網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù) 課件 (秦?zé)觯┑?1章 組建無(wú)線局域網(wǎng)_第1頁(yè)
網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù) 課件 (秦?zé)觯┑?1章 組建無(wú)線局域網(wǎng)_第2頁(yè)
網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù) 課件 (秦?zé)觯┑?1章 組建無(wú)線局域網(wǎng)_第3頁(yè)
網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù) 課件 (秦?zé)觯┑?1章 組建無(wú)線局域網(wǎng)_第4頁(yè)
網(wǎng)絡(luò)設(shè)備安裝與調(diào)試技術(shù) 課件 (秦?zé)觯┑?1章 組建無(wú)線局域網(wǎng)_第5頁(yè)
已閱讀5頁(yè),還剩113頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

第11章組建無(wú)線局域網(wǎng)編著:

秦?zé)?/p>

無(wú)線局域網(wǎng)(WLAN)是指以無(wú)線信道作為傳輸媒介的局域網(wǎng)絡(luò)。無(wú)線局域網(wǎng)WLAN的傳輸介質(zhì)包括紅外線、無(wú)線電波等,紅外技術(shù)已逐漸被藍(lán)牙技術(shù)(IEEE802.15)取代。藍(lán)牙工作在2.4GHz頻段,傳輸速率最高1Mb/s,傳輸距離最大10米,用于個(gè)人操作空間,藍(lán)牙技術(shù)與IEEE802.11協(xié)議互相補(bǔ)充。無(wú)線局域網(wǎng)基于IEEE802.11協(xié)議簇工作。IEEE802.11協(xié)議簇包括802.11a、802.11b、802.11g、802.11n(Wi-Fi4)、802.11ac(Wi-Fi5)和802.11ax(Wi-Fi6)等多個(gè)標(biāo)準(zhǔn)。其中,2019年推出的802.11ax工作頻率為2.4GHz或5GHz,寬帶速率可達(dá)600~9608Mb/s。11.1無(wú)線局域網(wǎng)基礎(chǔ)

常見(jiàn)的WLAN組網(wǎng)設(shè)備如下:

1.無(wú)線工作站(STA),指連接到無(wú)線網(wǎng)絡(luò)的計(jì)算機(jī)或智能終端。如PC、平板電腦、智能手機(jī)、無(wú)線打印機(jī)等。

2.無(wú)線接入點(diǎn)(AP),指為無(wú)線工作站連接到無(wú)線網(wǎng)絡(luò)提供接入服務(wù)的無(wú)線網(wǎng)絡(luò)設(shè)備。分為胖AP(FATAP)和瘦AP(FITAP)。胖AP適用于規(guī)模較小的環(huán)境,每臺(tái)胖AP需要單獨(dú)配置,胖AP除了具有基本的射頻信號(hào)接入功能外,還具有IP地址分配、安全管理等網(wǎng)絡(luò)管理功能;瘦AP適用于規(guī)模較大的環(huán)境,僅對(duì)外提供射頻信號(hào)接入功能,各瘦AP無(wú)法單獨(dú)配置,而是集中由一臺(tái)專門(mén)的設(shè)備統(tǒng)一配置,減輕大規(guī)模環(huán)境下管理員的工作負(fù)擔(dān),提高工作效率。11.1.1常見(jiàn)的WLAN組網(wǎng)設(shè)備3.無(wú)線接入控制器(AccessController,AC),指用于集中控制管理瘦AP的網(wǎng)絡(luò)設(shè)備。采用瘦AP組網(wǎng)時(shí),由AC承擔(dān)對(duì)AP的管理任務(wù)、向瘦AP下發(fā)配置,提供IP地址分配、DHCP服務(wù)等網(wǎng)絡(luò)管理功能。網(wǎng)絡(luò)管理員一般只需關(guān)注AC,無(wú)需逐一對(duì)AP進(jìn)行配置,減少了工作量,增強(qiáng)了WLAN的擴(kuò)展性。4.天線,由發(fā)送端天線和接收端天線組成。發(fā)送端發(fā)射的射頻信號(hào)通過(guò)饋線輸送到發(fā)送端天線,由天線以電磁波的形式輻射出去;接收端天線接收到電磁波后,再通過(guò)饋線輸送到接收端。兩個(gè)無(wú)線設(shè)備相距較遠(yuǎn)時(shí),可借助天線提升射頻信號(hào)強(qiáng)度。11.1.2無(wú)線局域網(wǎng)安全

如果無(wú)線接入點(diǎn)沒(méi)有開(kāi)啟安全設(shè)置功能,那么周邊的移動(dòng)終端都可以查看到它的SSID(服務(wù)集標(biāo)識(shí)符)值,無(wú)須密碼直接接入,造成安全隱患,因此為WLAN開(kāi)啟安全設(shè)置是很重要的。WLAN安全設(shè)置包括禁用SSID廣播、數(shù)據(jù)加密等。

1.SSID代表了一個(gè)無(wú)線局域網(wǎng),只有連接到相同SSID值的終端才能直接通信。禁用SSID廣播可以避免無(wú)線網(wǎng)絡(luò)的SSID顯示在用戶無(wú)線網(wǎng)卡發(fā)現(xiàn)的SSID列表中,減少受到攻擊的概率。另外,由于無(wú)線路由器或無(wú)線AP都有默認(rèn)SSID值,為避免攻擊者嘗試使用默認(rèn)SSID連接無(wú)線網(wǎng)絡(luò),啟用WLAN時(shí)建議修改SSID值。

