2016年自己跟小伙伴一起搞的一个小活,客户是一家软件开发公司,专门做移动运动APP的,公司老板和一帮IT男对无线提出了比较高的要求,设备用的是国产"菊花"厂设备,当时对无线的很多概念仅仅停留在“知道”层面,理解的还不是很深入,研究了一个通宵交付给客户以后,自己当时小结了一下,翻出来,晒一晒,作为一个纪念。
无线网络部署白皮书
一、首先明确几个重要概念
WLAN 网络架构
WLAN网络架构分有线侧和无线侧两部分,有线侧是指AP上行到Internet的网络使用以太网协议。无线侧是指STA到AP之间的网络使用802.11协议。无线侧接入的WLAN网络架构为集中式架构。
集中式网络架构
集中式架构又称为瘦接入点(FIT AP)架构。在该架构下,通过AC集中管理和控制多个AP,如下图所示。
在集中式架构下,所有无线接入功能由AP和AC共同完成:
- AC集中处理所有的安全、控制和管理功能,例如移动管理、身份验证、VLAN划分、射频资源管理和数据包转发等。
- FIT AP完成无线射频接入功能,例如无线信号发射与探测响应、数据加密解密、数据传输确认等。
- A P和AC之间采用CAPWAP协议进行通讯,AP与AC间可以跨越二层网络或三层网络。集中式架构便于管理员的集中管理和维护。
数据转发方式
WLAN网络中的数据包括控制报文和数据报文。控制报文是通过CAPWAP的控制隧道转发的,用户的数据报文按照是否通过CAPWAP的数据隧道转发分为隧道转发(又称为“集中转发”)方式和直接转发(又称为“本地转发”)方式。
隧道转发方式
隧道转发方式是指用户的数据报文到达AP后,需要经过CAPWAP数据隧道封装后发送给AC,然后由AC再转发到上层网络,如下图所示:
直接转发方式
直接转发方式是指用户的数据报文到达AP后,不经过CAPWAP的隧道封装而直接转发到上层网络,如下图所示:
隧道转发方式与直接转发方式的优缺点
直接转发方式下的集中认证
如果采用直接转发方式,业务数据不经过AC转发。当无线用户接入网络需要进行用户
接入认证(例如,802.1X认证等)且接入控制点部署在AC上时,用户的认证报文就无
法通过AC集中管理,这就给管理员对用户的统一控制造成了不便。通过在直接转发方
式下使能集中认证功能,可以实现用户的认证报文通过CAPWAP隧道到达AC转发,普
通数据报文不需要经过AC转发,如下图所示:
二、其次有必要了解一下无线网络几个经典的应用场景
大中型园区网WLAN 典型组网应用
大中型园区网定位为大中型企业总部、大型分支机构、高校、机场等场所。大型园区WLAN部署的AP数量较多。
从网络运维以及安全考虑,大中型园区网主要采用集中式(AC+FIT AP)架构来部署WLAN。根据AC的部署方式,又可分为集中式AC方案和分布式AC方案。
集中式AC 方案
集中式AC方案,是指整个网络中集中部署AC设备(一般是独立的AC设备)来控制和管理整网的AP设备。AC的部署可以采用直连(直接部署在AP和汇聚/核心交换机之间)或旁挂方式(旁挂在汇聚/核心交换机旁侧)。
大中型园区网的集中式AC组网方案如图所示:(旁挂式部署)
小型园区网WLAN 典型组网应用
小型园区网定位为中小型企业包括独立的小型园区网,也包括只在分支机构部署WLAN的场景。小型园区网WLAN部署规模小于大型园区但高于SOHO。相对于大型WLAN网络而言,小型园区网WLAN可能较少考虑网络可靠性,可能因为成本因素而不需要专门的网管设备以及认证服务器。小型园区网由于规模较小,一般采用集中式AC方案。可采用独立AC设备或者集成AC设备的部署方式,如图所示(以独立AC设备为例)。
企业分支机构WLAN 典型组网应用
企业分支机构WLAN组网应用在总部与分支均部署了WLAN网络且总部需要管理分支机构WLAN网络的场景。
企业分支机构根据AC部署方式分为大型和小型,与分支机构的网络规模大小没有严格的对应关系,如下图所示:
分布式WLAN 组网典型应用
在酒店房间、校园宿舍、医院病房等多房间的场景中,由于墙体等室内建筑物的阻隔,无线信号的衰减现象较为严重,普通的室内放装型AP和室内分布式AP无法完全满足低成本、高性能的无线覆盖需求。在这类场景下,可采用敏捷分布式WLAN组网架构部署网络满足此类需求。
分布式WLAN组网包括AC+中心AP+RRU,RRU收发无线报文,并二层透传给中心AP进行处理。中心AP通过网线连接RRU,相比于普通AP通过馈线连接天线,网线能够提供更长的部署距离,方便在离中心AP更远的位置部署RRU。
如下图所示所示,中心AP连接RRU并为RRU提供PoE供电。还可在中心AP下连接PoE交换机,PoE交换机再连接RRU,扩展中心AP下管理的RRU数目。RRU和其接入的中心AP之间需要是二层可达的组网并且必须是树型组网。
实例:某校园宿舍大楼中欲部署WLAN网络覆盖,但由于宿舍大楼中宿舍房间很多,房间之间的墙壁等障碍物很容易使无线信号严重衰减,影响WLAN信号质量。
如下图所示,AC连接中心AP,再由中心AP连接RRU并为其提供PoE供电,在每个宿舍中部署一个RRU,所有RRU和中心AP统一由AC进行集中管理,为每个宿舍提供高质量的WLAN网络覆盖。
配置与其他几种应用场景类似,请参考本文下面的实例配置,网络结构稍作调整即可。
三、有了上述基础以后,结合一个实际案例
步骤1 配置网络互通配置交换机
将接口GE0/0/1~GE0/0/5, 都加入VLAN100(AP管理VLAN,用于AC与AP之间互相通信)。
接口GE0/0/1~GE0/0/5下的配置完全一致,以配置接口GE0/0/1为例。
system-view
sysname MaLa-Switch
vlan batch 100
interface gigabitethernet 0/0/1
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100
port-isolate enable
quit
在交换机上创建VLANIF100~VLANIF103、VLANIF200和VLANIF201并配置IP地址。其中VLANIF100为AP的网关,VLANIF101为办公用户的网关,VLANIF102为开发部门员工的网关,VLANIF103为guest用户的网关;然后配置交换机接口GE0/0/6加入VLAN101~VLAN103(业务vlan)以及VLAN200,用于承载业务流量以及与交换机之间通信,接口GE0/0/24加入VLAN201, 于交换机与路由器通信。
