文档详细内容(约22页)
《网络运维管理》/实验二:构建有线无线混合园区网 《网络运维管理》——实验指导书 实验二:构建有线无线混合园区网 实验简介 在实验一的基础上,添加无线局域网配置,构建包括有线网络和无线网络的综合园区网 二、实验目的 1、掌握通过无线控制器(AC)配置无线接入点(AP)的方法 2、掌握eNSP仿真环境中无线园区网的建设过程与方法 3、实现包括有线网络和无线网络的综合园区网 三、实验理论 1、无线局域网WLAN的基本组成 (1)工作站STA(无线终端) (2)胖AP和瘦AP (3)无线控制器AC( Access Controller) (4)基本服务集BSS (5)扩展服务集ESS 2、配置WLAN的基本流程 基于华为设备的WLAN基本业务配置流程包括3个部分:配置网络互通、配置AC系统参数、 通过AC配置WLAN业务参数,并下发给AP,如图20-1所示。 路由器等设备 2、DHCP服务器配置 1、配置域管理模板:主要是国家码 配置AC系统参数+2.配AC接口 3、配置AP认证模式并导入AP 配置WLAN业务参数 创建SSD模板 创建安全模板 创建∨AP模板 AP或AP组的射频 图2-0-1WAN基本业务配置流程 河南中医药大学信息技术学院|网络与信息系统科研工作室 第1页
《网络运维管理》 / 实验二:构建有线无线混合园区网 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第1页 《网络运维管理》—— 实验指导书 实验二:构建有线无线混合园区网 一、实验简介 在实验一的基础上,添加无线局域网配置,构建包括有线网络和无线网络的综合园区网。 二、实验目的 1、掌握通过无线控制器(AC)配置无线接入点(AP)的方法; 2、掌握 eNSP 仿真环境中无线园区网的建设过程与方法; 3、实现包括有线网络和无线网络的综合园区网 三、实验理论 1、无线局域网 WLAN 的基本组成 (1)工作站 STA(无线终端) (2)胖 AP 和瘦 AP (3)无线控制器 AC(Access Controller) (4)基本服务集 BSS (5)扩展服务集 ESS 2、配置 WLAN 的基本流程 基于华为设备的 WLAN 基本业务配置流程包括 3 个部分:配置网络互通、配置 AC 系统参数、 通过 AC 配置 WLAN 业务参数,并下发给 AP,如图 2-0-1 所示。 图 2-0-1 WLAN 基本业务配置流程
《网络运维管理》/实验二:构建有线无线混合园区网 (1)DHCP服务配置 DHCP服务的常用工作模式有中继模式、接口地址池模式和全局地址池模式。 中继模式:DHCP中继位于DHCP客户端与DHCP服务器之间,进行DHCP报文的转 发,可接收来自DHCP客户端的请求报文,并转发给DHCP服务器:接收DHCP服务器 返回的报文,并转发给DHCP客户端。DHCP中继上通常配置于路由交换机或路由器 需配置DHCP服务器地址,使处于不同网络的DHCP客户端共用一台DHCP服务器 接口地址池模式:以接口地址所属地址范围为地址池,为DHCP客户端分配I地址。 全局地址池模式:DHCP服务器的全局地址池包含多个地址池,DHCP服务器将全局地址 池中的地址分配给DHCP客户端。对来自DHCP中继的DHCP请求,DHCP服务器选择 和DHCP中继在同一网段的地址池为DHCP客户端分配地址 (2)AC系统参数配置 配置AC源接口,用于AC与AP之间建立隧道通信 配置AP认证模式。AP认证模式有三种,分别为不认证(no-auth)、MAC地址认证(mac auth)和SN认证(sn-auth),本项目采用MAC地址认证模式。 (3)WLAN业务参数配置 WLAN业务参数配置包括安全模板配置、SSD模板配置和ⅥAP模板配置,各模板主要配 置内容如下 安全模板:配置安全策略,本项目配置为 WPAWPA2-PSK的安全策略,接入密码为 abcd1111”。 