由浅入深玩转华为WLAN—17 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组网方式】
转载自微信公众号:网络之路博客
简介
同一AC的三层漫游:指的是在同一个AC下面的不同AP之间不同业务之间的漫游(跨越三层网络),比如图中AP-1的业务VLAN 是10(192.168.10.0/24),而AP-2的业务VLAN是20(192.168.20.0/24),无线客户端从AP-1漫游到AP-2后,虽然处于AP-2上面,但是业务VLAN保持不变,IP地址也保持不变,只是由原先的AP-1变成了AP-2来转发无线客户端的业务。
之前已经把网络基本初始化了,整个网络除了WLAN业务没有跑起来以外,其他的都能够正常运行,这次主要介绍三层漫游的WLAN配置相关。
掌握模目标
1、AP正常上线
2、配置WLAN业务
3、下发给AP
4、Client关联,并且查看命令
5、访问外网测试
6、漫游测试
7、三层漫游需要注意的问题
8、在实际环境中遇到的情况(业务漫游后不通)
拓扑说明
说明:该拓扑就一个办公区域,AP-1主要提供给转发VLAN 101的业务,而AP-2主要提供转发VLAN 102的业务,但是领导希望在办公区域内,客户端能够进行自动的切换关联,希望保持在比较不错的信号强度的AP下转发业务,这时候必须提供三层漫游功能来实现这个目的了。
管理VLAN 800:192.168.80.0/24 GW:192.168.80.254
业务VLAN 101:192.168.101.0/24 GW:192.168.101.254
业务VLAN 102:192.168.102.0/24 GW:192.168.101.254
与路由器对接接口VLAN 1:192.168.1.0/24 交换机地址:192.168.1.1 路由器内网地址:192.168.1.2
与AC对接的接口 VLAN 100:192.168.100.1/24 AC源接口地址:192.68.100.2/24
隧道转发模式:直接转发
AP上线组网方式:三层(不在一个子网广播域内),必须通过DHCP Option43来实现
SSID:Intranet 认证与加密方式:WPA2 PSK+CCMP
AP-1主要提供业务VLAN 101(也提供VLAN 102的业务转发)
AP-2主要提供业务VLAN 102(也提供VLAN 101的业务转发)
说明:这里AP肯定得为2个业务VLAN 能够提供转发才行,否则的话 三层漫游多个业务VLAN之间AP需要能够识别的了,能够打上业务TAG。
1、AP正常上线
说明:AP正常上线有几个要求
1、AC必须配置源地址【可以跟使得AP跟AC建立capwap隧道】,AP能够通过CAPWAP discovery让AC收到discovery包,然后AC回复respons
2、AP的认证方式,默认为MAC-auth,可以修改为序列号或者是不认证,只有认证通过的AP才能正常上线。
3、版本问题(AP与AC的版本要对应匹配,这个具体看文档说明),版本不匹配,AP也关联不上AC
[Huawei-AC]wlan
[Huawei-AC-wlan-view]wlan ac source interface Vlanif 100
说明:这里配置了AC的源地址是用VLAN 100,也就是用该地址与AP建立CAPWAP 隧道。
AP的认证方式默认为MAC-AUTH,MAC地址可以通过在AP上面命令查看。
[Huawei-AC-wlan-view]ap id 0 type-id 19 mac 00e0-fc70-2c90
[Huawei-AC-wlan-view]ap id 1 type-id 19 mac 00e0-fc24-1ce0
通过手动添加,来添加设备的MAC地址,这样AP可以通过认证,就可以正常上线了。这里id是自定义的,只是一个序列号而已,但是type-id很正常, 它跟你实际关联设备有关,该设备为AP6010DN-AGN这个在刚刚display中有显示,所以可以通过命令display ap-type all查看AC支持关联的AC类型与序列号,看自己要关联的AP是多少 这里就填写多少。
可以看到有一个已经获取到了IP地址,管理VLAN 的80网段的,另外一个还处于没有获取地址阶段。
可以看下建立的过程,首先通过DHCP获取地址。
可以看到offer包里面,回应Client请求里面,包括了Client的地址、掩码、路由网关、租期以及DHCP服务器是谁,还有一个Option 43的值,这个值可以通过抓包软件解析到,正是AC的地址
AP然后通过这个地址直接单播与AC建立CAPWAP隧道。
两边台AP都提示CAPWAP链路UP了。
这时候AC上面就有对应的AP信息以及状态等。
2、配置WLAN业务
配置WLAN业务,由于两台AP之间是需要做漫游的,而且这里是三层漫游,所以我们可以把WLAN-ESS接口、WMM、射频模板、安全、流量模板同一个,但是,服务集必须是2个不同的,因为业务VLAN不一样,然后在AP下面关联各自的服务集即可,这样简化了配置,也保证了漫游的一些注意事项,当然信道需、功能等可以不一样 手动调整或者自动调优都可以。
(1)创建wlan-ess接口
[Huawei-AC]interface Wlan-Ess 101
[Huawei-AC-Wlan-Ess101]port hybrid untagged vlan 101
[Huawei-AC]interface Wlan-Ess 102
[Huawei-AC-Wlan-Ess102]port hybrid untagged vlan 102
说明:创建wlan-ess接口,下面的hybird接口类型是可选的,该接口可以启用各种安全认证、QOS策略以及ACL等。在直接转发的情况下,ESS接口的VLAN属性不重要,不配也可以,它适用于集中转发的情况下才使用。
