L018新一代WNAC智能无线控制器的集中转发模式(EBR模式).doc

NETGEAR 无线控制器动手操作实验 五 新一代新一代 WNAC 智能无线控制器的集中转发智能无线控制器的集中转发 模式 模式 EBR 方式 方式 2010 年 1 月 第 1 页 共 19 页 目 录 1 新一代新一代 WNAC 智能无线控制器的集中转发模式 智能无线控制器的集中转发模式 EBR 方式 方式 2 1 1 案例介绍 2 1 2 配置 VLAN 3 1 3 配置PROMISCUOUS接口和子接口 3 1 4 配置静态路由 5 1 5 配置 DHCP 服务器 5 1 6 创建无线安全策略 6 1 7 设置WLAN 8 1 8 关联 AP 11 1 8 1 手动关联 AP 12 1 8 2 自动关联 AP 16 1 9 配置 RADIO虚接口 19 1 10 EBR 设置 23 1 11 配置效果 26 第 2 页 共 19 页 1 新一代新一代 WNAC 智能无线控制器的集中转智能无线控制器的集中转 发模式 发模式 EBR 方式 方式 新一代 WNAC 智能无线控制器的集中转发模式有两种 1 给 wlan 设置三层虚接口 用户连入 SSID 后 直接以 wlan 虚接口作为网关 就像电 脑直接连在 AC 的 wlan 端口 上一样 通过三层路由去访问目标地址 此时需要 AC 做 DHCP Server 给 wlan 下的用户分配 IP 或者 Relay 其他 DHCP Server 的 IP 2 设置 EBR Extended Bridge 将 AC 上的 Radio 三层虚接口与 AC 某个物理三层接 口绑定到 EBr 在 EBr 内的所有接口将失去三层功能 用户数据通过无线虚接口二层 透传到物理接口 此种应用主要用于需要 AC 集中转发 但又不想通过三层方式访问 某些资源 例如要用其他 DHCP Server 但不用 AC 做 DHCP Relay 的场景 本文主要描述第二种集中转发方式 文章会描述如何创建安全策略 创建 wlan 创建 Radio 虚接口 创建 EBR 以及手工和自动方式关联 AP 使 AP 将所有信息 包括管理信 息和用户信息 都上传到 AC 再由 AC 负责转发出去 通过本例 可以了解到以下内容 AC 上 VLAN 的配置 AC 的 promiscuous 混杂 接口配置 子接口配置 AP 通过 DHCP Option43 获取 AC 地址 AC 上 DHCP Sever 的建立 AC 上创建静态路由 无线安全策略的建立 无线 wlan 的创建 Radio 三层接口的配置 EBr 的配置 无线 AP 与 AC 的关联 操作方式以 Web 页面为主 但有些内容也会描述命令行的方式 1 1 案例介绍案例介绍 一台三层核心交换机上旁挂了一台 AC AC 的 eth1 12 通过 promiscuous 混杂 接口方 式与三层交换机 vlan10 连接 同时该端口创建了两个子接口 交换机上也创建了两个相对 应的 vlan tag 对应到两个用户 vlan 交换机 vlan1 连接路由器 两台 AP 也连在 vlan1 内 两台 AP 都广播两个 SSID 分别为 NG1 不加密 和 NG2 WPA PSK 用户连入 NG1 后 会与三层交换机的 vlan2 二层互通 连入 NG2 后 会与三层交换机的 vlan3 二层互通 具体拓扑结构如下图 第 3 页 共 19 页 1 2 配置配置 Vlan 1 根据拓扑图中的描述 我们需要在 AC 上创建 2 个 vlan Vlan2 和 Vlan3 这主要是 为了后面创建子接口时有相应 vlan 来对应 因此不用给 vlan2 和 vlan3 指派端口和 IP 具体 VLAN 设置方法请参考 L02 2 命令行中配置上述内容 SYSTEM config create vlan 2 vlan2 SYSTEM config create vlan 3 vlan3 1 3 配置配置 promiscuous 接口和子接口接口和子接口 1 进入 控制 端口管理 功能配置 中 将 Eth1 12 设为 promiscuous 模式 并配置 IP 第 4 页 共 19 页 地址 2 进入 控制 端口管理 子接口 为 Eth1 12 端口创建子接口 打上 vlan tag 2 再创建另一个子接口 打上 vlan tag 3 注 子接口的编号跟它的 vlan tag 号是一致的 例如这个地方子接口就是 Eth1 12 2 和 第 5 页 共 19 页 Eth1 12 3 3 命令行中配置上述内容 SYSTEM config interface eth1 12 SYSTEM config if advanced routing enable 设置为高级路由 混杂 模式 SYSTEM config if ip address 192 168 10 1 24 SYSTEM config if interface eth1 12 2 创建子接口 eth1 12 2 SYSTEM config if exit SYSTEM config if interface eth1 12 3 创建子接口 eht1 12 3 SYSTEM config if exit SYSTEM config 1 4 配置静态路由配置静态路由 1 为了 AP1 和 AP2 通讯能跟 AC 关联 AC 必须跟这些 AP 路由可通 所以需要在 AC 上建立静态路由 与 AP 所在 VLAN 即交换机 vlan1 可通 所以要在 AC 上配置一 条静态路由 通过交换机的 eth1 12 访问到 AP 具体设置方法可参考 L02 2 命令行中配置上述内容 SYSTEM config ip route 192 168 1 0 24 192 168 10 254 1 5 配置配置 DHCP 服务器服务器 由于 AC 跟 AP 是跨三层部署 所以需要用到 DHCP Option43 的方式让 AP 发现 AC 由 于有的三层交换机的 DHCP Server 功能不带 Option 功能 所以我们可以用 AC 来做 DHCP 服务器 在三层交换机上做 DHCP Relay 实现 AP 通过 Option43 获得 AC 地址的 功能 1 在 AC 上创建一个 DHCP 池 对应 