WLAN与Wi-Fi
WLAN是计算机网络和无线通信技术(Wi-Fi)相结合的产物,是有线网络的无线化延伸。
WLAN与Wi-Fi是基于IEEE 802.11标准的无线局域网技术。
IEE 802.11与Wi-Fi
802.11b 2.4GHz 11Mbps
802.11g 2.4GHz 54Mbps
802.11a 5GHz 54Mbps
802.11ac 5GHz
802.11ax 2.4GHz或5GHz
802.11n 2.4GHz或5GHz 54Mpbs
如果要部署Wi-Fi5,但接在AP的交换机接口只有1Gbps,那么带宽是跑不满的,Wi-Fi5的速率最大3.47Gbps,而交换机只有1Gbps
IEE 802与TCP/IP对等模型
802.11标准聚焦在TCP/IP对等模型的下两层:
- 数据链路层
- 物理层
WLAN组网架构
AC:接入控制器
AP:无线接入点
胖AP:FAT AP
瘦AP:FIT AP
胖AP架构
- AP独立工作,需要单独配置,没有统一的控制设备,部署起来太麻烦,成本低
AC+瘦AP架构
- 需要使用AC来统一配置和管理,功能丰富,安全性高,适用范围广
- AC也可以实现网络虚拟化的功能,使用云AC来管理AP
- AP不需要独立配置,使用AC管理,实现即插即用
敏捷分布式AP架构
AP的一种特殊架构,把AP拆分为中心AP和敏AP两部分,中心AP可管理多台敏分AP,成本低,覆盖好。
AP的供电方式:
插座供电:AP直接插插座,但是AP数量较多,插座没有这么多
POE交换机供电:把AP通过网线连接到支持PoE功能的交换机,通过该交换机给AP供电
PoE适配器供电:不支持PoE功能的交换机情况下,通过网线连接PoE适配器,适配器连接插座,适配器再连接AP
有线侧组网概念:
二层组网
AP与AC之间的网络为直连或二层网络,即AP与AC之间建立capwap隧道的地址在同一个网段,不适用大型组网。
三层组网
AC也可以跨越广域网对企业分支机构的AP去进行管理,这样AC与AP必然不在同网段,这种叫做三层组网,适用大型组网
AC连接方式
直连模式下,AC部署在用户的转发路径上。直连模式用户流量要经过AC,消耗AC转发能力,旁挂一般流量不经过AC。
直连式组网
- AP、AC与上层网络串联在一起,所有数据必须通过AC到达上层网络。该组网中,AC同时扮演AC和汇聚交换机的功能,AP的数据业务和管理业务都由AC集中转发和处理。
旁挂式组网
- AC旁挂在AP与上行网络的直连网络中,不再直接连接AP。AP的业务数据可以不经AC而直接到达上行网络,也可以通过CAPWAP隧道经AC转发。扩展性较好。
CAPWAP协议
基于UDP进行传输的应用层协议。
CAPWAP协议在传输层运输两种类型的消息:
- 业务数据流量,封装转发无线数据帧 ——通过CAPWAP数据隧道 UDP端口5246
- 管理流量,管理AP与AC之间交换的管理消息 ——通过CAPWAP控制隧道 UDP端口5247
CAPWAP:无线接入点控制和配置协议。该协议定义了如何对AP进行管理、业务配置,即AC通过CAPWAP隧道来实现对AP的集中管理和控制。
CAPWAP的功能:
- AP与AC之间的状态维护
- AC通过CAPWAP隧道对AP进行管理、业务配置下发
- 当采用隧道转发模式时,AP将STA发出的数据通过CAPWAP隧道实现与AC之间的交互。即,AP流量经AC转发
无线侧组网概念:
无线通信系统
无线通信系统中,信息可以是图像、文字等。信息需要先经过信源编码转换为方便于电路计算和处理的数字信号,再经过信道编码和调制,转换为无线电波发射出去。 信源编码--->数字信号--->无线电波
无线电磁波
频率介于3Hz和300Hz之间的电磁波,也叫射频、射电。
WLAN技术就是通过无线电磁波在空间中传输信息的
2.4GHz频段(2.4GHz~2.4835GHz)
5GHz频段(5.15GHz~5.35GHz,5.725GHz~5.85GHz)
无线信道
传输信息的通道,就是空间中的无线电磁波。
BBS
基本服务集
- 一个AP所覆盖的范围就是叫BBS,在BBS区域内,设备间可以互相通信,不同BSS内,不能通信,如果BSS之间想要通信,需要通过有线或桥接方式,把AP之间连接起来。
BSSID
基本服务集标识符
- 无线网络的一个身份标识,用AP的MAC地址表示。
- 终端要发现和找到AP,需要通过AP的一个身份标识,这个标识就是BSSID。
- 为了区分BSS,每个BSS都有唯一的BSSID,用AP的MAC地址保证唯一性。
- PC发往AP的数据帧中,目的MAC就是BSSID的MAC。
SSID
服务集标识符
- 无线网络的一个身份标识,用字符串表示。为了使用户辨识不同的无线网络,用SSID代替BSSID。
- 如果一个空间部署了多个BSS,终端就会发现多个BSSID,只要选择加入的BSSID就行,但为了用户区分,用户所能看到的是SSID,即WLAN名称。
VAP
虚拟接入点。
