华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)

简介

上一篇已经把整个网络的网络初始化已经完毕,从接入交换机的VLAN划分以及接口类型配置,到核心交换机的初始化,VLANIF创建跟DHCP与路由,出口路由器的路由 NAT等,这些初始化的目的主要是为了让整个网络能够通信起来,比如AP能获取到地址与AC建立CAPWAP隧道,当WLAN业务部署起来后,无线客户端关联后获取到地址能够正常访问其他内网或者外网。这次主要介绍WLAN业务相关,以及如何在两个AP之间进行漫游,包括二层漫游的注意事项。

【掌握目标】

1、AP正常上线2、配置WLAN业务3、下发给AP4、Client关联,并且查看命令5、访问外网测试6、漫游测试 (漫游过后会丢包?)7、解析为什么会造成这样的情况以及解决方案8、模拟器支持的漫游效果以及拓扑9、在二层漫游时候应该注意的问题

拓扑说明

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(1)

说明:该拓扑内有2个办公区域,部署了无线业务,提供给办公人员使用,但是由于两个区域之间距离相对较远,一个AP的信号覆盖不了2个区域,所以必须每个办公区域1个AP,又希望办公人员从区域1到区域2办公的时候,不需要执行操作就能继续的享受无线提供的业务。AP设备连接在POE的接入交换机上面(二层交换机),接入交换机只提供VLAN的划分以及与核心交换机对接,核心交换机提供DHCP服务以及业务VLAN的网关,并提供高速转发,路由器作为出口设备,主要提供给下面客户端上网业务,在上面执行NAT服务,使得下面无线客户端能够访问外网。而AC主要是用来管理AP以及下发业务给AP,让AP正常工作。管理VLAN 100:192.168.100.0/24 GW:192.168.100.254 AC:192.168.100.1业务VLAN 101:192.168.101.0/24 GW:192.168.101.254与路由器对接接口VLAN 1:192.168.1.0/24 交换机地址:192.168.1.1 路由器内网地址:192.168.1.2隧道转发模式:直接转发AP上线组网方式:二层(同一个子网广播)可以通过discovery发现,不需要用到Option 43SSID:Intranet 认证与加密方式:WPA2 PSK CCMP

1、AP正常上线

1、AC必须配置源地址【可以跟使得AP跟AC建立capwap隧道】,AP能够通过CAPWAP discovery让AC收到discovery包,然后AC回复respons

2、AP的认证方式,默认为MAC-auth,可以修改为序列号或者是不认证,只有认证通过的AP才能正常上线。

3、版本问题(AP与AC的版本要对应匹配,这个具体看文档说明),版本不匹配,AP也关联不上AC

[Huawei-AC]wlan[Huawei-AC-wlan-view]wlan ac source interface Vlanif 100说明:这里配置了AC的源地址是用VLAN 100,也就是用该地址与AP建立CAPWAP 隧道。

AP的认证方式默认为MAC-AUTH,MAC地址可以通过在AP上面命令查看。

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(2)

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(3)

[Huawei-AC-wlan-view]ap id 0 type-id 19 mac 00e0-fc70-2c90[Huawei-AC-wlan-view]ap id 1 type-id 19 mac 00e0-fc24-1ce0通过手动添加,来添加设备的MAC地址,这样AP可以通过认证,就可以正常上线了。这里id是自定义的,只是一个序列号而已,但是type-id很正常, 它跟你实际关联设备有关,该设备为AP6010DN-AGN这个在刚刚display中有显示,所以可以通过命令display ap-type all查看AC支持关联的AC类型与序列号,看自己要关联的AP是多少 这里就填写多少。

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(4)

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(5)

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(6)

可以看到AP现在已经获取到地址了,可以会发送CAPWAP discovery报文来寻找AC

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(7)

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(8)

可以看到两台AP上面的CAPWAP状态为RUN了,RUN表示CAPWAP隧道协商完成,AP已经正常上线到AC上面。

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(9)

