WLN00027-H-REAP模式配置范例

【译者姓名】韩啸晨 【校对人】

【翻译完成时间】2008-12-12

【原文英文标题】H-REAP Modes of Operation Configuration Example 【原文链接】

http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09186a00807cc3b8.shtml

【翻译内容】

介绍

本文介绍混合远端边缘AP模式,并提供配置范例

配置条件

必要条件

在配置前，请先确定掌握以下知识点： （1） （2） （3） （4）

WLC的基础知识,并且具有配置WLC的基础 远程边缘AP(REAP) WPA

外部DHCP以及DNS服务器

（5） ACS中配置用户

（6） 基本的思科路由器广域网接口 （7） 基本的路由协议

使用说明

本文涉及的信息基于以下软件及硬件版本： （1） 使用固件4.0的思科2000系列的WLC （2） 思科1131AG的LAP

（3） 使用软件版本12.4(11)T的思科2800系列路由器 （4） 使用固件2.5的思科802.11a/b/g无线客户端 （5） 使用软件版本2.5的思科桌面软件 （6） 使用软件版本3.2的思科准入控制ACS

文档中描述的是在实验环境，所有设备都是初始配置，请先确定各命令的意义，再做

配置。

规定

请参考以下网址，获得更多信息

http://www.cisco.com/en/US/tech/tk801/tk36/technologies_tech_note09186a0080121ac5.shtml

知识点

H-REAP模式是解决分支办公机构无线覆盖的解决方案, 当远端办公室没有本地WLC的时候,它允许通过WAN链路的连接,控制远端AP.

当与WLC失去联系后, H-REAP仍然可以传输本地数据,进行本地的认证,当恢复和WLC的连接后, H-REAP可以将数据传输到WLC.

以下设备支持H-REAP:

(1) 在WLC软件版本4.0及以后,1131,1242以及1250AP (2) 2000,4000和2106系列WLC (3) 内置WLC的思科3750G交换机 (4) 思科6500系列的WISM模块 (5) 内置WLC的思科ISR路由器

在H-REAP模式下,数据可以本地传输,或者发送到WLC,这取决于无线网络的配置,本地传输的数据可以被封装成802.1Q的帧,并传递给有线网络.在广域网线路断开后，H-REAP模式的AP仍然可以传输本地数据，并做认证。

【译者注】当AP工作在H-REAP模式，并且本地传输数据时，不支持通过RADIUS认证服务器做动态指定的VLAN功能，然而，可以通过在AP上配置VLAN与SSID的静态绑定，做相应的功能，因此，可以通过此功能，达到VLAN与SSID的对应关系。

【译者注】如果在WLAN中传输语音，AP要工作在本地模式，以便支持CCKM和CAC，这两个功能在H-REAP模式并不支持。

知识点

在REAP上的H-REAP

请参考以下文档，察看更多REAP的信息

http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09186a008069da69.shtml

H-REAP改进了很多REAP的功能：

（1） REAP不支持有线网络的分离，这个取决于802.1Q的支持，数据在同一个有线网络

中终结

（2） 在WAN中断后，REAP的AP不能提供服务，除非在WLC中之前定义

H-REAP通过以下方法解决前两个问题：

（1） 提供dot1Q和VLAN与SSID的绑定支持，配置此功能前，请先确定连接的交换机端口是否提供此功能。

（2） 为本地数据转换提供服务

配置 网络拓扑

配置

WLC上的基本配置：

（1） 管理IP-172.16.1.10/16 （2） AP管理IP-172.16.1.11/16

（3） 默认网关IP-172.16.1.25/16

（4） 虚拟网关地址-1.1.1.1

【译者注】此文档中不包含WAN的路由器，以及连接AP的交换机的配置

配置AP成为H-REAP

如果在LWAPP协议不被支持的远端办公区中使AP连接到WLC，可以使用填写方法，手工输入WLC的地址。

将具有H-REAP功能的AP连接后，在启动过程中，首先找到的IP地址作为自己的IP地址，一旦通过DHCP获得IP地址后，它将启动，并执行注册到WLC的过程。

H-REAP的AP可以通过以下方法获得WLC的地址：

http://www.cisco.com/en/US/tech/tk722/tk809/technologies_tech_note09186a00806c9e51.shtml

其中一个方法是通过ＤＨＣＰ选项４３获得ＷＬＣ的地址，然后加入到ＷＬＣ，下载最新的软件版本和配置文件，初始射频接口，保存相应的配置到自己的非易失性的内存中，以便在模式下使用。

