1+X證書網(wǎng)絡(luò)系統(tǒng)建設(shè)與運(yùn)維(高級(jí))第09章-無線局域網(wǎng)課件

第9章

無線局域網(wǎng)第9章無線局域網(wǎng)學(xué)習(xí)目標(biāo)了解WLAN的組網(wǎng)方式。了解CAPWAP協(xié)議。了解AC+AP的幾種組網(wǎng)方式：二層組網(wǎng)、三層組網(wǎng)；直連式組網(wǎng)、旁掛式組網(wǎng)。了解WLAN中終端的漫游過程。掌握AC+AP直連式二層組網(wǎng)配置。掌握AC+AP旁掛式三層組網(wǎng)配置。學(xué)習(xí)目標(biāo)了解WLAN的組網(wǎng)方式。9.1無線接入點(diǎn)控制和配置協(xié)議9.1.1WLAN組網(wǎng)方式9.1.2CAPWAP協(xié)議9.1.3WLAN轉(zhuǎn)發(fā)模式9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)9.2AC+瘦AP組網(wǎng)9.2.1二層、三層組網(wǎng)9.2.2直連式、旁掛式組網(wǎng)9.2.3AC+AP組網(wǎng)中的VLAN9.2.4WLAN的基本業(yè)務(wù)配置流程9.1無線接入點(diǎn)控制和配置協(xié)議9.3WLAN漫游9.3.1漫游簡介9.3.2漫游過程9.3.3WLAN漫游的網(wǎng)絡(luò)架構(gòu)9.3WLAN漫游9.1無線接入點(diǎn)控制和配置協(xié)議WLAN的組網(wǎng)方式很多，不同方式滿足不同的用戶需求，大型企業(yè)或者園區(qū)網(wǎng)絡(luò)中通常采用AC+瘦AP這種方式，該方式要求很多技術(shù)的支持。9.1無線接入點(diǎn)控制和配置協(xié)議WLAN的組網(wǎng)方式很多，不同9.1.1WLAN組網(wǎng)方式SSID（ServiceSetIdentifier）：表示無線網(wǎng)絡(luò)的標(biāo)識(shí)，用來區(qū)分不同的無線網(wǎng)絡(luò)。STA1APSTA2SSID:marketingSSID:officeBSA9.1.1WLAN組網(wǎng)方式SSID（ServiceSet9.1.1WLAN組網(wǎng)方式AP支持多SSID0025.9e45.24a90025.9e45.24a0我加入:“Internal”，0025.9e45.24a0APSTA1STA2我加入:“guest”，0025.9e45.24a9GuestInternalSSIDBSSIDSSIDBSSID9.1.1WLAN組網(wǎng)方式AP支持多SSID0025.9e9.1.1WLAN組網(wǎng)方式BSSSTA（Station）:無線終端設(shè)備AP（AccessPoint）:一種特殊的STABSS（BasicServiceSet）:基本服務(wù)集STA1APBSS1STA2STA1APBSS2STA29.1.1WLAN組網(wǎng)方式BSSSTA1APBSS1STA9.1.1WLAN組網(wǎng)方式ESS擴(kuò)展服務(wù)集ESS（ExtendServiceSet）：由一個(gè)或多個(gè)BSS組成。AP1AP2SSID1SSID19.1.1WLAN組網(wǎng)方式ESSAP1AP2SSID1SS9.1.1WLAN組網(wǎng)方式BSSIDBSSID實(shí)際上就是AP的MAC地址，用來標(biāo)識(shí)AP管理的BSS。ESSAP1Marketing:0025.9e45.24a0AP2SSID：marketingMarketing:0025.9e45.3100SSIDBSSIDSW骨干網(wǎng)絡(luò)BSABSASSID：marketing15%~25%9.1.1WLAN組網(wǎng)方式BSSIDESSAP1Marke9.1.1WLAN組網(wǎng)方式802.11基本元素總結(jié)SSID（ServiceSetIdentifier）：服務(wù)集標(biāo)識(shí)符BSA（BasicServiceArea）：基本服務(wù)區(qū)域BSS（BasicServiceSet）：基本服務(wù)集ESS（ExtendedServiceSet）：擴(kuò)展服務(wù)集BSSID（BasicServiceSetIdentifier）：基本服務(wù)集標(biāo)識(shí)符9.1.1WLAN組網(wǎng)方式802.11基本元素總結(jié)9.1.1WLAN組網(wǎng)方式WLAN拓?fù)浣Y(jié)構(gòu)Ad-Hoc組網(wǎng)拓?fù)浠A(chǔ)架構(gòu)組網(wǎng)拓?fù)鋀DS組網(wǎng)拓?fù)洌ū菊虏唤榻B）Mesh組網(wǎng)拓?fù)洌ū菊虏唤榻B）9.1.1WLAN組網(wǎng)方式WLAN拓?fù)浣Y(jié)構(gòu)9.1.1WLAN組網(wǎng)方式Ad-Hoc拓?fù)渌泄?jié)點(diǎn)的地位平等，組成一個(gè)對等式網(wǎng)絡(luò)。網(wǎng)絡(luò)無設(shè)置任何的中心控制節(jié)點(diǎn)（AP），節(jié)點(diǎn)不僅具有普通移動(dòng)終端所需的功能，而且具有報(bào)文轉(zhuǎn)發(fā)能力。STA3STA2STA19.1.1WLAN組網(wǎng)方式Ad-Hoc拓?fù)銼TA3STA29.1.1WLAN組網(wǎng)方式DS基本概念分布式系統(tǒng)（DistributionSystem）是接入點(diǎn)間轉(zhuǎn)發(fā)幀的骨干網(wǎng)絡(luò)，因此通常稱為骨干網(wǎng)絡(luò)。AP1STA1STA2AP2STA3STA4分布式系統(tǒng)（骨干網(wǎng)絡(luò)）9.1.1WLAN組網(wǎng)方式DS基本概念A(yù)P1STA1STA9.1.1WLAN組網(wǎng)方式基礎(chǔ)架構(gòu)拓?fù)銩P1STA1STA2AP2STA3STA4以太網(wǎng)Channel1Channel6重疊區(qū)域10-15%以太網(wǎng)APSTA1STA2STA3SSID:Guest9.1.1WLAN組網(wǎng)方式基礎(chǔ)架構(gòu)拓?fù)銩P1STA1STA9.1.1WLAN組網(wǎng)方式家庭或SOHO網(wǎng)絡(luò)的組網(wǎng)模式由于所需要的無線覆蓋范圍小，一般采用胖AP組網(wǎng)。而胖AP可以不僅實(shí)現(xiàn)無線覆蓋的要求，還可以同時(shí)作為路由器，實(shí)現(xiàn)對有線網(wǎng)絡(luò)的路由轉(zhuǎn)發(fā)。之所以稱為胖AP，不是因?yàn)锳P體積比較大，而是因?yàn)樗强梢宰灾鬟\(yùn)行、無需無線控制器的控制。InternetPCADSLModemAPSTASTA9.1.1WLAN組網(wǎng)方式家庭或SOHO網(wǎng)絡(luò)的組網(wǎng)模式In9.1.1WLAN組網(wǎng)方式企業(yè)網(wǎng)絡(luò)的組網(wǎng)模式（胖AP）在企業(yè)網(wǎng)絡(luò)或者其他大型場所中，所需要的無線覆蓋范圍比較大，若采用胖AP組網(wǎng)，則可以將AP接入到接入交換機(jī)端，數(shù)據(jù)通過交換機(jī)的轉(zhuǎn)發(fā)，到達(dá)企業(yè)核心網(wǎng)。在企業(yè)核心網(wǎng)也可以架設(shè)起網(wǎng)管系統(tǒng)，便于對AP的統(tǒng)一管理。AP……STA匯聚交換機(jī)企業(yè)核心網(wǎng)接入交換機(jī)IP網(wǎng)絡(luò)接入交換機(jī)APAPSTASTA9.1.1WLAN組網(wǎng)方式企業(yè)網(wǎng)絡(luò)的組網(wǎng)模式（胖AP）AP9.1.1WLAN組網(wǎng)方式胖AP，除無線接入功能外，一般具備WAN、LAN兩個(gè)接口，多支持DHCP服務(wù)器、DNS和MAC地址克隆，以及VPN接入、防火墻等安全功能。FATAPSTASTAFATAP天線802.11a/b/g/n/ac加密802.1X認(rèn)證，802.11eQos網(wǎng)管，二層漫游，安全I(xiàn)nternet9.1.1WLAN組網(wǎng)方式胖AP，除無線接入功能外，一般具9.1.1WLAN組網(wǎng)方式AC+瘦AP（FitAP）組網(wǎng)方式瘦AP無法單獨(dú)運(yùn)行，必須在無線控制器（AC）的控制下運(yùn)行。瘦AP負(fù)責(zé)移動(dòng)終端報(bào)文的收發(fā)、加解密、802.11協(xié)議的物理層功能、射頻（RF）空口的統(tǒng)計(jì)、接受無線控制器的管理等功能。AC負(fù)責(zé)無線網(wǎng)絡(luò)的接入控制、轉(zhuǎn)發(fā)和統(tǒng)計(jì)、AP的配置監(jiān)控、漫游管理、AP的網(wǎng)管代理、安全控制。該方式通常用于大型WLAN的組建。很多廠商的企業(yè)級(jí)AP可以在胖（Fat）、瘦（Fit）模式之間進(jìn)行切換。APSTASTAAPAC9.1.1WLAN組網(wǎng)方式AC+瘦AP（FitAP）組網(wǎng)9.1.1WLAN組網(wǎng)方式瘦AP是“代表自身不能單獨(dú)配置或者使用的無線AP產(chǎn)品，這種產(chǎn)品僅僅是一個(gè)WLAN系統(tǒng)的一部分，負(fù)責(zé)管理安裝和操作”。FITAPACFITAPIP網(wǎng)絡(luò)天線802.11a/b/g/n/ac加密無線欺騙防護(hù)用戶防火墻AP點(diǎn)監(jiān)測RF管理無線客戶端管理802.1X認(rèn)證，802.11eQos網(wǎng)管，二層漫游，安全9.1.1WLAN組網(wǎng)方式瘦AP是“代表自身不能單獨(dú)配置或9.1.1WLAN組網(wǎng)方式胖AP與瘦AP比較AC+瘦AP胖AP投資AP成本較低，易管理；AC成本高。AP成本較高，但是無AC投入。WLAN組網(wǎng)AP不能單獨(dú)工作，需要由AC集中代理維護(hù)管理；AP本身零配置，適合大規(guī)模組網(wǎng)；存在多廠商兼容性問題，AC和AP間為私有協(xié)議，必須為同廠家設(shè)備；每個(gè)AC管理AP容量較少。需要對AP下發(fā)配置文件；有網(wǎng)管情況下可以支持大規(guī)模網(wǎng)絡(luò)部署和海量規(guī)模用戶管理;不存在兼容性問題：基于AP和網(wǎng)管系統(tǒng)之間采用標(biāo)準(zhǔn)的IP層協(xié)議互通；網(wǎng)管可以實(shí)現(xiàn)海量AP統(tǒng)一集中管理和維護(hù)，并實(shí)現(xiàn)與現(xiàn)有寬帶網(wǎng)絡(luò)融合管理。業(yè)務(wù)能力二層、三層漫游；可擴(kuò)展語音等豐富業(yè)務(wù)；可以通過AC增強(qiáng)業(yè)務(wù)QoS、安全等功能。二層漫游；實(shí)現(xiàn)簡單數(shù)據(jù)接入。9.1.1WLAN組網(wǎng)方式胖AP與瘦AP比較AC+瘦AP胖9.1.2CAPWAP協(xié)議在AC+瘦AP組網(wǎng)方式中，AC和AP的互通可以使用CAPWAP（ControlAndProvisioningofWirelessAccessPoints）協(xié)議實(shí)現(xiàn)。除了CAPWAP協(xié)議外，一些廠家也牽頭制定了其他的協(xié)議，如思科的LWAPP、阿魯巴的SLAPP等，華為則使用CAPWAP協(xié)議。AC和AP之間建立CAPWAP隧道后，AC利用CAPWAP可以實(shí)現(xiàn)對其所關(guān)聯(lián)的AP進(jìn)行集中管理和控制。該協(xié)議包含的主要內(nèi)容有AP對AC的自動(dòng)發(fā)現(xiàn)及AP和AC間的狀態(tài)機(jī)運(yùn)行、維護(hù)；AC對AP進(jìn)行管理，業(yè)務(wù)配置下發(fā)；移動(dòng)終端的數(shù)據(jù)封裝。9.1.2CAPWAP協(xié)議在AC+瘦AP組網(wǎng)方式中，AC和9.1.2CAPWAP協(xié)議CAPWAP協(xié)議是基于UDP的應(yīng)用層協(xié)議，有兩種類型的報(bào)文：控制報(bào)文、數(shù)據(jù)報(bào)文?？刂茍?bào)文的UDP端口為5246，用于傳輸AP和AC之間的管理流，大部分是密文；數(shù)據(jù)報(bào)文的UDP端口為5247，用于傳輸數(shù)據(jù)流（移動(dòng)終端產(chǎn)生的數(shù)據(jù)），大部分是明文?？刂茍?bào)文或者數(shù)據(jù)報(bào)文的DTLSheader、DTLStail是使用數(shù)據(jù)報(bào)安全傳輸協(xié)議（DatagramTransportLayerSecurity，DTLS）對報(bào)文進(jìn)行加密時(shí)才額外增加的字段。9.1.2CAPWAP協(xié)議CAPWAP協(xié)議是基于UDP的應(yīng)9.1.2CAPWAP協(xié)議CAPWAP協(xié)議的報(bào)文格式9.1.2CAPWAP協(xié)議CAPWAP協(xié)議的報(bào)文格式9.1.3WLAN轉(zhuǎn)發(fā)模式AC+瘦AP組網(wǎng)方式中，數(shù)據(jù)流（移動(dòng)終端產(chǎn)生的數(shù)據(jù)）有兩種轉(zhuǎn)發(fā)模式：直接轉(zhuǎn)發(fā)模式和隧道轉(zhuǎn)發(fā)模式。直接轉(zhuǎn)發(fā)模式中數(shù)據(jù)流從移動(dòng)終端（稱為Station，STA）到達(dá)AP后，由AP直接發(fā)送到有線網(wǎng)絡(luò)中的交換設(shè)備進(jìn)行轉(zhuǎn)發(fā)，這種模式中AC和AP之間的CAPWAP協(xié)議隧道主要用于封裝它們之間的管理流，數(shù)據(jù)流不加CAPWAP協(xié)議封裝。9.1.3WLAN轉(zhuǎn)發(fā)模式AC+瘦AP組網(wǎng)方式中，數(shù)據(jù)流（9.1.3WLAN轉(zhuǎn)發(fā)模式在隧道轉(zhuǎn)發(fā)模式中數(shù)據(jù)流從移動(dòng)終端到達(dá)AP后，由AP使用CAPWAP協(xié)議進(jìn)行封裝，發(fā)送到AC，再由AC發(fā)送到有線網(wǎng)絡(luò)中的交換設(shè)備進(jìn)行轉(zhuǎn)發(fā)，這種模式中AC和AP之間的CAPWAP協(xié)議隧道不僅用于封裝管理流，還用于封裝數(shù)據(jù)流。9.1.3WLAN轉(zhuǎn)發(fā)模式在隧道轉(zhuǎn)發(fā)模式中數(shù)據(jù)流從移動(dòng)終端9.1.3WLAN轉(zhuǎn)發(fā)模式WLAN轉(zhuǎn)發(fā)模式對比轉(zhuǎn)發(fā)模式優(yōu)

