本文記錄了WLAN配置實踐的過程，該操作在華為HCIA中屬于相對較復雜的實驗，記錄過程備忘。這里不就WLAN原理解釋，僅進行配置實踐，可以作為學習原理時候的參考。本文使用華為ENSP進行仿真。實驗拓撲圖如下：

1.WLAN工作流程

2.模擬器實驗操作

步驟0 ：準備工作

在配置WLAN之前，需要確保基本網絡的連通性，這里在ENSP中使用的WLAN拓撲如下，采用瘦AP模式，由路由器上配置DHCP，LSW1進行DHCP中繼，AC采用旁掛式。設置兩個VLAN，其中VLAN100 控制VLAN 傳輸CAPWAP協議，VLAN200是業務VLAN。其中LSW2作為二層交換機使用，LSW1作為三層交換機使用。

• ap不用做特別配置，剛上線時候外聯端口是hybrid類型，使用POE+標準（802.3at）

• SW2配置

  [SW2]vlan batch 100 200  # 創建業務和數據VLAN
  [SW2]int g0/0/2
  [SW2-GigabitEthernet0/0/2]port link-type trunk
  [SW2-GigabitEthernet0/0/2]port trunk allow-pass vlan 100 200# AP剛發出的幀是不帶標記的，為了讓幀能達到VLAN100對應的三層接口，
  # 需要打上標記，因此配置PVID100
  [SW2-GigabitEthernet0/0/2]port trunk pvid vlan 100# 這里不能配置PVID100，否則AP數據從0/0/1口出來后會被剝離VLAN100標簽，
  # 無法找到VLAN100三層口
  [SW2]interface GigabitEthernet0/0/1
  [SW2-GigabitEthernet0/0/1] port link-type trunk
  [SW2-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 200
  

• SW1配置

  [SW1]vlan batch 100 200[SW1]interface GigabitEthernet0/0/2
  [SW1-GigabitEthernet0/0/2]port link-type trunk
  [SW1-GigabitEthernet0/0/2]port trunk allow-pass vlan all[SW1]interface GigabitEthernet0/0/3
  [SW1-GigabitEthernet0/0/3] port link-type trunk
  [SW1-GigabitEthernet0/0/3] port trunk allow-pass vlan all[SW1]interface GigabitEthernet0/0/1
  # 需要配置為aceess,數據通向路由器時候標簽被去除，否則路由器不認識包
  # 如果要配置為trunk，則需要配置PVID移除標簽
  [SW1-GigabitEthernet0/0/1]port link-type access 
  [SW1-GigabitEthernet0/0/1]port default vlan 1000
  

• AC配置

  [AC]vlan batch 100 200
  [AC-GigabitEthernet0/0/1] port link-type trunk
  [AC-GigabitEthernet0/0/1] port trunk allow-pass vlan all
  

• 配置DHCP中繼

  • SW1上配置接口類型

    [SW1]interface vlanif100
    [SW1-Vlanif100]ip address 10.1.1.2 24# 交換機與路由器之間建立三層邏輯口,將g0/0/1劃入VLAN1000
    [SW1]vlan 1000
    [SW1]interface GigabitEthernet0/0/1
    [SW1-GigabitEthernet0/0/1]port link-type access 
    [SW1-GigabitEthernet0/0/1]port default vlan 1000
    

  • R1配置相關接口

    [AR1]interface GigabitEthernet0/0/0
    [AR1-GigabitEthernet0/0/0] ip address 10.1.12.1 255.255.255.0 
    

    此時可以在路由器上ping通交換機端口

    

    在SW2 g0/0/1上抓包，可以看到DHCP Discocery廣播

    

    但此時交換機不會將該DHCP廣播幀泛洪到路由器。因為從SW2 g0/0/1上傳遞出來的DHCP Discocery報文是打著VLAN100標簽，只能到達VLANif100對應目的地，而SW1的g0/0/1屬于VLANif 1000,因此必須通過三層轉發才行。

