wlan无线基础功能培训

锐捷WLAN基础功能培训部门/作者TAC/Amy修订记录2修订日期修订版本修订描述作者2016-10-26V1.0初稿拟制WLAN产品原理介绍WLAN产品实施及配置第3页基本概念介绍AC：无线网络控制器。在瘦AP架构的WLAN网络中扮演管理AP的角色。FitAP：无线访问接入点。在瘦AP架构的WLAN网络中提供接入服务，通常分布在无线网络服务区的多个地方，用于覆盖该服务区，提供无线服务FATAP：一种控制和管理无线客户端的无线设备。帧在客户端和LAN之间传输需要经过无线到有线以及有线到无线的转换，而FATAP在这个过程中起到了桥梁的作用STA：无线访问站点。带有无线网卡的终端。POE交换机：对AP进行供电第4页WLAN网络构架—FATAPFatAP：将WLAN的物理层、用户数据加密、用户认证、QoS、网络管理、漫游技术以及其他应用层的功能集于一身。FatAP无线网络解决方案可由FatAP直接在有线网的基础上构成。缺点：

对每AP都需要配置，难于集中管理无法对射频环境进行监控调整L2漫游，适合小规模组网第5页EthernetInternet802.3Frame802.11FrameWirelessnetworkFatAPFatAPFatAPWLAN网络构架—FITAPAC：无线控制器.在瘦AP架构中扮演对AP进行管理角色，可以实现：对所有AP进行管理/认证安全/报文转发/RRM/QOS/漫游集群….优点：集中管理：AC上配置好文件，AP本身零配置,管理简易

增加射频环境监控，基于用户位置安全策略，高安全性L2、L3漫游，适合大规模组网第6页EthernetInternet802.3FrameCAPWAP

Tunnel802.11FrameWirelessnetworkFitAPFitAPFitAPFITAP架构工作原理第7页FIPAP架构（集中式转发架构）部署及协议工作原理简介1.有线网络搭建（VLAN、DHCP、路由等）2.AP零配置启动，通过DHCP获取IP地址及网关IP，同时获取ACIP地址3.AP主动建立到达AC的CAPWAP隧道4.AP与AC建立隧道成功后，AC下发配置信息给AP5.AP获取配置后，广播SSID供STA关联并接入STA6.AP将STA发出的802.11数据转换为以太数据并通过CAPWAP隧道转发给AC7.AC将收到的数据解封装并进行转发至有线网络中8.有线网络返回数据到AC，AC将数据通过CAPWAP隧道转发至AP9.AP根据配置信息将以太数据转换为802.11数据，转发给STAFITAP架构工作原理第8页1.有线网络搭建（VLAN、DHCP、路由等）……POEPOEPOEtrunktrunktrunkVlan20APAPAP外部网络STASTADHCP服务器STA:VLAN10子网:/24AP:VLAN20子网:/24Vlan20Vlan20接入交换机上仅创建AP所属VLAN20三层网关交换机上配置APVLAN20及STAVLAN10，同时作为VLAN10和20的DHCP服务器将接入交换机下联口划入AP所属VLAN20interfacevlan10ipadd54interfacevlan20ipadd54servicedhcpipdhcppoolAP_address

option138ipnetworkdefault-router54ipdhcppoolSTA_addressnetworkdefault-router54trunk三层接口Lo0:/32AC上仅创建STAVLAN10iproute55iproute网关交换机上配置AClo0接口静态路由指向AC，AC配置静态默认路由指向网关交换机AC作为STA数据转发的必经之路，接入交换机上为什么没有创建STAVLAN？FITAP架构工作原理第9页2.AP零配置启动，通过DHCP获取IP地址及网关IP，同时获取ACIP地址……POEPOEPOEtrunktrunktrunkVlan20APAPAP外部网络STASTADHCP服务器Vlan20Vlan20trunk三层接口Lo0:/32ipdhcppoolAP_address