點(diǎn)缺

點(diǎn)直接轉(zhuǎn)發(fā)AC所受壓力小轉(zhuǎn)發(fā)效率高方便故障定位業(yè)務(wù)數(shù)據(jù)不需要經(jīng)過AC轉(zhuǎn)發(fā)報(bào)文不需要經(jīng)過多次封裝解封裝安全性不夠中間網(wǎng)絡(luò)可以解析出用戶報(bào)文中間網(wǎng)絡(luò)需要透傳業(yè)務(wù)VLAN增加了AC與AP間二層網(wǎng)絡(luò)的維護(hù)工作量業(yè)務(wù)數(shù)據(jù)不便于集中管理和控制隧道轉(zhuǎn)發(fā)安全性高AC集中轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文方便集中管理和控制經(jīng)過DTLS加密，中間網(wǎng)絡(luò)不易解析出用戶報(bào)文內(nèi)容AC和AP之間只需透傳管理VLAN配置簡單不利于故障定位業(yè)務(wù)數(shù)據(jù)必須經(jīng)過AC轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文需要封裝CAPWAP隧道報(bào)頭AC所受壓力大轉(zhuǎn)發(fā)效率較直接轉(zhuǎn)發(fā)低9.1.3WLAN轉(zhuǎn)發(fā)模式WLAN轉(zhuǎn)發(fā)模式對比轉(zhuǎn)發(fā)模式優(yōu)9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)CAPWAP（無線接入點(diǎn)控制和配置協(xié)議），用于無線終端接入點(diǎn)（AP）和無線網(wǎng)絡(luò)控制器（AC）之間的通信交互，實(shí)現(xiàn)AC對其所關(guān)聯(lián)的AP的集中管理和控制。該協(xié)議包含的主要內(nèi)容有：AP對AC的自動(dòng)發(fā)現(xiàn)及AP&AC的狀態(tài)機(jī)運(yùn)行、維護(hù)。AC對AP進(jìn)行管理、業(yè)務(wù)配置下發(fā)。STA數(shù)據(jù)封裝CAPWAP隧道進(jìn)行轉(zhuǎn)發(fā)。9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)CAPWAP（無9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)協(xié)議名稱LWAPPSLAPPCTPWiCoP標(biāo)準(zhǔn)RFC5412RFC5413draft-singh-capwap-ctpRFC5414協(xié)議全稱LightWeightAccessPointProtocolSecureLightAccessPointProtocolCAPWAPTunnelingProtocolWirelessLANControlProtocol提出廠家Cisco-AirSpaceArubaSiemens

