WLAN基础理论与体系.ppt

WLAN技术原理及其组网实现 日期 2011 07 12 主讲人 望到天那边 AC FITAP原理介绍AC FITAP特性说明 无线交换机的工作原理 无线交换机 FitAP的连接方式无线交换机 FitAP系统构成特点FitAP零配置启动注册过程无线交换机 FitAP的数据转发原理 无线交换机 FitAP的连接方式 FitAP 无线交换机 无线交换机 无线交换机 L2网络 L3网络 FitAP FitAP FitAP FitAP FitAP 直连方式 二层网络连接方式 三层网络连接方式 无线交换机 FitAP系统构成特点 主要由无线交换机和FitAP在有线网的基础上构成的 AP零配置 硬件主要由CPU 内存 RF构成 配置和软件都要从无线交换机上下载 所有AP和无线客户端的管理都在无线交换机上完成 AP和无线交换机之间的流量被私有协议加密 无线客户端的MAC只出现在无线交换机端口 而不会出现在AP的端口 可以在任何现有的二层或三层LAN拓扑上部署H3C的通用无线解决方案 而无需重新配置主干或硬件 无线交换机以及管理型接入点AP可以位于网络中的任何位置 在复杂的网络中 FitAP如何得知无线交换机的位置 AP直连或通过二层网络连接时的注册流程 AP从无线交换机下载最新软件版本 配置AP开始正常工作和无线交换机交换用户数据报文 无线交换机 AP DHCPServer 1 获取IP地址 2 发送二层广播发现请求 4 版本 配置下载 3 无线交换机发现响应 5 用户数据传递 AP通过DHCPserver获取IP地址 AP发出二层广播的发现请求报文试图联系一个无线交换机 接收到发现请求报文的无线交换机会检查该AP是否有接入本机的权限 如果有则回应发现响应 AP与无线交换机直连或通过二层网络连接 AP通过三层网络连接时的注册流程 option43方式 AP DHCPServer 无线交换机 1 获取IP地址 option43属性 4 版本 配置下载 5 用户数据传递 AP会从option43属性中获取无线交换机的IP地址 然后向无线控制器发送单播发现请求 2 无线交换机发现请求 3 无线交换机发现响应 AP通过DHCPserver获取IP地址 option43属性 携带无线交换机的IP地址信息 接收到发现请求报文的无线交换机会检查该AP是否有接入本机的权限 如果有则回应发现响应 AP从无线交换机下载最新软件版本 配置 AP与无线交换机通过三层网络连接 AP开始正常工作和无线交换机交换用户数据报文 Option43属性配置举例 Option43选项说明80 选项类型 固定为80 1个字节 0B 选项长度 表示其后内容的长度 十六进制数的个数 这里表示后面有11个十六进制数 一个字节 0000 Servertype 固定配为0000两个字节 02 后面IP地址的个数 一个字节 12010701 12010702 两个AC的IP地址的十六进制表示 分别是18 1 7 1和18 1 7 2 其中18 1 7 1为主AC MicrosoftDHCPServer H3C设备内置DHCPServer AP通过三层网络连接时的注册流程 DNS方式 AP DHCPServer 无线交换机 1 获取IP地址 DNSServer地址 域名 2 二层广播发现请求 6 版本 配置下载 7 用户数据传递 AP在多次尝试发现请求无回应的情况下 AP会从DNSserver获取H3C xxxx xxx的IP地址 该IP地址即为无线交换机的IP地址 其中xxxx xxx是从DHCPserver学习到的域名 长时间无响应 DNSServer 3 获取无线交换机的IP地址 4 无线交换机发现请求 5 无线交换机发现响应 AP发出二层广播的发现请求报文试图联系一个无线交换机 AP通过DHCPserver获取IP地址 DNSserver地址 域名 接收到发现请求报文的无线交换机会检查该AP是否有接入本机的权限 如果有则回应发现响应 AP从无线交换机下载最新软件版本 配置AP开始正常工作和无线交换机交换用户数据报文 AP与无线交换机通过三层网络连接 AP向无线控制器发送单播发现请求 无线交换机的数据转发原理 STA Server VLAN1IP 1 0 0 1 无线交换机 FitAP 隧道口 隧道口 IP 3 0 0 1 无线交换机和AP间数据转发的核心思想在无线交换机和AP之间建立IPinIP隧道 无线交换机将这些隧道看做虚拟物理端口 无线客户端STA的任何数据报文都将由AP通过IPinIP隧道交给无线交换机 由无线交换机统一转发 无线交换机从IPinIP隧道接收到用户的数据后先解隧道封装 然后做数据交换 如果出接口为隧道则对数据报文再次加上隧道封装 直到交换到最远端 核心交换机 接入交换机 FitAP 隧道口 STA VLAN2IP 2 0 0 1 VLAN1IP 1 