【交换机在江湖】实战案例二十一 S12700+ACU2配置案例

[复制链接]
发表于 : 2015-5-7 09:59:18 最新回复:2015-09-13 11:38:28
5386 2
交换机在江湖
交换机在江湖 官方号

S12700+ACU2简介

随着笔记本、PAD和具有Wi-Fi功能手机的广泛使用,WLAN已成为企业重要的终端接入方式,无线接入控制与交换功能日益成为企业网络不可缺少的组成部分。ACU2单板就是在企业已经部署了有线网络的情况下,通过插在现网已有的S12700上,提供无线接入控制能力,丰富了S12700的业务功能,集成多业务,有效减少占地面积和外部布线,并降低综合成本。

 

使用注意事项

l   本举例使用的安全策略为WPA2-PSK-CCMP,为保证实际网络的安全性,请根据实际的需求配置合适的安全策略。

 

l   隧道转发模式下,管理VLAN和业务VLAN不能配置为同一VLAN。直接转发模式下,管理VLAN和业务VLAN也建议不要配置为同一VLAN

 

l   数据转发方式为直接转发时,建议在直接连接AP的设备接口上配置端口隔离,如果不配置端口隔离,可能会在VLAN内存在不必要的广播报文,或者导致不同AP间的WLAN用户二层互通的问题。

 

l   配置管理VLAN和业务VLAN

?       隧道转发模式下,业务报文会封装在CAPWAP数据隧道中进行传输,发送给AC,然后由AC再转发到上层网络或AP,所以只要配置ACAP间的网络加入管理VLANAC与上层网络间的网络加入业务VLAN,就能正常传输业务报文和管理报文。

?       直接转发模式下,业务报文不会进行CAPWAP封装,而是直接转发给上层网络或AP,所以需要配置ACAP间的网络加入管理VLANAP与上层网络间的网络加入业务VLAN,才能正常传输业务报文和管理报文。

 

l   配置源接口方式:

?       V200R005V200R006版本的交换机,配置源接口的方式是在WLAN视图下执行命令wlan ac source interface { loopback loopback-number | vlanif vlan-id }

?       V200R007版本的交换机,配置源接口的方式是在系统视图下执行capwap source interface { loopback loopback-number | vlanif vlan-id }

 

l   适用的产品和版本如下表所示。

表1-1 举例适用的产品和版本

【交换机在江湖】实战案例二十一 S12700+ACU2配置案例-1313623-1

 

组网需求

1-1所示,S12700通过接入交换机与AP连接,S12700的一号槽位上接有一块ACU2,由ACU2管理AP

 

某企业分支机构为了保证企业员工能够使用移动终端随时随地访问公司网络,因此需要部署WLAN基本业务实现移动办公。

图1-1 配置小型网络WLAN基本业务组网图

【交换机在江湖】实战案例二十一 S12700+ACU2配置案例-1313623-2

 

 

数据规划

表1-2 数据规划表

【交换机在江湖】实战案例二十一 S12700+ACU2配置案例-1313623-3

 

配置思路

现有网络已经部署框式交换机,为简化网络部署,采用框式交换机+ACU2的方案部署无线网络:

 

1.         配置AP、接入交换机、ACU2和上层网络设备之间实现二层互通。为增加ACU2S12700间的链路带宽和提高链路可靠性,分别将ACU2和交换机上连接对端的XGE接口加入到Eth-Trunk中。

 

2.         ACU2上配置基于接口的DHCP服务器为STAAP分配IP地址。

 

3.         配置ACU2的系统参数,包括国家码、AC ID、运营商标识和ACU2AP之间通信的源接口。

 

4.         配置AP上线的认证方式,并把AP加入AP域中,实现AP正常工作。

 

5.         配置VAP,下发WLAN业务,实现STA访问WLAN网络功能。

a.         配置AP对应的WMM模板、射频模板,使用WMM模板和射频模板的默认配置,并在射频模板下绑定WMM模板,实现STAAP之间的无线通信参数配置。

b.         配置WLAN-ESS接口,实现报文到达ACU2后能够送至WLAN业务处理模块处理。

c.         配置AP对应的安全模板、流量模板,使用安全模板和流量模板的缺省配置,配置服务集并在服务集下绑定WLAN-ESS接口、安全模板、流量模板,实现STA接入网络安全策略及QoS控制。

d.         配置VAP并下发,实现STA能够通过WLAN网络访问Internet

 

