-wlan-ssid-prof-SSID_OFFICE_AD]ssid OFFICE_AD # 配置SSID名称,本处为"OFFICE_AD"; [AC-wlan-ssid-prof-SSID_OFFICE_AD]ssid-hide enable # 配置默认隐藏本无线网络[安全考虑]; # STA中将无法搜索出本网络!!! # 实际中应尽可能隐藏企业关键的无线网线网络, # 本示例为区别配置显示其效果; [AC-wlan-ssid-prof-SSID_OFFICE_AD]quit # 退出视图; [AC-wlan-view]ssid-profile name SSID_OFFICE_AD_5G # 创建[SSID模板],名称为"SSID_OFFICE_AD"; # 规划用于"VLAN 10"[AD-行政部分]的5G无线网络的SSID配置; [AC-wlan-ssid-prof-SSID_OFFICE_AD_5G]ssid OFFICE_AD_5G [AC-wlan-ssid-prof-SSID_OFFICE_AD_5G]ssid-hide enable [AC-wlan-ssid-prof-SSID_OFFICE_AD_5G]quit [无线配置-SSID模板_TD] [AC-wlan-view]ssid-profile name SSID_OFFICE_TD # 规划用于"VLAN 20"[TD-技术部]的2.4G无线网络的SSID配置; [AC-wlan-ssid-prof-SSID_OFFICE_TD]ssid OFFICE_TD [AC-wlan-ssid-prof-SSID_OFFICE_TD]quit [AC-wlan-view]ssid-profile name SSID_OFFICE_TD_5G # 规划用于"VLAN 20"[TD-技术部]的5G无线网络的SSID配置; [AC-wlan-ssid-prof-SSID_OFFICE_TD_5G]ssid OFFICE_TD_5G [AC-wlan-ssid-prof-SSID_OFFICE_TD_5G]quit [无线配置-SSID模板_RD] [AC-wlan-view]ssid-profile name SSID_OFFICE_RD # 规划用于"VLAN 30"[TD-技术部]的2.4G无线网络的SSID配置; [AC-wlan-ssid-prof-SSID_OFFICE_RD]ssid OFFICE_RD [AC-wlan-ssid-prof-SSID_OFFICE_RD]quit [AC-wlan-view]ssid-profile name SSID_OFFICE_RD_5G # 规划用于"VLAN 20"[TD-技术部]的5G无线网络的SSID配置; [AC-wlan-ssid-prof-SSID_OFFICE_RD_5G]ssid OFFICE_RD_5G [AC-wlan-ssid-prof-SSID_OFFICE_RD_5G]quit [无线配置-SSID模板_GUEST] [AC-wlan-view]ssid-profile name SSID_GUEST # 规划用于"VLAN 101"[访客网络]的2.4G无线网络的SSID配置; [AC-wlan-ssid-prof-SSID_GUEST]ssid GUEST [AC-wlan-ssid-prof-SSID_GUEST]quit [AC-wlan-view]ssid-profile name SSID_GUEST_5G # 规划用于"VLAN 101"[访客网络]的5无线网络的SSID配置; [AC-wlan-ssid-prof-SSID_GUEST_5G]ssid GUEST_5G [AC-wlan-ssid-prof-SSID_GUEST_5G]quit ==========================安全模板========================== [无线配置-安全模板] [AC-wlan-view]security-profile name SE_OFFICE_AD # 创建[安全模板],名称为"SE_OFFICE_AD"; # 规划用于"VLAN 10"[AD-行政部]的2.4G与5G的安全模板; [AC-wlan-sec-prof-SE_OFFICE_AD]security wpa-wpa2 psk pass-phrase 10101010 aes # 配置SSID的密码及其模式;本处为:"wpa-wpa2" + "10101010" + "aes"; # 加密类型:"open"、"wapi"、"wep"、"wpa"、"wpa-wpa2"、"wpa2"; # 认证方式:"dot1x"、"psk"; # 密码格式:"hex"、"pass-phrase"; # 加密算法:"aes"、"aes-tkip"、"tkip";建议:"aes"; [AC-wlan-sec-prof-SE_OFFICE_AD]quit [AC-wlan-view]security-profile name SE_OFFICE_TD # 规划用于"VLAN 20"[TD-技术部]的2.4G与5G的安全模板; [AC-wlan-sec-prof-SE_OFFICE_TD]security wpa-wpa2 psk pass-phrase 20202020 aes [AC-wlan-sec-prof-SE_OFFICE_TD]quit [AC-wlan-view]security-profile name SE_OFFICE_RD # 规划用于"VLAN 20"[RD-研发部]的2.4G与5G的安全模板; [AC-wlan-sec-prof-SE_OFFICE_RD]security wpa-wpa2 psk pass-phrase 30303030 aes [AC-wlan-sec-prof-SE_OFFICE_RD]quit [AC-wlan-view]security-profile name SE_GUEST # 规划用于"VLAN 101"[访客网络]的2.4G与5G的安全模板; [AC-wlan-sec-prof-SE_GUEST]security wpa-wpa2 psk pass-phrase 88888888 aes [AC-wlan-sec-prof-SE_GUEST]quit ==========================射频模板========================== # 无线配置中的模板,实际上还存在"射频模板"; # 射频模板的可配置项为射频类型、信道模式、功率模式等; # 本示例所创建模板已经比较多了,本人不希望再增加配置的复杂度, # 因为校对实在太难了,有兴趣的读者可自行搜索该部分内容; ==========================VAP模板========================== [无线配置-虚拟AP模板_AD] [AC-wlan-view]vap-profile name VAP_OFFICE_AD # 以指定名称创建VAP模板[2.4G][VLAN 10]; [AC-wlan-vap-prof-VAP_OFFICE_AD]forward-mode direct-forward # 配置业务数据的转发模式,本处为"direct-forward"; # 支持模式:"direct-forward"、"softgre"、"tunnel"; [AC-wlan-vap-prof-VAP_OFFICE_AD]ssid-profile SSID_OFFICE_AD # 绑定对应名为"SSID_OFFICE_AD"的SSID模板; [AC-wlan-vap-prof-VAP_OFFICE_AD]security-profile SE_OFFICE_AD # 绑定对应名为"SE_OFFICE_AD"的安全策略模板; [AC-wlan-vap-prof-VAP_OFFICE_AD]service-vlan vlan-id 10 # 绑定的对应业务VLAN的ID号:"10"; [AC-wlan-vap-prof-VAP_OFFICE_AD]quit [AC-wlan-view]vap-profile name VAP_OFFICE_AD_5G # 以指定名称创建VAP模板[5G][VLAN 10]; [AC-wlan-vap-prof-VAP_OFFICE_AD_5G]forward-mode direct-forward [AC-wlan-vap-prof-VAP_OFFICE_AD_5G]ssid-profile SSID_OFFICE_AD_5G [AC-wlan-vap-prof-VAP_OFFICE_AD_5G]security-profile SE_OFFICE_AD [AC-wlan-vap-prof-VAP_OFFICE_AD_5G]service-vlan vlan-id 10 [AC-wlan-vap-prof-VAP_OFFICE_AD_5G]quit [无线配置-虚拟AP模板_TD] [AC-wlan-view]vap-profile name VAP_OFFICE_TD # 以指定名称创建VAP模板[2.4G][VLAN 20]; [AC-wlan-vap-prof-VAP_OFFICE_TD]forward-mode direct-forward [AC-wlan-vap-prof-VAP_OFFICE_TD]ssid-profile SSID_OFFICE_TD [AC-wlan-vap-prof-VAP_OFFICE_TD]security-profile SE_OFFICE_TD [AC-wlan-vap-prof-VAP_OFFICE_TD]service-vlan vlan-id 20 [AC-wlan-vap-prof-VAP_OFFICE_TD]quit [AC-wlan-view]vap-profile name VAP_OFFICE_TD_5G # 以指定名称创建VAP模板[5G][VLAN 20]; [AC-wlan-vap-prof-VAP_OFFICE_TD_5G]forward-mode direct-forward [AC-wlan-vap-prof-VAP_OFFICE_TD_5G]ssid-profile SSID_OFFICE_TD_5G [AC-wlan-vap-prof-VAP_OFFICE_TD_5G]security-profile SE_OFFICE_TD [AC-wlan-vap-prof-VAP_OFFICE_TD_5G]service-vlan vlan-id 20 [AC-wlan-vap-prof-VAP_OFFICE_TD_5G]quit [无线配置-虚拟AP模板_RD] [AC-wlan-view]vap-profile name VAP_OFFICE_RD # 以指定名称创建VAP模板[2.4G][VLAN 30]; [AC-wlan-vap-prof-VAP_OFFICE_RD]forward-mode direct-forward [AC-wlan-vap-prof-VAP_OFFICE_RD]ssid-profile SSID_OFFICE_RD [AC-wlan-vap-prof-VAP_OFFICE_RD]security-profile SE_OFFICE_RD [AC-wlan-vap-prof-VAP_OFFICE_RD]service-vlan vlan-id 30 [AC-wlan-vap-prof-VAP_OFFICE_RD]quit [AC-wlan-view]vap-profile name VAP_OFFICE_RD_5G # 以指定名称创建VAP模板[5G][VLAN 30]; [AC-wlan-vap-prof-VAP_OFFICE_RD_5G]forward-mode direct-forward [AC-wlan-vap-prof-VAP_OFFICE_RD_5G]ssid-profile SSID_OFFICE_RD_5G [AC-wlan-vap-prof-VAP_OFFICE_RD_5G]security-profile SE_OFFICE_RD [AC-wlan-vap-prof-VAP_OFFICE_RD_5G]service-vlan vlan-id 30 [AC-wlan-vap-prof-VAP_OFFICE_RD_5G]quit [无线配置-虚拟AP模板_GUEST] [AC-wlan-view]vap-profile name VAP_GUEST # 以指定名称创建VAP模板[2.4G][VLAN 101]; [AC-wlan-vap-prof-VAP_GUEST]forward-mode direct-forward [AC-wlan-vap-prof-VAP_GUEST]ssid-profile SSID_GUEST [AC-wlan-vap-prof-VAP_GUEST]security-profile SE_GUEST [AC-wlan-vap-prof-VAP_GUEST]service-vlan vlan-id 101 [AC-wlan-vap-prof-VAP_GUEST]quit AC-wlan-view]vap-profile name VAP_GUEST_5G # 以指定名称创建VAP模板[5G][VLAN 101]; [AC-wlan-vap-prof-VAP_GUEST_5G]forward-mode direct-forward [AC-wlan-vap-prof-VAP_GUEST_5G]ssid-profile SSID_GUEST_5G [AC-wlan-vap-prof-VAP_GUEST_5G]security-profile SE_GUEST [AC-wlan-vap-prof-VAP_GUEST_5G]service-vlan vlan-id 101 [AC-wlan-vap-prof-VAP_GUEST_5G]quit ==========================VAP组========================== [VAP管理组配置及虚拟AP模板绑定射频模块] [AC-wlan-view]ap-group name VAP_GROUP # 以指定名称创建VAP组并进入相应视图; # 一个VAP组将包括多个VAP模板; [AC-wlan-ap-group-VAP_GROUP]regulatory-domain-profile TEMP_DOMAIN # 绑定对应的区域模板; # 本处绑定的对应域模板名称为"TEMP_DOMAIN"; [AC-wlan-ap-group-VAP_GROUP]vap-profile