基礎知識1:AC、胖AP與瘦AP
WLAN系統一般由AC(接入控制設備)和AP(訪問接入點)組成。
1、AP
AP即“訪問接入點",無線接入點是一個無線網絡的接入點,它是用於無線網絡的無線交換機。AP相當於一個連接有線網和無線網的橋梁,其主要作用是將各個無線網絡客戶端連接到無線網絡中。
- 胖AP模式:類似於家用的無線路由器。每台AP需要單獨配置。
- 瘦AP模式:對於較大規模的WLAN來說,所需的AP數量巨大,這時AP可以切換到瘦AP模式,由AC集中對所有的AP進行管理。
2、AC
AC即“接入控制設備”,AC用來集中化控制、管理LAN內的AP,對AP管理包括:下發配置、修改相關配置參數、射頻智能管理、接入安全控制等。
基礎知識2:AC直連式組網、AC旁掛式組網
根據AC在網絡中的位置,可以分為直連式組網、旁掛式組網。
- 直連式組網:AC同時扮演AC和匯聚或接入交換機的功能。
- 旁掛式組網:AC沒有直接與AC進行連接,而是旁掛在AP的上行網絡。
基礎知識3:二層組網、三層組網
根據AC與AP是否在同一個IP地址網段內,可以分為二層組網、三層組網。
- 二層組網:AC與AP的IP地址在同一個IP地址網段,AC與AP在同一個廣播域內。
- 三層組網:AC與AP的IP地址不在同一個IP地址網段,AC與AP通常需要通過路由器或者三層交換機,連接在一起。
基礎知識4:直接轉發(本地轉發)、隧道轉發(集中轉發)
1.WLAN網絡中的兩種數據流
- 一種是AC對AP進行控制管理的數據流,稱為AP管理數據流。
- 一種是STA通過無線信號、接入有線網絡、從而訪問Internet的數據流,稱為無線業務數據流。
- 通常,在網絡規划的時候,
- 把AP管理數據流放在一個VLAN 中,這個VLAN叫做AP管理VLAN。
- 把無線業務數據流放在一個VLAN中,這個VLAN叫做無線業務VLAN。
2. CAPWAP協議
CAPWAP協議(Control And Provisioning of Wireless Access Points Protocol )
用於無線終端接入AP和無線控制器AC之間的通信交互,實現AC對其所關聯的AP進行集中管理和控制。主要功能包括:
- AP對AC的自動發現及AP和AC的狀態機運行、維護。
- AC對AP進行管理、業務配置下發。
- STA數據封裝CAPWAP隧道進行轉發。
3. CAPWAP隧道
CAPWAP隧道,就是AC與AC之間通過CAPWAP協議建立的通道。
4.直接轉發(本地轉發)、CAPWAP隧道轉發(集中轉發)
直接轉發(本地轉發),AP管理數據流通過CAPWAP隧道,無線業務數據流不通過
CAPWAP隧道。
隧道轉發(集中轉發),AP管理數據流通過CAPWAP隧道,無線業務數據流也通過
一 WLAN模板簡介
為了方便用戶配置和維護WLAN的各個功能,針對WLAN的不同功能和特性設計了各種類型的模板,這些模板統稱為WLAN模板。如 圖1-1所示,各個WLAN模板間存在着相互引用的關系,通過了解這些引用關系,明確WLAN模板的引用關系配置思路,便於用戶順利完成WLAN模板的配置。
WLAN模板的產生是為了方便WLAN功能的配置和維護,當用戶在配置WLAN業務功能時,只需要在對應功能的WLAN模板中進行參數配置,配置完成后,將此模板引用到上一層模板或者引用到AP組或AP中,配置就會自動下發到AP,配置下發完成后,配置的功能就會直接在AP上生效。
WLAN基本業務配置流程包括:
1. 創建AP組。
2. 配置網絡互通。
3. 配置AC系統參數。
4. 配置AC為FIT AP下發WLAN業務。
AP組和AP
WLAN網絡中存在着大量的AP,為了簡化AP的配置操作步驟,可以將AP加入到AP組中,在AP組中統一對AP進行同樣的配置。每個AP也有着不同於其它AP的參數配置,不便於通過AP組來進行統一配置,這類個性化的參數可以直接在每個AP下配置。
每個AP在上線時都會加入並且只能加入到一個AP組中。當AP從AC上獲取到AP組和AP個性化的配置后,會優先使用AP下的配置。
(1)如果AP下沒有配置,會直接使用AP組下的配置。
(2)如果AP下存在配置,優先使用AP下的配置,但是如果AP下的配置不完整,則AP還會從AP組中獲取AP下不存在的配置。
(3)如果同一AP組內添加了多個性能不同的AP款型,且通過AP組統一下發配置,但是組內某AP的性能達不到AP組所下發的配置,則該配置對這個AP不生效。
域管理模板
域管理模板提供對AP的國家碼、調優信道集合和調優帶寬等的配置。
(1)國家碼用來標識AP射頻所在的國家,不同國家碼規定了不同的AP射頻特性,包括AP的發送功率、支持的信道等。配置國家碼是為了使AP的射頻特性符合不同國家或區域的法律法規要求。
(2)通過配置調優信道集合,可以在配置射頻調優功能時指定AP信道動態調整的范圍,同時避開雷達信道和終端不支持信道。
(3)對於5G頻段,頻率資源更為豐富,AP不僅支持20MHz帶寬的信道,同樣支持40MHz和80MHz帶寬的信道。不同的調優帶寬支持的調優信道不同,配置大帶寬信道可獲得更大的傳輸速率,但是射頻調優需要3個或3個以上可選信道才能達到更優的調優效果,用戶在配置調優時,需要考慮調優帶寬和調優信道的匹配關系。
射頻模板
射頻模板主要用於優化射頻的參數,以及配置信道切換業務不中斷功能。
射頻模板分為2G射頻模板和5G射頻模板,2G射頻模板只對2.4GHz的射頻生效,5G射
