526互联

AP上线

发布时间 2023-05-04 19:42:36作者: KARL_GO

1 CAPWAP隧道

1.1 技术背景

传统的WLAN体系结构已经无法满足大规模组网的需求,因此,IETF成立的CAPWAP(Control And Provisioning of Wireless Access Points 无线接入点的控制和配置协议)工作组,研究打过没WLAN的解决方案。以实现各个厂家控制器与AP间的互通。

image-20230501182945573

 

 

CAPWAP的起源

CAPWAP工作组对以上四种通信协议进行评测后,最终采用LWAPP协议作为基础进行扩展,使用DTLS安全技术,加入其他三种协议的有用特性,制定了CAPWAP协议。

image-20230504174023656

 

1.2 CAPWAP介绍:

CAPWAP(无线接入点控制和配置协议),用于无线终端接入点(AP)和无线网络控制器(AC)之间的通信交互,实现AC对其所关联的AP集中管理和控制。

该协议包含的主要内容有:

  • AP对AC的自动发现及AP和AC的状态机运行、维护。

  • AC对AP进行管理,业务配置下发。

  • STA数据封装CAPWAP隧道进行转发。

 

1.3 CAPWAP模式

CAPWAP协议支持两种操作模式:SPlit MAC和Local MAC。

Split MAC模式:

  • 在Split MAC模式下,所有二层的无线数据和管理帧都被CAPWAP协议封装,在AC和AP之间交互。

  • 从STA收到的无线帧,直接封装,转发给AC。

  • 在split MAC模式下,无线报文不经过报文转换,直接到达AC。

     

Local MAC模式:

  • 本地转发模式允许数据帧可以用本地桥或者使用802.3的帧形式用隧道转发。二层无线管理帧在AP本地处理,然后再转发给AC。

  • STA传送的无线帧在AP被封装成802.3数据帧。

 

1.4 CAPWAP报文格式

image-20230504175249051

image-20230504192442065

DTLS加密是可选的,华为设备默认没有开启。

DTLS(Datagram Transport Layer Security)是一种基于UDP协议的安全传输协议,它提供了与TLS(Transport Layer Security)相似的安全性和可靠性,但是可以在不可靠的网络环境下使用,例如在实时音视频传输等应用中。

DTLS协议在传输层对数据进行加密、解密和完整性验证,通过使用对称密钥加密技术和数字证书来实现数据加密和身份验证。与TLS协议不同的是,DTLS协议通过将TCP协议替换为UDP协议来提供安全保护,这使得DTLS协议能够支持实时应用和对延迟敏感的数据传输。

DTLS协议的主要特点包括:
- 端到端加密:DTLS协议提供了端到端的数据加密和完整性验证,保护了传输过程中的数据安全。
- 支持不可靠网络:由于DTLS协议基于UDP协议,因此可以在不可靠的网络环境下使用,例如在移动网络和互联网上。
- 实时性:DTLS协议支持实时应用,例如视频和语音通话等应用,能够提供较低的延迟和更好的用户体验。
- 灵活性:DTLS协议允许使用不同的加密算法和密钥长度,以适应不同的应用需求。
DTLS协议已经被广泛应用于各种实时应用,例如VoIP、视频会议、在线游戏等,它可以提供强大的安全保护和高效的数据传输。

 

 

 

1.5 AP上线流程

https://support.huawei.com/enterprise/zh/doc/EDOC1000051014/9802a788

img

 

 

2 AP上线

2.1 CAPWAP

2.2 AP上线之二层上线

实验场景:

image-20230426170812281

 

 

基础配置:

在AC1、SW1、SW2上配置管理vlan100,接口链路类型如图所示。配置命令如下:

# AC1
vlan batch 100
interface G0/0/1
 port link-type trunk
 port trunk allow-pass vlan 100
 
 
# SW1
vlan batch 100
interface G0/0/1
 port link-type trunk
 port trunk allow-pass vlan 100
interface G0/0/2
 port link-type trunk
 port trunk allow-pass vlan 100 
 
 
# SW2
vlan batch 100
interface G0/0/1
 port link-type trunk
 port trunk allow-pass vlan 100
interface E0/0/1
 port link-type access
 port default vlan 100
interface E0/0/2
 port link-type access
 port default vlan 100

 

在AC上开启DHCP功能,给两台AP提供管理IP地址,AC 配置如下:

# 开启dhcp功能
dhcp enable

# 在接口启动地址池
interface Vlanif100
 ip address 192.168.100.1 255.255.255.0
 dhcp select interface
#

 