-

ChantryPanasonic協(xié)議特點(diǎn)全面的描述了AC發(fā)現(xiàn)、安全和系統(tǒng)管理方法，支持本地MAC和分離MAC機(jī)制。兩者連接采用2層或3層連接，2層連接使用以太網(wǎng)幀傳輸，3層連接使用UDP傳輸LWAPP報(bào)文。支持橋接和隧道兩種本地MAC機(jī)制。支持直連、2層和3層三種連接方式。使用成熟的技術(shù)標(biāo)準(zhǔn)來建立通信隧道，數(shù)據(jù)信道使用GRE技術(shù)。利用擴(kuò)展的SNMP對WTP進(jìn)行配置和管理。CTP的控制消息著重于STA連接狀態(tài)、WTP配置和狀態(tài)幾方面。定義了包括無線終端-AC性能協(xié)商功能在內(nèi)的AC發(fā)現(xiàn)機(jī)制，定義了QoS參數(shù)。加密情況信令–AES-CCM

數(shù)據(jù)–沒有加密信令–DTLS數(shù)據(jù)–DTLS建立了AP與無線終端互相認(rèn)證及一套基于AES-CCM的加密規(guī)則，但是并不完善。協(xié)議建議使用IPsec和EAP安全標(biāo)準(zhǔn)，卻并未詳細(xì)說明實(shí)現(xiàn)方法。9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)協(xié)議名稱LWAP9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)CAPWAP起源SLAPPCTPWiCoPCAPWAPLWAPPLWAPP具有完整的協(xié)議框架，定義了詳細(xì)的報(bào)文結(jié)構(gòu)及多方面的控制消息元素，但全新制定的安全機(jī)制還需實(shí)踐驗(yàn)證。SLAPP使用業(yè)界認(rèn)可的DTLS技術(shù)是其亮點(diǎn)。CTP和WiCoP實(shí)現(xiàn)了集中式WLAN體系結(jié)構(gòu)的基本要求，但考慮不夠全面，特別是安全性方面有所欠缺。9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)CAPWAP起源9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)分為8個(gè)過程9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)分為8個(gè)過程9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)1.DHCP過程AP通常是零配置，當(dāng)AP加電啟動(dòng)后將使用DHCP協(xié)議動(dòng)態(tài)發(fā)現(xiàn)AC，并與發(fā)現(xiàn)的AC建立隧道。首先是AP發(fā)送Discovery廣播報(bào)文，請求DHCPServer響應(yīng)。DHCPServer偵聽到Discovery報(bào)文后，會(huì)選擇一個(gè)空閑的IP地址，并響應(yīng)一個(gè)DHCPOffer報(bào)文，該報(bào)文中會(huì)包含租約期限信息及其他的DHCPoption信息。AC與AP在同一個(gè)網(wǎng)段時(shí)，AP可以通過廣播方式發(fā)現(xiàn)同一網(wǎng)段中的AC，不需要配置option43字段。當(dāng)AP和AC不在同一網(wǎng)段，需要配置DHCP代理，還需要在DHCPServer上配置DHCPoption43包含AC的IP地址。如果DHCPServer不支持option43，則組建WLAN時(shí)需要做特殊處理。當(dāng)AP收到多臺(tái)DHCPServer的Offer時(shí)，AP只會(huì)挑選其中一個(gè)Offer(通常是最先抵達(dá)的那個(gè))，然后向網(wǎng)絡(luò)中發(fā)送一個(gè)DHCPRequest廣播報(bào)文，告訴所有的DHCPServer它采用了哪個(gè)Offer。同時(shí)，AP也會(huì)向網(wǎng)絡(luò)發(fā)送一個(gè)ARP報(bào)文，查詢網(wǎng)絡(luò)上有沒有其他設(shè)備使用該IP地址。9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)1.DHCP過9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)1.DHCP過程（續(xù)）當(dāng)DHCPServer接收到AP的Request報(bào)文之后，會(huì)向AP發(fā)送一個(gè)DHCPAck響應(yīng)，該報(bào)文中攜帶的信息包括了AP的IP地址、租約期限、網(wǎng)關(guān)信息及DNSServerIP等。9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)1.DHCP過9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)2.Discovery過程AP獲得AC的IP地址或者域名后，將使用AC發(fā)現(xiàn)機(jī)制來獲知哪些AC是可用的，并與最佳AC來建立CAPWAP協(xié)議隧道。AP啟動(dòng)CAPWAP協(xié)議的發(fā)現(xiàn)機(jī)制，以單播或廣播的形式發(fā)送DiscoveryRequest試圖關(guān)聯(lián)AC。AC收到AP的DiscoveryRequest以后，會(huì)發(fā)送一個(gè)單播DiscoverResponse給AP，AP可以通過DiscoverResponse中所帶的AC優(yōu)先級(jí)或者AC上當(dāng)前AP的個(gè)數(shù)等，確定與哪個(gè)AC建立會(huì)話。9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)2.Disco9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)3.DTLS握手DTLS握手過程是可選的，如果AC上配置了CAPWAP協(xié)議采取DTLS加密報(bào)文，則啟動(dòng)該過程，大致過程如圖9-10所示。該過程包含了多個(gè)細(xì)小步驟，通過這些步驟AP和AC將協(xié)商采用DTLS加密傳輸U(kuò)DP報(bào)文的加密方式、密鑰等參數(shù)。9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)3.DTLS握9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)4.Join過程在完成DTLS握手后，AC與AP開始建立控制通道，在這過程中AC回應(yīng)的JoinResponse報(bào)文中會(huì)攜帶用戶配置的版本號(hào)、握手報(bào)文間隔、超時(shí)時(shí)間、控制報(bào)文優(yōu)先級(jí)等信息。AC也會(huì)檢查AP的Image（即VRP）當(dāng)前版本，如果AP的版本無法與AC要求的相匹配，AP和AC會(huì)進(jìn)入ImageData狀態(tài)做固件升級(jí)，以此來更新AP的版本。如果AP的版本符合要求，則進(jìn)入Configure過程。9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)4.Join過9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)5.ImageData過程（可選）AP根據(jù)協(xié)商參數(shù)判斷當(dāng)前版本是否是最新版本，如果不是最新版本，則AP將在CAPWAP協(xié)議隧道上開始更新軟件版本，如圖9-12所示。AP在軟件版本更新完成后重新啟動(dòng)，重復(fù)進(jìn)行AC發(fā)現(xiàn)、建立CAPWAP協(xié)議隧道、加入AC的過程。9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)5.Image9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)6.Configure過程Configure過程是為了做AP的現(xiàn)有配置和AC設(shè)定配置的匹配檢查。如圖9-13所示，AP發(fā)送ConfigurationStatusRequest到AC，該信息中包含了現(xiàn)有AP的配置，當(dāng)AP的當(dāng)前配置與AC的要求不符合時(shí)，AC會(huì)通過ConfigurationStatusResponse通知AP。9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)6.Confi9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)7.DataCheck過程當(dāng)完成Configure后，AP發(fā)送ChangeStateEventRequest信息，其中包含了radio、result、code等信息，當(dāng)AC接收到ChangeStateEventRequest后，開始回應(yīng)ChangeStateEventResponse。至此已經(jīng)完成CAPWAP協(xié)議隧道建立的過程，開始進(jìn)入隧道的維護(hù)階段。9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)7.Data9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)8.隧道的維護(hù)隧道包含數(shù)據(jù)流隧道和管理流隧道。數(shù)據(jù)流隧道的維護(hù)如圖9-15所示。AP發(fā)送Keepalive到AC，AC收到Keepalive后表示數(shù)據(jù)隧道建立，AC回應(yīng)Keepalive，AP進(jìn)入“normal”狀態(tài)，開始正常工作。9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)8.隧道的維護(hù)9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)8.隧道的維護(hù)（續(xù)）管理流隧道的維護(hù)如圖9-16所示。AP進(jìn)入Run狀態(tài)后，同時(shí)發(fā)送EchoRequest報(bào)文給AC，宣布建立好CAPWAP協(xié)議管理隧道并啟動(dòng)Echo發(fā)送定時(shí)器和隧道檢測超時(shí)定時(shí)器以檢測管理隧道是否異常。當(dāng)AC收到EchoRequest報(bào)文后，同樣進(jìn)入Run狀態(tài)，并回應(yīng)EchoResponse報(bào)文給AP，啟動(dòng)隧道超時(shí)定時(shí)器。當(dāng)AP收到EchoResponse報(bào)文后，會(huì)重設(shè)檢驗(yàn)隧道超時(shí)的定時(shí)器。9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)8.隧道的維護(hù)9.2AC+瘦AP組網(wǎng)AC+瘦AP組網(wǎng)方式是大型企業(yè)或者園區(qū)網(wǎng)絡(luò)中常用的WLAN組網(wǎng)方式。根據(jù)AC和AP連接的網(wǎng)絡(luò)架構(gòu)可分為二層組網(wǎng)和三層組網(wǎng)；根據(jù)AC在網(wǎng)絡(luò)中的位置，可分為直連式組網(wǎng)和旁掛式組網(wǎng)。二層組網(wǎng)和三層組網(wǎng)、直連式組網(wǎng)和旁掛式組網(wǎng)可以組合成4種方式：直連式二層組網(wǎng)、旁掛式二層組網(wǎng)、直連式三層組網(wǎng)、旁掛式三層組網(wǎng)。AC+瘦AP組網(wǎng)中，數(shù)據(jù)流轉(zhuǎn)發(fā)模式又包括直接轉(zhuǎn)發(fā)和隧道轉(zhuǎn)發(fā)，所以組網(wǎng)方式和轉(zhuǎn)發(fā)模式的組合有8種，本節(jié)將介紹常用的幾種。9.2AC+瘦AP組網(wǎng)AC+瘦AP組網(wǎng)方式是大型企業(yè)或者園9.2.1二層、三層組網(wǎng)二層組網(wǎng)AC和AP直連或者AC和AP之間通過二層網(wǎng)絡(luò)進(jìn)行連接的網(wǎng)絡(luò)稱為二層組網(wǎng)，如圖所示。二層組網(wǎng)比較簡單，AC通常配置為DHCP服務(wù)器，無需配置DHCP代理，簡化了配置。由于AC和AP在同一廣播域中，因此AP通過廣播很容易就能發(fā)現(xiàn)AC。二層組網(wǎng)適用于簡單的組網(wǎng)，但是由于要求AC和AP在同一個(gè)二層網(wǎng)絡(luò)中，所以局限性較大，不適用于有大量三層路由的大型網(wǎng)絡(luò)。9.2.1二層、三層組網(wǎng)二層組網(wǎng)9.2.1二層、三層組網(wǎng)三層組網(wǎng)AC和AP之間通過三層網(wǎng)絡(luò)進(jìn)行連接的網(wǎng)絡(luò)稱為三層組網(wǎng)，如圖所示。在三層組網(wǎng)中，AC和AP不在同一廣播域中，AP需要通過DHCP代理從AC獲得IP地址，或者額外部署DHCP服務(wù)器為AP分配IP地址。由于AP無法通過廣播發(fā)現(xiàn)AC，所以需要在DHCP服務(wù)器上配置option43來指明AC的IP地址。三層組網(wǎng)雖然比較復(fù)雜，但是由于AC和AP可以放在不同的網(wǎng)絡(luò)中，只需要它們之間IP包可達(dá)即可，所以部署非常靈活，適用于大型網(wǎng)絡(luò)的無線組網(wǎng)。9.2.1二層、三層組網(wǎng)三層組網(wǎng)9.2.2直連式、旁掛式組網(wǎng)直連式組網(wǎng)AP、AC與核心網(wǎng)絡(luò)串聯(lián)在一起，移動(dòng)終端的數(shù)據(jù)流需要經(jīng)過AC到達(dá)上層網(wǎng)絡(luò)。在這種組網(wǎng)方式中，AC需要轉(zhuǎn)發(fā)移動(dòng)終端的數(shù)據(jù)流，壓力較大；并且，如果是在已有的有線網(wǎng)絡(luò)中新增無線網(wǎng)絡(luò)，在核心網(wǎng)絡(luò)和IP網(wǎng)絡(luò)中插入AC會(huì)改變原有拓?fù)洹５摲N組網(wǎng)架構(gòu)清晰，實(shí)施較為容易。9.2.2直連式、旁掛式組網(wǎng)直連式組網(wǎng)9.2.2直連式、旁掛式組網(wǎng)旁掛式組網(wǎng)AC并不在AP和核心網(wǎng)絡(luò)的中間，而是位于網(wǎng)絡(luò)的一側(cè)（通常是旁掛在匯聚交換機(jī)或者核心交換機(jī)上）。由于實(shí)際組建WLAN時(shí)，大多情況是已經(jīng)建好了有線網(wǎng)絡(luò)，旁掛式組網(wǎng)不需要改變現(xiàn)有網(wǎng)絡(luò)的拓?fù)?，所以它是較為常用的組網(wǎng)方式。旁掛式組網(wǎng)如果采用直接轉(zhuǎn)發(fā)模式，移動(dòng)終端的數(shù)據(jù)流不需要經(jīng)過AC就能到達(dá)上層網(wǎng)絡(luò)，AC的壓力較小。旁掛式組網(wǎng)如果采用隧道轉(zhuǎn)發(fā)模式，移動(dòng)終端的數(shù)據(jù)流要通過CAPWAP協(xié)議隧道發(fā)送到AC，AC再把數(shù)據(jù)轉(zhuǎn)發(fā)到上層網(wǎng)絡(luò)，AC也將面臨較大壓力。9.2.2直連式、旁掛式組網(wǎng)旁掛式組網(wǎng)9.2.3AC+AP組網(wǎng)中的VLAN管理VLAN管理VLAN主要用來實(shí)現(xiàn)AC和AP直接的通信，主要是AP的DHCP報(bào)文、APARP報(bào)文、APCAPWAP報(bào)文（含控制報(bào)文和數(shù)據(jù)報(bào)文）。二層組網(wǎng)時(shí)，AP和AC在同一管理VLAN上；三層組網(wǎng)時(shí)，AC和AP在不同的管理VLAN上，甚至不同的AP是在不同的管理VLAN上，需要正確配置IP網(wǎng)絡(luò)的VLAN間路由使得AC和AP可以通信。配置WLAN時(shí)，沒有正確配置有線網(wǎng)絡(luò)的路由會(huì)造成管理VLAN之間無法通信，以及DHCP服務(wù)器或者DHCP代理配置不正確會(huì)導(dǎo)致AP發(fā)現(xiàn)不了AC，這是最常見的錯(cuò)誤。9.2.3AC+AP組網(wǎng)中的VLAN管理VLAN9.2.3AC+AP組網(wǎng)中的VLAN業(yè)務(wù)VLAN業(yè)務(wù)VLAN主要負(fù)責(zé)傳輸WLAN用戶（移動(dòng)終端，也稱為STA）上網(wǎng)時(shí)的數(shù)據(jù)，它就是WLAN用戶接入后用戶所在的VLAN。對于AP來說，在直接轉(zhuǎn)發(fā)模式下，業(yè)務(wù)VLAN是AP為用戶的數(shù)據(jù)所加的VLAN標(biāo)簽。圖中AP1和S1之間的鏈路為Trunk鏈路，AP1收到PC1的數(shù)據(jù)后，將加上VLAN1的標(biāo)簽發(fā)往S1；AP2收到PC2的數(shù)據(jù)后，將加上VLAN2的標(biāo)簽發(fā)往S1。如果在隧道轉(zhuǎn)發(fā)模式下，業(yè)務(wù)VLAN是CAPWAP協(xié)議隧道內(nèi)用戶報(bào)文的VLAN標(biāo)簽。AP1收到PC1的數(shù)據(jù)后，將加上VLAN1的標(biāo)簽，再把數(shù)據(jù)封裝在CAPWAP報(bào)文發(fā)送到AC，AC解封CAPWAP后得到帶VLAN1標(biāo)簽的數(shù)據(jù)報(bào)文后再轉(zhuǎn)發(fā)到目的網(wǎng)絡(luò)9.2.3AC+AP組網(wǎng)中的VLAN業(yè)務(wù)VLAN9.2.3AC+AP組網(wǎng)中的VLAN直連式組網(wǎng)-直接轉(zhuǎn)發(fā)APVLAN11IP10.1.11.101SwitchRouterACMobilePCIP10.1.101.51ACIPVLAN1110.1.11.100managementVLANVLAN10110.1.101.100serviceVLANVLAN10210.1.102.100serviceVLANAPVLAN11IP10.1.11.102SSID:HW101ServiceVLAN101MobilePCIP10.1.101.52SwitchIPVLAN10110.1.101.1GatewayVLAN10210.1.102.1Gateway

