无线通信与WLAN
|
139
|
1
|
网络
|
akun

11923 Words
|
49 minutes

移动通信与5G

  • 1G:1980s,语音
  • 2G:1990s,短信
  • 3G:2000s,社交应用
  • 4G:2010s,在线,互动,游戏
  • 5G:VR虚拟现实,“零”延时感。

移动通信制式:

中国移动:GSM,TD-SCDMA,TD-LTE,SA和NSA。

中国联通:GSM,WCDMA,TD-LTE/FDD-LTE,SA和NSA。

中国电信:CDMA,CDMA2000,TD-LTE/FDD-LTE,SA和NSA。

CDMA码分多址,TD是时分复用,FDD是频分复用。

5G的关键技术:

  1. 超密集异构无线网络,
  2. 大规模输入输出(MIMO),MIMO技术是增加网络传输速度的
  3. 毫米波通信,
  4. 软件定义网络(SDN):SDN主要实现的是控制层面和数据层面的分离。
  5. 网络切片技术:5G采用网络切片技术,可以将5G网络分割成多张虚拟网络,每个网络的接入,传输和核心网是逻辑独立的,任何一个虚拟网络发生故障都不会影响到其它虚拟网络。
  6. 网络功能虚拟化(NFV)是通过一台服务器安装各种网络管理的软件就可以实现网络设备的功能。

5G的应用场景:增强型移动互联网(eMBB),海量连接物联网(mTC),超低时延高可靠通信(uRLLC)

WLAN通信技术

无线网络主要用三种通信技术:线外线,扩展频谱(扩谱)和窄带微波技术。

扩展频谱通信:将信号散步到更高的带宽上以减少发送阻塞和干扰的机会。

WLAN主要使用扩展频普技术:频率跳动扩频FHSS(蓝牙)和直接序列扩展频谱DSSS(WIFI)。

WLAN频谱与信道

WLAN网络可以分为三类:基础无线网络,Ad Hoc网络和分布式无线系统。

基础无线网络(Infrastructure Networking):用户通过无线接入点AP接入。

特殊网络(Ad Hoc Networking):用于军用自组网或寝室局域网联关机游戏。

分布式无线系线:通过AC控制大量AP组成的无线网络。

ISM频段:ISM频段主要是开放给工业,科学,医学机构使用,该频段是依据美国联邦通信委员会(FCC)所定义出来,并没有所谓使用授权的限制。

  1. 工业频段:902~928MHz
  2. 科学频段:2.4~24835GHz
  3. 医疗频段:5.725~5.875GHz

不重叠信道:

  • 2.4G频段:13个信道,3个不重叠信道(1、6和11),13个信道的中心频率间隔为5,干扰最小。
  • 5G+5.8G频段:开放的不重叠信道有5个,在中国,5.8GHz频段内有5个非重叠信道,分别为:149,153,157,161,165。

信道重用与AP部署:2.4G水平部署,2.4G垂直部署;5.8G水平部署,5.8G垂直部署。

802.11技术标准对比

802.11MAC层

802.11访问控制机制

  • 802.11标准为MAC子层定义了3种访问控制机制。
    • CSMA/CA分布式协调功能,大家争用访问(有竞争)。
    • RTS/CTS信道预约:要发送先打报告,其它终端记录信道占用时间。
    • PCF点协调功能:由AP集中轮询所有终端,将发送权限轮流交给各个终端,类似令牌(无竞争)。
  • 为什么不用CSMA/CD?
    • 隐藏节点和暴露节点

802.11三种帧间间隔:

  • DIFS(分布式协调IFS):最长的IFS,优先级最低,用于异步帧竞争访问的时延。DIFS主要用于CSMA/CA(载波侦听多路访问/冲突避免)机制中,这是一种在无线局域网中避免数据传输冲突的方法。通过使用DIFS,节点可以在发送数据前进行适当的延迟,以减少冲突的可能性。
  • PIFS:(点协调IFS):中等长度IFS,优先级居中,在PC操作中使用。PIFS主要应用于需要集中控制和无争用服务的场景,如语音和视频等实时业务,这些业务对传输时延和抖动有较高要求。通过使用PIFS,AP可以确保这些实时业务得到优先处理,从而提高网络的整体性能。
  • SIFS:(短IFS):最短IFS,优先级最高,用于需要立即响立的操作(确认ACK)。SIFS的主要作用是确保在无线局域网中,需要立即响应的帧能够优先发送,从而提高网络的效率和可靠性。

移动AD Hoc网络

802.11定义AD Hoc网络是由无线移动节点组成的对等网,无需网络基础设施的支持,每个节点既是主机,又是路由器,是一种MANET(Mobile Ad Hoc Network)网络。

Ad Hoc 是拉丁语,具有即兴、临时的意思。

MANET网络特点:

  1. 网络拓扑构是动态变化的,不能使用传统的路由协议。
  2. 无线信道提供的带宽较小,信号衰落和噪声干扰的影响却很大。
  3. 无线终端携带的电源能量有限。
  4. 容易招致网络窃听,欺骗,拒绝服务等恶意攻击威胁。

WLAN安全机制

  1. SSID访问控制,隐藏SSID,让不知道的人搜索不到。
  2. 物理地址过滤,在无线路由器设置MAC地址黑名单。
  3. WEP(Wired Equivalent Privacy)认证和加密,PSK预共享密钥认证,RC4加密。WEP 因安全漏洞已被淘汰。
  4. WPA(Wi-Fi Protected Access)(802.11i草案/过渡方案)
    • 认证:802.1x。
    • 原理:使用 TKIP 加密方式,基于 RC4 算法,通过动态密钥管理增强加密功能。
    • 加密:RC4(增强)+TKIP(临时密钥完整协议,动态改变密钥)支持完整性认证和防重故攻击。
    • 特点:增加了防止数据中途被篡改的功能和认证功能。
  5. WPA2(802.11i)
    • 原理:使用 AES-CCMP 加密方式,基于 AES 加密算法和 CCM 认证方式。
    • 针对WPA优化,加密协议是由RC4变为AES的CCMP。
    • 特点:安全性高,是实现 RSN 的强制性要求。
  6. WPA3
    • 原理:引入 SAE 同步认证协议,使用 Diffie-Hellman 密钥交换。
    • 特点:增强了开放网络的安全性,提供更强的加密机制。
  7. 综上所述,802.11 加密方式从 WEP 发展到 WPA、WPA2,再到 WPA3,安全性逐步提升。WEP 因安全漏洞已被淘汰,WPA 作为过渡方案,WPA2 目前广泛使用且安全性较高,而 WPA3 进一步增强了安全性和开放性。

