H3C無線產(chǎn)品特性與應用部署

H3C無線產(chǎn)品特性與應用部署 ISSUE 2.0 日期： 杭州華三通信技術有限公司 版權所有，未經(jīng)授權不得使用與傳播 引入 n 近年來，整個世界逐漸走向移動化。無線網(wǎng)絡以其施 工簡單、接入方便逐漸被人們所喜愛。目前，越來越 多的 WLAN產(chǎn)品正走入我們的生活。本文就主要講解 WLAN產(chǎn)品的主要特性和常見應用部署方式。 課程目標 學習完本課程，您應該能夠： n 掌握 Fat AP系列產(chǎn)品與典型配置 n 掌握 Fat AP主要特性 n 掌握無線交換機 +Fit AP工作原理 n 掌握無線交換機 +Fit AP應用部署方式 n 掌握無線交換機 +Fit AP主要特性 n 掌握無線交換機產(chǎn) 品與典型配置 無線應用 網(wǎng)絡管理軟件 無線 IDS 無線定位 無線客戶端 WiFi語音 無線控制器系列 WX5002 WX6103 S7500E/9500插卡 S7500 插卡 WX3024 FAT AP/網(wǎng)橋 FAT AP FIT/FAT AP WA1208E-G WA1208E-AG/DG/GP/AGP WA2210-AG WA2220-AG WA2220E-AG WA2210X-G WA2220X-AG WA2110-AG WA2600 11n AP MESH AP /網(wǎng)橋 WH2520 WB2320 目錄 n Fat AP產(chǎn)品介紹與典型配置 n Fat AP主要特性 n 無線交換機工作原理 n 無線交換機應用部署方式 n 無線交換機主要特性 n 無線交換機產(chǎn)品介紹 n 無線交換機的典型組網(wǎng)與配置 5 WA2200系列產(chǎn)品 l WA2200產(chǎn)品主要分為三個系列： WA2200室內型（ WA2200系列） WA2200復雜型（ WA2200E系列） WA2200室外型（ WA2200X系列） WA2200室內型 WA2200復雜型 WA2200室外型 6 WA2200室內型產(chǎn)品 產(chǎn)品型號 WA2210-AG WA2220-AG 模式 Fit/Fat雙模 AP Fit/Fat雙模 AP 射頻特性 單射頻，可通過軟件配置 成 11a或 11b/g 雙射頻，同時支持 11a或 11b/g 最大射頻功率 100mW 100mW 備注 室內型產(chǎn)品 室內型產(chǎn)品 7 8 WA2200室外型產(chǎn)品 產(chǎn)品型號 WA2210X-G WA2220X-AG WA2220X-AGP 模式 Fit/Fat雙模 AP Fit/Fat雙模 AP Fit/Fat雙模 AP 射頻特性 單射頻，只支持 11b/g 雙射頻，同時支持 11a或 11b/g 雙射頻，同時支持 11a或 11b/g 最大射頻功率 100mW 100mW 11g射頻功率最 大 500mW 備注 室外型產(chǎn)品，支持光口， 網(wǎng)口防雷 室外型產(chǎn)品，支持光口， 網(wǎng)口防雷 室外型產(chǎn)品，支持光口， 網(wǎng)口防雷 9 WA2220E的三個端口 WA1208E系列產(chǎn)品 產(chǎn)品型號 WA1208E-G WA1208E-GP WA1208E-DG WA1208E-AG WA1208E-AGP 模式 Fit/Fat雙模 AP Fit/Fat雙模 AP Fit/Fat雙模 AP Fit/Fat雙模 AP Fit/Fat雙模 AP 射頻特性 單射頻，只支持 11b/g 單射頻，只支持 11b/g 雙射頻，只支持 11b/g 雙射頻，同時支持 11a或 11b/g 雙射頻，同時支持 11a或 11b/g 最大射頻功率 100mW 500mW 100mW 100mW 11g射頻功率最大 500mW 11a射頻功率最大 100mW 10 Fat AP的典型應用與配置 trunk 交換機 Fat AP(V5) l 實例： 無線客戶端 Fat