2.為避免非法用戶入侵和竊聽(tīng),需要開(kāi)啟加密、認(rèn)證等功能。無(wú)線網(wǎng)絡(luò)的數(shù)據(jù)加密技術(shù)有WEP(有線等效保密)、WPA、WPA2、WPA3等。WEP是802.11系列標(biāo)準(zhǔn)定義的鏈路層加密協(xié)議,協(xié)議核心是李斯特加密(RivestCipher4,RC4)算法,算法采用靜態(tài)共享密鑰(PSK),稱為靜態(tài)WEP。由于靜態(tài)WEP安全性較低,有些廠商結(jié)合802.1X技術(shù),推出了動(dòng)態(tài)WEP標(biāo)準(zhǔn)。

3.為克服靜態(tài)WEP的弱點(diǎn),Wi-Fi聯(lián)盟也于2003年推出了WPA(Wi-Fi保護(hù)接入)標(biāo)準(zhǔn),該標(biāo)準(zhǔn)在WEP的基礎(chǔ)上提出了TKIP(臨時(shí)密鑰完整性協(xié)議)加密方式。TKIP保留了WEP的基本架構(gòu),仍使用RC4的流加密機(jī)制,但增加了初始向量的長(zhǎng)度、不再采用所有用戶共用密鑰而改用動(dòng)態(tài)密鑰機(jī)制為每個(gè)用戶生成獨(dú)立密鑰、采用MIC(信息完整性校驗(yàn))機(jī)制通過(guò)完整性校驗(yàn)保護(hù)源地址、為每個(gè)幀分配序列號(hào)防范重放攻擊等。

4.隨著2004年IEEE推出802.11i標(biāo)準(zhǔn),Wi-Fi聯(lián)盟也以此為基準(zhǔn)修訂WPA,推出了WPA2。WPA2采用802.11i定義的默認(rèn)加密方式CCMP(計(jì)數(shù)器模式密碼塊鏈信息認(rèn)證協(xié)議),CCMP使用AES(高級(jí)加密標(biāo)準(zhǔn))作為加密算法,該算法彌補(bǔ)了RC4的缺陷,安全性更高。但AES對(duì)硬件要求較高,無(wú)法通過(guò)軟件升級(jí)舊設(shè)備或舊網(wǎng)卡的方式支持CCMP。

5.為了滿足兼容性,目前WPA和WPA2都支持802.1X和PSK認(rèn)證,也都支持TKIP和CCMP加密算法。WPA和WPA2的不同主要表現(xiàn)在協(xié)議報(bào)文格式上的不同。WPA和WPA2分為個(gè)人版和企業(yè)版。個(gè)人版在AP和STA間采用預(yù)共享密鑰(PSK)的方式進(jìn)行認(rèn)證;企業(yè)版采用專門(mén)的認(rèn)證服務(wù)器通過(guò)802.1X等方式進(jìn)行認(rèn)證。

6.2018年1月,Wi-Fi聯(lián)盟在WPA2的基礎(chǔ)上發(fā)布了新一代的WPA3,WPA3個(gè)人版采用SAE(對(duì)等實(shí)體同時(shí)驗(yàn)證)協(xié)議取代了WPA/WPA2的PSK認(rèn)證方式,可有效抵御離線字典攻擊和增加暴力破解的難度。WPA3個(gè)人版采用向前保密,使攻擊者就算有密碼也無(wú)法解密截獲的數(shù)據(jù)。WPA3企業(yè)版沒(méi)有從根本上改變?cè)袇f(xié)議,主要從數(shù)據(jù)保護(hù)、流量保護(hù)和管理幀保護(hù)等方面進(jìn)行了提升。11.1.3CAPWAP隧道一、AC與AP間隧道的建立在瘦AP+AC的組網(wǎng)模式中,全網(wǎng)的AP由AC統(tǒng)一管理,AC承擔(dān)了AP配置、用戶接入認(rèn)證等管理功能,AC與AP之間采用稱為CAPWAP的通信協(xié)議建立隧道。CAPWAP隧道包括控制通道和數(shù)據(jù)通道兩種,分別使用UDP的5246端口和5247端口。CAPWAP隧道的建立過(guò)程如下:1.AP獲取地址。通過(guò)配置DHCP服務(wù)(可在AC或核心交換機(jī)等設(shè)備上配置),為AP分配IP地址。2.AP發(fā)現(xiàn)AC。AP可以通過(guò)DHCP服務(wù)的Option43字段或通過(guò)DNS解析獲取AC的IP地址。獲取到AC的地址后,AP發(fā)送DiscoveryRequest報(bào)文嘗試關(guān)聯(lián)AC(三層網(wǎng)絡(luò)通過(guò)單播、二層網(wǎng)絡(luò)通過(guò)廣播),AC收到請(qǐng)求后返回?cái)y帶有AC優(yōu)先級(jí)和當(dāng)前已關(guān)聯(lián)AP數(shù)量等信息的DiscoveryResponse給AP,由AP決定與哪個(gè)AC建立連接。3.建立DTLS連接。DTLS(DatagramTransportLevelSecurity,數(shù)據(jù)報(bào)安全傳輸協(xié)議)是UDP版本的TLS,用于防數(shù)據(jù)被竊聽(tīng)、篡改、身份冒充等。AC在DiscoveryResponse中會(huì)指示是否采用DTLS加密CAPWAP隧道中的UDP報(bào)文。

