WLC+AP,跨专线实现异地多SSID流量分流 H-REAP
默认AP加入控制器以后,流量通过控制器走。但各个分厂之间是通过电信专线连通作为一个局域网,且每个分厂都有自己的外网电信光纤出口。专线只有可怜的4MB,公司内部的各系统流量已经让这些专线速度够糟了,如果架过去的AP上网流量还跑回总部出去,实在不敢相信用户体验会差到什么地步。
看起来需求很简单,AP广播一个分离开的SSID,这个SSID是用单独的VLAN,Gateway指向当地的Router,上网流量就可以控制走向了。可是,买设备的这家厂商不给力,技术人员没技术,售后支持拖字诀。好吧,没选好厂商,管理厂商也是门大学问了。同时咨询了不少接触过的一些外包公司的工程师们,这种模式貌都说基本无法实现,建议选择每个厂区一个无线控制器。这开销大了去了!
CISCO的东西,不可能跨个Router就无法实现流量分流。自己研究一番吧。部署步骤详细记录如下。
环境设备型号信息:
Controller:WCL 2504
AP: AIR-LAP1142N-C-K9
Level 3 SW:WS-C3750X-24
Level 2 SW:WS-C2960-24TC-L
一、AP加入Controller:
刚拆包装的AP,接入Controller相同VLAN中,自己就能找到并加入。如果不同VLAN,手动指定控制器IP的命令如下:
lwapp ap controller ip add 172.16.30.253
或者,在公司内部的DNS服务器中,建立一条A记录:
CISCO-CAPWAP-CONTROLLER 172.16.30.253
全新的AP接入任何VLAN,只要能获取IP地址,即可自动加入控制器。
二、控制器中建立Interface:
Controller --> Interface , 点击New新增接口。输入名称和VLAN ID。
之所以跨专线无法做到流量转发,问题就在这个VLAN ID。总厂的VLAN,到专线另一端,是不同的VLAN ID。如果是单Router环境,就是VLAN 1了。H-REAP具体实现,后面详细描述。
接下来是建立的Interface详细资料。
Port Number 指控制器的管理口,填写相应的VLAN ID、IP、NET MASK、Gateway、DHCP Server信息。
三、控制器建立WLAN SSID:
WLANs --> NEW,新增SSID。建立后进入编辑界面,
Status状态开关选上启用。Interface/Interface Group 选择刚建立的Interface。安全选项如下图所示:
四、指定AP仅广播指定的SSID
WLANs --> Advanced --> AP groups,新增AP group,在此group中添加指定的AP,添加指定的SSID。
五、控制器上游交换机端口设定
switchport trunk encapsulation dot1q
switchport trunk native vlan 100 (注: vlan100 是这个控制器的管理IP所在)
switchport mode trunk
OK,到此为止,总部的无线设定完成。分厂区用这种方法设定AP的SSID,流量会回到总部的无线控制器上再出外网。如何让其走当地出口,谷歌了不少,终于在CISCO官网找到了有用的信息:
http://www.cisco.com/c/en/us/support/docs/wireless/5500-series-wireless-controllers/71250-h-reap-design-deploy.html
H-REAP模式说明:
混合式远程边缘无线接入点(H-REAP)是一种适用于分支机构和远程办公室部署的无线解决方案。 它使客户能够通过广域网(WAN)链路配置和控制部署在分支机构和远程办公室的无线接入点而无需在每个办公室部署无线控制器。
架构图简介:
继续配置步骤。
六、分厂区接AP的SW端口设定:
switchport trunk encapsulation dot1q
switchport trunk native vlan 100 (注:vlan100 是AP获取DHCP的IP所在)
switchport mode trunk
七、无线控制器新增Interface、WLAN SSID:
新增方式如步骤二、三。
WLAN --> Advanced 选项,选择H-REAP本地交换(H-REAP Local Switching)选项,并确保WLAN的操作是启用的。
八、远端无线AP的设定(1):
从AP Mode选项下拉菜单选择 H-REAP来改变无线接入点的工作模式。应用后AP会重启。
九、远端AP设定(2):
点击 H-REAP标签。选择VLAN Support选项。
Native VLAN请填入上游Switch设定的Native vlan。
应用后,点击VLAN Mapping,给需要广播的SSID指定VLAN ID:
OK,设定完成。用户连线SSID:ABC-Guest的时候,获取的就是VLAN 160的IP,连线SSID:ABC-Staff时,获取的就是VLAN39的IP地址。
上网流量走当地Gateway的路由。
这里ABC-Guest是隔离出来的一个VLAN,仅允许访问外网,公司内部资源、系统是不允许访问的。这个东东做出来也是费了九牛二虎之力。具体实现打算另写一篇文章,记录一下。
配置完成的部分AP及SSID状态: