1.1 技术背景
传统的WLAN体系结构已经无法满足大规模组网的需求,因此,IETF成立的CAPWAP(Control And Provisioning of Wireless Access Points 无线接入点的控制和配置协议)工作组,研究打过没WLAN的解决方案。以实现各个厂家控制器与AP间的互通。
CAPWAP的起源
CAPWAP工作组对以上四种通信协议进行评测后,最终采用LWAPP协议作为基础进行扩展,使用DTLS安全技术,加入其他三种协议的有用特性,制定了CAPWAP协议。
1.2 CAPWAP介绍:
CAPWAP(无线接入点控制和配置协议),用于无线终端接入点(AP)和无线网络控制器(AC)之间的通信交互,实现AC对其所关联的AP集中管理和控制。
该协议包含的主要内容有:
-
AP对AC的自动发现及AP和AC的状态机运行、维护。
-
AC对AP进行管理,业务配置下发。
-
STA数据封装CAPWAP隧道进行转发。
1.3 CAPWAP模式
CAPWAP协议支持两种操作模式:SPlit MAC和Local MAC。
Split MAC模式:
-
在Split MAC模式下,所有二层的无线数据和管理帧都被CAPWAP协议封装,在AC和AP之间交互。
-
从STA收到的无线帧,直接封装,转发给AC。
-
在split MAC模式下,无线报文不经过报文转换,直接到达AC。
Local MAC模式:
-
本地转发模式允许数据帧可以用本地桥或者使用802.3的帧形式用隧道转发。二层无线管理帧在AP本地处理,然后再转发给AC。
-
STA传送的无线帧在AP被封装成802.3数据帧。
1.4 CAPWAP报文格式
DTLS加密是可选的,华为设备默认没有开启。
DTLS(Datagram Transport Layer Security)是一种基于UDP协议的安全传输协议,它提供了与TLS(Transport Layer Security)相似的安全性和可靠性,但是可以在不可靠的网络环境下使用,例如在实时音视频传输等应用中。
DTLS协议在传输层对数据进行加密、解密和完整性验证,通过使用对称密钥加密技术和数字证书来实现数据加密和身份验证。与TLS协议不同的是,DTLS协议通过将TCP协议替换为UDP协议来提供安全保护,这使得DTLS协议能够支持实时应用和对延迟敏感的数据传输。
DTLS协议的主要特点包括:
- 端到端加密:DTLS协议提供了端到端的数据加密和完整性验证,保护了传输过程中的数据安全。
- 支持不可靠网络:由于DTLS协议基于UDP协议,因此可以在不可靠的网络环境下使用,例如在移动网络和互联网上。
- 实时性:DTLS协议支持实时应用,例如视频和语音通话等应用,能够提供较低的延迟和更好的用户体验。
- 灵活性:DTLS协议允许使用不同的加密算法和密钥长度,以适应不同的应用需求。
DTLS协议已经被广泛应用于各种实时应用,例如VoIP、视频会议、在线游戏等,它可以提供强大的安全保护和高效的数据传输。
1.5 AP上线流程
https://support.huawei.com/enterprise/zh/doc/EDOC1000051014/9802a788
2 AP上线
2.1 CAPWAP
2.2 AP上线之二层上线
实验场景:
基础配置:
在AC1、SW1、SW2上配置管理vlan100,接口链路类型如图所示。配置命令如下:
# AC1
vlan batch 100
interface G0/0/1
port link-type trunk
port trunk allow-pass vlan 100
# SW1
vlan batch 100
interface G0/0/1
port link-type trunk
port trunk allow-pass vlan 100
interface G0/0/2
port link-type trunk
port trunk allow-pass vlan 100
# SW2
vlan batch 100
interface G0/0/1
port link-type trunk
port trunk allow-pass vlan 100
interface E0/0/1
port link-type access
port default vlan 100
interface E0/0/2
port link-type access
port default vlan 100
在AC上开启DHCP功能,给两台AP提供管理IP地址,AC 配置如下:
# 开启dhcp功能
dhcp enable
# 在接口启动地址池
interface Vlanif100
ip address 192.168.100.1 255.255.255.0
dhcp select interface
#
此时可以看到AP已经通过DHCP获取了IP地址:
# AP1
<Huawei>display ip int brief
Interface IP Address/Mask Physical Protocol
Vlanif1 192.168.100.132/24 up up
# AP2
Vlanif1 192.168.100.21/24 up up
在AC上指定CAPWAP隧道建立时使用的IP地址:
# AC
capwap source interface Vlanif 100
此时查看AP上线状态
[AC6005]display ap all
Info: This operation may take a few seconds. Please wait for a moment.done.