interface vlanif 100
ip address 172.16.100.254 24
quit
interface vlanif 101
ip address 172.16.101.254 24
quit
interface vlanif 102
ip address 172.16.102.254 24
quit
interface vlanif 103
ip address 172.16.103.254 24
quit
int vlanif 200
ip add 10.10.200.2 24
quit
int vlanif 201
ip add 10.10.201.2 24
quit
interface gigabitethernet 0/0/6
port link-type trunk
port trunk allow-pass vlan 101 to 103 200
quit
interface gigabitethernet 0/0/24
port link-type trunk
port trunk allow-pass vlan 201
quit
AC配置:将AC连接交换机的接口GE0/0/6加入VLAN101~VLAN103和VLAN200。
system-view
[AC6605] sysname AC
[AC] vlan batch 101 to 103 200
[AC] interface vlanif 200
[AC-Vlanif200] ip address 10.10.200.1 24
[AC-Vlanif200] quit
[AC] interface gigabitethernet 0/0/1
[AC-GigabitEthernet0/0/1] port link-type trunk
[AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 101 to 103 200
[AC-GigabitEthernet0/0/1] quit
出口路由器配置:配置到Switch的路由。
ip route-static 172.16.100.0 24 10.10.201.2
ip route-static 172.16.101.0 24 10.10.201.2
ip route-static 172.16.102.0 24 10.10.201.2
ip route-static 172.16.103.0 24 10.10.201.2
配置Switch的缺省路由,下一跳为Router的VLANIF201。
[Switch_B] ip route-static 0.0.0.0 0.0.0.0 10.10.201.1
配置AC到AP的路由,下一跳为Switch的VLANIF200。
[AC] ip route-static 172.16.100.0 24 10.10.200.2
步骤2 配置DHCP服务,为AP和终端机分配IP地址
配置Switch作为DHCP服务器给AP和终端分配IP地址。AP和AC间为三层网络时需要通过配置Option 43向AP通告AC的IP地址。
dhcp enable
ip pool ap
network 172.16.100.0 mask 24
gateway-list 172.16.100.254
option 43 sub-option 3 ascii 10.10.200.1
quit
ip pool BanGong
network 172.16.101.0 mask 24
gateway-list 172.16.101.254
Dns-list 114.114.114.114
quit
ip pool KaiFa
network 172.16.102.0 mask 24
gateway-list 172.16.102.254
Dns-list 114.114.114.114
quit
ip pool Guest
network 172.16.103.0 mask 24
gateway-list 172.16.103.254
Dns-list 114.114.114.114
quit
步骤3 配置VLAN pool,用于承载无线的业务VLAN
新建3个VLAN pool,BanGong、KaiFa、Guest,将VLAN101和VLAN102、103分别加入对应的vlan pool
说明:本例VLAN pool中的概念为:vlan用于在AC上隔离各终端,如果终端数量比较多,例如超出了255个,一个vlan pool中就可包含2个或者多个vlan,每个vlan对应一个网段,通过隔离用户的广播域,减轻对无线网络性能的影响。VLAN分配的算法配置为“hash”。分配算法缺省情况下为“hash”,如果之前没有修改其缺省配置,可以不用执行命令assignment hash。
本例VLAN pool仅以加入VLAN101和VLAN102两个VLAN为例,实际可以配置多个VLAN加入VLANpool,配置方法与VLAN101和VLAN102一致,也需要在Switch_B上创建对应的VLANIF接口、配置IP地址,在Router上配置IP地址池。
vlan pool mala-BanGong
vlan 101
assignment hash
quit
vlan pool mala-KaiFa
vlan 102
assignment hash
quit
vlan pool mala-Guest
vlan 103
assignment hash
quit
步骤4 配置AP上线
创建3个AP组“XX-BanGong”和“XX-KaiFa”、“XX-Guest”。
[AC] wlan
[AC-wlan-view] ap-group name XX-BanGong
[AC-wlan-ap-group-BanGong] quit
[AC-wlan-view] ap-group name XX-KaiFa
[AC-wlan-ap-group-KaiFa] quit
[AC-wlan-view] ap-group name XX-Guest