0 0 2 SA STAMACDA PCMACVLAN VLAN1SIP 1 0 0 1DIP 1 0 0 2 SA STAMACDA PCMACSIP 1 0 0 1DIP 1 0 0 2 STA IP 1 0 0 1 IP 1 0 0 3 IP 1 0 0 4 PC 无线交换机 L2交换机 SA STAMACDA PCMACSIP 1 0 0 1DIP 1 0 0 2 AP L2交换机 无线交换机 SA STAMACDA PCMACSIP 1 0 0 1DIP 1 0 0 2 AP PC IP 1 0 0 2 STA SA APMACDA ACMACVLAN VLAN1SIP 1 0 0 3DIP 1 0 0 4IPinIP隧道封装 STA PC的数据转发 解IPinIP隧道封装 802 11 802 3转换 加IPinIP隧道封装802 11报文 VLAN1 VLAN1 VLAN1 L2交换机 无线交换机 AP STA STA1 VLAN1 VLAN1IP 1 0 0 1 IP 1 0 0 2 IP 2 0 0 1 IP 3 0 0 1 STA1 无线交换机 L3交换机 SA STA2MACDA STA1MACSIP 1 0 0 2DIP 1 0 0 1 SIP 3 0 0 1DIP 2 0 0 1IPinIP隧道封装 AP1 AP1 无线交换机 SA STA2MACDA STA1MACSIP 1 0 0 2DIP 1 0 0 1 SA STA2MACDA STA1MACSIP 1 0 0 2DIP 1 0 0 1 AP2 AP2 STA2 IP 4 0 0 1 STA2 SIP 4 0 0 1DIP 3 0 0 1IPinIP隧道封装 SA STA2MACDA STA1MACSIP 1 0 0 2DIP 1 0 0 1 STA2 STA1的数据转发 解IPinIP隧道封装 解IPinIP隧道封装 802 11 802 3转换802 3 802 11转换 加IPinIP隧道封装 加IPinIP隧道封装802 11报文 AC FITAP原理介绍AC FITAP特性说明 无线用户授权无线用户漫游FITAP之间的负载均衡无线控制器的可靠性ROGUE 欺诈 探测认证加密方式 AC FITAP特性说明 无线用户授权 1 基于SSID方式 无线控制器可以基于SSID区分用户VLAN属性 从而对用户进行VLAN授权 IP RadiusServerDHCPServer trunk 无线控制器vlan2vlan3 FITAP STA STA 步骤二 在无线服务模板中实现SSID与wlan ESS接口的绑定wlanservice template2clearssidOfficebindwlan ESS2service templateenablewlanservice template3clearssidVIPbindwlan ESS3service templateenable 步骤一 在wlan ESS接口中实现与VLAN的绑定interfacewlan ESS2portaccessvlan2interfacewlan ESS3portaccessvlan3 SSID OfficeSSID VIP 无线用户授权 2 基于AP方式 无线控制器可以基于AP区分用户VLAN属性 从而对用户进行VLAN授权 IP RadiusServerDHCPServer trunk 无线控制器vlan2vlan3 FIT AP 2 STA STA FIT AP 3 SSID H3C 步骤一 配置无线服务模板wlanservice template1clearssidH3Cbindwlan ESS1service templateenable 步骤二 将无线服务模板与VLAN绑定应用到不同FITAP上wlanapFIT AP 2modelwa2100radio1service template1vlan id2radioenablewlanapFIT AP 3modelwa2100radio1service template1vlan id3radioenable 无线用户授权 3 基于用户MAC方式 无线控制器可以通过自身设置或配合Radius服务器对无线接入用户进行授权 如对用户下发VLAN属性 实现基于用户MAC的授权 IP RadiusServerDHCPServer trunk 无线控制器vlan2vlan3 FITAP STA2 STA3 方式一 在无线控制器自身设置mac vlanmac address0000 0000 0002vlan2mac vlanmac address0000 0000 0003vlan3 在WLAN ESS接口上使能mac vlan功能portlink typehybridporthybridvlan1to3untaggedmac