Dot1q101102Dot1q11101102CAPWAPDASAdot1qSIPDIPDATAFCSGw

MACPc

MACVLAN10110.1.101.5110.1.101.1abcdefgFCS離開AP時(shí)的用戶幀數(shù)據(jù)報(bào)文控制報(bào)文9.2.3AC+AP組網(wǎng)中的VLAN直連式組網(wǎng)-直接轉(zhuǎn)9.2.3AC+AP組網(wǎng)中的VLAN直連式組網(wǎng)-隧道轉(zhuǎn)發(fā)APVLAN11IP10.1.11.101SwitchRouterACMobilePCIP10.1.101.51ACIPVLAN1110.1.11.100managementVLANVLAN10110.1.101.100serviceVLANVLAN10210.1.102.100serviceVLANAPVLAN11IP10.1.11.102SSID:HW101ServiceVLAN101MobilePCIP10.1.101.52SwitchIPVLAN10110.1.101.1GatewayVLAN10210.1.102.1GatewayDot1q101102AccessVLAN11CAPWAPDASAdot1qSIPDIPDATAFCSACMACAPMACNULL10.1.11.10110.1.11.100CAPWAPuserdataFCS離開AP時(shí)的用戶幀CAPWAP封裝的數(shù)據(jù)報(bào)文數(shù)據(jù)報(bào)文控制報(bào)文9.2.3AC+AP組網(wǎng)中的VLAN直連式組網(wǎng)-隧道轉(zhuǎn)9.2.3AC+AP組網(wǎng)中的VLAN旁掛式組網(wǎng)-直接轉(zhuǎn)發(fā)RouterACIPVLAN1110.1.11.100managementVLANVLAN10110.1.101.100serviceVLANVLAN10210.1.102.100serviceVLANSwitchIPVLAN10110.1.101.1GatewayVLAN10210.1.102.1GatewayMobilePCIP10.1.101.51MobilePCIP10.1.101.52SSID:HW101ServiceVLAN101APVLAN11IP10.1.11.101APVLAN11IP10.1.11.102DASAdot1qSIPDIPDATAFCSGw

MACPc

MACVLAN10110.1.101.5110.1.101.1abcdefgFCS離開AP時(shí)的用戶幀CAPWAP數(shù)據(jù)報(bào)文控制報(bào)文Dot1q111011029.2.3AC+AP組網(wǎng)中的VLAN旁掛式組網(wǎng)-直接轉(zhuǎn)9.2.3AC+AP組網(wǎng)中的VLAN旁掛式組網(wǎng)-隧道轉(zhuǎn)發(fā)RouterACIPVLAN1110.1.11.100managementVLANVLAN10110.1.101.100serviceVLANVLAN10210.1.102.100serviceVLANSwitchIPVLAN10110.1.101.1GatewayVLAN10210.1.102.1GatewayMobilePCIP10.1.101.51MobilePCIP10.1.101.52SSID:HW101ServiceVLAN101APVLAN11IP10.1.11.101APVLAN11IP10.1.11.102離開AP時(shí)的用戶幀DASAdot1qSIPDIPDATAFCSACMACAPMACNULL10.1.11.10110.1.11.100CAPWAPuserdataFCSCAPWAP數(shù)據(jù)報(bào)文控制報(bào)文AccessVLAN119.2.3AC+AP組網(wǎng)中的VLAN旁掛式組網(wǎng)-隧道轉(zhuǎn)9.2.4WLAN的基本業(yè)務(wù)配置流程創(chuàng)建AP組。配置網(wǎng)絡(luò)互通。配置AC系統(tǒng)參數(shù)。配置AC為瘦AP下發(fā)WLAN業(yè)務(wù)。9.2.4WLAN的基本業(yè)務(wù)配置流程創(chuàng)建AP組。9.2.4WLAN的基本業(yè)務(wù)配置流程案例：組建直連式二層無線局域網(wǎng)9.2.4WLAN的基本業(yè)務(wù)配置流程案例：組建直連式二層無9.2.4WLAN的基本業(yè)務(wù)配置流程直連式二層組網(wǎng)AC數(shù)據(jù)規(guī)劃表配

置

項(xiàng)數(shù)

據(jù)AP管理VLANVLAN100STA業(yè)務(wù)VLANVLAN101DHCP服務(wù)器AC作為DHCP服務(wù)器為AP和STA分配IP地址AP的IP地址池10.23.100.2～10.23.100.254/24STA的IP地址池10.23.101.3～10.23.101.254/24AC的源接口IP地址VLANIF100：10.23.100.1/24AP組名稱：ap-group1引用模板：VAP模板wlan-net、域管理模板default域管理模板名稱：default國家碼：中國SSID模板名稱：wlan-netSSID名稱：wlan-net安全模板名稱：wlan-net安全策略：WPA-WPA2+PSK+AES密碼：a1234567VAP模板名稱：wlan-net轉(zhuǎn)發(fā)模式：直接轉(zhuǎn)發(fā)業(yè)務(wù)VLAN：VLAN101引用模板：SSID模板wlan-net、安全模板wlan-net9.2.4WLAN的基本業(yè)務(wù)配置流程直連式二層組網(wǎng)AC數(shù)據(jù)9.2.4WLAN的基本業(yè)務(wù)配置流程VLAN部署在交換機(jī)以及AC上配置VLAN、Trunk。配置接入交換機(jī)S1的G0/0/1-3接口為Trunk接口，并加入VLAN100和VLAN101。G0/0/1、G0/0/2接口的默認(rèn)VLAN為VLAN100，當(dāng)AP1、AP2加電啟動(dòng)后會(huì)加入VLAN100，VLAN100是AP的管理VLAN。G0/0/3接口的默認(rèn)VLAN保持為默認(rèn)值VLAN1。[S1]vlanbatch100101[S1]interfacegigabitethernet0/0/1[S1-GigabitEthernet0/0/1]portlink-typetrunk[S1-GigabitEthernet0/0/1]porttrunkpvidvlan100[S1-GigabitEthernet0/0/1]porttrunkallow-passvlan100101[S1]interfacegigabitethernet0/0/2[S1-GigabitEthernet0/0/2]portlink-typetrunk[S1-GigabitEthernet0/0/2]porttrunkpvidvlan100[S1-GigabitEthernet0/0/2]porttrunkallow-passvlan100101[S1]interfacegigabitethernet0/0/3[S1-GigabitEthernet0/0/3]portlink-typetrunk[S1-GigabitEthernet0/0/3]porttrunkallow-passvlan1001019.2.4WLAN的基本業(yè)務(wù)配置流程VLAN部署[S1]v9.2.4WLAN的基本業(yè)務(wù)配置流程VLAN部署（續(xù)）配置AC的接口G0/0/1加入VLAN100和VLAN101，接口G0/0/2加入VLAN101。[AC]vlanbatch100101[AC]interfacegigabitethernet0/0/1[AC-GigabitEthernet0/0/1]portlink-typetrunk[AC-GigabitEthernet0/0/1]porttrunkallow-passvlan100101[AC-GigabitEthernet0/0/1]quit[AC]interfacegigabitethernet0/0/2[AC-GigabitEthernet0/0/2]portlink-typetrunk[AC-GigabitEthernet0/0/2]porttrunkallow-passvlan101[AC-GigabitEthernet0/0/2]quit9.2.4WLAN的基本業(yè)務(wù)配置流程VLAN部署（續(xù)）[A9.2.4WLAN的基本業(yè)務(wù)配置流程IP地址部署AC、R1上配置IP地址。在AC上配置VLANIF100接口、VLANIF101接口的IP地址。在R1上配置VLAN101子接口G0/0/0.101的IP地址；創(chuàng)建LoopBack10接口用于測試，該接口地址也模擬為DNS服務(wù)器的地址。[AC]interfacevlanif100[AC-Vlanif100]ipaddress10.23.100.124[AC]interfacevlanif101[AC-Vlanif101]ipaddress10.23.101.124[R1]interfaceGigabitEthernet0/0/0.101[R1-GigabitEthernet0/0/0.101]dot1qterminationvid101[R1-GigabitEthernet0/0/0.101]ipaddress10.23.101.2255.255.255.0

[R1-GigabitEthernet0/0/0.101]arpbroadcastenable[R1]interfaceLoopBack10[R1-LoopBack10]ipaddress10.10.10.10249.2.4WLAN的基本業(yè)務(wù)配置流程IP地址部署[AC]i9.2.4WLAN的基本業(yè)務(wù)配置流程VLAN間路由部署VLAN間路由是由AC實(shí)現(xiàn)，AC、R1上配置合適的路由表，使得全網(wǎng)互通。[AC]iproute-static0.0.0.00.0.0.010.23.101.2