AP上配置兩個 vlan： vlan 1000和 vlan 256 vlan 1000為管理 vlan； vlan 256為業(yè)務 vlan，所有的 無線客戶端都屬于 vlan 256 Fat AP的管理 IP地址為 0/24，網(wǎng)關為 54 服務集標識 SSID為 H3C-wireless，無認證無加密 11 配置步驟（ 1） 步驟一：創(chuàng)建業(yè)務 vlan（ vlan256）和管理 vlan（ vlan 1000），并配置管理 IP地址 H3C vlan 256 H3C-vlan256 quit H3C vlan 1000 H3C-vlan1000 quit H3C interface vlan 1000 H3C-Vlan-interface1000 ip address 0 H3C-Vlan-interface1000 quit 步驟二：將上行以太網(wǎng)口配置為 Trunk類型 H3C interface Ethernet 1/0/1 H3C-Ethernet1/0/1 port link-type trunk H3C-Ethernet1/0/1 port trunk permit vlan all 步驟三：創(chuàng)建無線接口 H3C interface WLAN-BSS 1 H3C-WLAN-BSS1 port access vlan 256 12 配置步驟（ 2） 步驟四：創(chuàng)建無線服務模板（ SSID名稱為 H3C-wireless） H3C wlan service-template 1 clear H3C-wlan-st-1 authentication-method open-system H3C-wlan-st-1 ssid H3C-wireless H3C-wlan-st-1 service-template enable 步驟五：在 11g射頻卡上綁定無線服務模板和無線接口，配置信道為 11、功率為 15dBm H3C interface WLAN-Radio 1/0/1 H3C-WLAN-Radio1/0/1 service-template 1 interface WLAN-BSS 1 H3C-WLAN-Radio1/0/1 radio-type 11g H3C-WLAN-Radio1/0/1 channel 11 H3C-WLAN-Radio1/0/1 max-power 15 注：默認情況下，功率為 20dBm（即 100mW）；信道為自動調整。 步驟六：配置默認路由 H3C ip route-static 0 54 13 目錄 n Fat AP產(chǎn)品介紹與典型配置 n Fat AP主要特性 n 無線交換機工作原理 n 無線交換機應用部署方式 n 無線交換機主要特性 n 無線交換機產(chǎn)品介紹 n 無線交換機的典型組網(wǎng)與配置 Fat AP的主要特性 l 無線漫游 l 無線訪問控制 l WDS功能 l 射頻管理 l 認證方式 l 加密方式 15 Fat AP的 WDS功能 l WDS 是 Fat AP的一個特殊功能，通過此功能可以實現(xiàn) AP與 AP之間 的無線通信。 l 802.11協(xié)議對 WDS的具體實現(xiàn)沒作規(guī)定，這為各廠商 WDS的實現(xiàn)帶 來了靈活的余地，但各廠商產(chǎn)品之間的互通基本沒有可能性。 L2交換機 I P網(wǎng)絡 Radius Server AP WDS 無線客戶端 WDS AP 無線客戶端 16 WDS功能的典型應用與配置方式 l WDS 功能的兩種配置方式 方式 MAC方式 企業(yè)分支網(wǎng)絡 1 企業(yè)總部網(wǎng)絡 Fat AP-2 Fat AP-1 企業(yè)分支網(wǎng)絡 2 Fat AP-3 17 AP 上行鏈路完整性檢測功能 Radius Server IP L2交換機 trunk l FAT AP支持上行鏈路的檢測功能，并且根 據(jù)上行鏈路的狀態(tài)確定是否提供 WLAN接入 服務 WLAN uplink-interface Ethernet 1/0/1 信號消失 無線客戶端 18 IP trunk AP Fat AP的無線訪問控制功能 Radius Server l 二層隔離功能 l2fw wlan-client-isolation enable L2交換機 l 黑白名單功能 static-blacklist mac-address mac-add whitelist mac-address mac-add l ACL和防火墻功能 無線客戶端 無線客戶端 19 Fat AP的射頻管理功能 l 信道 自動選擇： Fat AP 上電后會掃描一次周圍的射頻環(huán)境，通過比較 自動選擇干擾小，噪音低的信道為當前工作信道。 手動設置：可以手動設定 Fat AP當前工作信道。 l 功率 Fat AP功率只能通過手動設置。 默認情況下， Fat AP以最大功率啟動。 20 Fat AP的認證加密方式 l MAC地址認證 MAC地址認證是相當常見的做法，幾乎所有產(chǎn)品均有支持。網(wǎng)管人員可以鍵入一組經(jīng)過授權 的終端 MAC地址，只有表上有其 MAC地址的終端才可以跟網(wǎng)絡連接。 l PSK（ Pre-shared key）認證 PSK認證要求在 STA側預先配置 Key， AP通過 4次握手 Key協(xié)商協(xié)議來驗證 STA側 Key的合法 性。 l 802.1x認證 802.1x認證是基于端口的網(wǎng)絡接入控制協(xié)議 , 它提供了一個認證過程框架，支持多種認證協(xié) 議。在 802.1x中，不同的認證協(xié)議統(tǒng)一使用 EAP封裝格式。 l WEP（ Wired Equivalent Privacy）加密方式 WEP 密鑰采用 RC4算法。 WEP 標準采用 64位比特或 128位比特加密。 l WPA（ Wi-Fi Protected Access）安全架構 IEEE為了改進 WEP加密機制的各種缺陷制定了 IEEE 802.11i安全標準 。 標準采用了 IEEE802.11i的草案，保證了與未來出現(xiàn)的協(xié)議的前向兼容。 WPA采用 TKIP和 CCMP加密算 法。 l WPA2安全架構（又稱為 RSN （ Robust Security Network） WPA2采用 CCMP（即 AES， advanced encryption standard）加密算法。 21 目錄 n Fat AP產(chǎn)品介紹與典型配置 n Fat AP主要特性 n 無線交換機工作原理 n 無線交換機應用部署方式 n 無線交換機主要特性 n 無線交換機產(chǎn)品介紹 n 無線交換機的典型組網(wǎng)與配置 無線交換機的工作原理 l 無線交換機 +Fit AP的連接方式 l 無線交換機 +Fit AP系統(tǒng)構成特點 l Fit AP零配置啟動注冊過程 l無線交換機 +Fi AP的數(shù)據(jù)轉發(fā)原理 23 無線交換機 +Fit AP的連接方式 無線交換機 無線交換機 L2網(wǎng)絡 無線交換機 L3網(wǎng)絡 Fit AP Fit AP Fit AP Fit AP Fit AP Fit AP 直連方式 二層網(wǎng)絡連接方式 三層網(wǎng)絡連接方式 24 無線交換機 +Fit AP系統(tǒng)構成特點 l 主要由無線交換機和 Fit AP在有線網(wǎng)的基礎上構成的。 l AP零配置，硬件主要由 CPU內存 RF構成，配置和軟件都要從無 線交換機上下載。所有 AP和無線客戶端的管理都在無線交換機上完 成。 l AP和無線交換機之間的流量被私有協(xié)議加密；無線客戶端的 MAC只 出現(xiàn)在無線交換機端口，而不會出現(xiàn)在 AP的端口。 l 可以在任何現(xiàn)有的二層或三層 LAN 拓撲上部署 H3C的通用無線解決 方案，而無需重新配置主干或硬件。