B模块 安全通信网络 第二门课IPv6与WLAN 05

今日目标01 WLAN简介02 WLAN工作流程03 AP上线04 WLAN业务配置下发05 STA接入06 WLAN业务数据转发WLAN概述什么是WLANWLAN即Wireless LAN无线局域网✓ 是指通过无线技术构建的无线局域网络。✓ WLAN广义上是指以无线电波、激光、红外线等无线信号来代替有线局域网中的部分或全部传输介质所构成的网络。大型WLAN组网的应用大型WLAN组网特点WLAN设备WLAN设备APAccessPoint无线接入点PoEPoweroverLAN以太网供电交换机AP的分类√ FATAP胖AP√ FITAP(瘦AP√ 云管理APWLAN设备介绍WLAN组网架构基本的WLAN组网架构有线侧组网概念CAPWAP协议CAPWAP隧道✓ CAPWAP无线接入点控制和配置协议CAPWAP隧道功能✓ AC通过CAPWAP隧道来实现对AP的集中管理业务配置和控制有线侧组网概念AP-AC组网方式AP和AC间的组网分为二层组网和三层组网有线侧组网概念AC连接方式AC的连接方式分为直连式组网和旁挂式组网。无线侧组网概念BSS/SSID/BSSID基本服务集BSS (Basic Service Set)✓ 一个AP所覆盖的范围。✓ 在一个BSS的服务区域内STA可以相互通信。基本服务集标识符BSSID (Basic Service SetIdentifier)✓ 是无线网络的一个身份标识用AP的MAC地址表示服务集标识符SSID (Service Set Identifier)✓ 是无线网络的一个身份标识用字符串表示。✓ 为了便于用户辨识不同的无线网络用SSID代替BSSID。无线侧组网概念VAP虚拟接入点VAP (Virtual Access Point)✓ VAP就是在—个物理实体AP上虚拟出的多个AP。✓ 每一个被虚拟出的AP就是一个VAP每个VAP提供和物理实体AP一样的功能。✓ 每个VAP对应1个BSS这样1个AP就可以提供多个BSS设置不同的SSID。✓ 早期的AP只支持1个BSS如果要在同一空间内部署多个BSS则需要安放多个AP这不但增加了成本还占用了信道资源为了改善这种状况现在的AP通常支持创建出多个虚拟AP。2 WLAN工作流程WLAN工作流程概述WLAN工作流程√ AP上线√ WLAN业务配置下发√ STA接入√ WLAN业务数据转发AP上线WLAN工作流程步骤1AP上线✓ AP获取IP地址✓ AP发现AC并与之建立CAPWAP隧道✓ AP接入AP获取IP地址DHCP方式AP必须获得IP地址才能够与AC通信WLAN网络才能够正常工作CAPWAP隧道建立• AC通过CAPWAP隧道来实现对AP的集中管理和控制。AP动态发现ACDHCP报文中携带Option 43✓ 在DHCP服务器上配置DHCP报文中携带Option 43且Option 43携带AC的IP地址建立CAPWAP隧道AP与AC关联完成CAPWAP隧道建立CAPWAP隧道包括数据隧道和控制隧道✓ 数据隧道AP的业务报文数据流量✓ 控制隧道AP与AC之间的控制报文管理流量AP接入AC上添加AP的方式✓ 离线导入AP预先配置AP的MAC地址当AP与AC连接时如果AC发现AP和预先增加的AP的MAC地址匹配则AC开始与AP建立连接为确保AP能够上线AC需预先配置如下内容WLAN业务下发AP上线后首先会主动向AC获取当前配置而后统一由AC对AP进行集中管理和业务配置下发配置模板为了方便用户配置和维护WLAN的各个功能针对WLAN的不同功能和特性设计了各种类型的模板这些模板统称为WLAN模板。VAP模板STA接入无线接入安全协议安全性成为阻碍WLAN技术发展的最重要因素常用安全策略STA地址分配STA获取到自身的IP地址是STA正常上线的前提条件。WLAN业务数据转发数据转发方式3 AP上线配置AP上线案例需求AP的管理VLANVLAN100-192.168.100.0/24bangong老师VLAN101-192.168.101.0/24VLAN102-192.168.102.0/24xuexi学生VLAN103-192.168.103.0/24VLAN104-192.168.104.0/24案例需求无线控制器AC连接在核心交换机上属于VLAN200AP连接在汇聚层交换机上AP的管理IP地址属于VLAN100企业内网中存在4个VLAN分别服务于老师和学生AP的网关以及所有无线用户的终端的网关都配置在核心交换机AP和无线用户终端的IP地址都是通过DHCP的方式获得最终确保连接到不同AP的无线终端之间可以互通解决方案AP上线✓ 让AP可以通过DHCP获取IP地址✓ 在AC和AP之间建立capwap隧道✓ AP接入配置命令第一步AP上线1、让AP可以通过DHCP获取IP地址1汇聚交换机创建vlan配置端口角色[hj-SW1]vlan batch100200210[hj-SW1]port-group group-member g0/0/1 to g0/0/5[hj-SWl-port-group]port link-type trunk[hj-sWl-port-group]port trunk allow-pass vlan all2核心交换机创建vlan配置端口角色[HX-SW2]vlan batch100200210[HX-SW2]int g0/0/2[HX-SW2-G0/0/2]port link-type trunk[HX-SW2-G0/0/2]port trunk allow-pass vlan all[HX-SW2-Gi0/0/2]int g0/0/1[HX-SW2-G0/0/1]port link-type access[HX-SW2-Gi0/0/1]port default vlan210[HX-SW2-G0/0/1]int g0/0/10[HX-SW2-G0/0/10]port link-type access[HX-SW2-G0/0/10]port defaul tvlan2003DHCP-R1配置DHCP功能配置IP地址池[R1-dhcp]dhcpenable[R1-dhcp]ip pool vlan100[R1-dhcp-ip-pool-vlan100]network192.168.100.0 mask24[R1-dhcp-ip-pool-vlan100]gateway-list192.168.100.254[R1-dhcp-ip-pool-vlan100]dns-list8.8.8.8[R1-dhcp-ip-pool-vlan100]quit[R1-dhcp]int g0/0/0[R1-dhcp-GigabitEthernet0/0/0]ipadd192.168.210.124[R1-dhcp-GigabitEtherneto/o/0]dhcpselectglobal4核心交换机SW2配置vlanif网关地址[HX-SW2]int vlan100[HX-SW2-Vlanif100]ipadd192.168.100.25424[HX-SW2-Vlanif100]int vlan200[HX-SW2-Vlanif200]ipadd192.168.200.25424[HX-SW2-Vlanif200]int vlan210[HX-SW2-Vlanif210]ipadd192.168.210.25424[HX-SW2-Vlanif210]quit5核心交换机SW2配置DHCP中继[HX-SW2]dhcpenable[HX-SW2]int vlanif100[HX-SW2-Vlanif100]dhcpselectrelay[HX-SW2-Vlanif100]dhcp relay server-ip192.168.210.16在hj-SW1中修改g0/0/2-g0/0/5的pvid为vlan100[hj-SW1]port-group group-member g0/0/2 to g0/0/5[hj-SW1-port-group]port link-type trunk[hj-SW1-port-group]port trunk pvid vlan1007)DHCP-R1配置去往中继的回程路由默认路由[R1-dhcp]iproute-static0.0.0.00.0.0.0192.168.210.2542、在AC和AP之间建立capwap隧道1在AC中创建vlan200并且把g0/0/10加入vlan200,改为access[AC6605]vlan200[AC6605-vlan200]quit[AC6605]int vlan200[AC6605-Vlanif200]ipadd192.168.200.1024[AC6605-Vlanif200]quit[AC6605]int g0/0/10[AC6605-G0/0/10]portlink-type access[AC6605-Gi0/0/10]port default vlan2002在AC中配置默认路由能够实现和AP互联互通[AC6605]iproute-static0.0.0.00.0.0.0192.168.200.2543在DHCP服务中配置dhcp option43让AP知道AC的管理地址[R1-dhcp]ip poolvlan100[R1-dhcp-ip-pool-vlan100]option43sub-option1ip-address192.168.200.10 备注修改完option43后记得重启一下所有的AP设备4)在AC中配置capwap隧道--在AC和AP之间建立隧道[AC6605]capwapsourceip-address192.168.200.103、AP接入1在AP上查询MAC地址复制出来Huaweidis system-information MACAddress :00:e0:fc:c3:76:602在AC中填写AP的MAC地址让AC知道AP的存在[AC6605]wlan[AC6605-wlan-view]ap-id1ap-mac 00e0-fcc3-7660[AC6605-wlan-ap-1]quit[AC6605-wlan-view]ap-id2ap-mac 00e0-fc8b-0150[AC6605-wlan-ap-2]quit[AC6605-wlan-view]ap-id3ap-mac 00e0-fc1b-4300[AC6605-wlan-ap-3]quit[AC6605-wlan-view]ap-id4ap-mac 00e0-fc7e-39c03验证[AC6605]dis ap all#AC上查看ap注册信息WLAN业务配置下发WLAN业务配置下发案例需求AP的管理VLANVLAN100-192.168.100.0/24内部员工VLAN101-192.168.101.0/24VLAN102-192.168.102.0/24外来人员VLAN103-192.168.103.0/24VLAN104-192.168.104.0/24案例需求续1企业内网的无线网络改造已经完成大部分工作AP成功注册到AC基于分配好的IP方案为不同的无线终端动态分配IP地址配置AC为不同的AP下发不同的配置确保可以发射无线信号实现不同的“无线终端”可以成功连接AP并成功获得IP地址实现不同的“无线终端”之间的互通配置命令第二步AC下发WLAN配置给AP1创建域管理模板-绑定国家码[AC6605]wlan#进入wlan[AC6605-wlan-view]regulatory-domain-profile name ntd#创建域管理模板[AC6605-wlan-regulate-domain-ntd2307]country-code cn#定义国家码2创建AP组-绑定域管理模板[AC6605]wlan#进入wlan[AC6605-wlan-view]ap-group name bangong#创建AP组[AC6605-wlan-ap-group-bangon]regulatory-domain-profile ntd[AC6605-wlan-ap-group-bangong]quit[AC6605-wlan-view]ap-group name xuexi[AC6605-wlan-ap-group-xuexi]regulatory-domain-profile ntd3创建AP组在AP组里添加物理AP设备[AC6605]wlan[AC6605-wlan-view]ap-id1#配置ap1[AC6605-wlan-ap-1]ap-name bangong1#给ap1命名为bangong1[AC6605-wlan-ap-1]ap-group bangong#把ap1加入bangong组[AC6605-wlan-ap-1]quit[AC6605-wlan-view]ap-id2#配置ap2[AC6605-wlan-ap-2]ap-name bangong2#给ap2命名为bangong2[AC6605-wlan-ap-2]ap-group bangong#把ap2加入bangong组[AC6605-wlan-ap-2]quit[AC6605-wlan-view]ap-id3#配置ap3[AC6605-wlan-ap-3]ap-name xuexi1#给ap3命名为xuexi1[AC6605-wlan-ap-3]ap-group xuexi#把ap3加入xuexi组[AC6605-wlan-ap-3]quit[AC6605-wlan-view]ap-id4#配置ap4[AC6605-wlan-ap-4]ap-name xuexi2#给ap4命名为xuexi2[AC6605-wlan-ap-4]ap-group xuexi#把ap4加入xuexi组[AC6605-wlan-ap-4]quit4验证AP设备是否加入AP组AC6605dis ap-group all5创建SSID模板-定义无线网名[AC6605]wlan#进入wlan[AC6605-wlan-view]ssid-profile name bangong#创建SSID模板命名为bangong[AC6605-wlan-ssid-prof-bangong]ssid bangong#定义无线网的名字命名为bangong[AC6605-wlan-ssid-prof-bangong]quit[AC6605-wlan-view]ssid-profile name xuexi[AC6605-wlan-ssid-prof-xuexi]ssid xuexi[AC6605-wlan-ssid-prof-xuexi]quit6创建安全模板-定义无线网安全策略预共享密钥加密方式[AC6605]wlan[AC6605-wlan-view]security-profile name bangong[AC6605-wlan-sec-prof-bangong]security wpa2 psk pass-phrasea12345678aes[Ac6605-wlan-sec-prof-bangonglquit[AC6605-wlan-view]security-profile name xuexi[AC6605-wlan-sec-prof-xuexi]security wpa2 psk pass-phrase a12345678 aes7创建VLAN池-绑定多个VLAN给STA电脑和手机用的VLAN[AC6605]vlan pool bangong#创建vlan池命名为bangong[AC6605-vlan-pool-bangong]vlan101102#将vlan101 102加入bangong池[AC6605-vlan-pool-bangong]quit[AC6605]vlan pool xuexi[AC6605-vlan-pool-xuexi]vlan1031048创建VAP模板--绑定VLAN池子绑定SSID配置文件绑定安全配置文件[AC6605]wlan[Ac6605-wlan-view]vap-profile name bangong#创建vap模版命名为bangong[AC6605-wlan-vap-prof-bangong]ssid-profile bangong#绑定ssid模版[AC6605-wlan-vap-prof-bangong]security-profile bangong#绑定安全模版[AC6605-wlan-vap-prof-bangong]service-vlan vlan-pool bangong#绑定vlan池[AC6605-wlan-vap-prof-bangong]quit[AC6605-wlan-view]vap-profile name xuexi[AC6605-wlan-vap-prof-xuexi]ssid-profile xuexi[AC6605-wlan-vap-prof-xuexi]security-profile xuexi[AC6605-wlan-vap-prof-xuexi]service-vlan vlan-pool xuexi9将VAP配置文件绑定到AP组把配置下发给AP组的物理设备[AC6605]wlan[Ac6605-wlan-view]ap-group name bangong#进入ap组[AC6605-wlan-ap-group-bangong]vap-profile bangong wlan1radio0[AC6605-wlan-ap-group-bangong]vap-profile bangong wlan1radio1[AC6605-wlan-ap-group-bangong]quit[AC6605-wlan-view]ap-group name xuexi[AC6605-wlan-ap-group-xuexi]vap-profile xuexi wlan1radio0[AC6605-wlan-ap-group-xuexi]vap-profile xuexi wlan1radio110)在hj-sw1中创建vlan101102103104[hj-SW1]vlan batch10110210310411在hx-sw2中创建vlan101102103104[HX-SW2]vlan batch10110210310412)DHCP-R1配置DHCP功能配置IP地址池[R1-dhcp-ip-pool-vlan100]ip pool vlan101[R1-dhcp-ip-pool-vlan101]network192.168.101.0 mask24[R1-dhcp-ip-pool-vlan101]gateway-list192.168.101.254[R1-dhcp-ip-pool-vlan101]dns-list8.8.8.8[R1-dhcp-ip-pool-vlan101]ip pool vlan102[R1-dhcp-ip-pool-vlan102]network192.168.102.0 mask24[R1-dhcp-ip-pool-vlan102]gateway-list192.168.102.254[R1-dhcp-ip-pool-vlan102]dns-list8.8.8.812)DHCP-R1配置DHCP功能配置IP地址池[R1-dhcp-ip-pool-vlan102]ip pool vlan103[R1-dhcp-ip-pool-vlan103]network192.168.103.0 mask24[R1-dhcp-ip-pool-vlan103]gateway-list192.168.103.254[R1-dhcp-ip-pool-vlan103]dns-list8.8.8.8[R1-dhcp-ip-pool-vlan103]ip poolvlan104[R1-dhcp-ip-pool-vlan104]network192.168.104.0 mask24[R1-dhcp-ip-pool-vlan104]gateway-list192.168.104.254[R1-dhcp-ip-pool-vlan104]dns-list8.8.8.813核心交换机SW2配置vlanif网关地址[hx-sw2-Vlanif100]int vlan101[hx-sw2-Vlanif101]ipadd192.168.101.25424[hx-sw2-Vlanif101]int vlan102[hx-sw2-Vlanif102]ipadd192.168.102.25424[hx-sw2-Vlanif102jint vlan103[hx-sw2-Vlanif103]ipadd192.168.103.25424[hx-sw2-Vlanif103]int vlan104[hx-sw2-Vlanif104]ipadd192.168.104.2542414核心交换机SW2配置DHCP中继[hx-sw2]dhcpenable[hx-sw2-Vlanif100]int vlan101[hx-sw2-Vlanif101]dhcpselectrelay[hx-sw2-Vlanif101]dhcp relay server-ip192.168.210.1[hx-sw2-Vlanif101]int vlan102[hx-sw2-Vlanif102jdhcpselectrelay[hx-sw2-Vlanif102]dhcp relay server-ip192.168.210.1[hx-sw2-Vlanif102]int vlan103[hx-sw2-Vlanif103]dhcpselectrelay[hx-sw2-Vlanif103]dhcp relay server-ip192.168.210.1[hx-sw2-Vlanif103jint vlan104[hx-sw2-Vlanif104]dhcpselectrelay[hx-sw2-Vlanif104]dhcp relay server-ip192.168.210.15 STA接入STA接入STA接入√ CAPWAP隧道建立完成后用户就可以接入无线网络√ STA可以通过主动扫描定期搜索周围的无线网络获取到周围的无线网络信息√ 为了保证无线链路的安全接入过程中AP需要完成对STA的认证√ 对数据报文还需要使用加密的方式来保证数据安全√ STA获取到自身的IP地址是STA正常上线的前提条件6 WLAN业务数据转发数据转发方式隧道转发方式√ 优点AC集中转发数据报文安全性好方便集中管理和控制√ 缺点业务数据必须经过AC转发报文转发效率比直接转发方式低AC所受压力大直接转发方式√ 优点数据报文不需要经过AC转发报文转发效率高AC所受压力小√ 缺点业务数据不便于集中管理和控制