網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù) 課件 第11章-組建無線局域網(wǎng)( 華三版-02 )

第11章組建無線局域網(wǎng)編著：

秦燊勞翠金

無線局域網(wǎng)（WLAN）是指以無線信道作為傳輸媒介的局域網(wǎng)絡(luò)。無線局域網(wǎng)WLAN的傳輸介質(zhì)包括紅外線、無線電波等，紅外技術(shù)已逐漸被藍牙技術(shù)（IEEE802.15）取代。藍牙工作在2.4GHz頻段，傳輸速率最高1Mb/s，傳輸距離最大10米，用于個人操作空間，藍牙技術(shù)與IEEE802.11協(xié)議互相補充。無線局域網(wǎng)基于IEEE802.11協(xié)議簇工作。IEEE802.11協(xié)議簇包括802.11a、802.11b、802.11g、802.11n（Wi-Fi4）、802.11ac（Wi-Fi5）和802.11ax（Wi-Fi6）等多個標準。其中，2019年推出的802.11ax工作頻率為2.4GHz或5GHz，寬帶速率可達600~9608Mb/s。11.1無線局域網(wǎng)基礎(chǔ)

常見的WLAN組網(wǎng)設(shè)備如下：

1.無線工作站（STA），指連接到無線網(wǎng)絡(luò)的計算機或智能終端。如PC、平板電腦、智能手機、無線打印機等。

2.無線接入點（AP），指為無線工作站連接到無線網(wǎng)絡(luò)提供接入服務(wù)的無線網(wǎng)絡(luò)設(shè)備。分為胖AP（FATAP）和瘦AP（FITAP）。胖AP適用于規(guī)模較小的環(huán)境，每臺胖AP需要單獨配置，胖AP除了具有基本的射頻信號接入功能外，還具有IP地址分配、安全管理等網(wǎng)絡(luò)管理功能；瘦AP適用于規(guī)模較大的環(huán)境，僅對外提供射頻信號接入功能，各瘦AP無法單獨配置，而是集中由一臺專門的設(shè)備統(tǒng)一配置，減輕大規(guī)模環(huán)境下管理員的工作負擔，提高工作效率。11.1.1常見的WLAN組網(wǎng)設(shè)備3.無線接入控制器（AccessController，AC），指用于集中控制管理瘦AP的網(wǎng)絡(luò)設(shè)備。采用瘦AP組網(wǎng)時，由AC承擔對AP的管理任務(wù)、向瘦AP下發(fā)配置，提供IP地址分配、DHCP服務(wù)等網(wǎng)絡(luò)管理功能。網(wǎng)絡(luò)管理員一般只需關(guān)注AC，無需逐一對AP進行配置，減少了工作量，增強了WLAN的擴展性。4.天線，由發(fā)送端天線和接收端天線組成。發(fā)送端發(fā)射的射頻信號通過饋線輸送到發(fā)送端天線，由天線以電磁波的形式輻射出去；接收端天線接收到電磁波后，再通過饋線輸送到接收端。兩個無線設(shè)備相距較遠時，可借助天線提升射頻信號強度。11.1.2無線局域網(wǎng)安全

如果無線接入點沒有開啟安全設(shè)置功能，那么周邊的移動終端都可以查看到它的SSID（服務(wù)集標識符）值，無須密碼直接接入，造成安全隱患，因此為WLAN開啟安全設(shè)置是很重要的。WLAN安全設(shè)置包括禁用SSID廣播、數(shù)據(jù)加密等。

1.SSID代表了一個無線局域網(wǎng)，只有連接到相同SSID值的終端才能直接通信。禁用SSID廣播可以避免無線網(wǎng)絡(luò)的SSID顯示在用戶無線網(wǎng)卡發(fā)現(xiàn)的SSID列表中，減少受到攻擊的概率。另外，由于無線路由器或無線AP都有默認SSID值，為避免攻擊者嘗試使用默認SSID連接無線網(wǎng)絡(luò)，啟用WLAN時建議修改SSID值。

2.為避免非法用戶入侵和竊聽，需要開啟加密、認證等功能。無線網(wǎng)絡(luò)的數(shù)據(jù)加密技術(shù)有WEP（有線等效保密）、WPA、WPA2、WPA3等。WEP是802.11系列標準定義的鏈路層加密協(xié)議，協(xié)議核心是李斯特加密（RivestCipher4，RC4）算法，算法采用靜態(tài)共享密鑰（PSK），稱為靜態(tài)WEP。由于靜態(tài)WEP安全性較低，有些廠商結(jié)合802.1X技術(shù)，推出了動態(tài)WEP標準。

