Microsoft Word - WLN00027-H-REAP模式配置范例_Liangkai.doc

标 题 H-REAP 模 式 配 置 范 例 译 者 姓 名 韩 啸 晨 校 对 人 翻 译 完 成 时 间 2008-12-12 原 文 英 文 标 题 H-REAP Modes of Operation Configuration Example 原 文 链 接 http://www.cisco.com/en/us/tech/tk722/tk809/technologies_configuration_example09186a008 07cc3b8.shtml 翻 译 内 容 介 绍 本 文 介 绍 混 合 远 端 边 缘 AP(H-REAP) 模 式, 并 提 供 配 置 范 例 配 置 条 件 必 要 条 件 在 配 置 前, 请 先 确 定 掌 握 以 下 知 识 点 : (1) WLC 的 基 础 知 识, 并 且 具 有 配 置 WLC 的 基 础 (2) 远 程 边 缘 AP(REAP) (3) WPA (4) 外 部 DHCP 以 及 DNS 服 务 器 (5) ACS 中 配 置 用 户 (6) 基 本 的 思 科 路 由 器 广 域 网 接 口 (7) 基 本 的 路 由 协 议 使 用 说 明 本 文 涉 及 的 信 息 基 于 以 下 软 件 及 硬 件 版 本 : (1) 使 用 固 件 4.0 的 思 科 2000 系 列 的 WLC (2) 思 科 1131AG 的 LAP (3) 使 用 软 件 版 本 12.4(11)T 的 思 科 2800 系 列 路 由 器 (4) 使 用 固 件 2.5 的 思 科 802.11a/b/g 无 线 客 户 端 (5) 使 用 软 件 版 本 2.5 的 思 科 桌 面 软 件 (6) 使 用 软 件 版 本 3.2 的 思 科 准 入 控 制 ACS 文 档 中 描 述 的 是 在 实 验 环 境, 所 有 设 备 都 是 初 始 配 置, 请 先 确 定 各 命 令 的 意 义, 再 做

配 置 规 定 请 参 考 以 下 网 址, 获 得 更 多 信 息 http://www.cisco.com/en/us/tech/tk801/tk36/technologies_tech_note09186a0080121a c5.shtml 知 识 点 H-REAP 模 式 是 解 决 分 支 办 公 机 构 无 线 覆 盖 的 解 决 方 案, 当 远 端 办 公 室 没 有 本 地 WLC 的 时 候, 它 允 许 通 过 WAN 链 路 的 连 接, 控 制 远 端 AP. 当 与 WLC 失 去 联 系 后, H-REAP 仍 然 可 以 传 输 本 地 数 据, 进 行 本 地 的 认 证, 当 恢 复 和 WLC 的 连 接 后, H-REAP 可 以 将 数 据 传 输 到 WLC. 以 下 设 备 支 持 H-REAP: (1) 在 WLC 软 件 版 本 4.0 及 以 后,1131,1242 以 及 1250AP (2) 2000,4000 和 2106 系 列 WLC (3) 内 置 WLC 的 思 科 3750G 交 换 机 (4) 思 科 6500 系 列 的 WISM 模 块 (5) 内 置 WLC 的 思 科 ISR 路 由 器 在 H-REAP 模 式 下, 数 据 可 以 本 地 传 输, 或 者 发 送 到 WLC, 这 取 决 于 无 线 网 络 的 配 置, 本 地 传 输 的 数 据 可 以 被 封 装 成 802.1Q 的 帧, 并 传 递 给 有 线 网 络. 在 广 域 网 线 路 断 开 后,H-REAP 模 式 的 AP 仍 然 可 以 传 输 本 地 数 据, 并 做 认 证 译 者 注 在 4.0 版 本 下, 当 AP 工 作 在 H-REAP 模 式, 并 且 本 地 传 输 数 据 时, 不 支 持 通 过 RADIUS 认 证 服 务 器 做 动 态 指 定 的 VLAN 功 能, 然 而, 可 以 通 过 在 AP 上 配 置 VLAN 与 SSID 的 静 态 绑 定, 做 相 应 的 功 能, 因 此, 可 以 通 过 此 功 能, 达 到 VLAN 与 SSID 的 对 应 关 系 译 者 注 在 4.0 版 本 下, 如 果 在 WLAN 中 传 输 语 音,AP 要 工 作 在 本 地 模 式, 以 便 支 持 CCKM 和 CAC, 这 两 个 功 能 在 H-REAP 模 式 并 不 支 持 知 识 点 在 REAP 上 的 H-REAP 请 参 考 以 下 文 档, 察 看 更 多 REAP 的 信 息 http://www.cisco.com/en/us/tech/tk722/tk809/technologies_configuration_example09186a00806 9da69.shtml

