無線局域網(wǎng)設(shè)備及附件

第四章無線局域網(wǎng)設(shè)備及附件近年來，整個世界逐步走向移動化，無線網(wǎng)絡(luò)以其施工簡單、接入方便逐漸被人們所喜愛。目前，越來越多的WLAN產(chǎn)品正走進我們的生活，本章主要講解H3CWLAN系列產(chǎn)品及其基本配置操作。引入WLAN設(shè)備——無線網(wǎng)卡無線網(wǎng)卡為終端提供無線上網(wǎng)能力筆記本網(wǎng)卡USB網(wǎng)卡PCI無線網(wǎng)卡WLAN設(shè)備——無線接入點無線接入點WLAN設(shè)備——天線天線

無線設(shè)備上的的天線主要用于提高無線信號強度網(wǎng)橋用柵狀拋物面天線覆蓋用板狀天線網(wǎng)橋覆蓋兩用板狀天線WLAN設(shè)備FATAP接入交換機SAT無線控制器匯聚交換機辦公大樓AFITAP接入交換機SAT無線控制器匯聚交換機辦公大樓BSTA：帶有無線網(wǎng)卡的PC等無線終端AP：無線接入點，提供無線終端到LAN的接入功能AC：無線控制器，對WLAN中的FITAP及STA進行控制和管理。無線網(wǎng)橋：將兩個網(wǎng)絡(luò)通過無線接口橋接起來。FATAPFATAPFATAP設(shè)備功能InernetFATAP：將用戶數(shù)據(jù)加密、用戶認證、QoS、網(wǎng)絡(luò)管理、漫游技術(shù)以及應(yīng)用層的功能于一身。FATAP限制：單獨配置、單獨升級、不支持3層漫游，成本高，投資規(guī)模大。FATAP設(shè)備的典型組網(wǎng)模式無線控制器+FITAP無線控制器+FITAPFITAPInernet無線控制器無線控制器具有集中處理所有安全、控制和管理功能。FITAP只提供高可靠性的射頻功能。無線控制器+FITAP方案具有易于管理、支持2層/3層快速漫游、QoS、網(wǎng)絡(luò)自愈功能。為什么需要FITAP解決方案配置簡單：AP零配置、所有的配置集中在無線交換機上完成，簡單便捷.維護方便：管理、維護針對無線交換機來實現(xiàn)，不需要對每一臺AP進行操作.易于升級：針對特性增加帶來的軟件版本升級需求，只需要對無線交換機進行操作即可，不需要對每一臺無線AP單獨升級.安全可控：可以集中進行射頻及功率、信道調(diào)整，安全訪問控制等功能.更易擴展：根據(jù)需要，可以靈活增加補點AP，支持三層漫游，方便擴展支持無線監(jiān)控、話音應(yīng)用等業(yè)務(wù)。FITAP設(shè)備的典型組網(wǎng)模式FITAP的注冊流程APDHCPServerAC獲取IP地址發(fā)送2層廣播請求AC發(fā)現(xiàn)響應(yīng)版本、配置下載用戶數(shù)據(jù)傳遞AP通過2層網(wǎng)絡(luò)注冊流程FITAP的注冊流程APDHCPServerAC獲取IP地址發(fā)送單播請求AC發(fā)現(xiàn)響應(yīng)版本、配置下載用戶數(shù)據(jù)傳遞AP通過3層網(wǎng)絡(luò)注冊流程FITAP的注冊流程APDHCPServerAC獲取IP地址、DNS域名發(fā)送單播請求AC發(fā)現(xiàn)響應(yīng)版本、配置下載用戶數(shù)據(jù)傳遞AP通過3層采用DNS網(wǎng)絡(luò)注冊流程DNSServerDNS解析請求DNS解析響應(yīng)2層廣播發(fā)現(xiàn)請求無線控制器+FITAP的數(shù)據(jù)轉(zhuǎn)發(fā)原理AC和FITAP之間建立IPinIP隧道。STA發(fā)送的任何數(shù)據(jù)由AP通過IPinIP隧道傳給AC，由AC統(tǒng)一轉(zhuǎn)發(fā)。AC從IPinIP隧道接收數(shù)據(jù)后，先解隧道封裝，進行數(shù)據(jù)交換。

