「网络工程师」如何配置远程无线组网

无线组网拓扑

实验规划：

根据现有场景，Agg1、Agg2 和 SW4 是 PoE 交换机，Core-SW 作为核心交换机，AR1 是出口路由器设备，连接另一个园区网络。

AP3、AP4 和 AP5 形成 Mesh 组网，PC2 能够通过 AP5 访问其他园区网络。

AP6 远程被 WAC1 纳管，为了保证网络的安全性，AR2 与 WAC1 建立 IPSec 隧道。

VLAN 端口类型及参数设计

IP地址规划

配置思路：

1.配置基础网络互通，保证设备间的二层、三层互通。

2.配置总部 AP 上线。

3.配置总部 Mesh 网络上线。

4.配置 WLAN 业务参数。

5.测试总部 WLAN 业务。

6.配置分支机构与总部互通。

7.配置分支 AP 在总部 WAC 上线。

8.测试分支 WLAN 业务。

具体配置步骤：

步骤1：配置二层网络

核心交换机配置：

sys

sysname Core-SW

vlan batch 10 to 14 99

# 配置 Core-SW 端口类型及所属 VLAN。

[Core-SW] interface GigabitEthernet 0/0/1

port link-type trunk

port trunk allow-pass vlan 10 to 14

quit

#

interface GigabitEthernet 0/0/2

port link-type trunk

port trunk allow-pass vlan 10 to 14

quit

#

interface GigabitEthernet 0/0/3

port link-type trunk

port trunk allow-pass vlan 10 to 14

quit

#

interface GigabitEthernet 0/0/7

port link-type access

port default vlan 99

quit

Agg1配置：

sysname Agg1

vlan batch 10 to 14

interface GigabitEthernet 0/0/1

port link-type trunk

port trunk allow-pass vlan 10 to 14

quit

#

interface GigabitEthernet 0/0/2

port link-type trunk

port trunk pvid vlan 10

port trunk allow-pass vlan 10 to 14

quit

#

interface GigabitEthernet 0/0/3

port link-type trunk

port trunk pvid vlan 10

port trunk allow-pass vlan 10 to 14

quit

Agg2配置：

sys

sysname Agg2

vlan batch 10 to 14

interface GigabitEthernet 0/0/1

port link-type trunk

port trunk allow-pass vlan 10 to 14

quit

#

interface GigabitEthernet 0/0/2

port link-type trunk

port trunk pvid vlan 10

port trunk allow-pass vlan 10 to 14

quit

SW4配置：

sys

sysname SW4

vlan batch 100 110 120 130 140 200

interface GigabitEthernet 0/0/1

port link-type access

port default vlan 200

quit

#

interface GigabitEthernet 0/0/2

port link-type trunk

port trunk pvid vlan 100

port trunk allow-pass vlan 10 to 14

quit

WAC1配置：

sys

sysname WAC1

vlan 10

interface GigabitEthernet 0/0/1

port link-type trunk

port trunk allow-pass vlan 10

quit

步骤2：配置接口IP地址

在 Core-SW 上配置 IP 地址

interface Vlanif 10

ip address 10.1.10.1 24

quit

#

interface Vlanif 11

ip address 10.1.11.1 24

quit

interface Vlanif 12

ip address 10.1.12.1 24

quit

interface Vlanif 13

ip address 10.1.13.1 24

quit

interface Vlanif 14

ip address 10.1.14.1 24

quit

interface Vlanif 99

ip address 10.1.99.1 30

quit

查看core-sw上的IP地址display ip interface brief

WAC1 上配置 IP 地址

interface Vlanif 10

ip address 10.1.10.254 24

quit

interface LoopBack 0

ip address 10.10.10.10 32

quit

AR1 上配置 IP 地址：

interface GigabitEthernet 0/0/1

ip address 10.1.99.2 24

quit

interface GigabitEthernet 0/0/2

ip address 20.1.1.1 30

quit

AR2的配置：

sys

sys AR2

interface GigabitEthernet 0/0/1

undo portswitch

ip address 20.1.1.2 30

quit

interface GigabitEthernet 0/0/2

undo portswitch

ip address 10.1.200.1 30

quit

SW4的配置：

interface Vlanif 10

ip address 10.1.10.100 24

interface Vlanif 130

ip address 10.1.130.254 24