option138ipnetworkdefault-router54ipdhcppoolSTA_addressnetworkdefault-router54AP如同刚安装操作系统的PC一样，通过DHCP来获取IP地址信息IP:/24网关:54option138:DHCP报文交互ACFITAP架构工作原理第10页3.AP主动建立到达AC的CAPWAP隧道……POEPOEPOEtrunktrunktrunkVlan20APAPAP外部网络STASTADHCP服务器Vlan20Vlan20trunk三层接口Lo0:/32IP:/24网关:54option138:ACCAPWAP:ControlAndProvisioningofWirelessAccessPointProtoco,无线接入点控制与配置协议Src:Dst:udp头部CAPWAP请求Src:Dst:udp头部CAPWAP响应FITAP架构工作原理第11页4.AP与AC建立隧道成功后，AC下发配置信息给AP……POEPOEPOEtrunktrunktrunkVlan20APAPAP外部网络STASTADHCP服务器Vlan20Vlan20trunk三层接口Lo0:/32IP:/24网关:54option138:ACSSID、WLAN与VLAN的映射、WLAN的安全参数、Radio信道、功率等FITAP架构工作原理第12页5.AP获取配置后，广播SSID供STA关联并接入STA……POEPOEPOEtrunktrunktrunkVlan20APAPAP外部网络STASTADHCP服务器Vlan20Vlan20trunk三层接口Lo0:/32IP:/24网关:54option138:ACSTA扫描到该SSID，并可以加入该WLANFITAP架构工作原理第13页6.AP将STA发出的802.11数据转换为以太数据并通过CAPWAP隧道转发给AC……POEPOEPOEtrunktrunktrunkVlan20APAPAP外部网络STASTADHCP服务器Vlan20Vlan20trunk三层接口Lo0:/32IP:/24网关:54option138:AC802.11头部DHCP请求AP收到后将802.11数据转换为以太网数据，并根据AC下发的配置信息（SSID、WLAN与VLAN的对应关系）添加VLANTAG标记，并将处理后的数据封装在CAPWAP隧道中发送给AC以太头部（tag10）DHCP请求CAPWAP头部UDP头部Src:Dst:FITAP架构工作原理第14页7.AC将收到的数据解封装并进行转发至有线网络中……POEPOEPOEtrunktrunktrunkVlan20APAPAP外部网络STASTADHCP服务器Vlan20Vlan20trunk三层接口Lo0:/32IP:/24网关:54option138:AC以太头部（tag10）DHCP请求CAPWAP头部UDP头部Src:Dst:①AC将数据截封装还原为以太数据，学习产生STA的MAC地址表项（接口为CAPWAP接口），并根据VLAN10的MAC地址表项转发该以太数据②解封装之后的以太数据为广播报文因此将在VLAN10的接口内进行广播，因此将通过trunk接口转发到核心交换机。注：在瘦AP集中式转发架构下，AC与核心交换机（STA的网关交换机）之间必须存在一条二层通路以太头部（tag10）DHCP请求FITAP架构工作原理第15页8.有线网络返回数据到AC，AC将数据通过CAPWAP隧道转发至AP……POEPOEPOEtrunktrunktrunkVlan20APAPAP外部网络STASTADHCP服务器Vlan20Vlan20trunk三层接口Lo0:/32IP:/24网关:54option138:AC以太头部（tag10）DHCP响应①核心交换机收到该报文后，首先更新VLAN10的MAC地址表，再从地址池中分配一个IP地址，并返回DHCP响应（该报文目的MAC为STAMAC）从trunk接口转发出去②AC收到后，首先更新VLAN10的MAC地址表（网关交换机SVI10的MAC地址，输出接口为trunk接口），然后在VLAN10的MAC表中进行查找，目的MAC（STAMAC）是从某个CAPWAP接口学习到的，因此将从该CAPWAP接口转发给对应的AP以太头部（tag10）DHCP响应CAPWAP头部UDP头部Src:Dst:FITAP架构工作原理第16页9.AP根据配置信息将以太数据转换为802.11数据，转发给STA……POEPOEPOEtrunktrunktrunkVlan20APAPAP外部网络STASTADHCP服务器Vlan20Vlan20trunk三层接口Lo0:/32IP:/24网关:54option138:AC以太头部（tag10）DHCP响应CAPWAP头部UDP头部Src:Dst:802.11头部DHCP响应后续其他报文的转发过程（如ARP交互、访问外部网络数据交互等）遵循同样的过程，读者可根据本章所描述的9个过程自行分析其他报文转发过程。