2023-HCIA-Datacom保姆级学习笔记(十五)：WLAN_datacom、security、wlan

一、专业术语

IEEE802.11

WI-FI

CAPWAP（Control And Provisioning of Wireless Access Points Protocol)-无线接入点控制和配置协议

BSS (Basic Service Set)-基本服务集

BSSID (Basic Service Set Identifier)-基本服务集标识符

SSID (Service Set Identifier)-服务集标识符

VAP（Virtual Access Point）-虚拟接入点

ESS (Extend Service Set)-扩展服务集

  想要配套真题和笔记的朋友们点赞+关注，评论区留下邮箱发给你！

二、WLAN概述

  WLAN即Wireless LAN（无线局域网），是指通过无线技术构建的无线局域网

优点：网络使用自由：凡是自由空间均可连接网络，不受限于线缆和端口位置。

          网络部署灵活：对于地铁、公路交通监控等难于布线的场所，采用WLAN进行无线网络覆盖，免去或减少了繁杂的网络布线，实施简单，成本低，扩展性好。

 

IEEE 802.11、WLAN与Wi-Fi：

 

发展趋势：

 

三、WLAN的基本概念

设备介绍：

家庭WLAN产品：家庭Wi-Fi路由器

企业WLAN产品：

无线接入点 (AP, Access Point)一般支持FAT AP（胖AP）、FIT AP（瘦AP）和云管理AP三种工作模式，根据网络规划的需求，可以灵活地在多种模式下切换。

FAT AP：适用于家庭，独立工作，需单独配置，功能较为单一，成本低。独立完成用户接入、认证、数据安全、业务转发和QoS等功能。

FIT AP：适用于大中型企业，需要配合AC使用，由AC统一管理和配置，功能丰富，对网络维护人员的技能要求高。用户接入、AP上线、认证、路由、AP管理、安全协议、QoS等功能需要同AC配合完成。

云管理：适用于中小型企业，需要配合云管理平台使用，由云管理平台统一管理和配置，功能丰富，即插即用，对网络维护人员的技能要求低。

无线接入控制器 (AC, Access Controller)一般位于整个网络的汇聚层，提供高速、安全、可靠的WLAN业务。

 

组网结构：

  WLAN网络架构分有线侧和无线侧两部分，有线侧是指AP上行到Internet的网络使用以太网协议，无线侧是指STA到AP之间的网络使用802.11协议。

FAT AP (胖AP)架构：不需要专门的设备集中控制就可以完成无线用户的接入、业务数据的加密和业务数据报文的转发等功能，因此又称为自治式网络架构。

适用范围：家庭

特点：AP独立工作，需要单独配置，功能较为单一，成本低。

缺点：随着WLAN覆盖面积增大，接入用户增多，需要部署的FAT AP数量也会增多，但FAT AP是独立工作的，缺少统一的控制设备，因此管理维护这些FAT AP就十分麻烦。

AC+FIT AP (瘦AP)架构：AC负责WLAN的接入控制、转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制；FIT AP负责802.11报文的加解密、802.11的物理层功能、接受AC的管理等简单功能。

适用范围：大中型企业

        特点：AP需要配合AC使用，由AC统一管理和配置，功能丰富，对网络运维人员的技能要求高

 

有线侧组网概念：

1.CAPWAP协议

  为满足大规模组网的要求，需要对网络中的多个AP进行统一管理，制定CAPWAP协议。定义了AC如何对AP进行管理、业务配置，即AC与AP间首先会建立CAPWAP隧道，然后AC通过CAPWAP隧道来实现对AP的集中管理和控制

CAPWAP协议（基于UDP）在传输层运输两种类型的消息：

业务数据流量，封装转发无线数据帧 。——通过CAPWAP数据隧道。

        管理流量，管理AP和AC之间交换的管理消息 。——通过CAPWAP控制隧道

2.AP-AC组网方式

 

3.AC连接方式

 

无线侧组网概念：

1.无线通信系统

  无线通信系统中，信息可以是图像、文字、声音等。信息需要先经过信源编码转换为方便于电路计算和处理的数字信号，再经过信道编码和调制，转换为无线电波发射出去

 

2.无线电磁波

  无线电磁波是频率介于3赫兹和约300G赫兹之间的电磁波，也叫作射频电波，或简称射频、射电。无线电技术将声音讯号或其他信号经过转换，利用无线电磁波传播

WLAN技术就是通过无线电磁波在空间中传输信息。当前我们使用的频段是：

2.4GHz频段 (2.4GHz~2.4835GHz）

5GHz频段（5.15GHz~5.35GHz，5.725GHz~5.85GHz）

 3.无线信道

  信道是传输信息的通道，无线信道就是空间中的无线电磁波。无线电磁波无处不在，如果随意使用频谱资源，那将带来无穷无尽的干扰问题，所以无线通信协议除了要定义出允许使用的频段，还要精确划分出频率范围，每个频率范围就是信道。