vlan1 其中 Option43 处 类型 设置为 17 使用 WNAC 做 Option 43 时 这里都用 17 并添加 AC 的 IP 地址 第 6 页 共 19 页 2 另外还需要创建一个对应 Eth1 12 本身 IP 的地址池 即 192 168 10 x 的地址池 否则 DHCP 服务不能正常启动 1 6 创建无线安全策略创建无线安全策略 要建立无线 SSID 首先要建立安全策略 然后再把安全策略绑定到相关 SSID 上 创建无 线安全策略的方法如下 1 进入 无线 无线安全 创建安全策略 建立一个名为 open 的安全策略 2 同样方法建立一个名为 wpa psk 的安全策略 完成后在 安全策略列表 中可以看到两 第 7 页 共 19 页 个策略 但默认都是 802 1x 类型 需要手工修改 3 鼠标移到要修改的策略后面的小三角后 选 配置 修改加密方式 点 确定 保存 4 设置完后 可在列表中看到保存后的安全策略 第 8 页 共 19 页 5 上述配置的命令行方式如下 SYSTEM config create security 1 open 创建一个叫做 open 的安全策略 ID 为 1 security profile 1 was successfully created 系统自动提示 下同 SYSTEM config config security 1 SYSTEM config security security type open security type set successfully SYSTEM config security encryption type none encryption type successfully set SYSTEM config security exit SYSTEM config create security 2 wpa psk 创建一个叫做 wpa psk 的安全策略 ID 为 2 security profile 2 was successfully created SYSTEM config config security 2 SYSTEM config security security type wpa p security type set successfully SYSTEM config security encryption type tkip encryption type successfully set SYSTEM config security security ascii key 12345678 security key set successful SYSTEM config security exit SYSTEM config 1 7 设置设置 wlan Wlan 是 AC 里面重要的一个概念 它包含了安全策略 SSID 等信息 并决定了本地转发 和集中转发模式的选择 1 进入 无线 WLAN 创建 WLAN 建立两个 SSID 其中 WLAN ESSID 为 AP 广播 出来的 SSID 号 第 9 页 共 19 页 在 WLAN 列表 中可以看到已经建立的 wlan 2 在 wlan1 的后方小箭头处选择 配置 选择 wlan1 要使用的安全策略号 和绑定的接口 注 wlan 绑定的接口意思是 绑定的接口可以向下面 AP 发送这个 wlan 的信息 例如本 例中 wlan1 绑定了 eth1 12 则所有通过 eth1 12 与 AC 交互信息的 AP 都可以获取 wlan1 的信息 第 10 页 共 19 页 然后将 WLAN 服务设为 enable 3 同样设置 wlan2 的安全策略和绑定接口 6 上述配置的命令行方式如下 第 11 页 共 19 页 SYSTEM config create wlan 1 wlan1 NG1 创建 wlan1 ID 为 1 SSID 为 NG1 Wlan 1 was successfully created SYSTEM config config wlan 1 SYSTEM config wlan apply securityID 1 绑定安全策略 1 Security 1 was successfully binded SYSTEM config wlan wlan apply interface eth1 12 绑定端口 eth1 12 wlan 1 binding interface eth1 12 successfully SYSTEM config wlan exit SYSTEM config create wlan 2 wlan2 NG2 创建 wlan2 ID 为 2 SSID 为 NG2 Wlan 2 was successfully created SYSTEM config config wlan 2 SYSTEM config wlan apply securityID 2 绑定安全策略 2 Security 2 was successfully binded SYSTEM config wlan wlan apply interface eth1 12 绑定端口 eth1 12 wlan 2 binding interface eth1 12 successfully SYSTEM config wlan exit SYSTEM config config wlan 1 SYSTEM config wlan service enable 将 wlan1 启用 Wlan 1 enable successfully SYSTEM config wlan exit SYSTEM config config wlan 2 SYSTEM config wlan service enable 将 wlan2 启用 SYSTEM config wlan exit SYSTEM config 1 8 关联关联 AP 在关联 AP 之前 先到 无线 无线接入点 AP 模式 中检查一下 看看自己 AP 的型号在 不在其中 如果不在其中 则无法关联成功 AP 模式是 AC 系统内部参数 请不要擅自修 改 第 12 页 共 19 页 1 8 1 手动关联手动关联 AP 1 进入 无线 无线接入点 