admin管理员组文章数量:1597898
一、应用场景
现在需要新添加一个AP,需要能够访问外网。要实现上面的要求,需要具备下面的条件要使一个无线接入点(AP)能够让用户连接上互联网,它需要具备以下条件:
-
网络连接: AP需要连接到互联网,通常是通过有线连接(如以太网)连接到路由器、交换机或调制解调器。
-
IP配置: AP需要有一个有效的IP地址,这可以是静态配置或通过DHCP服务器动态获取。该IP地址应位于能够访问互联网的网络子网中。
-
路由设置: AP需要正确配置路由,以便将来自连接到它的设备的流量路由到互联网。这可能涉及到配置默认网关或静态路由。
-
DNS设置: AP需要正确配置DNS服务器地址,以便将域名解析为相应的IP地址,以便设备能够访问互联网上的网站和服务。
-
网络访问控制: 如果网络实施了访问控制策略,AP需要能够通过认证和授权过程,确保连接到它的设备有权访问互联网。
-
安全设置: AP应该配置一定的安全措施,例如启用加密,以确保无线网络连接的安全性,防止未经授权的访问和数据泄露。
-
正确的信道和频段配置: AP应该在无线频谱上选择一个适当的信道和频段,避免与其他无线设备发生干扰,并确保良好的无线覆盖范围和性能。
现在有设备,一台AC,一台AP,一台手机和一台交换机。
二、原理和思路
三、相关配置命令
AC基础配置
[AC6605]vlan batch 100 101 #创建vlan
[AC6605]dhcp enable #开启DHCP服务
VLAN配置
[AC6605]int vlan 100
[AC6605-Vlanif100]description AP_Manage
[AC6605-Vlanif100]ip add 192.168.100.254 24
[AC6605-Vlanif100]dhcp select interface #为DHCP选择源接口
[AC6605-Vlanif100]quit
[AC6605]int vlan 101
[AC6605-Vlanif101]description USER
[AC6605-Vlanif101]ip add 192.168.101.254 24
[AC6605-Vlanif101]dhcp select interface #为DHCP选择源接口
[AC6605-Vlanif101]quit
[AC6605]capwap source interface Vlanif 100 #为capwap隧道绑定vlan
AC无线配置
配置思路:
-
AC是管理AP的,所以我们要创建一个管理管理模块(在那个国家管理)。
-
需要给AC一个名称(ssid),创建ssid模块和ssid叫什么?
-
需要保障网络的安全(设置安全策略,最简单的方式是设置密码)。
-
该如何管理ap(通常不会只有一个ap,肯定是有多个ap的情况),需要用到vap这个技术,有这个技术了,需要定义那个数据怎么转发数据的,如果不同设备不同转发模式,那么我们就需要进行绑定设备(ssid,安全策略等等)。
-
创建一个或者多个ap组,规定这个组的射频频率和在哪张射频卡上。
-
将ap加入到特定的ap组上
[AC6605]wlan #进入无线配置视图
[AC6605-wlan-view]
[AC6605-wlan-view]regulatory-domain-profile name office-domain #创建域管理模板,名称为office-domain
[AC6605-wlan-regulate-domain-office-domain]country-code CN #配置国家代码
[AC6605-wlan-regulate-domain-office-domain]quit
[AC6605-wlan-view]ssid-profile name office-ssid #创建SSID模板,名称为office-ssid
[AC6605-wlan-ssid-prof-office-ssid]ssid office #配置SSID名称为office
[AC6605-wlan-ssid-prof-office-ssid]quit
[AC6605-wlan-view]security-profile name office-security #创建安全策略,名称为office-security
[AC6605-wlan-sec-prof-office-security]security wpa-wpa2 psk pass-phrase 12345678
9 aes #SSID密码为123456789
y
q
[AC6605-wlan-view]vap-profile name office-vap #创建VAP模板
[AC6605-wlan-vap-prof-office-vap]forward-mode direct-forward #配置业务数据转发模式
[AC6605-wlan-vap-prof-office-vap]security-profile office-security #绑定安全策略
[AC6605-wlan-vap-prof-office-vap]ssid-profile office-ssid #绑定SSID模板
[AC6605-wlan-vap-prof-office-vap]service-vlan vlan-id 101 #绑定业务VLAN
#将业务 VLAN ID 配置为 101,并将该 VLAN 绑定到该 VAP。这意味着该 VAP 的业务流量将在 VLAN 101 中传输