AP:

AP→连接交换机→交换机连接路由器,相当于无线的沿长线。

AP是需要供电的,有插电式AP当很明显不方便也不美观,因此与AP连接的交换机最好是买有供电功能的,也叫PoE交换机(Power over Ethernet),通过以太网线来供电,这样就实现了“即能传输据又能供电”。

FAT AP:

(胖接入点)是一种集成了多种功能的无线接入设备,它将WLAN的物理层、业务数据加密、用户认证、QoS、网络管理、漫游技术以及其他应用层的功能集于一身

  1. 特点
    • 独立工作:FAT AP可以独立工作,不需要额外的控制器,每个AP都是一个单独的节点,能够独立配置其信道和功率。
    • 功能全面:具备加密、射频功能,以及用户认证、QoS、网络管理等功能。
    • 管理维护:设备结构复杂,且难于集中管理。
  2. 应用场景
    • SOHO或小型无线网络:适用于小规模无线部署,如家庭、小型办公室等场景。
    • 不方便布置网线的环境:通过无线桥接方式扩展无线信号覆盖范围。
  3. 与FIT AP的区别
    • 功能:FAT AP功能全面,而FIT AP功能单一,只有加密、射频功能,不能独立工作。
    • 网络解决方案:FAT AP直接在有线网基础上构成无线网络解决方案,而FIT AP需要与AC配合。
    • 管理维护:FAT AP难于集中管理,而FIT AP支持“零配置”,所有配置集中到AC上,便于集中管理。
    • 应用场景:FAT AP适用于小规模无线部署,而FIT AP适用于大规模无线部署,如大型企业网、行业无线应用等。
  4. 综上所述,FAT AP以其独立性和全面功能,在小型网络和不方便布线的环境中发挥着重要作用。然而,对于大规模网络部署,其管理复杂性可能成为挑战,此时可能需要考虑使用更易于集中管理的FIT AP解决方案。

FIT AP:

FIT AP(瘦接入点)是一种无线网络设备,通常与无线控制器(AC)配合使用,实现集中管理和控制。以下是关于FIT AP的详细介绍:

功能特点

  • 依赖AC:功能相对简单,主要负责无线信号的接收和发射,将有线网络转换为无线网络。
  • 集中管理:通过AC进行统一配置和管理,实现即插即用和零配置使用。
  • 支持漫游:支持无线漫游功能,用户在不同AP间移动时,信号可自动切换,无需重新认证。1

上线配置

  1. DHCP方式
    • 确保AP为出厂配置,以便即插即用自动上线。
    • 配置DHCP服务器,若AP与AC在同一网段,需防止AP受option 148参数影响切为云模式,可增加option 148参数ap-agilemode = tradition-fit。
    • 若AP与AC在不同网段,需在DHCP服务器上针对AP的DHCP地址池配置option 43参数,指定AC的IP地址,使AP获取IP地址时可通过option 43参数获取AC的IP地址,从而自动向AC发起注册。
  2. 静态IP方式
    • 在DHCP服务器中配置静态IP绑定,指定AP的IP地址和MAC地址。
    • 在AC视角配置provision配置,在AP第一次上线后,相关配置将永久保存在AP上。

应用场景

  • 适用于中大型无线网络建设,如商场、酒店、企业办公等,需要较大范围的无线网络覆盖和较多用户接入。

版本升级

  • 升级前需确保WLAN AC与FIT AP版本配套,如V200R008C10开头的WLAN AC和V200R008C10开头的FIT AP配套。
  • 升级过程中会造成业务中断,建议选择在业务量较小的时间执行设备升级。

与胖AP的区别

  • 功能:胖AP集成了AP和宽带路由器的功能,具备WAN、LAN端口,支持DHCP服务器、DNS、MAC地址克隆、VPN接入、防火墙等安全功能,可独立工作,实现拨号、路由等功能。
  • 应用场景:胖AP一般应用于小型的无线网络建设,如家庭、小型商户或小型办公类场景,这些场景通常只需要较少数量的AP即可完整覆盖。
  • 性能:胖AP需要单独进行配置,无法实现集中管理,管理和维护较为复杂,无线网络覆盖面积有限,且容易发生网络掉线现象,不支持无线漫游功能,用户在不同AP之间移动时需要重新连接和认证。

综上所述,FIT AP凭借其集中管理、易于扩展和维护的特性,在构建中大型无线网络时展现出显著优势,能够满足复杂环境下的无线覆盖需求,并提供稳定可靠的无线接入服务。

AC:

无线AC(Access Controller,接入控制器)是一种网络设备,负责集中管理无线网络中的无线接入点(APs)。以下是无线AC的主要功能和特点:

主要功能

  • 集中配置管理:允许网络管理员在单一平台上对多个AP进行统一配置,包括SSID设置、安全策略、射频参数等,提高配置效率和准确性。
  • 射频智能管理:自动优化AP的射频参数,如信道选择、功率调整等,以减少干扰、提高信号覆盖质量和网络容量。
  • 接入控制和认证:提供多种接入控制和认证机制,如MAC地址过滤、Portal认证等,保障网络安全。
  • 用户管理:记录用户的上网行为、统计用户数据,为网络管理员提供用户分析报告,帮助了解网络使用情况。
  • 性能监控与故障排查:实时监控网络性能、检测网络故障,并提供详细的故障报告和解决方案,降低故障恢复时间。
  • 多SSID支持:支持在同一物理网络上创建多个虚拟网络,每个网络拥有独立的SSID和安全策略,实现网络资源的灵活划分和隔离。
  • AP在线升级:支持向网络中的AP推送最新的固件版本和补丁程序,实现远程、自动化的升级操作。

