无线局域网设备及附件

第四章无线局域网设备及附件近年来，整个世界逐步走向移动化，无线网络以其施工简单、接入方便逐渐被人们所喜爱。目前，越来越多的WLAN产品正走进我们的生活，本章主要讲解H3CWLAN系列产品及其基本配置操作。引入WLAN设备——无线网卡无线网卡为终端提供无线上网能力笔记本网卡USB网卡PCI无线网卡WLAN设备——无线接入点无线接入点WLAN设备——天线天线

无线设备上的的天线主要用于提高无线信号强度网桥用栅状抛物面天线覆盖用板状天线网桥覆盖两用板状天线WLAN设备FATAP接入交换机SAT无线控制器汇聚交换机办公大楼AFITAP接入交换机SAT无线控制器汇聚交换机办公大楼BSTA：带有无线网卡的PC等无线终端AP：无线接入点，提供无线终端到LAN的接入功能AC：无线控制器，对WLAN中的FITAP及STA进行控制和管理。无线网桥：将两个网络通过无线接口桥接起来。FATAPFATAPFATAP设备功能InernetFATAP：将用户数据加密、用户认证、QoS、网络管理、漫游技术以及应用层的功能于一身。FATAP限制：单独配置、单独升级、不支持3层漫游，成本高，投资规模大。FATAP设备的典型组网模式无线控制器+FITAP无线控制器+FITAPFITAPInernet无线控制器无线控制器具有集中处理所有安全、控制和管理功能。FITAP只提供高可靠性的射频功能。无线控制器+FITAP方案具有易于管理、支持2层/3层快速漫游、QoS、网络自愈功能。为什么需要FITAP解决方案配置简单：AP零配置、所有的配置集中在无线交换机上完成，简单便捷.维护方便：管理、维护针对无线交换机来实现，不需要对每一台AP进行操作.易于升级：针对特性增加带来的软件版本升级需求，只需要对无线交换机进行操作即可，不需要对每一台无线AP单独升级.安全可控：可以集中进行射频及功率、信道调整，安全访问控制等功能.更易扩展：根据需要，可以灵活增加补点AP，支持三层漫游，方便扩展支持无线监控、话音应用等业务。FITAP设备的典型组网模式FITAP的注册流程APDHCPServerAC获取IP地址发送2层广播请求AC发现响应版本、配置下载用户数据传递AP通过2层网络注册流程FITAP的注册流程APDHCPServerAC获取IP地址发送单播请求AC发现响应版本、配置下载用户数据传递AP通过3层网络注册流程FITAP的注册流程APDHCPServerAC获取IP地址、DNS域名发送单播请求AC发现响应版本、配置下载用户数据传递AP通过3层采用DNS网络注册流程DNSServerDNS解析请求DNS解析响应2层广播发现请求无线控制器+FITAP的数据转发原理AC和FITAP之间建立IPinIP隧道。STA发送的任何数据由AP通过IPinIP隧道传给AC，由AC统一转发。AC从IPinIP隧道接收数据后，先解隧道封装，进行数据交换。

FatAP&FitAP组网模式对照

FatAP方案FitAP方案技术模式传统方式新生方式，增强管理安全性传统加密、认证方式，普通安全性增加射频环境监控，基于用户位置安全策略，高安全性网络管理对每AP下发配置文件WirelessSwitch上配置好文件，AP本身零配置用户管理类似有线，根据AP接入的有线端口区分权限无线专门虚拟专用组方式，根据用户名区分权限WLAN组网规模L2漫游，适合小规模组网，成本较低L2、L3漫游，拓扑无关性，适合大规模组网，成本较高增值业务能力实现简单数据接入可扩展语音等丰富业务FATAP平滑切换到FITAP方案

随着近年来运营商开始规模的建设WLAN网络，部分运营商在建网初期采用FatAP，可以实现业务的快速部署，但随着网络规模的扩大，原有WLAN网管渐渐无法满足大量AP的维护、管理、升级需要。迫切需要转换到FitAP架构.无线网桥扩展网络，将不同的WLAN互连的特殊AP。提高网络安全性，可以防止未授权的用户访问网络。根据传输距离的不同可分为工作组网桥和长距离网桥。防止信号衰减，网桥之间不能有障碍物。应适应室外恶劣环境的影响。无线网桥天线天线在无线系统中的作用将传输线中的电磁能转化为自由空间的电磁波，或将空间电磁波转化成传输线中的电磁能的专用设备。天线方向性从馈线取得的能量向周围空间辐射出去，把大部分能量朝所需的方向辐射。增益在输入功率相等的条件下，实际天线与理想的辐射单元在空间同一点处所产生的信号的功率密度之比。天线的极化天线向周围空间辐射电磁波，电场的方向就是天线极化方向。垂直极化---是最常用的。