(2)WMM模板与射频模板
[Huawei-AC-wlan-view]wmm-profile name roam
[Huawei-AC-wlan-view]radio-profile name roam
[Huawei-AC-wlan-radio-prof-roam]wmm-profile name roam
[Huawei-AC-wlan-radio-prof-roam]channel-mode fixed (默认为自动)
说明:WMM模板可以定义流量优先级,射频模板功能比较多,可以设置功率、802.11类型以及更多的,最简单的就是要关联WMM模块才能被射频调用,所以这里调用WMM即可,其他的使用默认。
(3)流量模板与安全模板
[Huawei-AC-wlan-view]traffic-profile name roam
[Huawei-AC-wlan-view]security-profile name roam
[Huawei-AC-wlan-sec-prof-roam]security-policy wpa2
[Huawei-AC-wlan-sec-prof-roam]wpa2 authentication-method psk pass-phrase simple ccieh3c.taobao.com encryption-method ccmp
说明:流量模板里面可以定义流量限速等,而安全模板则是定义安全策略,默认为Open,需求是WPA2 PSK+CCMP,所以这里修改了。
(4)服务集模板
由于是不同业务VLAN的,所以这里必须创建2个服务集。
AP-1的
[Huawei-AC-wlan-view]service-set name roam-AP-1
[Huawei-AC-wlan-service-set-roam-AP-1]ssid Intranet
[Huawei-AC-wlan-service-set-roam-AP-1]wlan-ess 101
[Huawei-AC-wlan-service-set-roam-AP-1]service-vlan 101
Info: This action may cause service interruption if you don’t execute commit command.
[Huawei-AC-wlan-service-set-roam-AP-1]traffic-profile name roam
[Huawei-AC-wlan-service-set-roam-AP-1]security-profile name roam
AP-2的
[Huawei-AC-wlan-view]service-set name roam-AP-2
[Huawei-AC-wlan-service-set-roam-ap-2]ssid Intranet
[Huawei-AC-wlan-service-set-roam-ap-2]wlan-ess 102
[Huawei-AC-wlan-service-set-roam-ap-2]service-vlan 102
Huawei-AC-wlan-service-set-roam-ap-2]traffic-profile name roam
[Huawei-AC-wlan-service-set-roam-ap-2]security-profile name roam
(5)在射频绑定射频模板以及服务集
AP-1
[Huawei-AC-wlan-view]ap 0 radio 0
[Huawei-AC-wlan-radio-0/0]radio-profile name roam
Warning: Modify the Radio type may cause some parameters of Radio resume default value, are you sure to continue?[Y/N]:y
[Huawei-AC-wlan-radio-0/0]service-set name roam-ap-1
AP-2
[Huawei-AC-wlan-view]ap 1 radio 0
[Huawei-AC-wlan-radio-1/0]radio-profile name roam
Warning: Modify the Radio type may cause some parameters of Radio resume default value, are you sure to continue?[Y/N]:Y
[Huawei-AC-wlan-radio-1/0]service-set name roam-ap-2
[Huawei-AC-wlan-radio-1/0]channel 20mhz 6
说明:ap 0是之前定义的序列号,radio 0表示2.4G频率,如果是双频的话,还可以定义1,1表示5G,然后在射频里面调用了服务集以及射频模板。另外AP 1里面我是手动把channel修改为6了,默认都是1,模拟器不支持自动调优 所以这里手动指定下。工作中也可以人为修改,或者自动调优都可以。
3、下发给AP
[Huawei-AC-wlan-view]commit all
Warning: Committing configuration may cause service interruption,continue?[Y/N]y
这里提交服务给所有AP,也就是AP-1与AP-2。
4、Client关联测试
5、访问外网测试
可以看到各自AP提供的业务都正常,都可以正常转发。
都有正常的NAT转发。
6、漫游测试