H3C无线产品特性与应用部署

H3C无线产品特性与应用部署 ISSUE 2.0 日期： 杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播 引入 n 近年来，整个世界逐渐走向移动化。无线网络以其施 工简单、接入方便逐渐被人们所喜爱。目前，越来越 多的 WLAN产品正走入我们的生活。本文就主要讲解 WLAN产品的主要特性和常见应用部署方式。 课程目标 学习完本课程，您应该能够： n 掌握 Fat AP系列产品与典型配置 n 掌握 Fat AP主要特性 n 掌握无线交换机 +Fit AP工作原理 n 掌握无线交换机 +Fit AP应用部署方式 n 掌握无线交换机 +Fit AP主要特性 n 掌握无线交换机产 品与典型配置 无线应用 网络管理软件 无线 IDS 无线定位 无线客户端 WiFi语音 无线控制器系列 WX5002 WX6103 S7500E/9500插卡 S7500 插卡 WX3024 FAT AP/网桥 FAT AP FIT/FAT AP WA1208E-G WA1208E-AG/DG/GP/AGP WA2210-AG WA2220-AG WA2220E-AG WA2210X-G WA2220X-AG WA2110-AG WA2600 11n AP MESH AP /网桥 WH2520 WB2320 目录 n Fat AP产品介绍与典型配置 n Fat AP主要特性 n 无线交换机工作原理 n 无线交换机应用部署方式 n 无线交换机主要特性 n 无线交换机产品介绍 n 无线交换机的典型组网与配置 5 WA2200系列产品 l WA2200产品主要分为三个系列： WA2200室内型（ WA2200系列） WA2200复杂型（ WA2200E系列） WA2200室外型（ WA2200X系列） WA2200室内型 WA2200复杂型 WA2200室外型 6 WA2200室内型产品 产品型号 WA2210-AG WA2220-AG 模式 Fit/Fat双模 AP Fit/Fat双模 AP 射频特性 单射频，可通过软件配置 成 11a或 11b/g 双射频，同时支持 11a或 11b/g 最大射频功率 100mW 100mW 备注 室内型产品 室内型产品 7 8 WA2200室外型产品 产品型号 WA2210X-G WA2220X-AG WA2220X-AGP 模式 Fit/Fat双模 AP Fit/Fat双模 AP Fit/Fat双模 AP 射频特性 单射频，只支持 11b/g 双射频，同时支持 11a或 11b/g 双射频，同时支持 11a或 11b/g 最大射频功率 100mW 100mW 11g射频功率最 大 500mW 备注 室外型产品，支持光口， 网口防雷 室外型产品，支持光口， 网口防雷 室外型产品，支持光口， 网口防雷 9 WA2220E的三个端口 WA1208E系列产品 产品型号 WA1208E-G WA1208E-GP WA1208E-DG WA1208E-AG WA1208E-AGP 模式 Fit/Fat双模 AP Fit/Fat双模 AP Fit/Fat双模 AP Fit/Fat双模 AP Fit/Fat双模 AP 射频特性 单射频，只支持 11b/g 单射频，只支持 11b/g 双射频，只支持 11b/g 双射频，同时支持 11a或 11b/g 双射频，同时支持 11a或 11b/g 最大射频功率 100mW 500mW 100mW 100mW 11g射频功率最大 500mW 11a射频功率最大 100mW 10 Fat AP的典型应用与配置 trunk 交换机 Fat AP(V5) l 实例： 无线客户端 Fat AP上配置两个 vlan： vlan 1000和 vlan 256 vlan 1000为管理 vlan； vlan 256为业务 vlan，所有的 无线客户端都属于 vlan 256 Fat AP的管理 IP地址为 0/24，网关为 54 服务集标识 SSID为 H3C-wireless，无认证无加密 11 配置步骤（ 1） 步骤一：创建业务 vlan（ vlan256）和管理 vlan（ vlan 1000），并配置管理 IP地址 H3C vlan 256 H3C-vlan256 quit H3C vlan 1000 H3C-vlan1000 quit H3C