企业私有网络构建与运维

局域网络技术

TCP/IP参考模型

OSI模型从下到上分为7层：物理层、数据链路层、网络层、创输层、会话层、表示层、应用层
为了更好地促进互联网络的研究和发展，国际标准化组织ISO制定了网络互连的七层框架的一个参考模型，称为开放系统互连参考模型，简称OSI/RM(Open System Internetwork Reference Model)。OSI参考模型是一个具有7层协议结构的开放系统互连模型，是由国际标准化组织在20世纪80年代早期制定的一套普遍适用的规范集合，使全球范围的计算机可进行开放式通信。

TCP/IP是一组用于实现网络互连的通信协议。Internet网络体系结构以TCP/IP为核心。基于TCP/IP的参考模型将协议分成四个层次，它们分别是：网络访问层、网际互联层（主机到主机）、传输层、和应用层。

1. 应用层
   应用层对应于OSI参考模型的高层，为用户提供所需要的各种服务，例如：FTP、Telnet、DNS、SMTP等.
2. 传输层
   传输层对应于OSI参考模型的传输层，为应用层实体提供端到端的通信功能，保证了数据包的顺序传送及数据的完整性。该层定义了两个主要的协议：传输控制协议（TCP）和用户数据报协议（UDP).
   TCP协议提供的是一种可靠的、通过“三次握手”来连接的数据传输服务；而UDP协议提供的则是不保证可靠的（并不是不可靠）、无连接的数据传输服务.
3. 网际互联层
   网际互联层对应于OSI参考模型的网络层，主要解决主机到主机的通信问题。它所包含的协议设计数据包在整个网络上的逻辑传输。注重重新赋予主机一个IP地址来完成对主机的寻址，它还负责数据包在多种网络中的路由。该层有三个主要协议：网际协议（IP）、互联网组管理协议（IGMP）和互联网控制报文协议（ICMP）。
   IP协议是网际互联层最重要的协议，它提供的是一个可靠、无连接的数据报传递服务。
4. 网络接入层（即主机-网络层）
   网络接入层与OSI参考模型中的物理层和数据链路层相对应。它负责监视数据在主机和网络之间的交换。事实上，TCP/IP本身并未定义该层的协议，而由参与互连的各网络使用自己的物理层和数据链路层协议，然后与TCP/IP的网络接入层进行连接。地址解析协议（ARP）工作在此层，即OSI参考模型的数据链路层。
   

IP地址

1、概述

IP地址用于唯标识一台网络设备，由32个二进制数字被分为4个8组成，又称为4字节。可以分为网络地址和主机地址两部分。网络地址唯一地标识了一个网段，或者若干个网段的聚合。主机地址部分用于唯一标识同一网段内的网络设备，在网络设备拥有多个接口的情况下，则拥有标识某个特定的三层接口。

2、子网掩码的作用

子网掩码是一种用来zhiming用来指明IP地址的哪些位标识的是主机所在的子网，以及标识哪些位是主机的位掩码，作用是将主机划分网络地址和主机地址。

3、IP地址的分类

• A类地址
  网络地址第一位为8位的数组，第一字节以“0”开始，主机地址为后面3字节的24位。地址范围为：1.0.0.0～126.255.255.255.255，每个A类地址有2的24次方的A类IP地址。
• B类地址
  网络地址为前两个8位的数组，第一字节以“10”开始，主机地址为后面2字节的16位。地址范围为：128.0.0.0～191.255.255.255.255，每个A类地址有2的16次方的B类IP地址。
• C类地址
  网络地址为前3个8位的数组，第一字节以“110”开始，主机地址为后面1字节的8位。地址范围为：192.0.0.0～223.255.255.255.255，每个A类地址有2的8次方的C类IP地址。
• D类地址
  第一个为8位数组以‘1110’开始，通常作为多播地址。
• E类地址
  第一个字节在240-255之间，保留地址，用于科学研究。
  IP地址还定义了私网地址和公网地址，使用私网地址不能上网，因为公网上没有针对私网地址的路由，需要利用NAT或代理技术把私有网络转换为非私有网络来对公网进行访问。

交换机组网

交换以太网大大减少冲突域的范围，显著提升网络性能，加强了网路的安全性，目前使用的交换以太网的设备是交换机和网桥，网桥用于来南街物理介质类型相同的局域网，交换机拥有多个转发端口设备，进行数据的转发，交换机通过隔离冲突域，使得终端主机可以独占端口宽带，实现全双工通信！

交换机的主要功能

地址学习、转发/过滤、环路避免
交换机内有一张MAC（介质访问控制）地址表，表中维护了交换机端口与该端口下设备的Mac 地址的对应关系交换机根据MAC地址表进行数据的转发。而对于收到的帧，交换机有三种处理方式：直接转发，丢弃，泛洪。直接转发是数据帧可以在MAC表中可以中找得到，对应的出入端口是不一致的。如果在MAC地址中查询得到，但是出入端口是同一个端口时，该数据帧就被丢弃，泛洪是收到的MAC地址是单播的MAC地址，但在Mac 表中找不到，或者收到的目的Mac地址是组播或广播时，数据帧除了输入端口外的其他端口复制并且发送。