4.AP加入AC。AP發(fā)送JoinRequest報(bào)文請(qǐng)求加入AC并建立控制通道,AC發(fā)送JoinResponse響應(yīng)。

5.AP版本升級(jí)。AP根據(jù)JoinResponse攜帶的版本要求判斷自身版本是否符合,若不符合則向AC申請(qǐng)下發(fā)新版本。

6.AP配置下發(fā)。AP版本達(dá)到要求后,向AC發(fā)送ConfigurationStatusRequest(配置狀態(tài)請(qǐng)求)報(bào)文,請(qǐng)求報(bào)文攜帶了AP現(xiàn)有的配置,若AC發(fā)現(xiàn)AP的配置不符合要求,則發(fā)送ConfigurationStatusResponse報(bào)文通知AP同步配置。

7.AP配置確認(rèn)。AP配置完成后,向AC發(fā)送ChangeStateEventRequest(配置確認(rèn)請(qǐng)求)報(bào)文,其中包含射頻、錯(cuò)誤碼、配置信息等。AC回復(fù)ChangeStateEventResponse(配置確認(rèn)響應(yīng))。

8.AP運(yùn)行。配置確認(rèn)后,意味著CAPWAP的控制通道已成功建立,AP進(jìn)入運(yùn)行狀態(tài),可以開(kāi)始轉(zhuǎn)發(fā)數(shù)據(jù)了。AP運(yùn)行后會(huì)定期向AC發(fā)送EchoRequest(控制通道?;睿﹫?bào)文,AC回應(yīng)EchoResponse(控制通道響應(yīng))表示控制通道正常;另外,AP還定期向AC發(fā)送Keepalive(數(shù)據(jù)通道?;睿﹫?bào)文,AC回應(yīng)Keepalive報(bào)文表示數(shù)據(jù)通道正常。

二、CAPWAP數(shù)據(jù)的傳輸

CAPWAP隧道承載的數(shù)據(jù)包括管理報(bào)文和業(yè)務(wù)報(bào)文。其中,管理報(bào)文必須封裝在CAPWAP控制通道中,在AP和AC間傳輸;業(yè)務(wù)報(bào)文則可選擇不經(jīng)過(guò)CAPWAP封裝直接由AP轉(zhuǎn)發(fā)到上行網(wǎng)絡(luò)(稱為直接轉(zhuǎn)發(fā)或本地轉(zhuǎn)發(fā)),也可選擇先由AP封裝到CAPWAP數(shù)據(jù)通道中傳輸給AC,再由AC進(jìn)一步轉(zhuǎn)發(fā)(稱為隧道轉(zhuǎn)發(fā)或集中轉(zhuǎn)發(fā))。

1.以管理報(bào)文從AC發(fā)往AP為例分析管理報(bào)文的傳輸。管理載荷在AC上會(huì)先封裝CAPWAP頭部,再封裝UDP/IP頭部,再封裝802.3以太網(wǎng)頭部,最后封裝上管理VLANID頭部形成管理報(bào)文。封裝好后的管理報(bào)文途經(jīng)交換機(jī)轉(zhuǎn)發(fā)給AP。交換機(jī)在與AP相連的端口上一般要將PVID設(shè)置為管理VLANID,這樣交換機(jī)就會(huì)先去掉PVID(即管理VLANID),再將管理報(bào)文轉(zhuǎn)交給AP。之所以要這樣處理,是因?yàn)锳P一般只將不帶VLAN標(biāo)記的報(bào)文識(shí)別為管理報(bào)文。AP識(shí)別出管理報(bào)文后,依次去掉報(bào)文的802.3頭部、UDP/IP頭部和CAPWAP頭部,再對(duì)剩下的管理載荷進(jìn)行處理。

2.再以業(yè)務(wù)報(bào)文從無(wú)線終端發(fā)往AP為例,分析業(yè)務(wù)報(bào)文的直接轉(zhuǎn)發(fā)模式和隧道轉(zhuǎn)發(fā)模式。在直接轉(zhuǎn)發(fā)模式下,無(wú)線工作站的無(wú)線網(wǎng)卡將業(yè)務(wù)數(shù)據(jù)封裝上無(wú)線的802.11頭部,通過(guò)無(wú)線信道發(fā)送到AP,AP收到的業(yè)務(wù)報(bào)文后,去除無(wú)線的802.11頭部,封裝上有線以太網(wǎng)的802.3頭部,然后直接將其通過(guò)上行交換機(jī)轉(zhuǎn)發(fā)到上行網(wǎng)絡(luò),無(wú)需經(jīng)過(guò)AC集中處理,適用于中小規(guī)模的WLAN;隧道模式下,業(yè)務(wù)報(bào)文在AP上進(jìn)行CAPWAP封裝后經(jīng)CAPWAP數(shù)據(jù)通道傳到AC,由AC將其解封裝后轉(zhuǎn)發(fā)到上行網(wǎng)絡(luò),有利于數(shù)據(jù)傳輸?shù)陌踩?、有利于AC對(duì)數(shù)據(jù)的集中控制和管理,適用于在現(xiàn)網(wǎng)中新增設(shè)備、減少對(duì)現(xiàn)網(wǎng)的改動(dòng)。11.2無(wú)線設(shè)備的配置