VAP_OFFICE_AD wlan 1 radio 0 [AC-wlan-ap-group-VAP_GROUP]vap-profile VAP_OFFICE_TD wlan 2 radio 0 [AC-wlan-ap-group-VAP_GROUP]vap-profile VAP_OFFICE_RD wlan 3 radio 0 [AC-wlan-ap-group-VAP_GROUP]vap-profile VAP_GUEST wlan 4 radio 0 # 绑定对应的VAP模板至射频"0"上,并且其对应的WLAN序号为"1"[虚拟AP应用序号]; # 关于WLAN序号[即"wlan 1"部分中的"1"],实际上每个无线AP的射频模块上, # 是可以广播多个SSID无线网络的[即可以广播出SSID_1、SSID_2、...], # 单个物理AP中的单个射频模块最多支持广播8个SSID无线网络[未来会不会改变不知道]; # 其取值范围为"1-16",注意,其取值并不是任意的,不同的取值用于支持不同的业务,详见对应AP设备的"vap-profile"命令; # 思考:一个AP包含2.4G和5G两个射频模块,最多可以广播出多少个SSID无线网络?答案:16个; # 射频"0"在华为上默认对应2.4G无线模块[注重无线网络的覆盖性]; [AC-wlan-ap-group-VAP_GROUP]vap-profile VAP_OFFICE_AD_5G wlan 1 radio 1 [AC-wlan-ap-group-VAP_GROUP]vap-profile VAP_OFFICE_TD_5G wlan 2 radio 1 [AC-wlan-ap-group-VAP_GROUP]vap-profile VAP_OFFICE_RD_5G wlan 3 radio 1 [AC-wlan-ap-group-VAP_GROUP]vap-profile VAP_GUEST_5G wlan 4 radio 1 # 射频"1"在华为上默认对应5G无线模块[注重无线网络的网络性能]; [AC-wlan-ap-group-VAP_GROUP]quit ============================================================ [建立AP设备的管理信息及将物理AP加入至指定VAP组] [AC-wlan-view]ap-id 0 ap-mac 00E0-FC9E-3D80 # 添加AP;本处指定AP的序号为第"0"号AP及其MAC为"00E0-FC9E-3D80"; # AP的MAC应以实际情况为准; [AC-wlan-ap-0]ap-group VAP_GROUP # 将"0"号AP加入至指定的VAP组中[与前面配置关联]; # 本处加入的VAP组名称为"VAP_GROUP"; [AC-wlan-ap-0]return [保存配置] <AC>save # ENSP中对于本AC控制一定要使用本方法保存配置[否则配置将丢失]; # 仅使用本命令并不能使AC控制器的配置正常保存,正确操作为: # 使用"save"命令保存配置-->使用ENSP的内置功能导出设备配置-->[转下一行] # [接上一行]停用AC控制器-->使用ENSP内置功能重新导入配置; # 经以上操作后,才能正常在AC控制器的相应ENSP文件夹内生成配置文件; # 为保证AC控制器的配置能正常保存,对AC进行额外配置后,应重复上述操作; ============================================================ [保存配置并设定下次设备启动的默认配置文件][ENSP中对AC控制器勿用此方法] <AC>save company.zip # 由于这是第一次配置,所以需要保存当前配置于"company.zip"配置文件中; # 默认将保存于根目录,这是现实中的操作,ENSP上操作请不要使用以上命令,见下说明; # ENSP的本AC控制器无法正常保存配置[在关闭设备后再重启设备,配置将丢失]; # 建议使用ENSP内置的配置导出功能以保存配置; # 如使用ENSP内置的配置导出功能,配置文件的名称必须保持默认值; # 即一定不要自定义配置的名称,例如使用了本命令,你将无法使用ENSP内置的配置导出功能; <AC>startup saved-configuration company.zip # 由于这是第一次配置,所以需要设定下次设备启动时使用的配置文件; <AC>display startup # 查看设备的启动配置相关信息[校验作用]; |
三、实现方法-接口配置[方式一]
本节将采用"方式一"进行硬件间设备的接口配置,方式一重点在所有的DHCP服务均由核心交换机[LSW]提供,AC控制器不提供任何DHCP服务;所提供的示例文件中的相关接口配置方式使用本方式,同时也匹配首章博文的各项规划。对于为什么会在一个示例中提及两种种不同的接口配置方式,详见下文的"坑"章节。方式一接口配置见下:
目标设备:AC控制器-AC[AC6005]
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 |
[管理VLAN创建] <AC>system-view [AC]undo dhcp enable # 禁用基于AC设备的DHCP服务功能; # 注:本方式将使用LSW统一提供DHCP服务[包括:AC管理网络、访客网络] [AC]vlan batch 100 # 本处创建的VLAN将对应本示例的设定需求; # 创建"100"VLAN; # VLAN"100"对应为AC的管理VLAN[用于管理AP设备]; [AC与LSW之间的连接接口配置] [AC]interface GigabitEthernet 0/0/1 # 进入目标端口"GigabitEthernet 0/0/1"进行具体配置; [AC-GigabitEthernet0/0/1]port link-type access # 配置"GigabitEthernet 0/0/1"的物理端口的模式,本外模式为"access"; [AC-GigabitEthernet0/0/1]port default vlan 100 # 定义物理端口允许通过VLAN,本处为"100"; [AC-GigabitEthernet0/0/1]quit [AC管理VLAN的虚拟接口配置] [AC]interface Vlanif 100 # 进入VLAN"100"[管理VLAN]的虚拟接口配置视图; [AC-Vlanif100]description AP_Manage # 为VLAN"100"设定描述性说明[管理VLAN]; [AC-Vlanif100]ip address 192.168.100.254 24 # 为VLAN"100"虚拟接口并配置管理地址/网关; [AC-Vlanif100]quit # 退出VLAN"100"的虚拟接口配置视图; [绑定AC设备管理隧道对应的VLAN] [AC]capwap source interface Vlanif 100 # 配置AC与AP建立CAPWAP隧道的源接口[管理VLAN]; # 本处为"VLAN 100"对应的虚拟接口"Vlanif 100"; [AC]quit [保存配置] <AC>save # ENSP中对于本AC控制一定要使用本方法保存配置[否则配置将丢失]; # 仅使用本命令并不能使AC控制器的配置正常保存,正确操作为: # 使用"save"命令保存配置-->使用ENSP的内置功能导出设备配置-->[转下一行] # [接上一行]停用AC控制器-->使用ENSP内置功能重新导入配置; # 经以上操作后,才能正常在AC控制器的相应ENSP文件夹内生成配置文件; # 为保证AC控制器的配置能正常保存,对AC进行额外配置后,应重复上述操作; |
目标设备:核心交换机-LSW[S5700]
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 |
[VLAN创建] <LSW>system-view # 进入系统视图; [LSW]vlan batch 100 101 # 本处创建的VLAN将对应本示例的设定需求; # 创建"100、101"VLAN; # VLAN"100"对应为AC的管理VLAN; # VLAN"101"对应为访客VLAN; [AC与LSW之间的连接-LSW接口配置] [LSW]interface GigabitEthernet 0/0/21 # 指定与AC连接的物理端口"GigabitEthernet 0/0/21"; [LSW-GigabitEthernet0/0/21]description TO_AC # 物理端口作用的描述性信息; [LSW-GigabitEthernet0/0/21]port link-type access # 配置物理端口的模式为"access"; [LSW-GigabitEthernet0/0/21]port default vlan 100 # 配置允许通过的VLAN; [LSW-GigabitEthernet0/0/21]quit [VLAN 100 配置] [LSW]interface Vlanif 100 # 进入VLAN"10"的虚拟接口配置视图; [LSW-Vlanif100]ip address 192.168.100.1 24 # 为VLAN"10"虚拟接口并配置管理地址[同时也是该VLAN的网关]; [LSW-Vlanif100]dhcp select global # 指定本VLAN下DHCP服务的策略模式为"global"; [LSW-Vlanif100]quit # 退出VLAN"10"的虚拟接口配置视图; [LSW]ip