--------------------------------------------------------------------------------
ID MAC Name Group IP Type State STA Uptime
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
虽然AP已经获取IP地址,但是目前还没有上线,需要通过下面的三种方式来让AP上线
2.2.1 认证方式之不认证
通过不认证的方式,直接让AP上线,配置命令如下:
[AC6005-wlan-view]ap auth-mode no-auth
[AC6005-wlan-view]ap-confirm all
稍等片刻,可以看到AP已经上线了
[AC6005]display ap all
Info: This operation may take a few seconds. Please wait for a moment.done.
Total AP information:
nor : normal [2]
------------------------------------------------------------------------------------------------------
ID MAC Name Group IP Type State STA Uptime
------------------------------------------------------------------------------------------------------
0 00e0-fca0-4f20 00e0-fca0-4f20 default 192.168.100.21 AP2050DN nor 0 1M:49S
1 00e0-fcbd-0a10 00e0-fcbd-0a10 default 192.168.100.132 AP2050DN nor 0 1M:45S
------------------------------------------------------------------------------------------------------
2.2.2 认证方式之MAC地址认证
# 将上线的ap下线:
wlan
undo ap all
将AP认证方式设置为手工 输入MAC地址认证。
wlan
ap auth-mode mac-auth
ap-id 0 ap-mac 00E0-FCBD-0A10
ap-name F1-AP1
ap-id 1 ap-mac 00E0-FCA0-4F20
ap-name F1-AP2
查看AP上线效果:
执行命令display ap all查看到AP状态,当“State”字段为“nor”时,表示AP正常上线
[AC6005-wlan-view]display ap all
nor : normal [2]
-------------------------------------------------------------------------------------------
ID MAC Name Group IP Type State STA Uptime
-------------------------------------------------------------------------------------------
0 00e0-fca0-4f20 1F2A default 192.168.100.73 AP2050DN nor 0 3M:44S
1 00e0-fcbd-0a10 1F1A default 192.168.100.72 AP2050DN nor 0 1M:16S
-------------------------------------------------------------------------------------------
Total: 2
2.2.3 认证方式之SN码认证
wlan
ap-id 0 ap-sn 210235448310CD1F5438
ap-name 1F1A
ap-id 1 ap-sn 210235448310866BDC7A
ap-name 1F2A
[AC6005]display ap all
Info: This operation may take a few seconds. Please wait for a moment.done.
Total AP information:
nor : normal [2]
--------------------------------------------------------------------------------
ID MAC Name Group IP Type State STA Uptime
-------------------------------------------------------------------------------------------
0 00e0-fcbd-0a10 1F1A default 192.168.100.72 AP2050DN nor 0 1M:16S
1 00e0-fca0-4f20 1F2A default 192.168.100.73 AP2050DN nor 0 1M:15S
-------------------------------------------------------------------------------------------
Total: 2
2.3 图形化配置AC
2.3.1 配置拓扑并测试连通性
如图,在接入交换机SW2上开一个接口,划分到VLAN100下。cloud 配置的IP地址和 AC的vlanif100 所在同一个网段。
目前使用自己电脑测试到达 AC的网络连通性
2.3.2 在AC上配置运行Web登录
[AC6005]http secure-server enable
This operation will take several minutes, please wait...