在PacketTracer中搭建如圖11-1所示拓?fù)?,完成思科無(wú)線設(shè)備的配置。11.2.1思科無(wú)線設(shè)備的配置圖11-1思科無(wú)線設(shè)備配置的拓?fù)?/p>

1.如圖11-2所示,為RS1添加“AC-POWER-SUPPLY”模塊。

2.如圖11-3所示,為AP1添加“ACCESS_POINT_POWER_ADAPTER”模塊。圖11-2為RS1添加“AC-POWER-SUPPLY”模塊圖11-3為AP1添加“ACCESS_POINT_POWER_ADAPTER”模塊

3.RS1的配置,命令如下:RS1(config)#vlan100RS1(config-vlan)#exitRS1(config)#vlan101RS1(config-vlan)#exitRS1(config)#interfacegigabitEthernet1/0/1RS1(config-if)#switchportmodetrunkRS1(config-if)#switchporttrunknativevlan101RS1(config-if)#exitRS1(config)#interfacegigabitEthernet1/0/2RS1(config-if)#switchportmodeaccessRS1(config-if)#switchportaccessvlan101RS1(config-if)#exitRS1(config)#intgigabitEthernet1/0/3RS1(config-if)#noswitchportRS1(config-if)#ipaddress172.16.1.1255.255.255.0RS1(config-if)#exitRS1(config)#iproutingRS1(config)#interfacevlan100RS1(config-if)#ipaddress192.168.100.1255.255.255.0RS1(config-if)#exitRS1(config)#interfacevlan101RS1(config-if)#ipaddress192.168.101.1255.255.255.0RS1(config-if)#exitRS1(config)#routerospf1RS1(config-router)#network192.168.0.00.0.255.255area0RS1(config-router)#network172.16.1.00.0.0.255area0RS1(config-router)#exitRS1(config)#servicedhcpRS1(config)#ipdhcppoolAPRS1(dhcp-config)#network192.168.101.0255.255.255.0RS1(dhcp-config)#default-router192.168.101.1RS1(dhcp-config)#option43ip192.168.101.2RS1(dhcp-config)#exitRS1(config)#ipdhcppoolSTARS1(dhcp-config)#network192.168.100.0255.255.255.0RS1(dhcp-config)#default-router192.168.100.1RS1(dhcp-config)#exitRS1(config)#ipdhcpexcluded-address192.168.101.1192.168.101.24.R1的配置,命令如下:R1(config)#interfacegigabitEthernet0/0R1(config-if)#ipaddress172.16.1.2255.255.255.0R1(config-if)#noshutdownR1(config-if)#exitR1(config)#routerospf1R1(config-router)#network172.16.1.00.0.0.255area0

5.如圖11-4所示,在AC1的“Config”選項(xiàng)夾的“Management”選項(xiàng),將AC1的IP地址配置為192.168.101.2,子網(wǎng)掩碼配置為255.255.255.0,缺省網(wǎng)關(guān)配置為192.168.101.1。圖11-4AC1的IP地址配置

6.如圖11-5所示,在AC1的“Config”選項(xiàng)夾的“WirelessLANs”選項(xiàng),將AC的Name設(shè)為“guest”,SSID設(shè)置為“guest”,業(yè)務(wù)VLAN設(shè)置為VLAN100,認(rèn)證方式選擇“WPA2-PSK”,預(yù)共享密鑰設(shè)置為“12345678”,加密算法選用“AES”,其它選默認(rèn)值。最后點(diǎn)擊“Save”按鈕。圖11-5AC1的“WirelessLANs”配置7.如圖11-6所示,在AC1的“Config”選項(xiàng)夾的“APGroups”選項(xiàng),可以看到,加入了默認(rèn)AP組的無(wú)線局域網(wǎng)(WirelessLANs)有剛才配置的“guest”,加入了默認(rèn)AP組的AP有AP1。此處采用默認(rèn)值。圖11-6AC1的“APGroups”配置

8.如圖11-7所示,AP1的缺省網(wǎng)關(guān)已經(jīng)通過(guò)DHCP自動(dòng)獲取到了,是192.168.101.1。圖11-7查看AP1的缺省網(wǎng)關(guān)已經(jīng)通過(guò)DHCP自動(dòng)獲取9.如圖11-8所示,AP1加入的AC地址通過(guò)DHCP的option43自動(dòng)獲取到了,是192.168.101.2。10.如圖11-9所示,AP1的IP地址和子網(wǎng)掩碼已經(jīng)通過(guò)DHCP自動(dòng)獲取到了,分別為192.168.101.3和255.255.255.0。圖11-8查看AP1獲取到的AC地址圖11-9查看AP1獲取到的IP地址和子網(wǎng)掩碼11.如圖11-10所示,在無(wú)線工作站STA1的“Config”選項(xiàng)夾的“Settings”選項(xiàng),缺省網(wǎng)關(guān)已經(jīng)通過(guò)DHCP自動(dòng)獲取到了,是192.168.100.1。圖11-10查看在STA1的缺省網(wǎng)關(guān)已經(jīng)通過(guò)DHCP自動(dòng)獲取12.如圖11-11所示,打開(kāi)STA1的“Desktop”選項(xiàng)夾的“PCWireless”配置項(xiàng)。圖11-11打開(kāi)STA1的“PCWireless”配置項(xiàng)13.如圖11-12所示,在彈框中選擇“Connect”選項(xiàng)夾,選中值為“guest”的SSID,點(diǎn)擊“Connect”按鈕。圖11-12連接值為“guest”的SSID14.如圖11-13所示,在彈框中輸入預(yù)共享密鑰“12345678”,點(diǎn)擊“Connect”按鈕進(jìn)行連接。