interface vlan 1000 H3C-Vlan-interface1000 ip address 0 H3C-Vlan-interface1000 quit 步骤二：将上行以太网口配置为 Trunk类型 H3C interface Ethernet 1/0/1 H3C-Ethernet1/0/1 port link-type trunk H3C-Ethernet1/0/1 port trunk permit vlan all 步骤三：创建无线接口 H3C interface WLAN-BSS 1 H3C-WLAN-BSS1 port access vlan 256 12 配置步骤（ 2） 步骤四：创建无线服务模板（ SSID名称为 H3C-wireless） H3C wlan service-template 1 clear H3C-wlan-st-1 authentication-method open-system H3C-wlan-st-1 ssid H3C-wireless H3C-wlan-st-1 service-template enable 步骤五：在 11g射频卡上绑定无线服务模板和无线接口，配置信道为 11、功率为 15dBm H3C interface WLAN-Radio 1/0/1 H3C-WLAN-Radio1/0/1 service-template 1 interface WLAN-BSS 1 H3C-WLAN-Radio1/0/1 radio-type 11g H3C-WLAN-Radio1/0/1 channel 11 H3C-WLAN-Radio1/0/1 max-power 15 注：默认情况下，功率为 20dBm（即 100mW）；信道为自动调整。 步骤六：配置默认路由 H3C ip route-static 0 54 13 目录 n Fat AP产品介绍与典型配置 n Fat AP主要特性 n 无线交换机工作原理 n 无线交换机应用部署方式 n 无线交换机主要特性 n 无线交换机产品介绍 n 无线交换机的典型组网与配置 Fat AP的主要特性 l 无线漫游 l 无线访问控制 l WDS功能 l 射频管理 l 认证方式 l 加密方式 15 Fat AP的 WDS功能 l WDS 是 Fat AP的一个特殊功能，通过此功能可以实现 AP与 AP之间 的无线通信。 l 802.11协议对 WDS的具体实现没作规定，这为各厂商 WDS的实现带 来了灵活的余地，但各厂商产品之间的互通基本没有可能性。 L2交换机 I P网络 Radius Server AP WDS 无线客户端 WDS AP 无线客户端 16 WDS功能的典型应用与配置方式 l WDS 功能的两种配置方式 方式 MAC方式 企业分支网络 1 企业总部网络 Fat AP-2 Fat AP-1 企业分支网络 2 Fat AP-3 17 AP 上行链路完整性检测功能 Radius Server IP L2交换机 trunk l FAT AP支持上行链路的检测功能，并且根 据上行链路的状态确定是否提供 WLAN接入 服务 WLAN uplink-interface Ethernet 1/0/1 信号消失 无线客户端 18 IP trunk AP Fat AP的无线访问控制功能 Radius Server l 二层隔离功能 l2fw wlan-client-isolation enable L2交换机 l 黑白名单功能 static-blacklist mac-address mac-add whitelist mac-address mac-add l ACL和防火墙功能 无线客户端 无线客户端 19 Fat AP的射频管理功能 l 信道 自动选择： Fat AP 上电后会扫描一次周围的射频环境，通过比较 自动选择干扰小，噪音低的信道为当前工作信道。 手动设置：可以手动设定 Fat AP当前工作信道。 l 功率 Fat AP功率只能通过手动设置。 默认情况下， Fat AP以最大功率启动。 20 Fat AP的认证加密方式 l MAC地址认证 MAC地址认证是相当常见的做法，几乎所有产品均有支持。网管人员可以键入一组经过授权 的终端 MAC地址，只有表上有其 MAC地址的终端才可以跟网络连接。 