由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

简介

同一AC的三层漫游:指的是在同一个AC下面的不同AP之间不同业务之间的漫游(跨越三层网络),比如图中AP-1的业务VLAN 是10(192.168.10.0/24),而AP-2的业务VLAN是20(192.168.20.0/24),无线客户端从AP-1漫游到AP-2后,虽然处于AP-2上面,但是业务VLAN保持不变,IP地址也保持不变,只是由原先的AP-1变成了AP-2来转发无线客户端的业务。

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

之前已经把网络基本初始化了,整个网络除了WLAN业务没有跑起来以外,其他的都能够正常运行,这次主要介绍三层漫游的WLAN配置相关。

【掌握目标】

1、AP正常上线
2、配置WLAN业务
3、下发给AP
4、Client关联,并且查看命令
5、访问外网测试
6、漫游测试
7、三层漫游需要注意的问题
8、在实际环境中遇到的情况(业务漫游后不通)

拓扑说明

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组
说明:该拓扑就一个办公区域,AP-1主要提供给转发VLAN 101的业务,而AP-2主要提供转发VLAN 102的业务,但是领导希望在办公区域内,客户端能够进行自动的切换关联,希望保持在比较不错的信号强度的AP下转发业务,这时候必须提供三层漫游功能来实现这个目的了。

管理VLAN 800:192.168.80.0/24 GW:192.168.80.254
业务VLAN 101:192.168.101.0/24 GW:192.168.101.254
业务VLAN 102:192.168.102.0/24 GW:192.168.101.254
与路由器对接接口VLAN 1:192.168.1.0/24 交换机地址:192.168.1.1 路由器内网地址:192.168.1.2
与AC对接的接口 VLAN 100:192.168.100.1/24 AC源接口地址:192.68.100.2/24
隧道转发模式:直接转发
AP上线组网方式:三层(不在一个子网广播域内),必须通过DHCP Option43来实现
SSID:Intranet 认证与加密方式:WPA2 PSK+CCMP
AP-1主要提供业务VLAN 101(也提供VLAN 102的业务转发)
AP-2主要提供业务VLAN 102(也提供VLAN 101的业务转发)
说明:这里AP肯定得为2个业务VLAN 能够提供转发才行,否则的话 三层漫游多个业务VLAN之间AP需要能够识别的了,能够打上业务TAG。

1、AP正常上线

说明:AP正常上线有几个要求
1、AC必须配置源地址【可以跟使得AP跟AC建立capwap隧道】,AP能够通过CAPWAP discovery让AC收到discovery包,然后AC回复respons
2、AP的认证方式,默认为MAC-auth,可以修改为序列号或者是不认证,只有认证通过的AP才能正常上线。

3、版本问题(AP与AC的版本要对应匹配,这个具体看文档说明),版本不匹配,AP也关联不上AC

[Huawei-AC]wlan
[Huawei-AC-wlan-view]wlan ac source interface Vlanif 100
说明:这里配置了AC的源地址是用VLAN 100,也就是用该地址与AP建立CAPWAP 隧道。

AP的认证方式默认为MAC-AUTH,MAC地址可以通过在AP上面命令查看。

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组
由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

[Huawei-AC-wlan-view]ap id 0 type-id 19 mac 00e0-fc70-2c90
[Huawei-AC-wlan-view]ap id 1 type-id 19 mac 00e0-fc24-1ce0
通过手动添加,来添加设备的MAC地址,这样AP可以通过认证,就可以正常上线了。这里id是自定义的,只是一个序列号而已,但是type-id很正常, 它跟你实际关联设备有关,该设备为AP6010DN-AGN这个在刚刚display中有显示,所以可以通过命令display ap-type all查看AC支持关联的AC类型与序列号,看自己要关联的AP是多少 这里就填写多少。

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组
由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组
由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

可以看到有一个已经获取到了IP地址,管理VLAN 的80网段的,另外一个还处于没有获取地址阶段。

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

可以看下建立的过程,首先通过DHCP获取地址。

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

可以看到offer包里面,回应Client请求里面,包括了Client的地址、掩码、路由网关、租期以及DHCP服务器是谁,还有一个Option 43的值,这个值可以通过抓包软件解析到,正是AC的地址

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

AP然后通过这个地址直接单播与AC建立CAPWAP隧道。

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组
由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

两边台AP都提示CAPWAP链路UP了。

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

这时候AC上面就有对应的AP信息以及状态等。

2、配置WLAN业务

配置WLAN业务,由于两台AP之间是需要做漫游的,而且这里是三层漫游,所以我们可以把WLAN-ESS接口、WMM、射频模板、安全、流量模板同一个,但是,服务集必须是2个不同的,因为业务VLAN不一样,然后在AP下面关联各自的服务集即可,这样简化了配置,也保证了漫游的一些注意事项,当然信道需、功能等可以不一样 手动调整或者自动调优都可以。
(1)创建wlan-ess接口
[Huawei-AC]interface Wlan-Ess 101
[Huawei-AC-Wlan-Ess101]port hybrid untagged vlan 101

