B模块 安全通信网络 第二门课IPv6与WLAN 05

今日目标

01 WLAN简介

02 WLAN工作流程

03 AP上线

04 WLAN业务配置下发

05 STA接入

06 WLAN业务数据转发

---

WLAN概述

什么是WLAN

• WLAN即Wireless LAN（无线局域网）
  ✓ 是指通过无线技术构建的无线局域网络。
  ✓ WLAN广义上是指以无线电波、激光、红外线等无线信号来代替有线局域网中的部分或全部传输介质所构成的网络。
  

大型WLAN组网的应用

大型WLAN组网特点

WLAN设备

• WLAN设备
  AP：AccessPoint无线接入点
  PoE：PoweroverLAN：以太网供电交换机
• AP的分类
  √ FATAP（胖AP）
  √ FITAP(瘦AP）
  √ 云管理AP

WLAN设备介绍

WLAN组网架构

基本的WLAN组网架构

有线侧组网概念：CAPWAP协议

• CAPWAP隧道

  ✓ CAPWAP：无线接入点控制和配置协议

• CAPWAP隧道功能

  ✓ AC通过CAPWAP隧道来实现对AP的集中管理，业务配置和控制

  

有线侧组网概念：AP-AC组网方式

• AP和AC间的组网分为：二层组网和三层组网
  

有线侧组网概念：AC连接方式

• AC的连接方式分为：直连式组网和旁挂式组网。
  

无线侧组网概念：BSS/SSID/BSSID

• 基本服务集BSS (Basic Service Set)：
  ✓ 一个AP所覆盖的范围。
  ✓ 在一个BSS的服务区域内，STA可以相互通信。
• 基本服务集标识符BSSID (Basic Service SetIdentifier)：
  ✓ 是无线网络的一个身份标识，用AP的MAC地址表示
• 服务集标识符SSID (Service Set Identifier)：
  ✓ 是无线网络的一个身份标识，用字符串表示。
  ✓ 为了便于用户辨识不同的无线网络，用SSID代替BSSID。

无线侧组网概念：VAP

• 虚拟接入点VAP (Virtual Access Point)：
  ✓ VAP就是在---个物理实体AP上虚拟出的多个AP。
  ✓ 每一个被虚拟出的AP就是一个VAP，每个VAP提供和物理实体AP一样的功能。
  ✓ 每个VAP对应1个BSS，这样1个AP，就可以提供多个BSS，设置不同的SSID。
  ✓ 早期的AP只支持1个BSS，如果要在同一空间内部署多个BSS，则需要安放多个AP，这不但增加了成本，还占用了信道资源，为了改善这种状况，现在的AP通常支持创建出多个虚拟AP。
  

2 WLAN工作流程

WLAN工作流程概述

• WLAN工作流程
  √ AP上线
  √ WLAN业务配置下发
  √ STA接入
  √ WLAN业务数据转发
  

AP上线

WLAN工作流程：步骤1

• AP上线
  ✓ AP获取IP地址
  ✓ AP发现AC并与之建立CAPWAP隧道
  ✓ AP接入
  

AP获取IP地址：DHCP方式

• AP必须获得IP地址才能够与AC通信，WLAN网络才能够正常工作
  
  CAPWAP隧道建立

• AC通过CAPWAP隧道来实现对AP的集中管理和控制。

AP动态发现AC

• DHCP报文中携带Option 43
  ✓ 在DHCP服务器上配置DHCP报文中携带Option 43，且Option 43携带AC的IP地址

建立CAPWAP隧道

• AP与AC关联，完成CAPWAP隧道建立
• CAPWAP隧道包括数据隧道和控制隧道
  ✓ 数据隧道：AP的业务报文（数据流量）
  ✓ 控制隧道：AP与AC之间的控制报文（管理流量）
  

AP接入

• AC上添加AP的方式：
  ✓ 离线导入AP：预先配置AP的MAC地址，当AP与AC连接时，如果AC发现AP和预先增加的AP的MAC地址匹配，则AC开始与AP建立连接