H-REAP 改 进 了 很 多 REAP 的 功 能 : (1) REAP 不 支 持 有 线 网 络 的 分 离, 这 个 取 决 于 802.1Q 的 支 持, 数 据 在 同 一 个 有 线 网 子 网 络 中 终 结 (2) 在 WAN 中 断 后, 除 了 第 一 个 在 WLC 中 定 义 的 WLAN 网 络, 其 他 WLAN 网 络 将 不 能 在 REAP 的 AP 中 提 供 服 务, H-REAP 通 过 以 下 方 法 解 决 前 两 个 问 题 : (1) 提 供 dot1q 支 持 和 VLAN 与 SSID 的 绑 定 支 持, 配 置 此 功 能 前, 请 先 确 定 连 接 的 交 换 机 和 路 由 器 端 口 已 被 配 置 好 相 应 的 VLAN (2) 可 为 本 地 的 数 据 转 发 提 供 连 续 的 不 中 断 的 服 务

配 置 网 络 拓 扑 配 置 WLC 上 的 基 本 配 置 : (1) 管 理 IP-172.16.1.10/16 (2) AP 管 理 IP-172.16.1.11/16

(3) 默 认 网 关 IP-172.16.1.25/16 (4) 虚 拟 网 关 地 址 -1.1.1.1 译 者 注 此 文 档 中 不 包 含 WAN 的 路 由 器, 以 及 连 接 AP 的 交 换 机 的 配 置 配 置 AP 成 为 H-REAP 如 果 在 LWAPP 发 现 协 议 无 法 使 用 的 远 程 网 络 中, 你 可 以 采 用 手 工 指 定 的 方 式 确 保 AP 连 接 到 指 定 的 控 制 器 将 具 有 H-REAP 功 能 的 AP 连 接 后, 在 启 动 过 程 中, 首 先 找 到 的 IP 地 址 作 为 自 己 的 IP 地 址, 一 旦 通 过 DHCP 获 得 IP 地 址 后, 它 将 启 动, 并 执 行 注 册 到 WLC 的 过 程 H-REAP 的 AP 可 以 通 过 以 下 方 法 获 得 WLC 的 地 址 : http://www.cisco.com/en/us/tech/tk722/tk809/technologies_tech_note09186a00806c9 e51.shtml 其 中 一 个 方 法 是 通 过 DHCP 选 项 43 获 得 WLC 的 地 址, 然 后 加 入 到 WLC, 下 载 最 新 的 软 件 版 本 和 配 置 文 件, 初 始 化 射 频 接 口, 保 存 相 应 的 配 置 到 自 己 的 非 易 失 性 的 内 存 中, 以 便 在 独 立 模 式 下 使 用 当 AP 注 册 到 WLC 后, 执 行 以 下 步 骤 : 1. 在 WLC 界 面, 点 击 Wireless>Access Points. 2. 找 到 相 应 的 AP 点 击 Details

3. 在 APs>Details 界 面, 定 义 WLC 的 名 字, 点 击 Apply 可 以 定 义 三 个 WLC 的 名 字 ( 分 为 主, 中, 次 ),AP 会 根 据 配 置 找 寻 相 应 的 WLC 译 者 注 在 以 上 截 图 中, 你 可 以 看 到 AP 被 指 定 为 静 态 模 式, 配 置 的 是 静 态 的 IP 地 址, 因 为 这 个 AP 要 工 作 在 远 程 办 公 区 域, 所 以 在 第 一 次 通 过 DHCP 得 到 IP 地 址 后, 要 手 工 定 义 模 式, 以 便 以 后 再 远 程 办 公 区 域 中 使 用