頻模板只對5GHz的射頻生效。2G射頻模板和5G射頻模板的配置差異在於:
(1)2G射頻模板支持配置802.11bg的基礎速率集和支持速率集。
(2)5G射頻模板支持配置802.11a的基礎速率集和支持速率集,支持802.11ac的相關配
置。
射頻模板能夠引用空口掃描模板和RRM模板。
(1)空口掃描模板主要用於射頻調優、頻譜分析、定位和WIDS的數據分析,通過AP
周期性地掃描周圍的無線信號,並將掃描采集的信息上報給AC或服務器。
(2)RRM模板主要用於保持最優的射頻資源狀態,通過自動檢查周邊無線環境、動態
調整信道和發射功率等射頻資源、智能均衡用戶接入,從而調整無線信號覆蓋范圍,降低射頻信號干擾,使無線網絡能夠快速適應無線環境變化,確保用戶接入無線網絡的服務質量。
VAP模板
在VAP模板下配置各項參數,然后在AP組或AP中引用VAP模板,AP上就會生成VAP,
VAP用來為STA提供無線接入服務。通過配置VAP模板下的參數,使AP實現為STA提供
不同無線業務服務的能力。
VAP模板一般引用以下模板:
(1)SSID模板主要用於配置WLAN網絡的SSID名稱,還可以配置禁止非HT終端接入功
能、配置STA關聯老化時間和DTIM周期參數;
(2)安全模板主要用於配置WLAN網絡的安全策略,包括對STA的認證和加密。安全
策略主要有開放認證、WEP、WPA/WPA2-PSK、WPA/WPA2-802.1X、WAPI-PSK和WAPI-證書;
(3)認證模板主要用來統一管理NAC的配置信息,其中與接入協議相關的配置信息通
過綁定接入模板(包括802.1X接入模板、MAC接入模板和Portal接入模板)來確定。認證模板配置完成后要綁定到接口或VAP模板下,實現對接入用戶進行認證和控制。
(4)流量模板
二 WLAN配置
wlan配置思路:
(1)配置普通WLAN組網‘
(2)配置AP上線
(3)配置STA上線
1 配置普通WLAN組網
(1)配置VLAN/TRUNK/VLANIF,配置路由,實現AC、Swtitch、上聯Router、Internet互通;
(2)AC上配置DHCP,為AP分配管理地址;
(3)AC或者Switch上配置DHCP,為STA分配業務地址;
配置AP管理地址的DHCP時可以額外配置option 43字段保證AP能正常發現AC,具體請查閱AC配置手冊。
option 43 sub-option 2 ip-address 192.168.1.254
2 配置AP上線
(1)配置AP組和域管理模板
system-view
wlan
regulatory-domain-profile name default //創建並進入域管理模板
cuntry-code cn
quit
ap-group name ap-gruop1 //創建並進入AP組視圖
regulatory-domain-profile default //引用域管理模板
所有AP組缺省已引用了名為default的AP系統模板、2G射頻模板、5G射頻模板、域管理模板、WIDS模板和AP有線口模板。
(2)配置CAPWAP隧道
每台AC都必須唯一指定一個IP地址、VLANIF接口或者Loopback接口,該AC設備下掛接的AP學習到此IP地址或者此接口下配置的IP地址,用於AC和AP間的通信。此IP地址或者接口稱為源地址或源接口。只有為每台AC指定唯一一個源接口或源地址,AP才能與AC建立CAPWAP隧道。
一般情況下,將AC上用於DHCP的VLANIF接口配置為源接口地址,用來建立CAPWAP隧道:
capwap source interface vlanif 100 //配置VLAN 100的VLANIF接口為AP與AC建立CAPWAP隧道的源接口;或者執行capwap source ip-address 192.168.100.254來指定IP地址。
(3)添加AP設備
添加AP有三種方式:離線導入AP、自動發現AP以及手工確認未認證列表中的AP。
一般情況下,采用自動發現AP的方式,配置AP認證方式為不認證,讓AP自動注冊上線:
sys wlan ap auth-mode no-auth display ap all //查看AP上線結果
(4)AP版本升級
登錄AC的web管理界面對上線的AP進行升級,保證AP版本和AC版本相匹配。
3 配置STA上線
(1)創建安全模板
配置安全模板,可以對無線終端進行身份驗證,對用戶的報文進行加密,保護WLAN網絡和用戶的安全。WLAN安全策略支持開放認證、WEP、WPA/WPA2-PSK、WPA/WPA2-802.1X、WAPI-PSK和WAPI-證書,在安全模板中選擇其中一種進行配置。開放認證和WPA/WPA2-802.1X還需要和NAC一起配置,有效管理用戶的接入。對於無線終端接入WLAN網絡業務,需要將安全模板引用到VAP模板,這樣在無線終端通過SSID接入WLAN網絡時,會根據VAP中配置的安全策略,完成身份認證后接入WLAN網絡,
system-view wlan security-profile name wlan-net security wpa-wpa2 psk pass-phrase a1234567 aes quit
(2)創建SSID模板
SSID用來指定不同的無線網絡。在STA上搜索可接入的無線網絡時,顯示出來的網絡名稱就是SSID。