vlanenable 方式二 通过RadiusServer授权 STA2MAC 0000 0000 0002STA3MAC 0000 0000 0003 无线控制器系统 无线用户漫游 漫游 用户在移动时 保持它们的会话连接包括IP地址 所属VLAN及所连接的服务均不改变 用户感觉不到网络的变化 漫游域 MobilityDomain 漫游域是由多个无线控制器和AP组成的支持wirelessclient漫游的无线网络系统 Layer2 RadiusServerDHCPServer192 168 1 4 24 trunk trunk trunk 192 168 1 1 24 1 192 168 2 1 24 2 192 168 3 1 24 3 无线控制器 1 vlan1vlan2192 168 1 2 路由器 无线控制器 3 vlan4192 168 4 2 192 168 4 1 24 FITAP FITAP User1 User1 无线控制器 2 vlan1vlan3192 168 1 3 FITAP之间的负载均衡 当不同的AP覆盖同一区域时 可通过负载均衡控制不同AP的接入用户数 以保证密集用户区域的用户带宽性能 H3CFITAP的负载均衡有两种方式 即用户数 session 和流量 traffic 用户数负载均衡阈值默认值为20 最小为5 最大为40 流量负载均衡阈值默认值30 最小10 最大80 无线控制器 AP1 AP2 client6 client5 client1 AP1Session client1 client2 client3 client4 client5Total 5 AP2Session Total 0 AP1Session client1 client2 client3 client4 client5Total 5 AP2Session client6Total 1 client6接入无线网络后 两个AP的用户接入情况 client6接入无线网络前 两个AP的用户接入情况 无线控制器的可靠性 控制接入AC顺序 AP AC1 AC2 1 获取AC列表 AC1 AC2 4 与AC1重新建立连接 AC1宕机 DHCPServer 3 与AC2建立连接 AC1恢复 AC2宕机 AC2恢复 2 与AC1建立连接 步骤一 AC1上配置AP的静态模板 AC1 wlanapap1modelWA2100 AC1 wlan ap ap1 serial idH3CFITAP AC1 wlan ap ap1 prioritylevel6 步骤二 AC2上配置AP的静态模板 AC2 wlanapap1modelWA2100 AC2 wlan ap ap1 serial idH3CFITAP 说明AC2不配置优先级 则使用默认优先级4 也可以配置为其他的小于6的优先级 AP保持与AC2的连接 无线控制器的可靠性 1 1热备份 AP AC1 AC2 1 获取AC列表 AC1 AC2 DHCPServer 4 与AC2建立备份隧道连接 AC1宕机 2 与AC1建立主隧道连接 步骤一 AC1上配置AP的静态模板 AC1 wlanapap1modelWA2100 AC1 wlan ap ap1 serial idH3CFITAP AC1 wlan ap ap1 prioritylevel6 步骤二 AC2上配置AP的静态模板 AC2 wlanapap1modelWA2100 AC2 wlan ap ap1 serial idH3CFITAP 说明AC2不配置优先级 则使用默认优先级4 也可以配置为其他的小于6的优先级 3 通知AP备份AC为AC2 主隧道 负责数据流量转发 备份隧道 AP检测到主隧道down 备份隧道切换为主隧道 步骤三 AC1上配置其BackupAC为AC2 AC1 wlanbackup acAC2 ipaddress 步骤四 AC2上配置其BackupAC为AC1 AC2 wlanbackup acAC1 ipaddress 5 通知AP备份AC为AC1 定期探测AC1是否恢复正常 AC1恢复 6 与AC1建立备份隧道连接 主隧道 负责数据流量转发 备份隧道 无线控制器的可靠性 1 1快速热备份 AP AC1 AC2 1 获取AC列表 AC1 AC2 DHCPServer 4 与AC2建立备份隧道连接 AC1宕机 2 与AC1建立主隧道连接 步骤一 AC1上配置AP的静态模板 AC1 wlanapap1modelWA2100 AC1 wlan ap ap1 serial idH3CFITAP AC1 wlan ap ap1 prioritylevel6步骤二 AC2上配置AP的静态模板 AC2 wlanapap1modelWA2100 AC2 wlan ap ap1 serial idH3CFITAP步骤三 AC1上配置其BackupAC为AC2 