WLAN产品原理介绍WLAN产品实施及配置第17页WLAN产品实施及配置WLAN产品实施步骤（单核心\单AC）一、根据有线网络结构确定AC的部署位置及连接方式二、制作AP信息表,包括：AP位置、命名、型号、MAC地址、SSID、AP所属VLAN及网段、无线用户VLAN及网段、所连接POE交换机及端口等信息三、DHCP规划、路由规划四、WLAN设备配置AC的接口及路由配置AC、AP的软件升级AC上完成AP配置信息POE交换机对AP供电五、WLAN设备配置总结附1：胖AP配置附2：本地转发原理及配置第18页WLAN产品实施及配置一、根据有线网络结构确定AC的部署位置及连接方式规划单核心二层结构AC与核心之间双线互连第19页……POEAPAC外部网络…AP接入交换机核心交换机Trunk三层路由口转发CAPWAP数据转发不同VLAN的无线用户二层数据TrunkTrunkTrunk无线用户网关AP网关WLAN产品实施及配置一、根据有线网络结构确定AC的部署位置及连接方式规划单核心二层结构AC与核心之间单线互连第20页……POEAPAC外部网络…AP接入交换机核心交换机Trunk转发CAPWAP数据以及不同VLAN的无线用户二层数据三层SVI互联TrunkTrunkTrunk无线用户网关AP网关有线用户网关WLAN产品实施及配置一、根据有线网络结构确定AC的部署位置及连接方式规划单核心三层结构(无线用户网关和有线用户网关一致)核心与汇聚采用Trunk口互联，并透传无线用户VLAN无线用户的VLAN配置在汇聚交换机上第21页…POEAPACAP接入交换机核心交换机………POEAPAP……接入交换机汇聚交换机…汇聚交换机仅放通互联VLAN和无线用户VLANTrunkTrunk无线用户网关无线用户网关AP网关AP网关有线用户网关有线用户网关WLAN产品实施及配置一、根据有线网络结构确定AC的部署位置及连接方式规划单核心三层结构(无线用户网关和有线用户网关分离)核心与汇聚使用三层路由口互联所有无线用户的网关集中在一台汇聚设备上第22页…POEAPACAP接入交换机核心交换机………POEAPAP……接入交换机汇聚交换机…汇聚交换机汇聚交换机无线用户网关三层互联三层互联三层互联AP网关AP网关有线用户网关有线用户网关WLAN产品实施及配置一、根据有线网络结构确定AC的部署位置及连接方式规划单核心三层结构(无线用户网关和有线用户网关分离)核心与汇聚使用三层路由口互联所有无线用户的网关方式在核心上第23页…POEAPACAP接入交换机核心交换机………POEAPAP……接入交换机汇聚交换机…汇聚交换机无线用户网关三层互联三层互联AP网关AP网关有线用户网关有线用户网关WLAN产品实施及配置二、制作AP信息表,包括：AP位置、命名、型号、MAC地址、SSID、AP所属VLAN及网段、无线用户VLAN及网段、所连接POE交换机及端口等信息第24页WLAN产品实施及配置三、DHCP规划、路由规划AP网段和无线用户网段的DHCP服务器规划网关交换机作为DHCP服务器第25页……POEAPAC…AP接入交换机核心交换机DHCP服务器WLAN产品实施及配置三、DHCP规划、路由规划AP网段和无线用户网段的DHCP服务器规划额外规划一台服务器作为DHCP服务器第26页……POEAPAC…AP接入交换机核心交换机DHCP服务器开启DHCPRelayWLAN产品实施及配置三、DHCP规划、路由规划AP网段和无线用户网段的DHCP服务器规划DHCP配置,以网关交换机做DHCP服务器为例AP的地址池中需要定义Option138选项,内容为AC的Loopback0地址.注，STA的地址池配置略。第27页ipdhcppoolAP_addressoption138ipnetworkdefault-router54WLAN产品实施及配置三、DHCP规划、路由规划保证AP可以通过DHCP获取到的IP地址能够与AC的loopback0地址进行通讯单核心二层结构第28页……POEAPAC…AP接入交换机核心交换机静态路由:AClo0地址默认路由WLAN产品实施及配置三、DHCP规划、路由规划保证AP可以通过DHCP获取到的IP地址能够与AC的loopback0地址进行通讯单核心三层结构(核心汇聚之间配置静态路由方式)第29页…POEAPACAP接入交换机核心交换机………POEAPAP……接入交换机汇聚交换机…汇聚交换机静态路由:AClo0地址默认路由AP网关AP网关默认路由静态回指路由WLAN产品实施及配置三、DHCP规划、路由规划保证AP可以通过DHCP获取到的IP地址能够与AC的loopback0地址进行通讯单核心三层结构(核心汇聚之间配置动态路由协议)第30页…POEAPACAP接入交换机核心交换机………POEAPAP……接入交换机汇聚交换机…汇聚交换机静态路由:AClo0地址默认路由AP网关AP网关OSPF将AClo0地址的静态路由重发布进OSPF中WLAN产品实施及配置四、WLAN设备配置AC的接口及路由配置AC、AP的软件升级AC上完成AP配置信息1.