[AC6605-wlan-view]ap-group name office-ap-group #创建AP组,名称为office-ap-group
[AC6605-wlan-ap-group-office-ap-group]regulatory-domain-profile office-domain #绑定域模板
[AC6605-wlan-ap-group-office-ap-group]vap-profile office-vap wlan 1 radio 0 #绑定vap模板到射频卡0上
[AC6605-wlan-ap-group-office-ap-group]vap-profile office-vap wlan 1 radio 1 #绑定vap模板到射频卡1上
[AC6605-wlan-view]ap-id 0 ap-mac 00e0-fc79-4b40 添加AP,APmac
[AC6605-wlan-ap-0]ap-group office-ap-group #添加到AP组中
AC接口配置
[AC6605]int g0/0/1
[AC6605-GigabitEthernet0/0/1]port link-type trunk
[AC6605-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 101
Switch配置
[Switch]vlan batch 100 101 #创建vlan
[Switch]int g0/0/24]int g0/0/24
[Switch-GigabitEthernet0/0/24]description to_AC
[Switch-GigabitEthernet0/0/24]port link-type trunk
[Switch-GigabitEthernet0/0/24]port trunk allow-pass vlan 100 101
[Switch]int g0/0/1
[Switch-GigabitEthernet0/0/1]description to_AP
[Switch-GigabitEthernet0/0/1]port link-type trunk
[Switch-GigabitEthernet0/0/1]port trunk pvid vlan 100
[Switch-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 101
四、配置讲解
4.1 CAPWAP协议
CAPWAP(Control and Provisioning of Wireless Access Points)是一种用于无线局域网(WLAN)的协议,用于在无线访问点(AP)和无线局域网控制器(Wireless LAN Controller,简称WLC)之间传输控制和数据信息。它的设计目的是简化无线网络的管理和部署。
以下是 CAPWAP 协议的一些关键特点和功能:
-
分离数据和控制平面:
-
CAPWAP 将 AP 的数据平面(数据传输)与控制平面(管理和配置)分离,将控制平面集中在 WLC 上。
-
这种分离允许网络管理员通过中心化的 WLC 对整个 WLAN 进行集中管理和配置,而无需直接在每个 AP 上进行配置。
-
-
AP 的自动配置和部署:
-
CAPWAP 允许 AP 在网络中自动发现和注册到 WLC,并接收 WLC 发送的配置信息,以便自动部署。
-
这简化了大规模 WLAN 的部署,并提高了网络的可扩展性和可管理性。
-
-
安全性:
-
CAPWAP 协议包括安全机制,用于保护控制和数据流量的机密性、完整性和可用性。
-
它支持加密和认证功能,以确保数据的安全传输,并防止未经授权的访问和攻击。
-
-
移动性支持:
-
CAPWAP 允许无线客户端在 WLAN 中漫游,并自动切换到不同的 AP,而无需重新认证。
-
WLC 负责协调漫游过程,并确保客户端的无缝连接。
-
-
集中式管理:
-
CAPWAP 允许网络管理员通过集中式的管理界面配置、监视和管理整个 WLAN。
-
管理人员可以轻松地对所有 AP 进行统一的配置,并监视网络性能和客户端连接情况。
-
总的来说,CAPWAP 协议通过将 AP 的管理和控制交给集中式的控制器来简化 WLAN 的部署和管理,提高了网络的可扩展性、灵活性和安全性。这使得 CAPWAP 成为企业和组织部署大规模 WLAN 的首选协议之一。
4.2 SSID
SSID(Service Set Identifier)是用于标识无线局域网(WLAN)的名称。它是一个区分大小写的字符串,通常由无线接入点(AP)广播出来,以便无线设备(如笔记本电脑、智能手机等)可以识别和连接到特定的WLAN。
SSID实际上就是WLAN的名称,就像是一个网络的“ID”。当您在设备上搜索可用的无线网络时,您将看到一个列表,其中包括每个网络的SSID。选择并连接到所需的SSID,就可以通过相应的WLAN访问互联网或局域网。
SSID并不是网络安全的唯一保证,因为它是可以被看到的。然而,它通常与其他安全功能(如加密)一起使用,以提供对无线网络的访问控制和保护。
4.3 VAP
VAP是Virtual Access Point的缩写,意为虚拟接入点。在无线网络中,VAP是一个逻辑实体,用于将一个或多个无线客户端连接到物理的无线接入点(AP)。每个VAP都有自己的无线网络标识符(SSID),因此,通过单个AP可以创建多个逻辑上独立的无线网络。这使得在同一物理设备上提供多个独立的无线网络成为可能,而无需额外的硬件设备。
