一、适用场景
1、跨复杂区域覆盖WIFI。支持多房间、多栋、多层复式楼、别墅、自建房的无线WIFI覆盖。
2、强大的漫游功能。楼上楼下移动使用WIFI时需要支持WIFI的信号漫游更换地理位置不掉线、不中断。
3、用户量或网络流量的负载均衡功能。能根据接入用户量的多少各无线AP接入点进行负载均衡或根据网络流量大小进行负载均衡。
4、网络WIFI覆盖可无缝扩展。支持地理位置面积的WIFI扩展智能家居或物联网等多设备联网的基础设施。
5、局域网WIFI流量大的支撑帮手。当终端设备接入无线语音视频摄像头时几个或更多的摄像头监控视频保存时,所需的无线局域网数据流量急剧增加可使用NAS系统或硬盘录像机避开存储卡的寿命问题及使用普通路由器传输的瓶颈。
6、性能稳定运行免维护。避免像路由器使用一段日期后需要重启才体验效果恢复正常。
二、网络的规划
1、本例的拓扑图
说明:本例中为做好AC+POE+Ap的测试使用了办公网络中的其中一个端口作为外网出口在USG6310S上做NAT源地址转换左侧模拟家庭网络的ip地址都转换为办公网络中的192.168.172.200/24从而实现STA1与手机上网。本例并不对拓扑图右侧untrust区域的设备配置做详细解说untrust区域在本例中使用到的“H3C办公交换机”的G1/0/4端口配置为access模式允许vlan 172通过。
2、逻辑网络规划
网络结构设计如上面拓扑图的树型结构网络内网的传输流量以H3C S5500为中心交换机使将来部署的监控摄像头、NAS系统或硬盘录像机之间的流量在内网无瓶颈且S5500的接口有24电口+4光口可适应光或电的终端接入外网边缘使用防火墙提高网络安全性。
物理层技术选择在H3C S5500与无线控制器AC之间采用光纤+光模块传输本例使用的是1000Base-LX 1310nm 1.25G 10KM单模双芯LC接头的光模块华为USG6310S防火墙只有电口所以防火墙与H3C S5500之间采用超五类或六类双绞线的1000base-T技术实现内部骨干网络之间的千兆传输。从原理上来说机柜中短距离的光纤应该采用1000Base-SX的62.5/125多模光纤可支持传输220米,50/125多模光纤可支持传输500米或使用1000Base-LX的多模光纤可传输550米。如果使用单模光纤应加上光衰减器基于对机柜中单模双芯光模块与光纤在实际工作中的应用华为网络设备+华为光模块+单模双芯光纤从2016年到2023年使用的近7年的情况来看运行稳定华为光口查看光衰dBM值的指令如下图供参考。
局域网技术选择与应用主要采用成熟的vlan技术让管理网络与业务网络分离管理网络使用vlan 1业务网络使用vlan 10在H3C 5500上开启MSTP生成树协议防止网络环路让环路产生后能自动切割为树型网络并快速收敛。使用3个DHCP地址池服务为管理网络、无线终端用户、有线终端设备分配动态ip地址监控网络设备使用静态C类的ip地址。
广域网技术选择与应用考虑是家庭使用广域网且对服务器映射与NAS系统映射的要求并非必须使用拨号光纤的非对称网络更为划算。
地址设计管理网络的vlan 1的ip范围为192.168.200.0/24无线业务网络的vlan 10的ip范围为192.168.199.0/24有线终端设备vlan 100的ip范围为192.168.198.0/24监控网络设备的静态ip地址范围为192.168.197.0/24本例主要对vlan 1的无线管理网络与vlan 10的无线业务网络操作有线终端与监控网络设备的vlan可在后期添加。
路由协议选择因网络结构简单采用静态路由+缺省路由的方式实现三层网络的连接且使用静态路由不需要设备进行动态路由的产生、计算与转发可以提高网络的性能。
网络管理方案,采用SSH协议、Stelnet服务、HTTPS协议实现设备的管理功能比telnet服务、http协议相对更为安全并指定有线网络连接的设备才可以远程登录到设备进行管理屏蔽无线网络终端与监控网络远程登录到设备进行管理。
网络安全方案设计网络的边缘采用硬件防火墙华为USG6310S确保外网与内网之间需要通过安全策略的审核才可以访问;在防火墙上完成DDOS、SYN Flood、UDP Flood、ICMP Flood、HTTP/HTTPS Flood、DNS request Flood、DNS Response Flood、SIP Flood等各种攻击的防御配置。
三、本例的实战设备说明
一同一个设备2个模块AC+PoE三层交换机