定义WLAN2.定义WLAN的安全参数(可选)3.定义VLAN4.定义ap-group5.POE交换机对AP供电6.配置AP状态查看常用命令第31页WLAN产品实施及配置四、WLAN设备配置AC的接口及路由配置AC配置Loopback0地址注,DHCP服务器中定义的option138中的IP地址一定是AC的loopback0地址AC与交换机采用双线方式连接1.选择AC一个接口配置为三层路由口,对端交换机的接口也配置为三层路由口2.AC配置默认路由指向对端交换机,对端交换机配置静态路由(AC的lo0地址)指向AC3.选择AC另一个接口配置为trunk,对端交换机的接口也配置为trunkAC与交换机采用单线方式连接1.选择AC一个接口配置为trunk,对端交换机的端口也配置为trunk2.配置AC和对端交换机互联的三层SVI接口3.AC配置默认路由指向对端交换机,对端交换机配置静态路由(AC的lo0地址)指向AC第32页WLAN产品实施及配置四、WLAN设备配置AC、AP的软件升级AC软件版本升级:同交换机升级AP软件版本升级1.将AP软件版本通过TFTPCopy到AC的Flash中,并将其重命名为ap.bin2.在AC的ac-controller配置界面下完成如下配置第33页ac-controlleractive-bin-fileap.bin//激活AP软件ap-serialRG-AP220AP220-SEAP220-E//创建AP产品系列名称，指定该系列的具体型号,可定义多个型号

ap-imageap.binRG-AP220//指定上面定义的AP产品系列使用的软件版本自定义产品系列名称AP的具体型号,掉”RG-”字符串当AP关联上AC后,AP会自动下载上述配置中定义的版本并加载WLAN产品实施及配置四、WLAN设备配置AC上完成AP配置信息1.定义WLAN2.定义WLAN的安全参数(可选)3.定义VLAN4.定义ap-group5.配置AP6.状态查看常用命令第34页WLAN产品实施及配置四、WLAN设备配置AC上完成AP配置信息1.定义WLANWLAN:由STA组成的无线局域网.WLAN广播SSID以供STA接入不同的WLAN可以配置广播出相同的SSID,一个WLAN只能广播一个SSID第35页SSID-1SSID-1WLAN1SSID-2SSID-3WLAN3WLAN2WLAN产品实施及配置四、WLAN设备配置AC上完成AP配置信息1.定义WLAN第36页wlan-config100WLAN100Ruijieenable-broad-ssid//开启SSID广播功能noenable-broad-ssid//配置SSID隐藏WLANID号该WLAN对应的SSIDWLAN描述符（可选）WLAN产品实施及配置四、WLAN设备配置AC上完成AP配置信息2.定义WLAN的安全参数(可选)开放式系统认证(不需要进行配置)WEPWPA认证：PSK、802.1x加密：TKIP、AESRSN(WPA2)认证：PSK、802.1x加密：TKIP、AES第37页WLAN产品实施及配置四、WLAN设备配置AC上完成AP配置信息2.定义WLAN的安全参数(可选)WEP开放式认证和共享密钥加密共享密钥认证与加密第38页wlansec100securitystatic-wep-keyencryption40ascii112345securitystatic-wep-keyauthenticationopenwlansec100securitystatic-wep-keyencryption40ascii112345securitystatic-wep-keyauthenticationshare-keyWLAN产品实施及配置四、WLAN设备配置AC上完成AP配置信息2.定义WLAN的安全参数(可选)WPAPSK认证和AES加密第39页wlansec100securitywpaenablesecuritywpaciphersaesenablesecuritywpaakmpskenablesecuritywpaakmpskset-keyascii1234567890WLAN产品实施及配置四、WLAN设备配置AC上完成AP配置信息2.