[Todo sobre switches] - [Ejemplos de configuración] Ejemplo para configurar...

178 0 0 0

Introducción a S12700 + ACU2

A medida que se utilizan computadoras portátiles, tabletas y teléfonos móviles con Wi-Fi para conectarse a Internet, el acceso a WLAN se ha convertido en un modo de acceso importante para las empresas y, por lo tanto, el control y la conmutación del acceso inalámbrico son indispensables en las redes empresariales. La Unidad de control de acceso 2 (ACU2) se puede utilizar en un switch  S12700 para proporcionar capacidades de control de acceso inalámbrico en redes cableadas de empresas. El switch S12700 con el ACU2 proporciona capacidades de servicio inalámbrico y por cable, reduciendo el espacio ocupado y los cables en las salas de equipos y reduciendo los costos de construcción de la red.

Notas de configuración

·         En este ejemplo, la política de seguridad es WPA2-PSK-CCMP. Para garantizar la seguridad de la red, configure una política de seguridad adecuada de acuerdo con los requisitos del servicio.

·         En el modo de reenvío de túnel, la VLAN de administración y la VLAN de servicio no pueden ser iguales. En el modo de reenvío directo, se recomienda no configurar la VLAN de administración y la VLAN de servicio para que sean iguales.

·         Si se usa el reenvío directo, configure el aislamiento del puerto en las interfaces directamente conectadas a los AP. Si el aislamiento del puerto no está configurado, los paquetes de transmisión innecesarios se transmitirán en las VLAN o los usuarios de WLAN en diferentes AP podrán comunicarse directamente en la Capa 2.

·         Configurar la VLAN de administración y la VLAN de servicio:

- En el modo de reenvío de túnel, los paquetes de servicio se encapsulan en un túnel CAPWAP y luego se reenvían a la AC. El AC luego envía los paquetes a la red de capa superior o AP. Por lo tanto, los paquetes de servicio y los paquetes de administración se pueden reenviar normalmente siempre que la red entre el AC y los AP se agregue a la VLAN de administración y la red entre el AC y la red de capa superior se agregue a la VLAN de servicio.

- En el modo de reenvío directo, los paquetes de servicio no se encapsulan en un túnel CAPWAP, sino que se reenvían directamente a la red de capa superior o los AP. Por lo tanto, los paquetes de servicio y los paquetes de administración normalmente se pueden reenviar solo cuando la red entre la AC y los AP se agrega a la VLAN de administración y la red entre los AP y la red de la capa superior se agrega a la VLAN de servicio.

·         Configurar la interfaz de origen:

- Para los switches V200R005 y V200R006, ejecute el comando wlan ac source interface {loopback loopback-number | vlanif vlan-id} en la vista WLAN para configurar la interfaz de origen.

- Para los switches de V200R007, ejecute el comando capwap source interface {loopback loopback-number | vlanif vlan-id} en la vista del sistema para configurar la interfaz de origen.

·         La siguiente tabla enlista los productos y versiones aplicables.

Tabla 1-1 Productos y versiones aplicables.

Versión del software

Modelo del Producto

Modelo y Versión AP

V200R005C00

S12700

V200R005C00:

AP2010DN,   AP3010DN-AGN, AP5010DN-AGN, AP5010SN-GN, AP5030DN, AP5130DN, AP6010SN-GN,   AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110DN-AGN, and   AP7110SN-GN

V200R006C00

S12700

V200R005C00:

AP2010DN,   AP3010DN-AGN, AP5010DN-AGN, AP5010SN-GN, AP5030DN, AP5130DN, AP6010SN-GN,   AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110DN-AGN, and   AP7110SN-GN

V200R007C00

S12700

V200R005C10:

AP2010DN,   AP3010DN-AGN, AP5010DN-AGN, AP5010SN-GN, AP5030DN, AP5130DN, AP6010SN-GN,   AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN, AP7110DN-AGN,   AP7110SN-GN, AP8030DN, and AP8130DN

V200R005C20:

AP7030DE and   AP9330DN

 

Requisitos de red

Como se muestra en la Figura 1-1, el S12700 se conecta al AP a través de un interruptor de acceso. Se instala una ACU2 en la ranura 1 del S12700 para administrar el AP.

Para permitir que los empleados accedan a la red de la empresa en cualquier momento y desde cualquier terminal móvil, una sucursal de la empresa necesita implementar servicios básicos de WLAN para implementar la oficina móvil.

