一、WLAN产生背景
二、无线网络架构(胖/瘦)AP)、capwap隧道,两种转发模式
1、胖AP:
瘦AP:
云AP:
CAPWAP隧道(AC和AP)两个作用:
两种转发:
WLAN园区网中:
AP和AC间网方式:
一、二层组网:
二、三层组网:
AC连接方式:
1、直连式:
2、旁挂式:
CWPWAP协议:
基本概念:BSS、SSID、BSSID-toc" style="margin-left:0px;">三、无线组网基本概念:BSS、SSID、BSSID
BSS全向天线:
BSS:
BSSID:
SSID:
四、下一代园区网络
1.智能园区(中小型园区网络)
2.智能园区(大中型园区网络)
五、WLAN工作流程
1、AP上线:
(1)、AP获取IP地址1),静态模式
(2)、AP发现AC并建立CAPWAP隧道
(3)、AP接入控制:
(4)、AP版本升级:
(5)、CAPWAP隧道维护:
2、WLAN业务配置:
射频参数-toc" style="margin-left:80px;">(1)基本射频参数的配置
(2)创建射频模板
(3)、AP或AP组
3、STA用户接入:
STA接入六阶段:
4、WLAN业务数据转发:
六、WLAN的配置实现
WLAN的配置实现:
第一阶段,DHCP:
第二阶段,AC:
学习目标:
1、WLAN产生背景
2、无线组网架构(胖/瘦AP)、capwap隧道、两种转发模式
3、无线组网基本概念:BSS、SSID、BSSID
4、下一代园区网络
5、WLAN工作流程
6、WLAN的配置实现
一、WLAN产生背景
有线电缆或光纤传输介质的有线局域网应用广泛,有线介质铺设成本比较高,位置固定、移动性差,随着对网络便携性和移动性的要求,传统有线无法满足需求,WLAN(Wireless Local Area Network)无线局域网技术产生。
WLAN称为一种经济、高效的网络接入方式。
WLAN是通过无线技术构建的无线局域网(无线电波、激光、红外线等无线信号来代替有线局域网)
无线AP功能上是类似Hub类型设备,无线网络安全风险大一些(部署无线时无安全不无线,对接入无线的终端做认证)。
WLAN和Wi-Fi(是约等于的概念)
是计算机网络和无线通信技术(Wi-Fi)相结合的产物,是有线网络的无线化延伸。
1、是一种基于IEEE 802.11标准的无线局域网技术(之前有li-fi利用家里电灯传输)。
2、日常Wi-Fi就是802.11的同义词。
3、wi-fi是wi-fi联盟制造商的商标,并作为wi-fi产品的品牌认证。
4、wi-fi联盟成立于1999年。
企业面临问题,像部署wifi5这种无线,交换机得换(因为旧交换机端口带宽跟不上,不适配)。
像大学无线AP可能几百上千台(AP发无线射频,AC没有wifi覆盖功能)。
每个用户有1G的带宽,就能完美体验VR/AR(目前成本很高,只能在特点的场景下获得体验)。
无线在TCP/IP中属于物理层数据链路层技术。
二、无线组网架构(胖/瘦AP)、capwap隧道、两种转发模式
可以理解家用无线路由器,可以直接把802.11协议上做802.3或者ethernet2上做帧格式转换,让数据帧通过有线网络访问外网,胖AP有独立部署、配置的功能(适用家庭,多设备企业部署麻烦)。
瘦AP:
真正企业网还是采用瘦AP无线架构,通过部署无线控制器AC来统一管理AP。
云AP:
(华为公有云上部署AC,统一管理企业的瘦AP,企业不用买物理AC,可以做虚拟化,NFV网络功能虚拟化x86架构,运行一台功能网元)
AP需要使用证书,防止伪造,终端用户也需要申请数字证书,安全性好,成本高。
CAPWAP隧道(AC和AP)两个作用:
管理AP。
用户数据802.11数据帧通过CAPWAP隧道送给AC,AC收到转802.3或ethernet2传出去。
AC和AP的CAPWAP隧道只负责管理,不需要负责数据封装,用户802.11在AP直接转换ethernet数据帧结构,通过有线直接去外网,用户数据不经过AC(AC不做用户数据转发)。
802.11的终端设备,用户数据通过CAPWAP隧道到AC,AC集中转发(AC把802.11帧进行ethernet帧转换)。
AC内置IPS功能实现安全检测、无线网络互访控制(隧道模式才支持)、
AP可以实现即插即用
SW2-----AP1-----SW1-----AP2----SW3两个AP桥接,2.4G给内网用,两台AP使用5G桥接(适合深林景区、公园空旷区域进行wifi全覆盖组网,网速体验较慢,适合景区监控)。
