解析無線轉(zhuǎn)發(fā)模式

實驗環(huán)境說明

在本實驗環(huán)境中，存在名為SW1和SW2兩臺思科常用交換機，前者的G1/0/1和后者的Fa 0/1通過Trunk連接。無線控制器WLC 5508的Port1和SW2的Fa0/3通 過Trunk連接。

一臺思科AP設(shè)備連接到SW1上的G1/0/2接口上，客戶機PC1通過無線網(wǎng)卡連接該AP，管理主機Guanli-PC連接到SW2的Fa0/24口。SW2帶有路由功能，充當核心交換機的作用，所有的VLAN都配置在該設(shè)備上，如圖1所示。

圖1 網(wǎng)絡(luò)拓撲圖

在SW2上創(chuàng)建VLAN 100和VLAN 200，其地址范圍分別為192.168.1.0/24和172.16.1.0/24。

W L C的M a n a g e r I n t e r f a c e的 I P為192.168.1.100，Guanli-PC的 IP為 192.168.1.10，其都從屬于VLAN 100。AP連接的G1/0/2的從屬于VLAN 200，AP被劃分到VLAN 200，AP可以通過DHCP獲取所需的IP，AP通過CAPWAP隧道注冊到Manager Interface。

注意：AP是跨網(wǎng)段進行注冊的，需要為其指定WLC的位置。

VLAN 100和VLAN 200的SVI接口均位于SW2上。當然，需要在SW2上配置DHCP服務(wù)，滿足AP獲取地址的需要。

對于該無線控制器來說，如果要清空配置，可以執(zhí)行“clear config”命令，輸入“y”鍵清除配置信息。之后執(zhí)行“reset system”命令，輸入“n”鍵，根據(jù)提示輸入“y”重啟設(shè)備即可。

接口和端口的關(guān)系

對于思科無線控制器來說，存在Port和Interface兩個容易混淆的概念。Port指的是物理的端口，Interface指的是邏輯的端口。

對于新版本的AireOS8.0來說，AP Manager Interface和 Manager Interface可以使用同一個IP地址，AP通過CAPWAP隧道和AP Manager Inteface進行注冊和通訊。用戶可以通過Manager Interface來管理該設(shè)備，控制器可以以其為源和外部的ISE等設(shè)備進行通訊。

當然，還可以創(chuàng)建額外的AP Manager Interface，來注冊其他的AP。對于Virtual Inteface來說，一般可以為其設(shè)置不可路由地址。主要起到偽裝的作用，用來保護物理網(wǎng)絡(luò)中的DHCP服務(wù)器。對于Dynamic Interface來說，其主要作用關(guān)聯(lián)有線網(wǎng)絡(luò)的VLAN。

當在WLC上創(chuàng)建某個WLAN，必須為其關(guān)聯(lián)動態(tài)接口，并為其設(shè)置合適的SSID，這樣PC就會連接到該SSID，并關(guān)聯(lián)到物理網(wǎng)絡(luò)中的指定的VLAN。

配置中心轉(zhuǎn)發(fā)模式

對于中心轉(zhuǎn)發(fā)模式來說，CAPWAP隧道不僅發(fā)送了控制層面的流量，也發(fā)送了數(shù)據(jù)層面流量。該模式面對流量日益巨大的無線流量來說，已經(jīng)顯得有些捉襟見肘。在WLC上要配置合適的WLAN，并為其綁定 SSID（例如“hello”），這樣客戶端PC在連接了該SSID后，其數(shù)據(jù)層面的流量就會封裝到上述CAPWAP隧道中，并發(fā)送給上述WLAN，在該WLAN的配置中需要提前創(chuàng)建一個Dynamic Interface，還要為其分配一個可用的地址，并關(guān)聯(lián)一個有線網(wǎng)絡(luò)的VLAN，這樣就將該PC的流量導入到有線網(wǎng)絡(luò)。