此时可以看到AP已经通过DHCP获取了IP地址:

image-20230426171713115

# AP1
<Huawei>display ip int brief 
Interface                         IP Address/Mask      Physical   Protocol    
Vlanif1                           192.168.100.132/24   up         up    
# AP2
Vlanif1                           192.168.100.21/24    up         up  

 

在AC上指定CAPWAP隧道建立时使用的IP地址:

# AC
capwap source interface Vlanif 100

 

 

 

 

此时查看AP上线状态

[AC6005]display ap all 
Info: This operation may take a few seconds. Please wait for a moment.done.
--------------------------------------------------------------------------------
ID   MAC            Name  Group  IP  Type  State  STA  Uptime
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------

虽然AP已经获取IP地址,但是目前还没有上线,需要通过下面的三种方式来让AP上线

2.2.1 认证方式之不认证

通过不认证的方式,直接让AP上线,配置命令如下:

[AC6005-wlan-view]ap auth-mode no-auth 
[AC6005-wlan-view]ap-confirm all

 

稍等片刻,可以看到AP已经上线了

[AC6005]display ap all 
Info: This operation may take a few seconds. Please wait for a moment.done.
Total AP information:
nor  : normal          [2]
------------------------------------------------------------------------------------------------------
ID   MAC            Name           Group   IP              Type            State  STA Uptime
------------------------------------------------------------------------------------------------------
0    00e0-fca0-4f20 00e0-fca0-4f20 default 192.168.100.21  AP2050DN        nor     0   1M:49S
1    00e0-fcbd-0a10 00e0-fcbd-0a10 default 192.168.100.132 AP2050DN        nor     0   1M:45S
------------------------------------------------------------------------------------------------------

 

 

2.2.2 认证方式之MAC地址认证

# 将上线的ap下线:
wlan
 undo ap all

 

将AP认证方式设置为手工 输入MAC地址认证。

wlan
 ap auth-mode mac-auth 

ap-id 0 ap-mac 00E0-FCBD-0A10
ap-name F1-AP1

ap-id 1 ap-mac 00E0-FCA0-4F20
ap-name F1-AP2

 

查看AP上线效果:

执行命令display ap all查看到AP状态,当“State”字段为“nor”时,表示AP正常上线

[AC6005-wlan-view]display ap all 
nor  : normal          [2]
-------------------------------------------------------------------------------------------
ID   MAC            Name Group   IP             Type            State STA Uptime
-------------------------------------------------------------------------------------------
0    00e0-fca0-4f20 1F2A default 192.168.100.73 AP2050DN        nor   0   3M:44S
1    00e0-fcbd-0a10 1F1A default 192.168.100.72 AP2050DN        nor   0   1M:16S
-------------------------------------------------------------------------------------------
Total: 2

 

2.2.3 认证方式之SN码认证

wlan
  ap-id 0 ap-sn 210235448310CD1F5438
   ap-name 1F1A
  ap-id 1 ap-sn 210235448310866BDC7A
   ap-name 1F2A

 

[AC6005]display ap all 
Info: This operation may take a few seconds. Please wait for a moment.done.
Total AP information:
nor  : normal          [2]
--------------------------------------------------------------------------------
ID   MAC            Name Group   IP             Type            State STA Uptime
-------------------------------------------------------------------------------------------
0    00e0-fcbd-0a10 1F1A default 192.168.100.72 AP2050DN        nor   0   1M:16S
1    00e0-fca0-4f20 1F2A default 192.168.100.73 AP2050DN        nor   0   1M:15S
-------------------------------------------------------------------------------------------
Total: 2

 

 

 

2.3 图形化配置AC

2.3.1 配置拓扑并测试连通性

如图,在接入交换机SW2上开一个接口,划分到VLAN100下。cloud 配置的IP地址和 AC的vlanif100 所在同一个网段。

image-20230427112710727

image-20230427112704784

 

目前使用自己电脑测试到达 AC的网络连通性

image-20230427112909448

 

 

2.3.2 在AC上配置运行Web登录

[AC6005]http secure-server enable  
This operation will take several minutes, please wait...
Info:HTTPS server has been started

 

2.3.3 配置AAA

aaa
 local-user karl password irreversible-cipher $1a$4D;1ORE3wF$s*jh7]ruPNCdns2WgK{H\nMm8jf76QZgl=Dki!,<$
 local-user karl privilege level 15
 local-user karl service-type http

 