    但是該廣播沒法轉發到路由器DHCP服務器，需要在SW1上開啟DHCP中繼。繼續在SW1上進行配置：

  • SW1上配置中繼

    [SW1]dhcp enable
    [SW1]int vlan 100
    [SW1-Vlanif100]dhcp select relay  # 配置中繼后，廣播變成單播
    [SW1-Vlanif100]dhcp relay server-ip 10.1.12.1 # 設置DHCP服務器地址
    

    在SW1 g0/0/1上進行抓包，可以看到已經從上面的廣播變為單播，但此時只是AP發往路由器，并沒有路由器給AP的回復。

    

  • 在路由器上開啟DHCP功能

    [AR1]dhcp enable # 開啟DHCP功能
    [AR1]ip pool 1 # 配置DHCP地址池
    [AR1-ip-pool-1]network 10.1.1.0 mask 255.255.255.0
    [AR1-ip-pool-1]excluded-ip-address 10.1.1.1  # 排除一個地址給AC用
    [AR1-ip-pool-1]gateway-list 10.1.1.254 # 配置AP網關地址
    [AR1]interface g0/0/0
    [AR1-GigabitEthernet0/0/0]dhcp select global  # 在接口上開啟地址分配
    

  • R1和SW1上配置路由

    • AR

    [AR1]ospf router-id 1.1.1.1
    [AR1-ospf-1]area 0
    # 簡化起見，全網通告
    [AR1-ospf-1-area-0.0.0.0]network 0.0.0.0 255.255.255.255 
    

    • SW1

    [SW1]ospf router-id 2.2.2.2
    [SW1-ospf-1]area 0 
    [SW1-ospf-1-area-0.0.0.0]network 0.0.0.0 255.255.255.255
    

    在SW1 g0/0/1上進行抓包，可以看到服務器回復的DHCP Offer：

    

    展開DHCP服務器發給中繼的DHCP Offer消息，可以看到以下關鍵信息：

    

    中繼是替客戶端AP獲取動態地址，因此此處抓到的都是中繼和DHCP服務器之間的DHCP交互，而且經過中繼后是單播形式。

    在AP上查看，現在AP已經獲得了DHCP動態分配的IP地址，即上面看到的10.1.1.253/24

    

步驟1：AP上線

FIT AP需完成上線過程，AC才能實現對AP的集中管理和控制，以及業務下發。為了AP能上線，AC需要配置如下內容：

AP的上線過程包括如下步驟：

1.1 AP獲取IP地址；

這一步的操作在步驟0中已經完成，在實驗中可以看到AP1已經獲取到了10.1.1.253/24

1.2 AP發現AC并與之建立CAPWAP隧道

在AP通過DHCP得到自己的地址后，就會通過廣播發送CAMWAP協議去找AC，此時在SW2 g0/0/1開啟抓包，可以看到：

注意:如果AP和AC不在同一個網段，這個時候AP就不可能用廣播去尋找AC，而是單播尋找。在R1的DHCP中需要增加option43配置：

[AR1]ip pool 1

[AR1-ip-pool-1]option 43 ip-address AC地址

這一步受限于模擬器無法做出效果，真機中可以。

上面的報文中可以看到AC并未回復，接下來配置AC：

[AC]interface Vlanif 100
[AC-Vlanif100]ip address 10.1.1.1 24
[AC]capwap source interface Vlanif 100 # 配置CAPWAP源地址

1.3 AP接入控制

AC上配置監視域的模版：

[AC]wlan 
[AC-wlan-view]regulatory-domain-profile name ctr  # 配置監控域模版，ctr是自定義名字
[AC-wlan-regulate-domain-ctr]country-code cn # 國家碼，每個國家發射功率不同

AC上配置AP組，方便需要對多個AP進行分組管控：

[AC]wlan 
[AC-wlan-view]ap-group name ctr   # 建立AP組，ctr是自定義名字
Info: This operation may take a few seconds. Please wait for a moment.done.
[AC-wlan-ap-group-ctr]regulatory-domain-profile ctr # 將監控域模版掛入需要的AP組
Warning: Modifying the country code will clear channel, power and antenna gain c
onfigurations of the radio and reset the AP. Continue?[Y/N]:y