可以通过display ap all 来查看AP是否上线了,state为normal表示正常。这里表示AP已经正常上线了。

2、配置WLAN业务

配置WLAN业务,由于两台AP之间是需要做漫游的,而且这里是二层漫游,所以我们可以把WLAN-ESS接口、WMM、射频模板、安全、流量模板以及服务器都定义同一个,然后在AP下面关联即可,这样简化了配置,也保证了漫游的一些注意事项,当然信道需、功能等可以不一样 手动调整或者自动调优都可以。(1)创建wlan-ess接口[Huawei-AC]interface Wlan-Ess 101[Huawei-AC-Wlan-Ess101]port hybrid pvid vlan 101[Huawei-AC-Wlan-Ess101]port hybrid untagged vlan 101说明:创建wlan-ess接口,下面的hybird接口类型是可选的,该接口可以启用各种安全认证、QOS策略以及ACL等。

(2)WMM模板与射频模板[Huawei-AC-wlan-view]wmm-profile name roam[Huawei-AC-wlan-view]radio-profile name roam[Huawei-AC-wlan-radio-prof-roam]wmm-profile name roam[Huawei-AC-wlan-radio-prof-roam]channel-mode fixed (默认为自动)说明:WMM模板可以定义流量优先级,射频模板功能比较多,可以设置功率、802.11类型以及更多的,最简单的就是要关联WMM模块才能被射频调用,所以这里调用WMM即可,其他的使用默认。

(3)流量模板与安全模板[Huawei-AC-wlan-view]traffic-profile name roam[Huawei-AC-wlan-view]security-profile name roam[Huawei-AC-wlan-sec-prof-roam]security-policy wpa2[Huawei-AC-wlan-sec-prof-roam]wpa2 authentication-method psk pass-phrase simple ccieh3c.taobao.com encryption-method ccmp说明:流量模板里面可以定义流量限速等,而安全模板则是定义安全策略,默认为Open,需求是WPA2 PSK CCMP,所以这里修改了。

(4)服务集模板[Huawei-AC-wlan-view]service-set name roam[Huawei-AC-wlan-service-set-roam]ssid Intranet[Huawei-AC-wlan-service-set-roam]service-vlan 101[Huawei-AC-wlan-service-set-roam]wlan-ess 101[Huawei-AC-wlan-service-set-roam]forward-mode direct-forward[Huawei-AC-wlan-service-set-roam]traffic-profile name roam[Huawei-AC-wlan-service-set-roam]security-profile name roam说明:定义SSID,然后业务VLAN,以及WLAN-ESS接口,默认转发模式是直接转发,其他的就是关联流量模板与安全模板了。

(5)在射频绑定射频模板以及服务集[Huawei-AC-wlan-view]ap 0 radio 0[Huawei-AC-wlan-radio-0/0]radio-profile name roamWarning: Modify the Radio type may cause some parameters of Radio resume default value, are you sure to continue?[Y/N]:y[Huawei-AC-wlan-radio-0/0]service-set name roam

[Huawei-AC-wlan-view]ap 1 radio 0[Huawei-AC-wlan-radio-1/0]radio-profile name roamWarning: Modify the Radio type may cause some parameters of Radio resume default value, are you sure to continue?[Y/N]:y[Huawei-AC-wlan-radio-1/0]service-set name roam[Huawei-AC-wlan-radio-1/0]channel 20mhz 6说明:ap 0是之前定义的序列号,radio 0表示2.4G频率,如果是双频的话,还可以定义1,1表示5G,然后在射频里面调用了服务集以及射频模板。另外AP 1里面我是手动把channel修改为6了,默认都是1,模拟器不支持自动调优 所以这里手动指定下。工作中也可以人为修改,或者自动调优都可以。