4. 配 置 AP 为 H-REAP 模 式 在 APs>Details 界 面, 选 择 AP mode 定 义 H-REAP 译 者 注 也 可 以 通 过 CLI 方 式, 定 义 WLC 的 IP 地 址 http://www.cisco.com/en/us/products/ps6087/products_tech_note09186a0080736123.shtml#t11

H-REAP 的 操 作 理 论 H-REAP 的 AP 具 有 以 下 两 种 模 式 (1) 连 接 模 式 当 WLC 与 AP 可 以 进 行 LWAPP 通 讯, 意 味 着 广 域 网 (WAN) 链 路 完 好 (2) 独 立 模 式 当 WLC 与 AP 不 能 进 行 通 讯 认 证 的 方 法 可 以 被 定 义 为 中 心 或 者 本 地 : (1) 中 心 - 通 过 WLC 进 行 认 证 (2) 本 地 - 不 经 过 WLC 进 行 译 者 注 不 论 AP 是 什 么 模 式, 所 有 802.11 的 认 证 方 法 或 者 关 联 都 发 生 在 H-REAP 下 在 连 接 模 式 下,AP 通 过 WLC 执 行 认 证 和 关 联 在 H-REAP 下, 在 WLC 的 无 线 配 置 可 以 有 以 下 两 种 : (1) 中 心 交 换 - 在 H-REAP 下 的 AP, 通 过 隧 道 与 WLC 联 系 (2) 本 地 交 换 - 在 H-REAP 下 的 AP, 通 过 本 地 连 接, 传 输 本 地 数 据 译 者 注 只 有 VLAN1-8 可 以 应 用 在 H-REAP, 因 为 只 有 1130,1240 和 1250 支 持 H-REAP H-REAP 交 换 状 态 结 合 认 证 以 及 前 面 提 到 的 模 式,H-REAP 可 以 被 定 义 为 以 下 状 态 (1) 中 心 认 证, 中 心 交 换 (2) 认 证 失 败, 交 换 失 败 (3) 中 心 认 证, 本 地 交 换 (4) 认 证 失 败, 本 地 交 换 (5) 本 地 认 证, 本 地 交 换 中 心 认 证, 中 心 交 换 在 此 模 式 下,AP 转 发 所 有 的 客 户 认 证 以 及 数 据 信 息 到 WLC, 只 有 在 连 接 模 式 下,H-REAP 才 支 持 此 状 态. 配 置 以 下 信 息 : (1) SSID 名 称 :central (2) 二 层 安 全 :802.1x/LEAP (3) H-REAP 本 地 交 换 模 式 :disable 配 置 WLC 的 相 应 设 置 1. 点 击 WLANs 配 置 WLAN

2. 因 为 使 用 中 心 认 证, 所 以 在 二 层 安 全 选 择 802.1x 认 证 3. 在 认 证 服 务 器 选 项 处, 填 写 服 务 器 地 址 4. 因 为 使 用 中 心 交 换, 需 要 关 闭 本 地 交 换 选 项

5. 选 择 Security > Radius Authentication 配 置 服 务 器 信 息

译 者 注 使 用 相 同 的 共 享 密 钥 在 WLC 与 ACS 之 间, 此 文 档 中 没 有 涉 及 使 用 EAP 的 认 证 方 法, 获 取 相 关 信 息, 请 参 考 http://www.cisco.com/en/us/tech/tk722/tk809/technologies_configuration_example0 9186a0080665d18.shtml 检 测 中 心 认 证, 中 心 交 换 1. 配 置 无 线 客 户 端 同 样 的 SSID 以 及 安 全 设 置 2. 输 入 用 户 名 与 密 码 激 活 在 ACS 上 配 置 的 用 户

