高級路由交換技術（微課版）項目6 部署與實施無線網(wǎng)絡

項目7無線網(wǎng)線規(guī)劃與部署項目概述完成無線網(wǎng)絡部署采用旁掛式的部署方案STA與AP地址由AC統(tǒng)一分配本項目要完成的網(wǎng)絡需求如下：

PC地址由核心交換機分配AC采用VLAN池模式

S2G0/0/1G0/0/2G0/0/2S4G0/0/3NJLBOXG1/0/1XG1/0/2XG1/0/3XG1/0/3XG1/0/1XG1/0/1XG1/0/2XG1/0/2S1G0/0/3G0/0/2G0/0/1G0/0/1G0/0/2G0/0/3ACG0/0/3G0/0/0S3G0/0/2G0/0/1G0/0/1APPC知識目標WLAN基礎知識WLAN組網(wǎng)架構WLAN工作原理WLAN配置命令技能目標規(guī)劃WLAN組網(wǎng)規(guī)劃WLAN參數(shù)WLAN配置過程與方法WLAN優(yōu)化與驗證學習目標7.1WLAN基礎知識WLAN系統(tǒng)通過電磁波來傳輸信息。WLAN常用的2.4G頻段和5G頻段分別屬于特高頻和超高頻。（1）

頻段與信道γ射線無線電微波紅外線可見光紫外線X射線100102104106108101010121014101610181020102210241026/HZ??極低頻超低頻特低頻甚低頻

低頻

中頻

高頻

甚高頻

特高頻

超高頻

極高頻3303003K30K300K3M30300M3G30G300G??/HZ2.4GHZ5GHZ12345678910111213142.4122.4172.4222.4272.4322.4372.4422.4472.4522.4572.4622.4672.4722.484信道中心頻率（GHz）7.1WLAN基礎知識2.4GHz頻段的頻率范圍為2.4GHz~2.4835GHz，被劃分為14個信道，相鄰信道的中心頻率間隔為5MHz。IEEE802.11b標準規(guī)定信道帶寬為22MHz，只有1、6和11信道是非重疊信道，可以在同一空間部署。其他標準規(guī)定信道帶寬為20MHz，1、5、9和13信道是非重疊信道，可以在同一空間部署。（1）

頻段與信道7.1WLAN基礎知識通過非重疊信道可以實現(xiàn)同一物理空間信號交叉覆蓋而不產(chǎn)生信號干擾。（1）

頻段與信道AP1信道1AP2信道6AP3信道11AP4信道11AP5信道1AP6信道1AP7信道6AP8信道11信道

3640

444852566064149153157161165

我國不可用......5.17GHz5.25GHz5.735GHz5.33GHz5.835GHz信道寬帶20MHz7.1WLAN基礎知識5GHz頻段的頻率范圍為5.150GHz~5.835GHz，我國開放了13個信道，每個信道帶寬為20MHz。在高密或者2.4GHz干擾嚴重的環(huán)境中，建議優(yōu)先選擇5GHz頻段，提升用戶體驗。（1）

頻段與信道7.1WLAN基礎知識（2）WLAN與Wi-FiIEEE標準Wi-Fi命名頻段最高理論速率IEEE802.11bWi-Fi2.4GHz11Mbit/sIEEE802.11aWi-Fi25GHz54Mbit/sIEEE802.11gWi-Fi32.4GHz54Mbit/sIEEE802.11nWi-Fi42.4GHz、5GHz600Mbit/sIEEE802.11acWi-Fi55GHz6.93Gbit/sIEEE802.11axWi-Fi62.4GHz、5GHz9.6Gbit/sWi-Fi聯(lián)盟推出了Wi-Fi商標，負責Wi-Fi產(chǎn)品的認證測試，并將IEEE的標準命名為Wi-Fi。不同標準的頻段均為2.4GHz頻段或5GHz，但最高理論速率在不斷提升。7.1WLAN基礎知識（3）WLAN的基本設備AC用于對AP和RU進行統(tǒng)一控制和配置下發(fā)，使得AP和RU可以零配置上線。AP可以分為胖AP和瘦AP，胖AP不需要AC管理，可以獨立工作，瘦AP需要接受AC的統(tǒng)一管理。RU用于敏捷分布式組網(wǎng)中，接受AP的管理，適用于房間密度大、墻體結構復雜的場景。無線接入控制器AC無線接入點AP遠端單元RU7.1WLAN基礎知識（4）WLAN的基本概念一個物理AP可以創(chuàng)建出多個虛擬AP（VAP）。每個VAP對應一個BSS，擁有不同的BSSID和SSID。BSS：一個AP或RU覆蓋的整個范圍叫一個基本服務集BSS。BSSID：以AP或RU的MAC地址作為BSS的身份標識符BSSID。SSID：服務集標識，方便用戶標識不同WLAN信號。APBSSBSSID:00FF-A763-DF1FSSID:emloyeeBSSSSID:guestBSSID:00FF-A763-DF1FVAP1APVAP2BSSID:00FF-A763-DF2FSSID:employee7.1WLAN基礎知識（4）WLAN的基本概念ESS：擴展服務集，多個AP聯(lián)合對BSS進行擴展，形成覆蓋范圍更大的服務集。STA可以在ESS內(nèi)無縫漫游。ESSBSS1BSS2APAPSSID:emloyeeSSID:emloyee7.1WLAN基礎知識（5）CAPWAP協(xié)議CAPWAP是AC與AP間的專用通信協(xié)議，用于AC對AP進行集中管理?？刂茍笪腢DP端口號5246，數(shù)據(jù)報文UDP端口號5247。數(shù)據(jù)報文可以選擇是否使用DTLS加密，控制報文除“發(fā)現(xiàn)請求”和“發(fā)現(xiàn)應答”外，其他報文強制DTLS加密?？刂茍笪臄?shù)據(jù)報文IP首部UPD首部