system-view wlan ssid-profile name wlan-net ssid wlan-net quit
(3)配置認證方案(可選)
配置AAA認證模板(以radius為例):
radius-server template 10.0.0.1 //配置radius服務器
radius-server shared-key cipher xxxx
radius-server authentication 10.0.0.1 1812 source Vlanif 301 weight 80
radius-server accounting 10.0.0.1 1813 source Vlanif 301 weight 80 aaa
authentication-scheme wlan-net
authentication-mode local radius //完成本地測試后,刪除local認證方式
authorization-scheme wlan-net
authorization-mode none
accounting-scheme wlan-net
accounting-mode radius
accounting start-fail online
local-user test password cipher xxxxx //創建本地測試賬號
local-user test privilege level 15
local-user test service-type web
NAC認證模板(以portal為例):
portal local-server ip 192.168.1.1
portal local-server authentication-method pap
portal local-server https ssl-policy default_policy port 8443
portal local-server redirect-url enable
portal https-redirect enable
portal-access-profile name wlan-net
portal local-server enable
配置認證方案:
authentication-profile name wlan-net
portal-access-profile wlan-net
authentication-scheme wlan-net
radius-server 10.0.0.1
AAA是Authentication(認證)、Authorization(授權)和Accounting(計費)的簡稱,是網絡安全的一種管理機制,提供了認證、授權、計費3種安全功能。同時提供本地認證/授權方式、RADIUS服務器認證/授權和計費方式、HWTACACS服務器認證/授權和計費三種AAA方案。后兩種可視為“委托認證/授權/計費”方式,因為這兩種方式中的認證/授權/計費功能的實現不是由本地設備完成的,而是所配置的遠程RADIUS服務器或HWTACACS服務器完成的。
NAC(Network Admission Control,網絡許可控制)是一套從用戶終端角度考慮內部網絡安全的“端到端”安全解決方案總稱,也就是針對用戶終端的接入進行嚴格控制的解決方案。包含了802.1x認證、MAC地址和Portal三類認證方式(僅可在接入設備上部署),相對前面的AAA方案來說,此處基於接口的接入控制方法NAC方案更直接,直接在接入處進行認證,但同時又不如AAA方案靈活,因為這三種認證方式僅是簡單的允許或者拒絕接入認證,沒有AAA方案中的為允許接入的用戶授予相應的訪問權限,更沒有為不同用戶進行計費的功能。
(4)配置VAP模板
system-view
wlan
vap-profile name wlan-net
service-vlan vlan-id 301 //配置業務wlan
security-profile wlan-net //引用安全模板
ssid-profile wlan-net //引用ssid模板
authentication-profile wlan-net //引用認證模板
quit
ap-group name ap-group1
vap-profile wlan-net wlan 1 radio all //引用VAP模板
(5)其他模板
其他模板可以暫時使用缺省模板,在WLAN調優時再進行設置。
AP在AC上線:
配置AP在AC上線的流程如下:
創建域管理模板,命名為domain1,配置域管理模板的國家碼為中國CN。
創建AP組ap-group1,並綁定域管理模板domain1。
配置AC的源接口為VLAN100虛接口。
配置AP在AC上線的認證方式為不認證。
AP上線后全部加入到AC的ap -group1組中。
WLAN業務參數:
WLAN業務參數配置流程如下:
安全模板命名為security-1,采用OPEN方式,即STA接入無線網絡不需要密碼。
SSID模板命名為ssid-1,設置SSID為huawei。
VAP模板命名huawei-vap,指定轉發方式為直接轉發,服務VLAN為101,綁定安全模板
security-1和SSID模板ssid-1。
VAP模板綁定到AP組ap-group1, 設定WLAN的編號為1,使用所有的射頻卡,即使用
2.4GHZ頻段和5GHZ頻段。