交换机的交换模式

• 快速转发
  收到目的MAC就开始转发，不检测错误，直接转发数据帧，延迟小
• 存储转发
  交换机收到完整的数据帧后才开始转发，交换机检测错误。发现错误就丢弃数据帧，延迟大。延迟的大小取决于数据帧的长度
• 分段过滤
  交换机接受前64B后，根据帧头信息查表转发。

ARP 及 Proxy ARP

地址解析协议（ARP）是用来将IP地址转换为正确的Mac 地址。有两种类型：

• 动态ARP
  动态ARP利用ARP广播报文，动态执行并自动进行IP地址到以太网的MAC地址解析中
• 静态ARP
  建立在IP地址和MAC地址固定的映射关系，需要手动添加

设备上有ARP高速缓存，存放IP和Mac 地址的映射表，利用ARP请求和报文刷新映射表，以便正确地把三层数据包封装成二层的数据帧，达到快速封装数据帧，正确转发数据的目的。

在进行地址转换时，有时候还要用到逆向的地址解析协议（RARP），常用于无盘工作站，这些设备知道自己的MAC地址，需要获得IP地址。
Proxy ARP为代理ARP，当ARP请求是从一台主际出发，用以解析处于同一层逻辑三层网络却不在同一物理网段上的另一台主机的硬件地址时，连接他们的具有代理ARP功能的设备就可以应答该请求，使得处于不同网段的主机之间可以通信。

虚拟局域网

VLAN（虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。

VLAN的划分方式

• 基于端口方式
  交换机的每个端口配置默认为VLAN，如果收到Untagged帧，则vlan id 的取值为PVID
• 基于MAC地址方式
  配置好Mac 地址和VLAN ID的映射关系表，如果收的Untagged帧。则根据该表添加VLAN ID
• 基于协议方式
  配置好以太网帧中协议域和VLAN ID 的映射关系，如果收的Untagged帧。则根据该表添加VLAN ID
• 基于子网方式
  根据报文中的IP信息，确定添加VLAN ID
• 基于策略方式
  安全性很高，可以基于Mac 地址+IP地址、Mac 地址+ip地址+接口、成功划分VLAN后，可以禁止用户改变IP地址或者MAC地址的目的

VLAN的端口类型

• 接入端口（Access Link）
  连接用户主机和交换机的为接入链路，它通过的帧不带Tag的以太网帧
• 干道链路（Trunk Link）
  连接交换机与交换机的链路，通过的帧一般带Tag的以太网帧，允许通过的帧不带Tag的以太网帧
• 接入端口（Access Port）
  Access端口是交换机用来连接用户主机的端口，它zhineng 接入链路，只能归属于一个VLAN，只允许一个VLAN帧通过，接受的都是Untagged帧，接收帧时，给帧加上tag标记，当接收到带tag报文时，vlan id跟默认的vlan Ida相同。则接受该报文，不相同就丢弃，发送帧时，将帧中的tag标记剥离后再发送。
• 干道端口（Trunk Port）
  允许多个vlan帧通过，如果没有tag，则标记上该端口的默认的vlan id；如果有tag，则判断该端口是否允许该vlan帧进入，则丢弃该帧。
• 混合端口（Hybrid Port）
  既可以连接交换机也可以连接用户主机，允许多个lan帧通过，接收帧时，没有tag，则标记上混合端口默认为VLAN ID，有tag判断是否允许该VLAN进入，不允许进入，则丢弃该帧。
  在发送帧时，交换机判断vlan 在本端口的属性Utag还是tag，如果是 Utag，则先玻璃帧的VLAN Tag后再发送，如果是Tag，则直接发送。

实战案例-交换机的网络构建与配置

1、架构分析
公司两个部门各使用一台交换机来连接，然后来连接到总的交换机，为了控制网络上的广播风暴，增加网路的安全性，在交换机需要添加设置VLAN
2、规划拓扑
部门1的网络为子网1：192.168.1.0/24,对应VLAN10
部门2的网络为子网2：192.168.2.0/24,对应VLAN20
部门1和部门2的计算分别通过交换机SW2，SW3接入，然后通过总交换机SW1互联

配置过程说明
SW1：需要创建vlan、配置access和trunk接口、并将相应接口加入对应vlan10、vlan20中

SW2：需要创建vlan、配置access和trunk接口、并将相应接口加入对应vlan10、vlan20中

SW3：需要创建vlan、配置access和trunk接口、并将相应接口加入对应vlan10、vlan20中

• S1配置步骤

<Huawei>system-view
Enter system view, return user view with Ctrl+Z.


[Huawei]sysname SW1

[SW1]vlan batch 10 20
Info: This operation may take a few seconds. Please wait for a moment...done.