無線交換機以及管理型接入點 AP可以位于網(wǎng)絡中的任何位置。 在復雜的網(wǎng)絡中， Fit AP如何得知無線交換機的位置？ 25 4. 5. AP直連或通過二層網(wǎng)絡連接時的注冊流程 AP與無線交換機直連或通過二層網(wǎng)絡連接： AP DHCP Server 無線交換機 1. AP通過 DHCP server獲取 IP地址 2. AP發(fā)出二層廣播的發(fā)現(xiàn)請求報文試圖聯(lián) 系一個無線交換機 3. 接收到發(fā)現(xiàn)請求報文的無線交換機會檢 查該 AP是否有接入本機的權限，如果有 則回應發(fā)現(xiàn)響應 AP從無線交換機下載最新軟件版本、 配置 AP開始正常工作和無線交換機交換用 戶數(shù)據(jù)報文 1、獲取 IP地址 2、發(fā)送二層廣播發(fā)現(xiàn)請求 3、無線交換機發(fā)現(xiàn)響應 4、版本、配置下載 5、用戶數(shù)據(jù)傳遞 26 AP通過三層網(wǎng)絡連接時的注冊流程 _option 43方式 AP與無線交換機通過三層網(wǎng)絡連接： 1. AP通過 DHCP server獲取 IP地址、 AP DHCP Server 無線交換機 option 43屬性 (攜帶無線交換機的 IP 地址信息 ) 1、獲取 IP地址、 option 43屬性 2. AP會從 option 43屬性中獲取無線交換 機的 IP地址，然后向無線控制器發(fā)送 單播發(fā)現(xiàn)請求。 3. 接收到發(fā)現(xiàn)請求報文的無線交換機會 檢查該 AP是否有接入本機的權限，如 果有則回應發(fā)現(xiàn)響應。 4. AP從無線交換機下載最新軟件版本、 配置 5. AP開始正常工作和無線交換機交換用 戶數(shù)據(jù)報文 2、無線交換機發(fā)現(xiàn)請求 3、無線交換機發(fā)現(xiàn)響應 4、版本、配置下載 5、用戶數(shù)據(jù)傳遞 27 Option 43屬性配置舉例 l H3C設備內置 DHCP Server l Option 43選項說明 80：選項類型，固定為 80， 1個字節(jié)。 0B: 選項長度，表示其后內容的長度 （十六進制數(shù)的個數(shù)，這里表示后面有 11個十六進制數(shù)），一個字節(jié)。 0000: Server type ，固定配為 0000兩 個字節(jié)。 02：后面 IP地址的個數(shù)，一個字節(jié)。 12010701,12010702：兩個 AC的 IP地 址的十六進制表示 ，分別是 和 ，其中 為主 AC. l Microsoft DHCP Server 28 3. AP通過三層網(wǎng)絡連接時的注冊流程 _DNS方式 AP與無線交換機通過三層網(wǎng)絡連接： 1. AP通過 DHCP server獲取 IP地址、 DNS server AP DHCP Server DNS Server 無線交換機 地址、域名 2. AP發(fā)出二層廣播的發(fā)現(xiàn)請求報文試圖聯(lián)系一 個無線交換機 AP在多次嘗試發(fā)現(xiàn)請求無回應的情況下： AP會從 DNS server獲取 H3C.xxxx.xxx的 IP地址，該 IP地址即為無線交換機的 IP 地址，其中 xxxx.xxx是從 DHCP server 學習到的域名。 1、獲取 IP地址、 DNS Server地址、 域名 2、二層廣播發(fā)現(xiàn)請求 長時間無響應 3、獲取無線交換機的 IP地址 4、無線交換機發(fā)現(xiàn)請求 4. AP向無線控制器發(fā)送單播發(fā)現(xiàn)請求。 5、無線交換機發(fā)現(xiàn)響應 5. 接收到發(fā)現(xiàn)請求報文的無線交換機會檢查該 AP 是否有接入本機的權限，如果有則回應發(fā)現(xiàn)響 應。 