特点

  • 统一管理:集中管理所有AP,简化网络管理复杂度,提升网络整体性能和安全性。
  • 运营级模块化机架结构:适合大中型无线网络,支持大数量AP环境和多用户并发。
  • 支持CAPWAP协议:实现无线控制器与AP之间的通信和管理。
  • 用户计费及认证功能:支持用户身份验证和计费管理。

应用场景

  • 大型企业网络:在大型办公区、工业园区等场景中,集中管理大量AP,确保网络覆盖全面、性能稳定。
  • 教育行业:在学校、图书馆等场所,支持多SSID功能,为师生提供不同权限的网络接入服务。
  • 酒店与餐饮业:保障客人流畅、安全的上网体验,提升服务质量。
  • 公共场所:在机场、火车站、购物中心等场所,覆盖广泛区域,满足大量用户的上网需求。

无线AC通过集中管理和优化无线网络资源,提高了网络的可靠性、安全性和用户体验,适用于各种规模的无线网络环境。

WLAN无线局域网

项目背景

在项目改造和升级过程中,前期的网络规划最为重要。

使用传统的有线网络,因为需要购买大量的耗材,增加了成本。

项目分析

如果想让网络具有较低的建设成本,以及高弹性,最好的方案就是,使用无线局域网,即WLAN(Wieless Local Area Network)。

解决方案

部署无线局域网,WLAN通过无线电波进行数据传输,使用IEEE802.11系列协议,称之为WiFi。

WiFi的优势:

  1. 更加普及:WLAN终端数量已超过有线终端。
  2. 更高效率:802.11n高达600Mbps,802.11ac>1Gbps。
  3. 更加安全:802.11i支持AES加密认证及EAP认证,WIDS/WIPS。
  4. 更易管理:eSight软件支持可视化、有线无线一体化管理。

传输介质不同:

  1. 有线网络使用双绞线,光纤进行连接。
  2. WLAN使用无线电波作为传输介质。

管理方式不同:

  1. 有线网络交换机是单独管理,也可以集中管理。
  2. WLAN使用AC集中管理,还要考虑用户漫游,统一认证等问题。

WLAN组网架构

项目背景

将现有的有线网络,升级为无线网络。

项目分析

在将有线网络升级为无线网络的方案中,我们需要了解常见的无线网络架构:AC直线式组网,AC旁挂式组网。

  1. AC直线式组网:数据访问互联网时需要经过AC。
  2. AC旁挂式组网:即AC不参与用户终端设备之间的数据流量转发。该组网方式,AC仅仅用于AP设备的管理,适用于大型无线局域网。

解决方案

AC直连式组网:即AC参与用户终端设备之间的数据流转发。该组网方式适用于小型企业网络,AC容易成为数据转发的瓶颈。

AC旁挂式组网:即AC不参与用户终端设备之间的数据流的转发。该组网方式,AC仅仅用于AP设备的管理,适用于大型无线局域网。

在整个无线网络中,有以下几种类型的设备组成:WLAN服务器、WLAN控制器、AP、POE交换机、WLAN终端。

WLAN控制器–Wireless Access Controller:盒式控制器、卡式控制器。

AP–Wireless Access Point:室内AP、室外AP

总结:

  1. 无线网络是由以下设备组成:AC、AP、PoE交换机、无线终端。
  2. WLAN控制器(AC)的主要作用是:集中管理AP。
  3. AP的主要作用是:为无线终端提供“网络连接”。
  4. PoE交换机的主要功能是:连接AP和AC,并为AP设备供电。
  5. 无线网络的组网架构,包含:直连式组网、旁挂式组网。
  6. 直连式组网:适合于小型企业无线网络。
  7. 旁挂式组网:适合于大型企业无线网络。

配置AP获取IP地址

项目背景

  1. 企业需要改造无线网络,使用旁挂式组网,确保可扩展性。
  2. 无线控制器AC连接在核心交换机上,属于VLAN 200。
  3. AP连接在汇聚层交换机上,AP的管理IP地址属于VLAN 100。
  4. 企业内网中存在4个VLAN,分别服务于内网员工和外部人员。
  5. AP的网关和所有无线用户的终端的网关,都配置在核心交换机。
  6. AP和无线用户终端的IP地址都是通过DHCP的方式获得的。
  7. 最终确保连接到不同AP的无线终端之间可以互通。

项目分析

为了实现无线网络改造的成功,需要知道无线网络设备的配置流程。

在大型组网中的配置流程:

  1. 配置网络互通
    • 配置网元互通。
    • 配置DHCP服务器。
    • 配置IP和路由。
  2. 配置AP上线
    • 配置国家码。
    • 配置AP组。
    • 配置CAPWAP参数。
    • 配置AP升级。
    • 配置源接口。
    • 添加AP上线。
  3. 配置WLAN业务
    • 配置VLAN Pool。
    • 配置安全模板。
    • 配置SSID模板
    • 配置VAP模板。
    • 引用模板到AP组。

解决方案

  1. 首先需要确保AP能够获得IP地址,如此一来才能注册到AC。
    • AC是通过DHCP获得IP地址的。
    • AC是属于VLAN 100,但是DHCP服务器属于VLAN 200。
    • 为了确保AC可以获得IP地址,必须为AC所在的VLAN配置DHCP中继。
    • AC的网关配置在核心交换机,所以需要将核心交换机配置为DHCP中继。
  2. 其次AP连接汇聚层的交换机的物理线路上,应该配置为trunk。
    • 该线路需要传输AP本身发送出去的数据,应该归属到VLAN 100。
    • 该线路上同时还需要传输内部员工和外来人员的数据,传输多个VLAN流量。

配置思路

  1. AP本身不需要配置任何内容,因为是统一被AC管理的。
  2. 配置汇聚层交换机SW1连接AP和SW2的端口为trunk。、
  3. 配置核心层交换机SW2为AP的网关设备。
  4. 配置DHCP服务器与核心交换机之间的互通。
  5. 配置DHCP服务器上为AP分配的IP地址池。
  6. 配置DHCP中继确保AP可以获得IP地址。

