我們都知道,ap上線預設情況下是在default組裡面的,适用于常見場景,今天就來說說什麼情況下需要分多個ap組的案例。
比如這樣一個學校場景,有實驗樓、教學樓、食堂、寝室等樓層,都部署了無線ap建構無線網,按我們常見的部署是統一一個無線ssid的vap,最終調用在ap組裡面,但是在學校的場景中,除了一個統一的ssid以外,每個樓層還會單獨放出一個單獨的ssid,這樣的需求是為了實作,統一ssid友善漫遊并且這個ssid通常是收費使用的,而每個樓層的ssid單獨用于各自樓層(比如教學樓用于wifi講學、實驗樓能夠通路一些需要的資源、食堂、寝室則定時開啟某個點能夠通路外網等政策),針對這樣的需求,我們則需要用到ap組的功能。
新知識點學習
1、建立一個新的ap組
[ac6005]wlan
[ac6005-wlan-view]ap-group name xxxx
我們通常會以區域、用途、房間号等作為名字命名。
2、ap加入對應的組
[ac6005-wlan-view]ap-id 1
[ac6005-wlan-ap-1]ap-group 1f
warning: this operationmay cause ap reset. if the country code changes, it will clear channel, powerand antenna gain configurations of the radio, whether to continue? [y/n]:y
這裡注意的是預設ap是在default組裡面,如果加入一個新的組它是需要重新啟動的(已經線上的情況下。)
比較常見的場景:
1、酒店/較高價的電梯大廈:會根據房間号來放出對應的ssid
2、商場:對應的商鋪會有自己獨立的ssid,然後整個商城有一個統一ssid
3、學校:每個樓都有獨立的ssid,然後整個校園一個統一的ssid
4、快遞公司:會通過區域劃分辦公、倉庫的ssid
部落客經驗:如果客戶場地那邊有這樣分組的需求的話,在我們實作部署ap上線的時候,記錄好ap的mac位址以及對應的位置,比如1f的做一個表格,2f的做一個表格,然後建立對應的ap組,在配置裡面提前加入好,加入好後,這樣ap第一次上線就會加入到對應的組裡面,否則後期再改動的話,ap需要重新啟動。(建議web操作,web在添加的時候支援批量添加,有一個模闆,可以直接把ap的mac、sn資訊以及名稱、組提前寫入,最終一次性導入進去,在web配置---ap配置----ap配置---添加---選擇批量導入----下載下傳模闆)
如果用指令行的話則會麻煩很多,因為有一個确認的選項在,它詢問你是否加入組,無法批量寫腳本刷,當然我們也可以讓他上線後,然後在web裡面批量選擇加入這個組。
通過全選、批量修改選擇在某一個組,這種的話是等ap上線後,然後我們手動改動,唯一的問題就是上線的ap會在次重新開機。
vlan pool在工作中的實際作用
商場/學校/醫院/辦公的場景都會有一個統一的ssid,對于這種人流量過多的場景,都會面臨一個問題,那麼就是人流量非常大,會造成位址容易枯竭的問題。可能大家最容易想到的就是擴大掩碼,标準c類是255.255.255.0(24位)也就是254個位址,如果用255.255.254.0(23位)就是510個位址,如果用255.255.252.0(22位)就是1000個位址左右,這種方法最簡單,但是帶來的問題就是廣播域會增大,而且容易被攻擊,通常在有線環境中,我們會通過劃分vlan,然後把一個大的網段劃分成多個小的網段,來解決廣播域/攻擊等問題,在無線中我們要想劃分多個小的網段,那麼也是用到vlan技術,就是vlan pool。
新知識點
我們可以定義一個vap裡面業務vlan關聯某一個單vlan,也可以配置為vlan pool,在vlan pool中加入多個vlan,然後通過将vlanpool配置為vap的業務vlan,實作一個ssid能夠同時支援多個業務vlan。新接入的sta會被動态的配置設定到vlanpool中的各個vlan中,減少了單個vlan下的sta數目,縮小了廣播域;同時每個vlan盡量均勻的配置設定ip位址,減少了ip位址的浪費。
1、定義vlan pool
[ac6005]vlan pool office
[ac6005-vlan-pool-office]vlan 2 to 4
[ac6005-wlan-view]vap-profile name wifi
[ac6005-wlan-vap-prof-wifi]service-vlan vlan-pool office
這個功能就是定義一個vlan pool,然後關聯vlan 2 3 4,然後在vap模闆中調用業務vlan的時候,不在是vlan-id了,而是選擇 vlan-pool office,那麼該vap下面的用戶端就會有vlan 2 3 4的網段資訊,這樣即實作了位址池的擴大,又防止了廣播域的擴大/攻擊等問題。
當關聯了vlan後,我們要了解下它配置設定位址的機制,以便于我們選擇哪種方式,配置設定分為兩種
vlan配置設定算法為even時,vlan pool根據無線用戶端的上線順序為配置設定業務vlan,vlan pool盡量保證所有vlan配置設定給sta的ip位址數目相近。也就是按順序來,然後位址按順序配置設定,配置設定完一個vlan在用下一個。
vlan配置設定算法為hash時,vlan pool根據sta的mac位址進行哈希運算後的結果為sta配置設定業務vlan,隻要vlan pool裡面的vlan不發生變化,通常sta都會擷取到固定的業務vlan,sta重新上線時也會被盡量優先配置設定到之前使用過的ip位址。預設的方式,這種方式比較随機配置設定vlan,并且ip會比較固定,在漫遊以及重新連接配接的時候會擷取相同的位址,一般都是選擇hash方式,預設采用hash算法。
案例講解:以商場/辦公樓/醫院為主