AC1 wlanbackup acAC2 ipaddress步骤四 AC2上配置其BackupAC为AC1 AC2 wlanbackup acAC1 ipaddress步骤五 AC1上启动主备快速检测 AC1 hot backupenable AC1 hot backupvlanvlan id步骤六 AC2上启动主备快速检测 AC2 hot backupenable AC2 hot backupvlanvlan id 说明AC2不配置优先级 则使用默认优先级4 也可以配置为其他的小于6的优先级 3 通知AP备份AC为AC2 主隧道 负责数据流量转发 备份隧道 原主隧道down 心跳检测 通知AP启用备份隧道 备份隧道马上切换为主隧道 5 通知AP备份AC为AC1 定期探测AC1是否恢复正常 AP1 AC1 AC2 ACN ACB 备份AC 1 获取AC列表 AC1 ACB 定期探测AC1是否恢复正常 2 与AC1建立连接 AC1宕机 DHCPServer 无线控制器的可靠性 N 1备份 3 与备份AC建立连接 AC1恢复 4 与AC1重新建立连接 5 断开与备份AC的连接 AP2 1 获取AC列表 AC2 ACB 定期探测AC2是否恢复正常 2 与AC2建立连接 AC2宕机 3 与备份AC建立连接 AC2恢复 4 与AC2重新建立连接 5 断开与备份AC的连接 当主AC出现问题后 备份AC才提供服务 主AC恢复后所有的AP又切回到主AC 如果AP开机时 主AC还没有正常工作 AP会连接到备份AC上 此后AP会不断尝试和主AC进行连接 当主AC正常工作以后 AP同样会将断开和备份AC的连接而连接到主AC上 步骤一 AC1上配置AP的静态模板 AC1 wlanapap1modelWA2100 AC1 wlan ap ap1 serial idH3cFITAP1 AC1 wlan ap ap1 prioritylevel7 步骤二 AC2上配置AP的静态模板 AC2 wlanapap2modelWA2100 AC2 wlan ap ap2 serial idH3cFITAP2 AC2 wlan ap ap2 prioritylevel7 说明主AC配置该控制器需要管理的AP信息 而且作为这些AP的首选控制器 备份AC配置所有控制器需要管理的AP 并且根据AP指定对应的首选控制器 AP1首选接入AC1 AP2首选接入AC2 AP3首选接入AC3 ACB作为AC1 AC2 AC3的备份 步骤三 AC3上配置AP的静态模板 AC3 wlanapap3modelWA2100 AC3 wlan ap ap3 serial idH3cFITAP3 AC3 wlan ap ap3 prioritylevel7 步骤四 ACB上配置AP的静态模板 ACB wlanapap1modelWA2100 ACB wlan ap ap1 serial idH3cFITAP1 ACB wlan ap ap1 backup acAC1 ipaddress ACB wlanapap2modelWA2100 ACB wlan ap ap2 serial idH3cFITAP2 ACB wlan ap ap2 backup acAC2 ipaddress ACB wlanapap3modelWA2100 ACB wlan ap ap3 serial idH3cFITAP3 ACB wlan ap ap3 backup acAC3 ipaddress 无线控制器的可靠性 N 1备份 续 无线控制器系统 ROGUE 欺诈 探测 RogueAP是指未经授权在网络中运行的AP 它及其用户造成了对网络安全的威胁 无线控制器的RogueAP检测功能用来检测Rogue设备并对它们采取反制措施 AP可以工作在以下三种模式下 Normal模式Monitor模式Hybrid模式 无线控制器 POESwitch FITAP FITAP 第三方AP 无线控制器系统 认证加密方式 支持通过Radius服务器或者无线控制器本地数据库认证无线用户 支持的认证方式如下802 1X认证MAC认证Portal认证PPPoE认证无线控制器支持的加密方式如下WEP WiredEquivalentPrivacy 加密方式WPA Wi FiProtectedAccess 安全架构WPA2安全架构 WLAN技术简介APFAT转FIT原理和教程AC FITAP组网架构AP未注册成功快速排查方法 目录 AP注册问题快速排查方法 a FitAP是否上电 b FitAP所接入的VLAN网络是否可以动态获得地址 c FitAP所在的网络中的DHCP服务器是否唯一 d 确定AC和FitAP所在的网络三层可达 在AP上PINGAC的IP e AP模版的序列号和类型配置是否正确 f AC上是否已经存在AP对应的版本文件 AP注册问题快速排查方法 谢谢聆听