基础知识1:AC、胖AP与瘦AP
WLAN系统一般由AC(接入控制设备)和AP(访问接入点)组成。
1、AP
AP即“访问接入点",无线接入点是一个无线网络的接入点,它是用于无线网络的无线交换机。AP相当于一个连接有线网和无线网的桥梁,其主要作用是将各个无线网络客户端连接到无线网络中。
- 胖AP模式:类似于家用的无线路由器。每台AP需要单独配置。
- 瘦AP模式:对于较大规模的WLAN来说,所需的AP数量巨大,这时AP可以切换到瘦AP模式,由AC集中对所有的AP进行管理。
2、AC
AC即“接入控制设备”,AC用来集中化控制、管理LAN内的AP,对AP管理包括:下发配置、修改相关配置参数、射频智能管理、接入安全控制等。
基础知识2:AC直连式组网、AC旁挂式组网
根据AC在网络中的位置,可以分为直连式组网、旁挂式组网。
- 直连式组网:AC同时扮演AC和汇聚或接入交换机的功能。
- 旁挂式组网:AC没有直接与AC进行连接,而是旁挂在AP的上行网络。
基础知识3:二层组网、三层组网
根据AC与AP是否在同一个IP地址网段内,可以分为二层组网、三层组网。
- 二层组网:AC与AP的IP地址在同一个IP地址网段,AC与AP在同一个广播域内。
- 三层组网:AC与AP的IP地址不在同一个IP地址网段,AC与AP通常需要通过路由器或者三层交换机,连接在一起。
基础知识4:直接转发(本地转发)、隧道转发(集中转发)
1.WLAN网络中的两种数据流
- 一种是AC对AP进行控制管理的数据流,称为AP管理数据流。
- 一种是STA通过无线信号、接入有线网络、从而访问Internet的数据流,称为无线业务数据流。
- 通常,在网络规划的时候,
- 把AP管理数据流放在一个VLAN 中,这个VLAN叫做AP管理VLAN。
- 把无线业务数据流放在一个VLAN中,这个VLAN叫做无线业务VLAN。
2. CAPWAP协议
CAPWAP协议(Control And Provisioning of Wireless Access Points Protocol )
用于无线终端接入AP和无线控制器AC之间的通信交互,实现AC对其所关联的AP进行集中管理和控制。主要功能包括:
- AP对AC的自动发现及AP和AC的状态机运行、维护。
- AC对AP进行管理、业务配置下发。
- STA数据封装CAPWAP隧道进行转发。
3. CAPWAP隧道
CAPWAP隧道,就是AC与AC之间通过CAPWAP协议建立的通道。
4.直接转发(本地转发)、CAPWAP隧道转发(集中转发)
直接转发(本地转发),AP管理数据流通过CAPWAP隧道,无线业务数据流不通过
CAPWAP隧道。
隧道转发(集中转发),AP管理数据流通过CAPWAP隧道,无线业务数据流也通过
一 WLAN模板简介
为了方便用户配置和维护WLAN的各个功能,针对WLAN的不同功能和特性设计了各种类型的模板,这些模板统称为WLAN模板。如 图1-1所示,各个WLAN模板间存在着相互引用的关系,通过了解这些引用关系,明确WLAN模板的引用关系配置思路,便于用户顺利完成WLAN模板的配置。
WLAN模板的产生是为了方便WLAN功能的配置和维护,当用户在配置WLAN业务功能时,只需要在对应功能的WLAN模板中进行参数配置,配置完成后,将此模板引用到上一层模板或者引用到AP组或AP中,配置就会自动下发到AP,配置下发完成后,配置的功能就会直接在AP上生效。
WLAN基本业务配置流程包括:
1. 创建AP组。
2. 配置网络互通。
3. 配置AC系统参数。
4. 配置AC为FIT AP下发WLAN业务。
AP组和AP
WLAN网络中存在着大量的AP,为了简化AP的配置操作步骤,可以将AP加入到AP组中,在AP组中统一对AP进行同样的配置。每个AP也有着不同于其它AP的参数配置,不便于通过AP组来进行统一配置,这类个性化的参数可以直接在每个AP下配置。
每个AP在上线时都会加入并且只能加入到一个AP组中。当AP从AC上获取到AP组和AP个性化的配置后,会优先使用AP下的配置。
(1)如果AP下没有配置,会直接使用AP组下的配置。
(2)如果AP下存在配置,优先使用AP下的配置,但是如果AP下的配置不完整,则AP还会从AP组中获取AP下不存在的配置。
(3)如果同一AP组内添加了多个性能不同的AP款型,且通过AP组统一下发配置,但是组内某AP的性能达不到AP组所下发的配置,则该配置对这个AP不生效。
域管理模板
域管理模板提供对AP的国家码、调优信道集合和调优带宽等的配置。
(1)国家码用来标识AP射频所在的国家,不同国家码规定了不同的AP射频特性,包括AP的发送功率、支持的信道等。配置国家码是为了使AP的射频特性符合不同国家或区域的法律法规要求。
(2)通过配置调优信道集合,可以在配置射频调优功能时指定AP信道动态调整的范围,同时避开雷达信道和终端不支持信道。
(3)对于5G频段,频率资源更为丰富,AP不仅支持20MHz带宽的信道,同样支持40MHz和80MHz带宽的信道。不同的调优带宽支持的调优信道不同,配置大带宽信道可获得更大的传输速率,但是射频调优需要3个或3个以上可选信道才能达到更优的调优效果,用户在配置调优时,需要考虑调优带宽和调优信道的匹配关系。
射频模板
射频模板主要用于优化射频的参数,以及配置信道切换业务不中断功能。
射频模板分为2G射频模板和5G射频模板,2G射频模板只对2.4GHz的射频生效,5G射