VAP通常用于以下场景:
-
多租户环境: 在酒店、会议中心等场所,可以使用VAP来为不同的客户提供独立的无线网络服务,以确保彼此之间的隔离和安全性。
-
服务区分: 企业网络中,可以使用VAP来为不同部门或用户群体提供不同的无线网络服务,例如员工网络、访客网络等,以便对不同用户进行区分管理。
-
质量保证: 通过为特定应用程序或用户群体创建专用的VAP,可以实现对其网络流量的优先级控制和QoS(服务质量)保证。
总之,VAP是一种用于实现无线网络分割和管理的技术,使得在单个物理设备上可以同时提供多个独立的无线网络。
4.4 密钥
WPA(Wi-Fi Protected Access)和 WPA2 是两种 Wi-Fi 网络安全协议,旨在提供更高级的数据加密和认证功能,以保护无线网络不受未经授权的访问和数据泄露的威胁。
-
WPA(Wi-Fi Protected Access):是 Wi-Fi Alliance(Wi-Fi 联盟)开发的一种早期的 Wi-Fi 安全协议。它被设计为取代旧的、不够安全的 WEP(Wired Equivalent Privacy)协议。WPA 使用了更强大的加密算法和更复杂的认证过程,提供了更好的安全性。
-
WPA2(Wi-Fi Protected Access 2):是对 WPA 的进一步改进和增强。WPA2 使用了一种名为 AES(Advanced Encryption Standard)的更强大的加密算法,提供了更高级别的安全性。
PSK(Pre-Shared Key),或称为预共享密钥,是一种在 WPA 和 WPA2 中使用的认证方法。在 PSK 模式下,所有连接到同一网络的设备和用户都共享同一个预先确定的密钥(即密码)。当设备尝试连接到网络时,它们必须提供正确的预共享密钥以进行身份验证。只有知道正确密钥的设备和用户才能成功连接到网络,从而确保了网络的安全性。
因此,“WPA-WPA2 PSK”表示使用 WPA 或 WPA2 加密协议中的 PSK 模式进行网络安全设置,其中所有连接到网络的设备和用户必须提供预先共享的密钥以进行身份验证和加密通信。
5.5转发模式
在网络设备中,转发模式通常指定了数据包在网络中传输时的处理方式。以下是一些常见的转发模式:
-
直通转发(Direct Forwarding):数据包从接收到的接口直接转发到目标接口,不进行额外的处理或分析。这种模式通常用于简单的网络配置或要求最小延迟的情况。
-
桥接转发(Bridging):数据包在接收到的接口和目标接口之间进行桥接,类似于网络中的虚拟桥梁。桥接转发模式通常用于连接两个或多个网络,使它们能够在逻辑上形成一个单一的网络。
-
路由转发(Routing):数据包根据目标 IP 地址的路由表进行处理,并选择最佳的路径进行转发。路由转发模式通常用于大型网络中,其中有多条可能的路径可以选择,并且需要动态地选择最佳路径来转发数据。
-
隧道转发(Tunneling):数据包在网络中通过隧道传输,即在两个网络设备之间建立一个虚拟的通道,并在通道中传输数据。隧道转发模式通常用于连接两个远程网络或通过不安全的网络进行安全通信。
这些转发模式可以根据网络的需求和配置进行选择和调整,以实现最佳的网络性能和安全性
5.6 pvid
在命令 [Switch-GigabitEthernet0/0/1]port trunk pvid vlan 100
中,
pvid
是 Port VLAN ID(端口 VLAN ID)的缩写。在交换机配置中,PVID 是指定一个 VLAN ID,用于将未打上 VLAN 标签(即未标记的数据包)的流量标记为属于该 VLAN。通常情况下,PVID 会应用于端口上的所有未打上 VLAN 标签的数据包,以确定它们所属的 VLAN。
在这个命令中,port trunk pvid vlan 100
意味着将交换机端口 GigabitEthernet0/0/1 的 PVID 配置为 VLAN 100。这意味着所有通过该端口传输的未打上 VLAN 标签的数据包都会被视为属于 VLAN 100。
五、设备内置配置大全
AC里的配置
[AC6005-wlan-view]dis th
#
wlan
traffic-profile name default
security-profile name default
security-profile name default-wds
security-profile name default-mesh
ssid-profile name default
vap-profile name default
wds-profile name default
mesh-handover-profile name default
mesh-profile name default
regulatory-domain-profile name default
air-scan-profile name default
rrm-profile name default
radio-2g-profile name default
radio-5g-profile name default
wids-spoof-profile name default
wids-profile name default
wireless-access-specification
ap-system-profile name default
