1.大型wlan组网方案的功能

　　(1)设备统一管理-使用imaster-NCE

　　(2)漫游&业务随行-STA设备从一个AP的覆盖范围到达另一个AP的覆盖范围，业务不会发生中断。

　　(3)接入终端安全

　　(4)高可靠性技术(备份的是AC)

　　2.大型WLAN组网当中涉及的到的一些技术

　　(1)VLAN POOL：

　　为了防止广播域过大，可以使用vlan pool技术将不同的用户划分到不同的vlan当中

　　A.分配vlan的算法

　　顺序分配：会按照用户上线顺序依次从上向下划分到不同的vlan当中

　　优点：每一个vlan用户数量比较均匀

　　缺点：当用户重新上线可能会发生vlan的改变

　　hash分配：用户mac地址进行HASH计算的出的值进行划分

　　优点：用户多次上线时可以使用同一个vlan

　　缺点：可能会存在部分vlan用户数量多的问题

　　(2)option 43(ipv4)&52(ipv6)

　　A.dhcp中继： DHCP服务器与client属于三层组网 (配置dhcp relay)

　　B.WLAN组网AC与AP属于三层组网时：AP无法通时广的发现AC设备，所以无法建立CAPWAP道，所以需要通时DHP服条器告AP说AC的IP地址为多少，AP就获取到AC的IP地址，于是就可以单播进行建立CAPWAP隧道

　　(3)wlan漫游

　　sta设备在不同的ap覆盖范围之间进行移动，并且保持业务不中断

　　AC内漫游：漫游前后所使用的AC相同

　　AC间漫游：漫游前后所使用的AC不同

　　HAC：移动终端首次接入wlan网络使用的AC

　　HAP：移动终端首次接入wlan网络使用的AP

　　FAC：移动终端漫游后所使用的AC

　　FAP：移动终端漫游后所使用的AP

　　AC间隧道：capwap隧道建立

　　家乡代理：可以与网关实现二层通信的设备，与网关属于同一网段，可以直接进行数据处理

　　漫游组：同一漫游组当中的设备实现漫游，进行数据交互可以使用AC间隧道

　　3、wlan漫游类型

　　(1)二层漫游

　　A.直接转发

　　B.隧道转发

　　(2)三层漫游：vlan id 漫游域

　　1.直接转发

　　(1)HAP作为家乡代理

　　(2)HAC作为家乡代理

　　2.隧道转发

　　高可靠性技术

　　1.vrrp双机热备：

　　主要是依靠VRRP协议进行备份，建立CAPWAP隧道的地址是虚拟IP地址

　　2.HSB热备份：

　　进行信息的备份

　　工作原理:

　　主备服务创建(为了构建主备备份通道，维护链路状态)绑定主备备份组(将主备服务绑定，还有使用的业务进行绑定)(备份的信息:

　　A.用户数据备份

　　B.CAPWAP隧道信息备份

　　C.AP表项进行备份

　　D.DHCP地址信息备份

　　3.双链路双机热备：

　　AP设备会与主AC与备AC都会建立CAPWAP隧道

　　(1)主备选举(AC设备)

　　A.AC的优先级，缺省值为0，范围为0~7，并且越小越优先

　　B.优先级相同.负载情况 (可接入的AP数量和可接入的STA数量)，负载轻的会成为主AC.负载也相同，IP地址越小越优先

　　(2)建立主链路: AP设备主动向主AC建立连接

　　3)建立备链路:AP设备建立主连接并获取配置之后，在于备设备建立隧道

　　4.N+1备份(N是指主AC，1是指备AC) AP设备只会于主AC建立CAPWAP道(不会跟备AC建立道)，当A出现故障时，才会与备A(创建capwap道(主AC故障，会引起业务中断)

　　(1)主备选举(和双链路双机热备中选举类似)

　　A.优先级的种类

　　全局优先级：对于所有的AP配置的AC优先级，缺省值为0，范围为0~7，并且越小越优先

　　个性优先级：可以针对单个AP设备或者指定的AP组配置AC优先级

　　(5)准入控制

　　1.802.1X

　　2.MAC地址

　　3.portal认证

　　4.基于MAC地址优先的portal认证

　　WLAN实验

　　一、实验目的

　　二、实验需求：

　　vlan101 vlan102 业务vlan

　　vlan200 管理vlan---管理AP

　　dhcp server：SW1设备既可以为AP分配IP地址，也可以为sta分配IP地址

　　三、实验内容

　　>1.IP地址基本配置(如图规划)

　　>2.完成wlan底层配置(可参考HCIA中wlan概述)

