WLAN基础配置

时间:2024-02-20 14:16:26

基础知识1:AC、胖AP与瘦AP

WLAN系统一般由AC(接入控制设备)和AP(访问接入点)组成。

1、AP

AP即“访问接入点",无线接入点是一个无线网络的接入点,它是用于无线网络的无线交换机。AP相当于一个连接有线网和无线网的桥梁,其主要作用是将各个无线网络客户端连接到无线网络中。

  • 胖AP模式:类似于家用的无线路由器。每台AP需要单独配置。
  • 瘦AP模式:对于较大规模的WLAN来说,所需的AP数量巨大,这时AP可以切换到瘦AP模式,由AC集中对所有的AP进行管理。

2、AC

AC即“接入控制设备”,AC用来集中化控制、管理LAN内的AP,对AP管理包括:下发配置、修改相关配置参数、射频智能管理、接入安全控制等。

基础知识2:AC直连式组网、AC旁挂式组网

根据AC在网络中的位置,可以分为直连式组网、旁挂式组网。

  • 直连式组网:AC同时扮演AC和汇聚或接入交换机的功能。
  • 旁挂式组网:AC没有直接与AC进行连接,而是旁挂在AP的上行网络。

基础知识3:二层组网、三层组网

根据AC与AP是否在同一个IP地址网段内,可以分为二层组网、三层组网。

  • 二层组网:AC与AP的IP地址在同一个IP地址网段,AC与AP在同一个广播域内。
  • 三层组网:AC与AP的IP地址不在同一个IP地址网段,AC与AP通常需要通过路由器或者三层交换机,连接在一起。

基础知识4:直接转发(本地转发)、隧道转发(集中转发)

1.WLAN网络中的两种数据流

  • 一种是AC对AP进行控制管理的数据流,称为AP管理数据流。
  • 一种是STA通过无线信号、接入有线网络、从而访问Internet的数据流,称为无线业务数据流。
    • 通常,在网络规划的时候,
    • 把AP管理数据流放在一个VLAN 中,这个VLAN叫做AP管理VLAN。
    • 把无线业务数据流放在一个VLAN中,这个VLAN叫做无线业务VLAN。

2. CAPWAP协议

CAPWAP协议(Control And Provisioning of Wireless Access Points Protocol )

用于无线终端接入AP和无线控制器AC之间的通信交互,实现AC对其所关联的AP进行集中管理和控制。主要功能包括:

  • AP对AC的自动发现及AP和AC的状态机运行、维护。
  • AC对AP进行管理、业务配置下发。
  • STA数据封装CAPWAP隧道进行转发。

3. CAPWAP隧道

CAPWAP隧道,就是AC与AC之间通过CAPWAP协议建立的通道。

4.直接转发(本地转发)、CAPWAP隧道转发(集中转发)

直接转发(本地转发),AP管理数据流通过CAPWAP隧道,无线业务数据流不通过

CAPWAP隧道。

隧道转发(集中转发),AP管理数据流通过CAPWAP隧道,无线业务数据流也通过

 

 

一 WLAN模板简介

为了方便用户配置和维护WLAN的各个功能,针对WLAN的不同功能和特性设计了各种类型的模板,这些模板统称为WLAN模板。如 图1-1所示,各个WLAN模板间存在着相互引用的关系,通过了解这些引用关系,明确WLAN模板的引用关系配置思路,便于用户顺利完成WLAN模板的配置。

 

WLAN模板的产生是为了方便WLAN功能的配置和维护,当用户在配置WLAN业务功能时,只需要在对应功能的WLAN模板中进行参数配置,配置完成后,将此模板引用到上一层模板或者引用到AP组或AP中,配置就会自动下发到AP,配置下发完成后,配置的功能就会直接在AP上生效。

 

WLAN基本业务配置流程包括:

1. 创建AP组。

2. 配置网络互通。

3. 配置AC系统参数。

4. 配置AC为FIT AP下发WLAN业务。

 

 

AP组和AP

WLAN网络中存在着大量的AP,为了简化AP的配置操作步骤,可以将AP加入到AP组中,在AP组中统一对AP进行同样的配置。每个AP也有着不同于其它AP的参数配置,不便于通过AP组来进行统一配置,这类个性化的参数可以直接在每个AP下配置。

每个AP在上线时都会加入并且只能加入到一个AP组中。当AP从AC上获取到AP组和AP个性化的配置后,会优先使用AP下的配置。

(1)如果AP下没有配置,会直接使用AP组下的配置。

(2)如果AP下存在配置,优先使用AP下的配置,但是如果AP下的配置不完整,则AP还会从AP组中获取AP下不存在的配置。

(3)如果同一AP组内添加了多个性能不同的AP款型,且通过AP组统一下发配置,但是组内某AP的性能达不到AP组所下发的配置,则该配置对这个AP不生效。

域管理模板

域管理模板提供对AP的国家码、调优信道集合和调优带宽等的配置。

(1)国家码用来标识AP射频所在的国家,不同国家码规定了不同的AP射频特性,包括AP的发送功率、支持的信道等。配置国家码是为了使AP的射频特性符合不同国家或区域的法律法规要求。