3、下发给AP

[Huawei-AC-wlan-view]commit allWarning: Committing configuration may cause service interruption,continue?[Y/N]y这里提交服务给所有AP,也就是AP-1与AP-2。

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(10)

可以看到模拟器已经发出模拟的信号了,圆圈表示一个AP提供的信号覆盖范围。

4、Client关联测试

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(11)

可以看到客户端收到了一个无线信号,当然这个由于目前Client在AP 1的无线覆盖范围内,并没有在AP2,所以看不到AP2发送出来的。

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(12)

输入密码连接。

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(13)

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(14)

可以关联上去后,获取地址到最后的链接成功。

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(15)

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(16)

可以通过该命令查看用户关联,默认它记录的是MAC地址跟IP地址对应

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(17)

也可以通过该命令查看AP 0上面关联了哪些客户端

5、访问外网测试

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(18)

可以看到获取到了业务VLAN 101的地址。

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(19)

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(20)

可以看到访问外网没有任何问题,而且出口设备上面也有NAT转换。

6、漫游测试 (漫游过后会丢包?)

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(21)

现在客户端已经早AP-1关联上去了

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(22)

访问公网没有问题,然后一直开着测试

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(23)

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(24)

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(25)

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(26)

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(27)

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(28)

在最新版的模拟器中支持一个移动功能,它可以慢慢移动到自己指定的位置,让漫游可以切换,这样比人为手工来慢慢拖要方便很多。可以看到客户端从最开始AP-1发出的信号,慢慢移动,到可以收到AP-2的信号,然后漫游切换,直到只能看到AP-2发出的信号。

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(29)

7、解析为什么会造成这样的情况以及解决方案

可以看到无线客户端从AP-1漫游到AP-2后突然不能通信了,那么造成这样的问题是什么呢?

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(30)

我们可以看到核心交换机上面有这样的提示,说出现了MAC地址翻动,为什么会出现这个提示呢? 我们来看下拓扑

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(31)

无线客户端原本在AP-1上面,它通过AS-1交换机连接核心交换机,那么核心交换机学习到该无线客户端的MAC地址则是从G0/0/2后口学习到,那么对应的ARP信息也会是IP MAC然后 接口绑定在ARP表项中,当无线客户端从AP-1漫游到AP-2后,由于在持续发包,这时候数据包会从AS-2接入交换机发送给核心交换,但这时候核心交换机就发现原本MAC地址表里面的MAC地址是从G0/0/2学到,但是这时候又从G0/0/3收到了该源MAC对应的数据帧,所以交换机以为有相同的MAC地址出现在网络中,提示MAC地址flapping,不过华为交换机默认对MAC地址flapping是不采取措施的,只是告警而已,那么真正影响漫游后不通的是ARP。

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(32)

我们可以看到关于192.168.101.253 的ARP映射,目前处于的接口是G0/0/2

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(33)

但是我们在看核心交换上面的MAC地址其实已经更新到了,MAC地址从G0/0/3后口学到,那为什么ARP不会更新呢,这里我主要解决ARP更新问题,它能主动更新的话,那么则表示它能回应数据包的请求。

这里说下ARP的机制,在什么时候会刷新ARP表项,它只有收到这个表项对应的条目的请求、或者回应(包括免费ARP),无论从哪个接口收到,它都会更新定义的接口或者表项,这时候它才会刷新ARP表项。

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(34)

我们可以看到目前无线客户端上面还是有对应的ARP映射关系的,所以跟本不会发送ARP的询问,这样也不会刷新。

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(35)

可以用ARP-D来清理下

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(36)

这时候就通了,这时候通是因为无线客户端没有对应的网关的ARP信息,所以要发送请求给网关,这时候网关收到ARP后,由于跟已经存在的ARP里面的条目一样,这时候会刷新ARP表项。

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(37)