创建 AP 输入 AP ID AP 名 选择 AP 型号 并填入 AP 的 MAC 地址 2 创建了两个 AP 后 可在 AP 列表 中看到 AP 的状态 当前是没有启用的 3 点击 AP1 的 配置 将 AP1 绑定至 eth1 12 并将状态改为 used 第 13 页 共 19 页 注 AP 绑定的接口的意思是 AP 是通过哪个接口与 AC 发生通讯的 若 AP 绑定的接口与 wlan 绑定的接口不匹配 那么 AP 就无法应用这个 wlan 同样将 AP2 也绑定到 eth1 12 状态改为 used 若 AP 已经正常连接并获取到了 IP 和 Option43 信息 就可以看到 AP 已经启动 4 点击 AP1 的 详细信息 第 14 页 共 19 页 在详细信息页面最下方 点击 AP1 的 Radio 的 配置 在出来的页面中 将 绑定 WLAN 选择 1 点 确定 再重复一次 选择 2 再点 确定 这样就让 AP1 同时绑定了 wlan1 和 wlan2 第 15 页 共 19 页 同样设置 AP2 也绑定 wlan1 和 wlan2 5 上述方法的命令行如下 第 16 页 共 19 页 SYSTEM config create wtp 1 WG102 500 1 model mac WG102 500 mac 00 22 3F D8 B5 B0 创建 AP1 WTP 1 was successfully created SYSTEM config config wtp 1 SYSTEM config wtp wtp apply interface eth1 12 将 AP 绑定到端口 eth1 12 wtp 1 bind interface eth1 12 successfully SYSTEM config wtp exit SYSTEM config config radio 4 对于单频 AP 来说 radio 4 相当于 AP1 radio 8 相当 于 AP2 依此类推 SYSTEM config radio radio apply wlan 1 绑定 wlan1 radio 4 apply wlan 1 successfully SYSTEM config radio radio apply wlan 2 绑定 wlan2 radio 4 apply wlan 2 successfully SYSTEM config radio exit SYSTEM config create wtp 2 WG103 1 model mac WG103 mac 00 24 B2 64 8A A0 WTP 2 was successfully created SYSTEM config config wtp 2 SYSTEM config wtp wtp apply interface eth1 12 wtp 2 bind interface eth1 12 successfully SYSTEM config wtp exit SYSTEM config config radio 8 SYSTEM config radio radio apply wlan 1 radio 8 apply wlan 1 successfully SYSTEM config radio radio apply wlan 2 radio 8 apply wlan 2 successfully SYSTEM config radio exit SYSTEM config config wtp 1 SYSTEM config wtp wtp used 启用 AP1 wtp used successfully SYSTEM config wtp exit SYSTEM config config wtp 2 SYSTEM config wtp wtp used 启用 AP2 wtp used successfully SYSTEM config wtp exit SYSTEM config 1 8 2 自动关联自动关联 AP 注 1 自动关联的方式适用于所有 AP 都是用相同的无线策略 即所有 AP 广播的都是相同的 SSID 2 用 Web 界面配置的话 请严格按照下文的步骤配置 否则很容易出错 第 17 页 共 19 页 1 进入 无线 无线接入点 配置动态 AP 策略 选择绑定接口为 eth1 12 点 确定 2 选择 绑定 WLAN 中 wlan1 和 wlan2 按 Ctrl 键可多选 对应到接口 eth1 12 点 确 定 3 选择 保存动态 AP 策略 为 enable 点 确定 注 此处选 enable 的意思是动态关联上来的 AP 会保存在 AC 上 就算动态 AP 策略删除 了或修改了 原来自动关联上来的 AP 也不会消失 第 18 页 共 19 页 4 选择 动态 AP 策略 为 enable 点确定 5 在 显示动态 AP 策略 页面中 可看到动态策略的配置 6 在 AP 列表 中 可以找到自动搜索到的 AP 并且 AP 已经自动启动了 第 19 页 共 19 页 7 上述方法的命令行如下 SYSTEM config set auto ap login interface uplink eth1 12 设置自动发现的端口为 eth1 12 set wireless control dynamic ap login interface uplink eth1 12 successfully SYSTEM config set auto ap login wlan 1 base interface eth1 12 设置通过 eth1 12 跟 AC 进行关联的 AP 都绑定 wlan1 set wireless control dynamic ap login binding wlan 1 successfully SYSTEM config set auto ap login wlan 2 base interface eth1 12 设置通过 eth1 12 跟 AC 进行关联的 AP 都绑定 wlan2 set wireless control dynamic ap login binding wlan 2 successfully SYSTEM