西安翻譯學(xué)院無線側(cè)實(shí)施配置（規(guī)范）v1.0版本v1.0時(shí)間2017年3月支持的版本FortiOSv5.4.x作者狀態(tài)目錄一、需求描述及規(guī)劃 3需求描述 3關(guān)鍵技術(shù) 3規(guī)劃設(shè)計(jì) 3二、設(shè)備版本 4三、無線配置步驟 5無線配置思路 51.創(chuàng)建SSID 62.新建A樓AP配置文件 73.把A樓的配置文件下發(fā)到A樓所在的AP 104.創(chuàng)建WTP-group，把AP根據(jù)所在的樓分組 105.SSID映射到根據(jù)每棟樓一個(gè)AP分組無線所在的vlan。 116.把AP加入到各種的Wtp-Group組的命令 127.對于宿舍區(qū)的FAP24D，需要?jiǎng)?chuàng)建隱藏的SSID關(guān)聯(lián)到vlan，然后把LAN口橋接到該SSID，實(shí)現(xiàn)LAN口獨(dú)立vlan功能。 121.新建v100-s10（名稱根據(jù)樓號和vlan號?。┑腟SID（該SSID沒有實(shí)際用途，僅僅是映射到有線vlan），并映射到vlan100. 132.到FAP-24DAP配置文件下，把這個(gè)隱藏的SSID發(fā)布 13四、診斷命令及注意事項(xiàng) 151.查看某個(gè)AP的SSID是否對應(yīng)到期望的VLAN 152.可以在AP上ping測試連通性 173.查看無線終端所在的vlan 184.AP與防火墻升級 18AP升級 18防火墻升級 205.注意事項(xiàng) 20一、需求描述及規(guī)劃需求描述1.教學(xué)區(qū)共有18棟教學(xué)區(qū)，教學(xué)區(qū)不需要有線接入。無線方面：教學(xué)區(qū)發(fā)布的SSID統(tǒng)一，每個(gè)教學(xué)樓對應(yīng)一個(gè)vlan。即一個(gè)SSID對應(yīng)不同的vlan。管理方面：每棟樓AP在同一個(gè)vlan中（修改交換機(jī)默認(rèn)vlan）。2.宿舍區(qū)共有38棟宿舍樓，宿舍樓需要有線和無線同時(shí)接入。無線方面：所有宿舍樓發(fā)布相同SSID，每棟宿舍樓無線在一個(gè)vlan中。有線方面：每棟宿舍樓有線在同一個(gè)vlan中。管理方面：每棟樓AP在同一個(gè)vlan中（修改交換機(jī)默認(rèn)vlan）。關(guān)鍵技術(shù)1.每棟樓所在的AP放到一個(gè)WTP-Group，不同的WTP-Group的無線SSID對應(yīng)的vlan不同。2.對于宿舍區(qū)的的FAP-24DLAN有線接口網(wǎng)絡(luò)，相同樓的AP橋接到一個(gè)隱藏的SSID，該隱藏的SSID對應(yīng)該有線LAN接口vlan。（詳細(xì)配置件配置步驟7）規(guī)劃設(shè)計(jì)規(guī)劃中，SSID和接口名稱盡可能簡潔（SSID可以超過10個(gè)字符，接口不能超過10個(gè)字符，否則后續(xù)配置會(huì)出問題）。教學(xué)區(qū)樓名稱編號Vlan號SSID名字AP組名AP配置文件名DHCP地址池宿舍區(qū)樓名稱編號Vlan號SSID名字AP組名AP配置文件名DHCP地址池FAP-24DLAN有線部分樓名稱編號Vlan號SSID名字（隱藏的）AP配置文件名（與無線為同一個(gè)）DHCP地址池二、設(shè)備版本因?yàn)樾枰褂肳TP-Group和SSID對應(yīng)多vlan功能，所以要求AP、AC版本為v5.4。設(shè)備名稱版本備注FGT-1500D控制器v5.4.4build1122FAP-221CAPv5.4.2build0358FAP-321CAPv5.4.2build0358FAP-222CAPv5.4.2build0358FAP-24DAPv5.4.2build0358三、無線配置步驟0.打開無線開放安全開關(guān)在系統(tǒng)管理->功能選擇開啟無線開放安全開關(guān)關(guān)掉不需要的功能。無線配置思路以下以A樓的配置舉例。1.配置SSID。2.配置WTP-Profile，引用配置的SSID。3.把配置的WTP下發(fā)的AP上。4.創(chuàng)建WTP-Group，根據(jù)組映射不同的vlan號（ssid相同）。5.把AP加入到WTP-Group組。1.創(chuàng)建SSID2.新建A樓AP配置文件每棟樓新建一個(gè)配置文件。FAP配置文件->新建創(chuàng)建A樓的配置文件命令行下修改國家代碼：configwireless-controllerwtp-profileedit"A-Group-221C"configplatformsettype221Cendsetap-countryCNendnext修改后再通過界面校正配置：3.把A樓的配置文件下發(fā)到A樓所在的AP稍等一會(huì)，AP狀態(tài)就會(huì)變?yōu)檫B接狀態(tài)4.