译 者 注 此 文 档 中 的 客 户 端 使 用 静 态 IP 地 址 172.18.1.5, 也 可 以 使 用 DHCP 配 置 认 证 失 败, 本 地 交 换 失 败 WLC 使 用 每 秒 一 次, 共 五 次 心 跳, 检 测 AP 与 WLC 的 联 系 如 果 没 有 收 到, 将 停 止 AP 与 WLC 的 注 册 在 WLC 上 debug lwapp events enable 后, 相 应 的 输 出 : Thu Jan 18 03:19:32 2007: 00:15:c7:ab:55:90 Did not receive heartbeat reply from AP 00:15:c7:ab:55:90 Thu Jan 18 03:19:32 2007: 00:15:c7:ab:55:90 apfspamprocessstatechangeinspamconte xt: Down LWAPP event for AP 00:15:c7:ab:55:90 slot 0 Thu Jan 18 03:19:32 2007: 00:15:c7:ab:55:90 apfspamprocessstatechangeinspamconte xt: Deregister LWAPP event for AP 00:15:c7:ab:55:90 slot 0 Thu Jan 18 03:19:32 2007: 00:15:c7:ab:55:90 apfspamprocessstatechangeinspamconte xt: Down LWAPP event for AP 00:15:c7:ab:55:90 slot 1 Thu Jan 18 03:19:32 2007: 00:15:c7:ab:55:90 apfspamprocessstatechangeinspamconte xt: Deregister LWAPP event for AP 00:15:c7:ab:55:90 slot 1 Thu Jan 18 03:19:32 2007: 00:15:c7:ab:55:90 Received LWAPP Down event for AP 00: 15:c7:ab:55:90 slot 0! Thu Jan 18 03:19:32 2007: 00:15:c7:ab:55:90 Deregister LWAPP event for AP 00:15: c7:ab:55:90 slot 0 Thu Jan 18 03:19:32 2007: 00:15:c7:ab:55:90 Received LWAPP Down event for AP 00: 15:c7:ab:55:90 slot 1! Thu Jan 18 03:19:32 2007: 00:15:c7:ab:55:90 Deregister LWAPP event for AP 00:15: c7:ab:55:90 slot 1 H REAP 变 为 独 立 模 式,debug lwapp reap 可 以 检 测 到 相 应 输 出 因 为 之 前 的 数 据 已 经 被 中 心 认 证, 中 心 交 换, 控 制 信 息 和 数 据 都 被 转 发 到 WLC, 因 此, 没 有 WLC 的 存 在, 客 户 端 不 能 保 持 相 应 的 连 接, 一 下 是 相 应 的 客 户 端 显 示

中 心 认 证, 本 地 交 换 在 这 个 模 式 下,WLC 认 证 所 有 客 户 信 息, 但 是 H-REAP 本 地 交 换 数 据 在 客 户 端 成 功 认 证 后,WLC 发 送 控 制 信 息 到 H-REAP, 使 其 本 地 交 换 数 据, 每 当 一 个 客 户 被 成 功 认 证 后, 就 会 发 送 相 应 的 控 制 信 息, 这 个 状 态 只 能 用 在 连 接 模 式 配 置 信 息 : (1) SSID 名 称 :central-local (2) 二 层 安 全 :802.1x/LEAP. (3) H REAP 本 地 交 换 -Enabled 配 置 WLC 1. 配 置 WLAN 的 SSID, 点 击 WLANs 2. 因 为 使 用 中 心 认 证, 所 以 在 二 层 安 全 选 项 中 选 上 802.1x authentication 3. 在 认 证 服 务 器 相 应 选 项 中, 配 置 认 证 服 务 器 信 息 4. 选 中 H-REAP Local Switching

检 测 中 心 认 证, 本 地 交 换 1. 配 置 无 限 客 户 端 的 SSID 与 WLC 的 配 置 相 同 2. 输 入 用 户 名 和 密 码, 要 和 在 认 证 服 务 器 上 配 置 的 一 致