发射天线接收天线天线天线的分类全向天线定向天线机械天线电调天线双极化天线天线增益对天线发射功率的汇聚车程度dBi=10xlgWLAN规划原则WLAN规划原则100以下用户组网建议建议采用单个FAP或多个FAP组网

WLAN规划原则100~300以下用户组网建议建议采用多个FAP或AC+FITAP组网

WLAN规划原则300以上用户组网建议建议采用AC+FITAP组网

WLAN规划原则无线网桥组网建议多栋建筑之间需要建立网络连接，建议采用无线网桥组网方式WLAN的典型部署热点覆盖承载Wi-Fi语音和移动数据业务办公地点无线连接WLAN的典型部署热点覆盖WLAN的典型部署承载移动数据业务WLAN的典型部署办公地点无线连接基本服务集（BasicServiceSet，简称BSS）在基本服务集（BSS）中，用户共用一个AP，AP独立组网（无线），AP上行可以接入到有线网络，无线用户在一个BSS中实现互通。RadiusServer无线客户端L2交换机AP无线客户端FatAP的基本服务集模式APRadiusServerL3交换机AP无线客户端无线客户端扩展服务集模式（ExtendedServiceSet，简称ESS）在扩展服务集（ESS）中，距离较远的无线终端分别属于不同BSS，AP可以上行接入到有线网络，借助有线网无线终端实现互通，如果有无线网桥，两个BSS通过无线网桥实现互通。FatAP的扩展服务集模式WDS模式（WirelessDistributionSystem）WDS模式中，AP工作桥模式扮演无线中继器角色，无线终端在ESS服务集通过WDS桥接后，在纯无线网络中实现互通或上行接入到有线网络。WDSRadiusServerL2交换机APWDSAP无线客户端无线客户端FatAP的WDS组网模式无线漫游无线访问控制

WDS功能射频管理认证方式加密方式FatAP的主要特性Keycaching过程：STA第一次接入时（接入OldAP）采用正常的802.1x认证过程认证通过后STA把使用的PMK信息保存在Cache中STA漫游切换时，向NewAP发起Reassociation时协商使用PMKCache方式做认证STA利用在Cache中保存的在OldAP中使用的PMK和NewAP发起4次握手协商过程协商成功，STA开始传送数据报文STAAPPMKCacheXXXXXXXNewAPOldAPSTAPMKCacheXXXXXXXSTAPMKCacheXXXXXXXFatAP的快速漫游技术－KeycachingFatAP作为接入设备，它具有完整的接入和控制功能。支持ACL和防火墙功能MAC地址认证有些FatAP利用黑白名单实现用户访问控制，在黑名单上源MAC用户拒绝接入，白名单的用户为合法用户，允许接入可以通过SSID同VLAN绑定，实现不同SSID下二层用户间的隔离有些厂家的设备支持同一个SSID下用户之间的隔离，如H3C公司的WA1208E等FatAP的无线访问控制WDS是FatAP的一个特殊功能，通过此功能可以实现AP与AP之间的无线通信。802.11协议对WDS的具体实现没作规定，这为各大厂家WDS的实现带来了灵活的余地，但各厂商产品之间的互通基本没有可能性。FatAP的WDS功能企业总部网络企业分支网络1企业分支网络2FatAPFatAPFatAPWDS功能的典型应用自动调节FatAP

射频可以工作在自动模式，射频自动间隔一定时间扫描一次周围的射频环境，通过比较自动选择干扰小，噪音低的信道，通过监控当前的信道也能自动调节功率和数据发送速率，有一定的智能性。手动配置用户也可以手动配置信道、功率以及数据发送速率。缺点在于不能发挥物理层的性能，没有自动状态效率高。FatAP的射频管理开放系统身份认证（open-systemauthentication）开放系统认证是802.11要求必备的方式。在开放系统身份认证中，AP并未验证移动式工作站的真实身份。开放系统下用户只要MAC地址唯一即可接入网络。共享密钥认证（shared-keyauthentication）共享密钥身份认证必须使用WEP。共享密钥身份认证要求在进行身份认证之前，必须传递共享密钥给无线终端。双方交换密钥成功后，终端才可接入网络。MAC地址认证MAC地址认证是相当常见的做法，几乎所有产品均有支持。网管人员可以键入一组经过授权的终端MAC地址，只有表上有其MAC地址的终端才可以跟网络连接。PSK（Pre-sharedkey）认证PSK认证要求在STA侧预先配置Key，AP通过4次握手Key协商协议来验证STA侧Key的合法性。802.1x认证802.1x认证是基于端口的网络接入控制协议,它提供了一个认证过程框架，支持多种认证协议。在802.1x中，不同的认证协议统一使用EAP封装格式。FatAP的认证方式WEP（WiredEquivalentPrivacy）有线等价保密协议WEP密钥采用RC4算法，有静态与动态之分。WEP标准采用64位比特或128位比特加密。WPA（Wi-FiProtectedAccess）加密方式IEEE为了改进WEP加密机制的各种缺陷制定了IEEE802.11i安全标准。标准采用了IEEE802.11i的草案，保证了与未来出现的协议的前向兼容。WPA采用TKIP和CCMP加密算法。WPA2加密方式WPA2采用CCMP加密算法。FatAP的加密方式无线交换机的应用部署方式无线交换机+FitAP集中式企业内部部署方式

