CiscoWLC无线配置实例、无线AC+AP原理讲解

随着移动设备的便捷性和普及型越来越高，无线网络在如今的办公和家庭占比越来越大。家庭普遍还是使用的单独无线路由器（你又大house的话不在我们屌丝网工的预料之内：））不在本次讨论范围内，我们着重研究AC+AP模式的部署和基本原理。

看过很多介绍，都是基于原理去讲解，对于完全没有概念的伙伴来说一脸懵逼，我们换个思路从部署的角度结合原理来带大家从0到独立搭建无线网络，一切以实战为主。

1、 AP注册

AP分为两种：胖AP、瘦AP

1. 胖AP，具有独立的配置单独的控制层面，具有路由功能，一般会用在家庭或者小型的soho办公室。
2. 瘦AP，不支持独立配置，更像是AC的"天线"方便集中管理，继而有更好的覆盖和信道优化，一般用在企业、会场等等；

我们讨论的就是瘦AP+AC的模式，我们现在人的审美就是喜欢"瘦"。

我们拿到一台Cisco的AC控制器（WLC）和几台AP，这里的AP指的是瘦AP不具备自身的配置能力需要AC控制统一下发配置以及控制层面的同步，如何把AP注册到AC控制器呢？这时候涉及到一个名词：

CAPWAP隧道：AP通过DHCP里的IP地址或者域名获取AC地址，与AC协商后创建CAPWAP隧道，用来下发配置、认证信息、管理信息，在local模式下承载数据流量。

1、如下拓扑我们来演示一下Local（集中）转发AP注册的全过程：

1-1 WLC初始化配置：

Would you like to terminate autoinstall? [yes]: yes
System Name [Cisco_04:00:01] (31 characters max):
AUTO-INSTALL: process terminated -- no configuration loaded
admin //创建用户名
Enter Administrative User Name (24 characters max): admin
Enter Administrative Password (3 to 24 characters): *********
Re-enter Administrative Password : ********* //创建登录密码
Service Interface IP Address Configuration [static][DHCP]: //service ipHE MGNTinterface功能合并，无需配置。
Management Interface IP Address: 192.168.0.252 //MGNT地址，通过此地址与AC创建CAPWAP隧道
Management Interface Netmask: 255.255.255.0
Management Interface Default Router: 192.168.0.254 //MGNT的网关地址
Management Interface VLAN Identifier (0 = untagged): 2//MGNT的vlan id
Management Interface Port Num [1 to 1]: 1 //物理接口
Management Interface DHCP Server IP Address: 192.168.0.20 //DHCP服务器地址
Virtual Gateway IP Address: 1.1.1.1 //做HA或者Portal等呈献给user的地址
Mobility/RF Group Name: MRF //做多组AC漫游
Network Name (SSID): TEST//无线名称
Configure DHCP Bridging Mode [yes][NO]:
Allow Static IP Addresses [YES][no]: no
Configure a RADIUS Server now? [YES][no]: no
Warning! The default WLAN security policy requires a RADIUS server.
Please see documentation for more details.
Enter Country Code list (enter 'help' for a list of countries) [US]: CN //AP的国家参数，选错了无法注册
Enable 802.11b Network [YES][no]: //开放abg
Enable 802.11a Network [YES][no]:
Enable 802.11g Network [YES][no]:
Enable Auto-RF [YES][no]: //开启自动漫游
Configure a NTP server now? [YES][no]: no
Configure the system time now? [YES][no]: no
Warning! No AP will come up unless the time is set.
Please see documentation for more details.
Would you like to configure IPv6 parameters[YES][no]: no
Configuration correct? If yes, system will save it and reset. [yes][NO]: yes

