H3CWLAN企业培训

1、H3C WLAN培训培训Page 2目目 录录 WLAN基础知识WLAN组网方式FAT AP的典型应用与配置无线控制器FIT AP基本配置无线控制器的可靠性1+1热备份AP之间的漫游Page 3WLAN基础知识基础知识 WLAN是基于IEEE802.11标准的无线局域网，在局域网络环境中使用可以不必授权的ISM频段中的2.4GHz或5GHz射频波段进行无线连接。主要解决百米左右的接入。 WLANWLAN的优势：的优势： 灵活性和移动性。安装便捷。易于进行网络规划和调整。易于扩展。Page 4WLAN基础知识基础知识 WLANWLAN的不足：的不足： 性能：无线局域网是依靠无线电波进行传输的。这

2、些电波通过无线发射装置进行发射，而建筑物、车辆、树木和其它障碍物都可能阻碍电磁波的传输，所以会影响网络的性能。 速率：无线信道的传输速率与有线信道相比要低得多。 安全性：本质上无线电波不要求建立物理的连接通道，无线信号是发散的。从理论上讲，很容易监听到无线电波广播范围内的任何信号，造成通信信息泄漏。 Page 5WLAN基础知识基础知识 主要WLAN技术：802.11b 802.11a 802.11g 802.11n802.11b802.11g802.11n工作频段2.4G2.4G2.4G/5.8G最大带宽11M54M300M可用信道1 6 111 6 11149 153 157 161 16

3、5Page 6WLAN基础知识基础知识11n11n的频宽模式的频宽模式l 两种频宽模式两种频宽模式802.11n同时定义了2.4GHz频段和5GHz频段的WLAN标准，与11a/b/g只用20MHz带宽不同的是11n定义了两种频带宽度：HT20（20MHz带宽）和HT40（40MHz带宽），在HT40模式下可以获得HT20模式两倍以上的吞吐量。20MHz: 满足兼容性40MHZ: 满足高性能需求Page 7l 40MHz 40MHz 频宽频宽High Throughput (HT) 信道，提供两倍于20MHz频宽模式的带宽两个20MHz信道被捆绑，一个是主，一个是辅主信道: 发送beacon报

4、文和部分数据报文辅信道: 发送其它报文l 40MHz 40MHz 频宽模式基本不建议在频宽模式基本不建议在2.4GHz2.4GHz使用使用在2.4GHz没有互不干扰的40MHz信道WLAN基础知识Page 8WLAN基础知识基础知识WLANWLAN安全概述：安全概述：WLAN具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点，但是由于无线局域网信道开放的特点，使攻击者能够很容易的进行窃听，破坏，因此安全性成为阻碍无线局域网发展的最重要因素。 链路认证方式：链路认证方式：1.1.开放系统认证（开放系统认证（Open system authenticationOpen system

5、 authentication）Page 9WLAN基础知识基础知识 2. 共享密钥认证（共享密钥认证（Shared key authentication）Page 10WLAN基础知识基础知识用户接入认证用户接入认证 (1)PSK认证 PSK认证需要实现在无线客户端和设备端配置相同的预共享密钥，如果密钥相同，PSK接入认证成功；如果密钥不同，PSK接入认证失败。 (2)MAC接入认证本地MAC地址认证：当选用本地认证方式进行MAC地址认证时，需要在设备上预先配置允许访问的MAC地址列表，如果客户端的MAC地址不在允许访问的MAC地址列表，将被拒绝其接入请求。 通过RADIUS服务器进行MAC

6、地址认证：当MAC接入认证发现当前接入的客户端为未知客户端，会主动向RADIUS服务器发起认证请求，在RADIUS服务器完成对该用户的认证后，认证通过的用户可以访问无线网络以及相应的授权信息。 (3)802.1x认证 802.1x协议是一种基于端口的网络接入控制协议，该技术也是用于WLAN的一种增加网络安全的解决方案。当客户端与AP关联后，是否可以使用AP提供的无线服务要取决于802.1x的认证结果。如果客户端能通过认证，就可以访问WLAN中的资源；如果不能通过认证，则无法访问WLAN中的资源。 (4)portal 认证Page 11用户接入管理过程用户接入管理过程无线客户端有两种方式可以获取

7、到周围的无线网络信息：一种是被动扫描，无线客户端只是通过监听周围AP发送的Beacon（信标帧）获取无线网络信息；另外一种为主动扫描，无线客户端在扫描的时候，同时主动发送一个探测请求帧（Probe Request帧），通过收到探查响应帧（Probe Response）获取网络信号。WLAN基础知识基础知识Page 12 用户接入管理过程用户接入管理过程WLAN基础知识Page 13WLAN组网方式组网方式“胖”接入点：即传统AP，除了提供基本的无线连接功能外，还提供安全、管理和性能增强功能。导致单一AP设备结构复杂，比较昂贵且难于管理。“瘦”接入点：与传统的“胖”AP方案相比，“瘦”接入点剥离