[R1]iproute-static10.23.100.0255.255.255.010.23.101.19.2.4WLAN的基本業(yè)務(wù)配置流程VLAN間路由部署[A9.2.4WLAN的基本業(yè)務(wù)配置流程DHCP服務(wù)部署在AC上部署DHCP，為AP和無線終端提供IP地址。在AC上配置VLANIF100接口為AP提供IP地址，配置VLANIF101接口為無線終端（STA）提供IP地址。[AC]dhcpenable[AC]interfacevlanif100[AC-Vlanif100]dhcpselectinterface[AC-Vlanif100]quit[AC]interfacevlanif101[AC-Vlanif101]dhcpselectinterface[AC-Vlanif101]dhcpserverexcluded-ip-address10.23.101.2[AC-Vlanif101]dhcpserverdns-list10.10.10.10[AC-Vlanif101]quit9.2.4WLAN的基本業(yè)務(wù)配置流程DHCP服務(wù)部署[AC9.2.4WLAN的基本業(yè)務(wù)配置流程創(chuàng)建AP組創(chuàng)建AP組，用于將相同配置的AP都加入同一AP組中。創(chuàng)建域管理模板，在域管理模板下配置AC的國家碼，并在AP組下引用域管理模板。[AC-wlan-view]regulatory-domain-profilenamedefault[AC-wlan-regulate-domain-default]country-codecn[AC-wlan-regulate-domain-default]quit[AC-wlan-view]ap-groupnameap-group1[AC-wlan-ap-group-ap-group1]regulatory-domain-profiledefaultWarning:Modifyingthecountrycodewillclearchannel,powerandantennagainconfigurationsoftheradioandresettheAP.Continue?[Y/N]:y

[AC-wlan-ap-group-ap-group1]quit[AC]wlan[AC-wlan-view]ap-groupnameap-group19.2.4WLAN的基本業(yè)務(wù)配置流程創(chuàng)建AP組[AC-wl9.2.4WLAN的基本業(yè)務(wù)配置流程AP上線配置AC的源接口。[AC]capwapsourceinterfacevlanif1009.2.4WLAN的基本業(yè)務(wù)配置流程AP上線[AC]cap9.2.4WLAN的基本業(yè)務(wù)配置流程AP上線（續(xù)）在AC上離線導(dǎo)入AP1、AP2，AP的ID分別為0和1，并將AP加入AP組“ap-group1”中。假設(shè)AP1的MAC地址為ac85-3d92-3340、AP2的MAC地址為ac85-3d92-1b60，并且根據(jù)AP的部署位置為AP配置名稱，便于從名稱上就能夠了解AP的部署位置。例如，命名AP1為area_1、AP2為area_2。apauth-mode用于配置AC對AP的認(rèn)證模式，命令默認(rèn)情況下為MAC認(rèn)證，即通過MAC檢查AP是否合法。[AC]wlan[AC-wlan-view]apauth-modemac-auth[AC-wlan-view]ap-id0ap-macac85-3d92-3340[AC-wlan-ap-0]ap-namearea_1[AC-wlan-ap-0]ap-groupap-group1Warning:ThisoperationmaycauseAPreset.Ifthecountrycodechanges,itwillclearchannel,powerandantennagainconfigurationsoftheradio,Whethertocontinue?[Y/N]:y

