第6章-构建中型企业无线局域网

无线局域网项目教程胡云编著,第6章构建中型企业无线局域网,第2页,教学目标了解无线接入点的控制和配置协议（CAPWAP）。掌握基于CAPWAP协议的WLAN构成。理解CAPWAP协议的隧道传输。理解MP的启动机制。掌握组建规模较大的集中型WLAN的主要技术。,第3页,教学重点无线接入点的控制和配置协议（CAPWAP）；基于CAPWAP协议的WLAN构成；理解MP的启动机制。较大规模集中型WLAN的结构及组建技术。教学难点CAPWAP协议的隧道传输；较大规模集中型WLAN与有线网络的连接。,第4页,6.1项目导引某中型企业前几年建有有线网络，随着企业发展的需要，现决定在总部的A、B、C区组建WLAN并接入有线网络。规划第一期只做A区的WLAN，第二期做B区和C区的WLAN，如图6-1所示。小陈在企业担任网络工程师，负责进行A区WLAN的建设工作。企业有线局域网给A区提供一个1000Mb/s的静态以太网络接口：IP地址是172.17.1.254；子网掩码是255.255.255.0；默认网关是172.17.1.1。通过它可以将A区WLAN接入企业的有线局域网，进而接入互联网。,第5页,第6页,图6-1中型企业无线局域网拓扑图,6.2项目分析本项目中，首先要做好现场考察，然后根据用户需求分析，进行AP的布局规划，满足无线信号覆盖到区域中需要无线网络的所有地方。选购WLC（或智能无线交换机）、无线AP、接入交换机等设备。在A区覆盖无线网络，需要布置安装足够的无线AP，用光缆或数据电缆连接各个AP至接入交换机，各AP以太网供电，智能无线交换机MXR-200放置在网管中心，接入核心交换机。接入交换机连接核心交换机。无线网络配置方面主要是对MXR-2进行配置，并规划和设置好无线网络设备的IP地址。由于无线网络设备要和有线网络连接，因此还要对连接的接入交换机与核心交换机做相应的配置。,第7页,6.3技术准备6.3.1CAPWAP协议的产生集中型WLAN基于AC（无线控制器）和AP组网。AC与AP间控制协议作为核心关键技术，一直是各厂家产品研发的重心所在。以前，各个设备厂商对AC和AP之间通信使用的隧道协议都是采用自己开发的私有协议，如思科公司使用LWAPP，锐捷公司使用TATP等，它们都不具有互通性。IETF（因特网工程任务组）为了解决这一问题，在2005年成立了CAPWAP（ControlAndProvisioningofWirelessAccessPoints，无线接入点的控制和配置）工作组，以标准化AP和AC间的隧道协议。,第8页,IETF工作组以思科公司的LWAPP协议为基础，并经历了不断修订升级，在2009年4月正式发布CAPWAP协议。该协议用于无线终端接入点（WTP）和无线控制器（AC）之间的通信交互，实现AC对所关联的WTP的控制管理与数据转发。IEEE802.11WLAN网络中，RFC5416中定义的IEEE802.11binding就支持CAPWAP协议。,第9页,6.3.2基于CAPWAP协议的WLAN构成（1）无线控制器：作为网络实体，在网络架构的数据层、控制层、管理层或联合起来提供WTP到网络的访问服务。（2）无线终端WTP：物理或网络实体，包含一个射频天线和无线物理层，可以传输和接收STA无线存取的网络数据。（3）STATION：一个包含无线接口的设备。,第10页,（1）CAPWAP控制信道：一个双向信道，由AC的IP地址、WTP的IP地址、AC控制端口、WTP控制端口、传输层协议（UDP或UDP-LITE）定义，在这之上可以收发CAPWAP的控制报文。（2）CAPWAP数据信道：一个双向信道，由AC的IP地址、WTP的IP地址、AC数据端口、WTP数据端口、传输层协议（UDP或UDP-LITE）定义，在这之上可以收发CAPWAP的数据报文。,第11页,6.3.3CAPWAP协议的隧道传输1.CAPWAP的两种隧道CAPWAP协议传输层传输两种类型的荷载（Payload）：一是封装转发无线帧的数据消息；二是管理WTP和AC之间交换的控制消息。AC与WTP之间要建立起数据隧道和控制隧道两条通信隧道，用于传输数据消息和控制消息。