1、WX3010E的AC控制器模块可对无线接入点多个AP管理本例中AP的管理网络使用VLAN 1配置的ip地址池。WX3010 E的AC能识别83种H3C的无线AP分别是LA2608、LA3608E、LA3608E-DB、LA4310、LA4310V、LA4320、LA4320V、LA4320X、WA1208E-AG、WA1208E-AGP、WA1208E-DG、WA1208E-G、WA1208E-GNP、WA1208E-GP、WA1208E-GP-H20、WA2100、WA2110GN、WA2210-AG、WA2210E-GE、WA2210X-GE、WA2220-AG、WA2220E-AG、WA2220X-AG、WA2220X-AGE、WA2220X-AGP、WA2610AGN、WA2610-GN、WA2610-GNE、WA2610E、WA2610E-AGN、WA2610E-F、WA2610E-GNE、WA2610E-GNP、WA2610H、WA2610H-GN、WA2610H-GN-H20、WA2610X、WA2610X-GNP、WA2610i-GN、WA2612、WA2612-AGN、WA2612-H20、WA2620、WA2620-AGN、WA2620-AGN-C、WA2620-AGN-S、WA2620E、WA2620E–AGN、WA2620E–D、WA2620E–F、WA2620E–X、WA2620X、WA2620-AGNP、WA2620i-AGN、WA3610i-GN、WA3610i-AGN、WA3628i-AGN、WA3628i-AGN-X、WA4320、WA4320-ACN、WA4320-ACN-C、WA4320-ACN-D、WA4320-ACN-E、WA4320-ACN-PI、WA4320-ACN-SI、WA4320-TQ、WA4320-TS、WA4320H、WA4320H-ACN、WA4320H-ACN-H20、WA4320H-ACN-HI、WA4320H-EI、WA4320X、WA4320X-H20、WA4320i-ACN、WA4320i-X、WA4330-ACN、WA4620E-ACN、WA4620i-ACN、WB2320X-AGE、WB2360X-ANP、WH2530X-DAG、WTU430。
2、WX3010E的POE交换机模块支持给无线AP的POE供电、摄像头的POE供电的同时还支持以太网数据传输。
二 H3C WA2620E、WA4320无线AP
1、AP在无线工作站和有线主干之间起网桥的作用实现了无线与有线的无缝集成。AP既允许无线工作站访问网络资源同时又为有线网络增加了可用资源。
2、在无线 AP、AC的通信中它会将数据转换成无线信号然后通过天线发送出去。这个过程中无线 AP、AC会使用一种叫做 OFDM(正交频分复用)的技术它可以将数据分成多个子信道,然后将它们同时传输。这样可以提高数据传输的速度和可靠性。
3、OFDM 技术的原理是将数据分成多个子信道每个子信道都有自己的频率和相位。这些子信道之间是正交的也就是说它们之间没有干扰。这样可以提高数据传输的可靠性因为即使某个子信道受到干扰其他子信道仍然可以正常传输数据
4、在无线AP AC的通信中还会使用一种叫做 MIMO(多输入多输出)的技术。这个技术可以利用多个天线同时传输和接收数据从而提高数据传输的速度和可靠性。MIMO 技术的原理是利用多个天线同时传输和接收数据然后将它们合并起来。这样可以提高数据传输的速度和可靠性,因为即使某个天线受到干扰,其他天线仍然可以正常传输数据。
5、本例中接入无线AP接入的用户,使用vlan 10的DHCP 地址池中的ip地址作为内网ip。
6、WLAN网络中的几个概念
射频信号
这是802.11系列标准WLAN无线网络的传输信号——电磁波。用于无线网络的连接目前WLAN采用的是具有远距离传输能力的高频电磁波如2.4GHz或5GHz
STA
STA是支持802.11标准的终端设备类似于有线网络中的PC、笔记本电脑只不过它们装的都是WLAN无线网卡。
AP
AP位STA提供基于802.11系列标准的无线接入服务。AP上通常也带有线以太网端口用于有线设备进行网络连接另一端于STA连接的是“空口”通过无线方式进行连接。
AC
AC对无线局域网中所有的AP进行控制和管理为WLAN用户提供认证、管理等服务。
FAT AP胖接入点
FAT AP在自治式网络架构AP集成AC功能的组网结构中除了提供STA的无线接入服务外还能提供一部分AC功能如安全和管理功能。
FIT AP瘦接入点
FIT AP即没有集成AC功能的纯AP设备企业网络大多数采用FIT AP+AC的方案由专门的AC负责WLAN安全认证和管理工作
VAP虚拟接入点
VAP是AP设备上虚拟出来的业务功能实体一个AP可以分出多个VAP为不同的用户提供隔离的无线接入服务。同一个AP上配置的所有VAP共享同一个AP的软件和硬件资源所有的VAP的同频段用户共享相同的信道资源所以AP的总容量是不变的并不会随着VAP数量的增加而成倍增加。
BSS基本服务集
BSS是无线网络的服务单元通常由一个AP和若干个STA组成。早期的AP只支持一个BSS新的AP都支持VAP每个VAP对应一个BSS每个BSS对应一个BSSID基本服务集标识符每个BSS收发的报文都会携带对应的BSSID以便区分在同一个BSS服务区域的STA可以互通信。
SSID服务集标识符
SSID通常是一个字符串)表示一个特定无线网络的标识,用来区分不同的无线网络。根据标识又可以分为一下两种:
BSSID