PoE交换机(以太网供电)
华为PoE++(标准)支持供电距离200米。
AC能跨广域网对分支机构的AP做统一管理,AC可以做Qos。
1、二层组网:
AC和AP的CWPWAP IP地址在同一网段。
2、三层组网:
AC和AP的CWPWAP IP地址在不同网段。
AC连接方式:
1、直连式:
2、旁挂式:
CWPWAP协议:
前身是LAPWAP(思科的轻量型无线配置协议)
CAPWAP隧道是通过有线建立的。
无线电磁波频谱也是一种资源,分配出去的就不能再分了(相同频谱接近就会干扰)。
不能随意使用信道(传输数据的通道),随意使用会产生干扰。
相邻AP不建议使用相邻信道,完全不重叠难做到,只能尽量不重叠,无线项目网规和网优(规划和优化,华为可以借助一些工具出网规报告,网优需要细节的调,需要对无线了解深一些)。
会产生干扰问题
1和2元部分信道共享重叠,
不重叠信道:
1、6、11、14
AP设计有10%重叠空间,让终端客户端经过算法实现切换。
多信道绑定提高带宽
5G频率高波长短,穿墙能力弱,覆盖范围小些。
2.4G频率低,波长长,穿墙能力强,覆盖范围大。
AP双射频(2.4G/5G,可以5G桥接,2.4G用户接入)/三射频(接入用户数更多,有的设备可调2.4和5G)
三、无线组网基本概念:BSS、SSID、BSSID
BSS、SSID、BSSID
覆盖的是一个三维球型空间。
AP与AP桥接,信号打向一个特定地点,室外部署,覆盖的是柱型的空间。
智能化。
BSS:
1、一个AP所能覆盖的范围。
2、在一个BSS的服务区域内,STA可以相互通信(配同一个网段的IP,网络上理解为Hub)。
BSSID:
1、无线网络的身份标识,用AP的MAC地址标识。
终端要发现AP就要通过AP的一个身份标识去找AP,这个身份标识就是BSSID,每个BSS(区分不同AP)都需要有一个唯一的BSSID。
SSID:
1、无线网络的一个身份标识,用字符标识。
2、方便用户辨识不同的无线网络,SSID代替BSSID。
标识无线网络,用来区分不同的无线网络(笔记本连wifi显示的wifi名就是SSID)
现在一个AP可以创建多个虚拟的AP(VAP【像vlan一样】,每个VAP都有自己的BSSID,BSSID可以一致,SSID不能)
一个空间有2个SSID,有SSID1、SSID2(就像VLAN一样,一个AP划分多个无线局域网),SSID1是mac1、SSID2是mac1,用户连接的SSID1,用户感知是对应的SSID1,对于AP来说它知道用户连接的SSID对应的哪个BSSID,BSSID的mac地址一样不影响(类似于不同vlan相同mac不影响一样)。
逻辑划分,同一个空间部署BSSID,就是虚拟网络,物理实体上虚拟出多个AP,每一个虚拟出的AP就是一个VAP,每个VAP提供和物理AP一样的功能。
连续的AP对外有相同的SSID,从一个BSS移动到另一个BSS不能感知SSID变化,通过ESS来实现。
不同的AP部署相同SSID(认为就是同一个局域网中),BSSID的AMC不一样,在漫游的过程中用户感知不到BSSID的变化,但是切换了SSID,这种是二层漫游,会有一定的丢包。
配套中心AP和敏分AP,就像天线一样,中心AP不需要有射频功能,通过敏分天线拉到每个房间里,在房间里发布相同的SSID,同一个中心AP漫游不会有太大问题。
四、下一代园区网络
下一代园区网络:
1、智能园区(中小型园区网络)
AC-Wan、AC-Campus、AC-DCN
云端控制器,配置好了,设备接上去可以零配置上线。
SDN控制器软件定义网络
目前SDN软件定义网络只能管理厂家自己的设备,不止于卖产品,卖解决方案。
2、智能园区(大中型园区网络)
五、WLAN工作流程
AC的DHCP给AP分配地址,option中告知AC的IP(要知道AC的IP后期建立CAPWAP隧道)
DHCP服务器如果和AC不在同一个广播域做DHCP中继。
流量经过到AC是加密的出去的。
通常AC配置AP的产品序列号做认证
AC会把软件包下载到AP重启上线
发保活报文,keepalive是数据隧道保活报文,控制隧道通过Echo Request来保活。
AC讲业务配置下发到AP。
使用直接转发还是隧道转发是创建VAP模板的时候进行的。
用户搜索AP发射的SSID进行连接、上线、接入网络。
通过探测请求帧,两种方式:携带有指定SSID的主动扫描、携带空的SSID的主动扫描。
WPAI无线标准(中国国际唯一定义的国际标准)