port-link-profile name default
wired-port-profile name default
serial-profile name preset-enjoyor-toeap
ap-group name default
provision-ap
详细解析
-
traffic-profile name default
: 这个命令用于定义默认的流量配置文件。流量配置文件定义了关于如何处理和管理无线网络中的流量的规则和策略,例如带宽限制、流量分类等。 -
security-profile name default
: 这个命令定义了默认的安全配置文件,用于配置无线网络的安全选项,包括认证和加密方法等。 -
security-profile name default-wds
: 这个命令定义了用于 WDS(无线分布式系统)连接的默认安全配置文件。WDS 用于在不同的 AP 之间建立无线连接,以实现覆盖范围的扩展。 -
security-profile name default-mesh
: 这个命令定义了用于 Mesh 网络的默认安全配置文件。Mesh 网络是一种自组织的无线网络拓扑结构,其中节点通过多跳无线连接进行通信。 -
ssid-profile name default
: 这个命令定义了默认的 SSID(服务集标识)配置文件。SSID 配置文件用于配置无线网络的名称、可见性、加密类型等参数。 -
vap-profile name default
: 这个命令定义了默认的 VAP(虚拟接入点)配置文件。VAP 允许一个物理 AP 提供多个逻辑上的无线接入点,每个接入点可以有不同的配置。 -
wds-profile name default
: 这个命令定义了默认的 WDS 配置文件。WDS 用于在不同的 AP 之间建立无线连接,通常用于构建无线网桥或覆盖范围的扩展。 -
mesh-handover-profile name default
: 这个命令定义了默认的 Mesh 手动切换配置文件。Mesh 手动切换配置文件用于配置 Mesh 网络中节点之间的手动切换参数。 -
mesh-profile name default
: 这个命令定义了默认的 Mesh 网络配置文件。Mesh 网络配置文件包含了配置 Mesh 网络所需的各种参数和选项。 -
regulatory-domain-profile name default
: 这个命令定义了默认的无线电规范域配置文件。无线电规范域配置文件用于配置无线网络中允许使用的频率范围和功率限制等参数。 -
air-scan-profile name default
: 这个命令定义了默认的空中扫描配置文件。空中扫描配置文件用于配置无线网络中的 AP 进行空中扫描的参数。 -
rrm-profile name default
: 这个命令定义了默认的无线资源管理配置文件。无线资源管理配置文件用于配置无线网络中的资源管理和优化参数。 -
radio-2g-profile name default
: 这个命令定义了默认的 2.4GHz 无线电配置文件。2.4GHz 无线电配置文件包含了配置 2.4GHz 无线电参数的选项。 -
radio-5g-profile name default
: 这个命令定义了默认的 5GHz 无线电配置文件。5GHz 无线电配置文件包含了配置 5GHz 无线电参数的选项。 -
wids-spoof-profile name default
: 这个命令定义了默认的 WIDS(无线入侵检测系统)欺骗检测配置文件。WIDS 欺骗检测配置文件用于配置 WIDS 对欺骗行为的检测参数。 -
wids-profile name default
: 这个命令定义了默认的 WIDS 配置文件。WIDS 配置文件用于配置无线入侵检测系统的参数和策略。 -
wireless-access-specification
: 这个命令用于定义无线访问规范,包括诸如接入控制、认证、QoS(服务质量)等方面的规范。 -
ap-system-profile name default
: 这个命令定义了默认的 AP 系统配置文件。AP 系统配置文件用于配置 AP 的基本参数和行为。 -
port-link-profile name default
: 这个命令定义了默认的端口链路配置文件。端口链路配置文件用于配置 AP 端口连接的参数。 -
wired-port-profile name default
: 这个命令定义了默认的有线端口配置文件。有线端口配置文件用于配置 AP 上的有线端口的参数。 -
serial-profile name preset-enjoyor-toeap
: 这个命令定义了名为“preset-enjoyor-toeap”的串口配置文件。 -
ap-group name default
: 这个命令定义了默认的 AP 组。AP 组用于将多个 AP 分组管理,并为它们应用相同的配置。 -
provision-ap
: 这个命令用于为 AP 进行配置和分配。在这里,它可能用于将配置应用到特定的 AP 上。
版权声明:本文标题:AC和AP的配置 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/dianzi/1728300121a1152914.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论