WLAN与Wi-Fi

WLAN是计算机网络和无线通信技术（Wi-Fi）相结合的产物，是有线网络的无线化延伸。

WLAN与Wi-Fi是基于IEEE 802.11标准的无线局域网技术。

IEE 802.11与Wi-Fi

802.11b  2.4GHz  11Mbps

802.11g   2.4GHz  54Mbps

802.11a    5GHz    54Mbps

802.11ac  5GHz

802.11ax   2.4GHz或5GHz

802.11n     2.4GHz或5GHz    54Mpbs

如果要部署Wi-Fi5，但接在AP的交换机接口只有1Gbps，那么带宽是跑不满的，Wi-Fi5的速率最大3.47Gbps，而交换机只有1Gbps

IEE 802与TCP/IP对等模型

802.11标准聚焦在TCP/IP对等模型的下两层：

• 数据链路层
• 物理层

WLAN组网架构

AC：接入控制器

AP：无线接入点

胖AP：FAT AP

瘦AP：FIT AP

胖AP架构

• AP独立工作，需要单独配置，没有统一的控制设备，部署起来太麻烦，成本低

AC+瘦AP架构

• 需要使用AC来统一配置和管理，功能丰富，安全性高，适用范围广
• AC也可以实现网络虚拟化的功能，使用云AC来管理AP
• AP不需要独立配置，使用AC管理，实现即插即用

敏捷分布式AP架构

AP的一种特殊架构，把AP拆分为中心AP和敏AP两部分，中心AP可管理多台敏分AP，成本低，覆盖好。

AP的供电方式：

插座供电：AP直接插插座，但是AP数量较多，插座没有这么多

POE交换机供电：把AP通过网线连接到支持PoE功能的交换机，通过该交换机给AP供电

PoE适配器供电：不支持PoE功能的交换机情况下，通过网线连接PoE适配器，适配器连接插座，适配器再连接AP

有线侧组网概念：

二层组网

AP与AC之间的网络为直连或二层网络，即AP与AC之间建立capwap隧道的地址在同一个网段，不适用大型组网。

三层组网

AC也可以跨越广域网对企业分支机构的AP去进行管理，这样AC与AP必然不在同网段，这种叫做三层组网，适用大型组网

AC连接方式

直连模式下，AC部署在用户的转发路径上。直连模式用户流量要经过AC，消耗AC转发能力，旁挂一般流量不经过AC。

直连式组网

• AP、AC与上层网络串联在一起，所有数据必须通过AC到达上层网络。该组网中，AC同时扮演AC和汇聚交换机的功能，AP的数据业务和管理业务都由AC集中转发和处理。

旁挂式组网

• AC旁挂在AP与上行网络的直连网络中，不再直接连接AP。AP的业务数据可以不经AC而直接到达上行网络，也可以通过CAPWAP隧道经AC转发。扩展性较好。

CAPWAP协议

基于UDP进行传输的应用层协议。

CAPWAP协议在传输层运输两种类型的消息：

• 业务数据流量，封装转发无线数据帧    ——通过CAPWAP数据隧道    UDP端口5246
• 管理流量，管理AP与AC之间交换的管理消息   ——通过CAPWAP控制隧道    UDP端口5247

CAPWAP：无线接入点控制和配置协议。该协议定义了如何对AP进行管理、业务配置，即AC通过CAPWAP隧道来实现对AP的集中管理和控制。

CAPWAP的功能：

• AP与AC之间的状态维护
• AC通过CAPWAP隧道对AP进行管理、业务配置下发
• 当采用隧道转发模式时，AP将STA发出的数据通过CAPWAP隧道实现与AC之间的交互。即，AP流量经AC转发

无线侧组网概念：

无线通信系统

无线通信系统中，信息可以是图像、文字等。信息需要先经过信源编码转换为方便于电路计算和处理的数字信号，再经过信道编码和调制，转换为无线电波发射出去。    信源编码--->数字信号--->无线电波

无线电磁波

频率介于3Hz和300Hz之间的电磁波，也叫射频、射电。

WLAN技术就是通过无线电磁波在空间中传输信息的

2.4GHz频段(2.4GHz~2.4835GHz）

5GHz频段（5.15GHz~5.35GHz，5.725GHz~5.85GHz）

无线信道

传输信息的通道，就是空间中的无线电磁波。

BBS

基本服务集

• 一个AP所覆盖的范围就是叫BBS，在BBS区域内，设备间可以互相通信，不同BSS内，不能通信，如果BSS之间想要通信，需要通过有线或桥接方式，把AP之间连接起来。