圖11-13輸入預(yù)共享密鑰進(jìn)行連接15.如圖11-14所示,成功連接后,點(diǎn)擊STA1的“Config”選項(xiàng)夾的“Wireless0”選項(xiàng),可以看到無(wú)線網(wǎng)絡(luò)的相關(guān)信息,本工作站通過(guò)DHCP獲取到的IP地址為192.168.100.2。16.在兩臺(tái)工作站上ping路由器R1的地址172.16.1.2,可以看到,都能ping通。圖11-14查看STA1的“Wireless0”選項(xiàng)謝謝欣賞第11章組建無(wú)線局域網(wǎng)編著:

秦?zé)鰺o(wú)線局域網(wǎng)(WLAN)是指以無(wú)線信道作為傳輸媒介的局域網(wǎng)絡(luò)。無(wú)線局域網(wǎng)WLAN的傳輸介質(zhì)包括紅外線、無(wú)線電波等,紅外技術(shù)已逐漸被藍(lán)牙技術(shù)(IEEE802.15)取代。藍(lán)牙工作在2.4GHz頻段,傳輸速率最高1Mb/s,傳輸距離最大10米,用于個(gè)人操作空間,藍(lán)牙技術(shù)與IEEE802.11協(xié)議互相補(bǔ)充。無(wú)線局域網(wǎng)基于IEEE802.11協(xié)議簇工作。IEEE802.11協(xié)議簇包括802.11a、802.11b、802.11g、802.11n(Wi-Fi4)、802.11ac(Wi-Fi5)和802.11ax(Wi-Fi6)等多個(gè)標(biāo)準(zhǔn)。其中,2019年推出的802.11ax工作頻率為2.4GHz或5GHz,寬帶速率可達(dá)600~9608Mb/s。11.1無(wú)線局域網(wǎng)基礎(chǔ)

常見(jiàn)的WLAN組網(wǎng)設(shè)備如下:

1.無(wú)線工作站(STA),指連接到無(wú)線網(wǎng)絡(luò)的計(jì)算機(jī)或智能終端。如PC、平板電腦、智能手機(jī)、無(wú)線打印機(jī)等。

2.無(wú)線接入點(diǎn)(AP),指為無(wú)線工作站連接到無(wú)線網(wǎng)絡(luò)提供接入服務(wù)的無(wú)線網(wǎng)絡(luò)設(shè)備。分為胖AP(FATAP)和瘦AP(FITAP)。胖AP適用于規(guī)模較小的環(huán)境,每臺(tái)胖AP需要單獨(dú)配置,胖AP除了具有基本的射頻信號(hào)接入功能外,還具有IP地址分配、安全管理等網(wǎng)絡(luò)管理功能;瘦AP適用于規(guī)模較大的環(huán)境,僅對(duì)外提供射頻信號(hào)接入功能,各瘦AP無(wú)法單獨(dú)配置,而是集中由一臺(tái)專門(mén)的設(shè)備統(tǒng)一配置,減輕大規(guī)模環(huán)境下管理員的工作負(fù)擔(dān),提高工作效率。11.1.1常見(jiàn)的WLAN組網(wǎng)設(shè)備3.無(wú)線接入控制器(AccessController,AC),指用于集中控制管理瘦AP的網(wǎng)絡(luò)設(shè)備。采用瘦AP組網(wǎng)時(shí),由AC承擔(dān)對(duì)AP的管理任務(wù)、向瘦AP下發(fā)配置,提供IP地址分配、DHCP服務(wù)等網(wǎng)絡(luò)管理功能。網(wǎng)絡(luò)管理員一般只需關(guān)注AC,無(wú)需逐一對(duì)AP進(jìn)行配置,減少了工作量,增強(qiáng)了WLAN的擴(kuò)展性。4.天線,由發(fā)送端天線和接收端天線組成。發(fā)送端發(fā)射的射頻信號(hào)通過(guò)饋線輸送到發(fā)送端天線,由天線以電磁波的形式輻射出去;接收端天線接收到電磁波后,再通過(guò)饋線輸送到接收端。兩個(gè)無(wú)線設(shè)備相距較遠(yuǎn)時(shí),可借助天線提升射頻信號(hào)強(qiáng)度。11.1.2無(wú)線局域網(wǎng)安全

如果無(wú)線接入點(diǎn)沒(méi)有開(kāi)啟安全設(shè)置功能,那么周邊的移動(dòng)終端都可以查看到它的SSID(服務(wù)集標(biāo)識(shí)符)值,無(wú)須密碼直接接入,造成安全隱患,因此為WLAN開(kāi)啟安全設(shè)置是很重要的。WLAN安全設(shè)置包括禁用SSID廣播、數(shù)據(jù)加密等。

