神州数码无线产品配置指导-V30

无线产品配置指导张帆2013年5月Part1AP配置管理•AP注册管理无线控制器开启无线功能二层模式三层模式•AC常用功能配置方法配置架构SSID设置用户vlan设置无线加密设置转发模式设置射频管理AC上开启无线功能•AC上无线功能默认是关闭的，AC能够管理AP的前提是开启AC的无线功能•开启无线功能的条件：AC上有UP的无线IP地址•无线IP地址的来源：AC上面loopback接口或者UP的三层接口的IP地址。•无线IP地址的配置方式：动态选取和静态指定，动态选取的IP优先级高于静态指定的IP优先级（实际项目中建议选用静态指定）动态选取无线IP地址•动态选取无线IP地址的原则：优先选择接口ID小的loopback接口的地址，未配置loopback接口时优先选择接口ID小的三层接口IP地址（注意不是IP地址小的接口）小试牛刀•查看AC上已配置的三层接口，那个地址会被选择？AC#showipinterfacebriefIndexInterfaceIP-AddressProtocol3001Vlan1192.168.1.254up3002Vlan2192.168.0.254up9000Loopback127.0.0.1up9001Loopback1192.168.254.1down静态指定无线IP地址•设置静态的无线IP地址AC(config-wireless)#static-ip192.168.1.254•关闭无线IP地址的自动选取功能AC(config-wireless)#noauto-ip-assign•查看AC选取的无线IP地址AC#showwirelessWSIPAddress..................................192.168.1.254WSAutoIPAssignMode........................DisableWSSwitchStaticIP...........................192.168.1.254建议项目实施时采用静态指定无线IP地址的方式，防止动态选取时IP地址变化导致无线网络中断AP注册方式•AP工作在瘦模式时需要注册到AC上，成功注册后才能接受AC的统一管理。•有两种注册方式：AC发现AP、AP发现AC•AC发现AP有两种模式：二层发现模式、三层发现模式•AP发现AC有两种方式：AP上静态指定AC列表、AP通过DHCP方式获取AC列表（利用option43选项）•项目实施时建议采用AC二层发现AP方式（AC、AP二层连通）或者利用DHCPOption43方式让AP发现AC（AC、AP三层连通）。AP注册方式•不论使用何种注册方式，AP要成功注册到AC上的前提是：AC的无线IP地址和AP的IP地址三层可达。•即：AP的IP地址和AC的无线地址能够ping通。AC二层发现AP•概念：AC通过二层广播发现报文方式来发现vlan内的AP。•要求：AC和AP在同一个二层网络中。•基本原理：AC上面可以指定二层自动发现的vlan列表，向列表中的各个vlan发送自动发现报文。收到广播发现报文的AP会向AC做出响应。•该方式适用于二层部署。配置方法•AC上的配置：•1、开启AC无线功能AC(config)#wirelessAC(config-wireless)#enable•2、指定VLAN发现列表AC(config-wireless)#discoveryvlan-list10Vlan1是默认加入vlan-list的，可以删除。AC(config-wireless)#nodiscoveryvlan-list1AC三层发现AP•AC根据AP的IP地址单播发现AP的方式。•AC上面配置三层发现IP地址列表，AC根据列表中的地址逐个发现AP。配置方法•将AP的IP地址加入到三层发现IP列表•AC(config-wireless)#discoveryip-list192.168.2.10•查看已配置的IP发现列表AC#showwirelessdiscoveryip-listIPAddressStatus---------------------------------192.168.2.10DiscoveredAP注册认证方式•AP注册到AC时，AC需要对AP进行认证。•主要认证方式：–MAC认证：通过检查AP的mac地址来决定AP是否能够注册到AC上。默认的认证方式。AC上面通过apdatabase来添加AP的mac地址。大规模部署时比较麻烦。–None：免认证，即AP自动注册，便于部署。推荐使用这种方式。–Pass-Phase认证：密码认证，AC和AP比对密码，密码一致时AP可以注册到AC上。AP需要做配置，使用不便，用的较少。AP认证方式配置方法•MAC认证：•AC(config-wireless)#apdatabasexx-xx-xx-xx-xx-xx•AP自动注册：•AC(config-wireless)#apauthenticationmodenone•配置了AP自动注册后，AC上面会自动添加AP的mac地址（对AP个体的配置均要在database模式下操作并重启AP，后面介绍）。AP主动发现AC•AP主动发现AC只能通过AC的无线IP地址进行单播发现。•按照AP上面获取AC地址方式的不同，可以分为一下几种发现方式：AP通过静态AC地址主动发现ACAP通过DHCPOption43获取AC地址并发现AP主动发现AC•AP上面配置静态AC地址（最多配置4个）：AP主动发现AC•AP通过DHCPOption43获取AC地址•DHCPOption43和Option60配合使用。Option60为厂商标识字段，如“udhcp1.18.2”。如果不确定，可以通过抓取AP发出的DHCPDiscovery报文来查看。Option43为自定义字段，这里将AC的无线地址作为Option43的内容下发给AP。