pool vlan_100 # 创建名为"vlan_100"的DHCP地址池; [LSW-ip-pool-vlan_100]network 192.168.100.0 mask 24 # 配置"vlan_100"的地址池的网段; [LSW-ip-pool-vlan_100]gateway-list 192.168.100.1 # 配置"vlan_100"的地址池的网关; [LSW-ip-pool-vlan_100]excluded-ip-address 192.168.100.254 # 配置排除分配的IP地址[本地址由AC控制占用]; [LSW-ip-pool-vlan_100]quit [VLAN 101 配置] [LSW]interface Vlanif 101 [LSW-Vlanif101]ip address 192.168.101.1 24 [LSW-Vlanif101]dhcp select global [LSW-Vlanif101]quit [LSW]ip pool vlan_101 [LSW-ip-pool-vlan_101]network 192.168.101.0 mask 24 [LSW-ip-pool-vlan_101]gateway-list 192.168.101.1 [LSW-ip-pool-vlan_101]dns-list 8.8.8.8 8.8.4.4 [LSW-ip-pool-vlan_101]lease day 0 hour 12 # IP地址租期设定[支持日、时、分],本处限制为12小时; [LSW-ip-pool-vlan_101]return <LSW>save # 注意,本处将保存于"company.zip"文件中, # 这是由于前面章节的相关设定; |
目标设备:接入层交换机-LSW_1[S3700]
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
[VLAN创建] <LSW_1>system-view [LSW_1]vlan batch 100 101 [配置用于与AP设备对接的物理端口] [LSW_1]port-group group-member Ethernet 0/0/17 to Ethernet 0/0/22 # 指定临时端口组成员,并进入临时成员组; # 目的:后续命令对指定成员端口进行批量配置; # 本处成员为:"Ethernet 0/0/17"至"Ethernet 0/0/22"; # 注:本处表示这些物理接口都只能用于接入AP设备; [LSW_1-port-group]port link-type trunk # 配置物理端口的模式为"trunk"; # 注意,此处配置为"trunk"模式是重点; # 在本示例中,每个物理AP实际上承载着多个无线网络的, # 除AC管理VLAN外[VLAN 100],其余网段[VLAN]通过AP设备向路由器方向转发的数据, # 默认都是带有TAG标记的; [LSW_1-port-group]port trunk allow-pass vlan all # 配置允许通过的VLAN; [LSW_1-port-group]port trunk pvid vlan 100 # 配置PVID[应配置为对应AC设备的管理VLAN]; [LSW_1-port-group]return <LSW_1>save # 注意,本处将保存于"company.zip"文件中, # 这是由于前面章节的相关设定; |
四、实现方法-接口配置[方式二]
本节将采用"方式二"进行硬件间设备的接口配置,方式二重点在AC控制器提供AP管理网络的DHCP服务,并在核心交换机上使用DHCP中继AC控制器的DHCP服务[仅AP管理网络部分],除此之外的DHCP服务均由核心交换机[LSW]提供;所提供的示例文件中的相关接口配置方式不使用本方式,同时不匹配首章博文的某些规划。对于为什么会在一个示例中提及两种种不同的接口配置方式,详见下文的"坑"章节。方式二接口配置见下:
目标设备:AC控制器-AC[AC6005]
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 |