FatAP&FitAP組網(wǎng)模式對照

FatAP方案FitAP方案技術(shù)模式傳統(tǒng)方式新生方式，增強管理安全性傳統(tǒng)加密、認證方式，普通安全性增加射頻環(huán)境監(jiān)控，基于用戶位置安全策略，高安全性網(wǎng)絡(luò)管理對每AP下發(fā)配置文件WirelessSwitch上配置好文件，AP本身零配置用戶管理類似有線，根據(jù)AP接入的有線端口區(qū)分權(quán)限無線專門虛擬專用組方式，根據(jù)用戶名區(qū)分權(quán)限WLAN組網(wǎng)規(guī)模L2漫游，適合小規(guī)模組網(wǎng)，成本較低L2、L3漫游，拓撲無關(guān)性，適合大規(guī)模組網(wǎng)，成本較高增值業(yè)務(wù)能力實現(xiàn)簡單數(shù)據(jù)接入可擴展語音等豐富業(yè)務(wù)FATAP平滑切換到FITAP方案

隨著近年來運營商開始規(guī)模的建設(shè)WLAN網(wǎng)絡(luò)，部分運營商在建網(wǎng)初期采用FatAP，可以實現(xiàn)業(yè)務(wù)的快速部署，但隨著網(wǎng)絡(luò)規(guī)模的擴大，原有WLAN網(wǎng)管漸漸無法滿足大量AP的維護、管理、升級需要。迫切需要轉(zhuǎn)換到FitAP架構(gòu).無線網(wǎng)橋擴展網(wǎng)絡(luò)，將不同的WLAN互連的特殊AP。提高網(wǎng)絡(luò)安全性，可以防止未授權(quán)的用戶訪問網(wǎng)絡(luò)。根據(jù)傳輸距離的不同可分為工作組網(wǎng)橋和長距離網(wǎng)橋。防止信號衰減，網(wǎng)橋之間不能有障礙物。應(yīng)適應(yīng)室外惡劣環(huán)境的影響。無線網(wǎng)橋天線天線在無線系統(tǒng)中的作用將傳輸線中的電磁能轉(zhuǎn)化為自由空間的電磁波，或?qū)⒖臻g電磁波轉(zhuǎn)化成傳輸線中的電磁能的專用設(shè)備。天線方向性從饋線取得的能量向周圍空間輻射出去，把大部分能量朝所需的方向輻射。增益在輸入功率相等的條件下，實際天線與理想的輻射單元在空間同一點處所產(chǎn)生的信號的功率密度之比。天線的極化天線向周圍空間輻射電磁波，電場的方向就是天線極化方向。垂直極化---是最常用的。

發(fā)射天線接收天線天線天線的分類全向天線定向天線機械天線電調(diào)天線雙極化天線天線增益對天線發(fā)射功率的匯聚車程度dBi=10xlgWLAN規(guī)劃原則WLAN規(guī)劃原則100以下用戶組網(wǎng)建議建議采用單個FAP或多個FAP組網(wǎng)

WLAN規(guī)劃原則100~300以下用戶組網(wǎng)建議建議采用多個FAP或AC+FITAP組網(wǎng)

WLAN規(guī)劃原則300以上用戶組網(wǎng)建議建議采用AC+FITAP組網(wǎng)