[SW1-GigabitEthernet0/0/1]port link-type access

[SW1-GigabitEthernet0/0/1]port default vlan 10

[SW1-GigabitEthernet0/0/1]quit

[SW1]interface GigabitEthernet 0/0/2

[SW1-GigabitEthernet0/0/2]port link-type access

[SW1-GigabitEthernet0/0/2]port default vlan 20

[SW1-GigabitEthernet0/0/2]quit

[SW1]interface GigabitEthernet 0/0/3

[SW1-GigabitEthernet0/0/3]port link-type trunk

[SW1-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 20

[SW1-GigabitEthernet0/0/3]quit

[SW1]interface GigabitEthernet 0/0/4

[SW1-GigabitEthernet0/0/4]port link-type trunk

[SW1-GigabitEthernet0/0/4]port trunk allow-pass vlan 10 20

[SW1-GigabitEthernet0/0/4]quit

• S2配置步骤

<Huawei>system-view
Enter system view, return user view with Ctrl+Z.


[Huawei]sysname SW2

[SW2]vlan batch 10 20
Info: This operation may take a few seconds. Please wait for a moment...done.

[SW2-GigabitEthernet0/0/1]port link-type access

[SW2-GigabitEthernet0/0/1]port default vlan 10

[SW2-GigabitEthernet0/0/1]quit

[SW2]interface GigabitEthernet 0/0/2

[SW2-GigabitEthernet0/0/2]port link-type access

[SW2-GigabitEthernet0/0/2]port default vlan 20

[SW2-GigabitEthernet0/0/2]quit

[SW2]interface GigabitEthernet 0/0/3

[SW2-GigabitEthernet0/0/3]port link-type trunk

[SW2-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 20

[SW2-GigabitEthernet0/0/3]quit

• S3配置步骤

<Huawei>system-view
Enter system view, return user view with Ctrl+Z.


[Huawei]sysname SW3

[SW3]vlan batch 10 20
Info: This operation may take a few seconds. Please wait for a moment...done.

[SW3-GigabitEthernet0/0/1]port link-type access

[SW3-GigabitEthernet0/0/1]port default vlan 10

[SW3-GigabitEthernet0/0/1]quit

[SW3]interface GigabitEthernet 0/0/2

[SW3-GigabitEthernet0/0/2]port link-type access

[SW3-GigabitEthernet0/0/2]port default vlan 20

[SW3-GigabitEthernet0/0/2]quit

[SW3]interface GigabitEthernet 0/0/3

[SW3-GigabitEthernet0/0/3]port link-type trunk

[SW3-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 20

[SW3-GigabitEthernet0/0/3]quit

配置PC地址
PC1 192.168.1.1/24

PC2 192.168.2.2/24

PC3 192.168.1.3/24

PC4 192.168.2.4/24

PC5 192.168.1.5/24

PC6 192.168.2.6/24

网络连通性测试
PC1 ping PC3和PC5测试

PC1 ping PC2，PC4和PC6测试

PC2 ping PC1，PC3和PC5测试

PC2 ping PC4和PC6测试

路由的实现

路由与路由器

路由是指导IP报文从源发送到目的路径信息，也可以理解为通过相互连接的网络把数据包从源地点移动到目的地点的过程。

在互联网中进行路由选择或者实现路由设备称为路由器，路由器用于连接不同的网络，在不同网络中转发数据单元，是互联网的枢纽，它是基于TCP/IP的Internet的骨架。

路由的功能

路由器从端口收到报文后，去除链路层的封装，交给网络层处理。网络层先检查报文是否送给本机的，如果是，则去掉网络层的封装，送给上层协议处理；如果不是，则根据目的地址查找路由表，若找到路由，则将报文交给相对应的端口的数据链路层，封装端口对应的链路层协议后发送报文；若找不到报文，则将gaibaowen则将该报文丢弃，因此，路由的功能包括路由的建立、维护、查找。

交换转发功能

路由器的交换转发功能指数据在路由器内部传送与处理的过程，即数据从路由器的一个端口接收，再选择合适的端口转发，期间，路由做帧的解封装，并对数据包做相应的处理；根据目的网络查找路由表，决定转发端口，做新的数据链路层的封装等过程。简单来说，就是在网络之间转发分组数据的过程。

隔离广播功能

隔离广播功能用于指访问规定路由器以阻止广播的通过，并设置访问控制列表ACL对流量进行控制。

连接异种网络功能

支持不同的数据链路层协议

子网间的速率匹配功能

路由器具有多个端口，不同的端口具有不同的速率，路由器需要利用缓存和流量控制协议进行速率适配

路由表信息查看

通过dispaly ip routing-table查看路由表
https://forum.huawei.com/enterprise/zh/thread-254801.html