BSSID

基本服务集标识符

• 无线网络的一个身份标识，用AP的MAC地址表示。
• 终端要发现和找到AP，需要通过AP的一个身份标识，这个标识就是BSSID。
• 为了区分BSS，每个BSS都有唯一的BSSID，用AP的MAC地址保证唯一性。
• PC发往AP的数据帧中，目的MAC就是BSSID的MAC。

SSID

服务集标识符

• 无线网络的一个身份标识，用字符串表示。为了使用户辨识不同的无线网络，用SSID代替BSSID。
• 如果一个空间部署了多个BSS，终端就会发现多个BSSID，只要选择加入的BSSID就行，但为了用户区分，用户所能看到的是SSID，即WLAN名称。

VAP

虚拟接入点。

在一个物理AP上虚拟出多个AP。VAP与物理AP具有相同功能。

每个VAP对应一个BSS，再为这些BSS，设置不同的SSID。

ESS

扩展服务集。

多个不同的AP，使用相同的SSID，组成更大的虚拟BSS称为ESS。

用户从一个BSS移动到另一个BSS时，不能感知到SSID的变化，而ESS可以让用户在ESS内自由移动和漫游，不管移动到哪里，都可以认为使用相同的WLAN。

WLAN漫游：是指终端用户在同属一个ESS，不同AP覆盖的范围之间移动，并保持用户业务不中断的行为。

WLAN工作原理

AP上线

AP获取IP地址

• 静态或者DHCP
• 可使用专门的DHCP Server、使用AC的DHCP服务、使用核心交换机来分配IP地址

AP发现AC并与之建立CAPWAP隧道

• AP发现AC，可通过静态或者动态方式发现。例如DHCP方式

• AP与DHCP服务器完成正常的DHCP报文交互，Discovery、Offer、Request、ACK，此时的Offer和ACK报文携带Option 43字段，携带了AC的IP地址。这时AP通过DHCP获取了IP地址，也知道了AC的IP地址，就会单播发送Discovery Request报文给AC，AC再给AP回复Discovery Response报文。

• AP与AC关联，完成CAPWAP隧道建立。包括数据隧道和控制隧道

• 数据隧道：AP接受的业务数据报文经过CAPWAP隧道转发给AC。   ——数据经过AC，选配
• 控制隧道：通过CAPWAP控制隧道实现AP与AC之间管理报文的交互。  ——必配

AP接入控制

• AP发现AC后，会发送Join Request报文，AC收到后会判断是否允许该AP接入，并响应Join Response报文。
• AC上支持三种对AP的认证方式：MAC认证、序列号认证和不认证

AP版本升级

• AP根据收到的Join Response报文中的参数判断当前的系统软件版本是否与AC上指定的一致。如果不一致，发送Image Data Request报文请求软件版本，然后进行版本升级，升级方式包括AC模式、FTP模式和SFTP模式。
• AP在软件版本更新完成后，重新启动，重复进行前面三个步骤

CAPWAP隧道维持

• 数据隧道维持：

• AP与AC之间交互Keepalive报文来检测数据隧道的连通状态

• 控制隧道维持：

• AP与AC交互Echo报文来检测控制隧道的连通状态。  Echo Request、Echo Response

AP上线的配置步骤：

WLAN业务配置下发

AC向AP发送Configuration Update Request请求消息，AP回应Configuration Update Response消息，AC再将AP的业务配置信息下发给AP。

AP或AP组的各个射频

域管理模板：提供对AP的国家码、调优带宽等的配置

射频模板：用于优化射频的参数，以及配置信道切换业务不中断功能

VAP模板：配置各项参数，同时还可以引用SSID模板、安全模板、认证模板等

其他模板：AP系统模板、定位模板、WIDS模板、Mesh模板等

射频参数配置：配置基本射频参数：工作频段、信道、发射功率等

VAP模板：

创建SSID模板：主要用于配置WLAN网络的SSID名称。

创建安全模板：配置安全策略，对无线终端（STA）进行身份验证，对用户的报文进行加密。

配置数据转发方式：配置数据报文的转发模式。隧道转发（集中转发）、直接转发（本地转发）

配置业务VLAN：VAP下发给AP的二层业务数据报文中都会带有业务VLAN的VLAN ID。

STA接入

STA：无线终端

CAPWAP隧道建立完成后，用户就可以接入无线网络。

STA接入过程分为六个阶段：扫描阶段、链路认证阶段、关联阶段、接入认证阶段、DHCP、用户认证

• 扫描阶段

• 搜索周围的无线网络，根据Probe Request（探测请求帧）是否携带SSID。
• 主动扫描：

• 携带有指定SSID的主动扫描方式：适用于STA通过主动扫描接入指定的无线网络。
• 携带空SSID的主动扫描方式：适用于STA通过主动扫描可以获知是否存在可使用的无线服务。