　　AC与AP属于三层组网，而SW1与AC间通信使用vlan 100通信

　　在SW1上配置ac的IP地址，可以让AP获取到AC的IP地址建立capwap隧道

　　.在AC上配置vlan pool，包含vlan 101和vlan 102

　　让STA设备连接网络，并查看sta设备获取的IP地址

　　交换机配置

　　可以为AP和STA分配IP地址，

　　vlan 200为管理vlan可以给AP进行分配，

　　vlan 101和vlan 102为业务vlan可以为sta进行分配

　　SW1配置

　　interface Vlanif100

　　ip address 10.23.100.254 255.255.255.0 //与AC互通地址

　　------------------------------------------------------

　　interface Vlanif101

　　ip address 10.23.101.1 255.255.255.0

　　dhcp select interface

　　-------------------------------------------

　　interface Vlanif102

　　ip address 10.23.102.1 255.255.255.0

　　dhcp select interface

　　------------------------------------------------

　　interface Vlanif200

　　ip address 10.23.200.1 255.255.255.0

　　dhcp select interface

　　dhcp server option 43 sub-option 3 ascii 10.23.100.1 //指向AC源端口

　　------------------------------------------------------------

　　interface GigabitEthernet0/0/1

　　port link-type trunk

　　port trunk allow-pass vlan 101 102 200

　　-----------------------------------

　　interface GigabitEthernet0/0/2

　　port link-type trunk

　　port trunk allow-pass vlan 100

　　--------------------------------------

　　interface GigabitEthernet0/0/3

　　port link-type access

　　port def vlan 100

　　SW2配置

　　[SW2]dhcp enable

　　[SW2]vlan batch 100 to 102 200

　　------------------------------------

　　interface GigabitEthernet0/0/1

　　port link-type trunk

　　port trunk allow-pass vlan 101 102 200

　　-------------------------------------------

　　interface GigabitEthernet0/0/1

　　port link-type trunk

　　port trunk pvid vlan 200

　　port trunk allow-pass vlan 101 200

　　------------------------------------------------

　　interface GigabitEthernet0/0/2

　　port link-type trunk

　　port trunk pvid vlan 200

　　port trunk allow-pass vlan 102 200

　　AC配置

　　1、配置管理IP

　　vlan 100

　　ip add 10.23.100.2 24

　　2、配置通信端口

　　int g 0/0/1

　　port link-type trunk

　　port trunk allow-pass vlan 100

　　3、配置vlan pool

　　添加vlan101和102

　　修改地址分配模式为even(顺序分配)

　　[AC1]vlan pool hcip

　　[AC1-vlan-pool-hcip]vlan 101 102

　　[AC1-vlan-pool-hcip]assignment even

　　4、创建SSID

　　[AC1]wlan

　　[AC1-wlan-view]ssid-profile name hcip

　　[AC1-wlan-ssid-prof-hcip]ssid hcip

　　[AC1-wlan-ssid-prof-hcip]q

　　5、配置密码模板

　　[AC1]wlan

　　[AC1-wlan-view]security-profile name hcip

　　[AC1-wlan-sec-prof-hcip]security wpa-wpa2 psk pass-phrase huawei@123 aes

　　[AC1-wlan-sec-prof-hcip]q

　　6、配置vap模板

　　[AC1]wlan

　　[AC1-wlan-view]vap-profile name hcip //模板名

　　[AC1-wlan-vap-prof-hcip]forward-mode tunnel //配置隧道

　　[AC1-wlan-vap-prof-hcip]service-vlan vlan-pool hcip //关联vlan-pool

　　[AC1-wlan-vap-prof-hcip]ssid-profile hcip //关联SSID

　　[AC1-wlan-vap-prof-hcip]security-profile hcip //关联安全模板

　　7、创建域管理模板

　　在域管理模板下配置AC的国家码

　　[AC1]wlan

　　[AC1-wlan-view] regulatory-domain-profile name hcip

　　[AC1-wlan-regulate-domain-default] country-code cn

　　Info: The current country code is same with the input country code.

　　[AC1-wlan-regulate-domain-default] quit

　　域管理模板提供对AP的国家码、调优信道集合和调优带宽等的配置。

　　缺省情况下，系统上存在名为default的域管理模板。故当前进入了默认存在的default模板。

　　国家码用来标识AP射频所在的国家，不同国家码规定了不同的AP射频特性，包括AP的发送功率、支持的信道等。配置国家码是为了使AP的射频特性符合不同国家或区域的法律法规要求。缺省情况下，设备的国家码标识为“CN”。

　　配置AP上线

　　1、在AP组下引用域管理模板

　　[AC1-wlan-view] ap-group name hcip

　　[AC1-wlan-ap-group-hcip-ap] vap-profile hcip wlan 1 radio all

　　[AC1-wlan-ap-group-hcip-ap] q

　　2、绑定AP MAC，重命名AP

　　[AC1-wlan-view]ap-id 1 ap-mac 00e0-fc49-6a00 //ap-id和ap-mac

　　[AC1-wlan-ap-1]ap-name AP1 //配置AP名

　　[AC1-wlan-ap-1]ap-group hcip //关联ap-group

　　-----------------------------------------------------

　　[AC1-wlan-view]ap-id 2 ap-mac 00e0-fca0-0b00

　　[AC1-wlan-ap-2]ap-name AP2

　　[AC1-wlan-ap-2]ap-group hcip //关联ap-group

　　3、配置capwap

　　[AC1]capwap source interface Vlanif 100

　　4、配置AC的路由

　　配置到SW1的路由器，使用10.0.100.2与SW1中的各网段互通

　　[AC1]ip route-static 0.0.0.0 0.0.0.0 10.0.100.1