基于AC+Fit AP手工注册模式多SSID数据加密认证WLAN设计与实现

罗阳静，袁 曦

1.普洱学院，云南 普洱 665000；2.普洱市职业教育中心，云南 普洱 665000

2020年突如其来的新冠肺炎疫情，给某公司上半年业务发展带来巨大影响。在党和国家的坚强领导下，下半年公司规模依然保持快速发展，业务数据量和公司访问量增长巨大。为了更好管理数据，提供服务，集团决定在北京总部建立集中业务WLAN服务平台，以达到快速、可靠交换数据，以及增强业务部署弹性的目的。

1 WLAN总体设计思路

网络架构是以交换机为转发中心的设计类别，并结合AC对AP进行统一控制。整个网络主要包括，AC控制器，核心交换机，路由器以及AP接入点设备，无线终端（包括手机，平板及电脑等）。集团无线集中控制器（DCWS）与集团核心交换机之间通过Vlan 100互联，集团核心交换机通过Vlan 200上联集团核心路由器，集团路由器与分公司路由器之间专线链路互联。

整体网络拓扑架构如图1所示：

图1 网络拓扑

2 WLAN应用案例设计

一台S6200交换机SW-1作为集团的核心交换机；一台DCR-2655路由器编号为RT-1，作为集团的核心路由器；另一台DCR-2655路由器编号为RT-2，作为分公司路由器；一台DCWS-6028作为全集团内无线AP统一集中控制器，编号为DCWS，通过与WL8200-I2高性能企业级AP配合实现分公司无线覆盖。

需求1：集团无线集中控制器使用Lookback 1接口地址作为AC管理地址，集团内所有AP都通过手工注册方式实现AP上线被管理，AP的管理地址为172.16.30.10。

需求2：分公司路由器RT-2开启DCHP服务，实现分公司无线业务终端可以通过DHCP自动获取IP地址，分公司无线业务分别为：分公司营销Vlan 10、分公司技术Vlan 20，Vlan网关都在分公司路由器上。2个用户网段对应的DHCP地址池名字分别为FB-10、FB-20，租期为4小时，DNS地址均8.8.8.8。

需求3：配置2个SSID，分别为“jnds-2.4”和“jnds-5.8”。“jnds-2.4”对应业务Vlan 10，使用network 24,用户接入无线网络时需要采用基于WPA-personal加密方式，其口令为“jnds-2.4”；“jnds-5.8”对应业务Vlan 20，使用network 30，用户接入无线网络时需要采用基于static-wep加密方式，共享密钥其口令为“WiFi5”。要求无线AP通过相关配置来实现“jnds-2.4”的SSID只使用倒数第二个可用VAP发送2.4G信号，“jnds-5.8”的SSID只使用倒数第一个可用VAP发送5.0G信号。

表1 主要设备IP地址（Vlan）连接情况表

3 WLAN应用案例实现

全网互联互通配置此处省略，默认无线AC（DCWS）已能够ping通路由器RT-2的G 0/5端口IP地址（172.16.30.254/24）

3.1 路由器RT-2关键操作配置

3.1.1 连接AP接口G 0/5配置命令

RT-2_config_s0/2#interface gigaEthernet 0/5//进入G 0/5接口RT-2_config_g0/5#ip address 172.16.30.254 255.255.255.0//设置接口IP地址RT-2_config_g0/5#interface gigaEthernet 0/5.10//进入G 0/5.10子接口RT-2_config_g0/5.10#encapsulation dot1Q 10//为VLAN 10数据包封装802.1Q RT-2_config_g0/5.10#ip address 172.16.10.254 255.255.255.0 //设置接口IP地址RT-2_config_g0/5.10#interface gigaEthernet 0/5.20 RT-2_config_g0/5.20#encapsulation dot1Q 20 //为VLAN 20数据包封装802.1Q RT-2_config_g0/5.20#ip address 172.16.20.254 255.255.255.0

3.1.2 连接RT-2的DHCP配置命令

RT-2_config#ip dhcpd enable//打开DHCP服务RT-2_config#ip dhcpd pool FB-10 //配置DHCP地址池名称为FB-10 RT-2_config_dhcp#lease 0 4 0 //地址池租用时间4小时RT-2_config_dhcp#dns-server 8.8.8.8 //配置DNS服务器地址