interface Vlanif 140

ip address 10.1.140.254 24

interface Vlanif 200

ip address 10.1.200.2 30

quit

步骤3：配置路由

#在 Core-SW 上配置 OSPF，宣告本地各网段。

[Core-SW] ospf 1

area 0

network 10.1.10.1 0.0.0.0

network 10.1.11.1 0.0.0.0

network 10.1.12.1 0.0.0.0

network 10.1.13.1 0.0.0.0

network 10.1.14.1 0.0.0.0

return

#在 WAC1 上配置 OSPF，宣告本地各网段。

[WAC1] ospf 1

area 0

network 10.10.10.10 0.0.0.0

network 10.1.10.254 0.0.0.0

AR1上配置OSPF

ospf 1

area 0

network 10.1.99.2 0.0.0.0

default-route-advertise always

quit

步骤4：查看 WAC1 和 Core-SW 的路由表

步骤5：配置AP上线

在 Core-SW 上创建 AP 的 DHCP 地址池。

[Core-SW] dhcp enable

ip pool AP

network 10.1.10.0 mask 24

gateway-list 10.1.10.1

excluded-ip-address 10.1.10.254

option 43 sub-option 3 ascii 10.10.10.10

quit

在 Core-SW 上创建 HCIE-Lab 的 DHCP 地址池。

ip pool lab1

network 10.1.11.0 mask 24

gateway-list 10.1.11.1

quit

#

ip pool lab2

network 10.1.12.0 mask 24

gateway-list 10.1.12.1

quit

在 Core-SW 上创建 HCIE-Interview 的 DHCP 地址池。

ip pool interview1

network 10.1.13.0 mask 24

gateway-list 10.1.13.1

quit

ip pool interview2

network 10.1.14.0 mask 24

gateway-list 10.1.14.1

quit

在 Core-SW 接口下使能 DHCP 全局功能。

interface Vlanif 11

dhcp select global

interface Vlanif 12

dhcp select global

interface Vlanif 13

dhcp select global

interface Vlanif 14

dhcp select global

quit

查看DHCP地址池

配置 VLAN Pool。

在 WAC1 上创建 HCIE-Lab 的 VLAN Pool。

[WAC1] vlan pool lab

vlan 11 12

quit

在 WAC 上创建 HCIE-Interview 的 VLAN Pool。

[WAC1] vlan pool interview

vlan 13 14

quit

配置 AP 上线模板及参数。

在 WAC1 上配置 CAPWAP 源地址：capwap source interface LoopBack 0

在 WAC1 上创建域管理模板，默认国家代码是中国

wlan

regulatory-domain-profile name HCIE

country-code CN

quit

在 WAC1 上创建 AP 组，并绑定域管理模板。

wlan

ap-group name HCIE

regulatory-domain-profile HCIE

quit

在 WAC1 上添加 AP 的 MAC 地址（MAC 地址请使用实际环境中的 AP MAC 地址）。

ap-mac 30fd-65f8-fd40

ap-name ap1

ap-group HCIE

Warning: This operation may cause AP reset. If the country code changes, it will clear channel,

power and antenna gain configurations of the radio, whether to continue? [Y/N]: y

Info: This operation may take a few seconds. Please wait for a moment... Done.

[WAC1-wlan-ap-0] quit

#

[WAC1-wlan-view] ap-mac f4de-af36-b300

[WAC1-wlan-ap-1] ap-name ap2

[WAC1-wlan-ap-1] ap-group HCIE

Warning: This operation may cause AP reset. If the country code changes, it will clear channel,

power and antenna gain configurations of the radio, whether to continue? [Y/N]: y

Info: This operation may take a few seconds. Please wait for a moment... Done.

[WAC1-wlan-ap-1] quit

#

[WAC1-wlan-view] ap-mac f02f-a75e-5740

[WAC1-wlan-ap-2] ap-name ap3

[WAC1-wlan-ap-2] ap-group HCIE

Warning: This operation may cause AP reset. If the country code changes, it will clear channel,

power and antenna gain configurations of the radio, whether to continue? [Y/N]: y

Info: This operation may take a few seconds. Please wait for a moment... Done.

