我们都知道,ap上线默认情况下是在default组里面的,适用于常见场景,今天就来说说什么情况下需要分多个ap组的案例。
比如这样一个学校场景,有实验楼、教学楼、食堂、寝室等楼层,都部署了无线ap构建无线网,按我们常见的部署是统一一个无线ssid的vap,最终调用在ap组里面,但是在学校的场景中,除了一个统一的ssid以外,每个楼层还会单独放出一个单独的ssid,这样的需求是为了实现,统一ssid方便漫游并且这个ssid通常是收费使用的,而每个楼层的ssid单独用于各自楼层(比如教学楼用于wifi讲学、实验楼能够访问一些需要的资源、食堂、寝室则定时开启某个点能够访问外网等策略),针对这样的需求,我们则需要用到ap组的功能。
新知识点学习
1、创建一个新的ap组
[ac6005]wlan
[ac6005-wlan-view]ap-group name xxxx
我们通常会以区域、用途、房间号等作为名字命名。
2、ap加入对应的组
[ac6005-wlan-view]ap-id 1
[ac6005-wlan-ap-1]ap-group 1f
warning: this operationmay cause ap reset. if the country code changes, it will clear channel, powerand antenna gain configurations of the radio, whether to continue? [y/n]:y
这里注意的是默认ap是在default组里面,如果加入一个新的组它是需要重新启动的(已经在线的情况下。)
比较常见的场景:
1、酒店/公寓:会根据房间号来放出对应的ssid
2、商场:对应的商铺会有自己独立的ssid,然后整个商城有一个统一ssid
3、学校:每个楼都有独立的ssid,然后整个校园一个统一的ssid
4、快递公司:会通过区域划分办公、仓库的ssid
博主经验:如果客户场地那边有这样分组的需求的话,在我们实现部署ap上线的时候,记录好ap的mac地址以及对应的位置,比如1f的做一个表格,2f的做一个表格,然后创建对应的ap组,在配置里面提前加入好,加入好后,这样ap第一次上线就会加入到对应的组里面,否则后期再改动的话,ap需要重新启动。(建议web操作,web在添加的时候支持批量添加,有一个模板,可以直接把ap的mac、sn信息以及名称、组提前写入,最终一次性导入进去,在web配置---ap配置----ap配置---添加---选择批量导入----下载模板)
如果用命令行的话则会麻烦很多,因为有一个确认的选项在,它询问你是否加入组,无法批量写脚本刷,当然我们也可以让他上线后,然后在web里面批量选择加入这个组。
通过全选、批量修改选择在某一个组,这种的话是等ap上线后,然后我们手动改动,唯一的问题就是上线的ap会在次重启。
vlan pool在工作中的实际作用
商场/学校/医院/办公的场景都会有一个统一的ssid,对于这种人流量过多的场景,都会面临一个问题,那么就是人流量非常大,会造成地址容易枯竭的问题。可能大家最容易想到的就是扩大掩码,标准c类是255.255.255.0(24位)也就是254个地址,如果用255.255.254.0(23位)就是510个地址,如果用255.255.252.0(22位)就是1000个地址左右,这种方法最简单,但是带来的问题就是广播域会增大,而且容易被攻击,通常在有线环境中,我们会通过划分vlan,然后把一个大的网段划分成多个小的网段,来解决广播域/攻击等问题,在无线中我们要想划分多个小的网段,那么也是用到vlan技术,就是vlan pool。
新知识点
我们可以定义一个vap里面业务vlan关联某一个单vlan,也可以配置为vlan pool,在vlan pool中加入多个vlan,然后通过将vlanpool配置为vap的业务vlan,实现一个ssid能够同时支持多个业务vlan。新接入的sta会被动态的分配到vlanpool中的各个vlan中,减少了单个vlan下的sta数目,缩小了广播域;同时每个vlan尽量均匀的分配ip地址,减少了ip地址的浪费。
1、定义vlan pool
[ac6005]vlan pool office
[ac6005-vlan-pool-office]vlan 2 to 4
[ac6005-wlan-view]vap-profile name wifi
[ac6005-wlan-vap-prof-wifi]service-vlan vlan-pool office
这个功能就是定义一个vlan pool,然后关联vlan 2 3 4,然后在vap模板中调用业务vlan的时候,不在是vlan-id了,而是选择 vlan-pool office,那么该vap下面的客户端就会有vlan 2 3 4的网段信息,这样即实现了地址池的扩大,又防止了广播域的扩大/攻击等问题。
当关联了vlan后,我们要了解下它分配地址的机制,以便于我们选择哪种方式,分配分为两种
vlan分配算法为even时,vlan pool根据无线客户端的上线顺序为分配业务vlan,vlan pool尽量保证所有vlan分配给sta的ip地址数目相近。也就是按顺序来,然后地址按顺序分配,分配完一个vlan在用下一个。
vlan分配算法为hash时,vlan pool根据sta的mac地址进行哈希运算后的结果为sta分配业务vlan,只要vlan pool里面的vlan不发生变化,通常sta都会获取到固定的业务vlan,sta重新上线时也会被尽量优先分配到之前使用过的ip地址。默认的方式,这种方式比较随机分配vlan,并且ip会比较固定,在漫游以及重新连接的时候会获取相同的地址,一般都是选择hash方式,默认采用hash算法。
案例讲解:以商场/办公楼/医院为主