CAPWAP前導CAPWAP首部

控制首部

信息要素IP首部UPD首部CAPWAP前導DTLS首部CAPWAP首部

控制首部

信息要素DTLS尾部

IP首部UPD首部CAPWAP前導CAPWAP首部

信息要素IP首部UPD首部CAPWAP前導DTLS首部CAPWAP首部

數(shù)據(jù)報文DTLS尾部AP......Internet數(shù)據(jù)報文控制報文CAPWAP隧道AP7.2

WLAN組網(wǎng)架構（1）WLAN組網(wǎng)方式FatAP組網(wǎng)方式不需要部署AC，在構建小型WLAN時部署方便，成本低。AC+FitAP組網(wǎng)方式AP可以零配置上線，在構建大型WLAN時部署方便。FatAP組網(wǎng)方式STASwitchFatAP......InternetFatAPSTAAC+FitAP組網(wǎng)方式Internet......STAACSwichFitAPFitAPSTA7.2

WLAN組網(wǎng)架構（1）WLAN組網(wǎng)方式AC負責統(tǒng)一管理中心AP和RU。中心AP不支持射頻功能，而是代理AC分擔對RU的集中管理和協(xié)同功能。RU作為射頻模塊，負責無線報文收發(fā)，并透傳給中心AP。中心AP和AC之間，以及RU和中心AP之間都采用CAPWAP協(xié)議進行通信。敏捷分布式組網(wǎng)適用于酒店、宿舍等存在大量房間且隔墻多的場景敏捷分布式組網(wǎng)InternetAC中心APSwitchRURUSTASTA.......7.2

WLAN組網(wǎng)架構（2）AC+AP組網(wǎng)方式二層組網(wǎng)方式AP和AC在同一個廣播域中，配置簡單，適合于小型WLAN。三層組網(wǎng)方式AP和AC不用限制于同一個二層網(wǎng)絡中，適合于構建大型WLAN，配置也更為復雜。二層組網(wǎng)三層組網(wǎng)二層網(wǎng)絡三層網(wǎng)絡7.2

WLAN組網(wǎng)架構（2）AC+AP組網(wǎng)方式直連式組網(wǎng)業(yè)務數(shù)據(jù)通過AC到達上層網(wǎng)絡，對AC的轉發(fā)性能要求高。旁掛式組網(wǎng)便于在有線網(wǎng)絡上新增WLAN，不會改變原有拓撲。直連式組網(wǎng)旁掛式組網(wǎng)InternetInternet......APAPACACInternetInternetAPAP......7.2

WLAN組網(wǎng)架構（3）

業(yè)務流量轉發(fā)方式直接轉發(fā)模式STA業(yè)務數(shù)據(jù)直接由交換機轉發(fā)，不經(jīng)過AC。CAPWAP隧道僅封裝AP與AC之間的控制報文。隧道轉發(fā)模式不管業(yè)務流量還是控制流量，全部經(jīng)AP由CAPWAP隧道封裝至AC。直接轉發(fā)隧道轉發(fā)AP......Internet數(shù)據(jù)報文控制報文CAPWAP隧道APAP......Internet數(shù)據(jù)報文控制報文CAPWAP隧道AP7.2