 4.BSS/SSID/BSSID

BSS (Basic Service Set)：无线网络的基本服务单元，通常由一个AP和若干STA组成，BSS是802.11网络的基本结构。由于无线介质共享性，BSS中报文收发需携带BSSID（MAC地址）。

基本服务集标识符BSSID（Basic Service Set Identifier）：AP上的数据链路层MAC地址。

服务集标识符SSID（Service Set Identifier）：表示无线网络的标识，用来区分不同的无线网络。例如，当我们在笔记本电脑上搜索可接入无线网络时，显示出来的网络名称就是SSID。

 

5.VAP

  AP设备上虚拟出来的业务功能实体。用户可以在一个AP上创建不同的VAP来为不同的用户群体提供无线接入服务。

 

6.ESS

  采用相同的SSID的多个BSS组成的更大规模的虚拟BSS，通过扩展服务集ESS实现用户从一个BSS移动到另一个BSS时，不能感知到SSID的变化

 

四、WLAN的工作原理

总流程概述：

AP上线：

1. AP获取IP地址：AP必须获得IP地址才能够与AC通信，WLAN网络才能够正常工作。

方式：静态方式：登录到AP设备上手工配置IP地址。

                   DHCP方式：通过配置DHCP服务器，使AP作为DHCP客户端向DHCP服务器请求IP地址

典型方案：部署专门的DHCP Server为AP分配IP地址。

                  使用AC的DHCP服务为AP分配IP地址。

                          使用网络中的设备，例如核心交换机为AP分配IP地址

1. AP发现AC并与之建立CAPWAP隧道:AC通过CAPWAP隧道来实现对AP的集中管理和控制

Step 1：Discovery阶段（AP发现AC阶段）AC通过发送Discovery Request报文，找到可用的AC

方式：静态方式：AP上预先配置AC的静态IP地址列表。

          动态方式：DHCP方式、DNS方式和广播方式。

Step 2：建立CAPWAP隧道阶段（ AP与AC关联，完成CAPWAP隧道建立）

             数据隧道：AP接收的业务数据报文经过CAPWAP数据隧道集中到AC上转发。

             控制隧道：通过CAPWAP控制隧道实现AP与AC之间的管理报文的交互。

1. AP接入控制：收到AP发送的Join Request报文之后，AC会进行AP合法性的认证，认证通过则添加相应的AP设备

AC上支持三种对AP的认证方式：MAC认证     序列号（SN）认证      不认证

1. AP版本升级（可选）

  AP根据收到的Join Response报文中的参数判断当前的系统软件版本是否与AC上指定的一致。如果不一致，则AP通过发送Image Data Request报文请求软件版本，然后进行版本升级

升级方式：AC模式、FTP模式、SFTP模式

 

1. CAPWAP隧道维持

数据隧道维持：AP与AC之间交互Keepalive报文来检测数据隧道的连通状态。

控制隧道维持：AP与AC交互Echo报文来检测控制隧道的连通状态

补充：AP上线的预先配置

 

 

WLAN业务配置下发

  AC向AP发送Configuration Update Request请求消息，AP回应Configuration Update Response消息，AC再将AP的业务配置信息下发给AP

配置模块：方便用户配置和维护WLAN的各个功能，针对WLAN的不同功能和特性设计了各种类型的模板，这些模板统称为WLAN模板

VAP模块

 

STA接入

　　CAPWAP隧道建立完成后，用户就可以接入无线网络。STA接入过程分为六个阶段：扫描阶段、链路认证阶段、关联阶段、接入认证阶段、DHCP、用户认证

1.扫描：STA可以通过主动扫描，定期搜索周围的无线网络，获取到周围的无线网络信息

　　　　主动扫描：携带有指定SSID的主动扫描方式：适用于STA通过主动扫描接入指定的无线网络。

　　　　　　　　　携带空SSID的主动扫描方式：适用于STA通过主动扫描可以获知是否存在可使用的无线服务。

　　　　被动扫描：STA也支持被动扫描搜索无线网络。被动扫描是指客户端通过侦听AP定期发送的Beacon帧（信标帧，包含：SSID、支持速率等信息）发现周围的无线网络，缺省状态下AP发送Beacon帧的周期为100TUs（1TU=1024us）。

２．链路认证

-无线接入安全协议

　　WLAN技术是以无线射频信号作为业务数据的传输介质，这种开放的信道使攻击者很容易对无线信道中传输的业务数据进行窃听和篡改。因此，安全性成为阻碍WLAN技术发展的最重要因素