[AC-wlan-ap-0]quit9.2.4WLAN的基本業(yè)務(wù)配置流程AP上線（續(xù)）[AC]9.2.4WLAN的基本業(yè)務(wù)配置流程AP上線（續(xù)）將AP上電后，當(dāng)執(zhí)行命令查看到AP的“State”字段為“nor”時(shí)，表示AP正常上線。AP正常能上線是整個(gè)WLAN組網(wǎng)的關(guān)鍵一步，如果AP沒有正常上線，請先仔細(xì)考慮有線網(wǎng)絡(luò)的VLAN、Trunk、VLAN路由、DHCP代理、DHCP服務(wù)器是否正確？[AC-wlan-view]displayapallInfo:Thisoperationmaytakeafewseconds.Pleasewaitforamoment.done.TotalAPinformation:nor:normal[2]---------------------------------------------------------------------------------------------IDMACNameGroupIPTypeStateSTAUptime---------------------------------------------------------------------------------------------000e0-fc4f-3de0area_1ap-group110.23.100.239AP5030DNnor11H:10M:48S100e0-fc3e-2040area_2ap-group110.23.100.6AP5030DNnor11H:10M:39S---------------------------------------------------------------------------------------------Total:29.2.4WLAN的基本業(yè)務(wù)配置流程AP上線（續(xù)）[AC-9.2.4WLAN的基本業(yè)務(wù)配置流程配置WLAN業(yè)務(wù)參數(shù)創(chuàng)建名為“wlan-net”的安全模板，并配置安全策略，這個(gè)安全策略就是STA連接WLAN時(shí)要使用的認(rèn)證方式。例中配置的安全策略為WPA-WPA2+PSK+AES，密碼為“a1234567”。[AC-wlan-view]security-profilenamewlan-net[AC-wlan-sec-prof-wlan-net]securitywpa-wpa2pskpass-phrasea1234567aes[AC-wlan-sec-prof-wlan-net]quit9.2.4WLAN的基本業(yè)務(wù)配置流程配置WLAN業(yè)務(wù)參數(shù)[9.2.4WLAN的基本業(yè)務(wù)配置流程配置WLAN業(yè)務(wù)參數(shù)（續(xù)）創(chuàng)建名為“wlan-net”的SSID模板，并配置SSID的名稱為“wlan-net”，SSID就是STA掃描到的無線網(wǎng)絡(luò)的名稱。[AC-wlan-view]ssid-profilenamewlan-net[AC-wlan-ssid-prof-wlan-net]ssidwlan-net[AC-wlan-ssid-prof-wlan-net]quit9.2.4WLAN的基本業(yè)務(wù)配置流程配置WLAN業(yè)務(wù)參數(shù)（9.2.4WLAN的基本業(yè)務(wù)配置流程配置WLAN業(yè)務(wù)參數(shù)（續(xù)）創(chuàng)建名為“wlan-net”的VAP模板，配置業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)模式為直接轉(zhuǎn)發(fā)、業(yè)務(wù)VLAN為VLAN101，并且引用安全模板和SSID模板。[AC-wlan-view]vap-profilenamewlan-net[AC-wlan-vap-prof-wlan-net]forward-modedirect-forward[AC-wlan-vap-prof-wlan-net]service-vlanvlan-id101[AC-wlan-vap-prof-wlan-net]security-profilewlan-net[AC-wlan-vap-prof-wlan-net]ssid-profilewlan-net[AC-wlan-vap-prof-wlan-net]quit9.2.4WLAN的基本業(yè)務(wù)配置流程配置WLAN業(yè)務(wù)參數(shù)（9.2.4WLAN的基本業(yè)務(wù)配置流程配置WLAN業(yè)務(wù)參數(shù)（續(xù)）配置AP組引用VAP模板，AP上射頻0和射頻1都使用VAP模板“wlan-net”的配置。[AC-wlan-view]ap-groupnameap-group1[AC-wlan-ap-group-ap-group1]vap-profilewlan-netwlan1radio0[AC-wlan-ap-group-ap-group1]vap-profilewlan-netwlan1radio1[AC-wlan-ap-group-ap-group1]quit9.2.4WLAN的基本業(yè)務(wù)配置流程配置WLAN業(yè)務(wù)參數(shù)（9.2.4WLAN的基本業(yè)務(wù)配置流程配置AP射頻的信道和功率例中的AP具有射頻0和射頻1兩個(gè)射頻。AP的射頻0為2.4GHz射頻，射頻1為5GHz射頻。該例子關(guān)閉AP1（ID為0）射頻0的信道自動(dòng)選擇功能和功率自動(dòng)調(diào)優(yōu)功能（eNSP中可能不支持），并配置AP1射頻0的信道為信道6、帶寬為20MHz，功率為127mw。其中EIRP為有效全向輻射功率。[AC-wlan-view]ap-id0[AC-wlan-ap-0]radio0[AC-wlan-radio-0/0]calibrateauto-channel-selectdisable[AC-wlan-radio-0/0]calibrateauto-txpower-selectdisable[AC-wlan-radio-0/0]channel20mhz6Warning:Thisactionmaycauseserviceinterruption.Continue?[Y/N]y[AC-wlan-radio-0/0]eirp127[AC-wlan-radio-0/0]quit9.2.4WLAN的基本業(yè)務(wù)配置流程配置AP射頻的信道和功9.2.4WLAN的基本業(yè)務(wù)配置流程配置AP射頻的信道和功率（續(xù)）關(guān)閉AP1射頻1的信道和功率自動(dòng)調(diào)優(yōu)功能，并配置AP射頻1的信道和功率。[AC-wlan-ap-0]radio1[AC-wlan-radio-0/1]calibrateauto-channel-selectdisable[AC-wlan-radio-0/1]calibrateauto-txpower-selectdisable[AC-wlan-radio-0/1]channel20mhz149Warning:Thisactionmaycauseserviceinterruption.Continue?[Y/N]y[AC-wlan-radio-0/1]eirp127[AC-wlan-radio-0/1]quit9.2.4WLAN的基本業(yè)務(wù)配置流程配置AP射頻的信道和功9.3WLAN漫游移動(dòng)終端（STA）是會(huì)移動(dòng)的，當(dāng)移動(dòng)終端在同一個(gè)AP信號(hào)覆蓋下移動(dòng)并不稱為漫游，只有當(dāng)移動(dòng)終端在不同AP信號(hào)覆蓋范圍之間移動(dòng)才稱為漫游。可以漫游是AC+AP組網(wǎng)的一大特點(diǎn)。9.3WLAN漫游移動(dòng)終端（STA）是會(huì)移動(dòng)的，當(dāng)移動(dòng)終端9.3.1漫游簡介AP的信號(hào)覆蓋范圍為幾米到幾十米，當(dāng)移動(dòng)終端（STA）移動(dòng)時(shí)，會(huì)發(fā)生WLAN漫游。WLAN漫游是指STA在不同AP覆蓋范圍之間移動(dòng)，且保持用戶業(yè)務(wù)不中斷的行為。如圖9-24所示，STA從AP1的覆蓋范圍移動(dòng)到AP2的覆蓋范圍時(shí)保持業(yè)務(wù)不中斷。9.3.1漫游簡介AP的信號(hào)覆蓋范圍為幾米到幾十米，當(dāng)移動(dòng)9.3.1漫游簡介WLAN漫游技術(shù)要解決以下問題：避免漫游過程中的認(rèn)證時(shí)間過長可能導(dǎo)致丟包甚至業(yè)務(wù)中斷。用戶的認(rèn)證和授權(quán)信息是用戶訪問網(wǎng)絡(luò)的通行證，漫游后業(yè)務(wù)不中斷要求用戶在AC上的認(rèn)證和授權(quán)信息不變。應(yīng)用層協(xié)議均使用IP地址和TCP/UDP會(huì)話為用戶業(yè)務(wù)承載，漫游后的用戶必須能夠保持原IP地址不變，才能保證對應(yīng)的TCP/UDP會(huì)話不中斷，應(yīng)用層數(shù)據(jù)能夠正常轉(zhuǎn)發(fā)。9.3.1漫游簡介WLAN漫游技術(shù)要解決以下問題：9.3.2漫游過程切換檢測當(dāng)STA檢測到要發(fā)生快速切換時(shí)，將向各信道發(fā)送切換請求。STA監(jiān)聽各信道beacon，發(fā)現(xiàn)新AP滿足漫游條件，向新AP發(fā)送probe請求。新AP在其信道中收到請求后，通過在信道中發(fā)送應(yīng)答來進(jìn)行響應(yīng)。STA收到應(yīng)答后，對其進(jìn)行評估，確定同哪個(gè)AP關(guān)聯(lián)最合適。9.3.2漫游過程切換檢測9.3.2漫游過程切換觸發(fā)STA達(dá)到漫游閾值就會(huì)觸發(fā)切換。對于觸發(fā)條件，不同的STA會(huì)有不同的方式：當(dāng)前AP和鄰近AP信號(hào)強(qiáng)度的對比達(dá)到門限值就啟動(dòng)切換；業(yè)務(wù)（如丟包率）達(dá)到門限值就啟動(dòng)切換，此切換觸發(fā)方式較慢，效果差。