频模板只对5GHz的射频生效。2G射频模板和5G射频模板的配置差异在于:
(1)2G射频模板支持配置802.11bg的基础速率集和支持速率集。
(2)5G射频模板支持配置802.11a的基础速率集和支持速率集,支持802.11ac的相关配
置。
射频模板能够引用空口扫描模板和RRM模板。
(1)空口扫描模板主要用于射频调优、频谱分析、定位和WIDS的数据分析,通过AP
周期性地扫描周围的无线信号,并将扫描采集的信息上报给AC或服务器。
(2)RRM模板主要用于保持最优的射频资源状态,通过自动检查周边无线环境、动态
调整信道和发射功率等射频资源、智能均衡用户接入,从而调整无线信号覆盖范围,降低射频信号干扰,使无线网络能够快速适应无线环境变化,确保用户接入无线网络的服务质量。
VAP模板
在VAP模板下配置各项参数,然后在AP组或AP中引用VAP模板,AP上就会生成VAP,
VAP用来为STA提供无线接入服务。通过配置VAP模板下的参数,使AP实现为STA提供
不同无线业务服务的能力。
VAP模板一般引用以下模板:
(1)SSID模板主要用于配置WLAN网络的SSID名称,还可以配置禁止非HT终端接入功
能、配置STA关联老化时间和DTIM周期参数;
(2)安全模板主要用于配置WLAN网络的安全策略,包括对STA的认证和加密。安全
策略主要有开放认证、WEP、WPA/WPA2-PSK、WPA/WPA2-802.1X、WAPI-PSK和WAPI-证书;
(3)认证模板主要用来统一管理NAC的配置信息,其中与接入协议相关的配置信息通
过绑定接入模板(包括802.1X接入模板、MAC接入模板和Portal接入模板)来确定。认证模板配置完成后要绑定到接口或VAP模板下,实现对接入用户进行认证和控制。
(4)流量模板
二 WLAN配置
wlan配置思路:
(1)配置普通WLAN组网‘
(2)配置AP上线
(3)配置STA上线
1 配置普通WLAN组网
(1)配置VLAN/TRUNK/VLANIF,配置路由,实现AC、Swtitch、上联Router、Internet互通;
(2)AC上配置DHCP,为AP分配管理地址;
(3)AC或者Switch上配置DHCP,为STA分配业务地址;
配置AP管理地址的DHCP时可以额外配置option 43字段保证AP能正常发现AC,具体请查阅AC配置手册。
option 43 sub-option 2 ip-address 192.168.1.254
2 配置AP上线
(1)配置AP组和域管理模板
system-view wlan regulatory-domain-profile name default //创建并进入域管理模板 cuntry-code cn quit ap-group name ap-gruop1 //创建并进入AP组视图 regulatory-domain-profile default //引用域管理模板
所有AP组缺省已引用了名为default的AP系统模板、2G射频模板、5G射频模板、域管理模板、WIDS模板和AP有线口模板。
(2)配置CAPWAP隧道
每台AC都必须唯一指定一个IP地址、VLANIF接口或者Loopback接口,该AC设备下挂接的AP学习到此IP地址或者此接口下配置的IP地址,用于AC和AP间的通信。此IP地址或者接口称为源地址或源接口。只有为每台AC指定唯一一个源接口或源地址,AP才能与AC建立CAPWAP隧道。
一般情况下,将AC上用于DHCP的VLANIF接口配置为源接口地址,用来建立CAPWAP隧道:
capwap source interface vlanif 100 //配置VLAN 100的VLANIF接口为AP与AC建立CAPWAP隧道的源接口;或者执行capwap source ip-address 192.168.100.254来指定IP地址。
(3)添加AP设备
添加AP有三种方式:离线导入AP、自动发现AP以及手工确认未认证列表中的AP。
一般情况下,采用自动发现AP的方式,配置AP认证方式为不认证,让AP自动注册上线:
sys wlan ap auth-mode no-auth display ap all //查看AP上线结果
(4)AP版本升级
登录AC的web管理界面对上线的AP进行升级,保证AP版本和AC版本相匹配。
3 配置STA上线
(1)创建安全模板
配置安全模板,可以对无线终端进行身份验证,对用户的报文进行加密,保护WLAN网络和用户的安全。WLAN安全策略支持开放认证、WEP、WPA/WPA2-PSK、WPA/WPA2-802.1X、WAPI-PSK和WAPI-证书,在安全模板中选择其中一种进行配置。开放认证和WPA/WPA2-802.1X还需要和NAC一起配置,有效管理用户的接入。对于无线终端接入WLAN网络业务,需要将安全模板引用到VAP模板,这样在无线终端通过SSID接入WLAN网络时,会根据VAP中配置的安全策略,完成身份认证后接入WLAN网络,
system-view wlan security-profile name wlan-net security wpa-wpa2 psk pass-phrase a1234567 aes quit
(2)创建SSID模板
SSID用来指定不同的无线网络。在STA上搜索可接入的无线网络时,显示出来的网络名称就是SSID。