Info:HTTPS server has been started
2.3.3 配置AAA
aaa
local-user karl password irreversible-cipher $1a$4D;1ORE3wF$s*jh7]ruPNCdns2WgK{H\nMm8jf76QZgl=Dki!,<$
local-user karl privilege level 15
local-user karl service-type http
2.3.4 登录Web页面
在浏览器输入 VLANif1的IP地址,并在登录页面输入aaa配置的用户名和密码
新用户首次登录,修改用户名和密码:
进入AC Web 页面,观察AP列表,查看AP上线信息
2.3.5 添加AP
点击配置/AP/添加,可以手工添加AP
如图,添加AP3和AP4
先在SW2更改接口类型为Access,并划分到vlan100
interface Ethernet0/0/4
port link-type access
port default vlan 100
#
interface Ethernet0/0/5
port link-type access
port default vlan 100
在页面输入MAC和SN信息:
3 三层上线
AP分布在各个VLAN下
各台设备基础配置
SW1 核心交换机
- vlan 2 3 100 提供vlanif 2 3(业务) 100(管理)
- 配置管理IP地址 192.168.100.1
- 配置业务vlanif2网关 192.168.2.254
- 配置业务vlanif3网关 192.168.3.254
- 提供业务vlan的dhcp 地址池
- G0/0/1 Trunk 允许管理vlan100 流量通过
- G0/0/2 Trunk 允许业务vlan2、管理vlan100通过
- G0/0/3 Access ,因下方连接傻瓜交换机,不能配置IP地址,故设置接口为Access类型
SW2 接入交换机
- vlan 2 100
- 配置管理IP地址 192.168.100.2
- 配置静态默认路由 ip route-static 0.0.0.0 0.0.0.0 vlanif 100 192.168.100.1,帮助AP1和AC建立CAPWAP隧道
- E0/0/1 Trunk 2 100
- E0/0/2 Access 2
AC
- vlan 100
- 配置管理IP地址 192.168.100.3
- 配置静态默认路由 ip route-static 0.0.0.0 0.0.0.0 vlanif 100 192.168.100.1,帮助AP和AC建立CAPWAP隧道
具体配置如下:
# SW1
sysname SW1
#
vlan batch 2 to 3 100
dhcp enable
#
interface Vlanif2
ip address 192.168.2.254 255.255.255.0
dhcp select interface
#
interface Vlanif3
ip address 192.168.3.254 255.255.255.0
dhcp select interface
#
interface Vlanif100
ip address 192.168.100.1 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 100
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 3
# SW2
sysname SW2
#
vlan batch 2 100
#
interface Vlanif100
ip address 192.168.100.2 255.255.255.0
#
interface Ethernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 100
#
interface Ethernet0/0/2
port link-type access
port default vlan 2
#
ip route-static 0.0.0.0 0.0.0.0 Vlanif100 192.168.100.1
#
# AC1
vlan batch 100
#
interface Vlanif100
ip address 192.168.100.3 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100
#
ip route-static 0.0.0.0 0.0.0.0 Vlanif100 192.168.100.1
#
capwap source interface vlanif100
#
wlan
ap auth-mode no-auth
AP三层上线,dhcp option 43配置
[SW1-Vlanif2]dhcp server option 43 sub-option 3 ascii 192.168.100.3
[SW1-Vlanif3]dhcp server option 43 sub-option 3 ascii 192.168.100.3
此时查看AP上线情况:
[AC1]display ap all
Info: This operation may take a few seconds. Please wait for a moment.done.
--------------------------------------------------------------------------------
ID MAC Name Group IP Type State STA Uptime
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
重启AP并在链路上进行抓包:
AP获取了IP地址:
AP上线成功
[AC1]dis ap all
Info: This operation may take a few seconds. Please wait for a moment.done.
Total AP information:
nor : normal [2]
----------------------------------------------------------------------------------------------------
ID MAC Name Group IP Type State STA Uptime
----------------------------------------------------------------------------------------------------
0 00e0-fc74-1420 00e0-fc74-1420 default 192.168.3.253 AP2050DN nor 0 4M:29S
1 00e0-fc91-4450 00e0-fc91-4450 default 192.168.2.253 AP2050DN nor 0 3M:16S
----------------------------------------------------------------------------------------------------
Total: 2