9.3.2漫游過程切換觸發(fā)9.3.2漫游過程切換操作關(guān)聯(lián)新AP，解除與老AP的關(guān)聯(lián)。不同的STA會(huì)有不同的操作方式，在一般情況下，STA在發(fā)送切換請求后，發(fā)送關(guān)聯(lián)新AP的請求，待請求被接受后，再關(guān)聯(lián)新的AP，然后解除與老AP的關(guān)聯(lián)。但有的STA也會(huì)先解除與老AP的關(guān)聯(lián)，再關(guān)聯(lián)新AP。9.3.2漫游過程切換操作9.3.3WLAN漫游的網(wǎng)絡(luò)架構(gòu)漫游分類根據(jù)STA是否在同一個(gè)AC內(nèi)漫游，可以分為AC內(nèi)漫游和AC間漫游。AC內(nèi)漫游是指STA漫游前后所關(guān)聯(lián)的AP由同一個(gè)AC進(jìn)行控制。無需再進(jìn)行額外的配置，AC設(shè)備即支持AC內(nèi)漫游功能，此時(shí)用戶已經(jīng)可以在關(guān)聯(lián)于同一個(gè)AC的AP間進(jìn)行漫游。AC間漫游是指STA漫游前后所關(guān)聯(lián)的AP由不同AC進(jìn)行控制。AC間漫游需要額外的配置。根據(jù)STA是否在同一個(gè)子網(wǎng)內(nèi)漫游，可以將漫游分為：二層漫游、三層漫游。二層漫游是指漫游前后STA在同一個(gè)子網(wǎng)。三層漫游是指漫游前后STA在不同的子網(wǎng)，三層漫游有兩種情況，一種是漫游前后兩個(gè)子網(wǎng)的VLANID不同、子網(wǎng)也不同，另一種是漫游前后兩個(gè)子網(wǎng)的VLANID相同、子網(wǎng)卻不同。9.3.3WLAN漫游的網(wǎng)絡(luò)架構(gòu)漫游分類9.3.3WLAN漫游的網(wǎng)絡(luò)架構(gòu)漫游分類（續(xù)）9.3.3WLAN漫游的網(wǎng)絡(luò)架構(gòu)漫游分類（續(xù)）9.3.3WLAN漫游的網(wǎng)絡(luò)架構(gòu)漫游相關(guān)概念STA先后從AP1、AP2漫游到了AP3。STA從AP1覆蓋范圍漫游到AP2覆蓋范圍的過程中，因?yàn)锳P1和AP2均與AC1進(jìn)行關(guān)聯(lián)，所以此次漫游為AC內(nèi)漫游。STA第一次上線與AP1關(guān)聯(lián)，AP1即為STA的HAP，AP2即為STA的FAP，AC1既為STA的HAC，也為STA的FAC。STA從AP2覆蓋范圍漫游到AP3覆蓋范圍的過程中，因?yàn)锳P2和AP3分別與AC1和AC2關(guān)聯(lián)，漫游需要跨越不同的AC，所以此次漫游為AC間漫游。AP1即為STA的HAP，AC1即為STA的HAC，AP3即為STA的FAP，AC2即為STA的FAC。AC間漫游的前提是AC1和AC2分配到同一個(gè)漫游組內(nèi)，只有同一個(gè)漫游組內(nèi)的AC間才能進(jìn)行漫游，漫游組內(nèi)的AC可以通過AC間隧道進(jìn)行數(shù)據(jù)同步和報(bào)文轉(zhuǎn)發(fā)。9.3.3WLAN漫游的網(wǎng)絡(luò)架構(gòu)漫游相關(guān)概念9.3.3WLAN漫游的網(wǎng)絡(luò)架構(gòu)漫游相關(guān)概念（續(xù)）HAC（HomeAC）：一個(gè)無線終端首次與某個(gè)AC進(jìn)行關(guān)聯(lián)，該AC即為它的HAC，如圖9-28所示，AC1即為STA的HAC。HAP（HomeAP）：一個(gè)無線終端首次與某個(gè)AP進(jìn)行關(guān)聯(lián)，該AP即為它的HAP，如圖9-28所示，AP1即為STA的HAP。FAC（ForeignAC）：一個(gè)無線終端漫游后關(guān)聯(lián)的AC即為它的FAC，如圖9-28所示，AC2即為STA的FAC。FAP（ForeignAP）：一個(gè)無線終端漫游后關(guān)聯(lián)的AP即為它的FAP，如圖9-28所示，AP3即為STA的FAP。9.3.3WLAN漫游的網(wǎng)絡(luò)架構(gòu)漫游相關(guān)概念（續(xù)）9.3.3WLAN漫游的網(wǎng)絡(luò)架構(gòu)漫游相關(guān)概念（續(xù)）AC內(nèi)漫游：如果漫游過程中關(guān)聯(lián)的是同一個(gè)AC，這次漫游就是AC內(nèi)漫游，如圖所示，STA在從AP1漫游到AP2的過程即為AC內(nèi)漫游。AC間漫游：如果漫游過程中關(guān)聯(lián)的不是同一個(gè)AC，這次漫游就是AC間漫游，如圖所示，STA在從AP1漫游到AP3的過程即為AC間漫游。AC內(nèi)漫游可看作是AC間漫游的一種特殊情況，即HAC和FAC重合。漫游組：在WLAN網(wǎng)絡(luò)中，可以對不同的AC進(jìn)行分組，STA可以在同一個(gè)組的AC間進(jìn)行漫游，這個(gè)組就叫漫游組。AC間隧道：為了支持AC間漫游，漫游組內(nèi)的所有AC需要同步每個(gè)AC管理的STA和AP設(shè)備的信息，因此在AC間建立一條隧道作為數(shù)據(jù)同步和報(bào)文轉(zhuǎn)發(fā)的通道。AC間隧道也是利用CAPWAP協(xié)議創(chuàng)建的。如圖所示，AC1和AC2間建立AC間隧道進(jìn)行數(shù)據(jù)同步和報(bào)文轉(zhuǎn)發(fā)。9.3.3WLAN漫游的網(wǎng)絡(luò)架構(gòu)漫游相關(guān)概念（續(xù)）選擇題關(guān)于AD-Hoc組網(wǎng)，（）的描述是錯(cuò)誤的。A.所有節(jié)點(diǎn)的地位平等B.無設(shè)置任何的中心控制節(jié)點(diǎn)C.需要特殊的AP支持D.組網(wǎng)成本低關(guān)于AP，（）的描述是錯(cuò)誤的。A.家用無線路由器是一種FATAPB.和FATAP相比，F(xiàn)ITAP的功能較弱C.FITAP能獨(dú)立組網(wǎng)D.FATAP可以升級(jí)為FITAP，反向不行選擇題選擇題（）是AC和AP之間使用的協(xié)議。（多選）A.LWAPPB.CAPWAPC.SLAPPD.WPA2（）是AC+瘦AP組無線局域網(wǎng)時(shí)數(shù)據(jù)流直接轉(zhuǎn)發(fā)的特點(diǎn)。A.AC所受壓力小B.AC集中轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文，安全性更高C.業(yè)務(wù)數(shù)據(jù)必須經(jīng)過AC封裝轉(zhuǎn)發(fā)D.報(bào)文轉(zhuǎn)發(fā)效率低選擇題選擇題（）不是必選的CAPWAP隧道建立過程。A.DiscoveryB.ImageDataC.ConfigureD.Join關(guān)于直連式、旁掛式組網(wǎng)，（）的描述是錯(cuò)誤的。A.直連式組網(wǎng)方式中AC需要轉(zhuǎn)發(fā)移動(dòng)終端的數(shù)據(jù)流，壓力較大B.直連式組網(wǎng)常常需要改變原有拓?fù)銫.不論是直接轉(zhuǎn)發(fā)還是隧道轉(zhuǎn)發(fā)，旁掛式組網(wǎng)移動(dòng)終端的數(shù)據(jù)流不需要經(jīng)過AC就能到達(dá)上層網(wǎng)絡(luò)D.在大型網(wǎng)絡(luò)中，旁掛式組網(wǎng)是較為常用的組網(wǎng)方式選擇題選擇題關(guān)于AC+瘦AP組網(wǎng)中的VLAN，（）的描述是錯(cuò)誤的。A.業(yè)務(wù)VLAN主要負(fù)責(zé)傳輸WLAN用戶的數(shù)據(jù)B.管理VLAN主要用來實(shí)現(xiàn)AC和AP直接的通信C.業(yè)務(wù)VLAN、管理VLAN通常是不同的VLAND.AC、AP所在的管理VLAN必須不同選擇題判斷題胖AP和瘦AP相比，胖AP體積比較大、重量大、耗電大。（）業(yè)務(wù)數(shù)據(jù)不需要經(jīng)過AC封裝轉(zhuǎn)發(fā)，報(bào)文轉(zhuǎn)發(fā)效率高，AC所受壓力小，是直接轉(zhuǎn)發(fā)模式的優(yōu)點(diǎn)。（）業(yè)務(wù)數(shù)據(jù)必須經(jīng)過AC封裝轉(zhuǎn)發(fā)，報(bào)文轉(zhuǎn)發(fā)效率比直接轉(zhuǎn)發(fā)方式低，AC所受壓力大，是隧道轉(zhuǎn)發(fā)模式的缺點(diǎn)。（）AC發(fā)現(xiàn)AP時(shí)，總是以廣播方式發(fā)送iscoveryRequest。（）AC+AP組網(wǎng)中，管理VLAN中傳輸?shù)亩际强刂茍?bào)文。（）判斷題本章介紹了使用AC加瘦AP組建WLAN的相關(guān)知識(shí)和配置。瘦AP不能單獨(dú)運(yùn)行，需要AC的控制，AC和AP之間使用CAPWAP協(xié)議進(jìn)行通信，CAPWAP協(xié)議有控制報(bào)文和數(shù)據(jù)報(bào)文兩種報(bào)文，AC和AP之間的CAPWAP隧道建立主要包含八個(gè)過程，有些過程是可選。根據(jù)AC的位置，組網(wǎng)方式有直連式、旁掛式組網(wǎng)；根據(jù)AC和AP所在的子網(wǎng)，有二層組網(wǎng)和三層組網(wǎng)；根據(jù)數(shù)據(jù)流是否經(jīng)過AC，有直接轉(zhuǎn)發(fā)和隧道轉(zhuǎn)發(fā)；這些方式可以組合成八種組網(wǎng)方式。AC加瘦AP組建WLAN的主要配置步驟有：創(chuàng)建AP組、配置網(wǎng)絡(luò)互通、配置AC系統(tǒng)參數(shù)、配置AC為AP下發(fā)WLAN業(yè)務(wù)。無線終端可以在WLAN中漫游，一個(gè)AC內(nèi)的漫游無須額外的配置。本章以兩個(gè)案例介紹了AC加瘦AP組建WLAN的配置。本章介紹了使用AC加瘦AP組建WLAN的相關(guān)知識(shí)和配置。瘦A1+X證書網(wǎng)絡(luò)系統(tǒng)建設(shè)與運(yùn)維(高級(jí))第09章-無線局域網(wǎng)課件第9章

