目录
概述
IEEE 802.11标准与WiFi的世代
编辑
无线控制器AC(Access Controller)
无线接入点AP(Access Point)
PoE(Power Over Ethernet)
PoE交换机
STA(Station)
BSS(Basic Service Set)
SSID(Service Set Identifier)
BSSID(Basic Service Set Identifier)
ESSID(Extended Service Set Identifier)
VAP(Virtual Access Point)
ESS(Extended Service Set)
基本的WLAN组网架构
FAT AP(胖AP)架构
AC+FIT AP(瘦AP)架构
有线侧组网
AP和AC之间的组网
二层组网
三层组网
AC连接方式
直连式组网
旁挂式组网
无线侧组网
无线通信系统
CAPWAP协议
主要功能
报文类型
CAPWAP隧道的建立过程
实例
实验背景和需求
1、实现AC和AP的连通性
AC配置好IP地址、路由、二层通信接口
配置AP的DHCP,在地址池通过option 43指定AC的地址
AC配置和AP对接的vlanif接口
2、在AC上配置和WLAN的相关参数
创建ssid模板ssid-ren,并设置用户扫描到的ssid名称ren
创建安全模板sec-ren,用来配置用户身份验证方式(wpa),要输入密码ren123456,以及数据加密算法(aes)
创建vap,用来配置,用户连接ssid后,会加入哪个vlan,以及关联哪个安全策略
3、将AP加入AP组
创建AP组
将AP组和vap、射频接口进行关联
将AP加入AP组
为STA创建地址池
展示
概述
WLAN(Wireless Local Area Network,无线局域网)是一种利用无线技术实现的局域网络,它允许电子设备在没有物理连接的情况下互相连接和通信。WLAN技术基于IEEE 802.11系列标准,使用高频无线射频作为传输介质,常见的频段包括2.4GHz和5GHz。
IEEE 802.11标准与WiFi的世代
主要记住标准、Wi-Fi几啥的,一般会说是基于n、基于ax等等
2.4G
- 兼容性好(所有设备都支持),穿墙能力强
- 速度慢
5G
- 速度快
- 兼容性差(老设备不支持),穿墙能力弱
现在5G是主流,但要兼容老设备,所以无线网络仍支持2.4G
无线控制器AC(Access Controller)
AC是一种网络硬件设备,主要用于管理某个区域内无线网络中的AP(无线接入点)。AC控制器的主要作用包括管控AP,如下发配置、修改相关配置参数、射频智能管理、接入安全控制等。AP无需和AC直接相连,这样AP可以通过网络部署在需要覆盖的任意地方,实现无线网络的灵活扩展。
无线接入点AP(Access Point)
AP是无线网络的接入点,俗称“热点”。它主要负责将有线网络转换为无线网络,为其他无线设备提供WiFi信号。AP可以作为无线局域网的中心点,供其他装有无线网卡的计算机通过它接入该无线局域网;也可以通过对有线局域网络提供长距离无线连接,或对小型无线局域网络提供长距离有线连接,从而达到延伸网络范围的目的。可以提供一定范围内的无线信号覆盖,适合覆盖较大区域。
PoE(Power Over Ethernet)
PoE是一种以太网供电技术,允许通过以太网电缆同时传输数据和电力。这种技术可以有效地解决IP电话、无线AP、便携设备充电器、刷卡机、摄像头、数据采集等终端的集中式电源供电问题,简化了综合布线的复杂性,降低了系统使用的成本。
只需安装和支持一条电缆,简单且节省空间。
设备可随意移动,便于管理。
供电端设备只会为需要供电的设备供电,消除了线路上漏电的风险。
PoE交换机
PoE交换机是一种接入层技术设备,它通过双绞线以太网电缆向无线接入点AP、VoIP电话和IP摄像头等设备供电和传输数据。
多端口连接,允许多台设备同时连接到网络。
安全性和可靠性提升,支持VLAN连接,能够提升网络安全性和可靠性。
灵活可扩展性,能根据需求随时调整和移动设备位置,而无需重新布线或添加额外的电源设备。
便捷管理性,集成POE技术的交换机可以通过访问信号来监控状态,提高可靠性和安全性。
STA(Station)
STA代表无线网络中的一个终端站点设备,通常被视为一个客户端。在STA模式下,设备本身不接受无线接入,而是连接到AP节点进行网络访问。例如,当WiFi模块工作在STA模式时,它可以连接到路由器的无线网络中,使得手机或电脑能够通过无线网络实现对其他设备的远程控制。
