解析无线转发模式

实验环境说明

在本实验环境中，存在名为SW1和SW2两台思科常用交换机，前者的G1/0/1和后者的Fa 0/1通过Trunk连接。无线控制器WLC 5508的Port1和SW2的Fa0/3通 过Trunk连接。

一台思科AP设备连接到SW1上的G1/0/2接口上，客户机PC1通过无线网卡连接该AP，管理主机Guanli-PC连接到SW2的Fa0/24口。SW2带有路由功能，充当核心交换机的作用，所有的VLAN都配置在该设备上，如图1所示。

图1 网络拓扑图

在SW2上创建VLAN 100和VLAN 200，其地址范围分别为192.168.1.0/24和172.16.1.0/24。

W L C的M a n a g e r I n t e r f a c e的 I P为192.168.1.100，Guanli-PC的 IP为 192.168.1.10，其都从属于VLAN 100。AP连接的G1/0/2的从属于VLAN 200，AP被划分到VLAN 200，AP可以通过DHCP获取所需的IP，AP通过CAPWAP隧道注册到Manager Interface。

注意：AP是跨网段进行注册的，需要为其指定WLC的位置。

VLAN 100和VLAN 200的SVI接口均位于SW2上。当然，需要在SW2上配置DHCP服务，满足AP获取地址的需要。

对于该无线控制器来说，如果要清空配置，可以执行“clear config”命令，输入“y”键清除配置信息。之后执行“reset system”命令，输入“n”键，根据提示输入“y”重启设备即可。

接口和端口的关系

对于思科无线控制器来说，存在Port和Interface两个容易混淆的概念。Port指的是物理的端口，Interface指的是逻辑的端口。

对于新版本的AireOS8.0来说，AP Manager Interface和 Manager Interface可以使用同一个IP地址，AP通过CAPWAP隧道和AP Manager Inteface进行注册和通讯。用户可以通过Manager Interface来管理该设备，控制器可以以其为源和外部的ISE等设备进行通讯。

当然，还可以创建额外的AP Manager Interface，来注册其他的AP。对于Virtual Inteface来说，一般可以为其设置不可路由地址。主要起到伪装的作用，用来保护物理网络中的DHCP服务器。对于Dynamic Interface来说，其主要作用关联有线网络的VLAN。

当在WLC上创建某个WLAN，必须为其关联动态接口，并为其设置合适的SSID，这样PC就会连接到该SSID，并关联到物理网络中的指定的VLAN。

配置中心转发模式

对于中心转发模式来说，CAPWAP隧道不仅发送了控制层面的流量，也发送了数据层面流量。该模式面对流量日益巨大的无线流量来说，已经显得有些捉襟见肘。在WLC上要配置合适的WLAN，并为其绑定 SSID（例如“hello”），这样客户端PC在连接了该SSID后，其数据层面的流量就会封装到上述CAPWAP隧道中，并发送给上述WLAN，在该WLAN的配置中需要提前创建一个Dynamic Interface，还要为其分配一个可用的地址，并关联一个有线网络的VLAN，这样就将该PC的流量导入到有线网络。

在SW2上 执 行“config t”命令，进入全局配置模式。执行“ip routing”命令，开启路由功能，让不同的VLAN可以互访。

执行“vlan 100”，“name management”，“VLAN 200”，“name apgl”命令，创建上述两个VLAN。

执 行“i n t e r f a c e FastEthernet 0/1”，“switch trunk encapsulation dot1q”，“switch mode trunk”，“no shutdown”命令，在Fa 0/1接口开启Trunk。

执 行“i n t e r f a c e FastEthernet 0/3”，“s w i t c h t r u n k encapsulation dot1q”，“switch mode trunk”，“no shutdown”命令，在Fa 0/3接口开启Trunk。

执 行“i n t e r f a c e FastEthernet 0/24”，“switch access VLAN 100”，“spanning-tree portfast”，“no shutdown”命令，配置Fa 0/24接口。

执 行“i n t e r f a c e V L A N 1 0 0”，“ i p address 192.168.1.254 255.255.255.0”命 令，为VLAN 100设置网关地址。执行“interface VLAN 200”，“ip address172.16.1.254 255.255.255.0” 命 令，为VLAN 200设置网关地址。 执 行“ip dhcp pool ap”，“network 172.16.1.0 255.255.255.0”，“defaultroute 172.16.1.254”，“option 43 hex f104.xxxx.xxxx”命令，创建DHCP地址池，用来为AP设备分配地址。同时为AP指定WLC无线控制器的位置信息，这里使用了DHCP服务的43号选项，其格式比较特殊，默认必须以“f1”开头，“04”表示IP地址为4个字节，“xxxx.xxxx”为WLC的十六进制地址。这样，当AP从DHCP地址池中获得了合法的地址后，同时也得到了WLC地址。