WLAN規(guī)劃原則無線網(wǎng)橋組網(wǎng)建議多棟建筑之間需要建立網(wǎng)絡(luò)連接，建議采用無線網(wǎng)橋組網(wǎng)方式WLAN的典型部署熱點覆蓋承載Wi-Fi語音和移動數(shù)據(jù)業(yè)務(wù)辦公地點無線連接WLAN的典型部署熱點覆蓋WLAN的典型部署承載移動數(shù)據(jù)業(yè)務(wù)WLAN的典型部署辦公地點無線連接基本服務(wù)集（BasicServiceSet，簡稱BSS）在基本服務(wù)集（BSS）中，用戶共用一個AP，AP獨立組網(wǎng)（無線），AP上行可以接入到有線網(wǎng)絡(luò)，無線用戶在一個BSS中實現(xiàn)互通。RadiusServer無線客戶端L2交換機AP無線客戶端FatAP的基本服務(wù)集模式APRadiusServerL3交換機AP無線客戶端無線客戶端擴展服務(wù)集模式（ExtendedServiceSet，簡稱ESS）在擴展服務(wù)集（ESS）中，距離較遠的無線終端分別屬于不同BSS，AP可以上行接入到有線網(wǎng)絡(luò)，借助有線網(wǎng)無線終端實現(xiàn)互通，如果有無線網(wǎng)橋，兩個BSS通過無線網(wǎng)橋?qū)崿F(xiàn)互通。FatAP的擴展服務(wù)集模式WDS模式（WirelessDistributionSystem）WDS模式中，AP工作橋模式扮演無線中繼器角色，無線終端在ESS服務(wù)集通過WDS橋接后，在純無線網(wǎng)絡(luò)中實現(xiàn)互通或上行接入到有線網(wǎng)絡(luò)。WDSRadiusServerL2交換機APWDSAP無線客戶端無線客戶端FatAP的WDS組網(wǎng)模式無線漫游無線訪問控制

WDS功能射頻管理認證方式加密方式FatAP的主要特性Keycaching過程：STA第一次接入時（接入OldAP）采用正常的802.1x認證過程認證通過后STA把使用的PMK信息保存在Cache中STA漫游切換時，向NewAP發(fā)起Reassociation時協(xié)商使用PMKCache方式做認證STA利用在Cache中保存的在OldAP中使用的PMK和NewAP發(fā)起4次握手協(xié)商過程協(xié)商成功，STA開始傳送數(shù)據(jù)報文STAAPPMKCacheXXXXXXXNewAPOldAPSTAPMKCacheXXXXXXXSTAPMKCacheXXXXXXXFatAP的快速漫游技術(shù)－KeycachingFatAP作為接入設(shè)備，它具有完整的接入和控制功能。支持ACL和防火墻功能MAC地址認證有些FatAP利用黑白名單實現(xiàn)用戶訪問控制，在黑名單上源MAC用戶拒絕接入，白名單的用戶為合法用戶，允許接入可以通過SSID同VLAN綁定，實現(xiàn)不同SSID下二層用戶間的隔離有些廠家的設(shè)備支持同一個SSID下用戶之間的隔離，如H3C公司的WA1208E等FatAP的無線訪問控制WDS是FatAP的一個特殊功能，通過此功能可以實現(xiàn)AP與AP之間的無線通信。802.11協(xié)議對WDS的具體實現(xiàn)沒作規(guī)定，這為各大廠家WDS的實現(xiàn)帶來了靈活的余地，但各廠商產(chǎn)品之間的互通基本沒有可能性。FatAP的WDS功能企業(yè)總部網(wǎng)絡(luò)企業(yè)分支網(wǎng)絡(luò)1企業(yè)分支網(wǎng)絡(luò)2FatAPFatAPFatAPWDS功能的典型應(yīng)用自動調(diào)節(jié)FatAP