[Huawei-AC]interface Wlan-Ess 102
[Huawei-AC-Wlan-Ess102]port hybrid untagged vlan 102
说明:创建wlan-ess接口,下面的hybird接口类型是可选的,该接口可以启用各种安全认证、QOS策略以及ACL等。在直接转发的情况下,ESS接口的VLAN属性不重要,不配也可以,它适用于集中转发的情况下才使用。

(2)WMM模板与射频模板
[Huawei-AC-wlan-view]wmm-profile name roam
[Huawei-AC-wlan-view]radio-profile name roam
[Huawei-AC-wlan-radio-prof-roam]wmm-profile name roam
[Huawei-AC-wlan-radio-prof-roam]channel-mode fixed (默认为自动)
说明:WMM模板可以定义流量优先级,射频模板功能比较多,可以设置功率、802.11类型以及更多的,最简单的就是要关联WMM模块才能被射频调用,所以这里调用WMM即可,其他的使用默认。

(3)流量模板与安全模板
[Huawei-AC-wlan-view]traffic-profile name roam
[Huawei-AC-wlan-view]security-profile name roam
[Huawei-AC-wlan-sec-prof-roam]security-policy wpa2
[Huawei-AC-wlan-sec-prof-roam]wpa2 authentication-method psk pass-phrase simple ccieh3c.taobao.com encryption-method ccmp
说明:流量模板里面可以定义流量限速等,而安全模板则是定义安全策略,默认为Open,需求是WPA2 PSK+CCMP,所以这里修改了。

(4)服务集模板
由于是不同业务VLAN的,所以这里必须创建2个服务集。
AP-1的
[Huawei-AC-wlan-view]service-set name roam-AP-1
[Huawei-AC-wlan-service-set-roam-AP-1]ssid Intranet
[Huawei-AC-wlan-service-set-roam-AP-1]wlan-ess 101
[Huawei-AC-wlan-service-set-roam-AP-1]service-vlan 101
Info: This action may cause service interruption if you don’t execute commit command.
[Huawei-AC-wlan-service-set-roam-AP-1]traffic-profile name roam
[Huawei-AC-wlan-service-set-roam-AP-1]security-profile name roam

AP-2的
[Huawei-AC-wlan-view]service-set name roam-AP-2
[Huawei-AC-wlan-service-set-roam-ap-2]ssid Intranet
[Huawei-AC-wlan-service-set-roam-ap-2]wlan-ess 102
[Huawei-AC-wlan-service-set-roam-ap-2]service-vlan 102
Huawei-AC-wlan-service-set-roam-ap-2]traffic-profile name roam
[Huawei-AC-wlan-service-set-roam-ap-2]security-profile name roam

(5)在射频绑定射频模板以及服务集
AP-1
[Huawei-AC-wlan-view]ap 0 radio 0
[Huawei-AC-wlan-radio-0/0]radio-profile name roam
Warning: Modify the Radio type may cause some parameters of Radio resume default value, are you sure to continue?[Y/N]:y
[Huawei-AC-wlan-radio-0/0]service-set name roam-ap-1

AP-2
[Huawei-AC-wlan-view]ap 1 radio 0
[Huawei-AC-wlan-radio-1/0]radio-profile name roam
Warning: Modify the Radio type may cause some parameters of Radio resume default value, are you sure to continue?[Y/N]:Y
[Huawei-AC-wlan-radio-1/0]service-set name roam-ap-2
[Huawei-AC-wlan-radio-1/0]channel 20mhz 6

说明:ap 0是之前定义的序列号,radio 0表示2.4G频率,如果是双频的话,还可以定义1,1表示5G,然后在射频里面调用了服务集以及射频模板。另外AP 1里面我是手动把channel修改为6了,默认都是1,模拟器不支持自动调优 所以这里手动指定下。工作中也可以人为修改,或者自动调优都可以。

3、下发给AP

[Huawei-AC-wlan-view]commit all
Warning: Committing configuration may cause service interruption,continue?[Y/N]y
这里提交服务给所有AP,也就是AP-1与AP-2。

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

4、Client关联测试

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组
由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组
由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组
由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组
由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组
由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

5、访问外网测试

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组
由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

可以看到各自AP提供的业务都正常,都可以正常转发。

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

都有正常的NAT转发。

6、漫游测试

AP-1漫游到AP-2

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组
由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组
由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

可以看到在测试的过程中,并没有发生丢包或者其他的,而且从AP-1漫游到了AP-2

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

可以看到地址没有发生变化。
这时候AP发生了变化,我们先看AP-0的

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组
由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