6. AP從無線交換機下載最新軟件版本、配置 7. AP開始正常工作和無線交換機交換用戶數(shù)據(jù)報文 6、版本、配置下載 7、用戶數(shù)據(jù)傳遞 29 無線交換機的數(shù)據(jù)轉發(fā)原理 核心交換機 隧道口 無線交換機 IP: 接入交換機 隧道口 隧道口 Server Fit AP STA VLAN 1 IP: Fit AP STA VLAN 2 IP: VLAN 1 IP: l 無線交換機和 AP間數(shù)據(jù)轉發(fā)的核心思想 在無線交換機和 AP之間建立 IPinIP隧道，無線交換機將這些隧道看做虛擬物理端口； 無線客戶端 STA的任何數(shù)據(jù)報文都將由 AP通過 IPinIP隧道交給無線交換機，由無線交換機統(tǒng)一轉 發(fā)； 無線交換機從 IPinIP隧道接收到用戶的數(shù)據(jù)后先解隧道封裝，然后做數(shù)據(jù)交換，如果出接口為隧道 則對數(shù)據(jù)報文再次加上隧道封裝，直到交換到最遠端。 30 STAPC的數(shù)據(jù)轉發(fā) STA AP 無線交換機 L2交換機 PC 無線交換機 IP: VLAN 1 L2交換機 SA STA MAC DA PC MAC SIP DIP 加 IPinIP隧道封裝 802.11報文 SA AP MAC DA AC MAC VLAN 1 AP IP: STA IP: VLAN 1 PC IP: VLAN VLAN 1 SIP DIP IPinIP隧道封裝 SA STA MAC DA PC MAC SIP DIP 解 IPinIP隧道封裝， 802.11-802.3轉換 SA STA MAC DA PC MAC VLAN VLAN1 SIP DIP SA STA MAC DA PC MAC SIP DIP 31 STA2-STA1的數(shù)據(jù)轉發(fā) STA2 AP2 無線交換機 AP1 STA1 無線交換機 IP: L3交換機 SA STA2 MAC DA STA1 MAC SIP DIP 加 IPinIP隧道封裝 802.11報文 SIP DIP IPinIP隧道封裝 SA STA2 MAC DA STA1 MAC AP1 IP: STA1 VLAN1 IP: AP2 IP: STA2 VLAN1 IP: SIP DIP 解 IPinIP隧道封裝， 802.11-802.3轉換 802.3-802.11轉換，加 IPinIP隧道封裝 SIP DIP IPinIP隧道封裝 SA STA2 MAC DA STA1 MAC SIP DIP 解 IPinIP隧道封裝 SA STA2 MAC DA STA1 MAC SIP DIP 32 目錄 n Fat AP產(chǎn)品介紹與典型配置 n Fat AP主要特性 n 無線交換機工作原理 n 無線交換機應用部署方式 n 無線交換機主要特性 n 無線交換機產(chǎn)品介紹 n 無線交換機的典型組網(wǎng)與配置 無線交換機的應用部署方式 l無線交換機 +Fi AP集中式企業(yè)內部部署方式 l 無線交換機 +Fit AP分布式企業(yè)內部部署方式 l 無線交換機 +Fit AP企業(yè)分支機構部署方式 34 無線交換機 +Fit AP集中式企業(yè)內部部署方式 無線接入點 PoE交換機 有線客戶端 一層樓 匯聚交換機 無線交換機 無線客戶端 PoE交換機 公司骨干 無線網(wǎng)管 二層樓 認證服務器 無線接入點 無線交換機 有線客戶端 35 無線交換機 +Fit AP分布式企業(yè)內部部署方式 匯聚交換機 PoE交換機 無線交換機 無線接入點 匯聚交換機 無線網(wǎng)管 無線客戶端 一層樓 有線客戶端 公司骨干 匯聚交換機 無線接入點 PoE交換機 無線交換機 認證服務器 二層樓 有線客戶端 36 無線交換機 +Fit AP企業(yè)分支機構部署方式 分支二 PoE交換機 分支出口路由器 路由器 無線交換機 無線接入點 無線網(wǎng)管 無線客戶端 無線客戶端 無線接入點 