隧道封装，就是将一种协议（隧道）直接作为另一种协议的荷载来进行封装，外层协议将打包荷载传输到目的地，然后解开外层协议，露出内层被封装承载的协议，再提交给内层协议处理模块进行处理。,第12页,2.CAPWAP协议的隧道传输1）AC将配置信息传送至APAC通过CAPWAP隧道将配置信息传送至AP，配置信息包括AP的信道、功率、SSID等。AP广播无线信号，STA接入。2）AP封装SAT的数据并经CAPWAP隧道发送给ACAP将接收到的802.11SAT数据封装，通过CAPWAP隧道发送给AC。源地址是AP的IP地址，目的地址是AC的IP地址。CAPWAP报文格式如下：,第13页,AC收到后，去掉CAPWAP封装头部，将STA原始的IEEE802.11帧转换为IEEE802.3帧，并通过trunk接口转发给核心交换机。3）数据返回过程数据由核心交换机转发给AC；AC将数据转换为IEEE802.11帧，并封装在CAPWAP报文中，转发给相应的AP；AP对数据解封装，将IEEE802.11帧转发给相应的STA。,第14页,第15页,图6-2CAPWAP隧道传输,6.3.4MP的启动方式1.直连MP的启动如图6-4所示，一台MP-71接入点和一台MXR-2智能无线交换机以直连方式部署，这种部署方式的MP和MX直接协商通信，MP启动工作过程分为以下三个阶段：,第16页,图6-4直连MP的启动,（1）MXR-2智能无线交换机作为DHCPServer为MP-71分配IP地址，它们之间进行一个完整的DHCP分配地址过程。（2）当MP-71获得地址以后，就使用CAPWAP（或是TAPA）协议，通过UDP5000端口以广播的方式发送查找MX的消息。MXR-2的端口2配置为直接连接模式，则该端口将响应该消息和MP-71建立CAPWAP连接。（3）CAPWAP（或是TAPA）连接建立后，MXR-2将向MP-71发送FW镜像、配置文件。之后，这台MP-71就开始工作了。,第17页,2.二层分布连接MP的启动在二层分布式部署中，MP的启动过程有三个阶段：（1）MP加电启动，发送DHCPdiscover消息请求IP地址，通过DHCP的交互过程，DHCPServer为MP分配了和MX同一网段的地址。（2）当MP获得IP地址后，MP将使用CAPWAP（或TAPA）协议通过UDP5000端口以广播的形式发送查找MX的消息。由于MP和MX在同一个广播域，所以MX能接收到MP的广播消息。MX收到消息后，就响应该消息，在MX、交换机与MP之间协商建立CAPWAP隧道。,第18页,（3）CAPWAP（或是TAPA）连接建立后，MX将向MP发送FW镜像、配置文件，之后该MP接入网络可以正常使用。,第19页,图6-5二层分布连接MP的启动,3.三层分布连接MP的启动在三层分布式部署中，MP的启动过程有三个阶段：（1）MP加电启动，发送DHCPdiscover（发现）消息并请求IP地址，通过DHCP的交互过程，DHCPServer为MP分配一个和MX不在同一网段的地址。（2）当MP获得IP地址后，将通过CAPWAP（或是TAPA）协议来发现MX。首先查看DHCPServer提供报文中的option43字段是否有MX的地址，如该字段中包含MX的地址，则MP将发送CAPWAP（或是TAPA）查找消息给option43字段中设置了IP地址（或是主机名，如果是主机名则需要部署DNS服务器）的MX，并与之建立CAPWAP（或是TAPA）连接。,第20页,（3）CAPWAP（或是TAPA）连接建立后，MX将向MP发送FW镜像、配置文件，之后该MP接入网络可以正常使用。,第21页,图6-6三层分布连接MP的启动,6.3.5无线站点获取IP地址的过程如以三层分布式部署为例，了解无线站点采用DHCP方式获取IP地址的过程。例如，在MX上建立一个用户名为uservlan的VLAN，并且与名为user的SSID相绑定。当无线用户搜寻到user并且开始建立连接时，如果也采用DHCP方式获取IP地址，那么步骤如下：（1）无线用户发送一个DHCPdiscover报文，数据到达AP后，经过AP封装，在报头增加了源地址AP的地址和目的地址MX的地址后，进入隧道传送到MX。