无线交换机+FitAP分布式企业内部部署方式

无线交换机+FitAP企业分支机构部署方式无线交换机+FitAP集中式企业内部部署方式无线交换机无线交换机认证服务器无线网管公司骨干汇聚交换机有线客户端有线客户端PoE交换机PoE交换机无线接入点无线接入点无线客户端一层楼二层楼无线交换机+FitAP分布式企业内部部署方式无线交换机无线交换机认证服务器无线网管公司骨干汇聚交换机有线客户端有线客户端PoE交换机PoE交换机无线接入点无线接入点无线客户端一层楼二层楼无线交换机+FitAP企业分支机构部署方式无线交换机认证服务器无线网管公司骨干路由器有线客户端有线客户端PoE交换机PoE交换机无线接入点无线接入点无线客户端分支二分支一无线客户端公司总部分支出口路由器分支出口路由器无线接入点有线客户端PoE交换机FatAP的应用部署方式FatAP的主要特性无线交换机的应用部署方式无线交换机的工作原理无线交换机的主要特性目录无线交换机的工作原理无线交换机+FitAP的连接方式

无线交换机+FitAP系统构成特点

FitAP零配置启动注册过程无线交换机+FitAP的数据转发原理无线交换机+FitAP的连接方式

FitAP无线交换机无线交换机无线交换机L2网络L3网络FitAPFitAPFitAPFitAPFitAP直连方式二层网络连接方式三层网络连接方式无线交换机+FitAP系统构成特点主要由无线交换机和FitAP在有线网的基础上构成的。AP零配置，硬件主要由CPU＋内存＋RF构成，配置和软件都要从无线交换机上下载。所有AP和无线客户端的管理都在无线交换机上完成。AP和无线交换机之间的流量被私有协议加密；无线客户端的MAC只出现在无线交换机端口，而不会出现在AP的端口。可以在任何现有的二层或三层LAN拓扑上部署H3C的通用无线解决方案，而无需重新配置主干或硬件。无线交换机以及管理型接入点AP可以位于网络中的任何位置。在复杂的网络中，FitAP如何得知无线交换机的位置？AP直连或通过二层网络连接时的注册流程AP从无线交换机下载最新软件版本、配置AP开始正常工作和无线交换机交换用户数据报文无线交换机APDHCPServer1、获取IP地址2、发送二层广播发现请求4、版本、配置下载3、无线交换机发现响应5、用户数据传递AP通过DHCPserver获取IP地址AP发出二层广播的发现请求报文试图联系一个无线交换机接收到发现请求报文的无线交换机会检查该AP是否有接入本机的权限，如果有则回应发现响应AP与无线交换机直连或通过二层网络连接：AP通过三层网络连接时的注册流程APDHCP

Server无线交换机1、获取IP地址、DNSServer地址、域名2、二层广播发现请求6、版本、配置下载7、用户数据传递AP在多次尝试发现请求无回应的情况下：AP会从DNSserver获取H3C.xxxx.xxx的IP地址，该IP地址即为无线交换机的IP地址，其中xxxx.xxx是从DHCPserver学习到的域名。长时间无响应DNS