[WAC1-wlan-ap-2] quit

查看 AP 状态display ap all

步骤 6 配置总部 AP 业务参数。

创建安全模板，HCIE-Lab 和 HCIE-Interview 分别使用不同的密码。

在 WAC1 上创建 HCIE-Lab 安全模板。

security-profile name HCIE-Lab

security wpa2 psk pass-phrase HCIE-Lab aes

在 WAC1 上创建 HCIE-Interview 安全模板。

security-profile name HCIE-Interview

security wpa2 psk pass-phrase HCIE-Interview aes

创建 SSID 模板，HCIE-Lab 和 HCIE-Interview。

在 WAC1 上创建 HCIE-Lab 的 SSID 模板。

ssid-profile name HCIE-Lab

ssid HCIE-Lab

在 WAC1 上创建 HCIE-Interview 的 SSID 模板。

ssid-profile name HCIE-Interview

ssid HCIE-Interview

创建 VAP 模板，HCIE-Lab 和 HCIE-Interview。

在 WAC1 上创建 HCIE-Lab 的 VAP 模板。

vap-profile name HCIE-Lab

forward-mode direct-forward

service-vlan vlan-pool lab

security-profile HCIE-Lab

ssid-profile HCIE-Lab

quit

在 WAC1 上创建 HCIE-Interview 的 VAP 模板。

vap-profile name HCIE-Interview

forward-mode direct-forward

service-vlan vlan-pool interview

security-profile HCIE-Interview

ssid-profile HCIE-Interview

将 VAP 模板应用到 AP 组下。

在 WAC1 上应用 HCIE-Lab 和 HCIE-Interview 的 VAP 模板。

ap-group name HCIE

vap-profile HCIE-Lab wlan 1 radio all

vap-profile HCIE-Interview wlan 2 radio all

quit

查看 VAP 射频情况。

在 WAC1 上查看 VAP 射频情况。

[WAC1-wlan-view] display vap all

步骤7：配置 Mesh 网络上线。

创建 Mesh 网络 AP 组。

在 WAC1 上创建 Mesh 网络的 AP 组。

wlan

ap-group name HCIE-Mesh

Info: This operation may take a few seconds. Please wait for a moment.done.

regulatory-domain-profile HCIE

Warning: Modifying the country code will clear channel, power and antenna gain configurations of

the radio and reset the AP. Continue? [Y/N]: Y

quit

将 AP4、AP5 加入 Mesh 网络 AP 组。

ap-mac 28a6-dbe1-c300

ap-name ap4

ap-group HCIE-Mesh

Warning: This operation may cause AP reset. If the country code changes, it will clear channel,

power and antenna gain configurations of the radio, whether to continue? [Y/N]: Y

Info: This operation may take a few seconds. Please wait for a moment... done.

quit

ap-mac f02f-a75e-5dc0

ap-name ap5

ap-group HCIE-Mesh

Warning: This operation may cause AP reset. If the country code changes, it will clear channel,

power and antenna gain configurations of the radio, whether to continue? [Y/N]: Y

配置 Mesh 业务参数。

配置 Mesh 节点使用的主要射频参数,“coverage distance”参数为射频覆盖距离，缺省情况下是 3，单位是 100m。

wlan

ap-group name HCIE

radio 1

channel 40mhz-plus 149

Warning: This action may cause service interruption. Continue? [Y/N] y

coverage distance 1

quit

[WAC1-wlan-view] ap-group name HCIE-Mesh

radio 1

channel 40mhz-plus 157

Warning: This action may cause service interruption. Continue? [Y/N] y

coverage distance 1

return

配置 Mesh 白名单。

mesh-whitelist-profile name HCIE-Mesh

peer-ap mac f02f-a75e-5740

peer-ap mac 28a6-dbe1-c300

peer-ap mac f02f-a75e-5dc0

配置在 AP 射频下引用 Mesh 白名单模板。

ap-group name HCIE

radio 1

mesh-whitelist-profile HCIE-Mesh

return

#

ap-group name HCIE-Mesh

radio 1

mesh-whitelist-profile HCIE-Mesh

配置 Mesh 链路使用的安全模板。

security-profile name HCIE-Mesh

security wpa2 psk pass-phrase HCIE-Mesh aes

配置 Mesh 模板。配置 Mesh 网络的 ID 为“HCIE-Mesh”，Mesh 链路老化时间为 30 秒，

并引用安全模板和 Mesh 白名单。

mesh-profile name HCIE-Mesh

mesh-id HCIE-Mesh

link-aging-time 30

security-profile HCIE-Mesh

配置 Mesh 角色。配置 AP3 的 Mesh 角色为“Mesh-portal”，缺省情况下 Mesh 角色为

“Mesh-node”，AP4、AP5 的角色为“Mesh-node”，可以使用默认配置。Mesh 角色是通过

AP 系统模板配置的。

ap-system-profile name HCIE-Mesh

mesh-role mesh-portal

在 AP 组引用相关模板，使 Mesh 业务生效。

配置 AP 组 HCIE 引用 AP 系统模板 HCIE-Mesh。

ap-group name HCIE

ap-system-profile HCIE-Mesh

Warning: This action may cause service interruption. Continue? [Y/N] Y

配置 AP 组 HCIE 引用 Mesh 模板，使 Mesh 业务生效。

[WAC1-wlan-ap-group-HCIE] mesh-profile HCIE-Mesh radio 1

#

[WAC1-wlan-view] ap-group name HCIE-Mesh

[WAC1-wlan-ap-group-HCIE-Mesh] mesh-profile HCIE-Mesh radio 1

Info: This operation may take a few seconds, please wait.done.