常用安全策略：

－链路认证：为了保证无线链路的安全，接入过程中AP需要完成对STA的认证

　　　　　　802.11链路定义了两种认证机制：开放系统认证和共享密钥认证

 

3.关联：完成链路认证后，STA会继续发起链路服务协商，具体的协商通过Association报文实现。

终端关联过程实质上就是链路服务协商的过程，协商内容包括：支持的速率、信道等

瘦接入点（FIT AP）架构中关联阶段处理过程：

1. STA向AP发送Association Request请求，请求帧中会携带STA自身的各种参数以及根据服务配置选择的各种参数（主要包括支持的速率、支持的信道、支持的QoS的能力等）。
2. AP收到Association Request请求帧后将其进行CAPWAP封装，并上报AC。
3. AC收到关联请求后判断是否需要进行用户的接入认证，并回应Association Response。
4. AP收到Association Response后将其进行CAPWAP解封装，并发给STA。

 

4.接入认证：接入认证即对用户进行区分，并在用户访问网络之前限制其访问权限。相对于链路认证，接入认证安全性更高。

主要包含：PSK认证和802.1X认证

5.STA地址分配：STA获取到自身的IP地址，是STA正常上线的前提条件。如果STA是通过DHCP方式获取IP地址，可以用AC设备或汇聚交换机作为DHCP服务器为STA分配IP地址。一般情况下使用汇聚交换机作为DHCP服务器

6.用户认证：用户认证是一种“端到端”的安全结构，包括：802.1X认证、MAC认证和Portal认证

Portal认证：也称Web认证，一般将Portal认证网站称为门户网站。

                   用户上网时，必须在门户网站进行认证。只有认证通过后才可以使用网络资源。

 

WALN业务数据转发

  CAPWAP中的数据包括控制报文（管理报文）和数据报文。控制报文是通过CAPWAP的控制隧道转发的；用户的数据报文分为隧道转发（又称为“集中转发”）方式和直接转发（又称为“本地转发”）方式

隧道转发方式：

优点：AC集中转发数据报文，安全性好，方便集中管理和控制。

缺点：业务数据必须经过AC转发，报文转发效率比直接转发方式低，AC所受压力大。

直接转发方式：

优点：数据报文不需要经过AC转发，报文转发效率高，AC所受压力小。

缺点：业务数据不便于集中管理和控制

 想要配套真题和笔记的朋友们点赞+关注，评论区留下邮箱发给你！ 

五、WLAN的配置

基础配置命令-配置AP上线

1.配置AC作为DHCP服务器， 配置Option 43字段

[AC-ip-pool-pool1] option code [ sub-option sub-code] { ascii ascii-string | hex hex-string | cipher cipher-string | ip-address ip address

配置DHCP服务器分配给DHCP客户端的自定义选项。

2.创建域管理模板, 并配置国家码

[AC] wlan

[AC-wlan-view]

进入WL AN视图。

[AC-wlan-view] regulatory-domain-profile name profile -name

[AC-wlan-regulate-domain-profile-name]

创建域管理模板，并进入模板视图,若模板已存在则直接进入模板视图。

[AC-wlan-regulate-domain-profile-name] country-code country- code

配置设备的国家码标识。

[AC-wlan-view] ap-group name group-name .

[AC-wlan-ap-group-group-name]

创建AP组，并进入AP组视图,若AP组已存在则直接进入AP组视图。

[AC-wlan- ap-group-group-name] regulatory-domain-profile profile name

将指定的域管理模板弓|用到AP或AP组。

3.配置源接口或源地址

[AC] capwap source interface { loopback loopback number| vlanif vlan id}

配置AC与AP建立CAPWAP隧道的源接口。

[AC] capwap source ip- address ip-address

配置AC的源IP地址。

4.添加AP设备-离线导入AP

[AC-wlan-view] ap auth-mode { mac-auth | sn-auth }

配置AP认证模式为MAC地址认证，或SN认证，缺省为MAC地址认证。

[AC-wlan-view] ap-id ap-id[ [ type-id type-id| ap-type ap- type] { ap-mac ap-mac| ap-sn ap-sn | ap-mac ap-mac ap-sn ap-sn} ]

[AC-wlan-ap-ap-id] ap-name ap-name

离线增加AP设备或进入AP视图,并配置单个AP的名称。

[AC-wlan-view] ap-id 0

[AC-wlan-ap-0] ap-group ap-group

配置AP所加入的组。

5.检查AP上线结果

[AC] display ap { all| ap-group ap-group }}

查看AP信息。

基础配置命令-配置射频

1.进入射频视图

[AC-wlan-view] ap-id 0

[AC-wlan-ap-0] radio radio-id

[AC-wlan-radio-0]