1.SSID代表了一個(gè)無(wú)線局域網(wǎng),只有連接到相同SSID值的終端才能直接通信。禁用SSID廣播可以避免無(wú)線網(wǎng)絡(luò)的SSID顯示在用戶無(wú)線網(wǎng)卡發(fā)現(xiàn)的SSID列表中,減少受到攻擊的概率。另外,由于無(wú)線路由器或無(wú)線AP都有默認(rèn)SSID值,為避免攻擊者嘗試使用默認(rèn)SSID連接無(wú)線網(wǎng)絡(luò),啟用WLAN時(shí)建議修改SSID值。

2.為避免非法用戶入侵和竊聽(tīng),需要開(kāi)啟加密、認(rèn)證等功能。無(wú)線網(wǎng)絡(luò)的數(shù)據(jù)加密技術(shù)有WEP(有線等效保密)、WPA、WPA2、WPA3等。WEP是802.11系列標(biāo)準(zhǔn)定義的鏈路層加密協(xié)議,協(xié)議核心是李斯特加密(RivestCipher4,RC4)算法,算法采用靜態(tài)共享密鑰(PSK),稱為靜態(tài)WEP。由于靜態(tài)WEP安全性較低,有些廠商結(jié)合802.1X技術(shù),推出了動(dòng)態(tài)WEP標(biāo)準(zhǔn)。

3.為克服靜態(tài)WEP的弱點(diǎn),Wi-Fi聯(lián)盟也于2003年推出了WPA(Wi-Fi保護(hù)接入)標(biāo)準(zhǔn),該標(biāo)準(zhǔn)在WEP的基礎(chǔ)上提出了TKIP(臨時(shí)密鑰完整性協(xié)議)加密方式。TKIP保留了WEP的基本架構(gòu),仍使用RC4的流加密機(jī)制,但增加了初始向量的長(zhǎng)度、不再采用所有用戶共用密鑰而改用動(dòng)態(tài)密鑰機(jī)制為每個(gè)用戶生成獨(dú)立密鑰、采用MIC(信息完整性校驗(yàn))機(jī)制通過(guò)完整性校驗(yàn)保護(hù)源地址、為每個(gè)幀分配序列號(hào)防范重放攻擊等。

4.隨著2004年IEEE推出802.11i標(biāo)準(zhǔn),Wi-Fi聯(lián)盟也以此為基準(zhǔn)修訂WPA,推出了WPA2。WPA2采用802.11i定義的默認(rèn)加密方式CCMP(計(jì)數(shù)器模式密碼塊鏈信息認(rèn)證協(xié)議),CCMP使用AES(高級(jí)加密標(biāo)準(zhǔn))作為加密算法,該算法彌補(bǔ)了RC4的缺陷,安全性更高。但AES對(duì)硬件要求較高,無(wú)法通過(guò)軟件升級(jí)舊設(shè)備或舊網(wǎng)卡的方式支持CCMP。

5.為了滿足兼容性,目前WPA和WPA2都支持802.1X和PSK認(rèn)證,也都支持TKIP和CCMP加密算法。WPA和WPA2的不同主要表現(xiàn)在協(xié)議報(bào)文格式上的不同。WPA和WPA2分為個(gè)人版和企業(yè)版。個(gè)人版在AP和STA間采用預(yù)共享密鑰(PSK)的方式進(jìn)行認(rèn)證;企業(yè)版采用專門(mén)的認(rèn)證服務(wù)器通過(guò)802.1X等方式進(jìn)行認(rèn)證。

6.2018年1月,Wi-Fi聯(lián)盟在WPA2的基礎(chǔ)上發(fā)布了新一代的WPA3,WPA3個(gè)人版采用SAE(對(duì)等實(shí)體同時(shí)驗(yàn)證)協(xié)議取代了WPA/WPA2的PSK認(rèn)證方式,可有效抵御離線字典攻擊和增加暴力破解的難度。WPA3個(gè)人版采用向前保密,使攻擊者就算有密碼也無(wú)法解密截獲的數(shù)據(jù)。WPA3企業(yè)版沒(méi)有從根本上改變?cè)袇f(xié)議,主要從數(shù)據(jù)保護(hù)、流量保護(hù)和管理幀保護(hù)等方面進(jìn)行了提升。11.1.3CAPWAP隧道一、AC與AP間隧道的建立在瘦AP+AC的組網(wǎng)模式中,全網(wǎng)的AP由AC統(tǒng)一管理,AC承擔(dān)了AP配置、用戶接入認(rèn)證等管理功能,AC與AP之間采用稱為CAPWAP的通信協(xié)議建立隧道。CAPWAP隧道包括控制通道和數(shù)據(jù)通道兩種,分別使用UDP的5246端口和5247端口。CAPWAP隧道的建立過(guò)程如下:1.AP獲取地址。通過(guò)配置DHCP服務(wù)(可在AC或核心交換機(jī)等設(shè)備上配置),為AP分配IP地址。2.AP發(fā)現(xiàn)AC。AP可以通過(guò)DHCP服務(wù)的Option43字段或通過(guò)DNS解析獲取AC的IP地址。獲取到AC的地址后,AP發(fā)送DiscoveryRequest報(bào)文嘗試關(guān)聯(lián)AC(三層網(wǎng)絡(luò)通過(guò)單播、二層網(wǎng)絡(luò)通過(guò)廣播),AC收到請(qǐng)求后返回?cái)y帶有AC優(yōu)先級(jí)和當(dāng)前已關(guān)聯(lián)AP數(shù)量等信息的DiscoveryResponse給AP,由AP決定與哪個(gè)AC建立連接。3.建立DTLS連接。DTLS(DatagramTransportLevelSecurity,數(shù)據(jù)報(bào)安全傳輸協(xié)議)是UDP版本的TLS,用于防數(shù)據(jù)被竊聽(tīng)、篡改、身份冒充等。AC在DiscoveryResponse中會(huì)指示是否采用DTLS加密CAPWAP隧道中的UDP報(bào)文。