[AC-wlan-ap-group-Guest] quit
创建域管理模板,在域管理模板下配置AC的国家码并在AP组下引用域管理模板。
[AC-wlan-view] regulatory-domain-profile name domain1
[AC-wlan-regulatory-domain-prof-domain1] country-code cn
[AC-wlan-regulatory-domain-prof-domain1] quit
[AC-wlan-view] ap-group name XX-BanGong
[AC-wlan-ap-group-XX-bangong] regulatory-domain-profile domain1
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continue?[Y/N]:y
[AC-wlan-ap-group-XX-banggong] quit
[AC-wlan-view] ap-group name MaLa-KaiFa
[AC-wlan-ap-group-XX-kaifa] regulatory-domain-profile domain1
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continue?[Y/N]:y
[AC-wlan-ap-group-Mala-kaifa] quit
[AC-wlan-view] ap-group name XX-Guest
[AC-wlan-ap-group-XX-Guest] regulatory-domain-profile domain1
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continue?[Y/N]:y
[AC-wlan-ap-group-XX-Guest] quit
配置AC的源接口。
[AC] capwap source interface vlanif 200 **此条命令非常重要!!**
在AC上离线导入AP。将部署在前台大厅的AP都加入到AP组“XX-guest”,部署在办公
区域的AP都加入到AP组“XX-BanGong”,部署在2层办公区域的加入”XX-kaifa“并且根据AP的部署位置为AP配置名称,便于从名称上就能够了解AP的部署位置。例如MAC地址为60de-4474-9640的AP部署在办公区域2楼的1号房间,命名此AP为“Bangong-AP1”。
说明
ap auth-mode命令缺省情况下为MAC认证,如果之前没有修改其缺省配置,可以不用执行ap authmode
mac-auth。
举例中使用的AP为AP6010DN-AGN,具有射频0和射频1两个射频。AP6010DN-AGN的射频0为
2.4GHz射频,射频1为5GHz射频。
[AC] wlan
[AC-wlan-view] ap auth-mode mac-auth
[AC-wlan-view] ap-id 1 ap-mac 60de-4476-e360
[AC-wlan-ap-0] ap-name ap1
[AC-wlan-ap-0] ap-group XX-bangong
Warning: This operation may cause AP reset. If the country code changes, it will clear channel,power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y
[AC-wlan-ap-0] quit
[AC-wlan-view] ap-id 2 ap-mac 60de-4476-e380
[AC-wlan-ap-1] ap-name ap2
[AC-wlan-ap-1] ap-group XX-bangong
Warning: This operation may cause AP reset. If the country code changes, it will clear channel,power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y
[AC-wlan-ap-1] quit
[AC-wlan-view] ap-id 3 ap-mac 60de-4474-9640
[AC-wlan-ap-2] ap-name ap3
[AC-wlan-ap-2] ap-group XX-kaifa
Warning: This operation may cause AP reset. If the country code changes, it will clear channel,power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y
[AC-wlan-ap-2] quit
[AC-wlan-view] ap-id 4 ap-mac 60de-4474-9660
[AC-wlan-ap-3] ap-name mala-kaifa
[AC-wlan-ap-3] ap-group employee
Warning: This operation may cause AP reset. If the country code changes, it will clear channel,power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y
[AC-wlan-ap-3] quit
[AC-wlan-view] ap-id 5 ap-mac 60de-4474-9660
[AC-wlan-ap-3] ap-name ap5
[AC-wlan-ap-3] ap-group XX-guest
Warning: This operation may cause AP reset. If the country code changes, it will clear channel,power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y