操作步骤

                                步骤 1     配置接入交换机、ACU2S12700,使APACU2之间能够传输CAPWAP报文

# 配置ACU2,创建Eth-Trunk0并加入VLAN100(管理VLAN)和VLAN101(业务VLAN),将接口XGigabitEthernet0/0/1XGigabitEthernet0/0/2加入Eth-Trunk0

<ACU2> system-view
[ACU2] sysname AC
[AC] vlan batch 100 101
[AC] interface eth-trunk 0 //
配置Eth-Trunk,增加网络带宽,提高网络可靠性
[AC-Eth-Trunk0] port link-type trunk
[AC-Eth-Trunk0] port trunk allow-pass vlan 100 101
[AC-Eth-Trunk0] trunkport xgigabitethernet 0/0/1 0/0/2
[AC-Eth-Trunk0] quit

 

# 配置S12700,创建Eth-Trunk0并加入VLAN100VLAN101,将接口XGigabitEthernet1/0/1XGigabitEthernet1/0/2加入Eth-Trunk0

<HUAWEI> system-view
[HUAWEI] sysname S12700
[S12700] load-distribution mode slot 1 enhanced //
配置X1E单板的流量负载分担模式为增强模式,缺省为普通模式
[S12700] vlan batch 100 101
[S12700] interface eth-trunk 0
[S12700-Eth-Trunk0] port link-type trunk
[S12700-Eth-Trunk0] port trunk allow-pass vlan 100 101
[S12700-Eth-Trunk0] trunkport xgigabitethernet 1/0/1 1/0/2
[S12700-Eth-Trunk0] quit

 

# 配置S12700,创建Eth-Trunk1并加入VLAN100,将接口GigabitEthernet2/0/2GigabitEthernet2/0/3加入Eth-Trunk1

[S12700] interface eth-trunk 1
[S12700-Eth-Trunk1] port link-type trunk
[S12700-Eth-Trunk1] port trunk allow-pass vlan 100  
[S12700-Eth-Trunk1] trunkport gigabitethernet 2/0/2 2/0/3
[S12700-Eth-Trunk1] quit

 

# 配置接入交换机,创建Eth-Trunk1并加入VLAN100,将接口GigabitEthernet0/0/2GigabitEthernet0/0/3加入Eth-Trunk1。将接口GE0/0/1加入VLAN100

【交换机在江湖】实战案例二十一 S12700+ACU2配置案例-1313623-4

本示例的业务数据转发方式采用隧道转发。如果用户的数据转发方式为直接转发,建议在接入交换机连接AP的接口GE0/0/1上配置端口隔离,如果不配置端口隔离,可能会在VLAN内存在不必要的广播报文,或者导致不同AP间的WLAN用户二层互通的问题。

隧道转发模式下,管理VLAN和业务VLAN不能配置为同一VLAN

<HUAWEI> system-view
[HUAWEI] sysname Switch

[Switch] vlan batch 100

[Switch] interface eth-trunk 1
[Switch-Eth-Trunk1] port link-type trunk
[Switch-Eth-Trunk1] port trunk allow-pass vlan 100  
[Switch-Eth-Trunk1] trunkport gigabitethernet 0/0/2 0/0/3
[Switch-Eth-Trunk1] quit

[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type trunk
[Switch-GigabitEthernet0/0/1] port trunk pvid vlan 100 //
直连AP的设备的端口必须配置PVID
[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
[Switch-GigabitEthernet0/0/1] quit

                                步骤 2     配置S12700与上层网络设备互通

【交换机在江湖】实战案例二十一 S12700+ACU2配置案例-1313623-5

根据实际组网情况在S12700上行口配置业务VLAN透传,和上行网络设备互通。

# 配置S12700上行接口GE2/0/1加入VLAN101

[S12700] interface gigabitethernet 2/0/1
[S12700-GigabitEthernet2/0/1] port link-type trunk
[S12700-GigabitEthernet2/0/1] port trunk allow-pass vlan 101
[S12700-GigabitEthernet2/0/1] quit

                                步骤 3     配置ACU2作为DHCP服务器,为STAAP分配IP地址

# 配置基于接口地址池的DHCP服务器,其中,VLANIF100接口为AP提供IP地址,VLANIF101STA提供IP地址。

[AC] dhcp enable
[AC] interface vlanif 100
[AC-Vlanif100] ip address 10.23.10.1 24
[AC-Vlanif100] dhcp select interface
[AC-Vlanif100] quit
[AC] interface vlanif 101
[AC-Vlanif101] ip address 10.23.11.1 24
[AC-Vlanif101] dhcp select interface
[AC-Vlanif101] quit