路由的来源

直连路由

直连路由是指路由器直连网段的路由条目，不需要特别的配置，只需要在路由的端口上配上ip即可，然后有数据链路层发现。缺点是无法发现端口所在的直连网段的路由，和跨网段的路由，直连路由的Protocol字段显示为Direct。给端口配上ip后，路由表中出现相应的路由条目。

静态路由

手工设置的路由称为静态路由，不会随未来的网络的改变而改变，优点是不占用网络和系统资源，安全；缺点是，网络故障后，不能自动更正。静态路由的Protocol字段显示为Static。

动态路由

是由动态路由协议发现的路由。静态路由的Protocol字段显示为某种动态路由协议。

特殊路由

也称为默认路由。默认路由的网络地址和掩码全部为0。可以通过静态路由配置默认路由，也可以在边界的路由器上使用动态路由协议生成默认路由，再下发给其他路由。当路由器收到一个目的地址在路由表中查找不到数据包时，会转发数据包给默认路由指向下一跳。如果不存在默认路由，则报文被丢弃，并向源端返回一个ICMP报文，报文该目的地址或网络不可达。

VLAN间的通信

通过划分VLAN隔离了广播域，增强了安全性，不同VLAN默认不可以通信，通信必须借助三层通信。VLAN间的通信问题实质就是路由问题。实现VLAN间路由可以采用普通路由，单臂路由，三层交换。

普通路由

为每一个VLAN单独分配一个路由器端口，每个物理端口对应VLAN的网关。VLAN间的通信通过路由器进行三层路由，来实现不同VLAN之间的通信。

单臂路由

它只需要一个以太网接口，通过创建子端口可以承担所有VLAN所有的网关，从而在不同VLAN间转发数据，但是当VLAN间的数据流量过大的时候，路由器与交换机之间的链路将成为网络瓶颈。

三层交换

三层交换机在功能上实现了VLAN的划分，VLAN内部的二层交换和VLAN间的路由功能，三层交换机通过路由表传输第一个数据流的后，会产生一个MAC地址与IP地址的映射表，再次有数据通过，不会通过上三层，而是直接二层转发。此外，为了保证第一次数据流通过路由表正常转发，路由表中必须有正确的路由表项，因此，必须在三层交换机上部署三层端口及路由协议，实现三层路由可达，逻辑端口VLANIF由此而产生。

网络地址转换

网络地址转换（NAT）是将IP数据包包头中的IP地址状换另一个IP地址的过程。

NAT分为两种方式：

• NO_PAT方式
  私有地址和共有地址一一对应，不转换端口
• PAT方式
  允许多个私有地址映射在同一个公有地址上。

NAT隐藏了内部网络结构，具有屏蔽内部主机的作用。实际应用中，可能需要提供给外部一个访问内部主机的途径。使用NAT可以灵活的添加内部服务器，外部网络的用户访问内部的服务器时，NAT请求报文内的目的地址转换为内部服务器的私有网络地址，内部服务器回应报文时，NAT将回应报文的源地址转换公有地址。

实战案例-路由配置的构建与配置

架构分析
在构建的局域网中，通过路由器间配置静态路由，实现PC1和PC2主机直接连通，主机网段不能与路由器直接互联网段通信

拓扑描述
路由器之间通过静态路由设置路由策略。通过配置Cloud设备，R1和R2路由器之间建立通信

R1路由器：配置指向192.168.2.0/24网络的静态路由，下一跳为R2接口地址。配置指向192.168.1.0/24网络的静态路由，下一跳为R3接口地址

R2路由器：配置指向192.168.1.0/24网络的静态路由，下一跳为R1接口地址。配置指向192.168.2.0/24网络的静态路由，下一跳为R4接口地址

R3路由器：配置指向192.168.2.0/24网络的静态路由，下一跳为R1接口地址

R4路由器：配置指向192.168.1.0/24网络的静态路由，下一跳为R2接口地址

拓扑图
路由器使用AR2220

配置cloud
将cloud设备拖入拓扑中，双击进行配置，增加UDP端口，UDP端口为Cloud设备与虚拟设备的连接端口

添加端口映射
添加端口映射，入端口编号为UDP1端口编号，出端口编号为UDP2编号，勾选“双向通道”复选框，单击下方“增加”按钮，可以在端口映射表中查看添加的端口映射关系

R1路由器配置

<Huawei>system-view
Enter system view, return user view with Ctrl+Z.

[Huawei]sysname R1

[R1]interface GigabitEthernet 0/0/0

[R1-GigabitEthernet0/0/0]ip address 12.12.12.1 30
May 13 2020 18:38:44-08:00 R1 %%01IFNET/4/LINK_STATE(l)[0]:The line protocol IP
on the interface GigabitEthernet0/0/0 has entered the UP state.


[R1-GigabitEthernet0/0/0]quit

[R1]interface GigabitEthernet 0/0/1

[R1-GigabitEthernet0/0/1]ip address 192.168.101.1 30
May 13 2020 18:40:16-08:00 R1 %%01IFNET/4/LINK_STATE(l)[1]:The line protocol IP
on the interface GigabitEthernet0/0/1 has entered the UP state.