当ＡＰ注册到ＷＬＣ后，执行以下步骤：

1．在WLC界面，点击Wireless>Access Points. 2．找到相应的AP点击Details

3．在APs>Details界面，定义WLC的名字，点击Apply 可以定义三个WLC的名字（分为主，中，次），AP会根据配置找寻相应的WLC

【译者注】在以上截图中，你可以看到AP被指定为静态模式，配置的是静态的IP地址，因为这个AP要工作在远程办公区域，所以在第一次通过ＤＨＣＰ得到ＩＰ地址后，要手工定义模式，以便以后再远程办公区域中使用。

４．配置ＡＰ为Ｈ－ＲＥＡＰ模式

在APs>Details界面，选择AP mode定义Ｈ－ＲＥＡＰ

【译者注】也可以通过CLI方式，定义WLC的IP地址

http://www.cisco.com/en/US/products/ps6087/products_tech_note09186a0080736123.shtml#t11

H-REAP的操作理论

H-REAP的AP具有以下两种模式 （1） 连接模式

当WLC与AP可以进行LWAPP通讯，意味着广域网（WAN）链路完好

（2） 模式

当WLC与AP不能进行通讯

认证的方法可以被定义为中心或者本地： （1） 中心-通过WLC进行认证 （2） 本地-不经过WLC进行

【译者注】不论AP是什么模式，所有802.11的认证方法或者关联都发生在H-REAP下。在连接模式下，AP通过WLC执行认证和关联。

在H-REAP下，在WLC的无线配置可以有以下两种：

（1）中心交换-在H-REAP下的AP，通过隧道与WLC联系

（2）本地交换-在H-REAP下的AP，通过本地连接，传输本地数据

【译者注】只有VLAN1-8可以应用在H-REAP，因为只有1130，1240和1250支持H-REAP

H-REAP交换状态

结合认证以及前面提到的模式，H-REAP可以被定义为以下状态 （1） 中心认证，中心交换 （2） （3） （4） （5）

认证失败，交换失败 中心认证，本地交换 认证失败，本地交换 本地认证，本地交换

中心认证，中心交换

在此模式下，AP转发所有的客户认证以及数据信息到WLC，只有在连接模式下，H-REAP才支持此状态. 配置以下信息：

(1) SSID名称：central

(2) 二层安全：802.1x/LEAP

(3) H-REAP本地交换模式：disable

配置WLC的相应设置 1． 点击WLANs配置WLAN

2． 因为使用中心认证，所以在二层安全选择802.1x认证 3． 在认证服务器选项处，填写服务器地址 4． 因为使用中心交换，需要关闭本地交换选项

5． 选择Security > Radius Authentication配置服务器信息

【译者注】使用相同的共享密钥在WLC与ACS之间，此文档中没有涉及使用EAP的认证方法，获取相关信息，请参考

http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09186a0080665d18.shtml

检测中心认证，中心交换

1． 配置无线客户端同样的SSID以及安全设置 2． 输入用户名与密码激活在ACS上配置的用户

【译者注】此文档中的客户端使用静态IP地址172.18.1.5，也可以使用DHCP配置

认证失败，本地交换失败

WLC使用每秒一次，共五次心跳，检测AP与WLC的联系。 如果没有收到，将停止AP与WLC的注册

在WLC上debug lwapp events enable后，相应的输出：

Thu Jan 18 03:19:32 2007: 00:15:c7:ab:55:90 Did not receive heartbeat reply from AP 00:15:c7:ab:55:90

Thu Jan 18 03:19:32 2007: 00:15:c7:ab:55:90 apfSpamProcessStateChangeInSpamConte xt: Down LWAPP event for AP 00:15:c7:ab:55:90 slot 0

Thu Jan 18 03:19:32 2007: 00:15:c7:ab:55:90 apfSpamProcessStateChangeInSpamConte xt: Deregister LWAPP event for AP 00:15:c7:ab:55:90 slot 0

Thu Jan 18 03:19:32 2007: 00:15:c7:ab:55:90 apfSpamProcessStateChangeInSpamConte xt: Down LWAPP event for AP 00:15:c7:ab:55:90 slot 1

Thu Jan 18 03:19:32 2007: 00:15:c7:ab:55:90 apfSpamProcessStateChangeInSpamConte xt: Deregister LWAPP event for AP 00:15:c7:ab:55:90 slot 1

Thu Jan 18 03:19:32 2007: 00:15:c7:ab:55:90 Received LWAPP Down event for AP 00: 15:c7:ab:55:90 slot 0!

Thu Jan 18 03:19:32 2007: 00:15:c7:ab:55:90 Deregister LWAPP event for AP 00:15: c7:ab:55:90 slot 0

Thu Jan 18 03:19:32 2007: 00:15:c7:ab:55:90 Received LWAPP Down event for AP 00: 15:c7:ab:55:90 slot 1!