(2)通过配置调优信道集合,可以在配置射频调优功能时指定AP信道动态调整的范围,同时避开雷达信道和终端不支持信道。

(3)对于5G频段,频率资源更为丰富,AP不仅支持20MHz带宽的信道,同样支持40MHz和80MHz带宽的信道。不同的调优带宽支持的调优信道不同,配置大带宽信道可获得更大的传输速率,但是射频调优需要3个或3个以上可选信道才能达到更优的调优效果,用户在配置调优时,需要考虑调优带宽和调优信道的匹配关系。

射频模板

射频模板主要用于优化射频的参数,以及配置信道切换业务不中断功能。

射频模板分为2G射频模板和5G射频模板,2G射频模板只对2.4GHz的射频生效,5G射

频模板只对5GHz的射频生效。2G射频模板和5G射频模板的配置差异在于:

(1)2G射频模板支持配置802.11bg的基础速率集和支持速率集。

(2)5G射频模板支持配置802.11a的基础速率集和支持速率集,支持802.11ac的相关配

置。

射频模板能够引用空口扫描模板和RRM模板。

(1)空口扫描模板主要用于射频调优、频谱分析、定位和WIDS的数据分析,通过AP

周期性地扫描周围的无线信号,并将扫描采集的信息上报给AC或服务器。

(2)RRM模板主要用于保持最优的射频资源状态,通过自动检查周边无线环境、动态

调整信道和发射功率等射频资源、智能均衡用户接入,从而调整无线信号覆盖范围,降低射频信号干扰,使无线网络能够快速适应无线环境变化,确保用户接入无线网络的服务质量。

VAP模板

在VAP模板下配置各项参数,然后在AP组或AP中引用VAP模板,AP上就会生成VAP,

VAP用来为STA提供无线接入服务。通过配置VAP模板下的参数,使AP实现为STA提供

不同无线业务服务的能力。

VAP模板一般引用以下模板:

(1)SSID模板主要用于配置WLAN网络的SSID名称,还可以配置禁止非HT终端接入功

能、配置STA关联老化时间和DTIM周期参数;

(2)安全模板主要用于配置WLAN网络的安全策略,包括对STA的认证和加密。安全

策略主要有开放认证、WEP、WPA/WPA2-PSK、WPA/WPA2-802.1X、WAPI-PSK和WAPI-证书;

(3)认证模板主要用来统一管理NAC的配置信息,其中与接入协议相关的配置信息通

过绑定接入模板(包括802.1X接入模板、MAC接入模板和Portal接入模板)来确定。认证模板配置完成后要绑定到接口或VAP模板下,实现对接入用户进行认证和控制。

(4)流量模板

二 WLAN配置

wlan配置思路:

(1)配置普通WLAN组网‘

(2)配置AP上线

(3)配置STA上线

1 配置普通WLAN组网

(1)配置VLAN/TRUNK/VLANIF,配置路由,实现AC、Swtitch、上联Router、Internet互通;

(2)AC上配置DHCP,为AP分配管理地址;

(3)AC或者Switch上配置DHCP,为STA分配业务地址;

配置AP管理地址的DHCP时可以额外配置option 43字段保证AP能正常发现AC,具体请查阅AC配置手册。

option 43 sub-option 2 ip-address 192.168.1.254

2 配置AP上线

(1)配置AP组和域管理模板

system-view
  wlan
     regulatory-domain-profile name default  //创建并进入域管理模板
     cuntry-code cn
quit
ap-group name ap-gruop1                //创建并进入AP组视图
      regulatory-domain-profile default        //引用域管理模板

  

所有AP组缺省已引用了名为default的AP系统模板、2G射频模板、5G射频模板、域管理模板、WIDS模板和AP有线口模板。

(2)配置CAPWAP隧道

每台AC都必须唯一指定一个IP地址、VLANIF接口或者Loopback接口,该AC设备下挂接的AP学习到此IP地址或者此接口下配置的IP地址,用于AC和AP间的通信。此IP地址或者接口称为源地址或源接口。只有为每台AC指定唯一一个源接口或源地址,AP才能与AC建立CAPWAP隧道。

一般情况下,将AC上用于DHCP的VLANIF接口配置为源接口地址,用来建立CAPWAP隧道:

capwap source interface vlanif 100  
//配置VLAN 100的VLANIF接口为AP与AC建立CAPWAP隧道的源接口;或者执行capwap source ip-address 192.168.100.254来指定IP地址。

  

(3)添加AP设备

添加AP有三种方式:离线导入AP、自动发现AP以及手工确认未认证列表中的AP。

一般情况下,采用自动发现AP的方式,配置AP认证方式为不认证,让AP自动注册上线:

sys   
wlan   
	ap auth-mode no-auth 
display ap all   //查看AP上线结果

  