[R1-GigabitEthernet0/0/1]quit

[R1]ip route-static 192.168.2.0 24 12.12.12.2

[R1]ip route-static 192.168.1.0 24 192.168.101.2

R2路由器配置

<Huawei>system-view
Enter system view, return user view with Ctrl+Z.

[Huawei]sysname R2

[R2]interface GigabitEthernet 0/0/0

[R2-GigabitEthernet0/0/0]ip address 12.12.12.2 30
May 13 2020 18:45:20-08:00 R2 %%01IFNET/4/LINK_STATE(l)[0]:The line protocol IP
on the interface GigabitEthernet0/0/0 has entered the UP state.


[R2-GigabitEthernet0/0/0]quit

[R2]interface GigabitEthernet 0/0/1

[R2-GigabitEthernet0/0/1]ip address 192.168.101.5 30
May 13 2020 18:45:59-08:00 R2 %%01IFNET/4/LINK_STATE(l)[1]:The line protocol IP
on the interface GigabitEthernet0/0/1 has entered the UP state.


[R2-GigabitEthernet0/0/1]quit

[R2]ip route-static 192.168.1.0 24 12.12.12.1

[R2]ip route-static 192.168.2.0 24 192.168.101.6

R3路由器配置

<Huawei>system-view
Enter system view, return user view with Ctrl+Z.

[Huawei]sysname R3

[R3]interface GigabitEthernet 0/0/0

[R3-GigabitEthernet0/0/0]ip address 192.168.101.2 30
May 13 2020 18:51:11-08:00 R3 %%01IFNET/4/LINK_STATE(l)[0]:The line protocol IP
on the interface GigabitEthernet0/0/0 has entered the UP state.


[R3-GigabitEthernet0/0/0]quit

[R3]interface GigabitEthernet 0/0/1

[R3-GigabitEthernet0/0/1]ip address 192.168.1.1 24
May 13 2020 18:51:40-08:00 R3 %%01IFNET/4/LINK_STATE(l)[1]:The line protocol IP
on the interface GigabitEthernet0/0/1 has entered the UP state.


[R3-GigabitEthernet0/0/1]quit

[R3]ip route-static 192.168.2.0 24 192.168.101.1

R4路由器配置

<Huawei>system-view
Enter system view, return user view with Ctrl+Z.

[Huawei]sysname R4

[R4]interface GigabitEthernet 0/0/0

[R4-GigabitEthernet0/0/0]ip address 192.168.101.6 30
May 13 2020 18:54:42-08:00 R4 %%01IFNET/4/LINK_STATE(l)[0]:The line protocol IP
on the interface GigabitEthernet0/0/0 has entered the UP state.


[R4-GigabitEthernet0/0/0]quit

[R4]interface GigabitEthernet 0/0/1

[R4-GigabitEthernet0/0/1]ip address 192.168.2.1 24
May 13 2020 18:55:09-08:00 R4 %%01IFNET/4/LINK_STATE(l)[1]:The line protocol IP
on the interface GigabitEthernet0/0/1 has entered the UP state.


[R4-GigabitEthernet0/0/1]quit

[R4]ip route-static 192.168.1.0 24 192.168.101.5

PC1配置IP地址
配置PC1地址为192.168.1.2/24，网关地址为192.168.1.1

PC2配置IP地址
配置PC2地址为192.168.2.2/24，网关地址为192.168.2.1

PC1连通测试
在PC1上进入命令行模式，通过PING命令对PC2 IP地址和R4路由器上行端口IP地址进行测试

PC2连通测试
在PC2上进入命令行模式，通过PING命令对PC1 IP地址和R3路由器上行端口IP地址进行测试

无线网络技术

无线网络协议标准

无线局域网（WLAN）主要采用IEEE 802.11 系列技术标准，为保持和有线网络同等级的接入速率，目前比较常用的802.11g能够提供54Mbit/s的数据传输速率，802.11n能够提供300Mbit/s的传输速率，802.11ac理论上能够提供高达1Gbit/s的传输速率。

802.11a

802.11a使用了多载波调制（OFDM）技术，采用了BPSK、QPSK、16-QAM和64-QAM调制方式，其最大数据速率为54Mbit/s，而实际的净吞吐量在20Mbit/s左右。根据不同的接收电平值，数据速率可自适应调整为48、36、24、18、12、9或者6Mbit/s。
802.11a工作在5GHz频段，它让IEEE 802.11a受到的干扰更小。然而，高载波频率也带来了一些负面效果：由于高频段信号衰耗较快，同等发射功率下，IEEE 802.11a的有效覆盖范围比IEEE 802.11b略微小一些；IEEE 802.11a的穿透力也不如IEEE 802.11b，因为它更容易被传输路径上的墙壁或其他障碍物吸收。