l PSK（ Pre-shared key）认证 PSK认证要求在 STA侧预先配置 Key， AP通过 4次握手 Key协商协议来验证 STA侧 Key的合法 性。 l 802.1x认证 802.1x认证是基于端口的网络接入控制协议 , 它提供了一个认证过程框架，支持多种认证协 议。在 802.1x中，不同的认证协议统一使用 EAP封装格式。 l WEP（ Wired Equivalent Privacy）加密方式 WEP 密钥采用 RC4算法。 WEP 标准采用 64位比特或 128位比特加密。 l WPA（ Wi-Fi Protected Access）安全架构 IEEE为了改进 WEP加密机制的各种缺陷制定了 IEEE 802.11i安全标准 。 标准采用了 IEEE802.11i的草案，保证了与未来出现的协议的前向兼容。 WPA采用 TKIP和 CCMP加密算 法。 l WPA2安全架构（又称为 RSN （ Robust Security Network） WPA2采用 CCMP（即 AES， advanced encryption standard）加密算法。 21 目录 n Fat AP产品介绍与典型配置 n Fat AP主要特性 n 无线交换机工作原理 n 无线交换机应用部署方式 n 无线交换机主要特性 n 无线交换机产品介绍 n 无线交换机的典型组网与配置 无线交换机的工作原理 l 无线交换机 +Fit AP的连接方式 l 无线交换机 +Fit AP系统构成特点 l Fit AP零配置启动注册过程 l无线交换机 +Fi AP的数据转发原理 23 无线交换机 +Fit AP的连接方式 无线交换机 无线交换机 L2网络 无线交换机 L3网络 Fit AP Fit AP Fit AP Fit AP Fit AP Fit AP 直连方式 二层网络连接方式 三层网络连接方式 24 无线交换机 +Fit AP系统构成特点 l 主要由无线交换机和 Fit AP在有线网的基础上构成的。 l AP零配置，硬件主要由 CPU内存 RF构成，配置和软件都要从无 线交换机上下载。所有 AP和无线客户端的管理都在无线交换机上完 成。 l AP和无线交换机之间的流量被私有协议加密；无线客户端的 MAC只 出现在无线交换机端口，而不会出现在 AP的端口。 l 可以在任何现有的二层或三层 LAN 拓扑上部署 H3C的通用无线解决 方案，而无需重新配置主干或硬件。无线交换机以及管理型接入点 AP可以位于网络中的任何位置。 在复杂的网络中， Fit AP如何得知无线交换机的位置？ 25 4. 5. AP直连或通过二层网络连接时的注册流程 AP与无线交换机直连或通过二层网络连接： AP DHCP Server 无线交换机 1. AP通过 DHCP server获取 IP地址 2. AP发出二层广播的发现请求报文试图联 系一个无线交换机 3. 接收到发现请求报文的无线交换机会检 查该 AP是否有接入本机的权限，如果有 则回应发现响应 AP从无线交换机下载最新软件版本、 配置 AP开始正常工作和无线交换机交换用 户数据报文 1、获取 IP地址 2、发送二层广播发现请求 3、无线交换机发现响应 4、版本、配置下载 5、用户数据传递 26 AP通过三层网络连接时的注册流程 _option 43方式 AP与无线交换机通过三层网络连接： 1. AP通过 DHCP server获取 IP地址、 AP DHCP Server 无线交换机 option 43属性 (携带无线交换机的 IP 地址信息 ) 1、获取 IP地址、 option 43属性 2. AP会从 option 43属性中获取无线交换 机的 IP地址，然后向无线控制器发送 单播发现请求。 3. 接收到发现请求报文的无线交换机会 检查该 AP是否有接入本机的权限，如 果有则回应发现响应。 4. AP从无线交换机下载最新软件版本、 配置 5. AP开始正常工作和无线交换机交换用 户数据报文 2、无线交换机发现请求 3、无线交换机发现响应 4、版本、配置下载 5、用户数据传递 27 Option 43属性配置举例 l H3C设备内置 DHCP Server l Option 43选项说明 80：选项类型，固定为 80， 1个字节。 0B: 选项长度，表示其后内容的长度 （十六进制数的个数，这里表示后面有 11个十六进制数），一个字节。 0000: Server type ，固定配为 0000两 个字节。 