ssD模板:主要配置SSID名称 ⅥAP模板:主要设置业务数据报文转发方式、业务ⅥLAN,引用SSD模板、引用安全模 板。本项目报文转发方式为直接转发( direct- forward) (4)无线接入点控制与规范 CAPWAP 无线接入点控制与规范 CAPWAP( Control And Provisioning of wireless access points): 实现AP和AC之间的互通的一个通用封装和传输机制。 (5)虚拟接入点VAP 虚拟接入点VAP( irtual Access point)是AP设备上虚拟出来的业务功能实体。用户可以 在一个AP上创建不同的VAP来为不同的用户群体提供无线接入服务 (6)射频信号 射频信号是提供基于802.11标准的WLAN技术传输介质,具有远距离传输能力的高频电 磁波。本项目中射频信号指24GHz频段或5GHz频段的电磁波 (7)服务集标识符SSID 服务集标识符SSID( Service Set Identifier)表示无线网络的标识,用来区分不同的无线网 络。例如,我们在笔记本电脑或手机上搜索可接入无线网络所得到网络名称就是SSID 扩展服务集ESS( Extend Service Set)由多个使用相同SSID的BSS组成的集合。 河南中医药大学信息技术学院|网络与信息系统科研工作室
《网络运维管理》 / 实验二:构建有线无线混合园区网 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第2页 (1)DHCP 服务配置 DHCP 服务的常用工作模式有中继模式、接口地址池模式和全局地址池模式。 中继模式:DHCP 中继位于 DHCP 客户端与 DHCP 服务器之间,进行 DHCP 报文的转 发,可接收来自 DHCP 客户端的请求报文,并转发给 DHCP 服务器;接收 DHCP 服务器 返回的报文,并转发给 DHCP 客户端。DHCP 中继上通常配置于路由交换机或路由器, 需配置 DHCP 服务器地址,使处于不同网络的 DHCP 客户端共用一台 DHCP 服务器。 接口地址池模式:以接口地址所属地址范围为地址池,为 DHCP 客户端分配 IP 地址。 全局地址池模式:DHCP 服务器的全局地址池包含多个地址池,DHCP 服务器将全局地址 池中的地址分配给 DHCP 客户端。对来自 DHCP 中继的 DHCP 请求,DHCP 服务器选择 和 DHCP 中继在同一网段的地址池为 DHCP 客户端分配地址。 (2)AC 系统参数配置 配置 AC 源接口,用于 AC 与 AP 之间建立隧道通信。 配置 AP 认证模式。AP 认证模式有三种,分别为不认证(no-auth)、MAC 地址认证(macauth)和 SN 认证(sn-auth),本项目采用 MAC 地址认证模式。 (3)WLAN 业务参数配置 WLAN 业务参数配置包括安全模板配置、SSID 模板配置和 VAP 模板配置,各模板主要配 置内容如下: 安全模板:配置安全策略,本项目配置为 WPA/WPA2-PSK 的安全策略,接入密码为 “abcd1111”。 SSID 模板:主要配置 SSID 名称。 VAP 模板:主要设置业务数据报文转发方式、业务 VLAN,引用 SSID 模板、引用安全模 板。本项目报文转发方式为直接转发(direct-forward)。 (4)无线接入点控制与规范 CAPWAP 无线接入点控制与规范 CAPWAP(Control And Provisioning of Wireless Access Points): 实现 AP 和 AC 之间的互通的一个通用封装和传输机制。 (5)虚拟接入点 VAP 虚拟接入点 VAP(Virtual Access Point)是 AP 设备上虚拟出来的业务功能实体。