对于没有划分VAP的AP来说,为了区分BSS,要求每个BSS都有唯一的BSSID,因此使用AP的MAC地址来保证其唯一性。支持VAP时,每个VAP都配有一个唯一的MAC地址作为相应VAP的BSSID。为了便于用户标识,一般使用SSID来代替BSSID。
ESSID(扩展服务集标识符)
由多个SSID相同的BSS组成,是一个更大的虚拟BSS。当然多个AP的SSID也可以一样,STA可以先扫描所有的网络,然后选择特定的SSID接入某个特定的无线网络,通常,我们所指的SSID即ESSID。
(10)ESS(扩展服务集)
ESS是由采用相同SSID的多个BSS(对应多个VAP,可以分布在多个AP上)组成更大规模的虚拟BSS。ESS所覆盖的设备不限于单个AP,只要SSID相同即认为在同一个ESS中,即可以直接互通,用户可以带着终端在ESS内自由移动和漫游,不管用户移动到哪里,都可以被认为是使用同一个WLAN。
(三)华为USG6310S防火墙
1、本例中的USG6310S防火墙主要用于接入外网(光纤拨号或ip城域网专线均可),实现路由器的NAT地址转换功能,多个内网用户使用1个公网地址上网。
2、安全防护,阻止拒绝非法连接,配置域间策略,只对允许的域间实现访问,配置外网接口,例如常见的各类攻击,如DDOS、SYN Flood、UDP Flood、ICMP Flood、HTTP/HTTPS Flood、DNS request Flood、DNS Response Flood、SIP Flood等各种攻击进行防御,对已知ip的攻击加入黑名单等。
上图为华为USG6310S的接口示意图
3、QOS带宽策略的配置,总的原则让每个接入网络的用户或终端都能正常使用流量,不会因某个终端或用户使用P2P、视频、游戏之类的软件,把整条外网的带宽用完,而导致其他的用户无法正常流畅地访问外网。
4、还可配置NAT的服务器映射,当需要从外网访问内网的服务器时使用NAT的服务器映射;VPN隧道的远程访问配置(如L2TP、基于ipsec的VPN等),从外网拨入到内网中,就像使用内网资源一样方便。
上图是华为USG6310S的状态指示灯
(四)H3C S5500三层交换机
1、H3C S5500的三层交换使用光纤接口与H3C WX3010E的光纤接口对接,让通过无线WIFI网络接入到外网的用户业务网络流量从该三层交换机转发。
2、家庭局域网的数据流量都从H3C S5500进行转发,若后期配备有NAS系统或硬盘录像机后,S5500成为主要内网转发设备,它与AC、防火墙之间都采用三层网络,通过静态路由实现通信。
上图是H3C S5500的接口与状态指示灯
四、配置过程
(一)H3C WX3010E(AC控制器模块的配置):
1、通过usb-com的console配置线一端接入到WX3010E的console接口,另一端接入到电脑的以太网口,以太网口配置ip地址为192.168.200.250 255.255.255.0。
2、安装好USB转com的console配置线驱动程序,从设备管理器里面查看新增加的端口名称com11(在不同的电脑上安装驱动后显示的接口名称可能不同,注意记录一下)。
3、再查看com11的具体属性,USB-serial CH340的属性参数及波特率如下图:
4、PC电脑端打开secureCRT软件,与com口对应后,建立连接,点“新建会话”,如下图:
5、从secureCRT协议右侧的下拉列表中选择serial串口,如下图:
6、在secureCRT软件中配置好serial串口的参数,与第3步中看到的USB-serial参数一致,如下图:
7、给新建的配置会话取名称(自定义,能区分与别的配置和com接口即可),如下图:
8、在对话框中选中serial-com11,点连接,如下图:
9、点连接后,按几次回车,进入到console口的CLI配置界面,最初的命令提示符默认名称是,下图中是已经修改了设备名称之后的显示:
应读者朋友的要求,想使用中文的图形化界面进行配置,所以本例中尽量采用图形化界面,也会把必要的指令部分写出来,并做好注释说明
10、进入AC模块的配置,输入以下指令:
System-view #进入系统视图
Sysname H3C_WX3010E_200.254 #给AC控制器取名,以区分同一硬件设备的POE交换机
interface Vlan-interface1 #配置vlan 1的ip地址,用于网络登录到AC
ip address 192.168.200.254 255.255.255.0 #配置用于管理AC控制器模块的ip地址
oap management-ip 192.168.200.254 slot 0 #指定用于管理AC的ip地址
local-user admin #创建用户admin,用于网络登录到AC
password cipher a1234567 #配置用户的密码
authorization-attribute level 3 #指定用户的权限等级
service-type telnet #配置用户的远程登录类型(可使用ssh的
