西安翻译学院无线侧实施配置(规范)方案

西安翻译学院无线侧实施配置（规范）v1.0版本v1.0时间2017年3月支持的版本FortiOSv5.4.x作者状态目录一、需求描述及规划 3需求描述 3关键技术 3规划设计 3二、设备版本 4三、无线配置步骤 5无线配置思路 51.创建SSID 62.新建A楼AP配置文件 73.把A楼的配置文件下发到A楼所在的AP 104.创建WTP-group，把AP根据所在的楼分组 105.SSID映射到根据每栋楼一个AP分组无线所在的vlan。 116.把AP加入到各种的Wtp-Group组的命令 127.对于宿舍区的FAP24D，需要创建隐藏的SSID关联到vlan，然后把LAN口桥接到该SSID，实现LAN口独立vlan功能。 121.新建v100-s10（名称根据楼号和vlan号取）的SSID（该SSID没有实际用途，仅仅是映射到有线vlan），并映射到vlan100. 132.到FAP-24DAP配置文件下，把这个隐藏的SSID发布 13四、诊断命令及注意事项 151.查看某个AP的SSID是否对应到期望的VLAN 152.可以在AP上ping测试连通性 173.查看无线终端所在的vlan 184.AP与防火墙升级 18AP升级 18防火墙升级 205.注意事项 20一、需求描述及规划需求描述1.教学区共有18栋教学区，教学区不需要有线接入。无线方面：教学区发布的SSID统一，每个教学楼对应一个vlan。即一个SSID对应不同的vlan。管理方面：每栋楼AP在同一个vlan中（修改交换机默认vlan）。2.宿舍区共有38栋宿舍楼，宿舍楼需要有线和无线同时接入。无线方面：所有宿舍楼发布相同SSID，每栋宿舍楼无线在一个vlan中。有线方面：每栋宿舍楼有线在同一个vlan中。管理方面：每栋楼AP在同一个vlan中（修改交换机默认vlan）。关键技术1.每栋楼所在的AP放到一个WTP-Group，不同的WTP-Group的无线SSID对应的vlan不同。2.对于宿舍区的的FAP-24DLAN有线接口网络，相同楼的AP桥接到一个隐藏的SSID，该隐藏的SSID对应该有线LAN接口vlan。（详细配置件配置步骤7）规划设计规划中，SSID和接口名称尽可能简洁（SSID可以超过10个字符，接口不能超过10个字符，否则后续配置会出问题）。教学区楼名称编号Vlan号SSID名字AP组名AP配置文件名DHCP地址池宿舍区楼名称编号Vlan号SSID名字AP组名AP配置文件名DHCP地址池FAP-24DLAN有线部分楼名称编号Vlan号SSID名字（隐藏的）AP配置文件名（与无线为同一个）DHCP地址池二、设备版本因为需要使用WTP-Group和SSID对应多vlan功能，所以要求AP、AC版本为v5.4。设备名称版本备注FGT-1500D控制器v5.4.4build1122FAP-221CAPv5.4.2build0358FAP-321CAPv5.4.2build0358FAP-222CAPv5.4.2build0358FAP-24DAPv5.4.2build0358三、无线配置步骤0.打开无线开放安全开关在系统管理->功能选择开启无线开放安全开关关掉不需要的功能。无线配置思路以下以A楼的配置举例。1.配置SSID。2.配置WTP-Profile，引用配置的SSID。3.把配置的WTP下发的AP上。4.创建WTP-Group，根据组映射不同的vlan号（ssid相同）。5.把AP加入到WTP-Group组。1.创建SSID2.新建A楼AP配置文件每栋楼新建一个配置文件。FAP配置文件->新建创建A楼的配置文件命令行下修改国家代码：configwireless-controllerwtp-profileedit"A-Group-221C"configplatformsettype221Cendsetap-countryCNendnext修改后再通过界面校正配置：3.把A楼的配置文件下发到A楼所在的AP稍等一会，AP状态就会变为连接状态4.创建WTP-group，把AP根据所在的楼分组configwireless-controllerwtp-groupedit"WTP-GROUP-A"//AP的组名“WTP-GROUP-A“楼Anextedit"WTP-GROUP-B"//AP的组名WTP-GROUP-B楼Bnextend5.SSID映射到根据每栋楼一个AP分组无线所在的vlan。configwireless-controllervapedit"XAFY"setvdom"root"setssid"XAFY"setsecurityopensetschedule"always"setlocal-bridgingenablesetlocal-authenticationenablesetvlanid4000//如果AP没有加入任何WTP-Group，默认的vlan为4000setvlan-poolingwtp-group//启用基于WTP-group下发vlan标记configvlan-pooledit10//vlan10setwtp-group"WTP-GROUP-A"//在wtp-group“WTP-GROUP-A”中的AP下发该SSID时对应的vlan为10nextedit20//vlan20setwtp-group"WTP-GROUP-B"//原理同上。nextendnextend6.把AP加入到各自的Wtp-Group组的命令configwireless-controllerwtp-groupedit"WTP-GROUP-A"//A楼AP组setplatform-type221Cconfigwtp-listedit"FP221C3X16012349"//AP序列号nextendnextend7.对于宿舍区的FAP24D，需要创建隐藏的SSID关联到vlan，然后把LAN口桥接到该SSID，实现LAN口独立vlan功能。配置步骤：1.新建wire-lan的SSID（该SSID没有实际用途，仅仅是映射到有线vlan）.在命令行下隐藏该SSIDFGT60D4614023387#configwireless-controllervapFGT60D4614023387(vap)#editwire-lanFGT60D4614023387(v100-s10)#setbroadcast-ssiddisableFGT60D4614023387(v100-s10)#end2.根据这个APLAN口所属的vlan，创建有线的WTP-Group。3.到FAP-24DAP配置文件下，把这个隐藏的SSID发布同时，使FAP-24D的LAN桥接到该SSID，即完成了LAN口到vlan的映射。3.下发这个WTP-profile到AP上。在AP上观察四、诊断命令及注意事项1.查看某个AP的SSID是否对应到期望的VLAN0.