8、其他功能只提供可靠、高性能的RF功能。WLAN交换机 +“瘦”接入点方案：WLAN交换机和“瘦”AP配合在一起提供传统AP的功能，WLAN交换机集中处理所有的安全、性能和管理等功能，“瘦”AP仅仅提供可靠的、高性能的无线连接。WLAN交换机方案除具有部署经济、易于管理等特点外，还支持快速切换、安全、接入第三方AP等高级功能。Page 14FAT AP设备的典型组网设备的典型组网l 企业网络的组网模式：AP1APnSTAsl 家庭或soho网络的组网模式：APADSL ModemWAN以太交换机以太交换机PCSTAs企业核心网企业核心网Page 15无线交换机和无线交换机和FIT AP的典型组网

9、的典型组网AP无线交换机无线交换机无线交换机无线交换机无线交换机无线交换机L2网络网络L3网络网络APAPAPAPAPPage 16AP直连或通过二层网络连接时的注册流程直连或通过二层网络连接时的注册流程AP从无线交换机下载最新软件版本、配置4.AP开始正常工作和无线交换机交换用户数据报文无线交换机无线交换机APAPDHCP Server1、获取IP地址2、发送二层广播发现请求4、版本、配置下载3、无线交换机发现响应5、用户数据传递 AP通过DHCP server获取IP地址 AP发出二层广播的发现请求报文试图联系一个无线交换机 接收到发现请求报文的无线交换机会检查该AP是否有接入本机的权限，

10、如果有则回应发现响应APAP与无线交换机直连或通过二层网络连接：与无线交换机直连或通过二层网络连接：Page 17AP通过三层网络连接时的注册流程通过三层网络连接时的注册流程APDHCPServer无线交换机无线交换机1、获取IP地址、option 43属性4、版本、配置下载5、用户数据传递 AP会从option 43属性中获取无线交换机的IP地址，然后向无线控制器发送单播发现请求。2、无线交换机发现请求3、无线交换机发现响应 AP通过DHCP server获取IP地址、option 43属性(携带无线交换机的IP地址信息) 接收到发现请求报文的无线交换机会检查该AP是否有接入本机的权限，如果

11、有则回应发现响应。 AP从无线交换机下载最新软件版本、配置APAP与无线交换机通过三层网络连接：与无线交换机通过三层网络连接：AP开始正常工作和无线交换机交换用户数据报文Page 18Option 43属性配置举例属性配置举例 Option 43选项说明80：选项类型，固定为80，1个字节。0B: 选项长度，表示其后内容的长度（十六进制数的个数，这里表示后面有11个十六进制数），一个字节。0000: Server type ，固定配为0000两个字节。02：后面IP地址的个数，一个字节。12010701,12010702：两个AC的IP地址的十六进制表示 ，分别是18.1.7.1和18.1.7

12、.2 ，其中18.1.7.1为主AC.l Microsoft DHCP Serverl H3C H3C设备内置设备内置DHCP ServerDHCP ServerPage 19无线交换机的数据转发原理无线交换机的数据转发原理STAServerVLAN 1IP:1.0.0.1无线交换机无线交换机Fit AP隧道口隧道口隧道口隧道口IP:3.0.0.1l 无线交换机和无线交换机和AP间数据转发的核心思想间数据转发的核心思想 在无线交换机和AP之间建立IPinIP隧道，无线交换机将这些隧道看做虚拟物理端口； 无线客户端STA的任何数据报文都将由AP通过IPinIP隧道交给无线交换机，由无线交换机统一

13、转发； 无线交换机从IPinIP隧道接收到用户的数据后先解隧道封装，然后做数据交换，如果出接口为隧道则对数据报文再次加上隧道封装，直到交换到最远端。核心交换机核心交换机接入交换机接入交换机Fit AP隧道口隧道口STAVLAN 2IP:2.0.0.1VLAN 1IP:1.0.0.2Page 20STAPC的数据转发的数据转发SASTA MACDAPC MACVLANVLAN1SIP1.0.0.1DIP1.0.0.2SASTA MACDAPC MACSIP1.0.0.1DIP1.0.0.2STAIP:1.0.0.1IP:1.0.0.3IP:1.0.0.4PC无线交换机无线交换机L2交换机交换机S

14、ASTA MACDAPC MACSIP1.0.0.1DIP1.0.0.2APL2交换机交换机无线交换机无线交换机SASTA MACDAPC MACSIP1.0.0.1DIP1.0.0.2APPCIP:1.0.0.2STASAAP MACDAAC MACVLANVLAN 1SIP1.0.0.3DIP1.0.0.4IPinIP隧道封装解解IPinIP隧道封装，隧道封装，802.11-802.3转换转换加加IPinIP隧道封装隧道封装802.11报文报文VLAN 1VLAN 1VLAN 1Page 21FAT AP的典型应用与配置的典型应用与配置交换机交换机FAT AP(V5)无线客户端无线客户端t