802.11b

802.11b有两种运作模式：点对点模式(AD-HOC Mode)和基本模式（Infrastructure Mode），采用了CCK、DBPSK和DQPSK调制方式。其最大数据速率为11Mbit/s，根据不同的接收电平值，数据速率可自适应调整为5.5、1或者1Mbit/s。
802.11b工作在2.4GHz频段，相对于5G，其信号具有较强的传输距离，在室外为300m，在办公环境中最远为100m。

802.11g

IEEE 802.11工作组近年来开始定义新的物理层标准IEEE 802.11g。与以前的IEEE 802.11协议标准相比，IEEE 802.11g草案有以下两个特点：在2．4GHz频段使用正交频分复用（OFDM）调制技术，使数据传输速率提高到20Mbit/s以上；能够与IEEE 802.11b的WiFi系统互联互通，可共存于同一AP的网络里，从而保障了后向兼容性。这样原有的WLAN系统可以平滑地向高速WLAN过渡，延长了IEEE 802.11b产品的使用寿命，降低了用户的投资。2003年7月IEEE 802.11工作组批准了IEEE 802.11g草案，该标准成为人们关注的新焦点。

802.11n

802.11n是在802.11g和802.11a之上发展起来的一项技术，最大的特点是速率提升，理论速率最高可达600Mbps（目前业界主流为300Mbps）。802.11n可工作在2.4GHz和5GHz两个频段，可向后兼容IEEE 802.11a/b/g。

802.11ac

802.11ac是802.11n的继承者。它采用并扩展了源自802.11n的空中接口（Air Interface）概念，包括更宽的RF带宽（提升至160MHz）、更多的MIMO空间流（Spatial Streams）（增加到8）、多用户的MIMO，以及更高阶的调制（Modulation）（达到 256QAM）。

无线网络产品

无线控制器

用于集中管理无线AP，它是无线网络的核心设备。它对AP管理包括发配置，修改相关配置参数，射频只能管理，接入安全控制。可以管理多个AP的数量，通常根据管理AP的数量，包转发率，吞吐量等指标的差异，厂商提供多种型号来给用户选择。

无线AP

无线AP（接入点）是WLAN网络中重要组成部分，无线终端可以通过AP进行终端间的数据传输，也可以通过AP的WAN端口与有线的网络互通。

• 放装型AP
  是WLAN市场上通用性最强的产品，其主要特点是接入带宽高，接入用户数量大，是典型的高密度场景部署产品，适用于建筑结构简单，无特殊阻挡的物品，用户相对集中室内的场合，以及容量相对较大的区域。
• 墙面型AP
  是胖瘦一体化迷你型无线接入点，提供少量用户在较小区域接入产品。利用原有的有线网络进行无线扩容，满足增加无线覆盖的需求，同时确保有线的正常使用。
• 智分型AP
  一般应用在小开间，高密度，多隔断的场景中，能够充分满足超高性能和超高并发的需求。
• 室外AP
  一般采用全密闭防水，防尘，阻燃外壳设计，适合在极端的室外环境中使用。他采用抱杆式安装，设备包括AP主机，馈线，天线，防雷器等，部署在楼顶或楼宇中间。

AP供电产品

• IEEE 802.3af
  提供最大功率为13W，适用于网络电话、室内无线AP等设备
• IEEE 802.3at
  最大功率为26W，适用于室外的无线AP，视频监控系统等设备

AP供电方式分为：

• PoE供电
  是通过以太网网络对终端进行集中的供电，AP不需要考虑其他室内电源系统布线问题，在接入网络的同时就可以实现对设备的供电，而一般有PoE交换机负责AP的数据传输和供电。PoE交换机是一种内置PoE供电模块的以太网交换机，他的优点在于节省电源布线成本，方便同一管理。PoE供电距离100m内。
• 本地供电
  本地供电是通过AP适配器为AP独立供电，这种供电方式不方便取电，需要充分考虑强电系统的布线和供电。
• PoE供电
  通过PoE适配器负责AP的数据传输和供电。这种供电方式不需要取电，其稳定性不如PoE交换机，适用于部署少量AP施工情况。

AP天线类型

全向天线

全向天线水平方向上表现为360度都均衡辐射，也就是无方向性，在垂直方向上表现有一定宽度的波束，一般情况下波瓣越小，增益越大。

定向天线

水平方向上表现为一定角度范围辐射，也就是有方向性。它tong 全向天线一样，波瓣越小，增益越大。一般应用于通信距离远，覆盖范围小，木苗密度大，频率利用率高的环境。

室内吸顶天线

室内吸顶天线尺寸很小，属于低增益天线。由于其是在天线带宽理论的基础上，借助计算机的辅助设计，以及使用网络分析仪进行调试，因此能够很好的满足在非常宽的工作频带内驻波比要求。但在室内，由于建筑物材料固有的屏蔽作用，增加了无线信号的穿透损耗影响了网络信号接收和通话质量。