system-view wlan ssid-profile name wlan-net ssid wlan-net quit
(3)配置认证方案(可选)
配置AAA认证模板(以radius为例):
radius-server template 10.0.0.1 //配置radius服务器 radius-server shared-key cipher xxxx radius-server authentication 10.0.0.1 1812 source Vlanif 301 weight 80 radius-server accounting 10.0.0.1 1813 source Vlanif 301 weight 80 aaa authentication-scheme wlan-net authentication-mode local radius //完成本地测试后,删除local认证方式 authorization-scheme wlan-net authorization-mode none accounting-scheme wlan-net accounting-mode radius accounting start-fail online local-user test password cipher xxxxx //创建本地测试账号 local-user test privilege level 15 local-user test service-type web NAC认证模板(以portal为例): portal local-server ip 192.168.1.1 portal local-server authentication-method pap portal local-server https ssl-policy default_policy port 8443 portal local-server redirect-url enable portal https-redirect enable portal-access-profile name wlan-net portal local-server enable 配置认证方案: authentication-profile name wlan-net portal-access-profile wlan-net authentication-scheme wlan-net radius-server 10.0.0.1
AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费3种安全功能。同时提供本地认证/授权方式、RADIUS服务器认证/授权和计费方式、HWTACACS服务器认证/授权和计费三种AAA方案。后两种可视为“委托认证/授权/计费”方式,因为这两种方式中的认证/授权/计费功能的实现不是由本地设备完成的,而是所配置的远程RADIUS服务器或HWTACACS服务器完成的。
NAC(Network Admission Control,网络许可控制)是一套从用户终端角度考虑内部网络安全的“端到端”安全解决方案总称,也就是针对用户终端的接入进行严格控制的解决方案。包含了802.1x认证、MAC地址和Portal三类认证方式(仅可在接入设备上部署),相对前面的AAA方案来说,此处基于接口的接入控制方法NAC方案更直接,直接在接入处进行认证,但同时又不如AAA方案灵活,因为这三种认证方式仅是简单的允许或者拒绝接入认证,没有AAA方案中的为允许接入的用户授予相应的访问权限,更没有为不同用户进行计费的功能。
(4)配置VAP模板
system-view wlan vap-profile name wlan-net service-vlan vlan-id 301 //配置业务wlan security-profile wlan-net //引用安全模板 ssid-profile wlan-net //引用ssid模板 authentication-profile wlan-net //引用认证模板 quit ap-group name ap-group1 vap-profile wlan-net wlan 1 radio all //引用VAP模板
(5)其他模板
其他模板可以暂时使用缺省模板,在WLAN调优时再进行设置。
AP在AC上线:
配置AP在AC上线的流程如下:
创建域管理模板,命名为domain1,配置域管理模板的国家码为中国CN。
创建AP组ap-group1,并绑定域管理模板domain1。
配置AC的源接口为VLAN100虚接口。
配置AP在AC上线的认证方式为不认证。
AP上线后全部加入到AC的ap -group1组中。
WLAN业务参数:
WLAN业务参数配置流程如下:
安全模板命名为security-1,采用OPEN方式,即STA接入无线网络不需要密码。
SSID模板命名为ssid-1,设置SSID为huawei。
VAP模板命名huawei-vap,指定转发方式为直接转发,服务VLAN为101,绑定安全模板
security-1和SSID模板ssid-1。
VAP模板绑定到AP组ap-group1, 设定WLAN的编号为1,使用所有的射频卡,即使用
2.4GHZ频段和5GHZ频段。