可以看到AP-0默认情况下只有除了VLAN 1以外 就是业务VLAN 101,是没有VLAN 102的信息的。
但是看AP-1就不同了

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

AP-1默认情况下也是只允许VLAN 102通过的,但是因为有漫游客户端的加入,它这里会加入VLAN 101的Untage来处理,这是客户在漫游过程中,AP会通过CAPWAP隧道来询问AC是否有关于该客户端的关联信息,由于该客户端之前已经关联过AP-0,所以AC上面有关于它的关联、认证以及VLAN等属性,它会下发给AP-1,这时候AP-1就会自动的添加VLAN 101的业务VLAN处理,并且会保存关于该客户端的漫游信息到本地,只要是关于该客户端过来的数据包都打上VLAN 101,不是漫游记录里面的信息就打上PVID 102的业务TAG。(不过那个存储漫游信息的命令在AP上面没有找到,所以看不了)

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

可以看到有一个漫游信息存在

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

可以看到关于该MAC地址的漫游情况,在51分的情况下还在关联AP ID 0,但是到了59的时候漫游到了AP ID 1了。

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

可以看到关于该用户的信息,目前是关联在AP1上面。

AP-2到AP-1

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组
由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

目前客户端也是在AP 1下面,而且地址是102网段的。

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

慢慢移动

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

已经漫游过来了

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

可以看到也没丢包。

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组
由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

可以看到现在AP 0上面就发生变化了,有关于VLAN 102的信息了。也会处理业务VLAN 102的内容。

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组
由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

地址还是保持不变。

漫游过程中抓包的信息

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组
由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

其中192.168.100.2是AC的地址,192.168.80.253是AP-1的地址,192.168.80.251.是AP-2的地址

我们先看发送给AP-2的是什么信息。

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组
由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

这个消息是AC发送给AP-2的,在这个消息之前,漫游在发生过程中,而且客户端已经从AP-1关联到AP-2了,AP-2之前询问是否有关于该客户端的消息,然后会发送这个消息给AP,告诉该关于该客户端之前的关联消息以及认证信息与VLAN信息。 然后AP会回应respons给AC,添加成功。
然后看给AP-1发送的消息

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组
由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

当该客户端从AP-1漫游到AP-2后,AC会发送消息让AP-1删除关于该客户端的关联信息,也就是解除,
AP收到以后,回应response,表示解除关联成功。

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

主要是wirelshak对于无线里面的数据包分析还是没那么专业,所以很多包都是unknown的。

7、三层漫游需要注意的问题(Huawei)

(1)必须在同一AC下,在版本V2000R5后支持不同AC之间
(2)WALN-ESS的接口策略必须相同(指的是安全等策略)
(3)安全模板的认证方式必须一致,包括密钥
(4)服务集模板中的SSID和数据转发模式必须一致
(5)需要定义多个服务集,关联不同的ESS接口以及业务VLAN,但是SSID与其他策略必须相同
(6)建议修改Channel为不干扰,而且重叠区域为10%~15%
(7)接入交换机的接入接口必须允许所有的需要漫游的业务VLAN通过,否则漫游后,造成业务不同的情况。
(9)直接转发模式下,用户漫游后,与AP相连的接入设备的ARP表项未及时老化,会造成用户业务短暂中断,建议用户在AC的服务集视图下使能DHCP Snooping功能,AP会及时发送免费ARP报文给接入设备刷新ARP表项,保证漫游过程中用户业务不中断。
(10)关于三层漫游AP的变化,默认情况下,AP只会处理服务集里面定义的业务VLAN流量(通过下发配置得到),在有客户端从别的AP漫游到该AP的时候,该AP会询问AC关于该客户端的关联、安全认证以及VLAN业务等信息,然后AP收到以后,后续知道如何为该漫游后的客户端添加哪个业务VLAN的Tag转发出去,同时AC还会发送解除关联信息给之前的AP,要求解除掉关于该客户端的关联信息。
(11)建议接入交换机上面不要开启端口安全以及其他安全机制,否则的话造成漫游后不通。下面是提示有mac地址flapping,就是原本从E0/0/1后接口学习到该客户端的MAC,但是又从E0/0/3学习到了,会提示。
Dec 23 2014 12:25:40-08:00 Huawei-AS-1 L2IFPPI/4/MFLPVLANALARM:OID 1.3.6.1.4.1.2011.5.25.160.3.7 MAC move detected, VlanId = 101, MacAddress = 5489-9885-5a16, Original-Port = Eth0/0/1, Flapping port = Eth0/0/3. Please check the network accessed to flapping port.

8、在实际环境中遇到的情况(业务漫游后不通)

由浅入深玩转华为WLAN—18 漫游系列(5)同一AC内AP之间三层漫游【三层上线+旁挂+直接转发组

在之前介绍的二层漫游的过程中分析过这个问题,具体是因为华为交换机在ARP的学习过程中是会增加具体的接口的,而不是像Cisco那样只增加VLAN接口,那么导致的情况是客户端虽然漫游了,但是ARP的信息没有被改变,导致漫游后不能业务的正常工作。解决办法可以参考之前分析的二层漫游里面的。

本文首发于公众号:网络之路博客


上一篇:由浅入深玩转华为WLAN—13 华为胖AP的常见配置


下一篇:华为交换机/路由器重置console密码