2.3.4 登录Web页面

在浏览器输入 VLANif1的IP地址,并在登录页面输入aaa配置的用户名和密码

image-20230427113358839

image-20230427113424760

新用户首次登录,修改用户名和密码:

image-20230427113507637

image-20230427113519284

 

进入AC Web 页面,观察AP列表,查看AP上线信息

image-20230427113739038

 

 

2.3.5 添加AP

点击配置/AP/添加,可以手工添加AP

image-20230427114158175

image-20230427114259767

 

 

如图,添加AP3和AP4

image-20230427114915984

先在SW2更改接口类型为Access,并划分到vlan100

interface Ethernet0/0/4
 port link-type access
 port default vlan 100
#
interface Ethernet0/0/5
 port link-type access
 port default vlan 100

 

在页面输入MAC和SN信息:

image-20230427115024196

image-20230427115059795

 

 

3 三层上线

AP分布在各个VLAN下

image-20230504170834593

 

 

各台设备基础配置

SW1  核心交换机
- vlan 2 3 100  提供vlanif 2 3(业务) 100(管理)
- 配置管理IP地址 192.168.100.1
- 配置业务vlanif2网关 192.168.2.254
- 配置业务vlanif3网关 192.168.3.254
- 提供业务vlan的dhcp 地址池
- G0/0/1  Trunk 允许管理vlan100 流量通过
- G0/0/2 Trunk 允许业务vlan2、管理vlan100通过
- G0/0/3 Access ,因下方连接傻瓜交换机,不能配置IP地址,故设置接口为Access类型

SW2 接入交换机
- vlan 2 100
- 配置管理IP地址 192.168.100.2
- 配置静态默认路由 ip route-static 0.0.0.0 0.0.0.0 vlanif 100 192.168.100.1,帮助AP1和AC建立CAPWAP隧道
- E0/0/1 Trunk 2 100
- E0/0/2 Access 2

AC
- vlan 100
- 配置管理IP地址 192.168.100.3
- 配置静态默认路由 ip route-static 0.0.0.0 0.0.0.0 vlanif 100 192.168.100.1,帮助AP和AC建立CAPWAP隧道

 

具体配置如下:

# SW1
sysname SW1
#
vlan batch 2 to 3 100
dhcp enable
#
interface Vlanif2
 ip address 192.168.2.254 255.255.255.0
 dhcp select interface
#
interface Vlanif3
 ip address 192.168.3.254 255.255.255.0
 dhcp select interface
#
interface Vlanif100
 ip address 192.168.100.1 255.255.255.0
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 100
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 2 100
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 3

 

# SW2
sysname SW2
#
vlan batch 2 100
#
interface Vlanif100
 ip address 192.168.100.2 255.255.255.0
#
interface Ethernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 2 100
#
interface Ethernet0/0/2
 port link-type access
 port default vlan 2
#
ip route-static 0.0.0.0 0.0.0.0 Vlanif100 192.168.100.1
#

 

# AC1
vlan batch 100
#
interface Vlanif100
 ip address 192.168.100.3 255.255.255.0
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 100
#
ip route-static 0.0.0.0 0.0.0.0 Vlanif100 192.168.100.1
#
capwap source interface vlanif100
#
wlan
 ap auth-mode no-auth

 

AP三层上线,dhcp option 43配置

[SW1-Vlanif2]dhcp server option 43 sub-option 3 ascii 192.168.100.3
[SW1-Vlanif3]dhcp server option 43 sub-option 3 ascii 192.168.100.3

 

此时查看AP上线情况:

[AC1]display ap all 
Info: This operation may take a few seconds. Please wait for a moment.done.
--------------------------------------------------------------------------------
ID   MAC            Name  Group  IP  Type  State  STA  Uptime
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------

 

 

重启AP并在链路上进行抓包:

AP获取了IP地址:

image-20230504170323530

image-20230504165706645

 

image-20230504170612249

AP上线成功

[AC1]dis ap all
Info: This operation may take a few seconds. Please wait for a moment.done.
Total AP information:
nor  : normal          [2]
----------------------------------------------------------------------------------------------------
ID   MAC            Name           Group   IP            Type            State STA Uptime
----------------------------------------------------------------------------------------------------
0    00e0-fc74-1420 00e0-fc74-1420 default 192.168.3.253 AP2050DN        nor   0   4M:29S
1    00e0-fc91-4450 00e0-fc91-4450 default 192.168.2.253 AP2050DN        nor   0   3M:16S
----------------------------------------------------------------------------------------------------
Total: 2