用户可以 在一个 AP 上创建不同的 VAP 来为不同的用户群体提供无线接入服务。 (6)射频信号 射频信号是提供基于 802.11 标准的 WLAN 技术传输介质,具有远距离传输能力的高频电 磁波。本项目中射频信号指 2.4GHz 频段或 5GHz 频段的电磁波。 (7)服务集标识符 SSID 服务集标识符 SSID(Service Set Identifier)表示无线网络的标识,用来区分不同的无线网 络。例如,我们在笔记本电脑或手机上搜索可接入无线网络所得到网络名称就是 SSID。 扩展服务集 ESS(Extend Service Set)由多个使用相同 SSID 的 BSS 组成的集合
《网络运维管理》/实验二:构建有线无线混合园区网 3、WLAN模板 (1)域管理模板 域管理模板用来进行AP的国家码、调优信道集合和调优带宽的配置。 国家码是AP射频所在国家的标识,规定了AP射频特性,包括AP的发送功率、支持的信道 等。国家码的配置使AP的射频特性符合不同国家或区域的法律法规要求 (2)安全模板 安全模板用来配置WLAN安全策略,对无线终端接入进行身份验证,对用户报文进行加密, 为WLAN网络和用户提供安全保障。WLAN安全策略包括开放认证、WEP、 WPAWPA2PSK、 WPAWPA2-8021X、WAP-PSK和WAP-证书,配置安全模板时可选择其中一种。 (3)SSID模板 ssID模板主要用来配置SS|D名称,无线终端通过SSD名称来识别不同的无线网络并接入 (4)ⅥAP模板 在VAP模板中配置各项参数、引用模板,然后引用到AP或AP组,AP上就会创建VAP,为 STA提供无线接入服务。通过VAP模板中的各项参数配置可以实现AP的管理。例如:可以在 ⅥAP模板中设置业务数据报文转发方式、业务ⅥLAN,引用SSID模板、安全模板 4、WLAN中的报文与VLAN划分 (1)WLAN中的报文 WLAN网络中的报文包括管理报文和业务数据报文。管理报文用来传送AC与AP之间的管理 数据,存在于AC和AP之间。业务数据报文主要是传送WLAN客户端上网时的数据,存在于STA 和上层网络之间。 管理报文必须采用 CAPWAP隧道进行转发,而业务数据报文除了可以采用 CAPWAP隧道转 发之外,还可以采用直接转发方式和 Soft-GRE转发方式。 在WAN网络中,STA和AP间的报文为80211协议报文,AP和有线网络间的报文为8023 协议报文,AP作为STA和有线网络间的桥梁,将802.11协议报文终结并转换为8023报文,然 后转发到有线网络。 (2)WLAN中的ⅥLAN划分 在WLAN网络中,通常划分管理ⅥLAN和业务VLAN 管理ⅥLAN:主要用来传送AC与AP之间的管理报文,如AP的 CAPWAP报文、AP的ARP 报文、AP的DHCP报文。 业务VLAN:主要用来传递WLAN客户端上网时的数据报文,从同一AP的SSD接入的WLAN 客户端属于同一业务VLAN 5、AP的管理 (1)AP发现AC 如果AP上预配置了AC的静态IP,则AP直接连接指定AC,否则,AP通过DHCP、DNS 服务器获取AC的旧列表,然后选择AC进行连接 AP发现AC有静态发现和动态发现两种方式。 静态发现:AP静态配置了AC的|P地址列表,AP首先会向列表中AC单播发送“发现请求 河南中医药大学信息技术学院|网络与信息系统科研工作室 第3页