3. 点 击 ok

认 证 失 败, 本 地 交 换 如 果 在 WLC 上 配 置 了 任 何 认 证 方 式 的 本 地 数 据 交 换 ( 比 如 EAP 认 证, 动 态 WEP/WPA/WPA2/802.11i,web 认 证, 或 是 NAC), 在 WAN 断 线 后, 会 转 变 为 认 证 失 败, 本 地 交 换 的 状 态, 在 这 个 状 态 下,H-REAP 拒 绝 新 的 试 图 认 证 的 客 户 端, 然 而, 继 续 为 已 经 连 接 上 的 客 户 端 转 发 数 据, 此 状 态 只 能 在 独 立 模 式 下 运 行. 如 果 WAN 链 路 断 开,WLC 停 止 H-REAP 的 注 册. 一 旦 没 有 注 册 到 WLC,H-REAP 会 运 行 至 独 立 模 式, 这 个 转 换 的 过 程 可 以 通 过 在 CLI 命 令 下, 通 过 debug lwapp REAP 察 看. REAP: REAP AP Switching to Standalone mode, Connected to Controller 1 LWAPP_CLIENT_ERROR_DEBUG: GOING BACK TO DISCOVER MODE WIDS-6-DISABLED: IDS Signature is removed and disabled. LWAPP-5-CHANGED: LWAPP changed state to DISCOVERY 已 经 连 接 上 的 客 户 仍 然 能 保 持 连 接, 但 由 于 和 WLC 不 能 通 讯, 无 法 进 行 新 客 户 的 认 证, H-REAP 停 止 新 客 户 的 连 接. 可 以 通 过 利 用 新 客 户 端 连 接 WLAN 网 络, 进 行 上 述 的 验 证. 译 者 注 当 没 有 客 户 连 接 到 WLAN 时,H-REAP 上 的 802.11 功 能 将 会 停 止, 将 转 换 为 下 一 个 H-REAP 的 状 态 : 认 证 停 止, 交 换 停 止. 本 地 认 证, 本 地 交 换 在 这 个 状 态 下,H-REAP 的 AP 会 本 地 认 证 客 户 端, 本 地 交 换 数 据. 这 个 状 态 只 能 在 独 立 模 式, 并 且 配 置 为 本 地 认 证 的 情 况 下 存 在.

先 前 讲 述 的 中 心 认 证, 本 地 交 换 的 状 态, 如 果 要 转 换 到 此 状 态, 要 配 置 AP 为 独 立 本 地 认 证 方 式, 如 果 没 有 配 置 本 地 认 证 状 态, 例 如 802.1x 的 认 证, 在 独 立 模 式 下,H-REAP 进 入 停 止 认 证, 本 地 交 换 的 模 式. 以 下 是 AP 在 独 立 模 式 下 常 用 的 几 种 认 证 方 法 : (1) 开 放 式 (2) 共 享 式 (3) WPA-PSK (4) WPA2-PSK 译 者 注 当 AP 在 连 接 模 式 下, 所 以 得 认 证 都 会 经 过 WLC 进 行, 当 H-REAP 在 独 立 模 式 下, 以 上 的 认 证 模 式 都 会 本 地 进 行. 范 例 中 使 用 以 下 配 置 : (1) SSID:local1 (2) 二 层 安 全 :WPA-PSK (3) H-REAP 本 地 交 换 :enabled 在 WLC 上 配 置 以 下 步 骤 : 1. 点 击 WLANs 配 置 WLAN 2. 因 为 使 用 本 地 认 证 方 法, 选 择 二 层 的 本 地 认 证 方 法, 例 如 WPA-PSK 3. 配 置 Pre-shared Key, 确 定 客 户 端 与 AP 配 置 的 相 同 4. 配 置 H-REAP 的 模 式,H-REAP Local Switching

检 测 本 地 认 证, 本 地 交 换 完 成 以 下 步 骤 : (1) 配 置 同 样 的 SSID 和 认 证 方 法, 此 例 中 使 用 SSID:local1 认 证 方 法 :WPA-PSK (2) 配 置 客 户 端 的 SSID (3) 关 闭 WAN 的 链 路

WLC 停 止 注 册 H-REAP,H-REAP 进 入 独 立 模 式 (4) 转 换 过 程 可 以 通 过 CLI 命 令 debug lwapp RE 察 看 (5) 使 用 其 它 客 户 端 登 陆 WLAN, 检 测 认 证 情 况 排 错 使 用 以 下 命 令 show lwapp reap association debug lwapp clients