在一个物理AP上虚拟出多个AP。VAP与物理AP具有相同功能。
每个VAP对应一个BSS,再为这些BSS,设置不同的SSID。
ESS
扩展服务集。
多个不同的AP,使用相同的SSID,组成更大的虚拟BSS称为ESS。
用户从一个BSS移动到另一个BSS时,不能感知到SSID的变化,而ESS可以让用户在ESS内自由移动和漫游,不管移动到哪里,都可以认为使用相同的WLAN。
WLAN漫游:是指终端用户在同属一个ESS,不同AP覆盖的范围之间移动,并保持用户业务不中断的行为。
WLAN工作原理
AP上线
AP获取IP地址
- 静态或者DHCP
- 可使用专门的DHCP Server、使用AC的DHCP服务、使用核心交换机来分配IP地址
AP发现AC并与之建立CAPWAP隧道
- AP发现AC,可通过静态或者动态方式发现。例如DHCP方式
- AP与DHCP服务器完成正常的DHCP报文交互,Discovery、Offer、Request、ACK,此时的Offer和ACK报文携带Option 43字段,携带了AC的IP地址。这时AP通过DHCP获取了IP地址,也知道了AC的IP地址,就会单播发送Discovery Request报文给AC,AC再给AP回复Discovery Response报文。
- AP与AC关联,完成CAPWAP隧道建立。包括数据隧道和控制隧道
- 数据隧道:AP接受的业务数据报文经过CAPWAP隧道转发给AC。 ——数据经过AC,选配
- 控制隧道:通过CAPWAP控制隧道实现AP与AC之间管理报文的交互。 ——必配
AP接入控制
- AP发现AC后,会发送Join Request报文,AC收到后会判断是否允许该AP接入,并响应Join Response报文。
- AC上支持三种对AP的认证方式:MAC认证、序列号认证和不认证
AP版本升级
- AP根据收到的Join Response报文中的参数判断当前的系统软件版本是否与AC上指定的一致。如果不一致,发送Image Data Request报文请求软件版本,然后进行版本升级,升级方式包括AC模式、FTP模式和SFTP模式。
- AP在软件版本更新完成后,重新启动,重复进行前面三个步骤
CAPWAP隧道维持
- 数据隧道维持:
- AP与AC之间交互Keepalive报文来检测数据隧道的连通状态
- 控制隧道维持:
- AP与AC交互Echo报文来检测控制隧道的连通状态。 Echo Request、Echo Response
AP上线的配置步骤:
WLAN业务配置下发
AC向AP发送Configuration Update Request请求消息,AP回应Configuration Update Response消息,AC再将AP的业务配置信息下发给AP。
AP或AP组的各个射频
域管理模板:提供对AP的国家码、调优带宽等的配置
射频模板:用于优化射频的参数,以及配置信道切换业务不中断功能
VAP模板:配置各项参数,同时还可以引用SSID模板、安全模板、认证模板等
其他模板:AP系统模板、定位模板、WIDS模板、Mesh模板等
射频参数配置:配置基本射频参数:工作频段、信道、发射功率等
VAP模板:
创建SSID模板:主要用于配置WLAN网络的SSID名称。
创建安全模板:配置安全策略,对无线终端(STA)进行身份验证,对用户的报文进行加密。
配置数据转发方式:配置数据报文的转发模式。隧道转发(集中转发)、直接转发(本地转发)
配置业务VLAN:VAP下发给AP的二层业务数据报文中都会带有业务VLAN的VLAN ID。
STA接入
STA:无线终端
CAPWAP隧道建立完成后,用户就可以接入无线网络。
STA接入过程分为六个阶段:扫描阶段、链路认证阶段、关联阶段、接入认证阶段、DHCP、用户认证
- 扫描阶段
- 搜索周围的无线网络,根据Probe Request(探测请求帧)是否携带SSID。
- 主动扫描:
- 携带有指定SSID的主动扫描方式:适用于STA通过主动扫描接入指定的无线网络。
- 携带空SSID的主动扫描方式:适用于STA通过主动扫描可以获知是否存在可使用的无线服务。
- 被动扫描:客户端通过侦听AP定期发送的Beacon帧(信标帧,包含SSID、速率等信息)发现周围的无线网络。
- 链路认证阶段:对无线终端进行终端的身份验证,不是用户验证,是终端连接AP并访问WLAN的起点
- 开放系统认证:即不认证
- 共享密钥认证:STA和AP预先配置相同的共享密钥,AP在链路认证过程验证两边的密钥配置是否相同。如果一致,则认证成功;否则,认证失败。
- 关联阶段:链路服务协商的过程,协商内容包括:支持的速率、信道等
- 接入认证阶段:对用户进行区分。接入认证要比链路认证安全性更高。主要包含:PSK认证和802.1X认证。
- 接入认证相当于在无线侧的接口做认证,让终端用户有权限在无线链路上发送数据。
- 除了用户的接入认证外,还有数据加密,对数据报文使用加密方式来保证数据安全,也是在接入认证阶段完成的。加密之后,需要持有密钥的设备才可以对报文进行解密。