《网络运维管理》 / 实验二:构建有线无线混合园区网 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第3页 3、 WLAN 模板 (1)域管理模板 域管理模板用来进行 AP 的国家码、调优信道集合和调优带宽的配置。 国家码是 AP 射频所在国家的标识,规定了 AP 射频特性,包括 AP 的发送功率、支持的信道 等。国家码的配置使 AP 的射频特性符合不同国家或区域的法律法规要求。 (2)安全模板 安全模板用来配置 WLAN 安全策略,对无线终端接入进行身份验证,对用户报文进行加密, 为 WLAN 网络和用户提供安全保障。WLAN 安全策略包括开放认证、WEP、WPA/WPA2-PSK、 WPA/WPA2-802.1X、WAPI-PSK 和 WAPI-证书,配置安全模板时可选择其中一种。 (3)SSID 模板 SSID 模板主要用来配置 SSID 名称,无线终端通过 SSID 名称来识别不同的无线网络并接入。 (4)VAP 模板 在 VAP 模板中配置各项参数、引用模板,然后引用到 AP 或 AP 组,AP 上就会创建 VAP,为 STA 提供无线接入服务。通过 VAP 模板中的各项参数配置可以实现 AP 的管理。例如:可以在 VAP 模板中设置业务数据报文转发方式、业务 VLAN,引用 SSID 模板、安全模板。 4、WLAN 中的报文与 VLAN 划分 (1)WLAN 中的报文 WLAN 网络中的报文包括管理报文和业务数据报文。管理报文用来传送 AC 与 AP 之间的管理 数据,存在于 AC 和 AP 之间。业务数据报文主要是传送 WLAN 客户端上网时的数据,存在于 STA 和上层网络之间。 管理报文必须采用 CAPWAP 隧道进行转发,而业务数据报文除了可以采用 CAPWAP 隧道转 发之外,还可以采用直接转发方式和 Soft-GRE 转发方式。 在 WLAN 网络中,STA 和 AP 间的报文为 802.11 协议报文,AP 和有线网络间的报文为 802.3 协议报文,AP 作为 STA 和有线网络间的桥梁,将 802.11 协议报文终结并转换为 802.3 报文,然 后转发到有线网络。 (2)WLAN 中的 VLAN 划分 在 WLAN 网络中,通常划分管理 VLAN 和业务 VLAN。 管理 VLAN:主要用来传送 AC 与 AP 之间的管理报文,如 AP 的 CAPWAP 报文、AP 的 ARP 报文、AP 的 DHCP 报文。 业务 VLAN:主要用来传递 WLAN 客户端上网时的数据报文,从同一 AP 的 SSID 接入的 WLAN 客户端属于同一业务 VLAN。 5、AP 的管理 (1)AP 发现 AC 如果 AP 上预配置了 AC 的静态 IP,则 AP 直接连接指定 AC,否则,AP 通过 DHCP、DNS 服务器获取 AC 的 IP 列表,然后选择 AC 进行连接。 AP 发现 AC 有静态发现和动态发现两种方式。 静态发现:AP 静态配置了 AC 的 IP 地址列表,AP 首先会向列表中 AC 单播发送“发现请求
《网络运维管理》/实验二:构建有线无线混合园区网 报文,然后根据AC的回复,选择优先级最高的AC待连接。当出现多个AC优先级相同时 比较AC的负载,选择负载小的AC来连接。如果多个AC优先级、负载均相同,则选择IP地 址小的AC连接。 动态发现:当AP上没有配置AC的|P地址时,AP采用DHCP方式、DNS方式和广播 方式发现AC。 DHCP方式:AP查看获取P地址阶段中DHCP服务器回复的ACK报文的 option43字 段是否存在AC的PP地址,若存在,则向该地址单播发送“发现请求”报文。若AC和 网络正常,AP会收到回应报文,AC的发现过程结束 ·DNs方式:AP查看获取P地址阶段中DHCP服务器回复的ACK报文的 option15字段 是否存在AC的域名。若存在,AP先获取域名,通过DNS解析获得AC的P地址,然 后向AC单播发送“发现请求”报文。若AC和网络正常,AP会收到回应报文,AC的发 现过程结束。 广播方式:当AP上没有静态AC地址、DHCP的ACK报文中不存在AC信息、或AP向 AC单播发送的报文无响应时,AP通过广播报文发现AC,和AP在同一网段的AC会响 应该请求。与静态发现相同,AP按照优先级、负载、IP地址大小选择待连接的AC。 (2)AP接入控制 AP接入控制是指AP上电后,AC判断确定是否允许该AP上线的过程。