Thu Jan 18 03:19:32 2007: 00:15:c7:ab:55:90 Deregister LWAPP event for AP 00:15: c7:ab:55:90 slot 1

H—REAP变为模式，debug lwapp reap可以检测到相应输出

因为之前的数据已经被中心认证，中心交换，控制信息和数据都被转发到WLC，因此，没有WLC的存在，客户端不能保持相应的连接，一下是相应的客户端显示

中心认证，本地交换

在这个模式下，WLC认证所有客户信息，但是H-REAP本地交换数据。在客户端成功认证后，WLC发送控制信息到H-REAP，使其本地交换数据，每当一个客户被成功认证后，就会发送相应的控制信息，这个状态只能用在连接模式。

配置信息： （1） SSID名称：central-local （2） 二层安全：802.1x/LEAP. （3） H—REAP本地交换-Enabled

配置WLC

1． 配置WLAN的SSID，点击WLANs

2． 因为使用中心认证，所以在二层安全选项中选上802.1x authentication 3． 在认证服务器相应选项中，配置认证服务器信息 4． 选中H-REAP Local Switching

检测中心认证，本地交换

1． 配置无限客户端的SSID与WLC的配置相同 2． 输入用户名和密码，要和在认证服务器上配置的一致

3． 点击ok

认证失败，本地交换

如果在WLC上配置了任何认证方式的本地数据交换（比如EAP认证，动态WEP/WPA/WPA2/802.11i，web认证，或是NAC）,在WAN断线后，会转变为认证失败，本地交换的状态，在这个状态下，H-REAP拒绝新的试图认证的客户端，然而，继续为已经连接上的客户端转发数据,此状态只能在模式下运行.

如果WAN链路断开,WLC停止H-REAP的注册.

一旦没有注册到WLC,H-REAP会运行至模式,这个转换的过程可以通过在ＣＬＩ命令下，通过debug lwapp REAP察看．

REAP: REAP AP Switching to Standalone mode,

Connected to Controller 1

LWAPP_CLIENT_ERROR_DEBUG: GOING BACK TO DISCOVER MODE

WIDS-6-DISABLED: IDS Signature is removed and disabled. LWAPP-5-CHANGED: LWAPP changed state to DISCOVERY

已经连接上的客户仍然能保持连接，但由于和ＷＬＣ不能通讯，无法进行新客户的认证，Ｈ－ＲＥＡＰ停止新客户的连接．

可以通过利用新客户端连接ＷＬＡＮ网络，进行上述的验证．

【译者注】当没有客户连接到ＷＬＡＮ时，H-REAP上的802.11功能将会停止，将转换为下一个H-REAP的状态：认证停止，交换停止．

本地认证，本地交换

在这个状态下，H-REAP的ＡＰ会本地认证客户端，本地交换数据．这个状态只能在模式，并且配置为本地认证的情况下存在．

先前讲述的中心认证，本地交换的状态，如果要转换到此状态，要配置ＡＰ为本地认证方式，如果没有配置本地认证状态，例如802.1x的认证，在模式下，H-REAP进入停止认证，本地交换的模式．

以下是ＡＰ在模式下常用的几种认证方法： （１） 开放式 （２） 共享式 （３） WPA-PSK

（４） WPA2-PSK

【译者注】当ＡＰ在连接模式下，所以得认证都会经过ＷＬＣ进行，当H-REAP在模式下，以上的认证模式都会本地进行．

范例中使用以下配置： （１） ＳＳＩＤ：local1

（２） 二层安全：WPA-PSK

（３） H-REAP本地交换：enabled

在ＷＬＣ上配置以下步骤： １． ２． ３． ４．

点击WLANs配置ＷＬＡＮ

因为使用本地认证方法，选择二层的本地认证方法，例如WPA-PSK 配置Pre-shared Key，确定客户端与ＡＰ配置的相同 配置H-REAP的模式，H-REAP Local Switching

检测本地认证，本地交换 完成以下步骤：

（１） 配置同样的ＳＳＩＤ和认证方法，此例中使用SSID:local1认证方法：WPA-PSK （２） 配置客户端的ＳＳＩＤ （３） 关闭ＷＡＮ的链路

ＷＬＣ停止注册H-REAP，H-REAP进入模式 （４） 转换过程可以通过CLI命令debug lwapp RE察看 （５） 使用其它客户端登陆WLAN,检测认证情况

排错

使用以下命令

show lwapp reap association debug lwapp clients