配置命令

  1. 配置汇聚层交换机(SW1)的端口为Trunk
    • [SW1]vlan 100
    • [SW1]port-group group-member g0/0/2 to g0/0/5
    • [SW1-port-group]port link-type trunk
    • [SW1-port-group]port trunk allow-pass vlan all
    • [SW1-port-group]port trunk pvid vlan 100
  2. 配置核心交换机(SW2)为AP们的网关设备,并与SW1互联
    • [SW2]vlan 100
    • [SW2]interface g0/0/1
    • [SW2-gigabitEthernet0/0/1]port link-type trunk
    • [SW2-gigabitEthernet0/0/1]quit
    • [SW2]interface vlanif 100
    • [SW2-vlanif100]ip address 192.168.100.254 24
    • [SW2-vlanif100]quit
  3. 配置核心交换机与DHCP服务器之间的互通
    • [SW2]vlan 210
    • [SW2]quit
    • [SW2]interface vlanif 210
    • [SW2]ip address 192.168.210.254 24
    • quit
  4. 配置DHCP服务器(核心交换机之间的互通和为AP分配地址池)
    • [DHCP]interface g0/0/0
    • [DHCP-GigabitEthernet]ip address 192.168.210.1 24
    • [DHCP-GigabitEthernet]quit
    • [DHCP]dhcp enable
    • [DHCP]ip pool vlan100
    • [DHCP-ip-pool-vlan100]network 192.168.100.0 mask 24
    • [DHCP-ip-pool-vlan100]gateway-list 192.168.100.254
    • [DHCP-ip-pool-vlan100]quit
  5. 配置中继分发vlan100的地址
    • [SW2]interface vlanif 100
    • [SW2-vlanif100]dhcp enable
    • [SW2-vlanif100]dhcp select relay
    • [SW2-vlanif100]dhcp relay server-ip 192.168.210.1
    • quit
  6. 配置DHCP服务器与DHCP中继互通
    • [DHCP]ip route-static 192.168.100.0 24 192.168.210.254
  7. 测试
    • AP设备上查看是否获取到了IP地址
      • display interface vlanif

DHCP:
ip route-static 0.0.0.0 0 192.168.210.254
虽然,此时的AP可以获得IP地址了,
但是,即使后期AP可以成功被AC成功的控制,AP散发出无线信号,可以连接很多不同的终端;
这些终端依然无法正常访问网络,
因为 这些终端属于不同的 VLAN ,比如 VLAN101/102/103/104。
那么 这些终端发送的数据,都带着不同的 VLAN 的标签,
经过 AP 的端口,发送到了 SW1 的 Gi0/0/1 ,
但是之前我们已经将 SW1 的 Gi0/0/1 配置为了 access 接口,只能接收 vlan 100 的报文,
所以后续的无线终端的报文,都无法正常连接到交换机上。
所以,这个端口后续不仅仅是承担 VLAN 100 的报文,还应该承担后续各种终端属于的 VLAN
的报文,所以,正确的配置应该是:SW1连接AP的接口,应该是 Trunk,并且PVID为100.

小结

  1. 当AP未获到DHCP服务器分配的地址时,会分配到169.254.0.0/16的地址。
  2. 在企业网络中部署大量AP的时候,AP的IP地址都是自动的方式获取。
  3. 大量的AP都是通过AC统一管理,所有的配置完全来源于AC。
  4. AP本身发送出来的数据是没有VLAN标签的。
  5. AP与汇聚层交换机之间的链路,同时传输多个VLAN的流量,属于trunk模式。

CAPWAP

CAPWAP(Control And Provisioning of Wireless Access Points Protocol Specification,无线接入点的控制和配置协议)是一种由IETF(互联网工程任务组)于2009年3月定义的标准协议。以下是关于CAPWAP的详细介绍:

作用

CAPWAP协议用于无线接入点的控制和配置,支持AP自动发现AC、AC管理AP和业务配置下发。CAPWAP隧道分为控制隧道和数据隧道,分别用于AP与AC的交互和无线用户与AC的交互。隧道转发方式有直接转发和隧道转发,各有优缺点。CAPWAP隧道建立过程包括AP获取地址、发现AC、加入AC、版本升级等步骤。

  1. AP可以通过CAPWAP实现自动发现AC。
  2. AC通过CAPWAP协议对AP进行管理、业务配置下发。
  3. STA的数据通过封装CAPWAP进行转发。

组成部分

  • CAPWAP协议:一个通用的隧道协议,负责完成AP发现AC等基本协议功能,与具体的无线接入技术无关。
  • 无线BINDING协议:提供与特定无线接入技术相关的配置管理功能。

通信机制

  • 端口:通过UDP端口进行通信,控制隧道端口号为5246,数据隧道端口号为5247。
  • 隧道:规范了AC与AP之间的信息交流方式,划分控制隧道和数据隧道,分别传递控制信息和数据信息。
    • 控制隧道:用于AP与AC的交互;管理AP;用于AC下发AP的配置以及版本信息。
    • 数据隧道:用于无线用户与AC之间的交互;转发用户业务数据;传输无线用户上网的数据以及无线用户连接无线信号的数据。
  • 加密:控制消息报文中除“发现请求”及“发现响应”外,其他强制使用DTLS保护,数据消息报文可选择是否使用DTLS。

CAPWAP隧道的转发方式

CAPWAP隧道主要有直接转发和隧道转发两种方式:

先了解一些基本的概念

  • 管理Vlan:
    • AC建立CAPWAP隧道源的VLAN。
    • AP的IP地址所在的Vlan(AP可以由AC、交换机、路由器分配)。
    • 如果由AC为AP分配IP地址,则AP的IP地址所在的Vlan就是AC建立隧道源的Vlan。
    • 如果不是AC为AP分配IP地址,则AP的IP地址与AC建立隧道源不在同一网段(不在同一Vlan)。
  • 业务Vlan:
    • STA地址所在的Vlan(可以由AC、交换机、路由器分配)。
    • 直接转发(本地转发)
      • AC只对AP进行管理,无线业务数据不需要经过CAPWAP封装送给AC,由本地直接转发。
      • STA数据从AP出来所携带的Tag为业务Vlan,源目IP就是自己的源加上目的地址(即:数据包没有发生变化)。
      • AC和SWB之间的接口为Trunk口,放通管理Vlan。
      • SWA和SWB相连接口为Trunk口,放通管理Vlan和业务Vlan。
      • SWA连接AP的接口为Trunk口,PVID为管理Vlan,放通管理Vlan和业务Vlan。
      • SWB连接Router接口为Trunk口,放通业务Vlan。
    • 隧道转发(集中转发)
      • AC除了管理AP之外,还作为无线业务流量的转发中枢。
      • 业务数据报文由AP统一封装后送到AC,再通过AC解封装之后发送出去来实现转发。
      • STA数据从AP出来所携带的Tag为AP所在Vlan,源IP是AP的地址,目的IP是AC的隧道源地址
      • AC和SWB之间的接口为Trunk口,放通业务Vlan和管理Vlan。
      • SWA和SWB相连接口为Trunk口,放通管理Vlan。
      • SWA连接AP的接口为Access口,PVID为管理Vlan。
  • 两种方式的区别
    • 直接转发:
      • 转发效率高,方便故障定位,报文不需要经过多次封装与解封装。
      • 安全性不够,业务数据不便于集中管理和控制。
    • 隧道转发:
      • 业务数据通过CAPWAP的DTLS加密,安全性高,业务数据便于集中管理和控制。
      • 业务数据必须经过AC转发使得转发效率低,不方便故障定位。

操作模式

  • Split MAC模式:所有二层无线数据和管理帧都被CAPWAP协议封装,在AC和AP之间交互,无线帧直接封装转发给AC。
  • Local MAC模式:数据帧可用本地桥或802.3帧形式隧道转发,二层无线管理帧在AP本地处理后再转发给AC,无线帧在AP被封装成802.3数据帧。

隧道建立过程

CAPWAP隧道建立过程也就是AP上线过程。

AP获取地址、AP发现AC、AP加入AC(认证控制)、AP版本升级、AP请求配置下发、AP配置确认、隧道建立成功。

  1. AP接口获取IP地址:可以通过静态、DHCP、SLAAC(IPV6无状态地址自动配置)来获取IP地址;默认AP接口通过DHCP获取IP地址。
  2. AP发现AC(Discover报文)
    • AP可以通过静态、DHCP、DNS方式、广播、组播(224.0.1.140)方式去获取到AC的地址;
    • 当使用DHCP时,华为使用option43字段来传输AC的IP地址,锐捷使用option138来传输AC的IP地址(锐捷后续设备支持43传输);
    • AP通过广播、组播、单播发送Discover报文发现AC;
    • 如果AC回应了Discover报文,则AP将此AC的地址加入到AC列表中,并为其指定不同的优先级(越小越优先);然后会选取最优的AC去建立CAPWAP隧道;
    • 通过DHCP动态获取到的AC地址并得到此AC的回应 优先级为8;
    • 通过静态指定的AC的地址,并得到此AC的回应,优先级为7;
    • 通过广播、组播发现的AC,优先级为9
  3. Discovery发现机制:AP发送发现请求报文,AC响应发现响应,AP根据响应确定与哪个AC建立会话。
  4. DTLS协商:AP与AC建立连接后协商是否采用DTLS加密传输UDP报文。
    • AP与最优的AC建立CAPWAP隧道,此阶段主要协商是否需要DTLS加密;
    • 如果DTLS加密,则可以通过DTLS加密来传输后续的报文信息。
    • 控制报文加密;华为设备默认开启
    • 华为设备更改控制报文加密的DTLS密码:
      • AC端:
      • capwap dtls psk admin 配置DTLS密码;
      • capwap dtls control-link encrypt 开启控制报文加密;
      • AP端:
      • capwap dtls psk cipher admin 配置DTLS密码;
      • 锐捷设备默认开启;
    • 数据报文加密;华为设备默认没有开启
      • 可以通过capwap dtls data-link encrypt开启数据通道的DTLS加密
  5. Join阶段:AC回应join response报文,包含升级版本号、握手间隔等信息,检查版本并自动升级。
    • AP发送Join报文请求加入AC(携带对应的认证信息),AC确认AP认证通过后回应Join报文。
    • 在交互过程中,AC回应的Join报文会携带用户要求AP的升级版本号信息、控制报文优先级等信息。
    • AC认证AP的方式:MAC认证、SN认证、不认证。
  6. Image Data阶段:AP版本升级,AP根据协商参数判断版本,非最新版本则在CAPWAP隧道上更新软件并重启。
    • AP加入AC后,AP根据AC的Join报文信息,检测自身版本是否是最新版本(如果AC上有AP的版本,并开起来自动升级,则会AC会通过Image Data报文发送软件版本给AP进行更新)。
    • AP升级结束后(无论成功)进行重启,然后重复进行发现AC、建立CAPWAP隧道、加入AC的过程。
    • 注意:AC通过CAPWAP控制报文下发升级版本给AP,而不是CAPWAP数据报文
  7. Configure阶段:AP发送configuration request,AC检查配置并通知AP调整。
    • AP发送的Configuration报文包含AP的现有配置;
    • 如果AP的当前配置与AC的要求不符合时,AC会通过Configuration通知AP。
  8. Data Check阶段:AP发送change state event request报文,AC回应,完成后隧道建立进入run状态。
    • AP收到AC的下发的Configuration报文后,更改自身配置;
    • AP配置更改完成后,发送Data Check给AC(其中包含了radio、result、code等信息);
    • AC收到后回应Data Check报文;
  9. Run阶段:AP发送keepalive报文,AC回应,数据隧道建立成功,AP进入normal状态开始正常工作,同时建立管理隧道并启动定时器检测异常。
  10. 控制隧道建立成功(Echo报文)
    • AP进入Run数据之后,发送Echo报文给AC,宣布建立CAPWAP控制隧道;
    • AC收到Echo后回应Echo报文,CAPWAP控制隧道建立成功。
  11. CAPWAP隧道维持(Keepalive、Echo报文)
    • 业务平面:使用Kepplive报文维持 30秒发一次(不同厂商可能不同);
    • 控制平面:使用Echo报文维持 30秒发一次(不同厂商可能不同)。

CAPWAP原理,注意事项

应用场景

  • 适用于中大型WLAN使用场景,如候车厅等,需多AP配合,由AC统一管理。

综上所述,CAPWAP协议在无线网络管理中发挥着关键作用,通过其控制和配置功能,实现了无线接入点的集中管理和高效运行。

配置AP自动注册

项目背景

企业内网的大量AP已经通过DHCP的方式获得IP地址.