stelnet,请参考之前写过的文章)
service-type web #指定用户可使用WEB网页方式登录
11、在浏览器中,输入刚才配置好的ip地址192.168.200.254,会出现H3C WX3010E的配置登录界面,再输入用户名admin和密码登录a1234567,如下图:
12、登录AC控制器成功后,会显示H3C WX3010E的设备概览,如下图:
13、添加AP到AC控制器,在左侧列表点AP后,再单击AP设置,新建AP,输入AP名称,选择型号,手动指定AP的序列号(AP的型号与序列号可以在AP背后的标签上查看,也可以使用console配置线接到AP的console口,等AP启动后,使用display version命令查看),填写正确后,点确定,如下图:
14、当所有的AP添加到AC控制器完成后,现在AP上还没有管理网络的ip地址,连接到AP上的终端也没有业务网络ip地址,需要在AC控制器模块上配置管理网络的DHCP地址池,且在POE交换机模块上也要配置,操作如下:
(1)将USB转COM的console配置线接入到H3C WX3010E的console接口,如下图:
(2)按回车进入AC控制器模块的命令状态,输入以下指令:
System-view #进入系统视图
dhcp enable #开启DHCP服务功能,用于给AP与无线终端分配ip
dhcp server ip-pool ap #创建DHCP服务的ip地址池,取名为ap,用于给ap分配管理ip
network 192.168.200.0 mask 255.255.255.0 #指定地址池的范围
dhcp server forbidden-ip 192.168.200.250 192.168.200.254 #指定地址池排除的ip地址范围
Vlan 10 #创建无线终端的业务网络vlan 10
interface Vlan-interface10 #配置无线终端的业务网络vlan 10
ip address 192.168.199.254 255.255.255.0 #配置无线终端的业务网络vlan 10的ip
dhcp server ip-pool client #创建无线终端的业务网络vlan 10的地址池
network 192.168.199.0 mask 255.255.255.0 #配置无线终端的业务网络的ip范围
gateway-list 192.168.199.254 #指定无线终端的业务网络的网关
dns-list 8.8.8.8 #指定无线终端的业务网络的域名解析服务器ip
dhcp server forbidden-ip 192.168.199.250 192.168.199.254 #指定地址池排除的ip地址范围
interface Bridge-Aggregation1 #配置链路聚合,出厂时默认已经创建,用于H3C WX3010E
这个硬件设备中的2个模块之间的连接,即AC与POE交换机之间。
port link-type trunk #配置链路聚合为干道模式
port trunk permit vlan 1 10 #配置链路聚合干道中允许通过的管理vlan 1,与无线终端使
用的vlan 10
arp detection trust #配置接口为ARP信任接口
interface GigabitEthernet1/0/1 #配置AC上的接口G1/0/1,以下指令用于查看链路聚合是
port link-type trunk #否配置成功,如果配置成功,则会自动添加上干道模式
port trunk permit vlan 1 10 #与干道模式上的链路聚合允许通过的vlan 1、vlan 10
port link-aggregation group 1 #G1/0/1接口在出厂时就已经自动加入到链路聚合中
interface GigabitEthernet1/0/2 #同样,在G1/0/2上查看验证链路聚合配置的结果
port link-type trunk #是否有链路聚合配置后的干道模式和
port trunk permit vlan 1 10 #干道模式允许通过的vlan 1、vlan 10
port link-aggregation group 1 # G1/0/1接口在出厂时就已经自动加入到链路聚合中
ip route-static 0.0.0.0 0.0.0.0 10.0.0.2 #配置从防火墙以外的未知网络到AC的缺省路由
ip route-static 192.168.199.0 24 192.168.200.252 #配置从无线业务终端到AC的静态路由
ip route-static 10.0.0.0 255.0.0.0 10.0.0.2 #配置从防火墙和S5500到AC的静态路由
(二)H3C WX3010E上的POE交换机模块配置
1、当完成H3C WX3010E上的AC控制器模块的DHCP地址池与链路聚合后,再配置H3C WX3010E上的POE交换机模块,此时需要通过执行如下指令:
