高级路由交换技术（微课版）项目6 部署与实施无线网络

项目7无线网线规划与部署项目概述完成无线网络部署采用旁挂式的部署方案STA与AP地址由AC统一分配本项目要完成的网络需求如下：

PC地址由核心交换机分配AC采用VLAN池模式

S2G0/0/1G0/0/2G0/0/2S4G0/0/3NJLBOXG1/0/1XG1/0/2XG1/0/3XG1/0/3XG1/0/1XG1/0/1XG1/0/2XG1/0/2S1G0/0/3G0/0/2G0/0/1G0/0/1G0/0/2G0/0/3ACG0/0/3G0/0/0S3G0/0/2G0/0/1G0/0/1APPC知识目标WLAN基础知识WLAN组网架构WLAN工作原理WLAN配置命令技能目标规划WLAN组网规划WLAN参数WLAN配置过程与方法WLAN优化与验证学习目标7.1WLAN基础知识WLAN系统通过电磁波来传输信息。WLAN常用的2.4G频段和5G频段分别属于特高频和超高频。（1）

频段与信道γ射线无线电微波红外线可见光紫外线X射线100102104106108101010121014101610181020102210241026/HZ𝑓极低频超低频特低频甚低频

低频

中频

高频

甚高频

特高频

超高频

极高频3303003K30K300K3M30300M3G30G300G𝑓/HZ2.4GHZ5GHZ12345678910111213142.4122.4172.4222.4272.4322.4372.4422.4472.4522.4572.4622.4672.4722.484信道中心频率（GHz）7.1WLAN基础知识2.4GHz频段的频率范围为2.4GHz~2.4835GHz，被划分为14个信道，相邻信道的中心频率间隔为5MHz。IEEE802.11b标准规定信道带宽为22MHz，只有1、6和11信道是非重叠信道，可以在同一空间部署。其他标准规定信道带宽为20MHz，1、5、9和13信道是非重叠信道，可以在同一空间部署。（1）

频段与信道7.1WLAN基础知识通过非重叠信道可以实现同一物理空间信号交叉覆盖而不产生信号干扰。（1）

频段与信道AP1信道1AP2信道6AP3信道11AP4信道11AP5信道1AP6信道1AP7信道6AP8信道11信道

3640

444852566064149153157161165

我国不可用......5.17GHz5.25GHz5.735GHz5.33GHz5.835GHz信道宽带20MHz7.1WLAN基础知识5GHz频段的频率范围为5.150GHz~5.835GHz，我国开放了13个信道，每个信道带宽为20MHz。在高密或者2.4GHz干扰严重的环境中，建议优先选择5GHz频段，提升用户体验。（1）

频段与信道7.1WLAN基础知识（2）WLAN与Wi-FiIEEE标准Wi-Fi命名频段最高理论速率IEEE802.11bWi-Fi2.4GHz11Mbit/sIEEE802.11aWi-Fi25GHz54Mbit/sIEEE802.11gWi-Fi32.4GHz54Mbit/sIEEE802.11nWi-Fi42.4GHz、5GHz600Mbit/sIEEE802.11acWi-Fi55GHz6.93Gbit/sIEEE802.11axWi-Fi62.4GHz、5GHz9.6Gbit/sWi-Fi联盟推出了Wi-Fi商标，负责Wi-Fi产品的认证测试，并将IEEE的标准命名为Wi-Fi。不同标准的频段均为2.4GHz频段或5GHz，但最高理论速率在不断提升。7.1WLAN基础知识（3）WLAN的基本设备AC用于对AP和RU进行统一控制和配置下发，使得AP和RU可以零配置上线。AP可以分为胖AP和瘦AP，胖AP不需要AC管理，可以独立工作，瘦AP需要接受AC的统一管理。RU用于敏捷分布式组网中，接受AP的管理，适用于房间密度大、墙体结构复杂的场景。无线接入控制器AC无线接入点AP远端单元RU7.1WLAN基础知识（4）WLAN的基本概念一个物理AP可以创建出多个虚拟AP（VAP）。每个VAP对应一个BSS，拥有不同的BSSID和SSID。BSS：一个AP或RU覆盖的整个范围叫一个基本服务集BSS。BSSID：以AP或RU的MAC地址作为BSS的身份标识符BSSID。SSID：服务集标识，方便用户标识不同WLAN信号。APBSSBSSID:00FF-A763-DF1FSSID:emloyeeBSSSSID:guestBSSID:00FF-A763-DF1FVAP1APVAP2BSSID:00FF-A763-DF2FSSID:employee7.1WLAN基础知识（4）WLAN的基本概念ESS：扩展服务集，多个AP联合对BSS进行扩展，形成覆盖范围更大的服务集。STA可以在ESS内无缝漫游。ESSBSS1BSS2APAPSSID:emloyeeSSID:emloyee7.1WLAN基础知识（5）CAPWAP协议CAPWAP是AC与AP间的专用通信协议，用于AC对AP进行集中管理。控制报文UDP端口号5246，数据报文UDP端口号5247。数据报文可以选择是否使用DTLS加密，控制报文除“发现请求”和“发现应答”外，其他报文强制DTLS加密。控制报文数据报文IP首部UPD首部