創(chuàng)建WTP-group，把AP根據(jù)所在的樓分組configwireless-controllerwtp-groupedit"WTP-GROUP-A"http://AP的組名“WTP-GROUP-A“樓Anextedit"WTP-GROUP-B"http://AP的組名WTP-GROUP-B樓Bnextend5.SSID映射到根據(jù)每棟樓一個(gè)AP分組無線所在的vlan。configwireless-controllervapedit"XAFY"setvdom"root"setssid"XAFY"setsecurityopensetschedule"always"setlocal-bridgingenablesetlocal-authenticationenablesetvlanid4000//如果AP沒有加入任何WTP-Group，默認(rèn)的vlan為4000setvlan-poolingwtp-group//啟用基于WTP-group下發(fā)vlan標(biāo)記configvlan-pooledit10//vlan10setwtp-group"WTP-GROUP-A"http://在wtp-group“WTP-GROUP-A”中的AP下發(fā)該SSID時(shí)對應(yīng)的vlan為10nextedit20//vlan20setwtp-group"WTP-GROUP-B"http://原理同上。nextendnextend6.把AP加入到各自的Wtp-Group組的命令configwireless-controllerwtp-groupedit"WTP-GROUP-A"http://A樓AP組setplatform-type221Cconfigwtp-listedit"FP221C3X16012349"http://AP序列號nextendnextend7.對于宿舍區(qū)的FAP24D，需要?jiǎng)?chuàng)建隱藏的SSID關(guān)聯(lián)到vlan，然后把LAN口橋接到該SSID，實(shí)現(xiàn)LAN口獨(dú)立vlan功能。配置步驟：1.新建wire-lan的SSID（該SSID沒有實(shí)際用途，僅僅是映射到有線vlan）.在命令行下隱藏該SSIDFGT60D4614023387#configwireless-controllervapFGT60D4614023387(vap)#editwire-lanFGT60D4614023387(v100-s10)#setbroadcast-ssiddisableFGT60D4614023387(v100-s10)#end2.根據(jù)這個(gè)APLAN口所屬的vlan，創(chuàng)建有線的WTP-Group。3.到FAP-24DAP配置文件下，把這個(gè)隱藏的SSID發(fā)布同時(shí)，使FAP-24D的LAN橋接到該SSID，即完成了LAN口到vlan的映射。3.下發(fā)這個(gè)WTP-profile到AP上。在AP上觀察四、診斷命令及注意事項(xiàng)1.查看某個(gè)AP的SSID是否對應(yīng)到期望的VLAN0.開啟AP的管理權(quán)限（默認(rèn)情況下，v5.4版本、一旦AP注冊到AC上，AP所有管理權(quán)限都關(guān)了）在對應(yīng)的AP下發(fā)的wtp-profile下啟用configwireless-controllerwtp-profileedit"A-Group-221C"setallowaccesstelnethttphttpssshendnextend可以http登錄到AP上看該SSID映射的vlan也可以telnet到AP上查看詳細(xì)信息FP221C3X16012349#cw_diag-cvap-cfgVAPConfiguration1RadioId0WLANId0XAFYXYADMIN_UP(INTF_UP)init_done/unknown(-1)vlanid=10,intf=wlan00,vap=0x101d1158,bssid=90:6c:ac:5d:db:21meshbackhaul=disabledlocal_auth=enabledstandalone=disablednat_mode=disabledlocal_bridging=enabledsplit_tunnel=disabledintra_ssid_priv=disabledlocal_auth=enabledsta_info=1/0mac=local,tunnel=8023,cap=84e0,qos=disabledprob_resp_suppress=disabledldpc_config=disablebc_suppression=dhcparpauth=OPENratelimit(Kbps):ul=0dl=0ul_user=0dl_user=0burst=disabledRatesConfiguration:NodatarateisconfiguredVAPConfiguration2RadioId1WLANId0XAFYXYADMIN_UP(INTF_UP)init_done/unknown(-1)vlanid=10,intf=wlan10,vap=0