1-2 CoreSwtich配置：

Switch>en
Switch#conf t
Switch(config)#hostname CoreSwitch
CoreSwitch(config)#vlan 2 //创建AC的MGNT接口vlan
CoreSwitch(config-vlan)#exit
CoreSwitch(config)interface vlan 2
CoreSwitch(config)ip address 192.168.0.254 255.255.255.0
CoreSwitch(config)no shut
CoreSwitch(config)#vlan 20
CoreSwitch(config)interface vlan 20 //创建用户无线获取地址段vlan
CoreSwitch(config)ip address 192.168.110.254 255.255.255.0
CoreSwitch(config)no shut
CoreSwitch(config-vlan)#exit
CoreSwitch(config)#service dhcp
CoreSwitch(config)#ip dhcp pool AP //创建AP DCHP地址池
CoreSwitch(dhcp-config)#default-router 192.168.2.254
CoreSwitch(dhcp-config)#network 192.168.2.0 255.255.255.0
CoreSwitch(dhcp-config)#option 43 hex f104.c0a8.00fc //通过Option32告诉AP怎么找到AC地址f104表示一台AC，十六进制中C0=192 a8=168以此类推
CoreSwitch(dhcp-config)#exit
CoreSwitch(config)ip dhcp pool BS-VIP
CoreSwitch(dhcp-config)#default-router 192.168.110.254
CoreSwitch(dhcp-config)#network 192.168.110.0 255.255.255.0
CoreSwitch(config)#interface ethernet 0/1 //与WLC的互联接口
CoreSwitch(config-if)#description ToWLC
CoreSwitch(config-if)#switchport mo trunk
CoreSwitch(config-if)#switchport trunk all vlan all
CoreSwitch(config-if)#inter e 0/0
CoreSwitch(config-if)#description ToAccessSwtich //与AcessSwtich的互联接口
CoreSwitch(config-if)#switchport mo trunk
CoreSwitch(config-if)#switchport trunk allowed vlan all

1-3 Access-POE交换机：

Switch>en
Switch#conf t
Switch(config)#hostname Access-POE
Access-POE(config)#vlan 2
Access-POE(config)#vlan 20
Access-POE(config-vlan)#exit
Access-POE(config)#inter e 0/0 //与Core交换机互联接口
Access-POE(config-if)#switchport mo trunk
Access-POE(config-if)#switchport trunk all vlan all
Access-POE(config-if)#no shut
Access-POE(config-if)#inter rang e 0/1-2 //连接AP接口
Access-POE(config-if-range)#switchport mode access
Access-POE(config-if-range)#switchport access vlan 20
Access-POE(config-if-range)#no shut

1-4 将AP插入到配置的POE交换机接口，并通过console查看注册信息：

1-5 基于Web登录WLC并查看刚刚注册的AP，如下图：

1-6 修改AP名称便于管理:

2、WLAN配置

2-1 设计三个概念：

1 SSID 在空间中看到的无线的名称，Client用户基于特定的认证方式连接到SSID继而通过AP转发数据；

2 interface WLC的逻辑端口，interface与物理网络的Vlan关联，将该interface的流量导入到物理网络；

3 WLAN 将SSID与interface连接的纽带，不用的SSID通过Wlan关联到指定的interface，继而转发到特定物理网络的vlan，完成无线到物理网络的数据传输。

2-2 了解完以上三个概念，我们开始配置：

1 SSID创建并与Wlan关联：Wlans-Creat New

2 创建interface并关联vlan：

CONTROLLER-intefaces-New

修改interface参数：

2-3 修改WLAN参数：

1 关联interface接口

2 修改认证参数：

3 完成以上设置既可看到SSID:

3、 以上既可以完成最常规的使用最多的集中转发+PSK认证的无线配置，我们继续扩展第二方式Flexconnct。

Flexconct：不同于集中转发，CAPWAP隧道至负责控制和安全报文在AC与AP间传递，用户的数据报文直接在AP直连的交换机转发，不经过AC控制器。

1 AP直连的POE交换机接口需要修改配置：

Interface rang e0/1-2
switchport mode trunk
switchport trunkl native vlan 2 //用于不打tag注册到AC

2 AP需要做如下配置：

创建新的Wlan:Flexconnet,修改Advanced勾选Flexconnect local：

返回需要做flexconnect的AP，在NativeVlan输入MGNT的vlan号，并点击Vlan mapping：

选择Make AP Specific，并填写本地转发的VLAN ID 20：

现在就可以使用Flexconnct来访问网络了：

4、安全。以上使用的PSK（密码认证），企业一般会采用AAA联动LDAP+802.1X来认证。步骤如下：

1 SECURITY-AAA-RADIUS-Authentication-New：

2 SECURITY-AAA-RADIUS-Accounting-New：

3 WLAN-相应wlan-security-AAA server：

4 Advanced-Allow AAA override

以上即完成所有的无线基础配置。对于多数公司来说，以上配置完全可以支撑现有的网络。另外对于AP的点位分布，可以借助ciscoPI软件来规划，并实施监控，如下图：

如需了解CiscoPI的相关配置以及和无线的联动，可留言我们后面继续分享,欢迎关注转发。