4.AP加入AC。AP發(fā)送JoinRequest報(bào)文請(qǐng)求加入AC并建立控制通道,AC發(fā)送JoinResponse響應(yīng)。

5.AP版本升級(jí)。AP根據(jù)JoinResponse攜帶的版本要求判斷自身版本是否符合,若不符合則向AC申請(qǐng)下發(fā)新版本。

6.AP配置下發(fā)。AP版本達(dá)到要求后,向AC發(fā)送ConfigurationStatusRequest(配置狀態(tài)請(qǐng)求)報(bào)文,請(qǐng)求報(bào)文攜帶了AP現(xiàn)有的配置,若AC發(fā)現(xiàn)AP的配置不符合要求,則發(fā)送ConfigurationStatusResponse報(bào)文通知AP同步配置。

7.AP配置確認(rèn)。AP配置完成后,向AC發(fā)送ChangeStateEventRequest(配置確認(rèn)請(qǐng)求)報(bào)文,其中包含射頻、錯(cuò)誤碼、配置信息等。AC回復(fù)ChangeStateEventResponse(配置確認(rèn)響應(yīng))。

8.AP運(yùn)行。配置確認(rèn)后,意味著CAPWAP的控制通道已成功建立,AP進(jìn)入運(yùn)行狀態(tài),可以開(kāi)始轉(zhuǎn)發(fā)數(shù)據(jù)了。AP運(yùn)行后會(huì)定期向AC發(fā)送EchoRequest(控制通道?;睿﹫?bào)文,AC回應(yīng)EchoResponse(控制通道響應(yīng))表示控制通道正常;另外,AP還定期向AC發(fā)送Keepalive(數(shù)據(jù)通道保活)報(bào)文,AC回應(yīng)Keepalive報(bào)文表示數(shù)據(jù)通道正常。

二、CAPWAP數(shù)據(jù)的傳輸

CAPWAP隧道承載的數(shù)據(jù)包括管理報(bào)文和業(yè)務(wù)報(bào)文。其中,管理報(bào)文必須封裝在CAPWAP控制通道中,在AP和AC間傳輸;業(yè)務(wù)報(bào)文則可選擇不經(jīng)過(guò)CAPWAP封裝直接由AP轉(zhuǎn)發(fā)到上行網(wǎng)絡(luò)(稱為直接轉(zhuǎn)發(fā)或本地轉(zhuǎn)發(fā)),也可選擇先由AP封裝到CAPWAP數(shù)據(jù)通道中傳輸給AC,再由AC進(jìn)一步轉(zhuǎn)發(fā)(稱為隧道轉(zhuǎn)發(fā)或集中轉(zhuǎn)發(fā))。

1.以管理報(bào)文從AC發(fā)往AP為例分析管理報(bào)文的傳輸。管理載荷在AC上會(huì)先封裝CAPWAP頭部,再封裝UDP/IP頭部,再封裝802.3以太網(wǎng)頭部,最后封裝上管理VLANID頭部形成管理報(bào)文。封裝好后的管理報(bào)文途經(jīng)交換機(jī)轉(zhuǎn)發(fā)給AP。交換機(jī)在與AP相連的端口上一般要將PVID設(shè)置為管理VLANID,這樣交換機(jī)就會(huì)先去掉PVID(即管理VLANID),再將管理報(bào)文轉(zhuǎn)交給AP。之所以要這樣處理,是因?yàn)锳P一般只將不帶VLAN標(biāo)記的報(bào)文識(shí)別為管理報(bào)文。AP識(shí)別出管理報(bào)文后,依次去掉報(bào)文的802.3頭部、UDP/IP頭部和CAPWAP頭部,再對(duì)剩下的管理載荷進(jìn)行處理。

2.再以業(yè)務(wù)報(bào)文從無(wú)線終端發(fā)往AP為例,分析業(yè)務(wù)報(bào)文的直接轉(zhuǎn)發(fā)模式和隧道轉(zhuǎn)發(fā)模式。在直接轉(zhuǎn)發(fā)模式下,無(wú)線工作站的無(wú)線網(wǎng)卡將業(yè)務(wù)數(shù)據(jù)封裝上無(wú)線的802.11頭部,通過(guò)無(wú)線信道發(fā)送到AP,AP收到的業(yè)務(wù)報(bào)文后,去除無(wú)線的802.11頭部,封裝上有線以太網(wǎng)的802.3頭部,然后直接將其通過(guò)上行交換機(jī)轉(zhuǎn)發(fā)到上行網(wǎng)絡(luò),無(wú)需經(jīng)過(guò)AC集中處理,適用于中小規(guī)模的WLAN;隧道模式下,業(yè)務(wù)報(bào)文在AP上進(jìn)行CAPWAP封裝后經(jīng)CAPWAP數(shù)據(jù)通道傳到AC,由AC將其解封裝后轉(zhuǎn)發(fā)到上行網(wǎng)絡(luò),有利于數(shù)據(jù)傳輸?shù)陌踩?、有利于AC對(duì)數(shù)據(jù)的集中控制和管理,適用于在現(xiàn)網(wǎng)中新增設(shè)備、減少對(duì)現(xiàn)網(wǎng)的改動(dòng)。11.2.2華為無(wú)線設(shè)備的配置