在SW2上 執(zhí) 行“config t”命令，進入全局配置模式。執(zhí)行“ip routing”命令，開啟路由功能，讓不同的VLAN可以互訪。

執(zhí)行“vlan 100”，“name management”，“VLAN 200”，“name apgl”命令，創(chuàng)建上述兩個VLAN。

執(zhí) 行“i n t e r f a c e FastEthernet 0/1”，“switch trunk encapsulation dot1q”，“switch mode trunk”，“no shutdown”命令，在Fa 0/1接口開啟Trunk。

執(zhí) 行“i n t e r f a c e FastEthernet 0/3”，“s w i t c h t r u n k encapsulation dot1q”，“switch mode trunk”，“no shutdown”命令，在Fa 0/3接口開啟Trunk。

執(zhí) 行“i n t e r f a c e FastEthernet 0/24”，“switch access VLAN 100”，“spanning-tree portfast”，“no shutdown”命令，配置Fa 0/24接口。

執(zhí) 行“i n t e r f a c e V L A N 1 0 0”，“ i p address 192.168.1.254 255.255.255.0”命 令，為VLAN 100設(shè)置網(wǎng)關(guān)地址。執(zhí)行“interface VLAN 200”，“ip address172.16.1.254 255.255.255.0” 命 令，為VLAN 200設(shè)置網(wǎng)關(guān)地址。 執(zhí) 行“ip dhcp pool ap”，“network 172.16.1.0 255.255.255.0”，“defaultroute 172.16.1.254”，“option 43 hex f104.xxxx.xxxx”命令，創(chuàng)建DHCP地址池，用來為AP設(shè)備分配地址。同時為AP指定WLC無線控制器的位置信息，這里使用了DHCP服務(wù)的43號選項，其格式比較特殊，默認必須以“f1”開頭，“04”表示IP地址為4個字節(jié)，“xxxx.xxxx”為WLC的十六進制地址。這樣，當AP從DHCP地址池中獲得了合法的地址后，同時也得到了WLC地址。

注意:如果存在多臺WLC的話，可以根據(jù)需要添加更多的地址。

例如,其格式變?yōu)椤癴108.xxxx.xxxx yyyy yyyy”，表示指定兩臺WLC的地址。在SW1上執(zhí)行“config t”命令，進入全局配置模 式。 執(zhí) 行“VLAN 200”，“name apvl”命 令，創(chuàng) 建VLAN 200。執(zhí)行“interface GigabitEthernet1/0/1”，“switch mode trunk”，“no shutdown” 命 令，為G1/0/1接 口 設(shè) 置Trunk。 執(zhí) 行“interface GigabitEthernet 1/0/2”，“switchport access VLAN 200”，“switchport mode access”，“spanning-tree portfast”，“no shutdown”命令，將G1/0/2劃分到VLAN 200。

初始化無線控制器

在使用上述WLC設(shè)備時，需對其進行初始化處理，在“System name”欄 中 輸入 其 名 稱（如“WLC5508”），在“Enter Administrative User Name”欄中輸入管理員名稱（例如“wlcadmin”），之后輸入密碼。

接下來根據(jù)需要確定是否啟用鏈路聚合，在“Management Interface IP Address”欄中設(shè)置管理接口IP，這里為 192.168.1.100。然后輸入其掩碼和缺省網(wǎng)關(guān)（這 里 為 192.168.1.254），對于Manager Interface來說，必須為其打上VLAN 100的Tag，才可以進入SW2的VLAN 100中。因此，需要在“Management Interface VLAN Identifier”欄 中 輸入“100”。之后為其設(shè)置對應(yīng)的物理端口號，這里為1。在“Management Interface DHCP Server IP Address”欄中輸入DHCP服務(wù)器的IP，這里為192.168.1.254。

在“Virtual Gateway IP Address”欄中輸入虛擬網(wǎng)關(guān)地址，該地址不可路由，例如“1.1.1.1”。

接著需要配置組播地址，例 如239.1.1.1。 在“Mobility/RF Group Name”欄中輸入漫游組名稱，同一組中的客戶是可以無縫漫游的。

再設(shè)置SSID名稱，可以根據(jù)需要決定是否啟用DHCP橋接模式，這里不選用，可以保護真實的DHCP服務(wù)器。

之后允許客戶手工配置靜態(tài)IP，根據(jù)需要選擇是否配置RADIUS服務(wù)器，輸入實際的國家代碼（例如“CN”），接下來分別選用802.11b，802.11a，802.11g 以 及 自 動頻段管理。

