华三无线实验AC三层旁挂组网+本地转发

1. 实验目的

        了解H3C模拟器无线实验中的AC旁挂三层组网数据转发路径，小型企业组网中，为了防止AC成为无线网络转发瓶颈，一般使用AC旁挂组网，使无线流量直接通过核心交换机到出口路由器/防火墙出去。

2．适用场景

    在小型企业网无线组环境中，AC和AP通过CAPWAP协议控制管理，在华三的AC+AP组网中，默认用户流量经过AP到AC，再由AC转发出去，属于隧道转发，当用户多流量大的时候，AC可能会成为网络转发的瓶颈，此时需要将AC进行旁挂，使得流量不经过AC直接转发出去。

3.组网需求

如图：AC旁挂在核心交换机S2下，S2作为DHCP服务器为AP和Client分配IP地址，其中AC与S2互联使用VLAN10， AC属于VLAN 10，AP属于VLAN30，AC和AP之间跨三层建立网络，Client通过VLAN20接入网络。

4.配置步骤

①先配置基本网络互通

核心交换机S2

<H3C>system

[H3C]sysn S1

[S1]vlan 2 10 20 30     #批量创建vlan，该版本模拟器支持批量创建不连续vlan，其他版本好像要单独创建 

[s1]interface g1/0/1    #连接AC的接口

[s1-g1/0/1]port link-type trunk   #配置为干道接口

[s1-g1/0/1]port trunk permit vlan 10   #放行vlan10

[s1-g1/0/1]undo port trunk permit vlan 1  #拒绝放行vlan1

[S1]interface GigabitEthernet1/0/2    #连接接入(POE)交换机接口

[s1-g1/0/1] port link-type trunk

[s1-g1/0/1] undo port trunk permit vlan 1

[s1-g1/0/1] port trunk permit vlan 20 30  #放行管理vlan30和业务vlan20

配置vlanif虚拟接口

[s2]interface Vlan-interface10     #和AC互联接口

[s2-in-vlif10]ip address 10.23.10.254 255.255.255.0

[s2]interface Vlan-interface20     #终端地址网关接口

[s2-in-vlanif20]ip address 10.23.20.254 255.255.255.0

[s2]interface Vlan-interface30     #连接AP接口

[s2-int-vlan30]ip address 10.23.30.254 255.255.255.0

S2和路由器使用vlan2互通，在交换机上创建vlanif2接口，连接路由器的接口配置成access，放行vlan2.

[S2]interface  vlanif2

[s2-int-vlanif2]ip add 10.23.2.2 30

[s2-g1/0/3]port access vlan 2

AC配置

[AC]vlan 10

[AC]interface Vlan-interface10

[AC-int-vlif10] ip address 10.23.10.253 255.255.255.0

[AC]interface GigabitEthernet1/0/0      #配置连接S2的接口

[AC-G1/0/0]port link-type trunk

[AC-G1/0/0] undo port trunk permit vlan 1

[AC-G1/0/0] port trunk permit vlan 10 

有部分配置需要使用web界面配置更加直观，添加主机与本地虚拟网卡进行连接。

[AC] interface GigabitEthernet1/0/1

[AC-G1/0/1]port link-mode route   #将该接口改成路由接口对接本机虚拟网卡，地址在同一网段即可

[AC-G1/0/1]ip address 192.168.1.2 255.255.255.0  #配置IP地址 ，同时作为web界面登录地址

接入交换机S3配置

[S3]vlan 20 30

[s3]interface GigabitEthernet1/0/1   #配置连接AC的接口

[s3-g1/0/1]port link-type trunk

[s3-g1/0/1] undo port trunk permit vlan 1

[s3-g1/0/1] port trunk permit vlan 20 30

[s3-g1/0/2]interface GigabitEthernet1/0/2    #连接AP的接口

[s3-g1/0/2] port link-type trunk

[s3-g1/0/2] port trunk permit vlan  20 30

[s3-g1/0/2] port trunk pvid vlan 30    #将默认的PVID 1改成AP的管理VLAN30,否则AP拿不到地址

同理S3上连接的其它AP的接口和该接口同配置，配置略

当然也可以使用端口组的方式同时快速批量配置,如下配置：

[s3] interface range GigabitEthernet 1/0/2 to G1/0/4  #同时配置2,3,4口

[S3-if-range] port link-type trunk

[S3-if-range] port trunk permit vlan 20 30

[S3-if-range] port trunk pvid vlan 30

路由器配置

[R8]int g0/0

[r8-g0/0]ip add 10.23.2.1 30

[r8-loopback0] ip add 9.9.9.9 24      #创建环回口，用于测试

②配置路由

由于AC和AP不在同一个网段，为了保证CAPWAP报文能正常发送，需要配置静态路由（或者协议路由）互通

[AC] ip route-static 0.0.0.0 0 10.23.10.254  

核心交换机作为网关设备，需要具有去往外网的默认路由

[S2] ip route-static 0.0.0.0 0 10.23.2.1  #下一跳为路由器接口地址

路由器需要具有回程路由

[R8] ip route-static 10.23.0.0 16 10.23.2.2

③DHCP配置

S2作为dhcp服务器

[S2]dhcp enable     #全局开启DHCP服务

[S2]dhcp server ip-pool 20  #配置地址池20，为client设备分配IP地址

[S2-dhcp-pool-20]gateway-list 10.23.20.254

[S2-dhcp-pool-20] network 10.23.20.0 mask 255.255.255.0

[S2-dhcp-pool-20] dns-list 8.8.8.8  

[S2-dhcp-pool-20]dhcp server ip-pool 30  #配置地址池30，为AP分配地址

[S2-dhcp-pool-30]gateway-list 10.23.30.254

[S2-dhcp-pool-30]network 10.23.30.0 mask 255.255.255.0

[S2-dhcp-pool-30]option 43 hex 80070000010a170afd  #配置option选项，在分配地址时候，将AC的地址通告给AP，便于发现AC并传递CAPWAP报文