AC上配置AP信息，可以用AP序列號SN認證，也可以用AP MAC認證，這里用AP MAC認證，查詢AP MAC：

在AC上配置

[AC]wlan
[AC-wlan-view]ap-id 1 ap-mac 00e0-fc41-58d0 # 配置AP的MAC 
[AC-wlan-ap-1]ap-group ctr # 掛到AP組，讓AP上線

查看一下AP是否上線，看到狀態nor為正常上線

此時在AP上也彈出上線消息，命令提示符轉換為BSSID：

在在SW2 g0/0/1開啟抓包，可以看到，完整的CAMWAP交互報文：

• CAPWAP隧道維持。

步驟2 WLAN參數下發

需要在AC上建立如下模版：

2.1 建立安全模版

[AC]wlan
[AC-wlan-view]security-profile name ctr   # ctr是自定義名字
# psk：共享秘鑰方式  huawei@123：自定義的秘鑰   aes:使用高級加密方式
[AC-wlan-sec-prof-ctr]security wpa-wpa2 psk pass-phrase huawei@123 aes

2.2 建立SSID模版

[AC]wlan
[AC-wlan-view]ssid-profile name  ctr 
[AC-wlan-ssid-prof-ctr]ssid ctr   # ctr為自定義名稱

2.3 建立VAP模版

[AC]wlan
[AC-wlan-view]vap-profile name ctr
[AC-wlan-vap-prof-ctr]ssid-profile ctr   # 把SSID模版掛上去
Info: This operation may take a few seconds, please wait.done.
[AC-wlan-vap-prof-ctr]security-profile ctr # 把安全模版掛上去
Info: This operation may take a few seconds, please wait.done.
[AC-wlan-vap-prof-ctr]service-vlan vlan-id 200  # 業務VLAN，數據上來后會打上VLAN200標簽
Info: This operation may take a few seconds, please wait.done.

2.4 下發參數

[AC]wlan 
[AC-wlan-view]ap-group name ctr
[AC-wlan-ap-group-ctr]vap-profile ctr wlan 1 radio all  # 下發安全、SSID、射頻頻段
Info: This operation may take a few seconds, please wait...done.

下發配置后，模擬器中的拓撲圖上WLAN區域可以看到變化，不得不說華為的ENSP模擬得挺好。

此時在模擬器中添加一個筆記本電腦，連接WLAN，發現地址獲取不到：

原因在于業務VLAN200在SW1中沒有配置

[SW1]interface Vlanif 200
[SW1-Vlanif200]ip address 192.168.1.254 24
[SW1-Vlanif200]dhcp select interface  # 通過接口自動分配DHCP地址

此時筆記本WLAN已經連接上

ping網關能通：

此時業務數據不會經過AC（direct-forward），如果所有業務都需要先通過隧道方式到達AC再轉發，則需要在AC上如下配置：

[AC]wlan 
[AC-wlan-view]vap-profile name ctr
[AC-wlan-vap-prof-ctr]forward-mode tunnel 
Warning: This action may cause service interruption. Continue?[Y/N]y

此時在筆記本上ping 192.168.1.254，在SW2 g0/0/1口抓ICMP包，可以看到先找AC后找網關的過程，使用的使IPOverIP技術

步驟3 再增加一個AP，測試漫游功能

查看AP2 MAC

在AC上加入AP2

[AC]wlan
[AC-wlan-view]ap-id 2 ap-mac 00e0-fc87-2990 
[AC-wlan-ap-2]ap-group ctr
Warning: This operation may cause AP reset. If the country code changes, it willclear channel, power and antenna gain configurations of the radio, Whether to c
ontinue? [Y/N]:y
Info: This operation may take a few seconds. Please wait for a moment.. done.

在SW2上做相應配置：

[SW2]interface g0/0/3
[SW2-GigabitEthernet0/0/3]port link-type trunk 
SW2-GigabitEthernet0/0/3]port trunk pvid vlan 100
[SW2-GigabitEthernet0/0/3]port trunk allow-pass vlan all

此時在AC上可以看到新增加的AP：

模擬器中AP2也開始發射信號

在模擬器上將筆記本電腦從AP1區域移動到AP2區域，在筆記本上持續ping 192.168.1.254，可以發現不掉包，即在ESS內，可以不改變SSID進行漫游切換