射頻可以工作在自動模式，射頻自動間隔一定時間掃描一次周圍的射頻環(huán)境，通過比較自動選擇干擾小，噪音低的信道，通過監(jiān)控當前的信道也能自動調(diào)節(jié)功率和數(shù)據(jù)發(fā)送速率，有一定的智能性。手動配置用戶也可以手動配置信道、功率以及數(shù)據(jù)發(fā)送速率。缺點在于不能發(fā)揮物理層的性能，沒有自動狀態(tài)效率高。FatAP的射頻管理開放系統(tǒng)身份認證（open-systemauthentication）開放系統(tǒng)認證是802.11要求必備的方式。在開放系統(tǒng)身份認證中，AP并未驗證移動式工作站的真實身份。開放系統(tǒng)下用戶只要MAC地址唯一即可接入網(wǎng)絡(luò)。共享密鑰認證（shared-keyauthentication）共享密鑰身份認證必須使用WEP。共享密鑰身份認證要求在進行身份認證之前，必須傳遞共享密鑰給無線終端。雙方交換密鑰成功后，終端才可接入網(wǎng)絡(luò)。MAC地址認證MAC地址認證是相當常見的做法，幾乎所有產(chǎn)品均有支持。網(wǎng)管人員可以鍵入一組經(jīng)過授權(quán)的終端MAC地址，只有表上有其MAC地址的終端才可以跟網(wǎng)絡(luò)連接。PSK（Pre-sharedkey）認證PSK認證要求在STA側(cè)預(yù)先配置Key，AP通過4次握手Key協(xié)商協(xié)議來驗證STA側(cè)Key的合法性。802.1x認證802.1x認證是基于端口的網(wǎng)絡(luò)接入控制協(xié)議,它提供了一個認證過程框架，支持多種認證協(xié)議。在802.1x中，不同的認證協(xié)議統(tǒng)一使用EAP封裝格式。FatAP的認證方式WEP（WiredEquivalentPrivacy）有線等價保密協(xié)議WEP密鑰采用RC4算法，有靜態(tài)與動態(tài)之分。WEP標準采用64位比特或128位比特加密。WPA（Wi-FiProtectedAccess）加密方式IEEE為了改進WEP加密機制的各種缺陷制定了IEEE802.11i安全標準。標準采用了IEEE802.11i的草案，保證了與未來出現(xiàn)的協(xié)議的前向兼容。WPA采用TKIP和CCMP加密算法。WPA2加密方式WPA2采用CCMP加密算法。FatAP的加密方式無線交換機的應(yīng)用部署方式無線交換機+FitAP集中式企業(yè)內(nèi)部部署方式

無線交換機+FitAP分布式企業(yè)內(nèi)部部署方式

無線交換機+FitAP企業(yè)分支機構(gòu)部署方式無線交換機+FitAP集中式企業(yè)內(nèi)部部署方式無線交換機無線交換機認證服務(wù)器無線網(wǎng)管公司骨干匯聚交換機有線客戶端有線客戶端PoE交換機PoE交換機無線接入點無線接入點無線客戶端一層樓二層樓無線交換機+FitAP分布式企業(yè)內(nèi)部部署方式無線交換機無線交換機認證服務(wù)器無線網(wǎng)管公司骨干匯聚交換機有線客戶端有線客戶端PoE交換機PoE交換機無線接入點無線接入點無線客戶端一層樓二層樓無線交換機+FitAP企業(yè)分支機構(gòu)部署方式無線交換機認證服務(wù)器無線網(wǎng)管公司骨干路由器有線客戶端有線客戶端PoE交換機PoE交換機無線接入點無線接入點無線客戶端分支二分支一無線客戶端公司總部分支出口路由器分支出口路由器無線接入點有線客戶端PoE交換機FatAP的應(yīng)用部署方式FatAP的主要特性無線交換機的應(yīng)用部署方式無線交換機的工作原理無線交換機的主要特性目錄無線交換機的工作原理無線交換機+FitAP的連接方式