2、Quit #从AC控制器模块退出到< H3C_WX3010E_200.254>提示符为这个状态
3、Oap connect slot 0 #从H3C WX3010E上的AC控制器模块切换到H3C WX3010E上的POE交换机模块,输入后按回车,会提示已经切换到POE交换机模块,如下图所示:
4、H3C WX3010E的POE交换机模块上的配置:
System-view #进入系统视图
Sysname POE_switch_200.252 #给POE交换机命名
oap management-ip 192.168.200.252 slot 1 #指定管理POE交换机模块的ip地址
vlan 1 #创建vlan 1
vlan 10 to 11 #创建vlan 10用于无线终端业务网络、vlan 11
用于与S5500的三层网络连接
interface Bridge-Aggregation1 #配置POE交换机模块上的链路聚合,用于与
AC模块上的链路聚合匹配
port link-type trunk #配置链路聚合为二层干道模式
port trunk permit vlan 1 10 #配置链路聚合的干道模式允许通过无线AP的管理
网络vlan 1与无线终端用户的业务网络vlan 10
interface Vlan-interface1 # 配置POE交换机模块的vlan 1
ip address 192.168.200.252 255.255.255.0 #配置POE交换机模块的管理ip地址
interface Vlan-interface11 #配置POE交换机模块的vlan 11
ip address 10.0.0.1 255.255.255.0 #配置POE交换机模块的ip地址,与S5500对
接时的三层ip地址
interface GigabitEthernet1/0/1 #配置配置POE交换机模块的G1/0/1接口
port link-type hybrid #配置接口为混合模式(也可以配置为access)
port hybrid pvid vlan 1 #配置接口默认使用vlan 1
port hybrid vlan 1 untagged #配置接口仅允许vlan 1不带标签通过
poe enable #开启接口的poe功能用于给AP供电
port-group manual 1 #创建一个端口组,同时对多个端口配置
group member g 1/0/2 to g 1/0/8 #端口组成员是G1/0/2、3、4、5、6、7、8
port link-type access #配置端口为access模式
port access vlan 1 #默认通过vlan 1,这条指令可不用输入
poe enable #开启7个端口的poe供电功能
interface GigabitEthernet1/0/10 #配置G1/0/10端口
description to H3C_S5500_G1/0/28 #描述该端口连接到对端的S5500的G1/0/28端口
port access vlan 11 #配置该端口允许通过vlan 11
interface GigabitEthernet1/0/11 #配置POE交换机上的接口G1/0/11,以下指令用于查看链路聚合是否配置成功,如果配置成功,则会自动添加上干道模式
port link-type trunk # 查看与链路聚合匹配即可,不用手动输入
port trunk permit vlan 1 10 #干道模式上的链路聚合允许通过的vlan 1、vlan 10
port link-aggregation group 1 #G1/0/11接口在出厂时就已经自动加入到链路聚合中
interface GigabitEthernet1/0/12 #同样该接口下的配置查看即可
port link-type trunk #若与链路聚合的配置匹配就不用修改
port trunk permit vlan 1 10 #允许链路聚合通过ap的管理网络vlan 1、用户业务vlan 10
port link-aggregation group 1 #出厂时该端口已经加入到链路聚合中
ip route-static 0.0.0.0 0.0.0.0 10.0.0.2 #配置从防火墙以外的未知网络到AC的缺省路由
ip route-static 10.0.0.0 255.255.0.0 192.168.200.254 #配置从防火墙、S5500的三层网络到AC的静态路由
ip route-static 192.168.199.0 255.255.255.0 192.168.200.254 #配置连接AP的无线终端业务网络vlan 199到AC的静态路由
(三)验证AP上线,从AC获取到的管理ip地址
1、现在无线AP已经可以从AC控制器的模块地址池中获取到AP的管理ip地址192.168.200.0/24了,我们在AC上使用命令display dhcp server ip-in-use all查看,有3个地址池中的地址被使用,如下图:
2、WEB登录到H3C WX3010E的AC控制器模块上,同样验证可以看到3个AP获取到的vlan 1的管理ip地址,与MAC地址、SN序列号的对应关系,如下图:
(四)配置AP的无线WIFI上线
1、创建无线接入点的SSID,即后面用于连接的WIFI名称
(1)通过WEB方式登录到AC控制器模块,192.168.200.254,添加2个无线接入服务,分别用于2.4Ghz与5Ghz的接入,操作时,先点左侧的“接入服务”,再“新建”,已经建立好接入服务后如下图:
(2)新建时可设置WIFI密码,输入无线服务名称和无线服务类型,crypto 表示为加密无线网络,none 表示开放网络。
2、修改配置无线SSID的密码,即俗称WIFI密码
(1)选择一个SSID,点右侧“操作”中的第1个小图标“修改”,配置接入点参数,展开高级设置,配置关联最大用户数,默认64 (每个AP接入的用户数,并非接入点最大用户数),展开安全设置,选择加密类型TKIP,安全IE为WPA2展开端口安全,端口设置,端口模式 PSK 与共享密钥为 pass-phrase 后面自行输入接入点的密码。
(2)2个SSID的无线wifi完成安全设置后,点确定,如下图:
3、开启SSID,勾选2个SSID后,点开启,如下图:
(1)点开启SSID时,开启过程成功,显示OK,如下图
(2)2个SSID都开启完成后,服务状态为“开启”如下图:
4、绑定SSID及安全配置到无线AP的射频上
(1)绑定5Ghz的SSID到AP的5GHZ射频1上,在上图中点5G的SSID右边“操作”最右侧的8字环锁状图标后,勾选802.11n(5GHz)和802.11ac(5GHz),分别代表了2个AP的5Ghz射频,如下图:
(2)点“绑定”,绑定成功,显示OK
(3)绑定2.4Ghz的SSID到AP的2.4GHZ射频2上,在上图中点2.4G的SSID右边“操作”最右侧的8字环锁状图标后,勾选2个AP所对应的802.11n(2.4Ghz)射频。
勾选后,点“绑定”,绑定成功后,如下图:
5、开启2.4GHz与5GHz射频
(1)点左侧的“射频”——>“射频设置”,选中所有射频后,点开启,如下图:
(2)开启射频成功时,如下图:
(3)开启射频成功后,观察“状态”栏,都显示为“开启”,如下图:
6、用手机和电脑连接wifi
(1)此时用手机和电脑都可以看到AP发射出来的WIFI名称,如下图:
(2)客户端开始分别连接wifi的2.4Ghz与5Ghz的频道,输入之前配置的WIFI密码后,从“概览”的“客户端”列表可以看到,有2个设备分别连接了2.4Ghz与5Ghz,如下图:
(五)配置各AP的负载均衡与WIFI的信道优化
1、从左侧的高级设置,“负载均衡”展开后,可根据用户的会话数量或网络流量大小进行负载均衡的配置,如下图:
2、配置射频功率优化,2.4Ghz每个AP分别使用1,6,11,相邻之间错开使用不同的信道,5GHz每相邻的2个AP使用不同的信道,36、40、44、48、52、56、60、64、149、153、157、161、165如下图:
至此,无线AC控制器模块,POE交换机模块,AP连接到AC上线,客户端连接到AP上线都已经完成,AP能获取到DHCP地址池中vlan 1的管理ip地址192.168.200.0/24,客户端能正常连接WIFI,获取到DHCP地址池中vlan 10的业务ip地址192.168.199.0/24,但此时手机和电脑还无法上网,需要继续完成三层交换机和防火墙的配置。若是家庭用户,则接上路由器,配置好路由器与AC之间的静态路由,即可实现上网。
(六)AC控制器的无线网络配置指令(与上面的图形化配置效果相同)
1、创建SSID的5GHz模板
wlan service-template 1 crypto #创建服务模板1,采用加密模式
ssid cyc_601_5G #创建5G用的SSID,5G的WIFI名称
bind WLAN-ESS 1 #绑定5G的SSID与WLAN-ESS无线射频1
client max-count 20 #配置客户端连接数最大为20
cipher-suite tkip #配置加密模式为tkip
security-ie rsn #安全信息元素为RSN
service-template enable #开启服务模板
2、创建SSID的2.4GHz模板
wlan service-template 2 crypto #创建服务模板2,采用加密模式
ssid cyc_601_2.4G #创建2.4G用的SSID,2.4G的WIFI名称
bind WLAN-ESS 0 #绑定2.4G的SSID与WLAN-ESS无线射频2
client max-count 8 #配置客户端连接数最大为8
cipher-suite tkip #配置加密模式为tkip
security-ie rsn #安全信息元素为RSN
service-template enable #开启服务模板