AP发现AC后 向AC发送上线请求,AC收到AP的上线请求后,判断是否允许AP接入,然后对AP进行回 四、实验规划 O-R-1 O-R-2 核心路由区域 数据中心区域 用户区域 S-RS-1 A-RS-1 9 BRS-1 S-RS-3 S-RS-4 I/A-AP-1 A-SW-1 B-SW-1 B-AP-1 Server-1 Server-2 STA-1 Phone-1 A-C-1 A-C-2 B-C-1 B-C-2 STA-2 phone-2 图20-2实验二网络拓扑规划 网络拓扑规划 本实验是在实验一的网络拓扑基础上,引入无线通信设备,包括AC、AP和移动终端 表2-0-1给出了无线通信设备的说明,其他设备(例如交换机、路由器等)参见实验一。 河南中医药大学信息技术学院|网络与信息系统科研工作室 第4页
《网络运维管理》 / 实验二:构建有线无线混合园区网 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第4页 报文,然后根据 AC 的回复,选择优先级最高的 AC 待连接。当出现多个 AC 优先级相同时, 比较 AC 的负载,选择负载小的 AC 来连接。如果多个 AC 优先级、负载均相同,则选择 IP 地 址小的 AC 连接。 动态发现:当 AP 上没有配置 AC 的 IP 地址时,AP 采用 DHCP 方式、DNS 方式和广播 方式发现 AC。 DHCP 方式:AP 查看获取 IP 地址阶段中 DHCP 服务器回复的 ACK 报文的 option43 字 段是否存在 AC 的 IP 地址,若存在,则向该地址单播发送“发现请求”报文。若 AC 和 网络正常,AP 会收到回应报文,AC 的发现过程结束。 DNS 方式:AP 查看获取 IP 地址阶段中 DHCP 服务器回复的 ACK 报文的 option15 字段 是否存在 AC 的域名。若存在,AP 先获取域名,通过 DNS 解析获得 AC 的 IP 地址,然 后向 AC 单播发送“发现请求”报文。若 AC 和网络正常,AP 会收到回应报文,AC 的发 现过程结束。 广播方式:当 AP 上没有静态 AC 地址、DHCP 的 ACK 报文中不存在 AC 信息、或 AP 向 AC 单播发送的报文无响应时,AP 通过广播报文发现 AC,和 AP 在同一网段的 AC 会响 应该请求。与静态发现相同,AP 按照优先级、负载、IP 地址大小选择待连接的 AC。 (2)AP 接入控制 AP 接入控制是指 AP 上电后,AC 判断确定是否允许该 AP 上线的过程。AP 发现 AC 后, 向 AC 发送上线请求,AC 收到 AP 的上线请求后,判断是否允许 AP 接入,然后对 AP 进行回 应。 四、实验规划 1、网络拓扑规划 本实验是在实验一的网络拓扑基础上,引入无线通信设备,包括 AC、AP 和移动终端。 表 2-0-1 给出了无线通信设备的说明,其他设备(例如交换机、路由器等)参见实验一。 图 2-0-2 实验二网络拓扑规划
《网络运维管理》/实验二:构建有线无线混合园区网 表20-1网络设备说明 序号 设备线路 设备类型 规格型号 sTA-1、STA2 移动终端 移动用户 2 Phone-1、 Phone2 移动终端 移动用户 A-AP-1、B-AP-1 无线接入点(AP) AP3030 接入移动终端 无线控制器 Ac6605用于AP的管理和配置 提醒 1.本实验中的AP采用瘦AP工作模式,即通过无线控制器AC(此处是AC-1)来统 配置AP 2、交换机VLAN设计 根据网络规划及表2-0-2的基本结构,自行设计与无线局域网有关的交换机接囗对 应的 VLAN ID和接口类型,补充完整表2-0-2 所设计的用于无线通信的ⅥAN中,第一个 VLAN ID用自己的学号后两位+200来 定义。