PoE交換機 有線客戶端 有線客戶端 分支出口路由器 分支一 PoE交換機 公司骨干 認證服務器 公司總部 無線接入點 有線客戶端 37 目錄 n Fat AP產(chǎn)品介紹與典型配置 n Fat AP主要特性 n 無線交換機工作原理 n 無線交換機應用部署方式 n 無線交換機主要特性 n 無線交換機產(chǎn)品介紹 n 無線交換機的典型組網(wǎng)與配置 無線交換機的主要特性 l 基于用戶的授權 l 無線用戶漫游 l 無線交換機端口聚合 和負荷分擔 l Fit AP之間的負載均衡 l 無線交換機系統(tǒng)的冗余與可靠性 l 基于用戶身份的安全 l ROGUE（欺詐）探測 39 無線交換機系統(tǒng)基于用戶的授權 Radius Server DHCP Server 無線交換機 vlan 2 vlan 3 在 WLAN-ESS接口上使能 mac-vlan功能 port link-type hybrid port hybrid vlan 1 to 3 untagged mac-vlan enable 方式一、在無線交換機自身設置 User 2 IP trunk Fit AP User 3 mac-vlan mac-address 0000-0000-0002 vlan 2 mac-vlan mac-address 0000-0000-0003 vlan 3 方式二、通過 Radius Server授權 User 2 MAC： 0000-0000-0002 User 3 MAC： 0000-0000-0003 l 無線交換機可以通過自身設置或配合 Radius服務器對無線接入用戶進行授權，如對用戶下 發(fā) VLAN屬性，實現(xiàn)基于用戶的授權。 40 無線交換機系統(tǒng)無線用戶漫游 無線交換機 -1: vlan 1 Radius Server vlan 2 DHCP Server /24 無線交換機 -3: vlan 4 無線交換機 -2: vlan 1 vlan 3 trunk Layer 2 trunk 路由器 trunk /24(1) /24 /24(2) Fit AP User 1 /24(3) User 1 Fit AP l漫游：用戶在移動時，保持它們的會話連接包括 I地址、所屬 VLAN及所 連接的服務均不改變，用戶感覺不到網(wǎng)絡的變化。 l漫游域（ Mbiliy Domain）：漫游域是由多個無線交換機和 AP組成的支 持 wireless client漫游的無線網(wǎng)絡系統(tǒng)。 41 無線交換機端口聚合和負荷分擔 Fit AP 無線客戶端 L3 Switch 無線交換機 端口聚合 PoE Switch Fit AP 無線客戶端 l無線交換機支持端口聚合，端口聚合可以實現(xiàn)各端口之間負載分擔和 動態(tài)備份。 42 Fit AP之間的負載均衡 無線交換機 client 6接入無線網(wǎng)絡前，兩個 AP的用戶接入情況： AP1 Session: * client 1 * client 2 * client 3 * client 4 AP2 Session: Total: 0 AP1 AP2 * client 5 Total: 5 client 6接入無線網(wǎng)絡后，兩個 AP的用戶接入情況： AP1 Session: AP2 Session: * client 1 * client 2 * client 3 * client 6 Total: 1 client 1 client 5 client 6 * client 4 * client 5 Total: 5 l 當不同的 AP覆蓋同一區(qū)域時，可通過負載均衡控制不同 AP的接入用戶數(shù)，以保證密集用 戶區(qū)域的用戶帶寬性能。 l H3C FIT AP的負載均衡有兩種方式，即用戶數(shù)（ session）和流量（ traffic）。用戶數(shù)負 載均衡閾值默認值為 20，最小為 5，最大為 40。流量負載均衡閾值默