某个客户那边有4层楼,每个楼层都有对应的楼层办公,遇到的问题就是每天早晨上班的时候,2~4f办公人员从1f做电梯会把1f的地址池给获取光,导致1f无法正常使用,考虑到扩展性等问题,给客户实施一个vlan pool的功能,把1~4f的vlan都关联到vlan pool里面,随机分配,解决这种问题。
在实施的时候我们需要考虑的问题
对接ap以及到核心的口要确认之前是什么样的配置,如果是access需要修改成trunk,并且允许对应的vlan pool的vlan通过,也就是每个接口为trunk,允许1f~4f的vlan通过(并且创建了对应的vlan),否则会遇到这样的问题,用户在1f连接wifi的时候,给予4f的vlan,1f ap处理的时候打上4f的vlan,到达lsw5的时候由于没有允许vlan通过,导致数据包过不去。
三层交换机目前的配置
sysname l3
#
vlan batch 11 to 14 255
dhcp enable
interface vlanif11
ip address 192.168.11.254 255.255.255.0
dhcp select interface
dhcp server dns-list 114.114.114.114 223.5.5.5
dhcp server option 43 sub-option 3 ascii192.168.255.3
interface vlanif12
ip address 192.168.12.254 255.255.255.0
interface vlanif13
ip address 192.168.13.254 255.255.255.0
interface vlanif14
ip address 192.168.14.254 255.255.255.0
dhcp select interface
interface vlanif255
ip address 192.168.255.2 255.255.255.0
interface meth0/0/1
interface gigabitethernet0/0/1
port link-type access
port default vlan 255
interface gigabitethernet0/0/2
interface gigabitethernet0/0/3
port default vlan 14
interface gigabitethernet0/0/4
port default vlan 13
#
interface gigabitethernet0/0/5
port default vlan 12
interface gigabitethernet0/0/6
port default vlan 11
ip route-static 0.0.0.00.0.0.0 192.168.255.1
ac目前的配置
vlan batch 255
interface vlanif255
ip address 192.168.255.3 255.255.255.0
wlan
traffic-profile name default
security-profile name wifi
security wpa2 pskpass-phrase 88888888 aes
security-profile name office
security wpa2 psk pass-phrase 88888888 aes
security-profile name default
security-profile name default-wds
security-profile name default-mesh
ssid-profile name office
ssid office
ssid-profile name default
vap-profile name wifi
ssid-profile office
security-profile wifi
vap-profile name office
security-profile office
ap-group name default
radio 0
vap-profile office wlan 1
radio 1
radio 2
从配置先来看分析
1、从核心的配置来看,划分了5个vlan,一个用于对接防火墙,4个用于1f~4f的楼层vlan,并且开了dhcp,下发了option 43,对接防火墙以及ac的口都划入在vlan 255里面,并且接四台poe的交换机都是划入在vlan 11~14里面,这样可以分析出来下面的poe交换机是没有配置的。
2、从ac的配置来看,ac上面就简单配置了一个vlan 255的vlanif地址,capwap隧道指定了vlan255,然后业务方面就配置了一个ssid、一个密码,然后vap里面关联对应模板(注意没有打业务vlan),最终调用在ap组。
测试的结果是在每层楼连接获取都是不一样的地址,而且中间会中断一下,导致上不了网(这个是漫游规划没做好的情况,后面在漫游这块在说)
3、要实现客户那样的需求的话,首先我们要改动几个地方
(1)poe交换机要进行配置,要创建对应1f到4f的vlan,建议配置上管理255的vlan以及vlanif,方便后续远程登陆配置,对接ap的口为trunk,允许1f~4f通过,打上pvid为255。
(2)核心对接4台poe交换机的口要改成trunk,并且允许vlan通过,关掉dhcp的option 43
(3)ac需要开启vlanif255的dhcp给ap分配地址,创建vlan pool,更改vap里面业务vlan方式,调用vlan pool。
实战练习:根据博主给出的配置思路,独立完成上面操作。
文章版权归网络之路博客(公众号同名)所有,转载请标明出处,谢谢。