02：后面 IP地址的个数，一个字节。 12010701,12010702：两个 AC的 IP地 址的十六进制表示 ，分别是 和 ，其中 为主 AC. l Microsoft DHCP Server 28 3. AP通过三层网络连接时的注册流程 _DNS方式 AP与无线交换机通过三层网络连接： 1. AP通过 DHCP server获取 IP地址、 DNS server AP DHCP Server DNS Server 无线交换机 地址、域名 2. AP发出二层广播的发现请求报文试图联系一 个无线交换机 AP在多次尝试发现请求无回应的情况下： AP会从 DNS server获取 H3C.xxxx.xxx的 IP地址，该 IP地址即为无线交换机的 IP 地址，其中 xxxx.xxx是从 DHCP server 学习到的域名。 1、获取 IP地址、 DNS Server地址、 域名 2、二层广播发现请求 长时间无响应 3、获取无线交换机的 IP地址 4、无线交换机发现请求 4. AP向无线控制器发送单播发现请求。 5、无线交换机发现响应 5. 接收到发现请求报文的无线交换机会检查该 AP 是否有接入本机的权限，如果有则回应发现响 应。 6. AP从无线交换机下载最新软件版本、配置 7. AP开始正常工作和无线交换机交换用户数据报文 6、版本、配置下载 7、用户数据传递 29 无线交换机的数据转发原理 核心交换机 隧道口 无线交换机 IP: 接入交换机 隧道口 隧道口 Server Fit AP STA VLAN 1 IP: Fit AP STA VLAN 2 IP: VLAN 1 IP: l 无线交换机和 AP间数据转发的核心思想 在无线交换机和 AP之间建立 IPinIP隧道，无线交换机将这些隧道看做虚拟物理端口； 无线客户端 STA的任何数据报文都将由 AP通过 IPinIP隧道交给无线交换机，由无线交换机统一转 发； 无线交换机从 IPinIP隧道接收到用户的数据后先解隧道封装，然后做数据交换，如果出接口为隧道 则对数据报文再次加上隧道封装，直到交换到最远端。 30 STAPC的数据转发 STA AP 无线交换机 L2交换机 PC 无线交换机 IP: VLAN 1 L2交换机 SA STA MAC DA PC MAC SIP DIP 加 IPinIP隧道封装 802.11报文 SA AP MAC DA AC MAC VLAN 1 AP IP: STA IP: VLAN 1 PC IP: VLAN VLAN 1 SIP DIP IPinIP隧道封装 SA STA MAC DA PC MAC SIP DIP 解 IPinIP隧道封装， 802.11-802.3转换 SA STA MAC DA PC MAC VLAN VLAN1 SIP DIP SA STA MAC DA PC MAC SIP DIP 31 STA2-STA1的数据转发 STA2 AP2 无线交换机 AP1 STA1 无线交换机 IP: L3交换机 SA STA2 MAC DA STA1 MAC SIP DIP 加 IPinIP隧道封装 802.11报文 SIP DIP IPinIP隧道封装 SA STA2 MAC DA STA1 MAC AP1 IP: STA1 VLAN1 IP: AP2 IP: STA2 VLAN1 IP: SIP DIP 解 IPinIP隧道封装， 802.11-802.3转换 802.3-802.11转换，加 IPinIP隧道封装 SIP DIP IPinIP隧道封装 SA STA2 MAC DA STA1 MAC SIP DIP 解 IPinIP隧道封装 SA STA2 MAC DA STA1 MAC SIP DIP 32 目录 n Fat AP产品介绍与典型配置 n Fat AP主要特性 n 无线交换机工作原理 n 无线交换机应用部署方式 n 无线交换机主要特性 n 无线交换机产品介绍 n 无线交换机的典型组网与配置 无线交换机的应用部署方式 l无线交换机 +Fi AP集中式企业内部部署方式 l 无线交换机 +Fit AP分布式企业内部部署方式 l 无线交换机 +Fit AP企业分支机构部署方式 34 无线交换机 +Fit AP集中式企业内部部署方式 无线接入点 PoE交换机 有线客户端 一层楼 汇聚交换机 无线交换机 无线客户端 PoE交换机 公司骨干 无线网管 