BSS(Basic Service Set)
基本服务集,指的是一个无线接入点(AP)和与之通信的无线设备(STA)组成的网络。即一个AP所覆盖的范围。BSS 的覆盖范围称为基本服务区域(BSA)。在家庭或小型办公室环境中,一个无线路由器通常就是一个 BSS。
SSID(Service Set Identifier)
服务集标识符,用于区分不同的无线网络。无线网络的一个身份标识,用字符串表示。一个 SSID 可以对应一个或多个 BSS,当多个 AP 使用相同的 SSID 时,它们可以组成一个扩展服务集(ESS),从而实现无线漫游。
BSSID(Basic Service Set Identifier)
基本服务集标识符,实际上就是 AP 的 MAC 地址。它用于唯一标识一个 BSS,区分不同的 AP。在同一个 ESS 中,不同的 BSS 会有不同 BSSID,但它们共享相同的 SSID。
ESSID(Extended Service Set Identifier)
扩展服务集标识符,是 SSID 的扩展概念。当多个 BSS 使用相同的 SSID 时,它们共同的 SSID 称为 ESSID。这允许用户在不同 AP 之间无缝漫游。
VAP(Virtual Access Point)
虚拟接入点,是在单个物理 AP 上创建的多个逻辑 AP,每个 VAP 可以有不同的 SSID(即 BSSID),用于不同的用户群体或服务。
ESS(Extended Service Set)
扩展服务集,由多个 BSS 组成,通过有线分布系统连接,允许无线设备在不同 BSS 之间无缝漫游。
基本的WLAN组网架构
FAT AP(胖AP)架构
FAT AP(胖AP),是一种独立的无线接入点,它包含了完整的网络功能,可以单独进行配置和管理。具备路由、NAT、DHCP、防火墙等网络功能,可以独立处理客户端的认证、数据转发和安全策略。
优点:部署简单,成本低,适合小型网络,如家庭、小型办公室等。每个AP可以独立工作,不需要集中管理设备。
缺点:每个AP都需要单独进行配置,随着AP数量的增加,管理复杂性增加;不同AP之间无法实现无缝漫游。
AC+FIT AP(瘦AP)架构
AC+FIT AP架构是一种集中管理的无线网络部署方式,其中AC(Access Controller)是无线控制器,负责集中管理FIT AP(FAT-less AP,瘦AP)。瘦AP专注于无线信号的发送和接收,802.11报文的加解密、物理层功能、接受AC的管理等简单功能。而所有的数据转发、用户认证、安全策略等都由AC集中处理。AC通过CAPWAP(Control and Provisioning of Wireless Access Points)协议与FIT AP通信。
优点:易于管理和扩展;支持无缝漫游;可以统一应用安全策略和监控;适合大规模的无线网络部署,如企业、学校、商场等
缺点:成本相对较高,需要购买AC设备;对AC的依赖性较强,AC的故障可能影响整个网络。
有线侧组网
AP和AC之间的组网
AP和AC之间的组网方式有:二层组网、三层组网
二层组网
在二层组网中,AP可以通过二层广播或DHCP过程即插即用上线,AP与AC之间的网络为直连或二层网络。
三层组网
在三层组网中,AP无法直接发现AC,需要通过DHCP或DNS方式动态发现,或者配置静态IP。AP与AC之间的网络为三层网络。
AC连接方式
直连式组网
AC同时扮演AC和汇聚交换机的功能,AP的数据业务和管理业务都由AC集中转发和处理。对AC的吞吐量和数据处理能力要求较高,否则可能成为网络瓶颈。
旁挂式组网
AC只承载对AP的管理功能,管理流封装在CAPWAP隧道中传输。适用于后期在现有网络基础上扩展无线网络的场景,只需将AC旁挂在现有网络中即可。
无线侧组网
无线通信系统
信息需要通过信源编码转换成方便电路计算和处理的数字信号,再经过信道编码和调制,转成无线电波发射出去。接收设备收到之后,会将无线电波进行解调和信道解码之后,最终转换成信息
CAPWAP协议
CAPWAP协议是无线接入点(AP)与无线控制器(AC)之间的通信协议,用于实现AP的集中管理和控制。通过CAPWAP协议,AP可以自动发现AC,与AC建立连接,并接受AC的管理和配置
主要功能
- AP对AC的自动发现:AP启动后,会尝试通过预配置的静态AC地址或通过动态发现机制(如DHCP、广播等)找到AC
- AP的状态机运行维护:CAPWAP协议定义了AP的状态机,包括初始化、发现AC、加入AC、配置下发等状态,以确保AP能够正常工作
- AC对AP的管理:AC通过CAPWAP协议对AP进行管理,包括配置下发、软件版本更新、状态监控等
- 业务配置下发:AC可以将业务配置(如SSID、认证方式、加密方式等)通过CAPWAP协议下发给AP,以便AP按照配置提供服务
- STA数据封装CAPWAP隧道转发:在隧道转发模式下,STA(无线客户端)的数据报文会被封装在CAPWAP隧道中,通过AP和AC之间的隧道进行转发
报文类型
CAPWAP协议包含两种主要类型的报文:控制报文和数据报文
控制报文:用于管理AP和控制AP的状态,控制报文通常使用UDP协议的5246端口进行传输
- Discovery报文:用于AP发现网络中的AC,并提供AP的基本信息给AC。Discovery报文分为Discovery Request和Discovery Response两种,前者由AP发送,后者由AC回复
- Join报文:用于AP申请加入特定的AC。Join报文也分为Join Request和Join Response两种,前者由AP发送,后者由AC回复以确认AP的加入请求
- Configuration Status报文:用于AP请求AC下发配置或报告配置状态。Configuration Status报文同样分为Request和Response两种
- Change State报文:用于AP报告其无线配置状态的更新或AC配置的应用情况
- Echo报文:用于保持AP和AC之间的控制隧道活性,防止隧道因长时间无数据传输而断开。Echo报文分为Echo Request和Echo Response两种,可由AP或AC任意一方发起
- WTP Event报文:用于AP向AC发送事件消息,如AP的统计信息、无线用户的参数信息等
- Configure Update报文:用于AC对AP进行配置更新,包括时间同步、MAC过滤策略等
数据报文:用于转发用户业务数据,如STA的上网数据等。数据报文通常使用UDP协议的5247端口进行传输
CAPWAP隧道的建立过程
- AP获取IP地址:AP通过DHCP等方式获取IP地址
- AP发现AC:AP通过广播、DHCP等方式发现AC的IP地址
- AP与AC进行DTLS握手:AP与AC之间建立DTLS加密通道,确保通信的安全性
- AP加入AC:AP向AC发送Join报文请求加入AC,AC确认后回复Join Response报文
- AP版本升级:如果AP版本与AC要求不匹配,AC会向AP发送版本更新报文进行升级
- AP请求配置下发:AP向AC发送Configuration Status Request报文请求配置下发
- AP配置确认:AP收到配置后,进行配置确认并回复Data Check报文
- 隧道建立成功:AP和AC之间通过Keepalive和Echo报文维持隧道状态,确保隧道正常工作
实例
实验背景和需求
- 核心交换机、路由器的IP地址和基本配置已完成,需要完成WLAN配置,实现STA接入网络,可以ping通路由器
- 部署AC+AP的FIT AP架构
- 采用隧道模式,AC集中进行无线数据转发
- 用户可扫描到ssid为ren的wlan,password为ren123456
- STA的vlan为172,地址段为172.16.10.x/24
- AP的vlan为192,地址段为192.168.10.x/24
- AC的管理地址为100.100.100.100,配置在vlanif 100
1、实现AC和AP的连通性
AC配置好IP地址、路由、二层通信接口
AC配置
<AC6005>sy
Enter system view, return user view with Ctrl+Z.
[AC6005]un info en
Info: Information center is disabled.
[AC6005]vlan 100
Info: This operation may take a few seconds. Please wait for a moment...done.
[AC6005-vlan100]q
[AC6005]vlan 172
Info: This operation may take a few seconds. Please wait for a moment...done.
[AC6005-vlan172]q
[AC6005]int vlan 100
[AC6005-Vlanif100]ip address 100.100.100.100 24
[AC6005-Vlanif100]q
[AC6005]int gig0/0/1
[AC6005-GigabitEthernet0/0/1]port link-type trunk
[AC6005-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[AC6005-GigabitEthernet0/0/1]q
[AC6005]ip route-static 192.168.10.0 24 100.100.100.1LSW1配置(可以ping通AC)
<Huawei>sy
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname LSW1
[LSW1]vlan 200
[LSW1-vlan200]q
[LSW1]int vlan 200
[LSW1-Vlanif200]ip address 200.200.200.1 24
[LSW1-Vlanif200]q
[LSW1]int g0/0/2
[LSW1-GigabitEthernet0/0/2]port link-type access
[LSW1-GigabitEthernet0/0/2]port default vlan 200
[LSW1-GigabitEthernet0/0/2]q
[LSW1]vlan 100
[LSW1-vlan100]q
[LSW1]vlan 172
[LSW1-vlan172]q
[LSW1]vlan 192
[LSW1-vlan192]q
[LSW1]int vlan 100
[LSW1-Vlanif100]ip address 100.100.100.1 24
[LSW1-Vlanif100]q
[LSW1]int vlan 172
[LSW1-Vlanif172]ip address 172.16.10.254 24
[LSW1-Vlanif172]q
[LSW1]int vlan 192
[LSW1-Vlanif192]ip address 192.168.10.254 24
[LSW1-Vlanif192]q
[LSW1]int g0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type trunk
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[LSW1-GigabitEthernet0/0/1]q
[LSW1]ping 100.100.100.100
PING 100.100.100.100: 56 data bytes, press CTRL_C to break
Reply from 100.100.100.100: bytes=56 Sequence=1 ttl=255 time=50 ms
Reply from 100.100.100.100: bytes=56 Sequence=2 ttl=255 time=30 ms
Reply from 100.100.100.100: bytes=56 Sequence=3 ttl=255 time=20 ms
Reply from 100.100.100.100: bytes=56 Sequence=4 ttl=255 time=50 ms
Reply from 100.100.100.100: bytes=56 Sequence=5 ttl=255 time=40 ms
--- 100.100.100.100 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 20/38/50 ms
[LSW1]
AR1配置(可以ping通LSW1)
<Huawei>sy
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname AR1
[AR1]un info en
Info: Information center is disabled.
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip address 200.200.200.200 24
[AR1-GigabitEthernet0/0/0]undo shutdown
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[AR1-GigabitEthernet0/0/0]q
[AR1]ping 200.200.200.1
PING 200.200.200.1: 56 data bytes, press CTRL_C to break
Reply from 200.200.200.1: bytes=56 Sequence=1 ttl=255 time=70 ms
Reply from 200.200.200.1: bytes=56 Sequence=2 ttl=255 time=30 ms
Reply from 200.200.200.1: bytes=56 Sequence=3 ttl=255 time=10 ms
Reply from 200.200.200.1: bytes=56 Sequence=4 ttl=255 time=1 ms
Reply from 200.200.200.1: bytes=56 Sequence=5 ttl=255 time=30 ms
--- 200.200.200.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 1/28/70 ms
[AR1]
LSW2配置
[Huawei]sysname LSW2
[LSW2]vlan 192
[LSW2-vlan192]q
[LSW2]int e0/0/2
[LSW2-Ethernet0/0/2]port link-type access
[LSW2-Ethernet0/0/2]port default vlan 192
[LSW2-Ethernet0/0/2]q
[LSW2]int e0/0/1
[LSW2-Ethernet0/0/1]port link-type trunk
[LSW2-Ethernet0/0/1]port trunk allow-pass vlan all
[LSW2-Ethernet0/0/1]q
[LSW2]配置AP的DHCP,在地址池通过option 43指定AC的地址
LSW1配置
[LSW1]int g0/0/3
[LSW1-GigabitEthernet0/0/3]port link-type trunk
[LSW1-GigabitEthernet0/0/3]port trunk allow-pass vlan all
[LSW1-GigabitEthernet0/0/3]q
[LSW1]dhcp en
Info: The operation may take a few seconds. Please wait for a moment.done.
[LSW1]ip pool forap
Info:It's successful to create an IP address pool.
[LSW1-ip-pool-forap]network 192.168.10.0 mask 255.255.255.0
[LSW1-ip-pool-forap]gateway-list 192.168.10.254
[LSW1-ip-pool-forap]option 43 sub-option 2 ip-address 100.100.100.100
[LSW1-ip-pool-forap]int vlan 192
[LSW1-Vlanif192]dhcp select global
[LSW1-Vlanif192]q
[LSW1]AC配置和AP对接的vlanif接口
[AC6005]capwap source interface Vlanif 100命令敲到这里AP就可以ping通AC(100.100.100.100)
2、在AC上配置和WLAN的相关参数
创建ssid模板ssid-ren,并设置用户扫描到的ssid名称ren
[AC6005]wlan
# 创建SSID配置文件,命名为'ssid-ren'
[AC6005-wlan-view]ssid-profile name ssid-ren
# 设置SSID名称为'ren'
[AC6005-wlan-ssid-prof-ssid-ren]ssid ren
Info: This operation may take a few seconds, please wait.done.
[AC6005-wlan-ssid-prof-ssid-ren]创建安全模板sec-ren,用来配置用户身份验证方式(wpa),要输入密码ren123456,以及数据加密算法(aes)
[AC6005]wlan
# 创建一个名为'sec-ren'的安全配置文件
[AC6005-wlan-view]security-profile name sec-ren
# 为安全配置文件设置WPA-WPA2个人版加密,使用AES加密算法,并设置PSK(预共享密钥)为'ren123456'
[AC6005-wlan-sec-prof-sec-ren]security wpa-wpa2 psk pass-phrase ren123456 aes创建vap,用来配置,用户连接ssid后,会加入哪个vlan,以及关联哪个安全策略
[AC6005]wlan
# 创建一个名为vap-ren的VAP配置文件
[AC6005-wlan-view]vap-profile name vap-ren
# 设置VAP的数据转发模式为隧道模式
[AC6005-wlan-vap-prof-vap-ren]forward-mode tunnel
Info: This operation may take a few seconds, please wait.done.
# 为VAP配置服务VLAN,VLAN ID为172
[AC6005-wlan-vap-prof-vap-ren]service-vlan vlan-id 172
Info: This operation may take a few seconds, please wait.done.
# 将SSID配置文件ssid-ren关联到当前VAP配置文件vap-ren上
[AC6005-wlan-vap-prof-vap-ren]ssid-profile ssid-ren
Info: This operation may take a few seconds, please wait.done.
# 将安全配置文件sec-ren关联到当前VAP配置文件vap-ren上
[AC6005-wlan-vap-prof-vap-ren]security-profile sec-ren
Info: This operation may take a few seconds, please wait.done.3、将AP加入AP组
创建AP组
[AC6005]wlan
[AC6005-wlan-view]ap-group name group-ren
Info: This operation may take a few seconds. Please wait for a moment.done.
[AC6005-wlan-ap-group-group-ren]q
[AC6005-wlan-view]q将AP组和vap、射频接口进行关联
[AC6005]wlan
[AC6005-wlan-view]ap-group name group-ren
[AC6005-wlan-ap-group-group-ren]vap-profile vap-ren wlan 1 radio all
Info: This operation may take a few seconds, please wait...done.将AP加入AP组
先查看AP的mac地址,然后再AC上基于mac地址来添加AP
AP
[Huawei]dis int vlan 1
AC
[AC6005]wlan
[AC6005-wlan-view]ap auth-mode mac-auth
[AC6005-wlan-view]ap-id 0 ap-mac AP的MAC地址
[AC6005-wlan-ap-0]ap-name ap-ren
[AC6005-wlan-ap-0]ap-group group-ren
Warning: This operation may cause AP reset. If the country code changes, it will
clear channel, power and antenna gain configurations of the radio, Whether to c
ontinue? [Y/N]:y
Info: This operation may take a few seconds. Please wait for a moment.. done.为STA创建地址池
<LSW1>sy
Enter system view, return user view with Ctrl+Z.
[LSW1]ip pool forpeople
Info:It's successful to create an IP address pool.
[LSW1-ip-pool-forpeople]network 172.16.10.0 mask 255.255.255.0
[LSW1-ip-pool-forpeople]gateway-list 172.16.10.254
[LSW1-ip-pool-forpeople]int vlan 172
[LSW1-Vlanif172]dhcp select global 展示
STA未连接
打开STA并输入密码ren123456
