WLAN概述

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: WLAN概述

WLAN与Wi-Fi

WLAN是计算机网络和无线通信技术(Wi-Fi)相结合的产物,是有线网络的无线化延伸。

WLAN与Wi-Fi是基于IEEE 802.11标准的无线局域网技术。

IEE 802.11与Wi-Fi

802.11b  2.4GHz  11Mbps

802.11g   2.4GHz  54Mbps

802.11a    5GHz    54Mbps

802.11ac  5GHz

802.11ax   2.4GHz或5GHz

802.11n     2.4GHz或5GHz    54Mpbs

果要部署Wi-Fi5,但接在AP的交换机接口只有1Gbps,那么带宽是跑不满的,Wi-Fi5的速率最大3.47Gbps,而交换机只有1Gbps

IEE 802与TCP/IP对等模型

802.11标准聚焦在TCP/IP对等模型的下两层:

  • 数据链路层
  • 物理层

WLAN组网架构

AC:接入控制器

AP:无线接入点

胖AP:FAT AP

瘦AP:FIT AP

胖AP架构

  • AP独立工作,需要单独配置,没有统一的控制设备,部署起来太麻烦,成本低

AC+瘦AP架构

  • 需要使用AC来统一配置和管理,功能丰富,安全性高,适用范围广
  • AC也可以实现网络虚拟化的功能,使用云AC来管理AP
  • AP不需要独立配置,使用AC管理,实现即插即用

敏捷分布式AP架构

AP的一种特殊架构,把AP拆分为中心AP和敏AP两部分,中心AP可管理多台敏分AP,成本低,覆盖好。

AP的供电方式:

插座供电:AP直接插插座,但是AP数量较多,插座没有这么多

POE交换机供电:把AP通过网线连接到支持PoE功能的交换机,通过该交换机给AP供电

PoE适配器供电:不支持PoE功能的交换机情况下,通过网线连接PoE适配器,适配器连接插座,适配器再连接AP

有线侧组网概念:

二层组网

AP与AC之间的网络为直连或二层网络,即AP与AC之间建立capwap隧道的地址在同一个网段,不适用大型组网。

三层组网

AC也可以跨越广域网对企业分支机构的AP去进行管理,这样AC与AP必然不在同网段,这种叫做三层组网,适用大型组网

AC连接方式

直连模式下,AC部署在用户的转发路径上。直连模式用户流量要经过AC,消耗AC转发能力,旁挂一般流量不经过AC。

直连式组网

  • AP、AC与上层网络串联在一起,所有数据必须通过AC到达上层网络。该组网中,AC同时扮演AC和汇聚交换机的功能,AP的数据业务和管理业务都由AC集中转发和处理。

旁挂式组网

  • AC旁挂在AP与上行网络的直连网络中,不再直接连接AP。AP的业务数据可以不经AC而直接到达上行网络,也可以通过CAPWAP隧道经AC转发。扩展性较好。

CAPWAP协议

基于UDP进行传输的应用层协议。

CAPWAP协议在传输层运输两种类型的消息:

  • 业务数据流量,封装转发无线数据帧    ——通过CAPWAP数据隧道    UDP端口5246
  • 管理流量,管理AP与AC之间交换的管理消息   ——通过CAPWAP控制隧道    UDP端口5247

CAPWAP:无线接入点控制和配置协议。该协议定义了如何对AP进行管理、业务配置,即AC通过CAPWAP隧道来实现对AP的集中管理和控制。

CAPWAP的功能:

  • AP与AC之间的状态维护
  • AC通过CAPWAP隧道对AP进行管理、业务配置下发
  • 当采用隧道转发模式时,AP将STA发出的数据通过CAPWAP隧道实现与AC之间的交互。即,AP流量经AC转发

无线侧组网概念:

无线通信系统

无线通信系统中,信息可以是图像、文字等。信息需要先经过信源编码转换为方便于电路计算和处理的数字信号,再经过信道编码和调制,转换为无线电波发射出去。    信源编码--->数字信号--->无线电波

无线电磁波

频率介于3Hz和300Hz之间的电磁波,也叫射频、射电。

WLAN技术就是通过无线电磁波在空间中传输信息的

2.4GHz频段(2.4GHz~2.4835GHz)

5GHz频段(5.15GHz~5.35GHz,5.725GHz~5.85GHz)

无线信道

传输信息的通道,就是空间中的无线电磁波。

BBS

基本服务集

  • 一个AP所覆盖的范围就是叫BBS,在BBS区域内,设备间可以互相通信,不同BSS内,不能通信,如果BSS之间想要通信,需要通过有线或桥接方式,把AP之间连接起来。