二层楼 认证服务器 无线接入点 无线交换机 有线客户端 35 无线交换机 +Fit AP分布式企业内部部署方式 汇聚交换机 PoE交换机 无线交换机 无线接入点 汇聚交换机 无线网管 无线客户端 一层楼 有线客户端 公司骨干 汇聚交换机 无线接入点 PoE交换机 无线交换机 认证服务器 二层楼 有线客户端 36 无线交换机 +Fit AP企业分支机构部署方式 分支二 PoE交换机 分支出口路由器 路由器 无线交换机 无线接入点 无线网管 无线客户端 无线客户端 无线接入点 PoE交换机 有线客户端 有线客户端 分支出口路由器 分支一 PoE交换机 公司骨干 认证服务器 公司总部 无线接入点 有线客户端 37 目录 n Fat AP产品介绍与典型配置 n Fat AP主要特性 n 无线交换机工作原理 n 无线交换机应用部署方式 n 无线交换机主要特性 n 无线交换机产品介绍 n 无线交换机的典型组网与配置 无线交换机的主要特性 l 基于用户的授权 l 无线用户漫游 l 无线交换机端口聚合 和负荷分担 l Fit AP之间的负载均衡 l 无线交换机系统的冗余与可靠性 l 基于用户身份的安全 l ROGUE（欺诈）探测 39 无线交换机系统基于用户的授权 Radius Server DHCP Server 无线交换机 vlan 2 vlan 3 在 WLAN-ESS接口上使能 mac-vlan功能 port link-type hybrid port hybrid vlan 1 to 3 untagged mac-vlan enable 方式一、在无线交换机自身设置 User 2 IP trunk Fit AP User 3 mac-vlan mac-address 0000-0000-0002 vlan 2 mac-vlan mac-address 0000-0000-0003 vlan 3 方式二、通过 Radius Server授权 User 2 MAC： 0000-0000-0002 User 3 MAC： 0000-0000-0003 l 无线交换机可以通过自身设置或配合 Radius服务器对无线接入用户进行授权，如对用户下 发 VLAN属性，实现基于用户的授权。 40 无线交换机系统无线用户漫游 无线交换机 -1: vlan 1 Radius Server vlan 2 DHCP Server /24 无线交换机 -3: vlan 4 无线交换机 -2: vlan 1 vlan 3 trunk Layer 2 trunk 路由器 trunk /24(1) /24 /24(2) Fit AP User 1 /24(3) User 1 Fit AP l漫游：用户在移动时，保持它们的会话连接包括 I地址、所属 VLAN及所 连接的服务均不改变，用户感觉不到网络的变化。 l漫游域（ Mbiliy Domain）：漫游域是由多个无线交换机和 AP组成的支 持 wireless client漫游的无线网络系统。 41 无线交换机端口聚合和负荷分担 Fit AP 无线客户端 L3 Switch 无线交换机 端口聚合 PoE Switch Fit AP 无线客户端 l无线交换机支持端口聚合，端口聚合可以实现各端口之间负载分担和 动态备份。 42 Fit AP之间的负载均衡 无线交换机 client 6接入无线网络前，两个 AP的用户接入情况： AP1 Session: * client 1 * client 2 * client 3 * client 4 AP2 Session: Total: 0 AP1 AP2 * client 5 Total: 5 client 6接入无线网络后，两个 AP的用户接入情况： AP1 Session: AP2 Session: * client 1 * client 2 * client 3 * client 6 Total: 1 client 1 client 5 client 6 * client 4 * client 5 Total: 5 l 当不同的 AP覆盖同一区域时，可通过负载均衡控制不同 AP的接入用户数，以保证密集用 户区域的用户带宽性能。 l H3C FIT AP的负载均衡有两种方式，即用户数（ session）和流量（ traffic）。用户数负 载均衡阈值默认值为 20，最小为 5，最大为 40。流量负载均衡阈值默