x101d14c9,bssid=90:6c:ac:5d:db:29meshbackhaul=disabledlocal_auth=enabledstandalone=disablednat_mode=disabledlocal_bridging=enabledsplit_tunnel=disabledintra_ssid_priv=disabledlocal_auth=enabledsta_info=0/0mac=local,tunnel=8023,cap=84e0,qos=disabledprob_resp_suppress=disabledldpc_config=disablebc_suppression=dhcparpauth=OPENratelimit(Kbps):ul=0dl=0ul_user=0dl_user=0burst=disabledRatesConfiguration:NodatarateisconfiguredTotal2VAPConfigurations2.可以在AP上ping測試連通性FP221C3X16012349#ping9PING9(9):56databytes64bytesfrom9:seq=0ttl=255time=0.536ms^C9pingstatistics1packetstransmitted,1packetsreceived,0%packetlossround-tripmin/avg/max=0.536/0.536/0.536ms3.查看無線終端所在的vlanFP221C3X16012349#cw_diag-cstaWTPdaemonSTAinfo:1/274:29:af:99:f6:a500:00:00:00:00:00vId=10(vlanID)type=wlsta,vap=wlan00(2.4G),XAFYXY(10)ip=2/1host=DESKTOP-CQUH6Q9vci=MSFT5.02/2b0:89:00:d3:eb:8400:00:00:00:00:00vId=10(vlanID)type=wlsta,vap=wlan10(5G),XAFYXY(10)ip=1/1host=Honor_8vci=HUAWEI:android:FRDTotalSTAs:24.AP與防火墻升級AP升級AP支持兩種方式升級，一是Web界面，效率低，二是命令行升級，效率高。Web界面升級方式1，登錄到具體的AP的Web界面升級。方式2：在控制器界面升級命令行全部（批量）升級1.通過FTP上傳OSGuangZhou#executewireless-controllerupload-wtp-imageftpfap223.imgtesttest2.查看上傳的osGuangZhou#executewireless-controllerlist-wtp-image3執(zhí)行升級：后面加all為全部，加SN為要升級的SN注意！?。?！即便沒有指定SN，AP重新關(guān)聯(lián)AC后會(huì)自動(dòng)升級，這是由AP單獨(dú)控制工作的，這里指定SN是說讓指定SNAP立即升級。換句話說，只要上傳了FAP的OS，即便不做任何操作，經(jīng)過一段時(shí)間FAP所有的都會(huì)升級。GuangZhou#executewireless-controllerreset-wtpall敲完all后，如果AP數(shù)量比較多（平均1分鐘升級5個(gè)），要等很長很長一段時(shí)間。防火墻升級防火墻建議在TFTP下格式話flash升級，請參考其它文檔。5.注意事項(xiàng)如果在AP-profile中功率選擇自動(dòng)調(diào)整（建議先不要配置，后期根據(jù)需要調(diào)整），會(huì)周期性的掃描信道，影響性能。以下配置會(huì)自動(dòng)啟用背景流掃描。6.查看IP地址和SN對應(yīng)關(guān)系FGT60D4614023387#diagnosewireless-controllerwlac-cvapbssidssidintfwtp-idvfid:ip-portrIdwId00:00:00:00:00:00v100-s10v100-s10FAP24D3X16001418ws(0-10:5246)1090:6c:ac:a4:63:4aXAFYXYXAFYXYFAP24D3X16001418ws(0-10:5246)00a2:6c:ac:a4:63:4av100-s10v100-s10FAP24D3X16001418ws(0-10:5246)016.查看IP地址和SN對應(yīng)關(guān)系在AC上，查看是否AP是否下發(fā)到期望的VlanFGT60D4614023387#diagnosewireless-controllerwlac-cvapbssidssidintfwtp-idvfid:ip-portrIdwId00:00:00:00:00:00v100-s10v100-s10FAP24D3X16001418ws(0-10:5246)1090:6c:ac:a4:63:4aXAFYXYXAFYXYFAP24D3X16001418ws(0-10:5246)00a2:6c:ac:a4:63:4av100-s