某個客戶那邊有4層樓,每個樓層都有對應的樓層辦公,遇到的問題就是每天早晨上班的時候,2~4f辦公人員從1f做電梯會把1f的位址池給擷取光,導緻1f無法正常使用,考慮到擴充性等問題,給客戶實施一個vlan pool的功能,把1~4f的vlan都關聯到vlan pool裡面,随機配置設定,解決這種問題。
在實施的時候我們需要考慮的問題
對接ap以及到核心的口要确認之前是什麼樣的配置,如果是access需要修改成trunk,并且允許對應的vlan pool的vlan通過,也就是每個接口為trunk,允許1f~4f的vlan通過(并且建立了對應的vlan),否則會遇到這樣的問題,使用者在1f連接配接wifi的時候,給予4f的vlan,1f ap處理的時候打上4f的vlan,到達lsw5的時候由于沒有允許vlan通過,導緻資料包過不去。
三層交換機目前的配置
sysname l3
#
vlan batch 11 to 14 255
dhcp enable
interface vlanif11
ip address 192.168.11.254 255.255.255.0
dhcp select interface
dhcp server dns-list 114.114.114.114 223.5.5.5
dhcp server option 43 sub-option 3 ascii192.168.255.3
interface vlanif12
ip address 192.168.12.254 255.255.255.0
interface vlanif13
ip address 192.168.13.254 255.255.255.0
interface vlanif14
ip address 192.168.14.254 255.255.255.0
dhcp select interface
interface vlanif255
ip address 192.168.255.2 255.255.255.0
interface meth0/0/1
interface gigabitethernet0/0/1
port link-type access
port default vlan 255
interface gigabitethernet0/0/2
interface gigabitethernet0/0/3
port default vlan 14
interface gigabitethernet0/0/4
port default vlan 13
#
interface gigabitethernet0/0/5
port default vlan 12
interface gigabitethernet0/0/6
port default vlan 11
ip route-static 0.0.0.00.0.0.0 192.168.255.1
ac目前的配置
vlan batch 255
interface vlanif255
ip address 192.168.255.3 255.255.255.0
wlan
traffic-profile name default
security-profile name wifi
security wpa2 pskpass-phrase 88888888 aes
security-profile name office
security wpa2 psk pass-phrase 88888888 aes
security-profile name default
security-profile name default-wds
security-profile name default-mesh
ssid-profile name office
ssid office
ssid-profile name default
vap-profile name wifi
ssid-profile office
security-profile wifi
vap-profile name office
security-profile office
ap-group name default
radio 0
vap-profile office wlan 1
radio 1
radio 2
從配置先來看分析
1、從核心的配置來看,劃分了5個vlan,一個用于對接防火牆,4個用于1f~4f的樓層vlan,并且開了dhcp,下發了option 43,對接防火牆以及ac的口都劃入在vlan 255裡面,并且接四台poe的交換機都是劃入在vlan 11~14裡面,這樣可以分析出來下面的poe交換機是沒有配置的。
2、從ac的配置來看,ac上面就簡單配置了一個vlan 255的vlanif位址,capwap隧道指定了vlan255,然後業務方面就配置了一個ssid、一個密碼,然後vap裡面關聯對應模闆(注意沒有打業務vlan),最終調用在ap組。
測試的結果是在每層樓連接配接擷取都是不一樣的位址,而且中間會中斷一下,導緻上不了網(這個是漫遊規劃沒做好的情況,後面在漫遊這塊在說)
3、要實作客戶那樣的需求的話,首先我們要改動幾個地方
(1)poe交換機要進行配置,要建立對應1f到4f的vlan,建議配置上管理255的vlan以及vlanif,友善後續遠端登陸配置,對接ap的口為trunk,允許1f~4f通過,打上pvid為255。
(2)核心對接4台poe交換機的口要改成trunk,并且允許vlan通過,關掉dhcp的option 43
(3)ac需要開啟vlanif255的dhcp給ap配置設定位址,建立vlan pool,更改vap裡面業務vlan方式,調用vlan pool。
實戰練習:根據部落客給出的配置思路,獨立完成上面操作。
文章版權歸網絡之路部落格(公衆号同名)所有,轉載請标明出處,謝謝。