• 被动扫描：客户端通过侦听AP定期发送的Beacon帧（信标帧，包含SSID、速率等信息）发现周围的无线网络。

• 链路认证阶段：对无线终端进行终端的身份验证，不是用户验证，是终端连接AP并访问WLAN的起点

• 开放系统认证：即不认证
• 共享密钥认证：STA和AP预先配置相同的共享密钥，AP在链路认证过程验证两边的密钥配置是否相同。如果一致，则认证成功；否则，认证失败。

• 关联阶段：链路服务协商的过程，协商内容包括：支持的速率、信道等
• 接入认证阶段：对用户进行区分。接入认证要比链路认证安全性更高。主要包含：PSK认证和802.1X认证。

• 接入认证相当于在无线侧的接口做认证，让终端用户有权限在无线链路上发送数据。
• 除了用户的接入认证外，还有数据加密，对数据报文使用加密方式来保证数据安全，也是在接入认证阶段完成的。加密之后，需要持有密钥的设备才可以对报文进行解密。

• DHCP：STA获取自身的IP地址，是STA正常上线的前提条件。可用AC设备或汇聚交换机作为DHCP服务器为STA分配IP地址，一般使用汇聚交换机。
• 用户认证：802.1X认证、MAC认证、Portal认证（也称web认证）

• 三种认证的应用场景、及区别

WLAN业务数据转发

CAPWAP中的数据包括控制报文（管理报文）和数据报文。

控制报文是通过CAPWAP的控制隧道转发的。

用户的数据报文分为隧道转发（又称为集中转发）方式和直接转发（又称为本地转发）方式。

隧道转发方式：数据报文通过CAPWAP转发给AC

• 优点：AC集中转发数据报文，安全性好，方便集中管理和控制。
• 缺点：业务数据必须经过AC转发，报文转发效率比直接转发方式低，AC所受压力大。

直接转发方式：数据报文不经过CAPWAP转发给AC

• 优点：数据报文不需要经过AC转发，报文转发效率高，AC所受压力小。
• 缺点：业务数据不便于集中管理和控制。

WLAN配置

管理VLAN：AP的地址

业务VLAN：终端的地址

创建AP组

[AC] wlan
[AC-wlan-view] ap-group name ap-group1

创建域管理模板，在域管理模板下配置AC的国家码并在AP组下引用域管理模板。

[AC-wlan-view] regulatory-domain-profile name default
[AC-wlan-regulate-domain-default] country-code cn
[AC-wlan-regulate-domain-default] quit
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] regulatory-domain-profile default
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
e?[Y/N]:y

配置AC的源接口

[AC] capwap source interface vlanif 100

配置认证方式为MAC认证

[AC] wlan
[AC-wlan-view] ap auth-mode mac-auth
[AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360
[AC-wlan-ap-0] ap-name area_1
Warning: This operation may cause AP reset. Continue? [Y/N]:y 
[AC-wlan-ap-0] ap-group ap-group1
Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration
s of the radio, Whether to continue? [Y/N]:y

然后输入display ap all，nor状态为正常

创建安全模板

[AC-wlan-view] security-profile name wlan-net
[AC-wlan-sec-prof-wlan-net] security wpa-wpa2 psk pass-phrase a1234567 aes

创建SSID模板

[AC-wlan-view] ssid-profile name wlan-net
[AC-wlan-ssid-prof-wlan-net] ssid wlan-net

创建VAP模板，并配置数据转发模式，业务VLAN，引用安全模板以及SSID模板

[AC-wlan-view] vap-profile name wlan-net
[AC-wlan-vap-prof-wlan-net] forward-mode direct-forward
[AC-wlan-vap-prof-wlan-net] service-vlan vlan-pool sta-pool
[AC-wlan-vap-prof-wlan-net] security-profile wlan-net
[AC-wlan-vap-prof-wlan-net] ssid-profile wlan-net

配置AP组，引用VAP模板，AP上射频0和射频1都是用VAP模板“wlan-net”的配置

[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 0
[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 1
[AC-wlan-ap-group-ap-group1] quit

射频0是2.4G，射频1是5G；这两个都是wifi无线信号的标准。5G的传输速度更快，但信号抗干扰穿墙等能力更弱；2.4G则相反