無線交換機+FitAP系統(tǒng)構(gòu)成特點

FitAP零配置啟動注冊過程無線交換機+FitAP的數(shù)據(jù)轉(zhuǎn)發(fā)原理無線交換機+FitAP的連接方式

FitAP無線交換機無線交換機無線交換機L2網(wǎng)絡(luò)L3網(wǎng)絡(luò)FitAPFitAPFitAPFitAPFitAP直連方式二層網(wǎng)絡(luò)連接方式三層網(wǎng)絡(luò)連接方式無線交換機+FitAP系統(tǒng)構(gòu)成特點主要由無線交換機和FitAP在有線網(wǎng)的基礎(chǔ)上構(gòu)成的。AP零配置，硬件主要由CPU＋內(nèi)存＋RF構(gòu)成，配置和軟件都要從無線交換機上下載。所有AP和無線客戶端的管理都在無線交換機上完成。AP和無線交換機之間的流量被私有協(xié)議加密；無線客戶端的MAC只出現(xiàn)在無線交換機端口，而不會出現(xiàn)在AP的端口?？梢栽谌魏维F(xiàn)有的二層或三層LAN拓撲上部署H3C的通用無線解決方案，而無需重新配置主干或硬件。無線交換機以及管理型接入點AP可以位于網(wǎng)絡(luò)中的任何位置。在復(fù)雜的網(wǎng)絡(luò)中，F(xiàn)itAP如何得知無線交換機的位置？AP直連或通過二層網(wǎng)絡(luò)連接時的注冊流程AP從無線交換機下載最新軟件版本、配置AP開始正常工作和無線交換機交換用戶數(shù)據(jù)報文無線交換機APDHCPServer1、獲取IP地址2、發(fā)送二層廣播發(fā)現(xiàn)請求4、版本、配置下載3、無線交換機發(fā)現(xiàn)響應(yīng)5、用戶數(shù)據(jù)傳遞AP通過DHCPserver獲取IP地址AP發(fā)出二層廣播的發(fā)現(xiàn)請求報文試圖聯(lián)系一個無線交換機接收到發(fā)現(xiàn)請求報文的無線交換機會檢查該AP是否有接入本機的權(quán)限，如果有則回應(yīng)發(fā)現(xiàn)響應(yīng)AP與無線交換機直連或通過二層網(wǎng)絡(luò)連接：AP通過三層網(wǎng)絡(luò)連接時的注冊流程APDHCP

Server無線交換機1、獲取IP地址、DNSServer地址、域名2、二層廣播發(fā)現(xiàn)請求6、版本、配置下載7、用戶數(shù)據(jù)傳遞AP在多次嘗試發(fā)現(xiàn)請求無回應(yīng)的情況下：AP會從DNSserver獲取H3C.xxxx.xxx的IP地址，該IP地址即為無線交換機的IP地址，其中xxxx.xxx是從DHCPserver學(xué)習(xí)到的域名。長時間無響應(yīng)DNS

Server3、獲取無線交換機的IP地址4、無線交換機發(fā)現(xiàn)請求5、無線交換機發(fā)現(xiàn)響應(yīng)AP發(fā)出二層廣播的發(fā)現(xiàn)請求報文試圖聯(lián)系一個無線交換機AP通過DHCPserver獲取IP地址、DNSserver地址、域名接收到發(fā)現(xiàn)請求報文的無線交換機會檢查該AP是否有接入本機的權(quán)限，如果有則回應(yīng)發(fā)現(xiàn)響應(yīng)。AP從無線交換機下載最新軟件版本、配置AP開始正常工作和無線交換機交換用戶數(shù)據(jù)報文AP與無線交換機通過三層網(wǎng)絡(luò)連接：AP向無線控制器發(fā)送單播發(fā)現(xiàn)請求。無線交換機的數(shù)據(jù)轉(zhuǎn)發(fā)原理STAServerVLAN1IP:1.0.0.1無線交換機FitAP隧道口隧道口IP:3.0.0.1無線交換機和AP間數(shù)據(jù)轉(zhuǎn)發(fā)的核心思想在無線交換機和AP之間建立IPinIP隧道，無線交換機將這些隧道看做虛擬物理端口；無線客戶端STA的任何數(shù)據(jù)報文都將由AP通過IPinIP隧道交給無線交換機，由無線交換機統(tǒng)一轉(zhuǎn)發(fā)；無線交換機從IPinIP隧道接收到用戶的數(shù)據(jù)后先解隧道封裝，然后做數(shù)據(jù)交換，如果出接口為隧道則對數(shù)據(jù)報文再次加上隧道封裝，直到交換到最遠端。核心交換機接入交換機FitAP隧道口STAVLAN2IP:2.0.0.1VLAN1IP:1.0.0.2SA＝STAMACDA＝PCMACVLAN＝VLAN1SIP＝1.0.0.1DIP＝1.0.0.2SA＝STAMACDA＝PCMACSIP＝1.0.0.1DIP＝1.0.0.2STAIP:1.0.0.1IP:1.0.0.3IP:1.0.0.4PC無線交換機L2交換機SA＝STAMACDA＝PCMACSIP＝1.0.0.1DIP＝1.0.0.2APL2交換機無線交換機SA＝STAMACDA＝PCMACSIP＝1.0.0.1DIP＝1.0.0.2APPCIP:1.0.0.2STASA＝APMACDA＝ACMACVLAN＝VLAN1SIP＝1.0.0.3DIP＝1.0.0.4IPinIP隧道封裝STA>PC的數(shù)據(jù)轉(zhuǎn)發(fā)解IPinIP隧道封裝，802.11->802.3轉(zhuǎn)換加IPinIP隧道封裝802.11報文VLAN1VLAN1VLAN1STA1VLAN1VLAN1IP:1.0.0.1IP:1.0.0.2IP:2.0.0.1IP:3.0.0.1STA1無線交換機L3交換機SA＝STA2MACDA＝STA1MACSIP＝1.0.0.2DIP＝1.0.0.1SIP＝3.0.0.1DIP＝2.0.0.1IPinIP隧道封裝AP1AP1無線交換機SA＝STA2MACDA＝STA1MACSIP＝1.0.0.2DIP＝1.0.0.1SA＝STA2MACDA＝STA1MACSIP＝1.0.0.2DIP＝1.0.0.1AP2AP2STA2IP:4.0.0.1STA2SIP＝4.0.0.1DIP＝3.0.0.1IPinIP隧道封裝SA＝STA2MACDA＝STA1MACSIP＝1.0.0.2DIP＝1.0.0.1STA2->STA1的數(shù)據(jù)轉(zhuǎn)發(fā)解IPinIP隧道封裝解IPinIP隧道封裝，802.11->802.3轉(zhuǎn)換802.3->802.11轉(zhuǎn)換，加IPinIP隧道封裝加IPinIP隧道封裝802.11報文FatAP的應(yīng)用部署方式FatAP的主要特性無線交換機的應(yīng)用部署方式無線交換機的工作原理無線交換機的主要特性目錄無線交換機的主要特性基于用戶的授權(quán)無線用戶漫游