[WAC1-wlan-ap-group-HCIE-Mesh] quit

验证 Mesh 业务配置结果

Mesh 业务生效后，执行命令 display mesh vap all，查看所有 Mesh 型 VAP 的信息。

执行命令 display wlan mesh link all，查看 Mesh 链路相关信息。

步骤8：配置分支机构与总部通过 GRE Over IPSec 隧道互通

配置 WAC1 与 AR2 路由互通。

在 AR1 上配置静态路由：[AR1] ip route-static 0.0.0.0 0.0.0.0 20.1.1.2

在 AR2 上配置静态路由：[AR2] ip route-static 10.1.10.0 255.255.255.0 20.1.1.1

验证 WAC1 和 AR2 路由互通。

ping 10.1.200.1

PING 10.1.200.1: 56 data bytes, press CTRL_C to break

Reply from 10.1.200.1: bytes=56 Sequence=1 ttl=253 time=2 ms

Reply from 10.1.200.1: bytes=56 Sequence=2 ttl=253 time=1 ms

Reply from 10.1.200.1: bytes=56 Sequence=3 ttl=253 time=5 ms

Reply from 10.1.200.1: bytes=56 Sequence=4 ttl=253 time=1 ms

Reply from 10.1.200.1: bytes=56 Sequence=5 ttl=253 time=2 ms

[AR2] ping 10.1.10.254

PING 10.1.10.254: 56 data bytes, press CTRL_C to break

Reply from 10.1.10.254: bytes=56 Sequence=1 ttl=253 time=1 ms

Reply from 10.1.10.254: bytes=56 Sequence=2 ttl=253 time=1 ms

Reply from 10.1.10.254: bytes=56 Sequence=3 ttl=253 time=1 ms

Reply from 10.1.10.254: bytes=56 Sequence=4 ttl=253 time=1 ms

Reply from 10.1.10.254: bytes=56 Sequence=5 ttl=253 time=1 ms

配置 GRE Tunnel 接口

在 WAC1 上配置 Tunnel 接口。

interface Tunnel 0/0/0

ip address 192.168.2.1 255.255.255.0

tunnel-protocol gre

source 10.1.10.254

destination 10.1.200.1

在 AR2 上配置 Tunnel 接口。

interface Tunnel 0/0/0

ip address 192.168.2.2 255.255.255.0

tunnel-protocol gre

source 10.1.200.1

destination 10.1.10.254

验证 GRE 隧道成功建立。

在查看 Tunnel 0/0/0 口的状态，且隧道两端可以互通，说明 GRE 隧道建立成功。

display ip interface brief

*down: administratively down

^down: standby

(l): loopback

(s): spoofing

(E): E-Trunk down

……

Interface IP Address/Mask Physical Protocol

LoopBack0 10.10.10.10/32 up up(s)

