AP上线
1.1 技术背景
传统的WLAN体系结构已经无法满足大规模组网的需求,因此,IETF成立的CAPWAP(Control And Provisioning of Wireless Access Points 无线接入点的控制和配置协议)工作组,研究打过没WLAN的解决方案。以实现各个厂家控制器与AP间的互通。
CAPWAP的起源
CAPWAP工作组对以上四种通信协议进行评测后,最终采用LWAPP协议作为基础进行扩展,使用DTLS安全技术,加入其他三种协议的有用特性,制定了CAPWAP协议。
1.2 CAPWAP介绍:
CAPWAP(无线接入点控制和配置协议),用于无线终端接入点(AP)和无线网络控制器(AC)之间的通信交互,实现AC对其所关联的AP集中管理和控制。
该协议包含的主要内容有:
-
AP对AC的自动发现及AP和AC的状态机运行、维护。
-
AC对AP进行管理,业务配置下发。
-
STA数据封装CAPWAP隧道进行转发。
1.3 CAPWAP模式
CAPWAP协议支持两种操作模式:SPlit MAC和Local MAC。
Split MAC模式:
-
在Split MAC模式下,所有二层的无线数据和管理帧都被CAPWAP协议封装,在AC和AP之间交互。
-
从STA收到的无线帧,直接封装,转发给AC。
-
在split MAC模式下,无线报文不经过报文转换,直接到达AC。
Local MAC模式:
-
本地转发模式允许数据帧可以用本地桥或者使用802.3的帧形式用隧道转发。二层无线管理帧在AP本地处理,然后再转发给AC。
-
STA传送的无线帧在AP被封装成802.3数据帧。
1.4 CAPWAP报文格式
DTLS加密是可选的,华为设备默认没有开启。
DTLS(Datagram Transport Layer Security)是一种基于UDP协议的安全传输协议,它提供了与TLS(Transport Layer Security)相似的安全性和可靠性,但是可以在不可靠的网络环境下使用,例如在实时音视频传输等应用中。
DTLS协议在传输层对数据进行加密、解密和完整性验证,通过使用对称密钥加密技术和数字证书来实现数据加密和身份验证。与TLS协议不同的是,DTLS协议通过将TCP协议替换为UDP协议来提供安全保护,这使得DTLS协议能够支持实时应用和对延迟敏感的数据传输。
DTLS协议的主要特点包括:
- 端到端加密:DTLS协议提供了端到端的数据加密和完整性验证,保护了传输过程中的数据安全。
- 支持不可靠网络:由于DTLS协议基于UDP协议,因此可以在不可靠的网络环境下使用,例如在移动网络和互联网上。
- 实时性:DTLS协议支持实时应用,例如视频和语音通话等应用,能够提供较低的延迟和更好的用户体验。
- 灵活性:DTLS协议允许使用不同的加密算法和密钥长度,以适应不同的应用需求。
DTLS协议已经被广泛应用于各种实时应用,例如VoIP、视频会议、在线游戏等,它可以提供强大的安全保护和高效的数据传输。
1.5 AP上线流程
https://support.huawei.com/enterprise/zh/doc/EDOC1000051014/9802a788
2 AP上线
2.1 CAPWAP
2.2 AP上线之二层上线
实验场景:
基础配置:
在AC1、SW1、SW2上配置管理vlan100,接口链路类型如图所示。配置命令如下:
1 # AC1 2 vlan batch 100 3 interface G0/0/1 4 port link-type trunk 5 port trunk allow-pass vlan 100 6 7 8 # SW1 9 vlan batch 100 10 interface G0/0/1 11 port link-type trunk 12 port trunk allow-pass vlan 100 13 interface G0/0/2 14 port link-type trunk 15 port trunk allow-pass vlan 100 16 17 18 # SW2 19 vlan batch 100 20 interface G0/0/1 21 port link-type trunk 22 port trunk allow-pass vlan 100 23 interface E0/0/1 24 port link-type access 25 port default vlan 100 26 interface E0/0/2 27 port link-type access 28 port default vlan 100
在AC上开启DHCP功能,给两台AP提供管理IP地址,AC 配置如下:
# 开启dhcp功能 dhcp enable # 在接口启动地址池 interface Vlanif100 ip address 192.168.100.1 255.255.255.0 dhcp select interface #
此时可以看到AP已经通过DHCP获取了IP地址:
# AP1 <Huawei>display ip int brief Interface IP Address/Mask Physical Protocol Vlanif1 192.168.100.132/24 up up # AP2 Vlanif1 192.168.100.21/24 up up
在AC上指定CAPWAP隧道建立时使用的IP地址:
# AC capwap source interface Vlanif 100
此时查看AP上线状态
[AC6005]display ap all Info: This operation may take a few seconds. Please wait for a moment.done. -------------------------------------------------------------------------------- ID MAC Name Group IP Type State STA Uptime -------------------------------------------------------------------------------- --------------------------------------------------------------------------------