                                步骤 4     配置ACU2的系统参数

# 配置AC的国家码。

[AC] wlan ac-global country-code cn  //配置AC的国家码,使AC管理的AP的射频特性符合不同国家或区域的法律法规要求,国家码缺省值为CN
Warning: Modifying the country code will clear channel configurations of the AP 
radio using the country code and reset the AP. If the new country code does not 
support the radio, all configurations of the radio are cleared. Continue?[Y/N]:y

# 配置AC ID和运营商标识。

[AC] wlan ac-global ac id 1 carrier id other  //AC ID缺省为0,修改为1
Warning: Modify the carrier ID or AC ID may cause all of the AP offline, continu
e?[Y/N]:y

# 配置ACU2的源接口。

[AC] capwap source interface vlanif 100
[AC] wlan

                                步骤 5     ACU2上管理AP

# 现场获取APMAC地址后,查看AP的设备类型ID

【交换机在江湖】实战案例二十一 S12700+ACU2配置案例-1313623-6

 

# 根据查询到的AP设备类型ID,离线添加AP。假设AP的类型为AP6010DN-AGN,其MAC地址为60de-4476-e360

[AC-wlan-view] ap-auth-mode mac-auth
[AC-wlan-view] ap id 0 type-id 19 mac 60de-4476-e360 //
离线添加一个AP
[AC-wlan-ap-0] quit

【交换机在江湖】实战案例二十一 S12700+ACU2配置案例-1313623-7

ap-auth-mode命令缺省情况下为MAC认证,如果之前没有修改其缺省配置,可以不用执行ap-auth-mode mac-auth

# 配置AP域并将AP加入到AP域。

[AC-wlan-view] ap-region id 10  //新建AP10
[AC-wlan-ap-region-10] quit
[AC-wlan-view] ap id 0
[AC-wlan-ap-0] region-id 10  //
ID1AP加入到AP10中,AP缺省加入域0
[AC-wlan-ap-0] quit

# AP上电后,当查看到AP的“AP State”字段为“normal”,表明APAC中正常上线

【交换机在江湖】实战案例二十一 S12700+ACU2配置案例-1313623-8

   

                                步骤 6     配置WLAN业务参数

# 创建名为“wmm”的WMM模板。

[AC-wlan-view] wmm-profile name wmm id 1
[AC-wlan-wmm-prof-wmm] quit

# 创建名为“radio”的射频模板,绑定WMM模板“wmm”。

[AC-wlan-view] radio-profile name radio id 1 
[AC-wlan-radio-prof-radio] wmm-profile name wmm 
[AC-wlan-radio-prof-radio] quit
[AC-wlan-view] quit

# 创建WLAN-ESS接口1

[AC] interface wlan-ess 1
[AC-Wlan-Ess1] port hybrid pvid vlan 101
[AC-Wlan-Ess1] port hybrid untagged vlan 101
[AC-Wlan-Ess1] quit

# 创建名为“security”的安全模板。

[AC] wlan
[AC-wlan-view] security-profile name security id 1
[AC-wlan-sec-prof-security] security-policy wpa2 //
配置安全策略为WPA2
[AC-wlan-sec-prof-security] wpa2 authentication-method psk pass-phrase cipher huawei123 encryption-method ccmp //
配置加密方式为PSK+CCMP
[AC-wlan-sec-prof-security] quit

# 创建名为“traffic”的流量模板。

[AC-wlan-view] traffic-profile name traffic id 1
[AC-wlan-traffic-prof-traffic] quit

# 创建名为“huawei”的服务集并绑定WLAN-ESS接口、安全模板和流量模板。

[AC-wlan-view] service-set name huawei id 1
[AC-wlan-service-set-huawei] ssid huawei  //
配置SSID名称
[AC-wlan-service-set-huawei] wlan-ess 1 //
配置服务集绑定的WLAN-ESS接口
[AC-wlan-service-set-huawei] security-profile name security //
配置服务集绑定的安全模板
[AC-wlan-service-set-huawei] traffic-profile name traffic //
配置服务集绑定的流量模板
[AC-wlan-service-set-huawei] service-vlan 101 //
配置服务集绑定的业务VLAN
[AC-wlan-service-set-huawei] forward-mode tunnel //
配置服务集的转发模式为隧道转发,缺省为直接转发
[AC-wlan-service-set-huawei] quit