为DHCP服务器配置option 43选项，AP管理网段为vlan30

option43格式简要说明：
80 07 00 00 01 0a 17 0a fd
80：固定值，不用改变；
07：长度字段，其后面所跟数据的字节长度；
00 00：固定值，不用改变；
01：表示后面的IP地址的个数，此处为一个IP地址；
0a 17 0a fd：为16进制的IP地址，转换成十进制为10.23.10.253

配置完成后，可以在DHCP服务器上查看是否获得了IP地址

④配置AP上线

  创建无线服务模板

[AC1]wlan service-template ser-test  #创建模板，命名为ser-test

[AC1-wlan-st-ser-test] ssid zsdt-guest   #创建SSID名称

[AC1-wlan-st-ser-test] vlan 20           #创建业务VLAN

[AC1-wlan-st-ser-test] client forwarding-location ap vlan 20   #配置转发模式为本地转发，也就是通过AP转发，并且确定转发的业务vlan

[AC1-wlan-st-ser-test] service-template enable  #开启模板

        【如果需要配置无线网加密，请在此模板中配置加密服务即可】

  配置AP

[AC] wlan ap ap111 model WA6320-HCL  #创建手工AP，名称为AP111，型号为WA6320-HCL

[AC-wlan-ap-ap1] serial-id  H3C_6E-A0-36-69-04-00    #配置AP序列号，可以在AP上使用命令disp dev maninfo查看序列号，型号和MAC地址等信息

[AC] wlan ap-group test    #创建ap组

[AC-wlan-ap-group-test] ap ap1   #设置AP名称入组规则

[AC-wlan-ap-group-test] ap-model WA6320-HCL   #进入ap组的ap型号

[AC-wlan-ap-group-group1-ap-model-WA6320-HCL] radio 1  #进入射频1

[AC-wlan-ap-group-group1-ap-model-WA6320-HCL-radio-1] service-template ser-test vlan 20  #将无线服务模板绑定到射频1上。有两个射频5G和2.4G，此处只绑定了一个，可以在ap组型号视图下再绑定射频2，此处只演示一个，另一个在web界面演示

[AC-wlan-ap-group-group1-ap-model-WA6320-HCL-radio-1] radio enable  #开启射频功能

  此时可以在AC上使用命令查看到已经有一个AP上线

  以上是手工AP方式上线，在实际项目中，AP数量比较大的时候，需要使用自动AP上线 

[AC]wlan auto-ap enable    #开启自动AP功能

[AC]wlan auto-persistent enable   #开启自动固化

等待几分钟后，新的AP上线了，默认是以MAC地址命名

可以对该AP进行改名，本实验不改名

此时该AP没有加组，需要把它添加到我们之前配置的test组中，获得相应的无线服务和射频信息

[AC1-wlan-ap-group-test]ap 72d9-640e-0c00   #加入到test组

上传apcfg.txt文件到AC，使得AC可以将配置同步到AP设备，用于实现本地转发功能

  配置文件为：

sys

#

vlan 20

#

int g0/0/0

port link-type trunk

port trunk permit vlan 20

#

    解释：vlan20为本实验中的业务vlan，需要在AP上创建，并将AP连接POE交换机的接口配置为干道接口类型，放行业务vlan通过，注意不能拒绝vlan1，因为VLAN1为ap的管理接口，通过该接口获取管理地址。

Web界面配置上传apcfg.txt文件

在进入web界面前，需要在CLI界面更改配置，便于进入

[AC]undo  password-control length enable      #关闭密码长度限制

[AC]undo password-control composition enable    #关闭密码复杂度要求

[AC]local-user admin   #创建用户名为admin

[AC-luser-manage-admin]password simple  123   #创建对应密码

[AC-luser-manage-admin]service-type http https    #开启相应服务

[AC-luser-manage-admin]authorization-attribute  user-role level-15   #更改权限为15级别

[AC]ip http enable    #  开启Web管理

[AC]ip https enable    #  开启Web管理

在登录界面输入用户名和密码

 admin

 123

选择本地已经配置好的的txt文件上传即可

CLI界面查看AC配置文件：

5．结果测试

终端拿到的是20网段的地址，和AP不在同一网段

说明：ping测试的目的地址9.9.9.9是在路由器上创建的环回口地址，测试结果正常。

抓包查看结果

以上无线网没有做密码认证，但是在实验时，添加密码认证后，终端就拿不到地址了，删除密码认证，就又正常了，不知道是不是模拟器bug