CAPWAP前导CAPWAP首部

控制首部

信息要素IP首部UPD首部CAPWAP前导DTLS首部CAPWAP首部

控制首部

信息要素DTLS尾部

IP首部UPD首部CAPWAP前导CAPWAP首部

信息要素IP首部UPD首部CAPWAP前导DTLS首部CAPWAP首部

数据报文DTLS尾部AP......Internet数据报文控制报文CAPWAP隧道AP7.2

WLAN组网架构（1）WLAN组网方式FatAP组网方式不需要部署AC，在构建小型WLAN时部署方便，成本低。AC+FitAP组网方式AP可以零配置上线，在构建大型WLAN时部署方便。FatAP组网方式STASwitchFatAP......InternetFatAPSTAAC+FitAP组网方式Internet......STAACSwichFitAPFitAPSTA7.2

WLAN组网架构（1）WLAN组网方式AC负责统一管理中心AP和RU。中心AP不支持射频功能，而是代理AC分担对RU的集中管理和协同功能。RU作为射频模块，负责无线报文收发，并透传给中心AP。中心AP和AC之间，以及RU和中心AP之间都采用CAPWAP协议进行通信。敏捷分布式组网适用于酒店、宿舍等存在大量房间且隔墙多的场景敏捷分布式组网InternetAC中心APSwitchRURUSTASTA.......7.2

WLAN组网架构（2）AC+AP组网方式二层组网方式AP和AC在同一个广播域中，配置简单，适合于小型WLAN。三层组网方式AP和AC不用限制于同一个二层网络中，适合于构建大型WLAN，配置也更为复杂。二层组网三层组网二层网络三层网络7.2

WLAN组网架构（2）AC+AP组网方式直连式组网业务数据通过AC到达上层网络，对AC的转发性能要求高。旁挂式组网便于在有线网络上新增WLAN，不会改变原有拓扑。直连式组网旁挂式组网InternetInternet......APAPACACInternetInternetAPAP......7.2

WLAN组网架构（3）

业务流量转发方式直接转发模式STA业务数据直接由交换机转发，不经过AC。CAPWAP隧道仅封装AP与AC之间的控制报文。隧道转发模式不管业务流量还是控制流量，全部经AP由CAPWAP隧道封装至AC。直接转发隧道转发AP......Internet数据报文控制报文CAPWAP隧道APAP......Internet数据报文控制报文CAPWAP隧道AP7.2

WLAN组网架构（4）管理/业务VLAN管理VLAN用于AC对AP的管理，包括AC与AP间的DHCP报文交换和CAPWAP报文交互等。业务VLAN是WLAN用户接入后所在的VLAN，负责传输WLAN用户上网时产生的业务数据。为了方便STA地址的管理，应对大量用户接入，业务VLAN推荐使用VLAN池。InternetAC......APAP......STASTA管理VLAN扫描验证关联AP主动请求更新配置AC主动请求更新配置7.3

WLAN工作流程AP上线AP获取IP地址WLAN配置下发无线用户接入AP发现ACAP接入控制AP版本升级7.3

WLAN工作流程（1）AP上线AP获取IP地址静态配置IP地址动态配置IP地址DHCP服务器三层交换机ACAP获取IP地址AP发现ACAP接入控制AP版本升级Internet......STAACSwichFitAPSTAFitAP7.3

WLAN工作流程（1）AP上线AP通过静态方式发现ACAP通过DHCP方式发现ACAP发现AC有静态、DHCP和广播方式三种。广播方式用于AP与AC在同一个二层网络中。AP获取IP地址AP发现ACAP接入控制AP版本升级发现请求发现响应APACDHCPDiscoverDHCPOffer（携带AC的IP地址）DHCPRequestDHCPACK(携带AC的IP地址)DHCP服务器APAC发现请求

发现请求发现响应

发现响应AC7.3

WLAN工作流程（1）AP上线AP的认证分为MAC认证、SN认证和不认证三种。AP认证不通过，会被AC放入未授权AP列表中，需管理员手工确认后，AC才会回复加入响应消息允许或拒绝AP上线AP获取IP地址AP发现ACAP接入控制AP版本升级接入请求接入响应APAC7.3

WLAN工作流程（1）AP上线AP通过接入响应报文中的参数判断是否需要升级。AP的版本升级方式包括AC模式、FTP模式和SFTP模式三种。AP在版本更新完成后重新启动，重复获取IP地址、发现AC、接入控制三个步骤。AP获取IP地址AP发现ACAP接入控制AP版本升级版本更新请求版本更新响应APAC7.3

WLAN工作流程（2）WLAN配置下发AP完成上线后，会主动发送配置状态请求。当配置与AC要求的配置不符时，AC推送配置信息完成同步。AP配置同步后，如果AC对配置进行了更新，会主动发现配置更新请求。AP更新完配置后回复更新响应。AP主动请求更新配置AC主动请求更新配置配置状态请求配置状态响应APAC配置更新请求配置更新响应APAC7.3