DHCP服务器会同时配置这两个选项，只有AP发出的Option60与服务器一致，服务器才会回应Option43。AP主动发现AC•注意：•1、AP必须使用动态获取地址的方式。•2、Option43并不影响AP自身正常获取地址。如果Option60与服务器匹配失败，AP本身是可以获取IP地址的，只是服务器回应的报文不包含Option43。•3、DCN的交换机支持下发Option43，客户自己的服务器需要确认是否支持该功能。AP主动发现ACAP主动发现AC•几种方式使用建议：AP部署数量少的情况下，两种方式均可以考虑；AP部署数量多的情况下，建议使用DHCPOption43的方式，可以做到AP的“零配置上线”。AP注册状态查看状态含义ManagedAP处于管理状态FailedAP未处于管理状态AP配置下发•瘦AP的配置由AC进行下发，所有功能在AC上面配置。•熟练掌握：AC对AP整体配置架构主要功能的配置方法配置架构profile1radio1radio2network1network16vap0vap15AP-1AP-NSSID加密VLANSSID加密VLANnetwork1network16vap0vap15SSID加密VLANSSID加密VLANhwtypeprofile16AP-XAP-Y配置架构说明•每个AP关联一个profile，默认关联到profile1上。•network1-1024为全局公共配置。对于AP而言，每个VAP都唯一对应一个network，AC上面默认有16个network（1-16），与vap的0-15对应。•radio1对应AP上2.4Ghz工作频段，radio2对应AP上5Ghz工作频段。•更改全局或profile的配置，都要将profile下发一次，下发命令是：wirelessapprofileapplyX•X表示profile序号，所有应用这个profile的AP都会更新配置。•每次AP注册到AC上时，AC会自动下发profile配置。配置架构说明型号描述硬件类型DCWL-7942APDCWL-7942AP(R4),IndoorSingleRadiob/g/n5DCWL-7962APDCWL-7962AP(R4),IndoorDualRadioa/n,b/g/n7DCWL-7962OTDCWL-7962OT(R4),OutdoorDualRadioa/n,b/g/n14DCWL-7942OTDCWL-7942OT(R4),OutdoorSingleRadiob/g/n15型号描述硬件类型DCWL-7942APDCWL-7942AP(R5),IndoorSingleRadiob/g/n21DCWL-7962APDCWL-7962AP(R5),IndoorDualRadioa/n,b/g/n22DCWL-7962OTDCWL-7962OT(R5),OutdoorDualRadioa/n,b/g/n23型号描述硬件类型DCWL-1000WAPDCWL-1000WAP,IndoorSingleRadiob/g/n26AP与profile对应关系设置•把AP与某个profile绑定（需要重启AP）：•设置profile对应的硬件类型：SSID设置•设置SSID的步骤为：AC(config-wireless)#network1AC(config-network)#ssiddcn_wlan•下发profile配置：AC#wirelessapprofileapply1SSID设置•每个network下可设置一个SSID，多SSID情况下需要使用多个networkAC(config-wireless)#network2AC(config-network)#ssidguest_wlan•radio下需要启用对应的vap：AC(config-ap-profile)#radio1AC(config-ap-profile-radio)#vap1AC(config-ap-profile-vap)#enableSSID设置•注意：•AP上面VAP0是始终开启的，且不能关闭。所以在不同AP广播不同SSID的应用场景下，不要使用Network1配置SSID，并将Network1的默认SSID隐藏！•AC(config-wireless)#network1•AC(config-network)#hide-ssid•AC(config-network)#无线加密设置•Open方式（默认）AC(config-wireless)#network1AC(config-network)#securitymodenone•设置加密方式为WPA个人版，WPAversion可以设置为wpa、wpa2以及wpa/wpa2混合模式，默认为wpa/wpa2混合模式，此处加密密钥为12345678AC(config-wireless)#network1AC(config-network)#securitymodewpa-personalAC(config-network)#wpakey12345678无线加密设置•设置加密方式为WPA企业版，此方式需要使用radius认证AC(config-wireless)#network1AC(config-network)#securitymodewpa-enterprise•认证计费设置AC(config)#radius-serverauthenticationhost192.168.1.250AC(config)#radius-serveraccountinghost192.168.1.250AC(config)#radius-serverkeydcnAC(config)#radiusnas-ipv4192.168.1.254//与无线IP相同AC(config)#radiussource-ipv4192.168.1.254//与无线IP相同无线加密设置AC(config)#aaaenableAC(