,第22页,（2）MX收到报文后，解包后将DHCPdiscover请求广播出去。（3）如果DHCP服务器所连接的三层交换机的接口配置了DHCP-RELAY，那么DHCP服务器将回应一个DHCPOffer给MX。（4）MX将DHCPOffer消息封装好后，通过隧道回送到AP，经过AP解封装，发送到无线站点。这样，用户就获得到了相应的IP地址、掩码、默认网关、DNS等信息。（5）用户开始正常通信过程。,第23页,6.4项目实施6.4.1项目设备A区：1台MXR-200R/MX-8智能无线交换机，1台核心交换机（三层）如RG-S3760-24，1台接入交换机（二层）如RG-2328G-24，12台MP-422/MP-71无线AP。安装WindowsXP系统的计算机STA1和多台安装无线网卡的笔记本计算机，足量的网线等。6.4.2项目拓扑项目拓扑如图6-7所示。,第24页,第25页,图6-7A区WLAN拓扑图,6.4.3项目任务1.规划设计1）规划设计A区WLAN拓扑图小陈经现场考察、用户需求分析及企业已建成的有线网络结构，规划设计图6-7中的A区WLAN拓扑图。中心机房设置在2楼，放置机柜、配线架、控制器、核心交换机等，各个楼层电信间放置机柜、接入交换机。2）AP规划信息AP规划主要是AP所在的位置、命名、型号、序列号、对应接入到交换机的端口号、接入交换机等信息，如教材表6-1所示。,第26页,第27页,表6-1MP规划表,第28页,3）设备连接规划（1）采用单核心三层结构：独立设置一台核心交换机RG-S3760-2490作为无线用户网关，从而使无线用户网关和有线用户网关分离。（2）智能无线交换机MX-8与核心交换机RG-S3760-24之间采用单线互连，转发CAPWAP数据以及不同VLAN的无线用户二层数据。（3）接入交换机RG-2328G-24的端口F0/24与核心交换机RG-S3760-24的端口F0/1连接。（4）各台AP接入到接入交换机RG-2328G-24的端口。,第29页,注意：对规模较小的WLAN，智能无线交换机MX-8与核心交换机RG-S3760-24之间的采用单线互连即可。对规模较大的WLAN，智能无线交换机MX-8与核心交换机RG-S3760-24之间也可以采用双线互连。例如，将智能无线交换机MX-8的端口Port1、Port2分别与核心交换机的端口F0/11、F0/12连接，如图6-8所示。,图6-8MX-8与RG-S3760之间双线互连,第30页,4）VLAN应用规划与划分（1）VLAN应用规划。为了保证信息的安全，根据使用的需要规划4种VLAN应用。核心交换机上需要创建交换机管理VLAN、无线APVLAN、无线用户VLAN；在接入交换机上需要创建交换机管理VLAN及无线APVLAN；在AC上需要创建无线用户VLAN。另外有线用户VLAN这里略。,第31页,图6-9VLAN应用规划,第32页,（2）VLAN划分。A区VLAN划分如表6-2所示，所有划分的VLAN应与有线网络用户使用的VLAN不同。,表6-2A区VLAN划分,第33页,5）SSID规划SSID是WLAN服务集标识，在MX中设置。MX通过关联MP的序列号，配置、控制、管理MP。MX将设置的SSID传给MP，由MP广播到空间。众多的无线工作站可以划规到不同的VLAN，每个VLAN关联一个SSID。各无线用户通过选择SSID，连接到广播SSID的MP，实现无线连接。本项目中SSID的规划是，设置营销中心、生产中心、技术中心、财务中心的SSID分别是YXZX、SCZX、JSZX、CWZX。,6）服务器规划（1）DHCP服务器规划（必选）。规模较大的WLAN都需要DHCP服务，其来源如下：由Windows服务器配置的DHCP服务；由三层交换机内置的DHCP服务；由MX内置的DHCP服务（不推荐）。这里规划配置Windows服务器提供DHCP服务，为所有的MP及营销中心、生产中心、技术中心、财务中心的无线用户动态分配地址。（2）DNS服务器规划（可选）。取决于MP查找MX的方式（未配置option43的情况下使用）。（3）Ringmaster服务器规划可选。（4）SAM服务器规划（可选）。