3、通过无线的WLAN_ESS0接口配置WIFI密码
interface WLAN-ESS0 #创建WLAN-ESS0接口
port access vlan 10 #配置该接口允许通过ap的无线终端、客户端的vlan 10
port-security max-mac-count 40 #配置端口安全最大量允许40个MAC地址
port-security port-mode psk #配置身份认证与密钥管理模式为PSK模式
port-security tx-key-type 11key #配置身份认证与传输方式为11key
port-security preshared-key pass-phrase cipher $c
3
3
3
v8qBKUlV2Nc #配置WIFI密码
interface WLAN-ESS1 #创建WLAN-ESS0接口
port access vlan 10 #配置该接口允许通过ap的无线终端、客户端的vlan 10
port-security port-mode psk #配置身份认证与密钥管理模式为PSK模式
port-security tx-key-type 11key #配置身份认证与传输方式为11key
port-security preshared-key pass-phrase cipher $c
3
3
3
++qSV2p+c+dou #配置WIFI密码
wlan ap 487a-da2e-6500 model WA2620E id 1 #添加无线AP到AC控制器,型号WA2620E,
id1号为1
serial-id 219801A0ECC163000210 #AP的序列号
radio 1 #配置射频1
channel 149 #配置5G的通信信道为149
service-template 1 #绑定AP到的射频1到服务模板1
mimo 2x2 #配置AP的同时2入2出功能
radio enable #开启5G射频
radio 2 #配置射频2
channel 1 #配置2.4G的通信信道为1
service-template 2 #绑定AP到的射频2到服务模板2
mimo 2x2 #配置AP的同时2入2出功能
radio enable #开启2.4G射频
wlan ap 74ea-cb07-7180 model WA4320 id 2 #添加无线AP到AC控制器,型号WA4320,
id号为2
serial-id 219801A0UE8176E03144 # AP的序列号
country-code CN #指定国家代码为中国
radio 1 #配置射频1
channel 52 #配置5G的通信信道为52
service-template 1 #绑定AP到的射频1到服务模板1
mimo 2x2 #配置AP的同时2入2出功能
radio enable #开启5G射频
radio 2 #配置射频2
channel 11 #配置2.4G的通信信道为11
service-template 2 #绑定AP到的射频2到服务模板2
mimo 2x2 #配置AP的同时2入2出功能
radio enable #开启2.4G射频
wlan ap 74ea-cb08-0080 model WA4320 id 3 #添加无线AP到AC控制器,型号WA4320,
id1号为3
serial-id 219801A0UE8176E04288 #AP的序列号
radio 1 #配置射频1
channel 60 #配置5G的通信信道为60
service-template 1 #绑定AP到的射频1到服务模板1
mimo 2x2 #配置AP的同时2入2出功能
radio enable #开启5G射频
radio 2 #配置射频2
channel 6 #配置2.4G的通信信道为6
service-template 2 #绑定AP到的射频2到服务模板2
mimo 2x2 #配置AP的同时2入2出功能
radio enable #开启2.4G射频
wlan ids #配置无线ids检测
attack-detection enable all #使能所有攻击检测功能
wlan load-balance-group 1 #配置负载均衡组1
description blance #描述为blance
ap 74ea-cb08-0080 radio 1 #AP1的5G射频加入到负载均衡组
ap 74ea-cb08-0080 radio 2 #AP1的2.4G射频加入到负载均衡组
ap 74ea-cb07-7180 radio 1 #AP2的5G射频加入到负载均衡组
ap 74ea-cb07-7180 radio 2 #AP2的2.4G射频加入到负载均衡组
ap 487a-da2e-6500 radio 1 #AP3的5G射频加入到负载均衡组
ap 487a-da2e-6500 radio 2 #AP3的2.4G射频加入到负载均衡组
(六)配置H3C三层交换机S5500:
1、H3C S5500的配置指令(S500与AC控制器连接,S5500与防火墙连接,有线网络与监控网络的vlan及规划配置,此处暂不详解,主要让无线WIFI网络能互联)
System-view #进入系统视图
vlan 1 #默认创建的vlan 1
vlan 10 to 11 #创建vlan 10与vlan 11
#interface Vlan-interface10 #配置vlan 10用于与防火墙连接
ip address 10.0.1.1 255.255.255.0 #给vlan 10配置ip地址
interface Vlan-interface11 #配置vlan 11用于与AC控制连接
ip address 10.0.0.2 255.255.255.0 #给vlan 11配置ip地址
interface GigabitEthernet1/0/2 #配置接口G1/0/2
port access vlan 10 #允许接口通过的vlan 10,使该接口具有ip
description to Firewall_g 0/0/6_neiwang #描述该接口与防火墙的g0/0/6相连
interface GigabitEthernet1/0/28 #配置G1/0/28接口
description to H3C_WX3010E_g1/0/10_AC #描述该接口与WX3010E的交换机G1/0/10相连
port access vlan 11 #允许该接口能通过的VLAN 11
ip route-static 0.0.0.0 0.0.0.0 10.0.1.3 #配置缺省路由,让从防火墙之外的未知网络的下一
跳指向防火墙的接口
ip route-static 192.168.199.0 255.255.255.0 10.0.0.1 #配置无线终端的静态路由下一跳指
向POE交换机的光口
2、H3C S5500三层交换机配置完成后,查看它的路由表中有AP终端用户的路由与POE交换机的路由(防火墙上的路由,需要把防火墙的ip及路由配置完成后才会显示,10.0.1.0/24则是防火墙上的路由)。
(七)华为USG6310S防火墙配置
1、配置防火墙各接口的ip地址,192.168.0.1是默认的G0/0/0管理接口,WEB登录防火墙时,8443是端口号,192.168.172.200是无线终端的外网出口地址,10.0.1.3是与S5500连接的三层接口,如下图:
2、配置防火墙上的静态路由与缺省路由,缺省路由指定防火墙以外的未知网络下一跳为H3C办公交换机上的ip地址;静态路由用来配置无线终端用户的下一跳为S5500上的10.0.1.1。
3、配置防火墙的区域及安全策略,将G0/0/1加入到untrust区域,将G0/0/6加入到trust区域,配置安全策略如下图:
从内网trust访问外网untrust的源地址配置为192.168.199.0/24,动作为允许访问
如果有服务器映射或NAS映射到外网时,需要配置从外网untrust访问内网的DMZ区域,本例不做详解。
4、配置NAT策略,让所有无线终端192.168.199.0/24网段通过192.168.172.200这个ip出到办公外网,与192.168.172.254对接,从而实现多个无线终端使用1个公网ip上网。
5、上图指定源地址为无线终端网段192.168.199.0/24,下图配置外网出口地址为192.168.172.200
至此,三层交换机H3C S5500、华为USG6310S防火墙、H3C WX3010E(含AC控制器+POE交换机)都配置完成,接下来验证外网的连通性。
五、验证结果
1、使用1台电脑连接到WIFI,在AC控制器上查看DHCP地址使用的情况,可以看到有3个ip地址:192.168.200.1、192.168.200.2、192.168.200.3是无线AP的管理ip地址,192.168.199.1是电脑连接无线WIFI后获取的ip地址。说明DHCP服务工作正常,AP的管理网络正常,无线终端的业务局域网网络正常。
2、在PC电脑上ping DNS服务器、百度网站,打开网页正常,如下图
3、查看PC电脑端的ip地址,192.168.199.1是无线业务网络的192.168.199.0/24范围之一,如下图:
六、可扩展规划:
1、在S5500交换机上,可用于有线网络的扩展,如:台式有线PC网络、电视机。逻辑网络上可再规划不同的VLAN用于有线网络业务。
2、无线控制器上,可根据地理范围的增大,继续扩充AP的数量,H3C WX3010E默认可管理12台AP,若超过该数量的AP时,需要购买授权协议。
3、监控视频网络若家庭安装的摄像头数量不多,IP摄像头供电可直接在POE交换机上接入,无线摄像头使用的WLAN网络有AP的5G与2.4G负载均衡,完全够局域网内传输监控视频到硬盘录像机或NAS系统。
本文至此结束,所用的企业级H3C WX3010E、华为USG6310S、H3C S5500均在闲鱼上所淘,价格实惠,可自行斟酌。错误之处敬请批评指正。
客服1 