今日目标
01 WLAN简介
02 WLAN工作流程
03 AP上线
04 WLAN业务配置下发
05 STA接入
06 WLAN业务数据转发
WLAN概述
什么是WLAN
- WLAN即Wireless LAN(无线局域网)
✓ 是指通过无线技术构建的无线局域网络。
✓ WLAN广义上是指以无线电波、激光、红外线等无线信号来代替有线局域网中的部分或全部传输介质所构成的网络。
大型WLAN组网的应用
大型WLAN组网特点
WLAN设备
- WLAN设备
AP:AccessPoint无线接入点
PoE:PoweroverLAN:以太网供电交换机 - AP的分类
√ FATAP(胖AP)
√ FITAP(瘦AP)
√ 云管理AP
WLAN设备介绍
WLAN组网架构
基本的WLAN组网架构
有线侧组网概念:CAPWAP协议
CAPWAP隧道
✓ CAPWAP:无线接入点控制和配置协议CAPWAP隧道功能
✓ AC通过CAPWAP隧道来实现对AP的集中管理,业务配置和控制
有线侧组网概念:AP-AC组网方式
- AP和AC间的组网分为:二层组网和三层组网
有线侧组网概念:AC连接方式
- AC的连接方式分为:直连式组网和旁挂式组网。
无线侧组网概念:BSS/SSID/BSSID
- 基本服务集BSS (Basic Service Set):
✓ 一个AP所覆盖的范围。
✓ 在一个BSS的服务区域内,STA可以相互通信。 - 基本服务集标识符BSSID (Basic Service SetIdentifier):
✓ 是无线网络的一个身份标识,用AP的MAC地址表示 - 服务集标识符SSID (Service Set Identifier):
✓ 是无线网络的一个身份标识,用字符串表示。
✓ 为了便于用户辨识不同的无线网络,用SSID代替BSSID。
无线侧组网概念:VAP
- 虚拟接入点VAP (Virtual Access Point):
✓ VAP就是在—个物理实体AP上虚拟出的多个AP。
✓ 每一个被虚拟出的AP就是一个VAP,每个VAP提供和物理实体AP一样的功能。
✓ 每个VAP对应1个BSS,这样1个AP,就可以提供多个BSS,设置不同的SSID。
✓ 早期的AP只支持1个BSS,如果要在同一空间内部署多个BSS,则需要安放多个AP,这不但增加了成本,还占用了信道资源,为了改善这种状况,现在的AP通常支持创建出多个虚拟AP。
2 WLAN工作流程
WLAN工作流程概述
- WLAN工作流程
√ AP上线
√ WLAN业务配置下发
√ STA接入
√ WLAN业务数据转发
AP上线
WLAN工作流程:步骤1
- AP上线
✓ AP获取IP地址
✓ AP发现AC并与之建立CAPWAP隧道
✓ AP接入
AP获取IP地址:DHCP方式
- AP必须获得IP地址才能够与AC通信,WLAN网络才能够正常工作
CAPWAP隧道建立
• AC通过CAPWAP隧道来实现对AP的集中管理和控制。
AP动态发现AC
- DHCP报文中携带Option 43
✓ 在DHCP服务器上配置DHCP报文中携带Option 43,且Option 43携带AC的IP地址
建立CAPWAP隧道
- AP与AC关联,完成CAPWAP隧道建立
- CAPWAP隧道包括数据隧道和控制隧道
✓ 数据隧道:AP的业务报文(数据流量)
✓ 控制隧道:AP与AC之间的控制报文(管理流量)
AP接入
- AC上添加AP的方式:
✓ 离线导入AP:预先配置AP的MAC地址,当AP与AC连接时,如果AC发现AP和预先增加的AP的MAC地址匹配,则AC开始与AP建立连接
为确保AP能够上线,AC需预先配置如下内容
WLAN业务下发
- AP上线后,首先会主动向AC获取当前配置,而后统一由AC对AP进行集中管理和业务配置下发
配置模板
- 为了方便用户配置和维护WLAN的各个功能,针对WLAN的不同功能和特性设计了各种类型的模板,这些模板统称为WLAN模板。
VAP模板
STA接入
无线接入安全协议
安全性成为阻碍WLAN技术发展的最重要因素
常用安全策略:
STA地址分配STA获取到自身的IP地址,是STA正常上线的前提条件。
WLAN业务数据转发
数据转发方式
3 AP上线配置
AP上线
- 案例需求
AP的管理VLAN:
VLAN100-192.168.100.0/24
bangong:老师
VLAN101-192.168.101.0/24
VLAN102-192.168.102.0/24
xuexi:学生
VLAN103-192.168.103.0/24
VLAN104-192.168.104.0/24
案例需求
- 无线控制器(AC)连接在核心交换机上,属于VLAN200
- AP连接在汇聚层交换机上,AP的管理IP地址属于VLAN100
- 企业内网中存在4个VLAN,分别服务于老师和学生
- AP的网关以及所有无线用户的终端的网关,都配置在核心交换机
- AP和无线用户终端的IP地址都是通过DHCP的方式获得
- 最终确保连接到不同AP的无线终端之间可以互通
解决方案
- AP上线
✓ 让AP可以通过DHCP获取IP地址
✓ 在AC和AP之间建立capwap隧道
✓ AP接入
配置命令
- 第一步:AP上线
1、让AP可以通过DHCP获取IP地址
1)汇聚交换机创建vlan,配置端口角色[hj-SW1]vlan batch100200210[hj-SW1]port-group group-member g0/0/1 to g0/0/5[hj-SWl-port-group]port link-type trunk[hj-sWl-port-group]port trunk allow-pass vlan all2)核心交换机创建vlan,配置端口角色[HX-SW2]vlan batch100200210[HX-SW2]int g0/0/2[HX-SW2-G0/0/2]port link-type trunk[HX-SW2-G0/0/2]port trunk allow-pass vlan all[HX-SW2-Gi0/0/2]int g0/0/1[HX-SW2-G0/0/1]port link-type access[HX-SW2-Gi0/0/1]port default vlan210[HX-SW2-G0/0/1]int g0/0/10[HX-SW2-G0/0/10]port link-type access[HX-SW2-G0/0/10]port defaul tvlan2003)DHCP-R1配置DHCP功能,配置IP地址池[R1-dhcp]dhcpenable[R1-dhcp]ip pool vlan100[R1-dhcp-ip-pool-vlan100]network192.168.100.0 mask24[R1-dhcp-ip-pool-vlan100]gateway-list192.168.100.254[R1-dhcp-ip-pool-vlan100]dns-list8.8.8.8[R1-dhcp-ip-pool-vlan100]quit[R1-dhcp]int g0/0/0[R1-dhcp-GigabitEthernet0/0/0]ipadd192.168.210.124[R1-dhcp-GigabitEtherneto/o/0]dhcpselectglobal4)核心交换机SW2配置vlanif网关地址[HX-SW2]int vlan100[HX-SW2-Vlanif100]ipadd192.168.100.25424[HX-SW2-Vlanif100]int vlan200[HX-SW2-Vlanif200]ipadd192.168.200.25424[HX-SW2-Vlanif200]int vlan210[HX-SW2-Vlanif210]ipadd192.168.210.25424[HX-SW2-Vlanif210]quit5)核心交换机SW2配置DHCP中继[HX-SW2]dhcpenable[HX-SW2]int vlanif100[HX-SW2-Vlanif100]dhcpselectrelay[HX-SW2-Vlanif100]dhcp relay server-ip192.168.210.16)在hj-SW1中修改g0/0/2-g0/0/5的pvid为vlan100[hj-SW1]port-group group-member g0/0/2 to g0/0/5[hj-SW1-port-group]port link-type trunk[hj-SW1-port-group]port trunk pvid vlan1007)DHCP-R1配置去往中继的回程路由(默认路由)[R1-dhcp]iproute-static0.0.0.00.0.0.0192.168.210.2542、在AC和AP之间建立capwap隧道
1)在AC中创建vlan200并且把g0/0/10加入vlan200,改为access[AC6605]vlan200[AC6605-vlan200]quit[AC6605]int vlan200[AC6605-Vlanif200]ipadd192.168.200.1024[AC6605-Vlanif200]quit[AC6605]int g0/0/10[AC6605-G0/0/10]portlink-type access[AC6605-Gi0/0/10]port default vlan2002)在AC中配置默认路由,能够实现和AP互联互通[AC6605]iproute-static0.0.0.00.0.0.0192.168.200.2543)在DHCP服务中配置dhcp option43:让AP知道AC的管理地址[R1-dhcp]ip poolvlan100[R1-dhcp-ip-pool-vlan100]option43sub-option1ip-address192.168.200.10 备注:修改完option43后,记得重启一下所有的AP设备4)在AC中配置capwap隧道--在AC和AP之间建立隧道[AC6605]capwapsourceip-address192.168.200.103、AP接入
1)在AP上查询MAC地址,复制出来<Huawei>dis system-information MACAddress :00:e0:fc:c3:76:602)在AC中填写AP的MAC地址,让AC知道AP的存在[AC6605]wlan[AC6605-wlan-view]ap-id1ap-mac 00e0-fcc3-7660[AC6605-wlan-ap-1]quit[AC6605-wlan-view]ap-id2ap-mac 00e0-fc8b-0150[AC6605-wlan-ap-2]quit[AC6605-wlan-view]ap-id3ap-mac 00e0-fc1b-4300[AC6605-wlan-ap-3]quit[AC6605-wlan-view]ap-id4ap-mac 00e0-fc7e-39c03)验证[AC6605]dis ap all#AC上查看ap注册信息WLAN业务配置下发
WLAN业务配置下发
- 案例需求
AP的管理VLAN:
VLAN100-192.168.100.0/24
内部员工:
VLAN101-192.168.101.0/24
VLAN102-192.168.102.0/24
外来人员:
VLAN103-192.168.103.0/24
VLAN104-192.168.104.0/24
案例需求(续1)
- 企业内网的无线网络改造已经完成大部分工作,AP成功注册到AC
- 基于分配好的IP方案,为不同的无线终端,动态分配IP地址
- 配置AC,为不同的AP下发不同的配置,确保可以发射无线信号
- 实现不同的“无线终端”可以成功连接AP,并成功获得IP地址
- 实现不同的“无线终端”之间的互通
配置命令
第二步:AC下发WLAN配置给AP1)创建域管理模板-绑定国家码[AC6605]wlan#进入wlan[AC6605-wlan-view]regulatory-domain-profile name ntd#创建域管理模板[AC6605-wlan-regulate-domain-ntd2307]country-code cn#定义国家码2)创建AP组-绑定域管理模板[AC6605]wlan#进入wlan[AC6605-wlan-view]ap-group name bangong#创建AP组[AC6605-wlan-ap-group-bangon]regulatory-domain-profile ntd[AC6605-wlan-ap-group-bangong]quit[AC6605-wlan-view]ap-group name xuexi[AC6605-wlan-ap-group-xuexi]regulatory-domain-profile ntd3)创建AP组,在AP组里添加物理AP设备[AC6605]wlan[AC6605-wlan-view]ap-id1#配置ap1[AC6605-wlan-ap-1]ap-name bangong1#给ap1命名为bangong1[AC6605-wlan-ap-1]ap-group bangong#把ap1加入bangong组[AC6605-wlan-ap-1]quit[AC6605-wlan-view]ap-id2#配置ap2[AC6605-wlan-ap-2]ap-name bangong2#给ap2命名为bangong2[AC6605-wlan-ap-2]ap-group bangong#把ap2加入bangong组[AC6605-wlan-ap-2]quit[AC6605-wlan-view]ap-id3#配置ap3[AC6605-wlan-ap-3]ap-name xuexi1#给ap3命名为xuexi1[AC6605-wlan-ap-3]ap-group xuexi#把ap3加入xuexi组[AC6605-wlan-ap-3]quit[AC6605-wlan-view]ap-id4#配置ap4[AC6605-wlan-ap-4]ap-name xuexi2#给ap4命名为xuexi2[AC6605-wlan-ap-4]ap-group xuexi#把ap4加入xuexi组[AC6605-wlan-ap-4]quit4)验证AP设备是否加入AP组<AC6605>dis ap-group all5)创建SSID模板-定义无线网名[AC6605]wlan#进入wlan[AC6605-wlan-view]ssid-profile name bangong#创建SSID模板,命名为bangong[AC6605-wlan-ssid-prof-bangong]ssid bangong#定义无线网的名字,命名为bangong[AC6605-wlan-ssid-prof-bangong]quit[AC6605-wlan-view]ssid-profile name xuexi[AC6605-wlan-ssid-prof-xuexi]ssid xuexi[AC6605-wlan-ssid-prof-xuexi]quit6)创建安全模板-定义无线网安全策略预共享密钥,加密方式[AC6605]wlan[AC6605-wlan-view]security-profile name bangong[AC6605-wlan-sec-prof-bangong]security wpa2 psk pass-phrasea12345678aes[Ac6605-wlan-sec-prof-bangonglquit[AC6605-wlan-view]security-profile name xuexi[AC6605-wlan-sec-prof-xuexi]security wpa2 psk pass-phrase a12345678 aes7)创建VLAN池-绑定多个VLAN:给STA(电脑和手机)用的VLAN[AC6605]vlan pool bangong#创建vlan池,命名为bangong[AC6605-vlan-pool-bangong]vlan101102#将vlan101 102加入bangong池[AC6605-vlan-pool-bangong]quit[AC6605]vlan pool xuexi[AC6605-vlan-pool-xuexi]vlan1031048)创建VAP模板--绑定VLAN池子,绑定SSID配置文件,绑定安全配置文件[AC6605]wlan[Ac6605-wlan-view]vap-profile name bangong#创建vap模版,命名为bangong[AC6605-wlan-vap-prof-bangong]ssid-profile bangong#绑定ssid模版[AC6605-wlan-vap-prof-bangong]security-profile bangong#绑定安全模版[AC6605-wlan-vap-prof-bangong]service-vlan vlan-pool bangong#绑定vlan池[AC6605-wlan-vap-prof-bangong]quit[AC6605-wlan-view]vap-profile name xuexi[AC6605-wlan-vap-prof-xuexi]ssid-profile xuexi[AC6605-wlan-vap-prof-xuexi]security-profile xuexi[AC6605-wlan-vap-prof-xuexi]service-vlan vlan-pool xuexi9)将VAP配置文件绑定到AP组,把配置下发给AP组的物理设备[AC6605]wlan[Ac6605-wlan-view]ap-group name bangong#进入ap组[AC6605-wlan-ap-group-bangong]vap-profile bangong wlan1radio0[AC6605-wlan-ap-group-bangong]vap-profile bangong wlan1radio1[AC6605-wlan-ap-group-bangong]quit[AC6605-wlan-view]ap-group name xuexi[AC6605-wlan-ap-group-xuexi]vap-profile xuexi wlan1radio0[AC6605-wlan-ap-group-xuexi]vap-profile xuexi wlan1radio110)在hj-sw1中创建vlan101102103104[hj-SW1]vlan batch10110210310411)在hx-sw2中创建vlan101102103104[HX-SW2]vlan batch10110210310412)DHCP-R1配置DHCP功能,配置IP地址池[R1-dhcp-ip-pool-vlan100]ip pool vlan101[R1-dhcp-ip-pool-vlan101]network192.168.101.0 mask24[R1-dhcp-ip-pool-vlan101]gateway-list192.168.101.254[R1-dhcp-ip-pool-vlan101]dns-list8.8.8.8[R1-dhcp-ip-pool-vlan101]ip pool vlan102[R1-dhcp-ip-pool-vlan102]network192.168.102.0 mask24[R1-dhcp-ip-pool-vlan102]gateway-list192.168.102.254[R1-dhcp-ip-pool-vlan102]dns-list8.8.8.812)DHCP-R1配置DHCP功能,配置IP地址池[R1-dhcp-ip-pool-vlan102]ip pool vlan103[R1-dhcp-ip-pool-vlan103]network192.168.103.0 mask24[R1-dhcp-ip-pool-vlan103]gateway-list192.168.103.254[R1-dhcp-ip-pool-vlan103]dns-list8.8.8.8[R1-dhcp-ip-pool-vlan103]ip poolvlan104[R1-dhcp-ip-pool-vlan104]network192.168.104.0 mask24[R1-dhcp-ip-pool-vlan104]gateway-list192.168.104.254[R1-dhcp-ip-pool-vlan104]dns-list8.8.8.813)核心交换机SW2配置vlanif网关地址[hx-sw2-Vlanif100]int vlan101[hx-sw2-Vlanif101]ipadd192.168.101.25424[hx-sw2-Vlanif101]int vlan102[hx-sw2-Vlanif102]ipadd192.168.102.25424[hx-sw2-Vlanif102jint vlan103[hx-sw2-Vlanif103]ipadd192.168.103.25424[hx-sw2-Vlanif103]int vlan104[hx-sw2-Vlanif104]ipadd192.168.104.2542414)核心交换机SW2配置DHCP中继[hx-sw2]dhcpenable[hx-sw2-Vlanif100]int vlan101[hx-sw2-Vlanif101]dhcpselectrelay[hx-sw2-Vlanif101]dhcp relay server-ip192.168.210.1[hx-sw2-Vlanif101]int vlan102[hx-sw2-Vlanif102jdhcpselectrelay[hx-sw2-Vlanif102]dhcp relay server-ip192.168.210.1[hx-sw2-Vlanif102]int vlan103[hx-sw2-Vlanif103]dhcpselectrelay[hx-sw2-Vlanif103]dhcp relay server-ip192.168.210.1[hx-sw2-Vlanif103jint vlan104[hx-sw2-Vlanif104]dhcpselectrelay[hx-sw2-Vlanif104]dhcp relay server-ip192.168.210.15 STA接入
STA接入
- STA接入
√ CAPWAP隧道建立完成后,用户就可以接入无线网络
√ STA可以通过主动扫描,定期搜索周围的无线网络,获取到周围的无线网络信息
√ 为了保证无线链路的安全,接入过程中AP需要完成对STA的认证
√ 对数据报文还需要使用加密的方式来保证数据安全
√ STA获取到自身的IP地址,是STA正常上线的前提条件
6 WLAN业务数据转发
数据转发方式
- 隧道转发方式:
√ 优点:AC集中转发数据报文,安全性好,方便集中管理和控制
√ 缺点:业务数据必须经过AC转发,报文转发效率比直接转发方式低,AC所受压力大 - 直接转发方式:
√ 优点:数据报文不需要经过AC转发,报文转发效率高,AC所受压力小
√ 缺点:业务数据不便于集中管理和控制
)
