思科无线桥接与二、三层漫游部署.doc

1、桥接 实验需求： 1. 用VLAN 5实现AP1和AP2之间的桥接(桥 接的SSID不能广播出来，并且使用WPA2-PSK 类型的认证加密)； 2. 主机PC1和PC2分别属于SW1和SW2的 vlan 10，实现两者间的通信（PC1 和 PC2 建 议采用路由器模拟）。 实验拓扑如下： 备注：sw1和sw2上配置vlan5、10 AP1和AP2上配置vlan5 地址分配： PC1:172.16.3.1 PC2：172.16.3.2 Sw1上svi口：172.16.3.254 Sw2上svi口：172.16.3.253 基本环境配置： 安装驱动，软件名为：Win8-PL2303_Prolific_DriverInstaller_v1.5.0 然后查看设备管理器，可以看到COM3接口： 使用CRT建立连接，具体配置参数如下：（端口选用COM3，与电脑接口相同） 打开本地连接，右键属性： 配置如下图所示IP地址： 配置bvi接口地址： ap(config)#int bvi 1 ap(config-if)#ip add 172.16.2.1 255.255.255.0 ap(config-if)#end 注意：电脑本地ip地址与bvi口地址在相同的网段，用于通过浏览器直接登录 然后就可以使用电脑浏览器登陆ap（ip地址为bvi接口地址，无用户名，密码为Cisco） 无线AP配置： 点击NETWORK INTERFACE->802.11G，如下图所示： 配置802.11G过程如下图所示： 注意：第四步在另一边需要设置为non-root，桥接时一边为root bridge，另一边为non-root bridge。正常使用为access point 配置信道过程如下图所示：（两边信道要相同） 注意：此处在配置为non-root的ap下无法选定Channel6，选着默认配置即可 配置桥接地址，mac地址为对端apmac地址 最后点击’应用’ 创建vlan： 注意:AP对于native vlan的数据包不会打上标记，其他的vlan的数据包都会打上标记 设置SSID: 把SSID设置为用户模式： 配置是否广播：（第二步可以将SSID广播出去，第三步不将SSID广播出去） 点击应用 桥接时可以不用密码，为了安全需要设置，过程如下图所示：（WPA在此界面下修改密码，WEP配置密码界面不在此处） 如下图所示，WEP在此修改密码（区域4） 最后点击应用 注意：两台ap配置几乎相同，不同之处已经说明。 交换机配置： Sw1配置： sw1(config)#vlan 5,10 sw1(config)#int f0/1 sw1(config-if)#switchport trunk encApsulation dot1q sw1(config-if)#switchport mode trunk //如果是access模式，数据包不会被发出sw1，即在交换机中vlan5和vlan10无法通信。 sw1(config-if)#switchport trunk native vlan 5 //设置为native就不会对vlan 5打上标记 sw1(config-if)#exit sw1(config)#int f0/3 sw1(config-if)#switchport mode access //将f0/3口划入vlan 10 sw1(config-if)#switchport access vlan 10 Sw2的配置同上 结果测试： pc2连接测试pc1:，结果如下 注意：pc2可以ping通pc1，但是pc2无法ping通ap2，这是正常现象 2、漫游 实验需求： 1、在 SW 上配置 DHCP，使其可以为连接上 AP1 和AP2的主机PC分配IP 地址； 2、二层漫游： 在 AP1 和 AP2 上配置相同的 SSID，并且将其 关联到相同的VLAN； 3、三层漫游： 在 AP1 和 AP2 上配置相同的 SSID，并且将其 关联到不相同的VLAN； 4、测试： 让PC先连接上AP1，并测试其与网关之间的连 通，此时关闭 AP1 让 PC 自动漫游到 AP2，统 计切换期间丢包情况。 实验拓扑如下： 二层漫游： Ip地址分配： Vlan10 svi口：172.16.1.254 AP配置： 802.11G配置如下： 选着信道：（两边要相同） 创建vlan： 设置认证方式： 设置SSID： 配置密码： 按照下图步骤配置： 交换机配置： sw2(config)#int f0/1 sw2(config-if)#switchport trunk encapsulation dot1q sw2(config-if)#switchport mode trunk sw2(config)#int f0/3 sw2(config-if)#switchport trunk encapsulation dot1q sw2(config-if)#switchport mode trunk 注意：在进行DHCP地址获取时，需要禁用本地连接（即以太网），如下图所示： 在以太网上右键点击禁用，不然在无线连接时，会发生已连接却没有获取IP地址的情况。 结果测试： PC链接测试172.16.1.254，查看二层漫游切换： 可以发现在漫游切换过程中，一个数据包丢失。 三层漫游： 地址分配： Vlan 20：172.16.20.0 Vlan 30：172.16.30.0 Vlan 20 svi口：172.16.20.254 Vlan 30 svi口：172.16.30.254 交换机配置： Sw配置： ip dhcp pool 1 network 172.16.20.0 255.255.255.0 default-router 172.16.20.254 ip dhcp pool 2 network 172.16.30.0 255.255.255.0 default-router 172.16.30.254 interface Vlan20 ip address 172.16.20.254 255.255.255.0 interface Vlan30 ip address 172.16.30.254 255.255.255.0 AP配置： 需要在ap1中创建vlan 20、ap2中创建vlan 30。步骤同第二个实验中二层漫游创建vlan 20。 结果测试： 如图所示,本机通过无线ap1获取地址172.16.20.3 本机ping测试vlan 30的svi口（172.16.30.254），然后将ap1电源拔掉，可以看到三层漫游切换过程： 可以看到在三层漫游切换后，本机地址发生变化（变为172.16.30.3）： 总结： 1、AP的配置严格按照如下顺序，否则易发生错误: 配置802.11G->配置vlan->配置加密方式->配置SSID 2、 3、