Tunnel0/0/0 192.168.2.1/24 up up

Vlanif10 10.1.10.254/24 up up

ping 192.168.2.2

PING 192.168.2.2: 56 data bytes, press CTRL_C to break

Reply from 192.168.2.2: bytes=56 Sequence=1 ttl=255 time=4 ms

Reply from 192.168.2.2: bytes=56 Sequence=2 ttl=255 time=1 ms

Reply from 192.168.2.2: bytes=56 Sequence=3 ttl=255 time=2 ms

Reply from 192.168.2.2: bytes=56 Sequence=4 ttl=255 time=5 ms

Reply from 192.168.2.2: bytes=56 Sequence=5 ttl=255 time=5 ms

创建 IPSec 安全提议。

在 WAC1 上配置 IPSec 安全提议。

ipsec proposal HCIE

esp authentication-algorithm sha2-256

esp encryption-algorithm aes-128

在 AR2 上配置 IPSec 安全提议。

ipsec proposal HCIE

esp authentication-algorithm sha2-256

esp encryption-algorithm aes-128

配置 IKE 对等体。

在 WAC1 上配置 IKE 安全提议。

ike proposal 1

authentication-algorithm sha2-256

encryption-algorithm aes-128

dh group14

quit

在 WAC1 上配置 IKE 对等体。

ike peer HCIE

undo version 2

pre-shared-key cipher Huawei@123

ike-proposal 1

quit

在 AR2 上配置 IKE 安全提议。

ike proposal 1

authentication-algorithm sha2-256

encryption-algorithm aes-128

dh group14

quit

在 AR2 上配置 IKE 对等体。

ike peer HCIE

undo version 2

pre-shared-key cipher Huawei@123

ike-proposal 1

quit

创建安全框架。

在 WAC1 上配置安全框架。

ipsec profile HCIE

ike-peer HCIE

proposal HCIE

quit

在 AR2 上配置安全框架。

ipsec profile HCIE

ike-peer HCIE

proposal HCIE

quit

在 Tunnel0/0/0 口上应用各自的安全框架，使接口具有 IPSec 的保护功能。

在 WAC1 的接口上引用安全框架。

interface tunnel 0/0/0

ipsec profile HCIE

quit

在 AR2 的接口上引用安全框架。

interface tunnel 0/0/0

ipsec profile HCIE

quit

配置 ACL，定义需要 IPSec 隧道保护的数据流。

在 WAC1 上配置 Tunnel 接口的转发路由:

ip route-static 10.1.200.0 255.255.255.0 tunnel 0/0/0

在 AR2 上配置 Tunnel 接口的转发路由。

ip route-static 10.1.10.0 255.255.255.0 tunnel 0/0/0

配置成功后，分别在 WAC1 和 AR2 上执行 display ike sa 会显示所配置的信息

步骤9：配置分支 AP 在总部 AC 上线。

在 SW4 上创建 DHCP 地址池。

在 SW4 上创建分支 AP 和业务的 DHCP 地址池。

ip pool ap

gateway-list 192.168.100.1

network 192.168.100.0 mask 255.255.255.0

option 43 sub-option 3 ascii 10.10.10.10

quit

#

ip pool HCIE-Lab

gateway-list 192.168.110.1

network 192.168.110.0 mask 255.255.255.0

quit

#

ip pool HCIE-Interview

gateway-list 192.168.110.1

network 192.168.110.0 mask 255.255.255.0

quit

#

interface Vlanif 100

dhcp select global

quit

#

interface Vlanif 110

dhcp select global

quit

#

interface Vlanif 120

dhcp select global

quit

确认 AP 是否正常获取到 IP 地址。

在 SW4 上查看 DHCP 地址池分配情况，发现 AP6 已经获取到 IP 地址。

[SW4] display ip pool name ap used

在 WAC1 创建 AP 组 HCIE-Bran，并将 AP6 绑定到该组。

[WAC1-wlan-view] ap-group name HCIE-Bran

[WAC1-wlan-ap-group-HCIE-Bran] regulatory-domain-profile HCIE

Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continue? [Y/N]:Y

[WAC1-wlan-ap-group-HCIE-Bran]quit

[WAC1-wlan-view] ap-mac f4de-af36-ace0

[WAC1-wlan-ap-5] ap-name ap6

[WAC1-wlan-ap-5] ap-group HCIE-Bran

查看 AP 状态，AP 已正常上线。

[WAC1]display ap all

Total AP information:

Idle : idle [1]

Nor : normal [5]

ExtraInfo : Extra information

P : insufficient power supply

-----------------------------------------------------------------------------------------------------------------------

ID MAC Name Group IP Type State STA Uptime

ExtraInfo

-----------------------------------------------------------------------------------------------------------------------

0 30fd-65f8-fd40 ap1 HCIE 10.1.10.62 AP7060DN nor 0 19M:24S

P

1 f4de-af36-b300 ap2 HCIE 10.1.10.114 AirEngine5760nor 0 15H:22M:42S

-

2 f02f-a75e-5740 ap3 HCIE 10.1.10.196 AP4030DN nor 0 15H:22M:33S

-

3 28a6-dbe1-c300 ap4 HCIE-Mesh 10.1.10.240 AP4030DN nor 0 15H:20M:17S

-

4 f02f-a75e-5dc0 ap5 HCIE-Mesh 10.1.10.198 AP4030DN nor 0 15H:19M:54S

-

5 f4de-af36-ace0 ap6 HCIE-Bran 192.168.100.72 AirEngine5760 nor 0 00H:01M:51S

-

------------------------------------------------------------------------------------------------------------------------

-

Total: 6