WLAN組網(wǎng)架構（4）管理/業(yè)務VLAN管理VLAN用于AC對AP的管理，包括AC與AP間的DHCP報文交換和CAPWAP報文交互等。業(yè)務VLAN是WLAN用戶接入后所在的VLAN，負責傳輸WLAN用戶上網(wǎng)時產(chǎn)生的業(yè)務數(shù)據(jù)。為了方便STA地址的管理，應對大量用戶接入，業(yè)務VLAN推薦使用VLAN池。InternetAC......APAP......STASTA管理VLAN掃描驗證關聯(lián)AP主動請求更新配置AC主動請求更新配置7.3

WLAN工作流程AP上線AP獲取IP地址WLAN配置下發(fā)無線用戶接入AP發(fā)現(xiàn)ACAP接入控制AP版本升級7.3

WLAN工作流程（1）AP上線AP獲取IP地址靜態(tài)配置IP地址動態(tài)配置IP地址DHCP服務器三層交換機ACAP獲取IP地址AP發(fā)現(xiàn)ACAP接入控制AP版本升級Internet......STAACSwichFitAPSTAFitAP7.3

WLAN工作流程（1）AP上線AP通過靜態(tài)方式發(fā)現(xiàn)ACAP通過DHCP方式發(fā)現(xiàn)ACAP發(fā)現(xiàn)AC有靜態(tài)、DHCP和廣播方式三種。廣播方式用于AP與AC在同一個二層網(wǎng)絡中。AP獲取IP地址AP發(fā)現(xiàn)ACAP接入控制AP版本升級發(fā)現(xiàn)請求發(fā)現(xiàn)響應APACDHCPDiscoverDHCPOffer（攜帶AC的IP地址）DHCPRequestDHCPACK(攜帶AC的IP地址)DHCP服務器APAC發(fā)現(xiàn)請求

發(fā)現(xiàn)請求發(fā)現(xiàn)響應

發(fā)現(xiàn)響應AC7.3

WLAN工作流程（1）AP上線AP的認證分為MAC認證、SN認證和不認證三種。AP認證不通過，會被AC放入未授權AP列表中，需管理員手工確認后，AC才會回復加入響應消息允許或拒絕AP上線AP獲取IP地址AP發(fā)現(xiàn)ACAP接入控制AP版本升級接入請求接入響應APAC7.3

WLAN工作流程（1）AP上線AP通過接入響應報文中的參數(shù)判斷是否需要升級。AP的版本升級方式包括AC模式、FTP模式和SFTP模式三種。AP在版本更新完成后重新啟動，重復獲取IP地址、發(fā)現(xiàn)AC、接入控制三個步驟。AP獲取IP地址AP發(fā)現(xiàn)ACAP接入控制AP版本升級版本更新請求版本更新響應APAC7.3

WLAN工作流程（2）WLAN配置下發(fā)AP完成上線后，會主動發(fā)送配置狀態(tài)請求。當配置與AC要求的配置不符時，AC推送配置信息完成同步。AP配置同步后，如果AC對配置進行了更新，會主動發(fā)現(xiàn)配置更新請求。AP更新完配置后回復更新響應。AP主動請求更新配置AC主動請求更新配置配置狀態(tài)請求配置狀態(tài)響應APAC配置更新請求配置更新響應APAC7.3

WLAN工作流程（3）無線用戶接入掃描驗證關聯(lián)無線客戶端AP2AP1（無SSID=test）（有SSID=test）探尋請求(SSID=test)探尋請求(SSID=test)探尋響應無線客戶端AP2AP1探尋請求(SSID=空)探尋請求(SSID=空)探尋響應探尋響應主動掃描（攜帶SSID）主動掃描（不攜帶SSID）掃描分STA主動掃描與被動掃描。主動掃描又分為攜帶SSID與不攜帶SSID兩種。7.3

WLAN工作流程（3）無線用戶接入掃描驗證關聯(lián)默認情況下，AP發(fā)送Beacon幀的時間間隔是102.4ms。主動掃描有助于STA更快地發(fā)現(xiàn)周圍的AP，但同時功耗也會更高。被動掃描相比于主動掃描的優(yōu)勢是可以降低STA的功耗，在現(xiàn)網(wǎng)中更為常用。Beacon（包含SSID）探尋響應探尋請求STAAP7.3

WLAN工作流程（3）無線用戶接入掃描驗證關聯(lián)安全策略WEP（IEEE802.11）WPA（Wi-Fi聯(lián)盟）WPA2（IEEE802.11i）WPA3（Wi-Fi聯(lián)盟）提出時間1997200320042018加密方式WEPTKIPCCMPCNSA套件加密算法RC4RC4AESAES或GCMP-256無線網(wǎng)絡驗證開放系統(tǒng)驗證共享密鑰驗證WEPWPAWPA2WPA37.3