(4)AP版本升级

登录AC的web管理界面对上线的AP进行升级,保证AP版本和AC版本相匹配。

3 配置STA上线

(1)创建安全模板

配置安全模板,可以对无线终端进行身份验证,对用户的报文进行加密,保护WLAN网络和用户的安全。WLAN安全策略支持开放认证、WEP、WPA/WPA2-PSK、WPA/WPA2-802.1X、WAPI-PSK和WAPI-证书,在安全模板中选择其中一种进行配置。开放认证和WPA/WPA2-802.1X还需要和NAC一起配置,有效管理用户的接入。对于无线终端接入WLAN网络业务,需要将安全模板引用到VAP模板,这样在无线终端通过SSID接入WLAN网络时,会根据VAP中配置的安全策略,完成身份认证后接入WLAN网络,

system-view
	wlan
		security-profile name wlan-net
		security wpa-wpa2 psk pass-phrase a1234567 aes
quit

  

(2)创建SSID模板

SSID用来指定不同的无线网络。在STA上搜索可接入的无线网络时,显示出来的网络名称就是SSID。

system-view  
wlan  
	ssid-profile name wlan-net          
	ssid wlan-net       
quit

  

(3)配置认证方案(可选)

配置AAA认证模板(以radius为例):

radius-server template 10.0.0.1           //配置radius服务器
 radius-server shared-key cipher xxxx
 radius-server authentication 10.0.0.1 1812 source Vlanif 301 weight 80
 radius-server accounting 10.0.0.1 1813 source Vlanif 301 weight 80 aaa

authentication-scheme wlan-net
     authentication-mode local radius    //完成本地测试后,删除local认证方式
authorization-scheme wlan-net
  authorization-mode none
accounting-scheme wlan-net
  accounting-mode radius
  accounting start-fail online
local-user test password cipher xxxxx    //创建本地测试账号
 local-user test privilege level 15
 local-user test service-type web

NAC认证模板(以portal为例):
portal local-server ip 192.168.1.1
portal local-server authentication-method pap
portal local-server https ssl-policy default_policy port 8443
portal local-server redirect-url enable
portal https-redirect enable

portal-access-profile name wlan-net
 portal local-server enable



配置认证方案:

authentication-profile name wlan-net
 portal-access-profile wlan-net
authentication-scheme wlan-net
 radius-server 10.0.0.1

  

 

AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费3种安全功能。同时提供本地认证/授权方式、RADIUS服务器认证/授权和计费方式、HWTACACS服务器认证/授权和计费三种AAA方案。后两种可视为“委托认证/授权/计费”方式,因为这两种方式中的认证/授权/计费功能的实现不是由本地设备完成的,而是所配置的远程RADIUS服务器或HWTACACS服务器完成的。

NAC(Network Admission Control,网络许可控制)是一套从用户终端角度考虑内部网络安全的“端到端”安全解决方案总称,也就是针对用户终端的接入进行严格控制的解决方案。包含了802.1x认证、MAC地址和Portal三类认证方式(仅可在接入设备上部署),相对前面的AAA方案来说,此处基于接口的接入控制方法NAC方案更直接,直接在接入处进行认证,但同时又不如AAA方案灵活,因为这三种认证方式仅是简单的允许或者拒绝接入认证,没有AAA方案中的为允许接入的用户授予相应的访问权限,更没有为不同用户进行计费的功能。

(4)配置VAP模板

system-view
  wlan
vap-profile name wlan-net
     service-vlan vlan-id 301   //配置业务wlan
     security-profile wlan-net   //引用安全模板
     ssid-profile wlan-net        //引用ssid模板
     authentication-profile wlan-net    //引用认证模板
     quit
ap-group name ap-group1
vap-profile wlan-net wlan 1 radio all  //引用VAP模板

  

(5)其他模板

其他模板可以暂时使用缺省模板,在WLAN调优时再进行设置。

 

 

AP在AC上线:

配置AP在AC上线的流程如下:

 

 

创建域管理模板,命名为domain1,配置域管理模板的国家码为中国CN。

创建AP组ap-group1,并绑定域管理模板domain1。

配置AC的源接口为VLAN100虚接口。

配置AP在AC上线的认证方式为不认证。

AP上线后全部加入到AC的ap -group1组中。

 

WLAN业务参数:

WLAN业务参数配置流程如下:

 

 

安全模板命名为security-1,采用OPEN方式,即STA接入无线网络不需要密码。

SSID模板命名为ssid-1,设置SSID为huawei。

VAP模板命名huawei-vap,指定转发方式为直接转发,服务VLAN为101,绑定安全模板

security-1和SSID模板ssid-1。

VAP模板绑定到AP组ap-group1, 设定WLAN的编号为1,使用所有的射频卡,即使用

2.4GHZ频段和5GHZ频段。