然后根據(jù)需要確定是否配置NTP服務(wù)器，是否手動配置時間，是否啟用IPv6等，在“Configuration correct？”欄中輸入“yes”保存配置信息，并重啟設(shè)備。

將WLAN和VLAN進行關(guān)聯(lián)

在管理主機上打開瀏 覽 器（例 如 Firefox，不 建 議 使 用 IE），訪 問https://192.168.1.100”地址，輸入預(yù)設(shè)的WLC的管理員名稱和密碼，進入其管理界面。其默認使用的簡單模式，點擊右側(cè)的Advanced”按鈕進入高級配置模式。

對于AP來說，其默認的用戶名為“cisco”，默認密碼為“Cisco”，如果需要清除AP配置的話，可以執(zhí)行clear capwap privateconfig”，“reload”命 令 即可。當AP啟動后，會發(fā)起廣播廣播來獲取WLC地址，因為這是是跨網(wǎng)段的，所以廣播無法奏效。只有通過DHCP服務(wù)來獲取WLC的地址，之后才可以完成注冊操作。在WLC管理界面工具欄上點擊WIRELESS”按鈕，可以看到注冊成功的AP。點擊該AP，可以深入配置其各項屬性。

圖2 配置WLAN的屬性

在工具欄上點擊“CONTROLLER”項，在左側(cè)點擊“Interface”項，在右側(cè)點擊“management”項，選擇“Enable Dynamic”項，表示將Management Interface和AP Management合二為一了。返回上級菜單，點擊“New”按鈕，創(chuàng)建新的動態(tài)接口，輸入其名稱（例如“dt1”），設(shè)置與其關(guān)聯(lián)的VLAN號（例如VLAN 200）。

點 擊“Apply”按 鈕 保存配置信息，在其屬性窗口（如圖2所示）中的“Port Number”欄中輸入“1”，表示該動態(tài)接口的流量會從端口1出去。在“IP Address”欄中設(shè)置可用的地址（例如“172.16.1.253”），并在其下設(shè)置掩碼和網(wǎng)關(guān)等參數(shù)，在“DHCP Information”欄 中中輸入DHCP服務(wù)器的地址，例如172.16.1.254。點擊“Apply”按鈕，提交修改信息。

注意：對于思科WLC控制器來說，必須在工具欄上部點擊“Save Configuration” 按鈕，才可以讓配置存盤。

點擊工具欄上的“WLANs”按鈕，點擊默認的WLAN項，在其屬性窗口中的“General”面板中的“SSID”欄中輸入SSID標識符，在“Status” 和“Broadcast SSID”欄中確保選擇“Enable”項。在“Interface/Interface Group”列表中選擇上述動態(tài)接口“dt1”，讓兩者實現(xiàn)關(guān)聯(lián)。在“Security”面板（如圖3所示）中打開“Layer2”標簽，在“PSK”欄中選擇“Enable”項，輸入合適的密碼，啟用預(yù)共享密鑰認證功能。這樣，在客戶端就可以檢測到該SSID，選擇該SSID，輸入預(yù)設(shè)的密碼，就可以連接到上述網(wǎng)絡(luò)中了。執(zhí) 行“ipconfig /all” 命令，可以看到從上述DHCP地址池中獲取的IP地址，而且DHCP服務(wù)器的地址是不可路由的地址（例如“1.1.1.1”等），這樣可以保護真實的DHCP服務(wù)器。

圖3 配置認證信息

配置本地轉(zhuǎn)發(fā)模式

上面談到的是中心轉(zhuǎn)發(fā)模式，對于FlexConnect本地轉(zhuǎn)發(fā)來說，情況則有所不同。本地轉(zhuǎn)發(fā)可以優(yōu)化無線流量的管理，大大降低CAPWAP隧道傳輸?shù)膲毫Γ趯嶋H中使用的日益廣泛。