BSSID

基本服务集标识符

  • 无线网络的一个身份标识,用AP的MAC地址表示。
  • 终端要发现和找到AP,需要通过AP的一个身份标识,这个标识就是BSSID。
  • 为了区分BSS,每个BSS都有唯一的BSSID,用AP的MAC地址保证唯一性。
  • PC发往AP的数据帧中,目的MAC就是BSSID的MAC。

SSID

服务集标识符

  • 无线网络的一个身份标识,用字符串表示。为了使用户辨识不同的无线网络,用SSID代替BSSID。
  • 如果一个空间部署了多个BSS,终端就会发现多个BSSID,只要选择加入的BSSID就行,但为了用户区分,用户所能看到的是SSID,即WLAN名称。

VAP

虚拟接入点。

在一个物理AP上虚拟出多个AP。VAP与物理AP具有相同功能。

每个VAP对应一个BSS,再为这些BSS,设置不同的SSID。

ESS

扩展服务集。

多个不同的AP,使用相同的SSID,组成更大的虚拟BSS称为ESS。

用户从一个BSS移动到另一个BSS时,不能感知到SSID的变化,而ESS可以让用户在ESS内自由移动和漫游,不管移动到哪里,都可以认为使用相同的WLAN。

WLAN漫游:是指终端用户在同属一个ESS,不同AP覆盖的范围之间移动,并保持用户业务不中断的行为。

WLAN工作原理

AP上线

AP获取IP地址

  • 静态或者DHCP
  • 可使用专门的DHCP Server、使用AC的DHCP服务、使用核心交换机来分配IP地址

AP发现AC并与之建立CAPWAP隧道

  • AP发现AC,可通过静态或者动态方式发现。例如DHCP方式
  • AP与DHCP服务器完成正常的DHCP报文交互,Discovery、Offer、Request、ACK,此时的Offer和ACK报文携带Option 43字段,携带了AC的IP地址。这时AP通过DHCP获取了IP地址,也知道了AC的IP地址,就会单播发送Discovery Request报文给AC,AC再给AP回复Discovery Response报文。
  • AP与AC关联,完成CAPWAP隧道建立。包括数据隧道和控制隧道
  • 数据隧道:AP接受的业务数据报文经过CAPWAP隧道转发给AC。   ——数据经过AC,选配
  • 控制隧道:通过CAPWAP控制隧道实现AP与AC之间管理报文的交互。  ——必配

AP接入控制

  • AP发现AC后,会发送Join Request报文,AC收到后会判断是否允许该AP接入,并响应Join Response报文。
  • AC上支持三种对AP的认证方式:MAC认证、序列号认证和不认证

AP版本升级

  • AP根据收到的Join Response报文中的参数判断当前的系统软件版本是否与AC上指定的一致。如果不一致,发送Image Data Request报文请求软件版本,然后进行版本升级,升级方式包括AC模式、FTP模式和SFTP模式。
  • AP在软件版本更新完成后,重新启动,重复进行前面三个步骤

CAPWAP隧道维持

  • 数据隧道维持:
  • AP与AC之间交互Keepalive报文来检测数据隧道的连通状态
  • 控制隧道维持:
  • AP与AC交互Echo报文来检测控制隧道的连通状态。  Echo Request、Echo Response

AP上线的配置步骤:

WLAN业务配置下发

AC向AP发送Configuration Update Request请求消息,AP回应Configuration Update Response消息,AC再将AP的业务配置信息下发给AP

AP或AP组的各个射频

域管理模板:提供对AP的国家码、调优带宽等的配置

射频模板:用于优化射频的参数,以及配置信道切换业务不中断功能

VAP模板:配置各项参数,同时还可以引用SSID模板、安全模板、认证模板等

其他模板:AP系统模板、定位模板、WIDS模板、Mesh模板等

射频参数配置:配置基本射频参数:工作频段、信道、发射功率等

VAP模板:

创建SSID模板:主要用于配置WLAN网络的SSID名称。

创建安全模板:配置安全策略,对无线终端(STA)进行身份验证,对用户的报文进行加密。

配置数据转发方式:配置数据报文的转发模式。隧道转发(集中转发)、直接转发(本地转发)