注意:如果存在多台WLC的话，可以根据需要添加更多的地址。

例如,其格式变为“f108.xxxx.xxxx yyyy yyyy”，表示指定两台WLC的地址。在SW1上执行“config t”命令，进入全局配置模 式。 执 行“VLAN 200”，“name apvl”命 令，创 建VLAN 200。执行“interface GigabitEthernet1/0/1”，“switch mode trunk”，“no shutdown” 命 令，为G1/0/1接 口 设 置Trunk。 执 行“interface GigabitEthernet 1/0/2”，“switchport access VLAN 200”，“switchport mode access”，“spanning-tree portfast”，“no shutdown”命令，将G1/0/2划分到VLAN 200。

初始化无线控制器

在使用上述WLC设备时，需对其进行初始化处理，在“System name”栏 中 输入 其 名 称（如“WLC5508”），在“Enter Administrative User Name”栏中输入管理员名称（例如“wlcadmin”），之后输入密码。

接下来根据需要确定是否启用链路聚合，在“Management Interface IP Address”栏中设置管理接口IP，这里为 192.168.1.100。然后输入其掩码和缺省网关（这 里 为 192.168.1.254），对于Manager Interface来说，必须为其打上VLAN 100的Tag，才可以进入SW2的VLAN 100中。因此，需要在“Management Interface VLAN Identifier”栏 中 输入“100”。之后为其设置对应的物理端口号，这里为1。在“Management Interface DHCP Server IP Address”栏中输入DHCP服务器的IP，这里为192.168.1.254。

在“Virtual Gateway IP Address”栏中输入虚拟网关地址，该地址不可路由，例如“1.1.1.1”。

接着需要配置组播地址，例 如239.1.1.1。 在“Mobility/RF Group Name”栏中输入漫游组名称，同一组中的客户是可以无缝漫游的。

再设置SSID名称，可以根据需要决定是否启用DHCP桥接模式，这里不选用，可以保护真实的DHCP服务器。

之后允许客户手工配置静态IP，根据需要选择是否配置RADIUS服务器，输入实际的国家代码（例如“CN”），接下来分别选用802.11b，802.11a，802.11g 以 及 自 动频段管理。

然后根据需要确定是否配置NTP服务器，是否手动配置时间，是否启用IPv6等，在“Configuration correct？”栏中输入“yes”保存配置信息，并重启设备。

将WLAN和VLAN进行关联

在管理主机上打开浏 览 器（例 如 Firefox，不 建 议 使 用 IE），访 问https://192.168.1.100”地址，输入预设的WLC的管理员名称和密码，进入其管理界面。其默认使用的简单模式，点击右侧的Advanced”按钮进入高级配置模式。

对于AP来说，其默认的用户名为“cisco”，默认密码为“Cisco”，如果需要清除AP配置的话，可以执行clear capwap privateconfig”，“reload”命 令 即可。当AP启动后，会发起广播广播来获取WLC地址，因为这是是跨网段的，所以广播无法奏效。只有通过DHCP服务来获取WLC的地址，之后才可以完成注册操作。在WLC管理界面工具栏上点击WIRELESS”按钮，可以看到注册成功的AP。点击该AP，可以深入配置其各项属性。

图2 配置WLAN的属性

在工具栏上点击“CONTROLLER”项，在左侧点击“Interface”项，在右侧点击“management”项，选择“Enable Dynamic”项，表示将Management Interface和AP Management合二为一了。返回上级菜单，点击“New”按钮，创建新的动态接口，输入其名称（例如“dt1”），设置与其关联的VLAN号（例如VLAN 200）。

点 击“Apply”按 钮 保存配置信息，在其属性窗口（如图2所示）中的“Port Number”栏中输入“1”，表示该动态接口的流量会从端口1出去。在“IP Address”栏中设置可用的地址（例如“172.16.1.253”），并在其下设置掩码和网关等参数，在“DHCP Information”栏 中中输入DHCP服务器的地址，例如172.16.1.254。点击“Apply”按钮，提交修改信息。