Figura 1-2 Red de una WLAN a pequeña escala

020533lpy0z7ivyjxvepv6.png

Planificación de datos

Tabla 1-2 Planificación de datos

Objeto

Datos

Descripción

Eth-Trunk 0

S12700: Add   XGE1/0/1 and XGE1/0/2 to Eth-Trunk 0.

ACU2: Add   XGE0/0/1 and XGE0/0/2 to Eth-Trunk 0.

Configure Eth-Trunk 0 entre ACU2 y S12700 para aumentar el ancho de   banda y mejorar la confiabilidad de la red.

Eth-Trunk 1

S12700: Add   GE2/0/2 and GE2/0/3 to Eth-Trunk 1.

Access switch: Add   GE0/0/2 and GE0/0/3 to Eth-Trunk 1.

Configure Eth-Trunk 1 entre el ACU2 y el switch de acceso para   aumentar el ancho de banda y mejorar la confiabilidad de la red.

Dirección de la interfaz de origen de AC

10.23.10.1/24

Ninguna

Perfil WMM

Nombre: wmm

Ninguna

Perfil de radio

Nombre radio

Ninguna

Perfil de seguridad

l  Nombre: security

l  Política de seguridad y   autenticación.: WPA2+PSK

l  Clave de autentificación: huawei123

l  Modo de encriptación: CCMP

Ninguna

Perfil de trafico

Nombre: traffic

Ninguna

Conjunto de servicio

l  Nombre: huawei

l  SSID: huawei

l  Interfaz virtual WLAN: WLAN-ESS 1

l  Modo de reenvío de datos: reenvío de   túnel

Ninguna

DHCP server

La ACU2 funciona como el servidor DHCP para asignar direcciones IP a   los AP y STA.

Ninguna

Puerta de enlace AP y rango de agrupación de direcciones IP

VLANIF 10: 10.23.10.1/24

10.23.10.2-10.23.10.254/24

Ninguna

Puerta de enlace STA y rango de grupo de direcciones IP

VLANIF 101:   10.23.11.1/24

10.23.11.2-10.23.11.254/24

Ninguna

 

Mapa de configuración

Se ha implementado un switch modular en la red actual. Para simplificar la implementación de la red, ACU2 se puede agregar al switch modular para proporcionar servicios WLAN.

2. Configure el AP, el interruptor de acceso, ACU2 y los dispositivos de red de capa superior para comunicarse en la Capa 2. Agregue las interfaces XGE en la ACU2 y S12700 que están conectadas a un Eth-Trunk para aumentar el ancho de banda y la confiabilidad del enlace.

3. Configure la ACU2 como un servidor DHCP para asignar direcciones IP a las STA y AP desde un grupo de direcciones IP de una interfaz.

4. Configure los parámetros del sistema ACU2, incluidos el código del país, la ID de AC, la ID del operador y la interfaz de origen que utiliza la ACU2 para comunicarse con el AP.

5. Establezca el modo de autenticación AP y agregue el AP a una región AP.

 

6. Configure un VAP y entregue servicios WLAN al AP para permitir que las STA accedan a la WLAN.

a. Configure un perfil de WMM y un perfil de radio para el AP, conserve la configuración predeterminada de los perfiles y vincule el perfil de WMM al perfil de radio para permitir que las STA se comuniquen con el AP.

b. Configure una interfaz WLAN-ESS para que los paquetes puedan enviarse al módulo de procesamiento del servicio WLAN después de llegar a la ACU2.

c. Configure un perfil de seguridad y de tráfico para el AP, y conserve la configuración predeterminada de los perfiles. Configure un conjunto de servicios, vincule la interfaz WLAN-ESS, el perfil de seguridad y el perfil de tráfico al conjunto de servicios para aplicar políticas de seguridad y QoS a las STA.

d. Configure un VAP y entregue los parámetros de VAP al AP para que las STA puedan acceder a Internet a través de la WLAN.

Procedimiento

Paso 2 Configure el switch de acceso, ACU2 y S12700 para permitir que AP y ACU2 intercambien paquetes CAPWAP.

#En la ACU2, cree VLAN 100 (VLAN de administración), VLAN 101 (servicio VLAN) y Eth-Trunk 0, agregue Eth-Trunk 0 a VLAN 100 y VLAN 101, y agregue las interfaces XGigabitEthernet0/0/1 y XGigabitEthernet0/0/2 a Eth-Trunk 0.

<ACU2> system-view

[ACU2] sysname AC

[AC] vlan batch 100 101

[AC] interface eth-trunk 0 //Configure an Eth-Trunk to increase bandwidth and improve reliability.

[AC-Eth-Trunk0] port link-type trunk

[AC-Eth-Trunk0] port trunk allow-pass vlan 100 101

[AC-Eth-Trunk0] trunkport xgigabitethernet 0/0/1 0/0/2

[AC-Eth-Trunk0] quit

 

# En el S12700, cree VLAN 100, VLAN 101 y Eth-Trunk 0, agregue Eth-Trunk 0 a VLAN 100 y VLAN 101, y agregue las interfaces XGigabitEthernet1/0/1 y XGigabitEthernet1/0/2 a Eth-Trunk 0.

<HUAWEI> system-view

[HUAWEI] sysname S12700

[S12700] load-distribution mode slot 1 enhanced //Set the load balancing mode on the X1E card to enhanced mode. The default mode is normal.

[S12700] vlan batch 100 101

[S12700] interface eth-trunk 0

[S12700-Eth-Trunk0] port link-type trunk

[S12700-Eth-Trunk0] port trunk allow-pass vlan 100 101

[S12700-Eth-Trunk0] trunkport xgigabitethernet 1/0/1 1/0/2

[S12700-Eth-Trunk0] quit

 

# En el S12700, cree Eth-Trunk 1, agregue Eth-Trunk 1 a VLAN 100, y agregue las interfaces GigabitEthernet2/0/2 y GigabitEthernet2/0/3 a Eth-Trunk 1.

[S12700] interface eth-trunk 1

[S12700-Eth-Trunk1] port link-type trunk

[S12700-Eth-Trunk1] port trunk allow-pass vlan 100  

[S12700-Eth-Trunk1] trunkport gigabitethernet 2/0/2 2/0/3

[S12700-Eth-Trunk1] quit

# En el switch de acceso, cree VLAN 100 y Eth-Trunk 1, agregue Eth-Trunk 1 a VLAN 100, y agregue interfaces GigabitEthernet0/0/2 y GigabitEthernet0/0/3 a Eth-Trunk 1. Agregue GE0/0/1 a la VLAN 100.

Nota

En este ejemplo, se utiliza el reenvío de túnel. Si se usa el reenvío directo, configure el aislamiento del puerto en GE0/0/1 que conecta el switch de acceso al AP. Si el aislamiento del puerto no está configurado, los paquetes de transmisión innecesarios se transmitirán en las VLAN o los usuarios de WLAN en diferentes AP podrán comunicarse directamente en la Capa 2.

En el modo de reenvío de túnel, la VLAN de administración y la VLAN de servicio no pueden ser iguales.

<HUAWEI> system-view

[HUAWEI] sysname Switch

[Switch] vlan batch 100

[Switch] interface eth-trunk 1

[Switch-Eth-Trunk1] port link-type trunk

[Switch-Eth-Trunk1] port trunk allow-pass vlan 100  

[Switch-Eth-Trunk1] trunkport gigabitethernet 0/0/2 0/0/3

[Switch-Eth-Trunk1] quit

[Switch] interface gigabitethernet 0/0/1

[Switch-GigabitEthernet0/0/1] port link-type trunk

[Switch-GigabitEthernet0/0/1] port trunk pvid vlan 100 //A PVID must be configured for the interface connected to the AP.

[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 100

[Switch-GigabitEthernet0/0/1] quit

 

                Paso 3 Configure el S12700 para comunicarse con dispositivos de red de capa superior

                Nota

Configure las interfaces de enlace ascendente del S12700 para transmitir de manera transparente paquetes de VLAN de servicio según sea necesario y comunicarse con dispositivos de red de capa superior.

# Agregue GE2/0/1 del S12700 a la VLAN 101.

[S12700] interface gigabitethernet 2/0/1

[S12700-GigabitEthernet2/0/1] port link-type trunk

[S12700-GigabitEthernet2/0/1] port trunk allow-pass vlan 101

[S12700-GigabitEthernet2/0/1] quit

Paso 4 Configure la ACU2 como un servidor DHCP para asignar direcciones IP a las STA y AP.

# Configure la ACU2 como el servidor DHCP para asignar una dirección IP al AP desde el grupo de direcciones IP en VLANIF 100, y asigne las direcciones IP a las STA desde el grupo de direcciones IP en VLANIF 101.