为了实现后期大量AP的统一管理,希望通过AC实现集中控制.

在AC上,为了便于设备管理,按照统一的命名格式.

项目分析

  1. 需要确保AP知道AC服务器的IP地址.
  2. 需要确保AP可以与AC保持IP层面的连通性.
  3. 需要确保AC上提前添加了AP的相关信息. 如果在AP获取DHCP服务器分配的配置信息后(IP,掩码,网关,DNS等)才配置AP与AC的通信,需要重启AP或者重启AP的相应端口,即重新获取DHCP下发的配置,这次不仅能获取IP,掩码,网关,DNS等信息,还能获取到AC服务器的IP地址.

解决方案

  1. 确保AP知道AC服务器的IP地址.
    • 因为AP的地址信息全部都来自于DHCP服务器,所以我们需要调整DHCP服务器的配置内容,在AP所在的VLAN的地址池中,指定AC服务器的IP地址.
  2. 确保AP可以和AC保持IP层面的连通性.
    • 需要确保AC与AP网关之间的路由的连通性.
  3. 需要确保AC上提前添加了AP的相关信息,实现顺利注册.

配置思路

  1. 修改DHCP服务器的地址池,添加AC服务器的IP地址.
  2. 配置AC接口地址和路由,实现AC与AP的网关设备之间的互通.
  3. 配置AC服务器,进行AP的自动注册.
    • 创建VLAN pool,用于无线终端用户使用的vlan.
    • 创建AP组,将需要使用相同配置的AP加入到同一个AP组,实现统一配置.
    • 配置AC的系统参数,包括国家码,AC服务器与AP通信时使用的接口地址.
    • 配置AP的上线方式并导入AP,实现AP正常上线.

配置命令

  1. 确保AP知道AC服务器的IP地址,AP通过DHCP获得AC的地址:
    • [DHCP]ip pool vlan100
    • [DHCP-ip-pool-vlan100]option 43 sub-option 3 ascii 192.168.200.1 //在WLAN网络中,配置DHCP服务器以便无线接入点(AP)能够发现并连接到无线控制器(AC),如在华为设备的DHCP服务器配置中,用于指定AC的IP地址,以便AP可以通过单播方式发现跨VLAN的AC。
    • [DHCP-ip-pool-vlan100]quit
    • option 43是DHCP协议中的一个选项,用于传递厂商特定的信息。
    • sub-option 3option 43的一个子选项,用于指定IP地址。
    • ascii 192.168.200.1表示以ASCII格式指定的IP地址为192.168.200.1。
    • 例如,在华为的WAC(Wireless Access Controller)作为DHCP服务器的场景中,如果WAC的IP地址是192.168.100.1,那么可以使用以下三个等价配置中的一个来配置Option 43:
      • dhcp server option 43 sub-option 1 hex c0a86401
      • dhcp server option 43 sub-option 2 ip-address 192.168.100.1
      • dhcp server option 43 sub-option 3 ascii 192.168.100.1
  2. 确保AP与AC之间的互通之第一步,配置SW2:
    • [SW2]vlan 200
    • [SW2-vlan200]quit
    • [SW2]interface g0/0/3 //进入SW2与AC连接的接口,将接口模式设置为access。
    • [SW2-GigabitEthernet0/0/3]port link-type access
    • [SW2-GigabitEthernet0/0/3]port default vlan 200
    • [SW2-GigabitEthernet0/0/3]quit
    • [SW2]interface vlanif 200 //进入vlanif200,配置AP的网关地址
    • [SW2-vlanif200]ip address 192.168.200.254 24
    • [SW2-vlanif200]quit
  3. 配置AP与AC之间的互通之第二步:配置AC:
    • [AC6605]vlan200
    • [AC6605-vlan200]quit
    • [AC6605]interface GigabitEthernetg0/0/1 //进入AC与SW2直连的接口,接口模式设置为access.
    • [AC6605-GigabitEthernetg0/0/1]port link-type access
    • [AC6605-GigabitEthernetg0/0/1]port default vlan 200
    • [AC6605-GigabitEthernetg0/0/1]quit
    • [AC6605]interface vlanif 200 //配置AC的IP地址。
    • [AC6605-vlanif200]ip address 192.168.200.1 24
    • [AC6605-vlanif200]quit
    • [AC6605]ip route-static 192.168.100.0 24 192.168.200.254 //配置指向AP的静态路由,从而实现AC与AP三层通信。
  4. 配置AC,创建VLAN pool,为无线终端用户提供服务
    • [AC6605]vlan pool pool1 //创建名为“pool1”的VLAN池(VLAN pool)。VLAN池是多个VLAN的集合,旨在简化网络部署。通过这个命令,网络管理员可以将多个VLAN加入到“pool1”中,实现一个SSID同时支持多个业务VLAN的功能。
    • [AC6605-vlan-pool-pool1]vlan 101 102
    • [AC6605-vlan-pool-pool1]quit
    • [AC6605]vlan pool pool2
    • [AC6605-vlan pool pool2]vlan 103 104
    • [AC6605-vlan pool pool2]quit
    • [AC6605]display vlan pool all//查看VLAN池的详细信息,包括池中包含的VLAN列表、分配算法等。
  5. 配置AC,创建AP组,配置国家码和AC与AP的通信接口地址.
    • [AC6605]wlan
    • [AC6605-wlan-view]ap-group name group1 //创建AP组,组名为group1,。
    • [AC6605-wlan-ap-group-group1]quit
    • [AC6605-wlan-view]ap-group name group2 //创建AP组,组名为group2
    • [AC6605-wlan-ap-group-group2]quit
    • [AC6605-wlan-view]regulatory-domain-profile name domain1 //创建名为‘domain1’的域管理模板,创建后会进入模板试图。
    • [AC6605-wlan-regulate-domain-domain1]country-code cn //设置国家码
    • [AC6605-wlan-regulate-domain-domain1]quit
    • [AC6605-wlan-view]ap-group name group1 //进入名为‘group1’的AP组。
    • [AC6605-wlan-ap-group-group1]regulatory-domain-profile domain1 //将名为‘domain1’的与管理模板应用到‘group1’。
      • Warning:Modifying the country code will clear channel,power and antenna gain configurations of the radio and reset the AP.Continue?[Y/N]:y
      • 修改国家代码将清除射频的信道、功率和天线增益配置,并重置AP。询问是否继续?
    • [AC6605-wlan-ap-group-group1]quit
    • [AC6605-wlan-view]ap-group name group2
    • [AC6605-wlan-ap-group-group2]regulatory-domain-profile domain1
      • Warning:Modifying the country code will clear channel,power and antenna gain configurations of the radio and reset the AP.Continue?[Y/N]:y
    • [AC6605-wlan-ap-group-group2]quit
    • [AC6605]capwap source interface vlanif 200或capwap source ip-address 192.168.200.1 //capwap source interface vlanif 200:指定VLANIF 200作为CAPWAP隧道的源接口,用于AC和AP之间建立CAPWAP隧道通信;capwap source ip-address 192.168.200.1:指定192.168.200.1作为CAPWAP隧道的源IP地址,同样用于AC和AP之间的CAPWAP隧道通信。
  6. 配置AC,离线导入AP(外来人员终端)
    • [AC6605]wlan
    • [AC6605-wlan-view]ap-id 1 ap-mac ****-****-****
    • [AC6605-wlan-ap-1]ap-name wailai-1
    • [AC6605-wlan-ap-1]ap-group group1
    • 这是一段华为AC6605无线控制器的配置命令,用于将MAC地址为**-**-**-**的AP设备命名为“wailai-1”,并将其加入到名为“group1”的AP组中。具体解释如下:
      • ap-id 1:指定AP的ID为1。
      • ap-mac ****-****-****:设置AP的MAC地址为****-****-****。
      • ap-name wailai-1:将AP的名称设置为“wailai-1”。
      • ap-group group1:将AP加入到名为“group1”的AP组中。
      • Warning:this operation may cause AP reset.if the country code changes,it will clear channel,power and antenna gain configurations of the radio,whether to continue?[Y/N]:y
    • [AC6605-wlan-ap-1]quit
    • [AC6605-wlan-view]ap-id 2 ap-mac ****-****-****
    • [AC6605-wlan-ap-2]ap-name wailai2
    • [AC6605-wlan-ap-2]ap-group group1
      • Warning:this operation may cause AP reset.if the country code changes,it will clear channel,power and antenna gain configurations of the radio,whether to continue?[Y/N]:y
    • [AC6605-wlan-ap-2]quit
  7. 配置AC,离线导入AP(内部人员终端)
    • [AC6605]wlan
    • [AC6605-wlan-view]ap-id 3 ap-mac ****-****-****
    • [AC6605-wlan-ap-3]ap-name neibu-1
    • [AC6605-wlan-ap-3]ap-group group2
    • [AC6605-wlan-ap-3]quit
    • [AC6605-wlan-view]ap-id 4 ap-mac ****-****-****
    • [AC6605-wlan-ap-4]ap-name neibu-2
    • [AC6605-wlan-ap-4]ap-group group2
    • [AC6605-wlan-ap-4]quit
  8. 在AC上查看AP的注册状态.
    • display ap all