为确保AP能够上线，AC需预先配置如下内容

WLAN业务下发

• AP上线后，首先会主动向AC获取当前配置，而后统一由AC对AP进行集中管理和业务配置下发
  

配置模板

• 为了方便用户配置和维护WLAN的各个功能，针对WLAN的不同功能和特性设计了各种类型的模板，这些模板统称为WLAN模板。
  

VAP模板

STA接入

无线接入安全协议

• 安全性成为阻碍WLAN技术发展的最重要因素

• 常用安全策略：

  

  STA地址分配

• STA获取到自身的IP地址，是STA正常上线的前提条件。

  

WLAN业务数据转发

数据转发方式

3 AP上线配置

AP上线

• 案例需求
  AP的管理VLAN：
  VLAN100-192.168.100.0/24

bangong：老师

VLAN101-192.168.101.0/24

VLAN102-192.168.102.0/24

xuexi：学生

VLAN103-192.168.103.0/24

VLAN104-192.168.104.0/24

案例需求

• 无线控制器（AC）连接在核心交换机上，属于VLAN200
• AP连接在汇聚层交换机上，AP的管理IP地址属于VLAN100
• 企业内网中存在4个VLAN，分别服务于老师和学生
• AP的网关以及所有无线用户的终端的网关，都配置在核心交换机
• AP和无线用户终端的IP地址都是通过DHCP的方式获得
• 最终确保连接到不同AP的无线终端之间可以互通

解决方案

• AP上线
  ✓ 让AP可以通过DHCP获取IP地址
  ✓ 在AC和AP之间建立capwap隧道
  ✓ AP接入

配置命令

• 第一步：AP上线
  1、让AP可以通过DHCP获取IP地址

1）汇聚交换机创建vlan，配置端口角色
    [hj-SW1]vlan batch 100 200 210
    [hj-SW1]port-group group-member g0/0/1 to g0/0/5
    [hj-SWl-port-group]port link-type trunk
    [hj-sWl-port-group]port trunk allow-pass vlan all

 2）核心交换机创建vlan，配置端口角色
    [HX-SW2]vlan batch 100 200 210
    [HX-SW2]int g0/0/2
    [HX-SW2-G0/0/2]port link-type trunk
    [HX-SW2-G0/0/2]port trunk allow-pass vlan all
    [HX-SW2-Gi0/0/2]int g0/0/1
    [HX-SW2-G0/0/1]port link-type access
    [HX-SW2-Gi0/0/1]port default vlan 210
    [HX-SW2-G0/0/1]int g0/0/10
    [HX-SW2-G0/0/10]port link-type access
    [HX-SW2-G0/0/10]port defaul tvlan 200

3）DHCP-R1配置DHCP功能，配置IP地址池
[R1-dhcp]dhcp enable
[R1-dhcp]ip pool vlan100
[R1-dhcp-ip-pool-vlan100]network 192.168.100.0 mask 24
[R1-dhcp-ip-pool-vlan100]gateway-list 192.168.100.254
[R1-dhcp-ip-pool-vlan100]dns-list 8.8.8.8
[R1-dhcp-ip-pool-vlan100]quit
[R1-dhcp]int g0/0/0
[R1-dhcp-GigabitEthernet0/0/0]ip add 192.168.210.124
[R1-dhcp-GigabitEtherneto/o/0]dhcp select global

4）核心交换机SW2配置vlanif网关地址
[HX-SW2]int vlan 100
[HX-SW2-Vlanif100]ip add 192.168.100.254 24
[HX-SW2-Vlanif100]int vlan 200
[HX-SW2-Vlanif200]ip add 192.168.200.254 24
[HX-SW2-Vlanif200]int vlan 210
[HX-SW2-Vlanif210]ip add 192.168.210.254 24
[HX-SW2-Vlanif210]quit

5）核心交换机SW2配置DHCP中继
[HX-SW2]dhcp enable
[HX-SW2]int vlanif 100
[HX-SW2-Vlanif100]dhcp select relay
[HX-SW2-Vlanif100]dhcp relay server-ip 192.168.210.1
6）在hj-SW1中修改g0/0/2-g0/0/5的pvid为vlan100
[hj-SW1]port-group group-member g0/0/2 to g0/0/5
[hj-SW1-port-group]port link-type trunk
[hj-SW1-port-group]port trunk pvid vlan 100
7)DHCP-R1配置去往中继的回程路由（默认路由）
[R1-dhcp]iproute-static 0.0.0.0 0.0.0.0 192.168.210.254