[管理VLAN创建] <AC>system-view [AC]dhcp enable # 启用基于AC设备的DHCP服务功能; # 注:本方式将使用AC控制器的DHCP服务分配AC管理网络的IP; [AC]vlan batch 100 # 本处创建的VLAN将对应本示例的设定需求; # 创建"100"VLAN; # VLAN"100"对应为AC的管理VLAN[用于管理AP设备]; [AC与LSW之间的连接接口配置] [AC]interface GigabitEthernet 0/0/1 # 进入目标端口"GigabitEthernet 0/0/1"进行具体配置; [AC-GigabitEthernet0/0/1]port link-type access # 配置"GigabitEthernet 0/0/1"的物理端口的模式,本外模式为"access"; [AC-GigabitEthernet0/0/1]port default vlan 100 # 定义物理端口允许通过VLAN,本处为"100"; [AC-GigabitEthernet0/0/1]quit [AC管理VLAN的虚拟接口配置] [AC]interface Vlanif 100 # 进入VLAN"100"[管理VLAN]的虚拟接口配置视图; [AC-Vlanif100]description AP_Manage # 为VLAN"100"设定描述性说明[管理VLAN]; [AC-Vlanif100]ip address 192.168.100.254 24 # 为VLAN"100"虚拟接口并配置管理地址/网关; [AC-Vlanif100]dhcp select interface # 指定基于端口的DHCP功能的策略;模式为"interface"; # 关于"interface"与"global"的区别: # "interface":将自动生成相应的地址池[即不需要使用"ip pool"进行地址池的操作]; # 缺点--无法进行一些具体的配置; # "global" :需要手动配置地址池["ip pool"命令]; [AC-Vlanif100]quit [绑定AC设备管理隧道对应的VLAN] [AC]capwap source interface Vlanif 100 # 配置AC与AP建立CAPWAP隧道的源接口[管理VLAN]; # 本处为"VLAN 100"对应的虚拟接口"Vlanif 100"; [AC]quit [保存配置] <AC>save # ENSP中对于本AC控制一定要使用本方法保存配置[否则配置将丢失]; # 仅使用本命令并不能使AC控制器的配置正常保存,正确操作为: # 使用"save"命令保存配置-->使用ENSP的内置功能导出设备配置-->[转下一行] # [接上一行]停用AC控制器-->使用ENSP内置功能重新导入配置; # 经以上操作后,才能正常在AC控制器的相应ENSP文件夹内生成配置文件; # 为保证AC控制器的配置能正常保存,对AC进行额外配置后,应重复上述操作; |
目标设备:核心交换机-LSW[S5700]
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 |
[VLAN创建] <LSW>system-view [LSW]vlan batch 100 101 # 本处创建的VLAN将对应本示例的设定需求; # 创建"100、101"VLAN; # VLAN"100"对应为AC的管理VLAN; # VLAN"101"对应为访客VLAN; [AC与LSW之间的连接-LSW接口配置] [LSW]interface GigabitEthernet 0/0/21 [LSW-GigabitEthernet0/0/21]description TO_AC [LSW-GigabitEthernet0/0/21]port link-type access [LSW-GigabitEthernet0/0/21]port default vlan 100 [LSW-GigabitEthernet0/0/21]quit [VLAN 100 配置] [LSW]interface Vlanif 100 [LSW-Vlanif100]ip address 192.168.100.1 24 [LSW-Vlanif100]dhcp select relay # 指定本VLAN下DHCP服务的策略模式为中继"relay"; [LSW-Vlanif100]dhcp relay server-ip 192.168.100.254 # 指定DHCP服务器的地址; [LSW-Vlanif100]quit [VLAN 101 配置] [LSW]interface Vlanif 101 [LSW-Vlanif101]ip address 192.168.101.1 24 [LSW-Vlanif101]dhcp select global [LSW-Vlanif101]quit [LSW]ip pool vlan_101 [LSW-ip-pool-vlan_101]network 192.168.101.0 mask 24 [LSW-ip-pool-vlan_101]gateway-list 192.168.101.1 [LSW-ip-pool-vlan_101]dns-list 8.8.8.8 8.8.4.4 [LSW-ip-pool-vlan_101]lease day 0 hour 12 [LSW-ip-pool-vlan_101]return [保存配置] <LSW>save # 注意,本处将保存于"company.zip"文件中, # 这是由于前面章节的相关设定; |
