WLAN无线局域网(HCIA)
一、WLAN产生背景
二、无线组网架构(胖/瘦AP)、capwap隧道、两种转发模式
1、胖AP:
瘦AP:
云AP:
CAPWAP隧道(AC和AP)两个作用:
两种转发:
WLAN园区网中:
AP和AC间的组网方式:
1、二层组网:
2、三层组网:
AC连接方式:
1、直连式:
2、旁挂式:
CWPWAP协议:
三、无线组网基本概念:BSS、SSID、BSSID
BSS全向天线:
BSS:
BSSID:
SSID:
四、下一代园区网络
1、智能园区(中小型园区网络)
2、智能园区(大中型园区网络)
五、WLAN工作流程
1、AP上线:
(1)、AP获取IP地址1)、静态方式
(2)、AP发现AC并建立CAPWAP隧道
(3)、AP接入控制:
(4)、AP版本升级:
(5)、CAPWAP隧道维护:
2、WLAN业务配置下发:
(1)、配置基本射频参数
(2)、创建射频模板
(3)、AP或AP组
3、STA用户接入:
STA接入六阶段:
4、WLAN业务数据转发:
六、WLAN的配置实现
WLAN的配置实现:
第一阶段,DHCP:
第二阶段,AC:
学习目标:
1、WLAN产生背景
2、无线组网架构(胖/瘦AP)、capwap隧道、两种转发模式
3、无线组网基本概念:BSS、SSID、BSSID
4、下一代园区网络
5、WLAN工作流程
6、WLAN的配置实现
一、WLAN产生背景
WLAN产生背景:
有线电缆或光纤传输介质的有线局域网应用广泛,有线介质铺设成本比较高,位置固定、移动性差,随着对网络便携性和移动性的要求,传统有线无法满足需求,WLAN(Wireless Local Area Network)无线局域网技术产生。
WLAN称为一种经济、高效的网络接入方式。
WLAN是通过无线技术构建的无线局域网(无线电波、激光、红外线等无线信号来代替有线局域网)
无线AP功能上是类似Hub类型设备,无线网络安全风险大一些(部署无线时无安全不无线,对接入无线的终端做认证)。
WLAN和Wi-Fi(是约等于的概念)
WLAN:是计算机网络和无线通信技术(Wi-Fi)相结合的产物,是有线网络的无线化延伸。
Wi-Fi:
1、是一种基于IEEE 802.11标准的无线局域网技术(之前有li-fi利用家里电灯传输)。
2、日常Wi-Fi就是802.11的同义词。
3、wi-fi是wi-fi联盟制造商的商标,并作为wi-fi产品的品牌认证。
4、wi-fi联盟成立于1999年。
企业面临问题,像部署wifi5这种无线,交换机得换(因为旧交换机端口带宽跟不上,不适配)。
像大学无线AP可能几百上千台(AP发无线射频,AC没有wifi覆盖功能)。
每个用户有1G的带宽,就能完美体验VR/AR(目前成本很高,只能在特点的场景下获得体验)。
无线在TCP/IP中属于物理层数据链路层技术。
二、无线组网架构(胖/瘦AP)、capwap隧道、两种转发模式
无线组网架构(胖/瘦AP):
1、胖AP:
可以理解家用无线路由器,可以直接把802.11协议上做802.3或者ethernet2上做帧格式转换,让数据帧通过有线网络访问外网,胖AP有独立部署、配置的功能(适用家庭,多设备企业部署麻烦)。
瘦AP:
真正企业网还是采用瘦AP无线架构,通过部署无线控制器AC来统一管理AP。
云AP:
(华为公有云上部署AC,统一管理企业的瘦AP,企业不用买物理AC,可以做虚拟化,NFV网络功能虚拟化x86架构,运行一台功能网元)
WPAI(中国推出国际标准):AP需要使用证书,防止伪造,终端用户也需要申请数字证书,安全性好,成本高。
CAPWAP隧道(AC和AP)两个作用:
1、管理AP。
2、用户数据802.11数据帧通过CAPWAP隧道送给AC,AC收到转802.3或ethernet2传出去。
两种转发:
1、直接转发:AC和AP的CAPWAP隧道只负责管理,不需要负责数据封装,用户802.11在AP直接转换ethernet数据帧结构,通过有线直接去外网,用户数据不经过AC(AC不做用户数据转发)。
2、隧道模式:802.11的终端设备,用户数据通过CAPWAP隧道到AC,AC集中转发(AC把802.11帧进行ethernet帧转换)。
AC内置IPS功能实现安全检测、无线网络互访控制(隧道模式才支持)、
家庭胖AP:
企业胖AP(支持胖/瘦/云AP转换):
AP可以实现即插即用
WDS(蜂窝组网):SW2-----AP1-----SW1-----AP2----SW3两个AP桥接,2.4G给内网用,两台AP使用5G桥接(适合深林景区、公园空旷区域进行wifi全覆盖组网,网速体验较慢,适合景区监控)。
WLAN园区网中:
PoE交换机(以太网供电)
华为PoE++(标准)支持供电距离200米。
AP和AC间的组网方式:
AC能跨广域网对分支机构的AP做统一管理,AC可以做Qos。
1、二层组网:
AC和AP的CWPWAP IP地址在同一网段。
2、三层组网:
AC和AP的CWPWAP IP地址在不同网段。