Server3、获取无线交换机的IP地址4、无线交换机发现请求5、无线交换机发现响应AP发出二层广播的发现请求报文试图联系一个无线交换机AP通过DHCPserver获取IP地址、DNSserver地址、域名接收到发现请求报文的无线交换机会检查该AP是否有接入本机的权限，如果有则回应发现响应。AP从无线交换机下载最新软件版本、配置AP开始正常工作和无线交换机交换用户数据报文AP与无线交换机通过三层网络连接：AP向无线控制器发送单播发现请求。无线交换机的数据转发原理STAServerVLAN1IP:1.0.0.1无线交换机FitAP隧道口隧道口IP:3.0.0.1无线交换机和AP间数据转发的核心思想在无线交换机和AP之间建立IPinIP隧道，无线交换机将这些隧道看做虚拟物理端口；无线客户端STA的任何数据报文都将由AP通过IPinIP隧道交给无线交换机，由无线交换机统一转发；无线交换机从IPinIP隧道接收到用户的数据后先解隧道封装，然后做数据交换，如果出接口为隧道则对数据报文再次加上隧道封装，直到交换到最远端。核心交换机接入交换机FitAP隧道口STAVLAN2IP:2.0.0.1VLAN1IP:1.0.0.2SA＝STAMACDA＝PCMACVLAN＝VLAN1SIP＝1.0.0.1DIP＝1.0.0.2SA＝STAMACDA＝PCMACSIP＝1.0.0.1DIP＝1.0.0.2STAIP:1.0.0.1IP:1.0.0.3IP:1.0.0.4PC无线交换机L2交换机SA＝STAMACDA＝PCMACSIP＝1.0.0.1DIP＝1.0.0.2APL2交换机无线交换机SA＝STAMACDA＝PCMACSIP＝1.0.0.1DIP＝1.0.0.2APPCIP:1.0.0.2STASA＝APMACDA＝ACMACVLAN＝VLAN1SIP＝1.0.0.3DIP＝1.0.0.4IPinIP隧道封装STA>PC的数据转发解IPinIP隧道封装，802.11->802.3转换加IPinIP隧道封装802.11报文VLAN1VLAN1VLAN1STA1VLAN1VLAN1IP:1.0.0.1IP:1.0.0.2IP:2.0.0.1IP:3.0.0.1STA1无线交换机L3交换机SA＝STA2MACDA＝STA1MACSIP＝1.0.0.2DIP＝1.0.0.1SIP＝3.0.0.1DIP＝2.0.0.1IPinIP隧道封装AP1AP1无线交换机SA＝STA2MACDA＝STA1MACSIP＝1.0.0.2DIP＝1.0.0.1SA＝STA2MACDA＝STA1MACSIP＝1.0.0.2DIP＝1.0.0.1AP2AP2STA2IP:4.0.0.1STA2SIP＝4.0.0.1DIP＝3.0.0.1IPinIP隧道封装SA＝STA2MACDA＝STA1MACSIP＝1.0.0.2DIP＝1.0.0.1STA2->STA1的数据转发解IPinIP隧道封装解IPinIP隧道封装，802.11->802.3转换802.3->802.11转换，加IPinIP隧道封装加IPinIP隧道封装802.11报文FatAP的应用部署方式FatAP的主要特性无线交换机的应用部署方式无线交换机的工作原理无线交换机的主要特性目录无线交换机的主要特性基于用户的授权无线用户漫游

无线交换机端口聚合和负荷分担

FitAP之间的负载均衡

无线交换机系统的冗余与可靠性

基于用户身份的安全

ROGUE（欺诈）探测无线交换机系统－基于用户的授权Layer

2RadiusServerDHCPServer192.168.1.4/24trunktrunktrunk192.168.1.1/24(1)192.168.2.1/24(2)192.168.3.1/24(3)无线交换机-1:vlan1vlan2192.168.1.2无线交换机-2:vlan1vlan3192.168.1.3路由器无线交换机-3:vlan4192.168.4.2192.168.4.1/24FitAPFitAPUser1User2无线交换机可以通过自身设置或配合Radius服务器对无线接入用户进行授权，如对用户下发VLAN属性，实现基于用户的授权。无线交换机系统－无线用户漫游漫游：用户在移动时，保持它们的会话连接包括IP地址、所属VLAN及所连接的服务均不改变，用户感觉不到网络的变化。漫游域（MobilityDomain）：漫游域是由多个无线交换机和AP组成的支持wirelessclient漫游的无线网络系统。Layer2RadiusServerDHCPServer192.168.1.4/24trunktrunktrunk192.168.1.1/24(1)192.168.2.1/24(2)192.168.3.1/24(3)无线交换机-1:vlan1vlan2192.168.1.2路由器无线交换机-3:vlan4192.168.4.2192.168.4.1/24FitAPFitAPUser

1User2无线交换机-2:vlan1vlan3192.168.1.3无线交换机端口聚合和负荷分担无线交换机支持端口聚合，端口聚合可以实现出/入负荷在聚合组中各个成员端口之间分担，以增加带宽。同时，同一聚合组的各个成员端口之间彼此动态备份，提高了连接可靠性。无线交换机L3SwitchPoESwitchFitAPFitAP无线客户端无线客户端端口聚合FitAP之间的负载均衡当不同的AP覆盖同一区域时，可通过负载均衡控制不同AP的接入用户数，以保证密集用户区域的用户带宽性能。

H3CFITAP的负载均衡有两种方