config set auto ap login save config switch enable 保存动态 AP 策略 set wireless control dynamic ap login save config switch enable successfully SYSTEM config set auto ap login switch enable 启用动态策略 set wireless control dynamic ap login switch enable successfully 1 9 配置配置 Radio 虚接口虚接口 以上配置完成后 AP 能关联到 AC 但由于 wlan 没有映射 vlan 也没有配置三层接口 所以 AP 广播出来的 NG1 和 NG2 都是直接自己所在的 vlan 即交换机的 vlan1 要想实 现我们设想的结果 还需要设置 Radio 虚接口 1 先将 wlan1 和 wlan2 的服务 disable 第 20 页 共 19 页 2 进入 无线 无线接入点 AP 列表 点击 AP1 的 详细信息 在详细信息页面最下方 点击 AP1 的 Radio 的 详细信息 第 21 页 共 19 页 再在 Radio 详细信息的最下方 选中 wlan1 的 L3 接口 3 给这个 Radio 接口配置 IP 地址 此 IP 地址只是象征性质 不在网络中起作用 第 22 页 共 19 页 4 同样再设置 AP1 的 wlan2 的 Radio 接口 IP 地址 5 同样方法设置 AP2 的 wlan1 和 wlan2 的 Radio 接口 IP 为 3 3 3 3 和 4 4 4 4 6 再把 wlan1 和 wlan2 的服务 enable 1 上述方法的命令行如下 第 23 页 共 19 页 SYSTEM config config wlan 1 SYSTEM config wlan service disable 将 wlan1 服务 disable Wlan 1 disable successfully SYSTEM config wlan exit SYSTEM config config wlan 2 SYSTEM config wlan service disable 将 wlan2 服务 disable Wlan 2 disable successfully SYSTEM config wlan exit SYSTEM config interface radio1 0 1 配置 AP1 的 wlan1 SYSTEM config if ip address 1 1 1 1 24 SYSTEM config if exit SYSTEM config interface radio1 0 2 配置 AP1 的 wlan2 SYSTEM config if ip address 2 2 2 2 24 SYSTEM config if exit SYSTEM config interface radio2 0 1 配置 AP2 的 wlan1 SYSTEM config if ip address 3 3 3 3 24 SYSTEM config if exit SYSTEM config interface radio2 0 2 配置 AP2 的 wlan2 SYSTEM config if ip address 4 4 4 4 24 SYSTEM config if exit SYSTEM config config wlan 1 SYSTEM config wlan service enable 将 wlan1 服务 enable Wlan 1 enable successfully SYSTEM config wlan exit SYSTEM config config wlan 2 SYSTEM config wlan service enable 将 wlan2 服务 enable Wlan 2 enable successfully SYSTEM config wlan exit SYSTEM config 1 10 EBR 设置设置 配置完 Radio 端口后 需要将 Radio 端口和 AC 的 vlan 端口放到 EBR 中 这样才能实现 Radio 到 vlan 的二层透传 1 进入 无线 EBR 管理 创建 EBR 中 新建两个 EBR ebr1 和 ebr2 第 24 页 共 19 页 2 进入 EBR 列表 中 点击 ebr1 的 配置 将 绑定接口 选择 radio1 0 1 表示 AP1 的 wlan1 同样将 radio2 0 1 AP2 的 wlan1 绑定到 ebr1 中 由于我们的目的是希望用户访问 AP1 和 AP2 的 wlan1 即 NG1 时 能进入交换机的 vlan2 所以我们需要将 eth1 12 2 也加入到 ebr1 中 这样用户信息从 NG1 进来时 会直 接打上 vlan2 的 tag 从 AC 转出去 另外把下面三个选项都选为 disable 第 25 页 共 19 页 最后将 ebr1 的状态设为 enable 3 同样的方法 将 radio1 0 2 radio2 0 2 和 vlan3 加入到 ebr2 中 4 EBR 列表如下图 5 上述方法的命令行如下 第 26 页 共 19 页 SYSTEM config create ebr 1 ebr1 创建 ebr1 ebr 1 was successfully created SYSTEM config config ebr 1 SYSTEM config ebr service disable 先停用 ebr1 服务 set ebr disable successfully SYSTEM config ebr set bridge isolation disable 关闭单播隔离 set ebr isolation disable successfully SYSTEM config ebr set bridge multicast isolation disable 关闭组播隔离 set ebr multicast isolation disable successfully SYSTEM