Wifi6是华为定义的(3G、4G华为做了很多)。
PSK域共享秘钥
802.1X:用户名密码认证
802.1X(企业认证)扩展认证协议,一系列的认证套件(EAP支持50多种认证)。
家用路由器是PSK方式认证。
分配地址个无线客户端
potal认证(酒店、公司访客),通过跳转浏览器触发认证(手机号、二维码),学校网页就是potal。
Windows7和X都能开802.1X认证。
4、WLAN业务数据转发:
WLAN网络开始转发业务数据。
隧道转发是,AP的流量转发到AC,在这个CAPWAP隧道中帧格式是802.11,到AC再转ethernet2帧格式发出去,好处是能AC上边对数据进行集中管理(过滤、安全检测)。
直接转发:AC和AP之间的CAPWAP隧道只能用来管理AP,AP收到客户端的802.11帧直接转ethernet2帧发出去。
六、WLAN的配置实现
第一阶段,DHCP:
1阶段(DHCP)、AP的DHCP discover打上vlan10的tag到了核心,核心收到通过DHCP中继中继到了AC192.168.100.254。(AP和AC现在是三层组网)option 43 sub-option 3 ascii 192.168.100.254 告诉AP,AC的地址,方便后续的capwap隧道。
第二阶段,AC:
[ac]vlan batch 101 102
[ac]vlan pool sta-pool
[ac-vlan-pool-sta-pool]vlan 101 102
[ac-vlan-pool-sta-pool]assignment hash
[ac]wlan
[ac-wlan-view]ap-group name ap-group
[ac-wlan-view]regulatory-domain-profile name default
[ac-wlan-regulate-domain-default]country-code CN
[ac-wlan-view]ap-group name ap-group
[ac-wlan-ap-group-ap-group]regulatory-domain-profile default
[ac]capwap source interface Vlanif 100 指定建立CAPWAP隧道地址
[ac]wlan
[ac-wlan-view]ap auth-mode mac-auth
[ac-wlan-view]ap-id 1 ap-mac 00e0-fcc3-2bd0 绑定AP的MAC地址
[ac-wlan-ap-1]quit
[ac-wlan-view]ap-id 2 ap-mac 00e0-fcdf-6460
ap关联组
[ac-wlan-view]ap-id 1
[ac-wlan-ap-1]ap-group ap-group
[ac]display ap all
[ac-wlan-view]security-profile name wlan-net
[ac-wlan-sec-prof-wlan-net]security wpa-wpa2 psk pass-phrase a12345678 aes
[ac-wlan-view]ssid-profile name IT
[ac-wlan-ssid-prof-IT]ssid IT
转发方式(默认直接转发):隧道转发
[ac-wlan-view]vap-profile name IT
[ac-wlan-vap-prof-IT]forward-mode tunnel (隧道转发后续核心交换只需要放行管理vlan)
[ac-wlan-vap-prof-IT]forward-mode direct-forward(直接转发后续管理和业务vlan都需要放行)
服务vlan:地址池分配vlan-id
[ac-wlan-vap-prof-IT]service-vlan vlan-pool sta-pool
[ac-wlan-vap-prof-IT]security-profile wlan-net
[ac-wlan-vap-prof-IT]ssid-profile IT
[ac-wlan-view]ap-group name ap-group
[ac-wlan-ap-group-ap-group]vap-profile IT wlan 1 radio 0
[ac-wlan-ap-group-ap-group]vap-profile IT wlan 1 radio 1