,第34页,6）设备安装与连接按图6-7项目拓扑图中的连接关系连接设备。（1）在A区厂部办公楼一楼（营销中心）、二楼（生产中心）、三楼（技术中心）、四楼（财务中心）的天花板上分别安装三台AP，充分覆盖工作区域。（2）从各个AP的安放处布线到中心机房（设置在2楼），将各个AP连接到接入交换机上。注意用线管把这些双绞线保护起来。（3）接入交换机连接到核心交换机。（4）将WLC接入核心交换机。,第35页,3.配置服务器1)配置DHCP服务器（1）将一台Windows2003操作系统的主机作服务器。配置服务器的IP地址、子网掩码、默认网关，如图6-10所示。,第36页,图6-10配置DHCP服务器IP地址,（2）在Windows2003服务器上配置DHCP服务。在Windows2003中进入DHCP管理窗口，选择本机名称（有IP地址192.168.100.1）项，添加作用域，如图6-11所示。,第37页,图6-11添加作用域,（3）作用域名称以VLAN10、VLAN20、VLAN30、VLAN40、VLAN50命名，如图6-12所示。,第38页,图6-12输入作用域名称,定义各作用域分配的地址范围和将分配的默认网关如表6-3所示。,第39页,表6-3各作用域分配的地址范围和默认网关,（4）定义作用域的地址池范围。设置作用域IP地址池的范围如图6-13所示。,第40页,图6-13设置作用域IP地址池的范围,（5）设置作用域分配的默认网关如图6-14所示。,第41页,6-14设置作用域分配的默认网关,（6）配置作用域的043选项（选做）。因为三层模式的AP和控制器处在不同的网段，对于AP所在的VLAN10作用域要配置043选项，这样无线AP才知道与哪个无线控制器建立联系。单击图6-15中的“作用域”项进入DHCP“服务器选项”对话框。,第42页,图6-15DHCP窗口中的作用域选项,在图6-15中选择“043供应商特定信息”复选框，并在ASCII下输入无线控制器的IP地址192.168.1.253，前面的数据和二进制会自动产生，不用输入。,第43页,图6-16DHCP服务器选项设置,已设置的各个作用域如图6-17所示。2）配置DNS服务（略）MP查找MX的一种方式，在未配置DHCPoption43的情况下使用，可选做。,第44页,图6-17设置的各个作用域,4配置核心交换机（RG-S3760）在核心交换机RG-S3760做配置。1）创建Vlan创建Vlan10、Vlan20、Vlan30、Vlan40、Vlan50和Vlan100。命令行例如下：Switchenable!进入特权模式。Switch#configureterminal!进入全局配置模式。Ruijie(config)#vlan10!创建VLAN10Ruijie(config-vlan)#exitRuijie(config)#vlan20!创建VLAN20。Ruijie#writememory!保存配置Ruijie#showvlan!查看配置的VLAN信息。,第45页,2）创建Vlan虚拟接口Vlan1虚拟接口ipaddress192.168.1.254Vlan10虚拟接口ipaddress192.168.10.254Vlan20虚拟接口ipaddress192.168.20.254Vlan30虚拟接口ipaddress192.168.30.254Vlan40虚拟接口ipaddress192.168.40.254Vlan50虚拟接口ipaddress192.168.50.254Vlan100虚拟接口ipaddress192.168.100.254,第46页,命令行例如下：创建vlan1虚拟接口。Ruijie(config)#interfacevlan1!进入VLAN1接口模式。Ruijie(config-if)#ipaddress192.168.1.254255.255.255.0!设置虚拟接口的IP。Ruijie(config-if)#noshutdown!开启端口。Ruijie(config-if)#exitRuijie#showipinterface!查看虚拟接口的状态。Ruijie#writememory!保存配置。