無線局域網(wǎng)第9章無線局域網(wǎng)學(xué)習(xí)目標(biāo)了解WLAN的組網(wǎng)方式。了解CAPWAP協(xié)議。了解AC+AP的幾種組網(wǎng)方式：二層組網(wǎng)、三層組網(wǎng)；直連式組網(wǎng)、旁掛式組網(wǎng)。了解WLAN中終端的漫游過程。掌握AC+AP直連式二層組網(wǎng)配置。掌握AC+AP旁掛式三層組網(wǎng)配置。學(xué)習(xí)目標(biāo)了解WLAN的組網(wǎng)方式。9.1無線接入點(diǎn)控制和配置協(xié)議9.1.1WLAN組網(wǎng)方式9.1.2CAPWAP協(xié)議9.1.3WLAN轉(zhuǎn)發(fā)模式9.1.4CAPWAP協(xié)議的隧道建立與維護(hù)9.2AC+瘦AP組網(wǎng)9.2.1二層、三層組網(wǎng)9.2.2直連式、旁掛式組網(wǎng)9.2.3AC+AP組網(wǎng)中的VLAN9.2.4WLAN的基本業(yè)務(wù)配置流程9.1無線接入點(diǎn)控制和配置協(xié)議9.3WLAN漫游9.3.1漫游簡介9.3.2漫游過程9.3.3WLAN漫游的網(wǎng)絡(luò)架構(gòu)9.3WLAN漫游9.1無線接入點(diǎn)控制和配置協(xié)議WLAN的組網(wǎng)方式很多，不同方式滿足不同的用戶需求，大型企業(yè)或者園區(qū)網(wǎng)絡(luò)中通常采用AC+瘦AP這種方式，該方式要求很多技術(shù)的支持。9.1無線接入點(diǎn)控制和配置協(xié)議WLAN的組網(wǎng)方式很多，不同9.1.1WLAN組網(wǎng)方式SSID（ServiceSetIdentifier）：表示無線網(wǎng)絡(luò)的標(biāo)識(shí)，用來區(qū)分不同的無線網(wǎng)絡(luò)。STA1APSTA2SSID:marketingSSID:officeBSA9.1.1WLAN組網(wǎng)方式SSID（ServiceSet9.1.1WLAN組網(wǎng)方式AP支持多SSID0025.9e45.24a90025.9e45.24a0我加入:“Internal”，0025.9e45.24a0APSTA1