目标设备:接入层交换机-LSW_1[S3700]
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
[VLAN创建] <LSW_1>system-view [LSW_1]vlan batch 100 101 [配置用于与AP设备对接的物理端口] [LSW_1]port-group group-member Ethernet 0/0/17 to Ethernet 0/0/22 [LSW_1-port-group]port link-type trunk [LSW_1-port-group]port trunk allow-pass vlan all [LSW_1-port-group]port trunk pvid vlan 100 [LSW_1-port-group]return [保存配置] <LSW_1>save # 注意,本处将保存于"company.zip"文件中, # 这是由于前面章节的相关设定; |
五、效果验证
使用网线连接核心交换机[LSW]与AC控制器[AC],并通过STA搜索无线网络,加入相对应的无线网络中,将会获得由核心交换机[LSW]上对应DHCP服务分配出的IP地址、网关及DNS,并且能PING通对应网关;关于相关信息的查询,可以在STA命令行界面下输入"ipconfig"命令获取。另外,不同VLAN的PC,其之间也能互相PING通,这是由于还未配置VLAN间的访问策略,这将在后续的章节中补充。
补充:在本示例的配置下,通过STA将搜索出以下无线网络"OFFICE_TD"、"OFFICE_RD"、"GUEST"、"OFFICE_TD_5G"、"OFFICE_RD_5G"及"GUEST_5G"无线网络,同时你将发现搜索不出"OFFICE_AD"或"OFFICE_AD_5G"无线网络,这是由于该无线网络被配置为隐藏。
另外,路由器上的网关"192.168.5.1"依然未能PING通,原因见之前章节。
六、坑
在本章中,博主分别介绍了两种有少量区别的接口配置方式,为什么会出现两种方式?这实际上是博主踩上了ENSP的坑!在博主对配置代码进行复测时,对DHCP服务进行了以上配置,结果是,DHCP服务有时能正常使用,有时却服务异常[无法获取IP地址],关键是这情况是随机的!于是,博主不断调整配置代码,希望寻找出一种能提供稳定DHCP服务的配置方式以展示在提供下载的示例文件中。结果在多次调整配置代码的情况下,依然无法配置出稳定的DHCP服务,在一次偶然的情况下,博主打开"任务管理器",意外地发现了数个有关VBox虚拟机的"DHCP"进程,于是,博主怀疑起ENSP生成的相关进程是否出现了BUG。结果是明显的,就是ENSP的BUG,在博主重启主机,以一个相对干净的环境去复测以上两种接口配置方式,所有的DHCP服务均能正常提供服务。绕了无数的圈,一直以为是配置代码的问题或配置支持的问题,结果是模拟软件ENSP的BUG......
建议:关于这个坑,博主建议读者在ENSP中测试一个新的,较为复杂的网络拓扑时,重启主机以获得一个相关干净的主机环境,以避免本BUG。
方式一与方式二的区别主要为,方式一将所有DHCP服务都集中到核心交换机[LSW]上;方式二则将AC控制器管理AP设备的DHCP服务进行了独立处理[由AC控制器提供];以上两种方式均是可行的,方式二的设计目的为减少核心交换机[LSW]的资源占用,有效利用AC控制器的资源;但方式二也会造成在同一个内网内存在两台的DHCP服务器,虽然核心交换机与AC控制器的物理链路本文使用了"ACCESS"模式以保证仅特定的DHCP数据包能到达AC控制器,但一个内网内存在两台DHCP服务器依然是事实。另外,方式二中,使用了核心交换机上的DHCP中继功能,这将使核心交换机上的DHCP服务同时运行于两种不同的模式,并不是所有的交换机都支持这一种混用方式。
方式一与方式二各有优点,方式一简单容易理解,方式二复杂但资源利用率更高,使用那一种方式均由读者喜好。
结、
本章节的内容比较多,对无线网络的配置,华为官方是以一本单独书箱去解释相知识与配置的,可见基本无线网络的知识实际上比较多。无线网络配置的重点基本上是各种基础模板的配置,然后通过对各种基础模板进行组合,以配置出一个VAP模板[虚拟AP模板],再将VAP模板应用至物理AP上以生成对应的无线网络。实际上,对于本示例中的关于各种模板的配置,在博主的配置过程中,也很混乱;本示例中,按照事前设定,需要配置出8个无线网络[包括2.4G与5G频段],可见,真实企业环境下的配置将会更复杂与更麻烦,但在理解本示例的配置基础上,作出相应的变通配置,将不会是一件难事。本篇完,读者可点击以下链接进入下一章或返回上一章;
ENSP中小企业网示例[五]:无线网络AC配置:等您坐沙发呢!