,第47页,3）定义端口F0/1、F0/12为trunk模式Ruijieenable!进入特权模式。Ruijie#configureterminal!进入全局配置模式。Ruijie(config)#intfa0/12!进入接口配置模式。Ruijie(config-if)#switchportmodetrunk!把F0/12定义为trunk模式。Ruijie(config)#intfa0/1Ruijie(config-if)#switchportmodetrunk!把端口F0/1定义为trunk模式。Ruijie#showinterfacefastethernet0/12switchport!查看接口配置情况,第48页,4）将三层交换机RG-S3760端口F0/24划分到Vlan100Ruijie(config)#interfacefastethernet0/24!接口模式。Ruijie(congfig-if)#switchportaccessvlan100Ruijie(config-vlan)#exitRuijie#writememory!保存配置。5)启用DHCP中继功能如果DHCP客户机与DHCP服务器不在同一个物理网段，则需要在三层交换机上启用DHCP中继并添加全局服务器地址，才能正确地获得动态分配的IP地址。Ruijie(config)#servicedhcp!启用DHCP中继。Ruijie(config)#iphelper-address192.168.100.1!添加全局服务器地址。,第49页,4）静态路由配置Ruijie#configureterminalRuijie(config)#iproute192.168.20.0255.255.255.0192.168.1.253!去往192.168.20.0的路由，下一跳ip地址192.168.1.253Ruijie(config)#iproute192.168.30.0255.255.255.0192.168.1.253!去往192.168.30.0的路由，下一跳ip地址192.168.1.253Ruijie(config)#iproute192.168.40.0255.255.255.0192.168.1.253!去往192.168.40.0的路由，下一跳ip地址192.168.1.253Ruijie(config)#iproute192.168.50.0255.255.255.0192.168.1.253!去往192.168.50.0的路由，下一跳ip地址192.168.1.253,第50页,5.配置接入交换机(RG-S2328G)1）创建APVLAN和用户VLAN在交换机RG-S2328G上创建VLAN10、VLAN20、VLAN30、VLAN40和VLAN50，并将作为AP接口的F0/11F0/22划分到VLAN10。其余接口默认划分到VLAN1。Switchenable!进入特权模式Switch#configureterminal!进入全局配置模式Ruijie(config)#vlan10!创建VLAN10Ruijie(config-vlan)#namevlan10!命名为VLAN10Ruijie(config-vlan)#exitRuijie(config)#interfacerangefastethernet0/11-22!接口模式Ruijie(congfig-if)#switchportaccessvlan10!VLAN10为成员端口,第51页,2）定义接口的trunk模式接入交换机RG-S2328GF0/24接口与核心交换机RG-S3760的F0/01接口相连，要通过无线用户的多个VLAN，因此需要定义为trunk模式。Ruijieenable!进入特权模式。Ruijie#configureterminal!进入全局配置模式。Ruijie(config)#intfa0/24!进入接口配置模式。Ruijie(config-if)#switchportmodetrunk!把F0/24定义为trunk模式。,第52页,第53页,6.配置智能无线交换机MX-8在TRAPEZE中做MX-8的基本配置，如下：（1）配置控制器