無線交換機端口聚合和負荷分擔(dān)

FitAP之間的負載均衡

無線交換機系統(tǒng)的冗余與可靠性

基于用戶身份的安全

ROGUE（欺詐）探測無線交換機系統(tǒng)－基于用戶的授權(quán)Layer

2RadiusServerDHCPServer192.168.1.4/24trunktrunktrunk192.168.1.1/24(1)192.168.2.1/24(2)192.168.3.1/24(3)無線交換機-1:vlan1vlan2192.168.1.2無線交換機-2:vlan1vlan3192.168.1.3路由器無線交換機-3:vlan4192.168.4.2192.168.4.1/24FitAPFitAPUser1User2無線交換機可以通過自身設(shè)置或配合Radius服務(wù)器對無線接入用戶進行授權(quán)，如對用戶下發(fā)VLAN屬性，實現(xiàn)基于用戶的授權(quán)。無線交換機系統(tǒng)－無線用戶漫游漫游：用戶在移動時，保持它們的會話連接包括IP地址、所屬VLAN及所連接的服務(wù)均不改變，用戶感覺不到網(wǎng)絡(luò)的變化。漫游域（MobilityDomain）：漫游域是由多個無線交換機和AP組成的支持wirelessclient漫游的無線網(wǎng)絡(luò)系統(tǒng)。Layer2RadiusServerDHCPServer192.168.1.4/24trunktrunktrunk192.168.1.1/24(1)192.168.2.1/24(2)192.168.3.1/24(3)無線交換機-1:vlan1vlan2192.168.1.2路由器無線交換機-3:vlan4192.168.4.2192.168.4.1/24FitAPFitAPUser

1User2無線交換機-2:vlan1vlan3192.168.1.3無線交換機端口聚合和負荷分擔(dān)無線交換機支持端口聚合，端口聚合可以實現(xiàn)出/入負荷在聚合組中各個成員端口之間分擔(dān)，以增加帶寬。同時，同一聚合組的各個成員端口之間彼此動態(tài)備份，提高了連接可靠性。無線交換機L3SwitchPoESwitchFitAPFitAP無線客戶端無線客戶端端口聚合FitAP之間的負載均衡當不同的AP覆蓋同一區(qū)域時，可通過負載均衡控制不同AP的接入用戶數(shù)，以保證密集用戶區(qū)域的用戶帶寬性能。

H3CFITAP的負載均衡有兩種方