[AC] dhcp enable

[AC] interface vlanif 100

[AC-Vlanif100] ip address 10.23.10.1 24

[AC-Vlanif100] dhcp select interface

[AC-Vlanif100] quit

[AC] interface vlanif 101

[AC-Vlanif101] ip address 10.23.11.1 24

[AC-Vlanif101] dhcp select interface

[AC-Vlanif101] quit

 

Paso 5 Configurar los parámetros del sistema de la ACU2.

# Configurar el código de país.

[AC] wlan ac-global country-code cn // Configurar el código de país AC. Las funciones de radio de los AP gestionados por el AC deben cumplir con las leyes y regulaciones locales. El código de país predeterminado es CN.

Advertencia: la modificación del código de país borrará las configuraciones de canal del Radio AP usando el código del país y reinicie el AP. Si el nuevo código de país no lo hace apoyo a la radio, todas las configuraciones de la radio se borran. ¿Continuar? [Y / N]: y

# Configure el ID de AC y el ID del operador.

[AC] wlan ac-global ac id 1 carrier id other // La ID de AC predeterminada es 0. Establezca la ID de AC en 1.

Advertencia: si modifica la identificación del operador o la identificación del AC, todo el AP está fuera de línea, ¿continuar? [Y / N]: y

# Configurar la interfaz de origen de la ACU2.

[AC] capwap source interface vlanif 100

[AC] wlan

 

Paso 6 Administrar APs en el ACU2.

# Verifique el ID de tipo de AP después de obtener la dirección MAC del AP.

[AC-wlan-view] display ap-type all

  All AP types information:     

  ------------------------------------------------------------------------------

  ID     Type                   

  ------------------------------------------------------------------------------

  17     AP6010SN-GN            

  19     AP6010DN-AGN           

  21     AP6310SN-GN            

  23     AP6510DN-AGN           

  25     AP6610DN-AGN           

  27     AP7110SN-GN            

  28     AP7110DN-AGN           

  29     AP5010SN-GN            

  30     AP5010DN-AGN           

  31     AP3010DN-AGN           

  33     AP6510DN-AGN-US        

  34     AP6610DN-AGN-US        

  35     AP5030DN                

  36     AP5130DN               

  37     AP7030DE

  38     AP2010DN 

  39     AP8130DN 

  40     AP8030DN

  42     AP9330DN

  43     AP4030DN                          

  44     AP4130DN                      

  45     AP3030DN                     

  46     AP2030DN

  ------------------------------------------------------------------------------

  Total number: 23  

 

# Agregar el AP sin conexión de acuerdo con el ID de tipo de AP. Suponga que el tipo de AP es AP6010DN-AGN y su dirección MAC es 60de-4476-e360.

[AC-wlan-view] ap-auth-mode mac-auth

[AC-wlan-view] ap id 0 type-id 19 mac 60de-4476-e360 //Add an AP offline.

[AC-wlan-ap-0] quit

Nota

El modo de autenticación AP predeterminado es la autenticación de la dirección MAC. Si se conservan las configuraciones predeterminadas, no necesita ejecutar el comando auth-mode mac-auth.

# Configure una región AP y agregue el AP a la región AP.

[AC-wlan-view] ap-region id 10  //Create the AP region 10.

[AC-wlan-ap-region-10] quit

[AC-wlan-view] ap id 0

[AC-wlan-ap-0] region-id 10  //Add the AP with ID 1 to AP region 10. An AP joins region 0 by default.

[AC-wlan-ap-0] quit

 

# Encienda el AP y ejecute el comando display ap all para verificar el estado de ejecución del AP. Si el campo AP State se muestra como normal, el AP está en línea en el AC.

[AC-wlan-view] display ap all

  All AP information:           

  Normal[1],Fault[0],Commit-failed[0],Committing[0],Config[0],Download[0]       

  Config-failed[0],Standby[0],Type-not-match[0],Ver-mismatch[0]         

  ------------------------------------------------------------------------------

  AP    AP               AP              Profile   AP              AP           

                                         /Region                                

  ID    Type             MAC             ID        State           Sysname      

  ------------------------------------------------------------------------------

  0     AP6010DN-AGN     60de-4476-e360  0/10      normal          ap-0         

  ------------------------------------------------------------------------------

  Total number: 1,printed: 1   

 

Paso 7 Configurar los parámetros del servicio WLAN.