2、在AC和AP之间建立capwap隧道

1）在AC中创建vlan200并且把g0/0/10加入vlan200,改为access
[AC6605]vlan 200
[AC6605-vlan200]quit
[AC6605]int vlan 200
[AC6605-Vlanif200]ip add 192.168.200.10 24
[AC6605-Vlanif200]quit
[AC6605]int g0/0/10
[AC6605-G0/0/10]portlink-type access
[AC6605-Gi0/0/10]port default vlan 200

2）在AC中配置默认路由，能够实现和AP互联互通
[AC6605]iproute-static 0.0.0.0 0.0.0.0 192.168.200.254
3）在DHCP服务中配置dhcp option 43：让AP知道AC的管理地址
[R1-dhcp]ip poolvlan 100
[R1-dhcp-ip-pool-vlan100]option 43 sub-option 1 ip-address 192.168.200.10
备注：修改完option 43后，记得重启一下所有的AP设备
4)在AC中配置capwap隧道--在AC和AP之间建立隧道
[AC6605]capwap source ip-address 192.168.200.10

3、AP接入

1）在AP上查询MAC地址，复制出来
<Huawei>dis system-information
MACAddress     :00:e0:fc:c3:76:60
2）在AC中填写AP的MAC地址，让AC知道AP的存在
[AC6605]wlan
[AC6605-wlan-view]ap-id 1 ap-mac 00e0-fcc3-7660
[AC6605-wlan-ap-1]quit
[AC6605-wlan-view]ap-id 2 ap-mac 00e0-fc8b-0150
[AC6605-wlan-ap-2]quit
[AC6605-wlan-view]ap-id 3 ap-mac 00e0-fc1b-4300
[AC6605-wlan-ap-3]quit
[AC6605-wlan-view]ap-id 4 ap-mac 00e0-fc7e-39c0
3）验证
[AC6605]dis ap all           #AC上查看ap注册信息

WLAN业务配置下发

WLAN业务配置下发

• 案例需求
  AP的管理VLAN：
  VLAN100-192.168.100.0/24

内部员工：

VLAN101-192.168.101.0/24

VLAN102-192.168.102.0/24

外来人员：

VLAN103-192.168.103.0/24

VLAN104-192.168.104.0/24

案例需求（续1）

• 企业内网的无线网络改造已经完成大部分工作，AP成功注册到AC
• 基于分配好的IP方案，为不同的无线终端，动态分配IP地址
• 配置AC，为不同的AP下发不同的配置，确保可以发射无线信号
• 实现不同的"无线终端"可以成功连接AP，并成功获得IP地址
• 实现不同的"无线终端"之间的互通

配置命令

第二步：AC下发WLAN配置给AP

1）创建域管理模板-绑定国家码
[AC6605]wlan    #进入wlan
[AC6605-wlan-view]regulatory-domain-profile name ntd    #创建域管理模板
[AC6605-wlan-regulate-domain-ntd2307]country-code cn     #定义国家码

2）创建AP组-绑定域管理模板
    [AC6605]wlan     #进入wlan
    [AC6605-wlan-view]ap-group name bangong     #创建AP组
    [AC6605-wlan-ap-group-bangon]regulatory-domain-profile ntd
    [AC6605-wlan-ap-group-bangong]quit
    [AC6605-wlan-view]ap-group name xuexi
    [AC6605-wlan-ap-group-xuexi]regulatory-domain-profile ntd