例如2019181020,其设计使用的用于无线通信的ⅥLAN中,第1个ⅥAN的 ID是220,后面的VLAN依次加1,即LAN221、VAN222 表20-2交换机接口及vLAN规划表 序号交换机 接口 VLAN ID 连接设备接口类型 A-SW-1 A-AP-1 3 B-SW-1 B-RS-1 B-SW-1 B-AP-1 A-SW-1 6 B-RS- B-SW-1 7 S-RS-3 1.本实验是在实验一的网络拓扑基础上实现的,其他的交换机接口与对应ⅥLAN信 息,参见实验一。 3、无线设备IP地址设计 根据网络规划及表2-0-3的基本结构,自行设计无线访问点(即AP)和无线移动终 端的IP地址及默认网关,补充完整表2-0-3 注意 无线移动终端(例如STA-1)的IP地址格式是192AB.*。其中,A等于学号的最 后两位,B必须大于等于学号的后两位+4,且小于等于学号后两位+7,*表示该位数值 由考生自定。例如张三(2019181002)可以使用的用于无线移动终端的IP地址范围是 1922.6.0~192.2.9.255。设计IP地址时要考虑路由聚合。 无线通信设备(包括AP和AC)的IP地址格式是10.1A.*。其中,A等于学号的 最后两位,*表示该位数值由考生自定 河南中医药大学信息技术学院|网络与信息系统科研工作室
《网络运维管理》 / 实验二:构建有线无线混合园区网 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第5页 表 2-0-1 网络设备说明 序号 设备线路 设备类型 规格型号 备注 1 STA-1、STA-2 移动终端 STA 移动用户 2 Phone-1、Phone-2 移动终端 Cellphone 移动用户 3 A-AP-1、B-AP-1 无线接入点(AP) AP3030 接入移动终端 4 AC-1 无线控制器 AC6605 用于 AP 的管理和配置 提醒: 1. 本实验中的 AP 采用瘦 AP 工作模式,即通过无线控制器 AC(此处是 AC-1)来统 一配置 AP。 2、交换机 VLAN 设计 根据网络规划及表 2-0-2 的基本结构,自行设计与无线局域网有关的交换机接口对 应的 VLAN ID 和接口类型,补充完整表 2-0-2。 所设计的用于无线通信的 VLAN 中,第一个 VLAN ID 用自己的学号后两位+200 来 定义。例如 2019181020,其设计使用的用于无线通信的 VLAN 中,第 1 个 VLAN 的 ID 是 220,后面的 VLAN 依次加 1,即 VLAN 221、VLAN222…… 表 2-0-2 交换机接口及 VLAN 规划表 序号 交换机 接口 VLAN ID 连接设备 接口类型 1 A-SW-1 A-RS-1 2 A-SW-1 A-AP-1 3 B-SW-1 B-RS-1 4 B-SW-1 B-AP-1 5 A-RS-1 A-SW-1 6 B-RS-1 B-SW-1 7 AC-1 S-RS-3 提醒: 1. 本实验是在实验一的网络拓扑基础上实现的,其他的交换机接口与对应 VLAN 信 息,参见实验一。 3、无线设备 IP 地址设计 根据网络规划及表 2-0-3 的基本结构,自行设计无线访问点(即 AP)和无线移动终 端的 IP 地址及默认网关,补充完整表 2-0-3。 注意: 无线移动终端(例如 STA-1)的 IP 地址格式是 192.A.B.*。其中,A 等于学号的最 后两位,B 必须大于等于学号的后两位+4,且小于等于学号后两位+7,*表示该位数值 由考生自定。例如张三(2019181002)可以使用的用于无线移动终端的 IP 地址范围是: 192.2.6.0~192.2.9.255。设计 IP 地址时要考虑路由聚合。 无线通信设备(包括 AP 和 AC)的 IP 地址格式是 10.1.A.*。其中,A 等于学号的 最后两位,*表示该位数值由考生自定