[AC-wlan-ap-3] quit
将AP上电后,当执行命令display ap all查看到AP的“State”字段为“nor”时,表示
AP正常上线。
[AC-wlan-view] display ap all
Total AP information:
nor : normal [4]
----------------------------------------------------------------------------------------------
ID MAC Name Group IP Type State STA Uptime
----------------------------------------------------------------------------------------------
0 60de-4474-9640 office2-1 employee 10.23.100.253 AP6010DN-AGN nor 0 2H:30M:1S
1 60de-4474-9660 office2-2 employee 10.23.100.251 AP6010DN-AGN nor 0 2H:35M:2S
2 60de-4476-e360 lobby-1 guest 10.23.100.254 AP6010DN-AGN nor 0 2H:29M:29S
3 60de-4476-e380 lobby-2 guest 10.23.100.252 AP6010DN-AGN nor 0 2H:34M:11S
----------------------------------------------------------------------------------------------
Total: 4
骤5 配置WLAN业务参数
创建名为“XX-bangong”和“XX-kaifa”、mala-guest的安全模板,并配置安全策略。
说明:举例中以配置WPA2+PSK+AES的安全策略为例,密码分别为“XXXX”、“XXXX”,实际配置中请根据实际情况,配置符合实际要求的安全策略。
[AC-wlan-view] security-profile name mala-bangong
[AC-wlan-sec-prof-guest] security wpa2 psk pass-phrase XXX aes
[AC-wlan-sec-prof-guest] quit
[AC-wlan-view] security-profile name mala-kaifa
[AC-wlan-sec-prof-employee] security wpa2 psk pass-phrase XXX aes
[AC-wlan-sec-prof-employee] quit
[AC-wlan-view] security-profile name mala-guest
[AC-wlan-sec-prof-employee] security wpa2 psk pass-phrase XXX aes
[AC-wlan-sec-prof-employee] quit
创建名为“XX-bangong”和“XX-kaifa”XX-guest的SSID模板,并分别配置SSID名称 。
[AC-wlan-view] ssid-profile name XX-bangong
[AC-wlan-ssid-prof-guest] ssid XX-BanGong
Warning: This action may cause service interruption. Continue?[Y/N]y
[AC-wlan-ssid-prof-guest] quit
[AC-wlan-view] ssid-profile nameXX-kaifa
[AC-wlan-ssid-prof-employee] ssid XX-kaifa
Warning: This action may cause service interruption. Continue?[Y/N]y
[AC-wlan-ssid-prof-employee] quit
[AC-wlan-view] ssid-profile name XX-guest
[AC-wlan-ssid-prof-employee] ssid XX-guest
Warning: This action may cause service interruption. Continue?[Y/N]y
[AC-wlan-ssid-prof-employee] quit
创建名为“XX-bangong”和“XX-kaifa”、XX-guest的VAP模板,配置业务数据转发模式、业务VLAN,并且引用安全模板和SSID模板。
[AC-wlan-view] vap-profile name XX-bangong
[AC-wlan-vap-prof-guest] forward-mode tunnel
Warning: This action may cause service interruption. Continue?[Y/N]y
[AC-wlan-vap-prof-guest] service-vlan vlan-pool XX-bangong
[AC-wlan-vap-prof-guest] security-profile XX-bangong
[AC-wlan-vap-prof-guest] ssid-profile XX-bangong
[AC-wlan-vap-prof-guest] quit
其余类似,不再重复。
配置AP组引用VAP模板,如果AP支持双频,AP上射频0和射频1都使用VAP模板的配置。
[AC-wlan-view] ap-group name XX-bangong
[AC-wlan-ap-group-guest] vap-profile XX-bangong wlan 1 radio 0
[AC-wlan-ap-group-guest] vap-profileXX-bangong 1 radio 1
[AC-wlan-ap-group-guest] quit
其余类似,不再重复。
步骤6 验证配置结果