3）创建AP组，在AP组里添加物理AP设备
    [AC6605]wlan
    [AC6605-wlan-view]ap-id 1                     #配置ap1
    [AC6605-wlan-ap-1]ap-name bangong1        #给ap1命名为bangong1
    [AC6605-wlan-ap-1]ap-group bangong          #把ap1加入bangong组
    [AC6605-wlan-ap-1]quit
    [AC6605-wlan-view]ap-id 2             #配置ap2
    [AC6605-wlan-ap-2]ap-name bangong2      #给ap2命名为bangong2
    [AC6605-wlan-ap-2]ap-group bangong      #把ap2加入bangong组
    [AC6605-wlan-ap-2]quit
    [AC6605-wlan-view]ap-id 3           #配置ap3
    [AC6605-wlan-ap-3]ap-name xuexi1   #给ap3命名为xuexi1
    [AC6605-wlan-ap-3]ap-group xuexi   #把ap3加入xuexi组
    [AC6605-wlan-ap-3]quit
    [AC6605-wlan-view]ap-id 4     #配置ap4
    [AC6605-wlan-ap-4]ap-name xuexi2     #给ap4命名为xuexi2
    [AC6605-wlan-ap-4]ap-group xuexi     #把ap4加入xuexi组
    [AC6605-wlan-ap-4]quit
 4）验证AP设备是否加入AP组
    <AC6605>dis ap-group all