虽然AP已经获取IP地址,但是目前还没有上线,需要通过下面的三种方式来让AP上线
2.2.1 认证方式之不认证
通过不认证的方式,直接让AP上线,配置命令如下:
1 [AC6005-wlan-view]ap auth-mode no-auth 2 [AC6005-wlan-view]ap-confirm all
稍等片刻,可以看到AP已经上线了
[AC6005]display ap all Info: This operation may take a few seconds. Please wait for a moment.done. Total AP information: nor : normal [2] ------------------------------------------------------------------------------------------------------ ID MAC Name Group IP Type State STA Uptime ------------------------------------------------------------------------------------------------------ 0 00e0-fca0-4f20 00e0-fca0-4f20 default 192.168.100.21 AP2050DN nor 0 1M:49S 1 00e0-fcbd-0a10 00e0-fcbd-0a10 default 192.168.100.132 AP2050DN nor 0 1M:45S ------------------------------------------------------------------------------------------------------
2.2.2 认证方式之MAC地址认证
1 # 将上线的ap下线: 2 wlan 3 undo ap all
将AP认证方式设置为手工 输入MAC地址认证。
wlan ap auth-mode mac-auth ap-id 0 ap-mac 00E0-FCBD-0A10 ap-name F1-AP1 ap-id 1 ap-mac 00E0-FCA0-4F20 ap-name F1-AP2
查看AP上线效果:
执行命令display ap all查看到AP状态,当“State”字段为“nor”时,表示AP正常上线
[AC6005-wlan-view]display ap all
nor : normal [2]
-------------------------------------------------------------------------------------------
ID MAC Name Group IP Type State STA Uptime
-------------------------------------------------------------------------------------------
0 00e0-fca0-4f20 1F2A default 192.168.100.73 AP2050DN nor 0 3M:44S
1 00e0-fcbd-0a10 1F1A default 192.168.100.72 AP2050DN nor 0 1M:16S
-------------------------------------------------------------------------------------------
Total: 2
2.2.3 认证方式之SN码认证
wlan ap-id 0 ap-sn 210235448310CD1F5438 ap-name 1F1A ap-id 1 ap-sn 210235448310866BDC7A ap-name 1F2A
[AC6005]display ap all
Info: This operation may take a few seconds. Please wait for a moment.done.
Total AP information:
nor : normal [2]
--------------------------------------------------------------------------------
ID MAC Name Group IP Type State STA Uptime
-------------------------------------------------------------------------------------------
0 00e0-fcbd-0a10 1F1A default 192.168.100.72 AP2050DN nor 0 1M:16S
1 00e0-fca0-4f20 1F2A default 192.168.100.73 AP2050DN nor 0 1M:15S
-------------------------------------------------------------------------------------------
Total: 2
2.3 图形化配置AC
2.3.1 配置拓扑并测试连通性
如图,在接入交换机SW2上开一个接口,划分到VLAN100下。cloud 配置的IP地址和 AC的vlanif100 所在同一个网段。
目前使用自己电脑测试到达 AC的网络连通性
2.3.2 在AC上配置运行Web登录
[AC6005]http secure-server enable
This operation will take several minutes, please wait...
