《WLAN基础理论与体系.ppt》由会员分享,可在线阅读,更多相关《WLAN基础理论与体系.ppt(30页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、WLANWLAN技术原理及其组网实现技术原理及其组网实现日期:2011-07-12主讲人主讲人:望到天那边:望到天那边nAC+FIT AP 原理介绍原理介绍nAC+FIT AP 特性说明特性说明无线交换机的工作原理 无线交换机+Fit AP的连接方式 无线交换机+Fit AP系统构成特点 Fit AP零配置启动注册过程无线交换机+Fit AP的数据转发原理无线交换机+Fit AP的连接方式 Fit APFit AP无线交换机无线交换机无线交换机无线交换机无线交换机无线交换机L2L2网络网络L3L3网络网络Fit APFit APFit APFit APFit APFit APFit APFit
2、 APFit APFit AP直连方式直连方式二层网络连接方式二层网络连接方式三层网络连接方式三层网络连接方式无线交换机+Fit AP系统构成特点主要由无线交换机和Fit AP在有线网的基础上构成的。AP零配置,硬件主要由CPU内存RF构成,配置和软件都要从无线交换机上下载。所有AP和无线客户端的管理都在无线交换机上完成。AP和无线交换机之间的流量被私有协议加密;无线客户端的MAC只出现在无线交换机端口,而不会出现在AP的端口。可以在任何现有的二层或三层 LAN 拓扑上部署H3C的通用无线解决方案,而无需重新配置主干或硬件。无线交换机以及管理型接入点AP可以位于网络中的任何位置。在复杂的网络中
3、,Fit AP如何得知无线交换机的位置?AP直连或通过二层网络连接时的注册流程4.AP从无线交换机下载最新软件版本、配置5.AP开始正常工作和无线交换机交换用户数据报文无线交换机无线交换机APAPDHCP ServerDHCP Server1、获取IP地址2、发送二层广播发现请求4、版本、配置下载3、无线交换机发现响应5、用户数据传递1.AP通过DHCPserver获取IP地址2.AP发出二层广播的发现请求报文试图联系一个无线交换机3.接收到发现请求报文的无线交换机会检查该AP是否有接入本机的权限,如果有则回应发现响应APAP与与无线交换机直连或通过二层网络连接:无线交换机直连或通过二层网络连
4、接:AP通过三层网络连接时的注册流程_option 43方式APAPDHCPDHCPServerServer无线交换机无线交换机1、获取IP地址、option 43属性4、版本、配置下载5、用户数据传递2.AP会从option43属性中获取无线交换机的IP地址,然后向无线控制器发送单播发现请求。2、无线交换机发现请求3、无线交换机发现响应1.AP通过DHCPserver获取IP地址、option43属性(携带无线交换机的IP地址信息)3.接收到发现请求报文的无线交换机会检查该AP是否有接入本机的权限,如果有则回应发现响应。4.AP从无线交换机下载最新软件版本、配置AP与无线交换机通过三层网络连
5、接:与无线交换机通过三层网络连接:5.AP开始正常工作和无线交换机交换用户数据报文Option 43属性配置举例Option 43选项说明80:选项类型,固定为80,1个字节。0B:选项长度,表示其后内容的长度(十六进制数的个数,这里表示后面有11个十六进制数),一个字节。0000:Server type,固定配为0000两个字节。02:后面IP地址的个数,一个字节。12010701,12010702:两个AC的IP地址的十六进制表示,分别是18.1.7.1和18.1.7.2,其中18.1.7.1为主AC.l Microsoft DHCP Serverl H3C设备内置设备内置DHCP Ser
6、verAP通过三层网络连接时的注册流程_DNS方式APAPDHCPDHCPServerServer无线交换机无线交换机1、获取IP地址、DNS Server地址、域名2、二层广播发现请求6、版本、配置下载7、用户数据传递3.AP在多次尝试发现请求无回应的情况下:AP会从DNSserver获取H3C.xxxx.xxx的IP地址,该IP地址即为无线交换机的IP地址,其中xxxx.xxx是从DHCPserver学习到的域名。长时间无响应DNS DNS ServerServer3、获取无线交换机的IP地址4、无线交换机发现请求5、无线交换机发现响应2.AP发出二层广播的发现请求报文试图联系一个无线交换
7、机1.AP通过DHCPserver获取IP地址、DNSserver地址、域名5.接收到发现请求报文的无线交换机会检查该AP是否有接入本机的权限,如果有则回应发现响应。6.AP从无线交换机下载最新软件版本、配置7.AP开始正常工作和无线交换机交换用户数据报文AP与无线交换机通过三层网络连接:与无线交换机通过三层网络连接:4.AP向无线控制器发送单播发现请求。无线交换机的数据转发原理STAServerVLAN1IP:1.0.0.1无线交换机无线交换机Fit AP隧道口隧道口隧道口隧道口IP:3.0.0.1无线交换机和AP间数据转发的核心思想在无线交换机和AP之间建立IPinIP隧道,无线交换机将这
8、些隧道看做虚拟物理端口;无线客户端STA的任何数据报文都将由AP通过IPinIP隧道交给无线交换机,由无线交换机统一转发;无线交换机从IPinIP隧道接收到用户的数据后先解隧道封装,然后做数据交换,如果出接口为隧道则对数据报文再次加上隧道封装,直到交换到最远端。核心交换机核心交换机接入交换机接入交换机Fit AP隧道口隧道口STAVLAN2IP:2.0.0.1VLAN1IP:1.0.0.2SASTAMACDAPCMACVLANVLAN1SIP1.0.0.1DIP1.0.0.2SASTAMACDAPCMACSIP1.0.0.1DIP1.0.0.2STAIP:1.0.0.1IP:1.0.0.3IP
9、:1.0.0.4PC无线交换机无线交换机L2交换机交换机SASTAMACDAPCMACSIP1.0.0.1DIP1.0.0.2APL2交换机交换机无线交换机无线交换机SASTAMACDAPCMACSIP1.0.0.1DIP1.0.0.2APPCIP:1.0.0.2STASAAPMACDAACMACVLANVLAN1SIP1.0.0.3DIP1.0.0.4IPinIP隧道封装STAPC的数据转发解解IPinIP隧道封装,隧道封装,802.11-802.3转换转换加加IPinIP隧道封装隧道封装802.11报文报文VLAN1VLAN1VLAN1L2交换机交换机无线交换机无线交换机APSTASTA1
10、VLAN1VLAN1IP:1.0.0.1IP:1.0.0.2IP:2.0.0.1IP:3.0.0.1STA1无线交换机无线交换机L3交换机交换机SASTA2MACDASTA1MACSIP1.0.0.2DIP1.0.0.1SIP3.0.0.1DIP2.0.0.1IPinIP隧道封装AP1AP1无线交换机无线交换机SASTA2MACDASTA1MACSIP1.0.0.2DIP1.0.0.1SASTA2MACDASTA1MACSIP1.0.0.2DIP1.0.0.1AP2AP2STA2IP:4.0.0.1STA2SIP4.0.0.1DIP3.0.0.1IPinIP隧道封装SASTA2MACDASTA
11、1MACSIP1.0.0.2DIP1.0.0.1STA2-STA1的数据转发解解IPinIP隧道封装隧道封装解解IPinIP隧道封装,隧道封装,802.11-802.3转换转换802.3-802.11转换,加转换,加IPinIP隧道封装隧道封装加加IPinIP隧道封装隧道封装802.11报文报文nAC+FIT AP 原理介绍原理介绍nAC+FIT AP 特性说明特性说明 无线用户授权 无线用户漫游 FIT AP之间的负载均衡 无线控制器的可靠性 ROGUE(欺诈)探测 认证加密方式AC+FIT AP 特性说明无线用户授权(1)基于SSID方式无线控制器可以基于无线控制器可以基于SSID区分用户
12、区分用户VLAN属性,从而对用户进行属性,从而对用户进行VLAN授权。授权。I PI PRadius ServerDHCP Servertrunk无线控制器无线控制器vlan2vlan3FIT APSTA STA 步骤二、在无线服务模板中实现步骤二、在无线服务模板中实现SSID与与wlan-ESS接口的绑定接口的绑定wlanservice-template2clearssidOfficebindwlan-ESS2service-templateenablewlanservice-template3clearssidVIPbindwlan-ESS3service-templateenable步骤
13、一、在步骤一、在wlan-ESS接口中实现与接口中实现与VLAN的绑定的绑定interfacewlan-ESS2portaccessvlan2interfacewlan-ESS3portaccessvlan3SSID:OfficeSSID:VIP无线用户授权(2)基于AP方式 无线控制器可以基于无线控制器可以基于无线控制器可以基于无线控制器可以基于APAP区分用户区分用户区分用户区分用户VLANVLAN属性,从而对用户进行属性,从而对用户进行属性,从而对用户进行属性,从而对用户进行VLANVLAN授权。授权。授权。授权。I PI PRadius ServerDHCP Servertrunk无线
14、控制器无线控制器vlan2vlan3FIT-AP-2STA STA FIT-AP-3SSID:H3C步骤一、配置无线服务模板步骤一、配置无线服务模板wlanservice-template1clearssidH3Cbindwlan-ESS1service-templateenable步骤二、将无线服务模板与步骤二、将无线服务模板与VLAN绑定应用到不同绑定应用到不同FIT AP上上wlanapFIT-AP-2modelwa2100radio1service-template1vlan-id2radioenablewlanapFIT-AP-3modelwa2100radio1service-te
15、mplate1vlan-id3radioenable无线用户授权(3)基于用户MAC方式 无线控制器可以通过自身设置或配合无线控制器可以通过自身设置或配合无线控制器可以通过自身设置或配合无线控制器可以通过自身设置或配合RadiusRadius服务器对无线接入用户进行授权,服务器对无线接入用户进行授权,服务器对无线接入用户进行授权,服务器对无线接入用户进行授权,如对用户下发如对用户下发如对用户下发如对用户下发VLANVLAN属性,实现基于用户属性,实现基于用户属性,实现基于用户属性,实现基于用户MACMAC的授权。的授权。的授权。的授权。I PI PRadius ServerDHCP Serve
16、rtrunk无线控制器无线控制器vlan2vlan3FIT APSTA 2STA 3方式一、在无线控制器自身设置方式一、在无线控制器自身设置mac-vlanmac-address0000-0000-0002vlan2mac-vlanmac-address0000-0000-0003vlan3在在WLAN-ESS接口上使能接口上使能mac-vlan功能功能portlink-typehybridporthybridvlan1to3untaggedmac-vlanenable方式二、通过方式二、通过Radius Server授权授权STA2MAC:0000-0000-0002STA3MAC:0000
17、-0000-0003无线控制器系统无线用户漫游 漫游:用户在移动时,保持它们的会话连接包括漫游:用户在移动时,保持它们的会话连接包括漫游:用户在移动时,保持它们的会话连接包括漫游:用户在移动时,保持它们的会话连接包括IPIP地址、所属地址、所属地址、所属地址、所属VLANVLAN及所连接的及所连接的及所连接的及所连接的服务均不改变,用户感觉不到网络的变化。服务均不改变,用户感觉不到网络的变化。服务均不改变,用户感觉不到网络的变化。服务均不改变,用户感觉不到网络的变化。漫游域(漫游域(漫游域(漫游域(Mobility DomainMobility Domain):漫游域是由多个无线控制器和):漫
18、游域是由多个无线控制器和):漫游域是由多个无线控制器和):漫游域是由多个无线控制器和APAP组成的支持组成的支持组成的支持组成的支持wireless clientwireless client漫游的无线网络系统。漫游的无线网络系统。漫游的无线网络系统。漫游的无线网络系统。Layer 2Layer 2Radius ServerDHCP Server192.168.1.4/24trunktrunktrunk192.168.1.1/24(1)192.168.2.1/24(2)192.168.3.1/24(3)无线控制器无线控制器-1:vlan1vlan2192.168.1.2路由器路由器无线控制器无
19、线控制器-3:vlan4192.168.4.2192.168.4.1/24 FIT APFIT APUser 1User 1无线控制器无线控制器-2:vlan1vlan3192.168.1.3FIT AP之间的负载均衡 当不同的当不同的当不同的当不同的APAP覆盖同一区域时,可通过负载均衡控制不同覆盖同一区域时,可通过负载均衡控制不同覆盖同一区域时,可通过负载均衡控制不同覆盖同一区域时,可通过负载均衡控制不同APAP的接入用户数,以保证密集用的接入用户数,以保证密集用的接入用户数,以保证密集用的接入用户数,以保证密集用户区域的用户带宽性能。户区域的用户带宽性能。户区域的用户带宽性能。户区域的用
20、户带宽性能。H3C FIT APH3C FIT AP的负载均衡有两种方式,即用户数(的负载均衡有两种方式,即用户数(的负载均衡有两种方式,即用户数(的负载均衡有两种方式,即用户数(sessionsession)和流量()和流量()和流量()和流量(traffictraffic)。用户数)。用户数)。用户数)。用户数负载均衡阈值默认值为负载均衡阈值默认值为负载均衡阈值默认值为负载均衡阈值默认值为2020,最小为,最小为,最小为,最小为5 5,最大为,最大为,最大为,最大为4040。流量负载均衡阈值默认值。流量负载均衡阈值默认值。流量负载均衡阈值默认值。流量负载均衡阈值默认值3030,最小,最小,
21、最小,最小1010,最大,最大,最大,最大8080。无线控制器无线控制器AP1AP2client 6client 5client 1 AP1Session:*client1*client2*client3*client4*client5Total:5AP2Session:Total:0AP1Session:*client1*client2*client3*client4*client5Total:5AP2Session:*client6Total:1client 6接入无线网络后,两个接入无线网络后,两个APAP的用户接入情况:的用户接入情况:client 6接入无线网络前,两个接入无线网络前
22、,两个APAP的用户接入情况:的用户接入情况:无线控制器的可靠性控制接入AC顺序APAC1AC21、获取AC列表(AC1、AC2)4、与AC1重新建立连接AC1宕机DHCP Server3、与AC2建立连接AC1恢复 AC2宕机AC2恢复 2、与AC1建立连接步骤一:AC1上配置AP的静态模板AC1 wlan ap ap1 model WA2100AC1-wlan-ap-ap1 serial-id H3CFITAPAC1-wlan-ap-ap1 priority level 6步骤二:AC2上配置AP的静态模板AC2 wlan ap ap1 model WA2100AC2-wlan-ap-ap
23、1 serial-id H3CFITAP说明AC2不配置优先级,则使用默认优先级4,也可以配置为其他的小于6的优先级AP保持与AC2的连接无线控制器的可靠性1+1热备份APAC1AC21、获取AC列表(AC1、AC2)DHCP Server4、与AC2建立备份隧道连接AC1宕机2、与AC1建立主隧道连接步骤一:AC1上配置AP的静态模板AC1 wlan ap ap1 model WA2100AC1-wlan-ap-ap1 serial-id H3CFITAPAC1-wlan-ap-ap1 priority level 6步骤二:AC2上配置AP的静态模板AC2 wlan ap ap1 mode
24、l WA2100AC2-wlan-ap-ap1 serial-id H3CFITAP说明AC2不配置优先级,则使用默认优先级4,也可以配置为其他的小于6的优先级3、通知AP备份AC为AC2主隧道(负责数据流量转发)备份隧道AP检测到主隧道down备份隧道切换为主隧道步骤三:AC1上配置其Backup AC为AC2AC1 wlan backup-ac AC2-ip address步骤四:AC2上配置其Backup AC为AC1AC2 wlan backup-ac AC1-ip address5、通知AP备份AC为AC1定期探测AC1是否恢复正常AC1恢复 6、与AC1建立备份隧道连接主隧道(负责
25、数据流量转发)备份隧道无线控制器的可靠性1+1快速热备份APAC1AC21、获取AC列表(AC1、AC2)DHCP Server4、与AC2建立备份隧道连接AC1宕机2、与AC1建立主隧道连接步骤一:AC1上配置AP的静态模板AC1 wlan ap ap1 model WA2100AC1-wlan-ap-ap1 serial-id H3CFITAPAC1-wlan-ap-ap1 priority level 6步骤二:AC2上配置AP的静态模板AC2 wlan ap ap1 model WA2100AC2-wlan-ap-ap1 serial-id H3CFITAP步骤三:AC1上配置其Bac
26、kup AC为AC2AC1 wlan backup-ac AC2-ip address步骤四:AC2上配置其Backup AC为AC1AC2 wlan backup-ac AC1-ip address步骤五:AC1上启动主备快速检测AC1 hot-backup enableAC1 hot-backup vlan vlan-id步骤六:AC2上启动主备快速检测AC2 hot-backup enableAC2 hot-backup vlan vlan-id说明AC2不配置优先级,则使用默认优先级4,也可以配置为其他的小于6的优先级3、通知AP备份AC为AC2主隧道(负责数据流量转发)备份隧道原主隧
27、道down心跳检测通知AP启用备份隧道备份隧道马上切换为主隧道5、通知AP备份AC为AC1定期探测AC1是否恢复正常AP1AC1AC2ACNACB(备份(备份AC)1、获取AC列表(AC1、ACB)定期探测AC1是否恢复正常2、与AC1建立连接AC1宕机DHCP Server无线控制器的可靠性N+1备份3、与备份AC建立连接AC1恢复4、与AC1重新建立连接5、断开与备份AC的连接AP21、获取AC列表(AC2、ACB)定期探测AC2是否恢复正常2、与AC2建立连接AC2宕机3、与备份AC建立连接AC2恢复4、与AC2重新建立连接5、断开与备份AC的连接当主AC出现问题后,备份AC才提供服务;
28、主AC恢复后所有的AP又切回到主AC;如果AP开机时,主AC还没有正常工作,AP会连接到备份AC上,此后AP会不断尝试和主AC进行连接,当主AC正常工作以后,AP同样会将断开和备份AC的连接而连接到主AC上。步骤一:AC1上配置AP的静态模板AC1 wlan ap ap1 model WA2100AC1-wlan-ap-ap1 serial-id H3cFITAP1AC1-wlan-ap-ap1 priority level 7步骤二:AC2上配置AP的静态模板AC2 wlan ap ap2 model WA2100AC2-wlan-ap-ap2 serial-id H3cFITAP2AC2-
29、wlan-ap-ap2 priority level 7说明主AC配置该控制器需要管理的AP信息,而且作为这些AP的首选控制器;备份AC配置所有控制器需要管理的AP,并且根据AP指定对应的首选控制器;AP1首选接入AC1;AP2首选接入AC2;AP3首选接入AC3;ACB作为AC1、AC2、AC3的备份。步骤三:AC3上配置AP的静态模板AC3 wlan ap ap3 model WA2100AC3-wlan-ap-ap3 serial-id H3cFITAP3AC3-wlan-ap-ap3 priority level 7步骤四:ACB上配置AP的静态模板ACB wlan ap ap1 mo
30、del WA2100ACB-wlan-ap-ap1 serial-id H3cFITAP1ACB-wlan-ap-ap1 backup-ac AC1-ip addressACB wlan ap ap2 model WA2100ACB-wlan-ap-ap2 serial-id H3cFITAP2ACB-wlan-ap-ap2 backup-ac AC2-ip addressACB wlan ap ap3 model WA2100ACB-wlan-ap-ap3 serial-id H3cFITAP3ACB-wlan-ap-ap3 backup-ac AC3-ip address无线控制器的可靠性
31、N+1备份(续)无线控制器系统 ROGUE(欺诈)探测Rogue AP是指未经授权在网络中是指未经授权在网络中运行的运行的AP,它及其用户造成了对,它及其用户造成了对网络安全的威胁。网络安全的威胁。无线控制器的无线控制器的Rogue AP检测功能检测功能用来检测用来检测Rogue设备并对它们采取设备并对它们采取反制措施。反制措施。AP可以工作在以下三种模式下可以工作在以下三种模式下:Normal模式Monitor模式Hybrid模式无线控制器无线控制器POE SwitchFIT APFIT AP第三方第三方AP无线控制器系统认证加密方式支持通过Radius服务器或者无线控制器本地数据库认证无线
32、用户,支持的认证方式如下802.1X认证MAC认证Portal认证PPPoE认证无线控制器支持的加密方式如下WEP(Wired Equivalent Privacy)加密方式WPA(Wi-Fi Protected Access)安全架构WPA2安全架构nWLAN技术简介技术简介nAP FAT转转FIT原理和教程原理和教程nAC+FIT AP组网架构组网架构nAP未注册成功快速排查方法未注册成功快速排查方法目录目录AP注册问题快速排查方法a)FitAP是否上电;b)FitAP所接入的VLAN网络是否可以动态获得地址;c)FitAP所在的网络中的DHCP服务器是否唯一;d)确定AC和FitAP所在的网络三层可达(在AP上PINGAC的IP);e)AP模版的序列号和类型配置是否正确;f)AC上是否已经存在AP对应的版本文件;AP注册问题快速排查方法谢谢聆听