對于本地轉(zhuǎn)發(fā)來說，CAPWAP隧道僅僅傳輸控制層面的流量，需要在AP本地配置SSID和VLAN的映射關(guān)系，讓數(shù)據(jù)流量直接通過通過另外的VLAN進入有線網(wǎng)絡(luò)。為此需要在上述兩個交換機上配置另外的VLAN。

例如在SW2上進入全局配置模式，執(zhí)行“vlan 300”，“name FlexConnet”，創(chuàng) 建VLAN 300，用于傳輸數(shù)據(jù)流量。

執(zhí) 行“i n t e r f a c e v l a n 3 0 0”，“ i p address 111.1.1.254 2 5 5.2 5 5.2 5 5.0”，“i p dhcp pool VLAN300”，“network 111.1.1.0 255.255.255.0”，“defaultroute 111.1.1.254”命令，為VLAN 300設(shè)置網(wǎng)關(guān)地址，并配置DHCP地址池。

注意，這里并沒有設(shè)定DHCP服務(wù)的43號選項，因為這是為普通的客戶端配置的。

在SW1上進入全局配置模式，執(zhí)行“vlan 300”，“name FlexConnet”，“default interface g i g a b i t E t h e r n e t 1/0/2”，“i n t e r f a c e gigabitEthernet 1/0/2”，“switchport mode trunk”，“switchport trunk native VLAN 200”命令，創(chuàng)建VALN 300，并將其G1/0/2接口劃入到該VLAN中，并且啟用Trunk功能，指定本地VLAN為VLAN 200。這樣，對于AP沒有打TAG的流量會發(fā)送到VLAN 200中，便于AP注冊到WLC設(shè)備。

當注冊完成后，在WLC就可以為AP配置WLAN和VLAN的綁定關(guān)系，例如將特定的WLAN綁定到VLAN300。對于VLAN 300的流量來說，在進入Trunk時就會打上TAG，進入有線網(wǎng)絡(luò)。 進入WLC管理界面，選擇對應(yīng)的AP設(shè)備，在其屬性面板中的“AP Mode”列表中選擇“FlexConnect”項，激活本地轉(zhuǎn)發(fā)模式。默認使用的local”項，表示中心轉(zhuǎn)發(fā)模式。在“FlecConnect”面板中選擇“VLAN Support”項，激活VLAN的支持，讓AP可以支持Trunk功能，并輸入具體的本地VLAN號。

注意：這里的本地VLAN和上述交換機上設(shè)置的本地VLAN一定要一致。

點擊“Apply”按鈕保存配置，點擊“VLAN Mappings”按 鈕， 在“WLAN VLAN Mapping”欄中針對上述WLAN設(shè)置需要映射的VLAN ID號（例如“300”）。在“Make AP Specific”欄的右側(cè)點擊“Go”按鈕，執(zhí)行映射操作。

在工具欄上點擊“WLANs”按 鈕，在“Create New”項右側(cè)點擊“Go”按鈕，創(chuàng)建新的WLAN，用于實現(xiàn)本地轉(zhuǎn)發(fā)。輸入其名稱和SSID（例 如“Flexhello”），點 擊“Apply”按鈕保存設(shè)置，在其屬性窗口的“General”面板中的“Status”欄中選擇“Enable”項，將其激活。

注意：在此處關(guān)聯(lián)動態(tài)接口意義不大。

針對二層安全，按照上述方法配置PSK預(yù)共享 密 鑰。 在“Advanced”面 板 中 的“FlexConnect Local Switching” 欄 中選 擇“Enabled”項，激 活FlexConnect本地轉(zhuǎn)發(fā)功能，這一點尤為重要。

這樣，在客戶端上可以搜索并連接到上述SSID，來進入有線網(wǎng)絡(luò)。執(zhí)行“ipconfig/all”命令，可以查看獲得IP等信息。