定义WLAN的安全参数(可选)RSN(WPA2)---推荐使用PSK认证和AES加密第40页wlansec100securityrsnenablesecurityrsnciphersaesenablesecurityrsnakmpskenablesecurityrsnakmpskset-keyascii1234567890WLAN产品实施及配置四、WLAN设备配置AC上完成AP配置信息3.定义VLAN在AC上定义无线用户所属的VLAN配置无线用户VLAN的SVI接口第41页vlan10//创建无线用户VLANinterfacevlan10//创建无线用户VLAN的三层SVI接口WLAN产品实施及配置四、WLAN设备配置AC上完成AP配置信息4.定义ap-group将无线用户所属的WLAN与VLAN进行关联映射一个group下面可以配置多个WLAN与VLAN的映射关系第42页ap-groupRuijie_Groupinterface-mapping10010radioradio-idap-group名称WLAN-IDVLAN-ID可选配置.映射关系所作用的raido编号.默认关联所有raido编号WLAN产品实施及配置四、WLAN设备配置AC上完成AP配置信息5.在POE交换机连接AP的接口上打开POE供电第43页interfaceFastEthernet0/1poeenableswitchportaccessvlan1000//AP所属VLANWLAN产品实施及配置四、WLAN设备配置AC上完成AP配置信息6.配置AP(AP关联AC之后配置)等待AP与AC建立CAPWAP隧道后，AP的信息会自动出现在AC的配置中如下所示,为一台RG-AP220-SE关联上AC之后,在AC配置中自动出现的信息进入AP配置界面,根据AP信息表,对该APName进行修改,并将该AP关联相应的ap-group第44页ap-config001a.a94a.82ddradio-type1802.11blocationlocationdefaultapname,默认是ap的mac地址该AP的raido工作的频段,默认为2.4GHz可进行修改802.11b代表2.4GHz频段802.11a代表5GHz频段WS5302-A(config)#ap-config001a.a94a.82ddWS5302-A(config-ap)#ap-nameAP_1WS5302-A(config-ap)#ap-groupRuijie_GroupWLAN产品实施及配置四、WLAN设备配置AC上完成AP配置信息6.配置AP(AP关联AC之后配置)调整AP的raido所处的频段及信道注,信道一般不需要手动调整,RRM功能会自动调整各AP的Radio所处的信道第45页WS5302-A(config)#ap-configAP_1YouaregoingtoconfigAP(AP220-E),whichisonlinenow.WS5302-A(config-ap)#radio-type1?802.11a802.11a.802.11b802.11b.WS5302-A(config-ap)#radio-type1802.11bWS5302-A(config-ap)#channel6?radioSettheradiotobeconfig.WS5302-A(config-ap)#channel6radio?<1-31>Radioid.WS5302-A(config-ap)#channel6radio1WLAN产品实施及配置四、WLAN设备配置AC上完成AP配置信息6.配置AP(AP关联AC之后配置)Showrun查看AP的配置信息第46页ap-configAP_1radio-type1802.11bchannel6radio1locationlocationdefaultap-groupRuijie_GroupWLAN产品实施及配置四、WLAN设备配置AC上完成AP配置信息6.配置AP(AP关联AC之前配置)根据AP信息表做好AP的配置模板，在AP关联AC之前，提前将AP配置copy到AC中,配置模板如下:当AP关联上AC后,AP的配置信息中的ap-name会自动进行替换,变为如下配置信息第47页ap-config001a.a94a.82ddradio-type1802.11bchannel6radio1ap-nameAP_1ap-groupRuijie_Groupap-configAP_1radio-type1802.11bchannel6radio1locationlocationdefaultap-groupRuijie_GroupWLAN产品实施及配置四、WLAN设备配置AC上完成AP配置信息完整的AC