室外全向天线

一般应用于郊县大区制的站型，覆盖范围大。

无线网络AP的组网方式

FAT AP (胖AP)架构

这种架构不需要专门的设备集中控制就可以完成无线用户的接入、业务数据的加密和业务数据的转发等功能，因此又称为自治式网络架构。

适用范围：家庭

特点：AP 独立工作，需要单独配置，功能较为单一，成本低。

缺点:随着WLAN覆盖面积增大，接入用户增多，需要部署的FAT AP数量也会增多，但FAT AP

是独立工作的，缺少统一的控制设备，因此管理维护这些FAT AP就十分麻烦。

AC+FIT AP (瘦AP)架构

这种架构中，AC负责WLAN的接入控制、转发和统计、AP 的配置监控、漫游管理、AP的网管

代理、安全控制; FIT AP 负责802.11报文的加解密、802.11的物理层功能、接受AC的管理等简单功能。

适用范围:大中型企业

无线网络的相关术语

服务集标语（SSID）

是WLAN网络的标识，用来区分不同的WLAN网络。SSID包括BSSID和ESSID两种类型，BSSID通常不被终端用户感知，主要用于管理和维护；而ESSID就是通常我们所指的SSID。用户接入网络时根据SSID识别网络名称，管理员通过配置不同的SSID可以将一个无线局域网划分为多个需要独立身份验证的子网络。因此，合理设置SSID可以优化用户上网体验，增强WLAN网络的灵活性和安全性。

AP密度

AP密度是指在固定面积的建筑物环境下部署无线AP的数量，每一台无线AP接入的用户数量是相对固定的，因此，要根据用户的数量部署AP的数量。

AP功率

它AP信号强度有关，通常，功率越大，信号越强，辐射也就越强，在满足信号全覆盖的情况下，不建议全部使用大功率的AP，而且AP信号不仅和功率有关，还和频段干扰，摆放位置，天线增益有关。

AP信道

无线信道也就是常说的无线的“频段（Channel）”，其是以无线信号作为传输媒体的数据信号传送通道。
规划信道作用是减少信号的冲突与干扰，通常选择水平或者垂直部署。

WLAN安全技术

WLAN常见的安全威胁有： 非经授权的用户，非法AP，数据安全和拒绝服务攻击。

WLAN认证技术

参考文章：http://t.csdn.cn/2FGRr

WLAN加密技术

在WLAN用户通过认证并被赋予访问权限后，网络必须保护用户所传递的数据不被泄露，其主要方法是对数据报文进行加密。WLAN采用的加密技术主要有WEP加密、临时密钥完整性协议（TKIP）加密、CCMP加密等。

DHCP技术

参考：http://t.csdn.cn/LlumO

实战案例-使用模拟器配置无线网络

拓扑分析
对于小型局域网中，鉴于接入设备的需求，需要在局域网中部署无线网络，通过无线控制器AC管理网络中所有的无线AP设备，下发无线配置信息。无线网络发布2.4G和5G信号，满足不同设备的连接使用

拓扑描述
交换机配置vlan100为连接无线设备，网关地址为10.10.100.1/22。

AC控制器管理地址为172.16.101.1/24，设置vlan101为AC和AP之间管理VLAN，配置DHCP地址池，使AP可以自动获取管理地址

拓扑图
交换机使用S5700，AC使用AC6005，AP使用AP2050

配置设备
SW1交换机配置

<Huawei>system-view
Enter system view, return user view with Ctrl+Z.

[Huawei]sysname SW1

[SW1]vlan batch 100 101
Info: This operation may take a few seconds. Please wait for a moment...done.

[SW1]interface GigabitEthernet 0/0/1

[SW1-GigabitEthernet0/0/1]port link-type trunk

[SW1-GigabitEthernet0/0/1]port trunk pvid vlan 101

[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 101

[SW1-GigabitEthernet0/0/1]quit

[SW1]interface GigabitEthernet 0/0/2

[SW1-GigabitEthernet0/0/2]port link-type trunk

[SW1-GigabitEthernet0/0/2]port trunk pvid vlan 101

[SW1-GigabitEthernet0/0/2]port trunk allow-pass vlan 100 101

[SW1-GigabitEthernet0/0/2]quit

[SW1]interface GigabitEthernet 0/0/3

[SW1-GigabitEthernet0/0/3]port link-type trunk

[SW1-GigabitEthernet0/0/3]port trunk allow-pass vlan 100 101

[SW1-GigabitEthernet0/0/3]quit

[SW1]dhcp enable
Info: The operation may take a few seconds. Please wait for a moment.done.

[SW1]interface Vlanif 100

[SW1-Vlanif100]ip address 10.10.100.1 22

[SW1-Vlanif100]dhcp select interface

[SW1-Vlanif100]dhcp server dns-list 114.114.114.114 223.5.5.5

[SW1-Vlanif100]quit

AC1交换机配置

<AC6005>system-view
Enter system view, return user view with Ctrl+Z.