15、runkl 实例：实例： FAT AP上配置两个vlan：vlan 1000和vlan 256vlan 1000为管理vlan；vlan 256为业务vlan，所有的无线客户端都属于vlan 256FAT AP的管理IP地址为10.10.1.50/24，网关为10.10.1.254服务集标识SSID为H3C-wireless，无认证无加密Page 22配置步骤（配置步骤（1 1） 步骤一：步骤一：创建业务创建业务vlan（vlan256）和管理）和管理vlan（vlan 1000），并配置管理），并配置管理IP地址地址 H3C vlan 256 H3C-vlan256 quit H3C vla

16、n 1000 H3C-vlan1000 quit H3C interface vlan 1000 H3C-Vlan-interface1000 ip address 10.10.1.50 255.255.255.0 H3C-Vlan-interface1000 quit 步骤二：步骤二：将上行以太网口配置为将上行以太网口配置为Trunk类型类型 H3C interface Ethernet 1/0/1 H3C-Ethernet1/0/1 port link-type trunk H3C-Ethernet1/0/1 port trunk permit vlan all 步骤三：步骤三：创建无线接

17、口创建无线接口 H3C interface WLAN-BSS 1 H3C-WLAN-BSS1 port access vlan 256 Page 23配置步骤（配置步骤（2 2） 步骤四：步骤四：创建无线服务模板（创建无线服务模板（SSID名称为名称为H3C-wireless） H3C wlan service-template 1 clear H3C-wlan-st-1 authentication-method open-system H3C-wlan-st-1 ssid H3C-wireless H3C-wlan-st-1 service-template enable 步骤五：步骤五：

18、在在11g射频卡上绑定无线服务模板和无线接口，配置信道为射频卡上绑定无线服务模板和无线接口，配置信道为11、功率为、功率为15dBm H3C interface WLAN-Radio 1/0/1 H3C-WLAN-Radio1/0/1 service-template 1 interface WLAN-BSS 1 H3C-WLAN-Radio1/0/1 radio-type dot11g H3C-WLAN-Radio1/0/1 channel 11 H3C-WLAN-Radio1/0/1 max-power 15 注：默认情况下，功率为20dBm（即100mW）；信道为自动选择。 步骤六：步骤

19、六：配置默认路由配置默认路由 H3C ip route-static 0.0.0.0 0 10.10.1.254Page 24无线控制器无线控制器FIT AP基本配置组网图基本配置组网图无线控制器无线控制器三层交换机三层交换机FIT APDHCP Server无线客户端无线客户端VLAN 1、4VLAN 2VLAN 3192.168.1.99192.168.3.99交换机：VLAN 1接口地址为192.168.1.254VLAN 2接口地址为192.168.2.254VLAN 3接口地址为192.168.3.254VLAN 4接口地址为192.168.4.254trunk组网说明各网段网关都在

20、三层交换机上AP属于VLAN 2（192.168.2.0/24网段）无线客户端属于VLAN 4（192.168.4.0/24网段）ssid: H3CPage 25无线控制器无线控制器FIT AP基本配置基本配置Page 26同时集中转发与本地转发逻辑示意同时集中转发与本地转发逻辑示意CMNet国干网A高校出口路由器APAPAPAPAPAPAC1AC2B高校出口路由器移动PORTAL SERVER移动RADIUS服务器A高校楼层交换机A高校内部用户接入控制器A高校RADIUS服务器SSID:CMCCSSID:SCHOOLPage 27N+1热备实现原理及切换热备实现原理及切换Keep Live2

21、/3层网络层网络1、AP加入主AC时，AC会向AP主动下发备用AC的地址。2、主AC正常时，数据流通过主AC处理，3、备用AC与主用AC之间同步业务数据。4、AP与AC间保持KEEPLIVE通信5、如主AC失效，则AP在规定时间内将收不到KEEPLIVE信息。6、则AP根据先前留下的备AC地址，加入备用AC，并接受备用AC的控制。数据流通过备AC处理。7、由于主AC与备AC间业务数据是同步的，因此，用户的业务并不会受到影响。AP主主AC备备AC备备AC备AC IPPage 28无线控制器的可靠性无线控制器的可靠性1+1热备份热备份APAC1AC21、获取AC列表（AC1、AC2）DHCP Se

22、rver4、与AC2建立备份隧道连接AC1宕机2、与AC1建立主隧道连接l 步骤一：步骤一：AC1上配置上配置AP的静态模板的静态模板 AC1 wlan ap ap1 model WA2100 AC1-wlan-ap-ap1 serial-id H3CFITAP AC1-wlan-ap-ap1 priority level 6l 步骤二：步骤二：AC2上配置上配置AP的静态模板的静态模板 AC2 wlan ap ap1 model WA2100 AC2-wlan-ap-ap1 serial-id H3CFITAPl 说明说明 AC2不配置优先级，则使用默认优先级4，也可以配置为其他的小于6的优先级3、通知AP备份AC为AC2主隧道（负责数据流量转发）备份隧道AP检测到主隧道down备份隧道切换为主隧道l 步骤三：步骤三：AC1上配置其上配置其Backup AC为为AC2 AC1 wlan backup-ac AC2-ip addres