总结

  1. AP在进行注册时,必须通过DHCP获得AC服务器的IP地址.
  2. 必须确保AP所在VLAN的AC服务器之间的互通.
  3. 必须在AC服务器上指定与AP通信时所使用的IP地址,与DHCP服务器中的AC服务器的IP地址相同.
  4. 在AC上离线导入AP的时候,必须手动确认每个AP的MAC地址,确保输入正确,否则注册不成功.

配置WLAN业务参数

项目背景

上一项目完成了AP注册到了AC,通过在AC上display ap all命令可以查看AP的注册信息。

基于已分配好的IP方案,为不同的无线终端,动态分配IP地址。

配置AC,为不同的AP下发不同的配置,确保可以发射无线信号。

确保不同的无线终端(如手机,笔记本等无线终端)可以成功连接到AP,并成功获得IP地址。

实现不同的无线终端之间可以互通。

项目分析

  1. 首先确保AP能够发射出无线信号,确保无线终端能够搜索到。
  2. 其次确保每个无线终端管理了特定的VLAN信息。
  3. 再次确保无线终端输入正确的 wifi 密码,正常连接到 wifi。
  4. 然后再DHCP服务器上,为每个无线终端的VLAN创建了DHCP地址池。
  5. 最后测试每个无线终端的连通性。