WLAN工作流程（3）無線用戶接入掃描驗證關聯(lián)無線客戶端AP認證請求認證響應開放系統(tǒng)驗證的本質(zhì)是不執(zhí)行驗證。開放系統(tǒng)驗證一般用于公共場合供用戶接入。7.3

WLAN工作流程（3）無線用戶接入掃描驗證關聯(lián)無線客戶端AP認證響應（包含挑戰(zhàn)短語）認證響應認證響應（Success）（包含加密的挑戰(zhàn)短語）認證請求共享密鑰驗證一般用于企業(yè)內(nèi)部或家庭接入。7.3

WLAN工作流程（3）無線用戶接入掃描驗證關聯(lián)關聯(lián)階段協(xié)商的內(nèi)容包括STA支持的速率及信道等。AC在關聯(lián)階段判斷STA是否需要接入認證。APSTA關聯(lián)請求關聯(lián)請求關聯(lián)響應關聯(lián)響應CAPWAP封裝7.4

WLAN基本配置AC上的WLAN

相關配置配置CAPWAP源接口或源IP地址配置AP認證方式配置AP上線AP或AP組域管理模板VAP模板配置國家碼等安全模板SSID模板配置轉發(fā)方式配置業(yè)務VLAN配置認證策略、加密算法、加密密鑰等配置SSID名稱等[AC]capwapsource{interface

vlanif

vlan-id|ip-address

x.x.x.x}AC將以所配置的接口或IP地址與AP建立CAPWAP隧道。[AC-wlan-view]apauth-mode{mac-auth|no-auth|sn-auth}默認情況下，設備將采用MAC認證方式。[AC-wlan-view]ap-groupname

group-name通過將需要相同配置的AP加入同一AP組，可以實現(xiàn)AP批量配置，提升配置效率。7.4

WLAN基本配置1.配置CAPWAP源接口或源IP地址2.配置AP上線的認證方式3.創(chuàng)建AP組[AC-wlan-view]ap-id

ap-id[ap-macap-mac|ap-sn

ap-sn][AC-wlan-ap-0]ap-name

ap-name[AC-wlan-ap-0]ap-groupgroup-name配置AP的ID、MAC地址或序列號，進入ap-id視圖。在ap-id視圖配置AP名。在ap-id視圖將AP加入AP組。7.4

WLAN基本配置4.離線導入AP[AC-wlan-view]regulatory-domain-profilename

profile-name[AC-wlan-regulate-domain-name]country-code

country-code創(chuàng)建域管理模板，默認情況下，系統(tǒng)中存在一個名為default的域管理模板。默認情況下，華為設備的國家碼標識為CN。所以在中國區(qū)域部署華為AP，可以不用配置國家碼。[AC-wlan-view]security-profilename

profile-name[AC-wlan-sec-prof-name]security

authentication-policy

authentication-mode

pass-phrase

password

encryption-algorithm創(chuàng)建安全模板，默認情況下，系統(tǒng)中存在一個名為default的安全模板。security命令行配置認證策略、認證方式、認證口令、加密方式的組合。authentication-policy包含open、wapi、wep、wpa、wpa2、wpa3，也可以是它們的組合。authentication-mode包含psk、dot1x。encryption-algorithm包含AES、TKIP以及它們的組合等。7.4

WLAN基本配置5.配置域管理模板6.配置安全模板[AC-wlan-view]ssid-profilename

profile-name[AC-wlan-ssid-prof-name]ssid

ssid-name創(chuàng)建SSID模板，默認情況下，系統(tǒng)中存在一個名為default的SSID模板。[AC-wlan-view]vap-profilename

profile-name[AC-wlan-vap-prof-name]forward-mode

{direct-forward|tunnel}[AC-wlan-vap-prof-name]service-vlan{vlan-pool

pool-name|vlan-id}創(chuàng)建VAP模板，默認情況下，系統(tǒng)中存在一個名為default的VAP模板。默認情況下，VAP下轉發(fā)方式為直接轉發(fā)。如果業(yè)務VLAN綁定VLAN池，需要提前在系統(tǒng)視圖下通過vlan-poolpool-name命令行創(chuàng)建VLAN池。7.4

WLAN基本配置7.配置SSID模板8.配置VAP模板[AC-wlan-view]ap-groupname

group-name[AC-wlan-ap-group-name]vap-profileprofile-name

wlan

wlan-idradioradi