3.為克服靜態(tài)WEP的弱點，Wi-Fi聯(lián)盟也于2003年推出了WPA（Wi-Fi保護接入）標準，該標準在WEP的基礎(chǔ)上提出了TKIP（臨時密鑰完整性協(xié)議）加密方式。TKIP保留了WEP的基本架構(gòu)，仍使用RC4的流加密機制，但增加了初始向量的長度、不再采用所有用戶共用密鑰而改用動態(tài)密鑰機制為每個用戶生成獨立密鑰、采用MIC（信息完整性校驗）機制通過完整性校驗保護源地址、為每個幀分配序列號防范重放攻擊等。

4.隨著2004年IEEE推出802.11i標準，Wi-Fi聯(lián)盟也以此為基準修訂WPA，推出了WPA2。WPA2采用802.11i定義的默認加密方式CCMP（計數(shù)器模式密碼塊鏈信息認證協(xié)議），CCMP使用AES（高級加密標準）作為加密算法，該算法彌補了RC4的缺陷，安全性更高。但AES對硬件要求較高，無法通過軟件升級舊設(shè)備或舊網(wǎng)卡的方式支持CCMP。

5.為了滿足兼容性，目前WPA和WPA2都支持802.1X和PSK認證，也都支持TKIP和CCMP加密算法。WPA和WPA2的不同主要表現(xiàn)在協(xié)議報文格式上的不同。WPA和WPA2分為個人版和企業(yè)版。個人版在AP和STA間采用預共享密鑰（PSK）的方式進行認證；企業(yè)版采用專門的認證服務(wù)器通過802.1X等方式進行認證。

6.2018年1月，Wi-Fi聯(lián)盟在WPA2的基礎(chǔ)上發(fā)布了新一代的WPA3，WPA3個人版采用SAE（對等實體同時驗證）協(xié)議取代了WPA/WPA2的PSK認證方式，可有效抵御離線字典攻擊和增加暴力破解的難度。WPA3個人版采用向前保密，使攻擊者就算有密碼也無法解密截獲的數(shù)據(jù)。WPA3企業(yè)版沒有從根本上改變原有協(xié)議，主要從數(shù)據(jù)保護、流量保護和管理幀保護等方面進行了提升。11.1.3CAPWAP隧道一、AC與AP間隧道的建立在瘦AP+AC的組網(wǎng)模式中，全網(wǎng)的AP由AC統(tǒng)一管理，AC承擔了AP配置、用戶接入認證等管理功能，AC與AP之間采用稱為CAPWAP的通信協(xié)議建立隧道。CAPWAP隧道包括控制通道和數(shù)據(jù)通道兩種，分別使用UDP的5246端口和5247端口。CAPWAP隧道的建立過程如下：1.AP獲取地址。通過配置DHCP服務(wù)（可在AC或核心交換機等設(shè)備上配置），為AP分配IP地址。2.AP發(fā)現(xiàn)AC。AP可以通過DHCP服務(wù)的Option43字段或通過DNS解析獲取AC的IP地址。獲取到AC的地址后，AP發(fā)送DiscoveryRequest報文嘗試關(guān)聯(lián)AC（三層網(wǎng)絡(luò)通過單播、二層網(wǎng)絡(luò)通過廣播），AC收到請求后返回攜帶有AC優(yōu)先級和當前已關(guān)聯(lián)AP數(shù)量等信息的DiscoveryResponse給AP，由AP決定與哪個AC建立連接。3.建立DTLS連接。DTLS（DatagramTransportLevelSecurity，數(shù)據(jù)報安全傳輸協(xié)議）是UDP版本的TLS，用于防數(shù)據(jù)被竊聽、篡改、身份冒充等。AC在DiscoveryResponse中會指示是否采用DTLS加密CAPWAP隧道中的UDP報文。

4.AP加入AC。AP發(fā)送JoinRequest報文請求加入AC并建立控制通道，AC發(fā)送JoinResponse響應(yīng)。

5.AP版本升級。AP根據(jù)JoinResponse攜帶的版本要求判斷自身版本是否符合，若不符合則向AC申請下發(fā)新版本。

6.AP配置下發(fā)。AP版本達到要求后，向AC發(fā)送ConfigurationStatusRequest（配置狀態(tài)請求）報文，請求報文攜帶了AP現(xiàn)有的配置，若AC發(fā)現(xiàn)AP的配置不符合要求，則發(fā)送ConfigurationStatusResponse報文通知AP同步配置。

7.AP配置確認。AP配置完成后，向AC發(fā)送ChangeStateEventRequest（配置確認請求）報文，其中包含射頻、錯誤碼、配置信息等。AC回復ChangeStateEventResponse（配置確認響應(yīng)）。