Info:HTTPS server has been started
2.3.3 配置AAA
1 aaa 2 local-user karl password irreversible-cipher $1a$4D;1ORE3wF$s*jh7]ruPNCdns2WgK{H\nMm8jf76QZgl=Dki!,<$ 3 local-user karl privilege level 15 4 local-user karl service-type http
2.3.4 登录Web页面
在浏览器输入 VLANif1的IP地址,并在登录页面输入aaa配置的用户名和密码
新用户首次登录,修改用户名和密码:
进入AC Web 页面,观察AP列表,查看AP上线信息
2.3.5 添加AP
点击配置/AP/添加,可以手工添加AP
如图,添加AP3和AP4
先在SW2更改接口类型为Access,并划分到vlan100
1 interface Ethernet0/0/4 2 port link-type access 3 port default vlan 100 4 # 5 interface Ethernet0/0/5 6 port link-type access 7 port default vlan 100
在页面输入MAC和SN信息:
3 三层上线
AP分布在各个VLAN下
各台设备基础配置
SW1 核心交换机
- vlan 2 3 100 提供vlanif 2 3(业务) 100(管理)
- 配置管理IP地址 192.168.100.1
- 配置业务vlanif2网关 192.168.2.254
- 配置业务vlanif3网关 192.168.3.254
- 提供业务vlan的dhcp 地址池
- G0/0/1 Trunk 允许管理vlan100 流量通过
- G0/0/2 Trunk 允许业务vlan2、管理vlan100通过
- G0/0/3 Access ,因下方连接傻瓜交换机,不能配置IP地址,故设置接口为Access类型
SW2 接入交换机
- vlan 2 100
- 配置管理IP地址 192.168.100.2
- 配置静态默认路由 ip route-static 0.0.0.0 0.0.0.0 vlanif 100 192.168.100.1,帮助AP1和AC建立CAPWAP隧道
- E0/0/1 Trunk 2 100
- E0/0/2 Access 2
AC
- vlan 100
- 配置管理IP地址 192.168.100.3
- 配置静态默认路由 ip route-static 0.0.0.0 0.0.0.0 vlanif 100 192.168.100.1,帮助AP和AC建立CAPWAP隧道
具体配置如下:
# SW1 sysname SW1 # vlan batch 2 to 3 100 dhcp enable # interface Vlanif2 ip address 192.168.2.254 255.255.255.0 dhcp select interface # interface Vlanif3 ip address 192.168.3.254 255.255.255.0 dhcp select interface # interface Vlanif100 ip address 192.168.100.1 255.255.255.0 # interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 100 # interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 2 100 # interface GigabitEthernet0/0/3 port link-type access port default vlan 3 # SW2 sysname SW2 # vlan batch 2 100 # interface Vlanif100 ip address 192.168.100.2 255.255.255.0 # interface Ethernet0/0/1 port link-type trunk port trunk allow-pass vlan 2 100 # interface Ethernet0/0/2 port link-type access port default vlan 2 # ip route-static 0.0.0.0 0.0.0.0 Vlanif100 192.168.100.1 # # AC1 vlan batch 100 # interface Vlanif100 ip address 192.168.100.3 255.255.255.0 # interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 100 # ip route-static 0.0.0.0 0.0.0.0 Vlanif100 192.168.100.1 # capwap source interface vlanif100 # wlan ap auth-mode no-auth
AP三层上线,dhcp option 43配置
1 [SW1-Vlanif2]dhcp server option 43 sub-option 3 ascii 192.168.100.3 2 [SW1-Vlanif3]dhcp server option 43 sub-option 3 ascii 192.168.100.3
此时查看AP上线情况:
[AC1]display ap all
Info: This operation may take a few seconds. Please wait for a moment.done.
--------------------------------------------------------------------------------
ID MAC Name Group IP Type State STA Uptime
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
重启AP并在链路上进行抓包:
AP获取了IP地址:
AP上线成功
[AC1]dis ap all
Info: This operation may take a few seconds. Please wait for a moment.done.
Total AP information:
nor : normal [2]
----------------------------------------------------------------------------------------------------
ID MAC Name Group IP Type State STA Uptime
----------------------------------------------------------------------------------------------------
0 00e0-fc74-1420 00e0-fc74-1420 default 192.168.3.253 AP2050DN nor 0 4M:29S
1 00e0-fc91-4450 00e0-fc91-4450 default 192.168.2.253 AP2050DN nor 0 3M:16S
----------------------------------------------------------------------------------------------------
Total: 2