- DHCP:STA获取自身的IP地址,是STA正常上线的前提条件。可用AC设备或汇聚交换机作为DHCP服务器为STA分配IP地址,一般使用汇聚交换机。
- 用户认证:802.1X认证、MAC认证、Portal认证(也称web认证)
WLAN业务数据转发
CAPWAP中的数据包括控制报文(管理报文)和数据报文。
控制报文是通过CAPWAP的控制隧道转发的。
用户的数据报文分为隧道转发(又称为集中转发)方式和直接转发(又称为本地转发)方式。
隧道转发方式:数据报文通过CAPWAP转发给AC
- 优点:AC集中转发数据报文,安全性好,方便集中管理和控制。
- 缺点:业务数据必须经过AC转发,报文转发效率比直接转发方式低,AC所受压力大。
直接转发方式:数据报文不经过CAPWAP转发给AC
- 优点:数据报文不需要经过AC转发,报文转发效率高,AC所受压力小。
- 缺点:业务数据不便于集中管理和控制。
WLAN配置
管理VLAN:AP的地址
业务VLAN:终端的地址
创建AP组
[AC] wlan [AC-wlan-view] ap-group name ap-group1
创建域管理模板,在域管理模板下配置AC的国家码并在AP组下引用域管理模板。
[AC-wlan-view] regulatory-domain-profile name default [AC-wlan-regulate-domain-default] country-code cn [AC-wlan-regulate-domain-default] quit [AC-wlan-view] ap-group name ap-group1 [AC-wlan-ap-group-ap-group1] regulatory-domain-profile default Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu e?[Y/N]:y
配置AC的源接口
[AC] capwap source interface vlanif 100
配置认证方式为MAC认证
[AC] wlan [AC-wlan-view] ap auth-mode mac-auth [AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360 [AC-wlan-ap-0] ap-name area_1 Warning: This operation may cause AP reset. Continue? [Y/N]:y [AC-wlan-ap-0] ap-group ap-group1 Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration s of the radio, Whether to continue? [Y/N]:y
然后输入display ap all,nor状态为正常
创建安全模板
[AC-wlan-view] security-profile name wlan-net [AC-wlan-sec-prof-wlan-net] security wpa-wpa2 psk pass-phrase a1234567 aes
创建SSID模板
[AC-wlan-view] ssid-profile name wlan-net [AC-wlan-ssid-prof-wlan-net] ssid wlan-net
创建VAP模板,并配置数据转发模式,业务VLAN,引用安全模板以及SSID模板
[AC-wlan-view] vap-profile name wlan-net [AC-wlan-vap-prof-wlan-net] forward-mode direct-forward [AC-wlan-vap-prof-wlan-net] service-vlan vlan-pool sta-pool [AC-wlan-vap-prof-wlan-net] security-profile wlan-net [AC-wlan-vap-prof-wlan-net] ssid-profile wlan-net
配置AP组,引用VAP模板,AP上射频0和射频1都是用VAP模板“wlan-net”的配置
[AC-wlan-view] ap-group name ap-group1 [AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 0 [AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 1 [AC-wlan-ap-group-ap-group1] quit
射频0是2.4G,射频1是5G;这两个都是wifi无线信号的标准。5G的传输速度更快,但信号抗干扰穿墙等能力更弱;2.4G则相反