5）创建SSID模板-定义无线网名
    [AC6605]wlan                 #进入wlan
    [AC6605-wlan-view]ssid-profile name bangong     #创建SSID模板，命名为bangong
    [AC6605-wlan-ssid-prof-bangong]ssid bangong     #定义无线网的名字，命名为bangong
    [AC6605-wlan-ssid-prof-bangong]quit
    [AC6605-wlan-view]ssid-profile name xuexi
    [AC6605-wlan-ssid-prof-xuexi]ssid xuexi
    [AC6605-wlan-ssid-prof-xuexi]quit
6）创建安全模板-定义无线网安全策略预共享密钥，加密方式
	[AC6605]wlan
	[AC6605-wlan-view]security-profile name bangong
	[AC6605-wlan-sec-prof-bangong]security wpa2 psk pass-phrasea 12345678 aes
	[Ac6605-wlan-sec-prof-bangonglquit
	[AC6605-wlan-view]security-profile name xuexi
	[AC6605-wlan-sec-prof-xuexi]security wpa2 psk pass-phrase a12345678 aes
7）创建VLAN池-绑定多个VLAN：给STA（电脑和手机）用的VLAN
	[AC6605]vlan pool bangong     						#创建vlan池，命名为bangong
	[AC6605-vlan-pool-bangong]vlan 101 102     			#将vlan101 102加入bangong池
	[AC6605-vlan-pool-bangong]quit
	[AC6605]vlan pool xuexi
	[AC6605-vlan-pool-xuexi]vlan 103 104
8）创建VAP模板--绑定VLAN池子，绑定SSID配置文件，绑定安全配置文件
	[AC6605]wlan
	[Ac6605-wlan-view]vap-profile name bangong     #创建vap模版，命名为bangong
	[AC6605-wlan-vap-prof-bangong]ssid-profile bangong     #绑定ssid模版
	[AC6605-wlan-vap-prof-bangong]security-profile bangong     #绑定安全模版
	[AC6605-wlan-vap-prof-bangong]service-vlan vlan-pool bangong     #绑定vlan池
	[AC6605-wlan-vap-prof-bangong]quit
	[AC6605-wlan-view]vap-profile name xuexi
	[AC6605-wlan-vap-prof-xuexi]ssid-profile xuexi
	[AC6605-wlan-vap-prof-xuexi]security-profile xuexi
	[AC6605-wlan-vap-prof-xuexi]service-vlan vlan-pool xuexi
9）将VAP配置文件绑定到AP组，把配置下发给AP组的物理设备
	[AC6605]wlan
	[Ac6605-wlan-view]ap-group name bangong     #进入ap组
	[AC6605-wlan-ap-group-bangong]vap-profile bangong wlan 1 radio 0
	[AC6605-wlan-ap-group-bangong]vap-profile bangong wlan 1 radio 1
	[AC6605-wlan-ap-group-bangong]quit
	[AC6605-wlan-view]ap-group name xuexi
	[AC6605-wlan-ap-group-xuexi]vap-profile xuexi wlan 1 radio 0
	[AC6605-wlan-ap-group-xuexi]vap-profile xuexi wlan 1 radio 1
10)在hj-sw1中创建vlan101 102 103 104
	[hj-SW1]vlan batch 101 102 103 104
11）在hx-sw2中创建vlan 101 102 103 104
[HX-SW2]vlan batch 101 102 103 104
12)DHCP-R1配置DHCP功能，配置IP地址池
	[R1-dhcp-ip-pool-vlan100]ip pool vlan101
	[R1-dhcp-ip-pool-vlan101]network 192.168.101.0 mask 24
	[R1-dhcp-ip-pool-vlan101]gateway-list 192.168.101.254
	[R1-dhcp-ip-pool-vlan101]dns-list 8.8.8.8
	[R1-dhcp-ip-pool-vlan101]ip pool vlan102
	[R1-dhcp-ip-pool-vlan102]network 192.168.102.0 mask 24
	[R1-dhcp-ip-pool-vlan102]gateway-list 192.168.102.254
	[R1-dhcp-ip-pool-vlan102]dns-list 8.8.8.8
12)DHCP-R1配置DHCP功能，配置IP地址池
	[R1-dhcp-ip-pool-vlan102]ip pool vlan103
	[R1-dhcp-ip-pool-vlan103]network 192.168.103.0 mask 24
	[R1-dhcp-ip-pool-vlan103]gateway-list 192.168.103.254
	[R1-dhcp-ip-pool-vlan103]dns-list 8.8.8.8
	[R1-dhcp-ip-pool-vlan103]ip poolvlan 104
	[R1-dhcp-ip-pool-vlan104]network 192.168.104.0 mask 24
	[R1-dhcp-ip-pool-vlan104]gateway-list 192.168.104.254
	[R1-dhcp-ip-pool-vlan104]dns-list 8.8.8.8
13）核心交换机SW2配置vlanif网关地址
	[hx-sw2-Vlanif100]int vlan 101
	[hx-sw2-Vlanif101]ip add 192.168.101.254 24
	[hx-sw2-Vlanif101]int vlan 102
	[hx-sw2-Vlanif102]ip add 192.168.102.254 24
	[hx-sw2-Vlanif102jint vlan 103
	[hx-sw2-Vlanif103]ip add 192.168.103.254 24
	[hx-sw2-Vlanif103]int vlan 104
	[hx-sw2-Vlanif104]ip add 192.168.104.254 24
14）核心交换机SW2配置DHCP中继
	[hx-sw2]dhcp enable
	[hx-sw2-Vlanif100]int vlan 101
	[hx-sw2-Vlanif101]dhcp select relay
	[hx-sw2-Vlanif101]dhcp relay server-ip 192.168.210.1
	[hx-sw2-Vlanif101]int vlan 102
	[hx-sw2-Vlanif102jdhcp select relay
	[hx-sw2-Vlanif102]dhcp relay server-ip 192.168.210.1
	[hx-sw2-Vlanif102]int vlan 103
	[hx-sw2-Vlanif103]dhcp select relay
	[hx-sw2-Vlanif103]dhcp relay server-ip 192.168.210.1
	[hx-sw2-Vlanif103jint vlan 104
	[hx-sw2-Vlanif104]dhcp select relay
	[hx-sw2-Vlanif104]dhcp relay server-ip 192.168.210.1

5 STA接入

STA接入

• STA接入
  √ CAPWAP隧道建立完成后，用户就可以接入无线网络
  √ STA可以通过主动扫描，定期搜索周围的无线网络，获取到周围的无线网络信息
  √ 为了保证无线链路的安全，接入过程中AP需要完成对STA的认证
  √ 对数据报文还需要使用加密的方式来保证数据安全
  √ STA获取到自身的IP地址，是STA正常上线的前提条件

6 WLAN业务数据转发

数据转发方式

• 隧道转发方式：
  √ 优点：AC集中转发数据报文，安全性好，方便集中管理和控制
  √ 缺点：业务数据必须经过AC转发，报文转发效率比直接转发方式低，AC所受压力大
• 直接转发方式：
  √ 优点：数据报文不需要经过AC转发，报文转发效率高，AC所受压力小
  √ 缺点：业务数据不便于集中管理和控制