RT-2_config_dhcp#default-router 172.168.10.254 //设置地址池默认网关RT-2_config_dhcp#range 172.16.10.10 172.16.10.100 //设置地址池IP地址区域//同理FB-20地址池的配置，可以依照地址池FB-10相关步骤完成，此处略

3.2 无线Fit AP配置

3.2.1 Fit AP配置命令

DCN-WLAN-AP#set management static-ip 172.16.30.10 //设置AP管理IP地址DCN-WLAN-AP#set management static-mask 255.255.255.0 //设置AP子网掩码DCN-WLAN-AP#set static-ip-route gateway 172.16.30.254 //设置AP网关地址DCN-WLAN-AP#set managed-ap switch-address-1 10.255.255.1 //AP指定AC管理地址

3.3 无线AC交换机配置

3.3.1 全局配置命令

DCWS(config)#wireless //进入无线交换机配置模式DCWS(config-wireless)#enable //打开无线交换机功能DCWS(config-wireless)#no auto-ip-assign //关闭自动IP地址分配模式DCWS(config-wireless)#ap authentication none //设置AP上线不认证DCWS(config-wireless)#static-ip 10.255.255.1 //为无线模式配置静态管理IP地址

3.3.2 Network和数据加密认证配置命令

DCWS(config-wireless)#network 24 //进入网络配置模式DCWS(config-network)#ssid jnds-2.4 //配置网络服务集SSID标识符DCWS(config-network)#security mode wpa-persona //设置网络安全模式设置为WPA个人版DCWS(config-network)#wpa key jnds-2.4 //配置WPA密钥DCWS(config-network)#vlan 10 //设置2.4G无线终端获取地址为vlan 10网段地址DCWS(config-network)#exit DCWS(config-wireless)#network 30 DCWS(config-network)#ssid jnds-5.8 DCWS(config-network)#security mode static-wep //配置网络安全模式为静态WEP DCWS(config-network)#wep authentication shared-key //配置WEP的链路认证方式为共享密钥认证DCWS(config-network)#wep key length 64 //配置WEP密钥的长度为64比特DCWS(config-network)#wep key type ascii //配置WEP密钥为ASCII类型DCWS(config-network)#wep key 1 WiFi5 //配置WEP密码为WiFi5 DCWS(config-network)#vlan 20 //设置5.4G无线终端获取地址为vlan 20网段地址DCWS(config-network)#exit

3.3.3 AP Profile与Radio的配置命令

DCWS(config-wireless)#ap profile 1 //进入AP Profile配置模式DCWS(config-ap-profile)#hwtype 29 //指定AP硬件关联值为29 DCWS(config-ap-profile)#radio 1 //进入2.4G配置模式

DCWS(config-ap-profile-radio)#vap 14 //进入VAP 14(倒数第二个可用VAP)DCWS(config-ap-profile-vap)#network 24 //指定VAP14对应network 24 DCWS(config-ap-profile-radio)#enable //开启已配置的VAP DCWS(config-ap-profile-vap)#exit DCWS(config-ap-profile-radio)#exit DCWS(config-ap-profile)#radio 2 //进入5.4G配置模式DCWS(config-ap-profile-radio)#vap 15 //进入VAP 14(倒数第一个可用VAP)DCWS(config-ap-profile-vap)#network 30 //指定VAP15对应network 30 DCWS(config-ap-profile-vap)#enable DCWS(config-ap-profile-vap)#exit DCWS(config-ap-profile-radio)#exit DCWS(config-ap-profile)#exit

3.3.4 AC中profile 1配置文件的下发

DCWS#wireless ap profile apply 1//将profile 1的配置文件下发到AP屏幕提示：All configurations will be send to the aps associated to this profile and associated clients on these aps will be disconnected.Are you sure you want to apply the profile configuration?[Y/N]y AP Profile apply is in progress. //AC配置文件的下发完成

使 用show wireless、show wireless ap status、show running-config等命令在实际设备验证应用案例，WLAN服务功能均能成功实现，验证过程由于篇幅所限此处省略。

4 结语

通过以上案例演示可以看出，WLAN网络与传统园区有线网络相比WLAN更有高带宽、易穿透、广覆盖、密接入、高稳定、易兼容等优点，在下一代的互联网发展过程中会突显其优势和重要地位。