WLAN业务配置会自动下发给AP,配置完成后,通过执行命令display vap ssid guest和
display vap ssid employee查看如下信息,当“Status”项显示为“ON”时,表示AP对
应的射频上的VAP已创建成功。
[AC-wlan-view] display vap ssid guest
WID : WLAN ID
--------------------------------------------------------------------------------
AP ID AP name RfID WID BSSID Status Auth type STA SSID
--------------------------------------------------------------------------------
0 lobby-1 0 1 60DE-4476-E360 ON WPA2-PSK 1 guest
0 lobby-1 1 1 60DE-4476-E370 ON WPA2-PSK 0 guest
1 lobby-2 0 1 60DE-4476-E380 ON WPA2-PSK 1 guest
1 lobby-2 1 1 60DE-4476-E390 ON WPA2-PSK 0 guest
-------------------------------------------------------------------------------
Total: 4
[AC-wlan-view] display vap ssid employee
WID : WLAN ID
--------------------------------------------------------------------------------
AP ID AP name RfID WID BSSID Status Auth type STA SSID
--------------------------------------------------------------------------------
2 office2-1 0 1 60DE-4474-9640 ON WPA2-PSK 0 employee
2 office2-1 1 1 60DE-4474-9650 ON WPA2-PSK 1 employee
3 office2-2 0 1 60DE-4474-9660 ON WPA2-PSK 0 employee
3 office2-2 1 1 60DE-4474-9670 ON WPA2-PSK 1 employee
-------------------------------------------------------------------------------
Total: 4
终端用户搜索到名为“XX-BanGong”和“XX-kaifa”、"XX-guest"的无线网络,分别输入密码“XXXX”和“XXXX”并正常关联后,在AC上执行display station ssid guest和display station ssid XXXX(ssid名称)命令,可以查看到用户已经分别接入到无线网络“guest”和“employee”中。
[AC-wlan-view] display station ssid guest
Rf/WLAN: Radio ID/WLAN ID
Rx/Tx: link receive rate/link transmit rate(Mbps)
------------------------------------------------------------------------------
STA MAC AP ID Ap name Rf/WLAN Band Type Rx/Tx RSSI VLAN IP address
------------------------------------------------------------------------------
581f-28fc-7ead 0 lobby-1 0/1 2.4G 11n 2/4 -53 101 10.23.101.254
------------------------------------------------------------------------------
Total: 1 2.4G: 1 5G: 0
[AC-wlan-view] display station ssid employee
Rf/WLAN: Radio ID/WLAN ID
Rx/Tx: link receive rate/link transmit rate(Mbps)
------------------------------------------------------------------------------
STA MAC AP ID Ap name Rf/WLAN Band Type Rx/Tx RSSI VLAN IP address
------------------------------------------------------------------------------
e019-1dc7-1e08 2 office2-1 1/1 5G 11n 26/51 -61 102 10.23.103.254
------------------------------------------------------------------------------
Total: 1 2.4G: 0 5G: 1
四、总结
当然,无线里面还涉及很多概念性的知识,例如:无线帧结构、CAPWAP的原理、客户端主/被动扫描、AP上线注册过程等等技术原理,华为的官方文档里面有很详细的介绍,在此不再赘述。本文图片和大部分文字也均摘抄自华为厂商文档:AC6605&AC6005&AC6003&ACU2V200R006(C10&C20) 配置指南(CLI),如有侵权,请联系作者,及时删除。
整理者:路路 Email:[email protected] 2016年8月