配置业务VLAN:VAP下发给AP的二层业务数据报文中都会带有业务VLAN的VLAN ID。

STA接入

STA:无线终端

CAPWAP隧道建立完成后,用户就可以接入无线网络。

STA接入过程分为六个阶段:扫描阶段、链路认证阶段、关联阶段、接入认证阶段、DHCP、用户认证

  • 扫描阶段
  • 搜索周围的无线网络,根据Probe Request(探测请求帧)是否携带SSID。
  • 主动扫描:
  • 携带有指定SSID的主动扫描方式:适用于STA通过主动扫描接入指定的无线网络。
  • 携带空SSID的主动扫描方式:适用于STA通过主动扫描可以获知是否存在可使用的无线服务。
  • 被动扫描:客户端通过侦听AP定期发送的Beacon帧(信标帧,包含SSID、速率等信息)发现周围的无线网络。
  • 链路认证阶段:对无线终端进行终端的身份验证,不是用户验证,是终端连接AP并访问WLAN的起点
  • 开放系统认证:即不认证
  • 共享密钥认证:STA和AP预先配置相同的共享密钥,AP在链路认证过程验证两边的密钥配置是否相同。如果一致,则认证成功;否则,认证失败。
  • 关联阶段:链路服务协商的过程,协商内容包括:支持的速率、信道等
  • 接入认证阶段:对用户进行区分。接入认证要比链路认证安全性更高。主要包含:PSK认证和802.1X认证。
  • 接入认证相当于在无线侧的接口做认证,让终端用户有权限在无线链路上发送数据。
  • 除了用户的接入认证外,还有数据加密,对数据报文使用加密方式来保证数据安全,也是在接入认证阶段完成的。加密之后,需要持有密钥的设备才可以对报文进行解密。
  • DHCP:STA获取自身的IP地址,是STA正常上线的前提条件。可用AC设备或汇聚交换机作为DHCP服务器为STA分配IP地址,一般使用汇聚交换机。
  • 用户认证:802.1X认证、MAC认证、Portal认证(也称web认证)

WLAN业务数据转发

CAPWAP中的数据包括控制报文(管理报文)和数据报文。

控制报文是通过CAPWAP的控制隧道转发的。

用户的数据报文分为隧道转发(又称为集中转发)方式和直接转发(又称为本地转发)方式。

隧道转发方式:数据报文通过CAPWAP转发给AC

  • 优点:AC集中转发数据报文,安全性好,方便集中管理和控制。
  • 缺点:业务数据必须经过AC转发,报文转发效率比直接转发方式低,AC所受压力大。

直接转发方式:数据报文不经过CAPWAP转发给AC

  • 优点:数据报文不需要经过AC转发,报文转发效率高,AC所受压力小。
  • 缺点:业务数据不便于集中管理和控制。

WLAN配置

管理VLAN:AP的地址

业务VLAN:终端的地址

创建AP组

[AC] wlan
[AC-wlan-view] ap-group name ap-group1

创建域管理模板,在域管理模板下配置AC的国家码并在AP组下引用域管理模板。

[AC-wlan-view] regulatory-domain-profile name default
[AC-wlan-regulate-domain-default] country-code cn
[AC-wlan-regulate-domain-default] quit
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] regulatory-domain-profile default
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
e?[Y/N]:y

配置AC的源接口

[AC] capwap source interface vlanif 100

配置认证方式为MAC认证

[AC] wlan
[AC-wlan-view] ap auth-mode mac-auth
[AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360
[AC-wlan-ap-0] ap-name area_1
Warning: This operation may cause AP reset. Continue? [Y/N]:y 
[AC-wlan-ap-0] ap-group ap-group1
Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration
s of the radio, Whether to continue? [Y/N]:y

然后输入display ap all,nor状态为正常

创建安全模板

[AC-wlan-view] security-profile name wlan-net
[AC-wlan-sec-prof-wlan-net] security wpa-wpa2 psk pass-phrase a1234567 aes

创建SSID模板

[AC-wlan-view] ssid-profile name wlan-net
[AC-wlan-ssid-prof-wlan-net] ssid wlan-net

创建VAP模板,并配置数据转发模式,业务VLAN,引用安全模板以及SSID模板

[AC-wlan-view] vap-profile name wlan-net
[AC-wlan-vap-prof-wlan-net] forward-mode direct-forward
[AC-wlan-vap-prof-wlan-net] service-vlan vlan-pool sta-pool
[AC-wlan-vap-prof-wlan-net] security-profile wlan-net
[AC-wlan-vap-prof-wlan-net] ssid-profile wlan-net

配置AP组,引用VAP模板,AP上射频0和射频1都是用VAP模板“wlan-net”的配置

[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 0
[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 1
[AC-wlan-ap-group-ap-group1] quit

射频0是2.4G,射频1是5G;这两个都是wifi无线信号的标准。5G的传输速度更快,但信号抗干扰穿墙等能力更弱;2.4G则相反

相关文章
|
9天前
|
网络协议 安全 网络安全
Cisco 设备上的 IPv6 特性详解
Cisco 设备上的 IPv6 特性详解
26 3
|
3月前
|
网络协议 数据处理 iOS开发
不是吧?思科ASA NAT这些基本概念你还不知道?
不是吧?思科ASA NAT这些基本概念你还不知道?
|
6月前
|
安全 网络虚拟化 数据安全/隐私保护
|
网络虚拟化 网络架构 网络协议