配置信息第48页vlan10vlan4000wlan-config100<NULL>Ruijieenable-broad-ssidap-groupRuijie_groupinterface-mapping10010ap-configAP_1radio-type1802.11bchannel6radio1locationlocationdefaultap-groupRuijie_Groupac-controllercountryCNactive-bin-fileap.binap-serialRG-AP220AP220-SEAP220-Eap-imageap.binRG-AP220interfaceGigabitEthernet0/1switchportmodetrunk!interfaceLoopback0ipaddress55!interfaceVLAN4000//与交换机之间的互联VLANipaddress52interfaceVLAN10!wlansec100gsnaddress-bindsecurityrsnenablesecurityrsnciphersaesenablesecurityrsnakmpskenablesecurityrsnakmpskset-keyascii12345678!iprouteWLAN产品实施及配置四、WLAN设备配置状态查看常用命令在AC上查看CAPWAP隧道建立第49页WS5302-A#shcapwapstateindexpeerdevicestate1:32768RunAP通过DHCP获取的IP地址CAPWAP隧道建立的成功状态如果上述信息为空或者缺少部分信息:1、检查POE交换机是否对相应AP供电,接口是否poeenable2、检查AP的DHCP分配信息showipdhcpbindings3、路由是否可达（AP到AClo0地址的路由）：telnet至AP,密码为ruijie，在AP上pingAC的Loopback0WLAN产品实施及配置四、WLAN设备配置状态查看常用命令在AC上查看已经关联成功的AP信息在AC上查看关联的STA信息第50页WS5302-A#shap-configsummaryApNameMacAddressSTANUMUptimeVerPid-----------------------------------------------------------------------------------------------------------------------AP_1001a.a94a.82dd105:55:51RGOS10.4(1T7),Release(91699)AP220-SEWS5302-A#shac-configclientsummaryby-ap-nameTotalStaNum:1CntSTAMACAPNAMEWlanIdRadioIdVlanIdValid-----------------------------------------------------------------------------1001d.0f07.bb2dAP_11001101WLAN产品实施及配置四、WLAN设备配置状态查看常用命令在AC上查看所关联的AP的raido信息重起、复位AP第51页WS5302-A#shadvanced802.11bsummaryAPNameMACAddressSlotIDChannelTxPowerLevel-----------------------------------------------------------------AP_1001a.a94a.82dd161*查看工作在2.4GHz频段radio信息，查看工作在5GHz频段为802.11aWS5302-A(config)#

ac-controllerWS5302-A(config-ac)#resetap-name//重起APWS5302-A(config-ac)#factory-setap-name//恢复出厂设置WLAN产品实施及配置五、WLAN设备配置总结第52页WLANVLANap-groupap-configac-controllerWLANIDSSIDWLANSec无线用户的有线VLAN创建三层SVI接口创建VLANWEPWLANSecID同一ID无线安全策略SPARSN关联AP版本管理ACNAMEAP

NAMERadio配置：信道、频段、功率等RadioID其他WLAN与VLAN关联配置版本interface-mapping外部网络WLAN产品实施及配置附1：胖A