解决方案

  1. 在AC上为AP配置WLAN业务参数
    • 配置安全模板
      • [AC6605]wlan
      • [AC6605-wlan-view]security-profile name group1 //创建名为‘group1’的安全模板。
      • [AC6605-wlan-sec-prof-group1]security wpa2 psk pass-phrase a123456789 aes //在‘group1’安全模板中,配置了WPA-PSK的安全策略,密码为:a123456789,加密方式为AES。
      • [AC6605-wlan-sec-prof-group1]quit
      • [AC6605-wlan-view]security-profile name group2
      • [AC6605-wlan-sec-prof-group2]security wpa2 pas pass-phrase b123456789 aes
      • [AC6605-wlan-sec-prof-group2]quit
    • 配置SSID模板:SSID模板是用来配置无线网络服务集标识(SSID)的相关参数,如SSID名称,STA的关联超时时间,QoS CAR等。
      • [AC6605-wlan-view]ssid-profile name group1 //创建名为‘group1’的SSID模板。
      • [AC6605-wlan-ssid-prof-group1]ssid wailai //设置SSID名称为‘wailai’,即WiFi名。
      • [AC6605-wlan-ssid-prof-group1]quit
      • [AC6605-wlan-view]ssid-profile name group2
      • [AC6605-wlan-ssid-prof-group2]ssid neibu
      • [AC6605-wlan-ssid-prof-group2]quit
    • 配置VAP模板:
      • [AC6605-wlan-view]vap-profile name group1 //创建名为‘group1’的VAP模板。
      • [AC6605-wlan-vap-prof-group1]security-profile group1 //将名为‘group1’的安全模板引入到该VAP模板中。
      • [AC6605-wlan-vap-prof-group1]ssid-profile group1 //将名为‘group1’的ssid模板引入到该VAP模板中。
      • [AC6605-wlan-vap-prof-group1]service-vlan vlan-pool pool1 //将名为‘pool1’的VLAN pool地址池配置为VAP的业务VLAN。
      • [AC6605-wlan-vap-prof-group1]quit
      • 当VAP的业务VLAN配置为VLAN pool时,接入到该VAP的STA(Station,无线终端)会被动态分配到VLAN pool下的各个VLAN中,以避免大量STA都接入同一个VLAN,从而避免IP资源不足、广播域过大等问题。
      • [AC6605-wlan-view]vap-profile name group2
      • [AC6605-wlan-vap-prof-group2]security-profile group2
      • [AC6605-wlan-vap-prof-group2]ssid-profile group2
      • [AC6605-wlan-vap-prof-group2]service-vlan vlan pool pool2
      • [AC6605-wlan-vap-prof-group2]quit
      • 创建一个虚拟接入点,为无线客户端提供无线接入服务,即让AP产生无线信号
      • [AC6605-wlan-view]ap-group name group1
      • [AC6605-wlan-vap-prof-group1]vap-profile group1 wlan 1 radio 0 //将名为 “group1” 的VAP模板应用到AP组的射频0上,其WLAN ID为1。此时AP开始发射无线信号,但无法获取地址,是因为未配置后续的DHCP和中继。
      • [AC6605-wlan-vap-prof-group1]vap-profile group1 wlan 1 radio 1 // 将名为 “group1” 的VAP模板应用到AP组的射频1上,其WLAN ID为1。此时AP开始发射无线信号,但无法获取地址,是因为未配置后续的DHCP和中继。
      • [AC6605-wlan-vap-prof-group1]quit
      • [AC6605-wlan-view]ap-group name group2
      • [AC6605-wlan-vap-prof-group2]vap-profile group2 wlan 1 radio 0
      • [AC6605-wlan-vap-prof-group2]vap-profile group2 wlan 1 radio 1
      • [AC6605-wlan-vap-prof-group2]quit
      • vap-profile:指定要配置的VAP模板名称,这里为“group1”和“group2”,必须是已经存在的VAP模板。
      • wlan 1:指定VAP的WLAN ID为1,整数类型,取值范围是1~16。不同的取值范围适用于不同的业务,如WDS业务、Mesh业务和离线管理VAP配置。
      • radio 0:指定使用2.4GHz频段的无线电,射频ID为0,整数类型,取值范围是0~2。
      • radio 1:指定射频的ID为1,表示将这个模板应用到设备的第一个射频上(射频ID通常从0开始计数,所以1表示第二个射频)
  2. 为终端配置DHCP地址池未终端分配IP地址范围。
    • [DHCP]ip pool vlan101
    • [DHCP-ip-pool-vlan101]network 192.168.101.0 mask 24
    • [DHCP-ip-pool-vlan101]gateway-list 192.168.101.254
    • [DHCP-ip-pool-vlan101]quit
    • [DHCP]ip pool vlan102
    • [DHCP-ip-pool-vlan102]network 192.168.102.0 mask 24
    • [DHCP-ip-pool-vlan102]gateway-list 192.168.102.254
    • [DHCP-ip-pool-vlan102]quit
    • [DHCP]ip pool vlan103
    • [DHCP-ip-pool-vlan103]network 192.168.103.0 mask 24
    • [DHCP-ip-pool-vlan103]gateway-list 192.168.103.254
    • [DHCP-ip-pool-vlan103]quit
    • [DHCP]ip pool vlan104
    • [DHCP-ip-pool-vlan104]network 192.168.104.0 mask 24
    • [DHCP-ip-pool-vlan104]gateway-list 192.168.104.254
    • [DHCP-ip-pool-vlan104]quit
    • [DHCP]ip route-static 192.168.0.0 16 192.168.210.254 //DHCP需要配置指向101,102,103,104的静态路由
  3. 为终端用户配置网关和DHCP中继配置完中继后才能让AP获取到IP地址。
    • [SW1]vlan batch 101 102 103 104
    • [SW2]vlan batch 101 102 103 104
    • [SW2]dhcp enable
    • [SW2]interface vlanif 101
    • [SW2-vlanif101]ip address 192.168.101.254 24
    • [SW2-vlanif101]dhcp select relay
    • [SW2-vlanif101]dhcp relay server-ip 192.168.210.1
    • [SW2-vlanif101]quit
    • [SW2]interface vlanif 102
    • [SW2-vlanif102]ip address 192.168.102.254 24
    • [SW2-vlanif102]dhcp select relay
    • [SW2-vlanif102]dhcp relay server-ip 192.168.210.1
    • [SW2-vlanif102]quit
    • [SW2]interface vlanif 103
    • [SW2-vlanif103]ip address 192.168.103.254 24
    • [SW2-vlanif103]dhcp select relay
    • [SW2-vlanif103]dhcp relay server-ip 192.168.210.1
    • [SW2-vlanif103]quit
    • [SW2]interface vlanif 104
    • [SW2-vlanif104]ip address 192.168.104.254
    • [SW2-vlanif104]dhcp select relay
    • [SW2-vlanif104]dhcp relay server-ip 192.168.210.1
    • [SW2-vlanif104]quit
  4. 无线终端连接到WiFi信号,输入密码,获取IP地址。
  5. 在无线终端的命令行验证IP地址是否正确:ipconfig
  6. 在无线终端的命令行验证设备之间的互通性:ping:xx.xx.xx.xx

hciahcipwlan网络

Comments

  1. akun
    Owner
    Windows Chrome
    2 months ago
    2025-2-16 17:28:43

    xxxxx

    来自中国

Send Comment Edit Comment 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
															
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																				
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






Previous
Next 

                    

                    
			        Related Posts
		            

		            

							
Shell

							
							

							
Cisco Commands

							
							

							
EVE-NG

							
							

							
TCP、UDP端口

							
							

							
网络安全

							
							

							
堆叠

							
							

							
HTTPS

							
							

							
IPSec VPN

							
							

							
路由策略和策略路由

							
							

							
VPN