# Crea el perfil WMM wmm.

[AC-wlan-view] wmm-profile name wmm id 1

[AC-wlan-wmm-prof-wmm] quit

 

# Cree la radio de perfil de radio y enlace el perfil de WMM wmm al perfil de radio.

[AC-wlan-view] radio-profile name radio id 1 

[AC-wlan-radio-prof-radio] wmm-profile name wmm 

[AC-wlan-radio-prof-radio] quit

[AC-wlan-view] quit

 

# Crear una interfaz WLAN-ESS 1

[AC] interface wlan-ess 1

[AC-Wlan-Ess1] port hybrid pvid vlan 101

[AC-Wlan-Ess1] port hybrid untagged vlan 101

[AC-Wlan-Ess1] quit

 

# Crear el perfil de seguridad security.

[AC] wlan

[AC-wlan-view] security-profile name security id 1

[AC-wlan-sec-prof-security] security-policy wpa2 //Set the security policy to WPA2.

[AC-wlan-sec-prof-security] wpa2 authentication-method psk pass-phrase cipher huawei123 encryption-method ccmp //Set the encryption mode to PSK+CCMP.

[AC-wlan-sec-prof-security] quit

 

# Crear el perfil de trafico traffic.

[AC-wlan-view] traffic-profile name traffic id 1

[AC-wlan-traffic-prof-traffic] quit

 

# Cree el conjunto de servicios huawei y enlace la interfaz WLAN-ESS, el perfil de seguridad y el perfil de tráfico al conjunto de servicios.

[AC-wlan-view] service-set name huawei id 1

[AC-wlan-service-set-huawei] ssid huawei  //Set the SSID name.

[AC-wlan-service-set-huawei] wlan-ess 1 //Bind the WLAN-ESS interface to the service set.

[AC-wlan-service-set-huawei] security-profile name security //Bind the security profile to the service set.

[AC-wlan-service-set-huawei] traffic-profile name traffic //Bind the traffic profile to the service set.

[AC-wlan-service-set-huawei] service-vlan 101 //Bind the service VLAN to the service set.

[AC-wlan-service-set-huawei] forward-mode tunnel //Set the forwarding mode to tunnel forwarding. The default forwarding mode is direct forwarding.

[AC-wlan-service-set-huawei] quit

 

Paso 8 Configure un VAP y entregue la configuración de VAP al AP.

# Configurar un VAP.

[AC-wlan-view] ap 0 radio 0

[AC-wlan-radio-0/0] radio-profile name radio //Bind the radio profile to the radio.

[AC-wlan-radio-0/0] service-set name huawei //Bind the service set to the radio. A VAP is generated after the binding.

[AC-wlan-radio-0/0] quit

 

# Entregar la configuración.

[AC-wlan-view] commit ap 0 // Una vez completada la configuración del servicio WLAN en la AC, la configuración tendrá efecto después de que la entregue al AP.

Advertencia: la confirmación de la configuración puede causar la interrupción del servicio, ¿continuar? [Y / N]: y

Paso 9 Verificar la configuración.

Una vez completada la configuración, ejecute el comando display vap ap 0 radio 0. La salida del comando muestra que se ha creado el VAP.

[AC-wlan-view] display vap ap 0 radio 0

  All VAP Information(Total-1):                                                 

  SS: Service-set     BP: Bridge-profile     MP: Mesh-profile                   

  ----------------------------------------------------------------------        

  AP ID  Radio ID  SS ID  BP ID  MP ID  WLAN ID  BSSID           Type           

  ----------------------------------------------------------------------

  0      0         1      -      -      1        60DE-4476-E360  service        

  ----------------------------------------------------------------------

  Total: 1

Las STA descubren la WLAN con el SSID huawei y se asocian con la WLAN. Puede ejecutar el comando display station assoc-info en el ACU2. El resultado del comando muestra que las STA se han conectado a la WLAN huawei.

[AC-wlan-view] display station assoc-info ap 0 radio 0

  AP/Rf/WLAN: AP ID/Radio ID/WLAN ID                                             

  Rx/Tx: link receive rate/link transmit rate(Mbps)                             

  ------------------------------------------------------------------------------

  STA MAC         AP/Rf/WLAN Rx/Tx     Mode  RSSI   IP address                   

  SSID                                                                          

  ------------------------------------------------------------------------------

  9021-55dc-3e17  0/0/1      27/58     11n   -45    10.23.11.254              

  huawei                                                                  

  ------------------------------------------------------------------------------

  Total stations: 1  

 

                ----Fin

Resumen

·         La interfaz conectada directamente al AP, como GE0/0/1 del switch de acceso, debe configurarse con un PVID.

·         Si el AP no puede conectarse, primero verifique si el servidor que asigna una dirección IP al AP está configurado correctamente.


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión