骨干网与WLAN

WLAN简介

什么是WLAN

WLAN即Wireless LAN（无线局域网）

是指通过无线技术构建的无线局域网络
WLAN广义上是指以无线电波、激光、红外线等无线信号来代替有线局域网中的部分或全部传输介质所构成的网络

7.5.1

大型WLAN组网的应用

7.5.2

大型WLAN组网特点

7.5.3

WLAN设备

WLAN设备

AP：Access Point 无线接入点
PoE：Powerover Ethernet 以太网供电交换机，是指通过以太网网络进行供电，也被称为基于局域网的供电系统PoL（Powerover LAN）或有源以太网，PoE允许电功率通过传输数据的线路或空闲线路传输到终端设备，在WLAN网络中，可以通过PoE交换机对AP设备进行供电
AC：Access Controller 无线接入控制器，统一配置和管理无线AP的设备

AP的分类

FAT AP（胖AP）：家用无线路由器

FIT AP（瘦AP）：适用于大中型企业：

               需要配合AC使用，由AC统一管理和配置，需要专业网络工程师部署和管理。

   需要配置 用户接入、AP上线、认证、路由、AP管理、安全协议
   主要应用于：大中型 企业、高校、行政单位、酒店、机场、高铁站、购物中心、医院  用做无线覆盖用的无线AP

云管理AP：适用于中小型企业：

        由云管理平台统一管理和配置，功能丰富，即插即用，对网络维护人员的技能要求低。

  主要应用于，家庭，餐馆、连锁超市

WAN的分类

WPAN（Wireless Personal Area Network）：个人无线网络

蓝牙
NFC

WLAN（Wireless Local Area Network）：无线局域网

Wi-Fi
Wi-Fi技术：802.11

目前用的较多的协议标准是：

802.11n (2.4GHz和5GHz）

801.11ac协议，称之为wifi5

802.11ax协议称之为wifi6—2019年

WWAN（Wireless Wide Area Network）：无线广域网

2G：GSM、CDMA
3G：WCDMA、TD-SCDMA
4G：LTE
5G：NR
在移动通信中，”G”是”Generation”的缩写：一代的意思

- 1G：第一代移动通信，是在20世纪80年代初开始使用的模拟移动电话系统，主要用于语音通信。
- 2G：第二代移动通信，采用数字技术，语音质量好、安全性高，能发短信。
- 3G：第三代移动通信，数据传输速度快，支持包括互联网访问
- 4G：第四代移动通信，数据速度快，延迟低，实现了高质量的视频数据传输和其他高带宽应用。
- 5G：第五代移动通信，超高的数据速度（比4G快10到100倍）和超低的延迟，
支持新的应用和服务，如物联网、自动驾驶车辆、虚拟现实等

WLAN设备介绍

7.5.4

基本的WLAN组网架构

7.5.5

有线侧组网概念：CAPWAP协议

CAPWAP隧道

CAPWAP：无线接入点控制和配置协议
作用：
- 通过该协议让AC对AP进行管理和配置，即AC通过CAPWAP隧道来实现对AP的集中管理和控制, 配置下发
- CAPWAP是基于UDP进行传输的应用层协议
- CAPWAP协议在传输层运输两种类型的消息：
  - 业务数据流量：手机和电脑访问互联网的数据报文，称为业务数据流量，端口为UDP端口5247
  - 管理流量：AC控制AP的协议的控制报文，称为管理流量，端口为UDP端口5246

CAPWAP隧道功能

AC通过CAPWAP隧道来实现对AP的集中管理，业务配置和控制

7.5.6

有线侧组网概念：AP-AC组网方式

AP和AC间的组网分为：二层组网和三层组网

7.5.7

有线侧组网概念：AC连接方式

AC的连接方式分为：直连式组网和旁挂式组网

7.5.8

无线侧组网概念：BSS/SSID/BSSID

基本服务集BSS（Basic Service Set）：

一个AP所覆盖的范围
在一个BSS的服务区域内，STA可以相互通信
为了区分BSS，每个BSS都有唯一的BSSID，用AP的MAC地址来做BSSID，BSSID是MAC地址，特别不容易记忆，用SSID来表示

基本服务集标识符BSSID（Basic Service Set Identifier）：

是无线网络的一个身份标识，用AP的MAC地址表示

服务集标识符SSID（Service Set Identifier）：

是无线网络的一个身份标识，用字符串表示
为了便于用户辩护不同的无线网络，用SSID代替BSSID

7.5.9

无线侧组网概念：VAP

虚拟接入点VAP（Virtual Access Point）：

VAP就是一个物理实体AP上虚拟出的多个AP
每一个被虚拟出的AP就是一个VAP，每个VAP提供和物理实体AP一样的功能
每个VAP对应一个BSS，这样一个APP，就可以提供多个BSS，设置不同的SSID
早期的AP只支持1个BSS，如果在同一空间内部部署多个BSS，则需要安放多个AP，这不但增加成本，还占用了信道资源，为了改善这种状况，现在的AP通常支持创建多个虚拟AP

无线侧组网概念：VLAN Pool

现有网络面临的挑战

在无线网络环境下，使用手机或者平板上网很多，无线网络下，用户移动性增强，可能导致某一个区域IP地址请求较多。
通常情况下，一个SSID只能对应一个业务VLAN，通常一个VLAN对应一个C类地址池，只有253个可以分发的IP地址，如果在同一个VLAN内，扩大地址池范围，会导致广播报文增多
VLAN Pool：就是VLAN池，就是把多个VLAN放在一个VLAN池子中

VLAN Pool 的优势

VLAN pool配置为无线用户的业务VLAN，实现一个SSID能够同时支持多个业务VLAN。
新接入的用户会被动态地分配到VLAN pool中的各个VLAN中，减少了单个VLAN下的用户数，缩小了广播域；同时每个VLAN尽量均匀地分配IP地址，减少了IP地址的浪费。

VLAN pool分配方式

顺序分配算法：把用户按上线顺序依次划分到不同的VLAN中
HASH分配算法：根据用户MAC地址HASH值分配VLAN，华为默认是HASH分配算法
配置命令：
- assignment命令用来配置VLAN pool中的VLAN分配算法
- undo assignment命令用来恢复VLAN pool中的VLAN分配算法为缺省值

分配VLAN流程

用户终端从VAP接入，判断VAP是否有绑定VLAN Pool
如果该VAP模板绑定了VLANPool，使用VLANPool分配一个VLAN
给终端分配一个VLAN
终端从VLANPool分配的VLAN上线

WLAN工作流程

WLAN工作流程概述

WLAN工作流程

AP上线
WLAN业务配置下发
STA接入
WLAN业务数据转发

WLAN工作流程：步骤1

AP上线

AP获取IP地址
AP发现AC并与之建立CAPWAP隧道
AP接入

AP获取IP地址：DHCP方式

AP必须获得IP地址才能够与AC通信，WLAN网络才能够正常工作

7.5.10

CAPWAP隧道建立

AC通过CAPWAP隧道来实现对AP的集中管理和控制

7.5.11

AP动态发现AC

DHCP报文中携带Option 43

在DHCP服务器上配置DHCP报文中携带Option 43，且Option 43携带AC的IP地址

7.5.12

建立CAPWAP隧道

AP与AC关联，完成CAPWAP隧道建立

CAPWAP隧道包括数据隧道和控制隧道

数据隧道：AP的业务报文（数据流量）
控制隧道：AP与AC之间的控制报文（管理流量）

7.5.13

AP接入

AC上添加AP的方式

离线导入AP：预先配置AP的MAC地址，当AP与AC连接时，如果AC发现AP和预先增加的AP的MAC地址匹配，则AC开始与AP建立连接

为确保AP上线，AC需配置内容

7.5.14

WLAN业务下发

AP上线后，首先会主动向AC获取当前配置，而后统一由AC对AP进行集中管理和业务配置下发

7.5.15

配置模板

为了方便用户配置和维护WLAN的各个功能，针对WLAN的不同功能和特性设计了各种类型的模板，这些模板统称为WLAN模板

7.5.16

VAP模板

7.5.17

无线接入安全协议

安全性称为阻碍WLAN技术发展的最重要因素

常用安全策略

7.5.18

STA地址分配

STA获取到自身的IP地址，是STA正常上线的前提条件

7.5.19

数据转发方式

7.5.20

AP上线配置

AP上线

7.5.21

案例需求

无线控制器（AC）连接在核心交换机SW2上，属于VLAN200
AP连接在汇聚层交换机SW1上，AP的管理IP地址属于VLAN100
企业内网中存在4个VLAN，分别服务于老师和学生
AP的网关以及所有无线用户的终端的网关，都配置在核心交换机SW2
AP和无线用户终端的IP地址都是通过DHCP的方式获得
最终确保连接到不同AP的无线终端之间可以互通

解决方案

AP上线

让AP可以通过DHCP获取IP地址
在AC和AP之间建立capwap隧道
AP接入

配置命令

第一步：AP上线

让AP可以通过DHCP获取IP地址

1.汇聚交换机创建VLAN，配置端口角色
[HJ-SW1]vlan batch 100 200 210
[HJ-SW1]port-group group-member g0/0/1 to g0/0/5
[HJ-SW1-port-group]port link-type trunk
[HJ-SW1-port-group]port trunk allow-pass vlan all

2.核心交换机创建VLAN,配置端口角色
[HX-SW2]vlan batch 100 200 210
[HX-SW2]interface g0/0/2
[HX-SW2-G0/0/2]port link-type trunk
[HX-SW2-G0/0/2]port trunk allow-pass vlan all
[HX-SW2-G0/0/2]interface g0/0/1
[HX-SW2-G0/0/1]port link-type access
[HX-SW2-G0/0/1]port default vlan 210
[HX-SW2-G0/0/1]interface g0/0/10
[HX-SW2-G0/0/10]port link-type access
[HX-SW2-G0/0/10]port default vlan 200

3.DHCP-R1配置DHCP功能，配置IP地址池
[DHCP-R1]dhcp enable
[DHCP-R1]ip pool vlan100
[DHCP-R1-pool-vlan100]network 192.168.100.0 mask 24
[DHCP-R1-pool-vlan100]gateway-list 192.168.100.254
[DHCP-R1-pool-vlan100]dns-list 8.8.8.8
[DHCP-R1-pool-vlan100]quit

[DHCP-R1]interface g0/0/0
[DHCP-R1-G0/0/0]ip address 192.168.210.1 24
[DHCP-R1-G0/0/0]dhcp select global

4.核心交换机SW2配置VLANIF网关地址
[HX-SW2]interface vlanif 100
[HX-SW2-vlanif100]ip address 192.168.100.254 24
[HX-SW2-vlanif100]interface vlanif 200
[HX-SW2-vlanif200]ip address 192.168.200.254 24
[HX-SW2-vlanif200]interface vlanif 210
[HX-SW2-vlanif210]ip address 192.168.210.254 24

5.核心交换机SW2配置DHCP中继
[HX-SW2]dhcp enable
[HX-SW2]interface vlanif 100
[HX-SW2-vlanif100]dhcp select relay
[HX-SW2-vlanif100]dhcp relay server-ip 192.168.210.1

6.在HJ-SW1中修改g0/0/2 - g0/0/5的pvid为vlan100
[HJ-SW1]port-group group-member g0/0/2 to g0/0/5
[HJ-SW1-port-group]port trunk pvid vlan 100

7.DHCP-R1配置去往中继的回程路由
[DHCP-R1]ip route-static 0.0.0.0 0 192.168.210.254

在AC和AP之间建立CAPWAP隧道

1.在AC中创建vlan200并且把g0/0/10加入vlan200，改为access
[AC6605]vlan 200
[AC6605-vlan200]quit
[AC6605]interface g0/0/10
[AC6605-G0/0/10]port link-type access
[AC6605-G0/0/10]port default vlan 200
[AC6605-G0/0/10]interface vlanif 200
[AC6605-vlanif200]ip address 192.168.200.10 24

2.在AC中配置默认路由，能够实现和AP互联互通
[AC6605]ip route-static 0.0.0.0 0 192.168.200.254

3.在DHCP服务中配置dhcp option 43：让AP知道AC的管理地址
[DHCP-R1]ip pool vlan100
[DHCP-R1-pool-vlan100]option 43 sub-option 1 ip-address 192.168.200.10
备注：修改完option43后记得重启所有AP

4.在AC中配置capwap隧道
[AC6605]capwap source ip-address 192.168.200.10

AP接入

1.在AP上查询MAC地址
<Huawei>display  system-information
MAC Address :  00:e0:fc:c3:76:60

2.在AC中填入AP的MAC地址
[AC6605]wlan
[AC6605-wlan-view]ap-id 1 ap-mac 00e0-fcc3-7660
[AC6605-wlan-ap-1]quit
[AC6605-wlan-view]ap-id 2 ap-mac 00e0-fc8b-0150
[AC6605-wlan-ap-2]quit
[AC6605-wlan-view]ap-id 3 ap-mac 00e0-fc1b-4300
[AC6605-wlan-ap-3]quit
[AC6605-wlan-view]ap-id 4 ap-mac 00e0-fc7e-39c0
[AC6605-wlan-ap-4]quit

WLAN业务配置下发

案例需求

企业内网的无线网络改造已经完成大部分工作，AP成功注册到AC
基于分配好的IP方案，为不同的无线终端，动态分配IP地址
配置AC，为不同的AP下发不同的配置，确保可以发射无线信号
实现不同的“无线终端”可以成功连接AP，并成功获得IP地址
实现不同的“无线终端”之间的互通

配置命令

第一步：AC下发WLAN配置给AP

1.创建域管理模板-绑定国家码
[AC6605]wlan
[AC6605-wlan-view]regulatory-domain-profile name ntd     //创建域管理模板
[AC6605-wlan-regulate-domain-ntd]country-code cn         //定义国家码

2.绑定域管理模板
[AC6605]wlan
[AC6605-wlan-view]ap-group name bangong    //创建AP组
[AC6605-wlan-ap-group-bangong]regulatory-domain-profile ntd
[AC6605-wlan-ap-group-bangong]quit

[AC6605-wlan-view]ap-group name xuexi
[AC6605-wlan-ap-group-xuexi]regulatory-domain-profile ntd
[AC6605-wlan-ap-group-xuexi]quit

3.在AP组里添加AP设备
[AC6605]wlan
[AC6605-wlan-view]ap-id 1           //配置1号ap
[AC6605-wlan-ap-1]ap-name bangong1  //修改ap-name为bangong1
[AC6605-wlan-ap-1]ap-group bangong  //把ap1加入bangong组
[AC6605-wlan-ap-1]quit

[AC6605-wlan-view]ap-id 2           //配置2号ap
[AC6605-wlan-ap-2]ap-name bangong2  //修改ap-name为bangong2
[AC6605-wlan-ap-2]ap-group bangong  //把ap2加入bangong组
[AC6605-wlan-ap-2]quit

[AC6605-wlan-view]ap-id 3           //配置3号ap
[AC6605-wlan-ap-3]ap-name xuexi1    //修改ap-name为xuexi1
[AC6605-wlan-ap-3]ap-group xuexi    //把ap3加入xuexi组
[AC6605-wlan-ap-3]quit

[AC6605-wlan-view]ap-id 4           //配置4号ap
[AC6605-wlan-ap-4]ap-name xuexi2    //修改ap-name为xuexi2
[AC6605-wlan-ap-4]ap-group xuexi    //把ap4加入xuexi组
[AC6605-wlan-ap-4]quit

4.验证
[AC6605]display ap-group all

5.创建SSID模板-定义无线网名
[AC6605]wlan                                   //进入wlan
[AC6605-wlan-view]ssid-profile name bangong    //创建SSID模板，命名为bangong
[AC6605-wlan-ssid-prof-bangong]ssid bangong    //定义无线网的名字，命名为bangong
[AC6605-wlan-ssid-prof-bangong]quit

[AC6605-wlan-view]ssid-profile name xuexi
[AC6605-wlan-ssid-prof-xuexi]ssid xuexi

6.创建安全模板-定义无线网安全策略预共享密钥，加密方式
[AC6605]wlan
[AC6605-wlan-view]security-profile name bangong
[AC6605-wlan-sec-prof-bangong]security wpa-wpa2 psk pass-phrase a12345678 aes
[AC6605-wlan-sec-prof-bangong]quit

[AC6605-wlan-view]security-profile name xuexi
[AC6605-wlan-sec-prof-xuexi]security wpa-wpa2 psk pass-phrase a12345678 aes

7.创建VLAN池-绑定多个VLAN:给STA(电脑和手机)用的VLAN
[AC6605]vlan pool bangong                  //创建vlan池，命名为bangong
[AC6605-vlan-pool-bangong]vlan 101 102     //向vlan池添加vlan101和vlan102
[AC6605-vlan-pool-bangong]quit

[AC6605]vlan pool xuexi
[AC6605-vlan-pool-xuexi]vlan 103 104

8.创建VAP模板--绑定VLAN池子，绑定SSID配置文件，绑定安全配置文件
[AC6605]wlan
[AC6605-wlan-view]vap-profile name bangong                    //创建vap模板，命名为bangong
[AC6605-wlan-vap-prof-bangong]ssid-profile bangong            //绑定ssid模板
[AC6605-wlan-vap-prof-bangong]security-profile bangong        //绑定安全模板
[AC6605-wlan-vap-prof-bangong]service-vlan vlan-pool bangong  //绑定vlan池
[AC6605-wlan-vap-prof-bangong]quit

[AC6605]wlan
[AC6605-wlan-view]vap-profile name xuexi                    //创建vap模板，命名为xuexi
[AC6605-wlan-vap-prof-xuexi]ssid-profile xuexi              //绑定ssid模板
[AC6605-wlan-vap-prof-xuexi]security-profile xuexi          //绑定安全模板
[AC6605-wlan-vap-prof-xuexi]service-vlan vlan-pool xuexi    //绑定vlan池
[AC6605-wlan-vap-prof-xuexi]quit

9.将VAP配置文件绑定到AP组，把配置下发给AP组的物理设备
[AC6605]wlan
[AC6605-wlan-view]ap-group name bangong    //进入AP组
[AC6605-wlan-ap-group-bangong]vap-profile bangong wlan 1 radio 0
[AC6605-wlan-ap-group-bangong]vap-profile bangong wlan 1 radio 1
[AC6605-wlan-ap-group-bangong]quit

[AC6605-wlan-view]ap-group name bangong    //进入AP组
[AC6605-wlan-ap-group-bangong]vap-profile bangong wlan 1 radio 0
[AC6605-wlan-ap-group-bangong]vap-profile bangong wlan 1 radio 1

10.在HJ-SW1中创建vlan 101 102 103 104
[HJ-SW1]vlan batch 101 102 103 104

11.在HX-SW2中创建vlan 101 102 103 104
[HX-SW2]vlan batch 101 102 103 104

12.DHCP-R1配置DHCP功能，创建地址池
[DHCP-R1]ip pool vlan101
[DHCP-R1-ip-pool-vlan101]network 192.168.101.0 mask 24
[DHCP-R1-ip-pool-vlan101]gateway-list 192.168.101.254
[DHCP-R1-ip-pool-vlan101]dns-list 8.8.8.8

[DHCP-R1-ip-pool-vlan101]ip pool vlan102
[DHCP-R1-ip-pool-vlan102]network 192.168.102.0 mask 24
[DHCP-R1-ip-pool-vlan102]gateway-list 192.168.102.254
[DHCP-R1-ip-pool-vlan102]dns-list 8.8.8.8

[DHCP-R1-ip-pool-vlan102]ip pool vlan103
[DHCP-R1-ip-pool-vlan103]network 192.168.103.0 mask 24
[DHCP-R1-ip-pool-vlan103]gateway-list 192.168.103.254
[DHCP-R1-ip-pool-vlan103]dns-list 8.8.8.8

[DHCP-R1-ip-pool-vlan103]ip pool vlan104
[DHCP-R1-ip-pool-vlan104]network 192.168.104.0 mask 24
[DHCP-R1-ip-pool-vlan104]gateway-list 192.168.104.254
[DHCP-R1-ip-pool-vlan104]dns-list 8.8.8.8

13.核心交换机SW2配置网关地址
[HX-SW2]int vlanif 101
[HX-SW2-vlanif101]ip address 192.168.101.254 24
[HX-SW2-vlanif101]int vlanif 102
[HX-SW2-vlanif102]ip address 192.168.102.254 24
[HX-SW2-vlanif102]int vlanif 103
[HX-SW2-vlanif103]ip address 192.168.103.254 24
[HX-SW2-vlanif103]int vlanif 104
[HX-SW2-vlanif104]ip address 192.168.104.254 24

14.核心交换机SW2配置DHCP中继
[HX-SW2]dhcp enable
[HX-SW2]int vlanif 101
[HX-SW2-vlanif101]dhcp select relay
[HX-SW2-vlanif101]dhcp relay server-ip 192.168.210.1
[HX-SW2-vlanif101]int vlanif 102
[HX-SW2-vlanif102]dhcp select relay
[HX-SW2-vlanif102]dhcp relay server-ip 192.168.210.1
[HX-SW2-vlanif102]int vlanif 103
[HX-SW2-vlanif103]dhcp select relay
[HX-SW2-vlanif103]dhcp relay server-ip 192.168.210.1
[HX-SW2-vlanif103]int vlanif 104
[HX-SW2-vlanif104]dhcp select relay
[HX-SW2-vlanif104]dhcp relay server-ip 192.168.210.1

STA接入

STA接入

CAPWAP隧道建立完成后，用户就可以接入无线网络
STA可以通过主动扫描，定期搜索周围的无线网络，获取到周围的无线网络信息
为了保证无线链路的安全，接入过程中AP需要完成对STA的认证
对数据报文还需要使用加密的方式来保证数据安全
STA获取到自身的IP地址，是STA正常上线的前提条件