2.配置指定射频的工作带宽和信道

[AC-wlan-radio-0/0] channel { 20mhz | 40mhz-minus | 40mhz-plus | 80mhz | 160mhz } channel

Warning: This action may cause service interruption. Continue?[Y/N]y

[AC-wlan-radio-0/0] channel 80+80mhz channel1 channel2

Warning: This action may cause service interruption. Continue?[Y/N]y

配置AP组中所有AP或单个AP指定射频的工作带宽和信道。

3.配置天线的增益

[AC-wlan-radio-0/0] antenna-gain antenna-gain

配置AP组中所有AP或单个AP指定射频的天线增益。

4.配置射频的发射功率

[AC-wlan-radio-0/0] eirp eirp

配置AP组中所有AP或单个AP指定射频的发射功率。

5.配置射频覆盖距离参数

[AC-wlan-radio-0/0] coverage distance distance

配置AP组中所有AP或单个AP指定射频的射频覆盖距离参数。

6.配置射频工作的频段

[AC-wlan-radio-0/0] frequency { 2.4g | 5g }

7.创建射频模板

[AC-wlan-view] radio-2g-profile name profile-name

创建2G射频模板,并进入模板视图,若模板已存在则直接进入模板视图。

8.引用射频模板

[AC-wlan-view] ap-group name group-name

[AC-wlan-ap-group-group-name] radio -2g-profile profile-name radio { radio-id| all}

在AP组中，将指定的2G射频模板弓|用到2G射频。

基础配置命令-配置VAP

1. 创建VAP模板

[AC-wlan-view] vap-profile name profile-name

[AC-wlan-vap-prof-profile-name]

创建VAP模板，并进入模板视图,若模板E存在则直接进入模板视图。

2.配置数据转发方式

[AC-wlan-vap- prof profile-name] forward-mode { direct-forward| tunnel }

配置VAP模板下的数据转发方式，可以是直接转发或隧道转发。

3.配置业务VL AN

[AC-wlan-vap- prof profile name] service-vlan { vlan-id vlan id | vlan-pool pool-name }

配置VAP的业务VLAN。

4.配置安全模板

[AC-wlan-view] security-profile name profile-name

[AC-wlan-sec-prof-profile-name]

创建安全模板或者进入安全模板视图。

缺省情况下，系统已经创建名称为default、default-wds和default-mesh的安全模板

[AC-wlan-view] vap-profile name profile-name

[AC-wlan-vap-prof-profile-name] security-profile profile-name

在指定VAP模板中引用安全模板。

5.配置SSID模板

[AC-wlan-view] ssid-profile name profile-name

[AC-wlan-ssid-prof-profile-name]

创建SSID模板，并进入模板视图,若模板已存在则直接进入模板视图。

缺省情况下，系统上存在名为default的SSID模板。

[AC-wlan-ssid-prof-profile-name] ssid ssid

配置当前SSID模板中的服务组合识别码SSID (Service Set ldentifier)。

缺省情况下，SSID模板中的SSID为HUAWEI-WL AN。

[AC-wlan-view] vap-profile name profile-name

[AC-wlan-vap-prof-profile-name] ssid-profile profile-name

在指定VAP模板中弓|用SSID模板。

6.引用VAP模板

[AC-wlan-view] ap-group name group-name

[AC-wlan-ap-group-group-name] vap-profile profile-name wlan wlan-id radio { radio-id | all } [ service-vlan { vlan-id vlan-id | vlan-pool pool-name } ]

在AP组中，将指定的VAP模板引用到射频。

7.查看VAP信息

[AC] display vap { ap-group ap-group-name |{ ap-name ap name| ap-id ap-id} [ radio radio-id]}[ ssid ssid]

[AC] display vap { all | ssid ssid}

查看业务型VAP的相关信息。

 

配置案例：旁挂二层组网隧道转发

业务需求

企业用户通过WLAN接入网络，以满足移动办公的最基本需求。

组网需求

AC组网方式：旁挂二层组网。

DHCP部署方式：AC作为DHCP服务器为AP分配IP地址。

                  汇聚交换机S2作为DHCP服务器为STA分配IP地址。

业务数据转发方式：隧道转发。

拓扑：

 

配置思路：

配置AP、AC和周边网络设备之间实现网络互通。

配置AP上线。

创建AP组，用于将需要进行相同配置的AP都加入到AP组，实现统一配置。

配置AC的系统参数，包括国家码、AC与AP之间通信的源接口。

配置AP上线的认证方式并离线导入AP，实现AP正常上线。

配置WLAN业务参数，实现STA访问WLAN网络功能。

 想要配套真题和笔记的朋友们点赞+关注，评论区留下邮箱发给你！