8.AP運行。配置確認后，意味著CAPWAP的控制通道已成功建立，AP進入運行狀態(tài)，可以開始轉(zhuǎn)發(fā)數(shù)據(jù)了。AP運行后會定期向AC發(fā)送EchoRequest（控制通道?；睿﹫笪?，AC回應(yīng)EchoResponse（控制通道響應(yīng)）表示控制通道正常；另外，AP還定期向AC發(fā)送Keepalive（數(shù)據(jù)通道?；睿﹫笪?，AC回應(yīng)Keepalive報文表示數(shù)據(jù)通道正常。

二、CAPWAP數(shù)據(jù)的傳輸

CAPWAP隧道承載的數(shù)據(jù)包括管理報文和業(yè)務(wù)報文。其中，管理報文必須封裝在CAPWAP控制通道中，在AP和AC間傳輸；業(yè)務(wù)報文則可選擇不經(jīng)過CAPWAP封裝直接由AP轉(zhuǎn)發(fā)到上行網(wǎng)絡(luò)（稱為直接轉(zhuǎn)發(fā)或本地轉(zhuǎn)發(fā)），也可選擇先由AP封裝到CAPWAP數(shù)據(jù)通道中傳輸給AC，再由AC進一步轉(zhuǎn)發(fā)（稱為隧道轉(zhuǎn)發(fā)或集中轉(zhuǎn)發(fā)）。

1.以管理報文從AC發(fā)往AP為例分析管理報文的傳輸。管理載荷在AC上會先封裝CAPWAP頭部，再封裝UDP/IP頭部，再封裝802.3以太網(wǎng)頭部，最后封裝上管理VLANID頭部形成管理報文。封裝好后的管理報文途經(jīng)交換機轉(zhuǎn)發(fā)給AP。交換機在與AP相連的端口上一般要將PVID設(shè)置為管理VLANID，這樣交換機就會先去掉PVID（即管理VLANID），再將管理報文轉(zhuǎn)交給AP。之所以要這樣處理，是因為AP一般只將不帶VLAN標記的報文識別為管理報文。AP識別出管理報文后，依次去掉報文的802.3頭部、UDP/IP頭部和CAPWAP頭部，再對剩下的管理載荷進行處理。

2.再以業(yè)務(wù)報文從無線終端發(fā)往AP為例，分析業(yè)務(wù)報文的直接轉(zhuǎn)發(fā)模式和隧道轉(zhuǎn)發(fā)模式。在直接轉(zhuǎn)發(fā)模式下，無線工作站的無線網(wǎng)卡將業(yè)務(wù)數(shù)據(jù)封裝上無線的802.11頭部，通過無線信道發(fā)送到AP，AP收到的業(yè)務(wù)報文后，去除無線的802.11頭部，封裝上有線以太網(wǎng)的802.3頭部，然后直接將其通過上行交換機轉(zhuǎn)發(fā)到上行網(wǎng)絡(luò)，無需經(jīng)過AC集中處理，適用于中小規(guī)模的WLAN；隧道模式下，業(yè)務(wù)報文在AP上進行CAPWAP封裝后經(jīng)CAPWAP數(shù)據(jù)通道傳到AC，由AC將其解封裝后轉(zhuǎn)發(fā)到上行網(wǎng)絡(luò)，有利于數(shù)據(jù)傳輸?shù)陌踩?、有利于AC對數(shù)據(jù)的集中控制和管理，適用于在現(xiàn)網(wǎng)中新增設(shè)備、減少對現(xiàn)網(wǎng)的改動。11.2.2華為無線設(shè)備的配置

如圖11-15所示，搭建拓撲，完成華為無線設(shè)備的配置。其中，AC采用設(shè)備AC6005，AP采用設(shè)備AP6050。規(guī)劃VLAN100為業(yè)務(wù)VLAN、VLAN101為管理VLAN。

圖11-15華為無線設(shè)備配置的拓撲11.2無線設(shè)備的配置

1.將AC與AP鏈接的端口配置為trunk類型、端口PVID為管理VLAN101。命令如下：[AC6005]vlanbatch100101//創(chuàng)建VLAN100和101[AC6005]interfaceGigabitEthernet0/0/1[AC6005-GigabitEthernet0/0/1]portlink-typetrunk[AC6005-GigabitEthernet0/0/1]porttrunkallow-passvlanall[AC6005-GigabitEthernet0/0/1]quit[AC6005]interfaceGigabitEthernet0/0/2[AC6005-GigabitEthernet0/0/2]portlink-typetrunk//設(shè)置端口配置為trunk類型[AC6005-GigabitEthernet0/0/2]porttrunkpvidvlan101//修改PVID為管理VLAN101[AC6005-GigabitEthernet0/0/2]porttrunkallow-passvlanall