                                步骤 7     配置VAP并下发

# 配置VAP

[AC-wlan-view] ap 0 radio 0
[AC-wlan-radio-0/0] radio-profile name radio //
配置射频上绑定射频模板
[AC-wlan-radio-0/0] service-set name huawei //
配置射频上绑定服务集,射频绑定服务集后,会生成一个VAP
[AC-wlan-radio-0/0] quit

# 下发配置。

[AC-wlan-view] commit ap 0 //AC上配置关于APWLAN业务配置后,需要下发配置到AP上才能最终生效
Warning: Committing configuration may cause service interruption, continue?[Y/N]
:y

                                步骤 8     验证配置结果

配置完成后,通过display vap ap 0 radio 0命令,可以查看到VAP已创建成功。

【交换机在江湖】实战案例二十一 S12700+ACU2配置案例-1313623-9

 

STA搜索到名为“huawei”的无线网络并正常关联后,在ACU2上执行display station assoc-info命令,可以查看到用户已经接入到无线网络“huawei”中。

【交换机在江湖】实战案例二十一 S12700+ACU2配置案例-1313623-10

  

----结束

 

配置小结

l   直接连接AP的设备的接口,比如接入交换机的GE0/0/1接口,必须配置PVID

l   AP无法正常上线时,可以先检查为AP分配IP地址的服务器是否配置正确。

 

配置文件

l   ACU2的配置文件

#
 sysname AC
#
vlan batch 100 to 101
#
wlan ac-global carrier id other ac id 1
#
dhcp enable
#
interface Vlanif100
 ip address 10.23.10.1 255.255.255.0
 dhcp select interface
#
interface Vlanif101
 ip address 10.23.11.1 255.255.255.0
 dhcp select interface
# 
interface Eth-Trunk0             
 port link-type trunk   
 port trunk allow-pass vlan 100 101
#
interface XGigabitEthernet0/0/1
 eth-trunk 0 
#
interface XGigabitEthernet0/0/2
 eth-trunk 0 
#
interface Wlan-Ess1
 port hybrid pvid vlan 101
 port hybrid untagged vlan 101
#
capwap source interface vlanif100
#
wlan
 ap-region id 10
 ap id 0 type-id 19 mac 60de-4476-e360 sn 210235419610CB002287
  region-id 10
 wmm-profile name wmm id 1
 traffic-profile name traffic id 1
 security-profile name security id 1 
  security-policy wpa2                      
  wpa2 authentication-method psk pass-phrase cipher %@%@}PSoXN{buC{{i+L![@/I<|C"%@%@ encryption-method ccmp
 service-set name huawei id 1
  forward-mode tunnel
  wlan-ess 1
  ssid huawei
  traffic-profile id 1
  security-profile id 1
  service-vlan 101
 radio-profile name radio id 1
  wmm-profile id 1
 ap 0 radio 0
  radio-profile id 1
  service-set id 1 wlan 1
#
return    

l   S12700的配置文件

#
 sysname S12700
#
load-distribution mode slot 1 enhanced
#
vlan batch 100 to 101
# 
interface Eth-Trunk0             
 port link-type trunk   
 port trunk allow-pass vlan 100 101

# 
interface Eth-Trunk1             
 port link-type trunk   
 port trunk allow-pass vlan 100
#
interface GigabitEthernet2/0/1
 port link-type trunk
 port trunk allow-pass vlan 101
#
interface GigabitEthernet2/0/2
 eth-trunk 1 

#
interface GigabitEthernet2/0/3
 eth-trunk 1 
#
interface XGigabitEthernet1/0/1
 eth-trunk 0 
#
interface XGigabitEthernet1/0/2
 eth-trunk 0 
#
return    

l   接入交换机的配置文件

#
 sysname Switch
#
vlan batch 100
# 
interface Eth-Trunk1             
 port link-type trunk   
 port trunk allow-pass vlan 100
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk pvid vlan 100
 port trunk allow-pass vlan 100
#
interface GigabitEthernet0/0/2
 eth-trunk 1
#

interface GigabitEthernet0/0/3
 eth-trunk 1
#
return    

 

 

猛戳我:交换机在江湖汇总贴

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
员Lemon
员Lemon  专家 发表于 2015-5-7 14:46:23 已赞(0) 赞(0)

好资料,顶起来。
  • x
  • 常规:

点评 回复

kaixiao
kaixiao   发表于 2015-9-13 11:38:28 已赞(0) 赞(0)

顶,支持!

  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录