WLAN工作流程（3）无线用户接入扫描验证关联无线客户端AP2AP1（无SSID=test）（有SSID=test）探寻请求(SSID=test)探寻请求(SSID=test)探寻响应无线客户端AP2AP1探寻请求(SSID=空)探寻请求(SSID=空)探寻响应探寻响应主动扫描（携带SSID）主动扫描（不携带SSID）扫描分STA主动扫描与被动扫描。主动扫描又分为携带SSID与不携带SSID两种。7.3

WLAN工作流程（3）无线用户接入扫描验证关联默认情况下，AP发送Beacon帧的时间间隔是102.4ms。主动扫描有助于STA更快地发现周围的AP，但同时功耗也会更高。被动扫描相比于主动扫描的优势是可以降低STA的功耗，在现网中更为常用。Beacon（包含SSID）探寻响应探寻请求STAAP7.3

WLAN工作流程（3）无线用户接入扫描验证关联安全策略WEP（IEEE802.11）WPA（Wi-Fi联盟）WPA2（IEEE802.11i）WPA3（Wi-Fi联盟）提出时间1997200320042018加密方式WEPTKIPCCMPCNSA套件加密算法RC4RC4AESAES或GCMP-256无线网络验证开放系统验证共享密钥验证WEPWPAWPA2WPA37.3

WLAN工作流程（3）无线用户接入扫描验证关联无线客户端AP认证请求认证响应开放系统验证的本质是不执行验证。开放系统验证一般用于公共场合供用户接入。7.3

WLAN工作流程（3）无线用户接入扫描验证关联无线客户端AP认证响应（包含挑战短语）认证响应认证响应（Success）（包含加密的挑战短语）认证请求共享密钥验证一般用于企业内部或家庭接入。7.3

WLAN工作流程（3）无线用户接入扫描验证关联关联阶段协商的内容包括STA支持的速率及信道等。AC在关联阶段判断STA是否需要接入认证。APSTA关联请求关联请求关联响应关联响应CAPWAP封装7.4

WLAN基本配置AC上的WLAN

相关配置配置CAPWAP源接口或源IP地址配置AP认证方式配置AP上线AP或AP组域管理模板VAP模板配置国家码等安全模板SSID模板配置转发方式配置业务VLAN配置认证策略、加密算法、加密密钥等配置SSID名称等[AC]capwapsource{interface

vlanif

vlan-id|ip-address

x.x.x.x}AC将以所配置的接口或IP地址与AP建立CAPWAP隧道。[AC-wlan-view]apauth-mode{mac-auth|no-auth|sn-auth}默认情况下，设备将采用MAC认证方式。[AC-wlan-view]ap-groupname

group-name通过将需要相同配置的AP加入同一AP组，可以实现AP批量配置，提升配置效率。7.4

WLAN基本配置1.配置CAPWAP源接口或源IP地址2.配置AP上线的认证方式3.创建AP组[AC-wlan-view]ap-id

ap-id[ap-macap-mac|ap-sn

ap-sn][AC-wlan-ap-0]ap-name

ap-name[AC-wlan-ap-0]ap-groupgroup-name配置AP的ID、MAC地址或序列号，进入ap-id视图。在ap-id视图配置AP名。在ap-id视图将AP加入AP组。7.4

WLAN基本配置4.离线导入AP[AC-wlan-view]regulatory-domain-profilename

profile-name[AC-wlan-regulate-domain-name]country-code

country-code创建域管理模板，默认情况下，系统中存在一个名为default的域管理模板。默认情况下，华为设备的国家码标识为CN。所以在中国区域部署华为AP，可以不用配置国家码。[AC-wlan-view]security-profilename

profile-name[AC-wlan-sec-prof-name]security

authentication-policy

authentication-mode

pass-phrase

password

encryption-algorithm创建安全模板，默认情况下，系统中存在一个名为default的安全模板。security命令行配置认证策略、认证方式、认证口令、加密方式的组合。authentication-policy包含open、wapi、wep、wpa、wpa2、wpa3，也可以是它们的组合。authentication-mode包含psk、dot1x。encryption-algorithm包含AES、TKIP以及它们的组合等。7.4

WLAN基本配置5.配置域管理模板6.配置安全模板[AC-wlan-view]ssid-profilename

profile-name[AC-wlan-ssid-prof-name]ssid

ssid-name创建SSID模板，默认情况下，系统中存在一个名为default的SSID模板。[AC-wlan-view]vap-profilename

profile-name[AC-wlan-vap-prof-name]forward-mode

{direct-forward|tunnel}[AC-wlan-vap-prof-name]service-vlan{vlan-pool

pool-name|vlan-id}创建VAP模板，默认情况下，系统中存在一个名为default的VAP模板。默认情况下，VAP下转发方式为直接转发。如果业务VLAN绑定VLAN池，需要提前在系统视图下通过vlan-poolpool-name命令行创建VLAN池。7.4

WLAN基本配置7.配置SSID模板8.配置VAP模板[AC-wlan-view]ap-groupname

group-name[AC-wlan-ap-group-name]vap-profileprofile-name

wlan

wlan-idradioradi