注意：对于思科WLC控制器来说，必须在工具栏上部点击“Save Configuration” 按钮，才可以让配置存盘。

点击工具栏上的“WLANs”按钮，点击默认的WLAN项，在其属性窗口中的“General”面板中的“SSID”栏中输入SSID标识符，在“Status” 和“Broadcast SSID”栏中确保选择“Enable”项。在“Interface/Interface Group”列表中选择上述动态接口“dt1”，让两者实现关联。在“Security”面板（如图3所示）中打开“Layer2”标签，在“PSK”栏中选择“Enable”项，输入合适的密码，启用预共享密钥认证功能。这样，在客户端就可以检测到该SSID，选择该SSID，输入预设的密码，就可以连接到上述网络中了。执 行“ipconfig /all” 命令，可以看到从上述DHCP地址池中获取的IP地址，而且DHCP服务器的地址是不可路由的地址（例如“1.1.1.1”等），这样可以保护真实的DHCP服务器。

图3 配置认证信息

配置本地转发模式

上面谈到的是中心转发模式，对于FlexConnect本地转发来说，情况则有所不同。本地转发可以优化无线流量的管理，大大降低CAPWAP隧道传输的压力，在实际中使用的日益广泛。

对于本地转发来说，CAPWAP隧道仅仅传输控制层面的流量，需要在AP本地配置SSID和VLAN的映射关系，让数据流量直接通过通过另外的VLAN进入有线网络。为此需要在上述两个交换机上配置另外的VLAN。

例如在SW2上进入全局配置模式，执行“vlan 300”，“name FlexConnet”，创 建VLAN 300，用于传输数据流量。

执 行“i n t e r f a c e v l a n 3 0 0”，“ i p address 111.1.1.254 2 5 5.2 5 5.2 5 5.0”，“i p dhcp pool VLAN300”，“network 111.1.1.0 255.255.255.0”，“defaultroute 111.1.1.254”命令，为VLAN 300设置网关地址，并配置DHCP地址池。

注意，这里并没有设定DHCP服务的43号选项，因为这是为普通的客户端配置的。

在SW1上进入全局配置模式，执行“vlan 300”，“name FlexConnet”，“default interface g i g a b i t E t h e r n e t 1/0/2”，“i n t e r f a c e gigabitEthernet 1/0/2”，“switchport mode trunk”，“switchport trunk native VLAN 200”命令，创建VALN 300，并将其G1/0/2接口划入到该VLAN中，并且启用Trunk功能，指定本地VLAN为VLAN 200。这样，对于AP没有打TAG的流量会发送到VLAN 200中，便于AP注册到WLC设备。

当注册完成后，在WLC就可以为AP配置WLAN和VLAN的绑定关系，例如将特定的WLAN绑定到VLAN300。对于VLAN 300的流量来说，在进入Trunk时就会打上TAG，进入有线网络。 进入WLC管理界面，选择对应的AP设备，在其属性面板中的“AP Mode”列表中选择“FlexConnect”项，激活本地转发模式。默认使用的local”项，表示中心转发模式。在“FlecConnect”面板中选择“VLAN Support”项，激活VLAN的支持，让AP可以支持Trunk功能，并输入具体的本地VLAN号。

注意：这里的本地VLAN和上述交换机上设置的本地VLAN一定要一致。

点击“Apply”按钮保存配置，点击“VLAN Mappings”按 钮， 在“WLAN VLAN Mapping”栏中针对上述WLAN设置需要映射的VLAN ID号（例如“300”）。在“Make AP Specific”栏的右侧点击“Go”按钮，执行映射操作。

在工具栏上点击“WLANs”按 钮，在“Create New”项右侧点击“Go”按钮，创建新的WLAN，用于实现本地转发。输入其名称和SSID（例 如“Flexhello”），点 击“Apply”按钮保存设置，在其属性窗口的“General”面板中的“Status”栏中选择“Enable”项，将其激活。

注意：在此处关联动态接口意义不大。

针对二层安全，按照上述方法配置PSK预共享 密 钥。 在“Advanced”面 板 中 的“FlexConnect Local Switching” 栏 中选 择“Enabled”项，激 活FlexConnect本地转发功能，这一点尤为重要。

这样，在客户端上可以搜索并连接到上述SSID，来进入有线网络。执行“ipconfig/all”命令，可以查看获得IP等信息。