这时候就变成了101了。

当然在实际环境中,我们肯定不能要求客户漫游的时候还执行下这个操作,这样肯定是不太现实或者说失去了漫游的意义了。

华为的解决办法

1、[Huawei-Core-SW]mac-address update arp这个命令的意思是当MAC地址表项里面的接口更新后,会刷新ARP表项,之前已经看到了,MAC地址只要漫游后,MAC地址表就更新过来了,这样就带动ARP的更新

2、在服务集下开启一个命令

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(38)

这个命令的意思是,当无线客户端从一个AP漫游到了另外一个AP的时候,新的AP会发送一个免费ARP的消息,来刷新网关的ARP表项,这样避免漫游时候仅少量的丢包

在实际工作中推荐使用第二个功能,第一个比较容易造成设备动荡,所以不太建议使用。

注意:该功能在模拟器上面敲了没有效果,不会发送免费ARP来实现刷新ARP表项,所以这里我只能给出解决办法,演示不了。但是这种架构在实际工作中又很常见,所以讲解下如果遇到这样的问题的解决方案,为什么会产生这样的问题。

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(39)

可以通过该命令来查看漫游的痕迹,可以看到之前是在AP ID 0下面,后面漫游后就在AP ID 1下面了。

8、模拟器支持的漫游效果以及拓扑

如果想在模拟器上面体验出效果的话,可以这样设计,只要是ARP的接口不需要刷新那么漫游肯定一直在通信的,怎么才能不刷新呢,那肯定都在一个接入交换机上面,所以这里把拓扑改变一下即可。

需要更改下配置,在接入交换机的3号接口下面添加一下管理与业务VLAN

[Huawei-AS-1]int e0/0/3[Huawei-AS-1-Ethernet0/0/3]port trunk pvid vlan 100[Huawei-AS-1-Ethernet0/0/3]port trunk allow-pass vlan 100 to 101

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(40)

这时候整个拓扑就变成了2台AP接入在一个交换机上面,这时候核心交换机学习到无线客户端的无论是MAC地址还是ARP表项都是从G0/0/2学习到,这时候就没有任何问题了。

最终测试

华为解除wlan扫描间隔(由浅入深玩转华为WLAN-16)(41)

可以看到无线客户端迁移到AP2的时候,只丢了一个包,然后又继续通了。这个因为ARP表项不需要刷新,所以核心交换机能够继续为其提供服务。 所以大家在用模拟器做无线设计的时候要考虑到这个问题 否则的话 漫游的好似好容易出现这个问题。

9、在二层漫游时候应该注意的问题

(1)必须在同一AC下,在版本V2000R5后支持不同AC之间(2)WALN-ESS的接口策略必须相同(3)安全模板的认证方式必须一致,包括密钥(4)服务集模板中的SSID和数据转发模式必须一致(5)定义一个服务集即可,都调用在需要漫游的AP上面(6)建议修改Channel为不干扰,而且重叠区域为10%~15%(7)业务与管理VLAN都需要放行,否则漫游通过后VLAN不变,导致VLAN通过不了(8)直接转发模式下,用户漫游后,与AP相连的接入设备的ARP表项未及时老化,会造成用户业务短暂中断,建议用户在AC的服务集视图下使能DHCP Snooping功能,AP会及时发送免费ARP报文给接入设备刷新ARP表项,保证漫游过程中用户业务不中断。

总结

总结:华为的无线还是比较好理解的,加上有模拟器可以做实验,更加的可以感受到,但是也有很多问题存在,有的功能是模拟器不支持,有时候因为一个features不支持,导致一些效果看不了,大家有兴趣也可以自己分析下为什么造成不正常的,就跟之前提到的拓扑里面的,就因为ARP的问题,所以漫游后,业务通信不了。

如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路Blog,版权归网络之路Blog所有,原创不易,侵权必究,觉得有帮助的,关注转发一波谢谢。

上一篇回顾

VLAN应用系列(5)主流厂商交换机VLAN接口不通?怎么办

下一篇学习

,

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页