[AC6005]sysname AC1

[AC1]vlan batch 100 101
Info: This operation may take a few seconds. Please wait for a moment...done.

[AC1]dhcp enable
Info: The operation may take a few seconds. Please wait for a moment.done.

[AC1]interface GigabitEthernet 0/0/1

[AC1-GigabitEthernet0/0/1]port link-type trunk 

[AC1-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 101

[AC1-GigabitEthernet0/0/1]quit

[AC1]interface Vlanif 101

[AC1-Vlanif101]ip address 172.16.101.1 24

[AC1-Vlanif101]dhcp select interface

[AC1-Vlanif101]quit

[AC1]wlan

[AC1-wlan-view]ap-group name ap-group1
Info: This operation may take a few seconds. Please wait for a moment.done.

[AC1-wlan-ap-group-ap-group1]regulatory-domain-profile default
Warning: Modifying the country code will clear channel, power and antenna gain c
onfigurations of the radio and reset the AP. Continue?[Y/N]:y


[AC1-wlan-ap-group-ap-group1]quit

[AC1-wlan-view]quit

[AC1]capwap source interface Vlanif 101

[AC1]wlan

[AC1-wlan-view]ap auth-mode mac-auth 

[AC1-wlan-view]ap-id 0 ap-mac 00e0-fc41-4200         ##在AP1上用dis arp查询MAC地址

[AC1-wlan-ap-0]ap-name area_1

[AC1-wlan-ap-0]ap-group ap-group1

Warning: This operation may cause AP reset. If the country code changes, it will
 clear channel, power and antenna gain configurations of the radio, Whether to c
ontinue? [Y/N]:y
Info: This operation may take a few seconds. Please wait for a moment.. done.



[AC1-wlan-ap-0]quit

[AC1-wlan-view]ap-id 1 ap-mac 00e0-fcb8-7380

[AC1-wlan-ap-1]ap-name area_2

[AC1-wlan-ap-1]ap-group ap-group1

Warning: This operation may cause AP reset. If the country code changes, it will
 clear channel, power and antenna gain configurations of the radio, Whether to c
ontinue? [Y/N]:y
Info: This operation may take a few seconds. Please wait for a moment.. done.



[AC1-wlan-ap-1]quit

[AC1-wlan-view]display ap all
Info: This operation may take a few seconds. Please wait for a moment.done.
Total AP information:
nor  : normal          [2]
--------------------------------------------------------------------------------
---------------
ID   MAC            Name   Group     IP             Type            State STA Up
time
--------------------------------------------------------------------------------
---------------
0    00e0-fc41-4200 area_1 ap-group1 172.16.101.252 AP2050DN        nor   0   2M
:0S
1    00e0-fcb8-7380 area_2 ap-group1 172.16.101.91  AP2050DN        nor   0   1M
:58S
--------------------------------------------------------------------------------
---------------
Total: 2
















[AC1-wlan-view]security-profile name Internet

[AC1-wlan-sec-prof-Internet]security wpa-wpa2 psk pass-phrase a1234567 aes

[AC1-wlan-sec-prof-Internet]quit

[AC1-wlan-view]ssid-profile name Internet

[AC1-wlan-ssid-prof-Internet]ssid Internet
Info: This operation may take a few seconds, please wait.done.
[AC1-wlan-ssid-prof-Internet]quit


[AC1-wlan-view]vap-profile name Internet

[AC1-wlan-vap-prof-Internet]forward-mode direct-forward

[AC1-wlan-vap-prof-Internet]service-vlan vlan-id 100
Info: This operation may take a few seconds, please wait.done.

[AC1-wlan-vap-prof-Internet]security-profile Internet
Info: This operation may take a few seconds, please wait.done.

[AC1-wlan-vap-prof-Internet]ssid-profile Internet
Info: This operation may take a few seconds, please wait.done.

[AC1-wlan-vap-prof-Internet]quit

[AC1-wlan-view]ap-group name ap-group1

[AC1-wlan-ap-group-ap-group1]vap-profile Internet wlan 1 radio 0
Info: This operation may take a few seconds, please wait...done.

[AC1-wlan-ap-group-ap-group1]vap-profile Internet wlan 1 radio 1
Info: This operation may take a few seconds, please wait...done.

[AC1-wlan-ap-group-ap-group1]quit

查看无线网络信号

设备连接无线
笔记本连接2.4G信号
打开STA1笔记本配置窗口，选择信道1，输入密码，点击确定，应用

连接完成后SSID显示状态为已连接

通过命令行查看电脑的无线ip地址，通过PING命令访问网关地址10.10.100.1

ifconfig

笔记本连接5G信号
打开STA2笔记本配置窗口，选择信道149，输入密码，点击确定，应用

在Vap列表显示状态为“已连接”

命令行模式查看当前WIFI获取的IP地址，通过PING命令访问STA1笔记本电脑地址为10.10.103.25