AC连接方式:
1、直连式:
2、旁挂式:
CWPWAP协议:
前身是LAPWAP(思科的轻量型无线配置协议)
无线通信系统:
CAPWAP隧道是通过有线建立的。
无线电磁波:
无线电磁波频谱也是一种资源,分配出去的就不能再分了(相同频谱接近就会干扰)。
无线信道:不能随意使用信道(传输数据的通道),随意使用会产生干扰。
相邻AP不建议使用相邻信道,完全不重叠难做到,只能尽量不重叠,无线项目网规和网优(规划和优化,华为可以借助一些工具出网规报告,网优需要细节的调,需要对无线了解深一些)。
重叠信道:会产生干扰问题
1和2元部分信道共享重叠,
不重叠信道:
1、6、11、14
AP设计有10%重叠空间,让终端客户端经过算法实现切换。
多信道绑定提高带宽
5G频率高波长短,穿墙能力弱,覆盖范围小些。
2.4G频率低,波长长,穿墙能力强,覆盖范围大。
AP双射频(2.4G/5G,可以5G桥接,2.4G用户接入)/三射频(接入用户数更多,有的设备可调2.4和5G)
三、无线组网基本概念:BSS、SSID、BSSID
无线组网基本概念:BSS、SSID、BSSID
BSS全向天线:
覆盖的是一个三维球型空间。
定向天线:AP与AP桥接,信号打向一个特定地点,室外部署,覆盖的是柱型的空间。
智能天线:智能化。
BSS:
1、一个AP所能覆盖的范围。
2、在一个BSS的服务区域内,STA可以相互通信(配同一个网段的IP,网络上理解为Hub)。
BSSID:
1、无线网络的身份标识,用AP的MAC地址标识。
终端要发现AP就要通过AP的一个身份标识去找AP,这个身份标识就是BSSID,每个BSS(区分不同AP)都需要有一个唯一的BSSID。
SSID:
1、无线网络的一个身份标识,用字符标识。
2、方便用户辨识不同的无线网络,SSID代替BSSID。
标识无线网络,用来区分不同的无线网络(笔记本连wifi显示的wifi名就是SSID)
总结BSS、BSSID、SSID:BSS就是代表一个AP覆盖的范围,而BSSID是这个AP的身份标识,SSID是AP映射出无线网络的身份标识(打开电脑wifi连接的wifi名称)。
现在一个AP可以创建多个虚拟的AP(VAP【像vlan一样】,每个VAP都有自己的BSSID,BSSID可以一致,SSID不能)
简单理解就是:
一个空间有2个SSID,有SSID1、SSID2(就像VLAN一样,一个AP划分多个无线局域网),SSID1是mac1、SSID2是mac1,用户连接的SSID1,用户感知是对应的SSID1,对于AP来说它知道用户连接的SSID对应的哪个BSSID,BSSID的mac地址一样不影响(类似于不同vlan相同mac不影响一样)。
VAP:逻辑划分,同一个空间部署BSSID,就是虚拟网络,物理实体上虚拟出多个AP,每一个虚拟出的AP就是一个VAP,每个VAP提供和物理AP一样的功能。
ESS(扩展服务集):连续的AP对外有相同的SSID,从一个BSS移动到另一个BSS不能感知SSID变化,通过ESS来实现。
不同的AP部署相同SSID(认为就是同一个局域网中),BSSID的AMC不一样,在漫游的过程中用户感知不到BSSID的变化,但是切换了SSID,这种是二层漫游,会有一定的丢包。
胖AP组网:
敏分AP:配套中心AP和敏分AP,就像天线一样,中心AP不需要有射频功能,通过敏分天线拉到每个房间里,在房间里发布相同的SSID,同一个中心AP漫游不会有太大问题。
四、下一代园区网络
下一代园区网络:
1、智能园区(中小型园区网络)
AC云管理平台三大控制器:AC-Wan、AC-Campus、AC-DCN
Imaster NCE :云端控制器,配置好了,设备接上去可以零配置上线。
SDN控制器软件定义网络
目前SDN软件定义网络只能管理厂家自己的设备,不止于卖产品,卖解决方案。
2、智能园区(大中型园区网络)
五、WLAN工作流程
WLAN工作流程:
1、AP上线:
AC的DHCP给AP分配地址,option中告知AC的IP(要知道AC的IP后期建立CAPWAP隧道)
(1)、AP获取IP地址
1)、静态方式
2)、DHCP方式:DHCP服务器如果和AC不在同一个广播域做DHCP中继。
(2)、AP发现AC并建立CAPWAP隧道
数据隧道优势:流量经过到AC是加密的出去的。
(3)、AP接入控制:
通常AC配置AP的产品序列号做认证
(4)、AP版本升级:
AC会把软件包下载到AP重启上线
(5)、CAPWAP隧道维护:
发保活报文,keepalive是数据隧道保活报文,控制隧道通过Echo Request来保活。
确保AP上线,AC需要配置:
2、WLAN业务配置下发:
AC讲业务配置下发到AP。
(1)、配置基本射频参数
(2)、创建射频模板
(3)、AP或AP组
配置VAP:
使用直接转发还是隧道转发是创建VAP模板的时候进行的。
3、STA用户接入:
用户搜索AP发射的SSID进行连接、上线、接入网络。
STA接入六阶段:
(1)、扫描阶段:通过探测请求帧,两种方式:携带有指定SSID的主动扫描、携带空的SSID的主动扫描。
(2)、链路认证阶段:
WPAI无线标准(中国国际唯一定义的国际标准)
Wifi6是华为定义的(3G、4G华为做了很多)。
(3)、关联阶段
(4)、接入认证阶段
PSK域共享秘钥
802.1X:用户名密码认证
802.1X(企业认证)扩展认证协议,一系列的认证套件(EAP支持50多种认证)。
家用路由器是PSK方式认证。
(5)、DHCP:分配地址个无线客户端
(6)、用户认证
potal认证(酒店、公司访客),通过跳转浏览器触发认证(手机号、二维码),学校网页就是potal。
Windows7和X都能开802.1X认证。
4、WLAN业务数据转发:
WLAN网络开始转发业务数据。
隧道转发是,AP的流量转发到AC,在这个CAPWAP隧道中帧格式是802.11,到AC再转ethernet2帧格式发出去,好处是能AC上边对数据进行集中管理(过滤、安全检测)。
直接转发:AC和AP之间的CAPWAP隧道只能用来管理AP,AP收到客户端的802.11帧直接转ethernet2帧发出去。
六、WLAN的配置实现
WLAN的配置实现:
第一阶段,DHCP:
1阶段(DHCP)、AP的DHCP discover打上vlan10的tag到了核心,核心收到通过DHCP中继中继到了AC192.168.100.254。(AP和AC现在是三层组网)option 43 sub-option 3 ascii 192.168.100.254 告诉AP,AC的地址,方便后续的capwap隧道。
第二阶段,AC:
1、创建业务vlan
[ac]vlan batch 101 102
[ac]vlan pool sta-pool
[ac-vlan-pool-sta-pool]vlan 101 102
[ac-vlan-pool-sta-pool]assignment hash
2、创建WALN,AP组
[ac]wlan
[ac-wlan-view]ap-group name ap-group
3、创建域管理模板
[ac-wlan-view]regulatory-domain-profile name default
[ac-wlan-regulate-domain-default]country-code CN
4、AP组下套用域管理模板,使用中国射频来工作
[ac-wlan-view]ap-group name ap-group
[ac-wlan-ap-group-ap-group]regulatory-domain-profile default
5、AC管理接口,AC向AP建立capwap隧道
[ac]capwap source interface Vlanif 100 指定建立CAPWAP隧道地址
6、AP认证
[ac]wlan
[ac-wlan-view]ap auth-mode mac-auth
[ac-wlan-view]ap-id 1 ap-mac 00e0-fcc3-2bd0 绑定AP的MAC地址
[ac-wlan-ap-1]quit
[ac-wlan-view]ap-id 2 ap-mac 00e0-fcdf-6460
ap关联组
[ac-wlan-view]ap-id 1
[ac-wlan-ap-1]ap-group ap-group
[ac]display ap all
7、wlan安全模板
[ac-wlan-view]security-profile name wlan-net
[ac-wlan-sec-prof-wlan-net]security wpa-wpa2 psk pass-phrase a12345678 aes
[ac-wlan-view]ssid-profile name IT
[ac-wlan-ssid-prof-IT]ssid IT
转发方式(默认直接转发):隧道转发
[ac-wlan-view]vap-profile name IT
[ac-wlan-vap-prof-IT]forward-mode tunnel (隧道转发后续核心交换只需要放行管理vlan)
[ac-wlan-vap-prof-IT]forward-mode direct-forward(直接转发后续管理和业务vlan都需要放行)
服务vlan:地址池分配vlan-id
[ac-wlan-vap-prof-IT]service-vlan vlan-pool sta-pool
[ac-wlan-vap-prof-IT]security-profile wlan-net
[ac-wlan-vap-prof-IT]ssid-profile IT
[ac-wlan-view]ap-group name ap-group
[ac-wlan-ap-group-ap-group]vap-profile IT wlan 1 radio 0
[ac-wlan-ap-group-ap-group]vap-profile IT wlan 1 radio 1