开启AP的管理权限（默认情况下，v5.4版本、一旦AP注册到AC上，AP所有管理权限都关了）在对应的AP下发的wtp-profile下启用configwireless-controllerwtp-profileedit"A-Group-221C"setallowaccesstelnethttphttpssshendnextend可以http登录到AP上看该SSID映射的vlan也可以telnet到AP上查看详细信息FP221C3X16012349#cw_diag-cvap-cfgVAPConfiguration1RadioId0WLANId0XAFYXYADMIN_UP(INTF_UP)init_done/unknown(-1)vlanid=10,intf=wlan00,vap=0x101d1158,bssid=90:6c:ac:5d:db:21meshbackhaul=disabledlocal_auth=enabledstandalone=disablednat_mode=disabledlocal_bridging=enabledsplit_tunnel=disabledintra_ssid_priv=disabledlocal_auth=enabledsta_info=1/0mac=local,tunnel=8023,cap=84e0,qos=disabledprob_resp_suppress=disabledldpc_config=disablebc_suppression=dhcparpauth=OPENratelimit(Kbps):ul=0dl=0ul_user=0dl_user=0burst=disabledRatesConfiguration:NodatarateisconfiguredVAPConfiguration2RadioId1WLANId0XAFYXYADMIN_UP(INTF_UP)init_done/unknown(-1)vlanid=10,intf=wlan10,vap=0x101d14c9,bssid=90:6c:ac:5d:db:29meshbackhaul=disabledlocal_auth=enabledstandalone=disablednat_mode=disabledlocal_bridging=enabledsplit_tunnel=disabledintra_ssid_priv=disabledlocal_auth=enabledsta_info=0/0mac=local,tunnel=8023,cap=84e0,qos=disabledprob_resp_suppress=disabledldpc_config=disablebc_suppression=dhcparpauth=OPENratelimit(Kbps):ul=0dl=0ul_user=0dl_user=0burst=disabledRatesConfiguration:NodatarateisconfiguredTotal2VAPConfigurations2.可以在AP上ping测试连通性FP221C3X16012349#ping9PING9(9):56databytes64bytesfrom9:seq=0ttl=255time=0.536ms^C9pingstatistics1packetstransmitted,1packetsreceived,0%packetlossround-tripmin/avg/max=0.536/0.536/0.536ms3.查看无线终端所在的vlanFP221C3X16012349#cw_diag-cstaWTPdaemonSTAinfo:1/274:29:af:99:f6:a500:00:00:00:00:00vId=10(vlanID)type=wlsta,vap=wlan00(2.4G),XAFYXY(10)ip=2/1host=DESKTOP-CQUH6Q9vci=MSFT5.02/2b0:89:00:d3:eb:8400:00:00:00:00:00vId=10(vlanID)type=wlsta,vap=wlan10(5G),XAFYXY(10)ip=1/1host=Honor_8vci=HUAWEI:android:FRDTotalSTAs:24.AP与防火墙升级AP升级AP支持两种方式升级，一是Web界面，效率低，二是命令行升级，效率高。Web界面升级方式1，登录到具体的AP的Web界面升级。方式2：在控制器界面升级命令行全部（批量）升级1.通过FTP上传OSGuangZhou#executewireless-controllerupload-wtp-imageftpfap223.imgtesttest2.查看上传的osGuangZhou#executewireless-controllerlist-wtp-image3执行升级：后面加all为全部，加SN为要升级的SN注意！！！！即便没有指定SN，AP重新关联AC后会自动升级，这是由AP单独控制工作的，这里指定SN是说让指定SNAP立即升级。换句话说，只要上传了FAP的OS，即便不做任何操作，经过一段时间FAP所有的都会升级。GuangZhou#executewireless-controllerreset-wtpall敲完all后，如果AP数量比较多（平均1分钟升级5个），要等很长很长一段时间。防火墙升级防火墙建议在TFTP下格式话flash升级，请参考其它文档。5.注意事项如果在AP-profile中功率选择自动调整（建议先不要配置，后期根据需要调整），会周期性的扫描信道，影响性能。以下配置会自动启用背景流扫描。6.查看IP地址和SN对应关系FGT60D4614023387#diagnosewireless-controllerwlac-cvapbssidssidintfwtp-idvfid:ip-portrIdwId00:00:00:00:00:00v100-s10v100-s10FAP24D3X16001418ws(0-10:5246)1090:6c:ac:a4:63:4aXAFYXYXAFYXYFAP24D3X16001418ws(0-10:5246)00a2:6c:ac:a4:63:4av100-s10v100-s10FAP24D3X16001418ws(0-10:5246)016.查看IP地址和SN对应关系在AC上，查看是否AP是否下发到期望的VlanFGT60D4614023387#diagnosewireless-controllerwlac-cvapbssidssidintfwtp-idvfid:ip-portrIdwId00:00:00:00:00:00v100-s10v100-s10FAP24D3X16001418ws(0-10:5246)1090:6c:ac:a4:63:4aXAFYXYXAFYXYFAP24D3X16001418ws(0-10:5246)00a2:6c:ac:a4:63:4av100-s