2.配置VLANIF接口DHCP功能，PC的地址通過VLAN100使用全局地址池自動獲??；AP的地址通過管理VLAN101使用接口地址池自動獲取。命令如下:[AC6005]ippoolpoolAC//創(chuàng)建全局地址池poolAC[AC6005-ip-pool-poolAC]network192.168.100.0mask24[AC6005-ip-pool-poolAC]gateway-list192.168.100.1[AC6005-ip-pool-poolAC]dns-list192.168.100.1[AC6005-ip-pool-poolAC]excluded-ip-address192.168.100.2[AC6005-ip-pool-poolAC]quit[AC6005]dhcpenable[AC6005]interfaceVlanif100[AC6005-Vlanif100]ipaddress192.168.100.2255.255.255.0[AC6005-Vlanif100]dhcpselectglobal//配置PC通過全局地址池獲取IP地址[AC6005-Vlanif100]quit[AC6005]interfaceVlanif101[AC6005-Vlanif101]ipaddress192.168.101.124[AC6005-Vlanif101]dhcpselectinterface//配置AP通過接口地址池自動獲取IP地址

3.創(chuàng)建AP組,命令如下：[AC6005]capwapsourceinterfaceVlanif101//配置AC管理AP的源接口[AC6005]wlan[AC6005-wlan-view]ap-groupnameap01//創(chuàng)建AP組ap01[AC6005-wlan-ap-group-ap01]quit[AC6005-wlan-view]regulatory-domain-profilenameregDomainProf//創(chuàng)建監(jiān)管域模板[AC6005-wlan-regulate-domain-regDomainProf]country-codeCN[AC6005-wlan-regulate-domain-regDomainProf]quit[AC6005-wlan-view]ap-groupnameap01//進入AP組ap01[AC6005-wlan-ap-group-ap01]regulatory-domain-profileregDomainProf//綁定監(jiān)管域模板Warning:Modifyingthecountrycodewillclearchannel,powerandantennagainconfigurationsoftheradioandresettheAP.Continue?[Y/N]:y//選擇Y[AC6005-wlan-ap-group-ap01]quit[AC6005-wlan-view]quit

4.將AP綁定到AP組中,命令如下：[AC6005]wlan[AC6005-wlan-view]apauth-modemac-auth//配置認證模式為mac認證，這是缺省值[AC6005-wlan-view]ap-id0ap-mac00E0-FC82-1E90//指定接受管理的AP的MAC

如圖11-16所示，AP1的MAC地址是00E0-FC82-1E90。[AC6005-wlan-ap-0]ap-namearea_1[AC6005-wlan-ap-0]ap-groupap01//將該AP綁定到AP組ap01中Warning:ThisoperationmaycauseAPreset.Ifthecountrycodechanges,itwillclearchannel,powerandantennagainconfigurationsoftheradio,Whethertocontinue?[Y/N]:y[AC6005-wlan-ap-0]return圖11-16查看AP1的MAC地址

5.將AP上電，執(zhí)行命令displayapall，如果查看到AP的“State”字段為“nor”，表示AP正常上線。命令如下：<AC6005>displayapall-----------------------------------------------------------------------------------------------------------------------IDMACNameGroupIPTypeStateSTAUptime-----------------------------------------------------------------------------------------------------------------------000e0-fc82-1e90area_1ap01192.168.101.200AP6050DNnor02M:14S-----------------------------------------------------------------------------------------------------------------------Total:1

6.配置WLAN的業(yè)務(wù)參數(shù),方法如下：

（1）創(chuàng)建SSID模板，命令如下：[AC6005]wlan[AC6005-wlan-view]ssid-profilenamessidProf//創(chuàng)建SSID模板ssidProf[AC6005-wlan-ssid-prof-ssidProf]ssidhuawei//配置SSID名稱為“huawei”

（2）配置安全模板(可選)，命令如下：[AC6005-wlan-view]security-profilenamesecProf//創(chuàng)建安全模板secProf[AC6005-wlan-sec-prof-secProf]securitywpa2pskpass-phrasehuawei@123aes//認證類型采用wpa2，密碼設(shè)為huawei@123，加密算法采用aes

（3）創(chuàng)建VAP模板，配置業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)模式、業(yè)務(wù)VLAN，并引用SSID模板和安全模板，命令如下：[AC6005-wlan-view]vap-profilenamevapProf//創(chuàng)建VAP模板[AC6005-wlan-vap-prof-vapProf]forward-modetunnel//轉(zhuǎn)發(fā)模式設(shè)置為隧道模式[AC6005-wlan-