如圖11-15所示,搭建拓?fù)?,完成華為無(wú)線設(shè)備的配置。其中,AC采用設(shè)備AC6005,AP采用設(shè)備AP6050。規(guī)劃VLAN100為業(yè)務(wù)VLAN、VLAN101為管理VLAN。

圖11-15華為無(wú)線設(shè)備配置的拓?fù)?1.2無(wú)線設(shè)備的配置

1.將AC與AP鏈接的端口配置為trunk類(lèi)型、端口PVID為管理VLAN101。命令如下:[AC6005]vlanbatch100101//創(chuàng)建VLAN100和101[AC6005]interfaceGigabitEthernet0/0/1[AC6005-GigabitEthernet0/0/1]portlink-typetrunk[AC6005-GigabitEthernet0/0/1]porttrunkallow-passvlanall[AC6005-GigabitEthernet0/0/1]quit[AC6005]interfaceGigabitEthernet0/0/2[AC6005-GigabitEthernet0/0/2]portlink-typetrunk//設(shè)置端口配置為trunk類(lèi)型[AC6005-GigabitEthernet0/0/2]porttrunkpvidvlan101//修改PVID為管理VLAN101[AC6005-GigabitEthernet0/0/2]porttrunkallow-passvlanall

2.配置VLANIF接口DHCP功能,PC的地址通過(guò)VLAN100使用全局地址池自動(dòng)獲取;AP的地址通過(guò)管理VLAN101使用接口地址池自動(dòng)獲取。命令如下:[AC6005]ippoolpoolAC//創(chuàng)建全局地址池poolAC[AC6005-ip-pool-poolAC]network192.168.100.0mask24[AC6005-ip-pool-poolAC]gateway-list192.168.100.1[AC6005-ip-pool-poolAC]dns-list192.168.100.1[AC6005-ip-pool-poolAC]excluded-ip-address192.168.100.2[AC6005-ip-pool-poolAC]quit[AC6005]dhcpenable[AC6005]interfaceVlanif100[AC6005-Vlanif100]ipaddress192.168.100.2255.255.255.0[AC6005-Vlanif100]dhcpselectglobal//配置PC通過(guò)全局地址池獲取IP地址[AC6005-Vlanif100]quit[AC6005]interfaceVlanif101[AC6005-Vlanif101]ipaddress192.168.101.124[AC6005-Vlanif101]dhcpselectinterface//配置AP通過(guò)接口地址池自動(dòng)獲取IP地址

3.創(chuàng)建AP組,命令如下:[AC6005]capwapsourceinterfaceVlanif101//配置AC管理AP的源接口[AC6005]wlan[AC6005-wlan-view]ap-groupnameap01//創(chuàng)建AP組ap01[AC6005-wlan-ap-group-ap01]quit[AC6005-wlan-view]regulatory-domain-profilenameregDomainProf//創(chuàng)建監(jiān)管域模板[AC6005-wlan-regulate-domain-regDomainProf]country-codeCN[AC6005-wlan-regulate-domain-regDomainProf]quit[AC6005-wlan-view]ap-groupnameap01//進(jìn)入AP組ap01[AC6005-wlan-ap-group-ap01]regulatory-domain-profileregDomainProf//綁定監(jiān)管域模板Warning:Modifyingthecountrycodewillclearchannel,powerandantennagainconfigurationsoftheradioandresettheAP.Continue?[Y/N]:y//選擇Y[AC6005-wlan-ap-group-ap01]quit[AC6005-wlan-view]quit

4.將AP綁定到AP組中,命令如下:[AC6005]wlan[AC6005-wlan-view]apauth-modemac-auth//配置認(rèn)證模式為mac認(rèn)證,這是缺省值[AC6005-wlan-view]ap-id0ap-mac00E0-FC82-1E90//指定接受管理的AP的MAC

如圖11-16所示,AP1的MAC地址是00E0-FC82-1E90。[AC6005-wlan-ap-0]ap-namearea_1[AC6005-wlan-ap-0]ap-groupap01//將該AP綁定到AP組ap01中Warning:ThisoperationmaycauseAPreset.Ifthecountrycodechanges,itwillclearchannel,powerandantennagainconfigurationsoftheradio,Whethertocontinue?[Y/N]:y[AC6005-wlan-ap-0]return圖11-16查看AP1的MAC地址

5.將AP上電,執(zhí)行命令displayapall,如果查看到AP的“State”字段為“nor”,表示AP正常上線。命令如下:<AC6005>displayapall-----------------------------------------------------------------------------------------------------------------------IDMACNameGroupIPTypeStateSTAUptime-----------------------------------------------------------------------------------------------------------------------000e0-fc82-1e90area_1ap01192.168.101.200AP6050DNnor02M:14S-----------------------------------------------------------------------------------------------------------------------Total:1

6.配置WLAN的業(yè)務(wù)參數(shù),方法如下:

(1)創(chuàng)建SSID模板,命令如下:[AC6005]wlan[AC6005-wlan-view]ssid-profilenamessidProf//創(chuàng)建SSID模板ssidProf[AC6005-wlan-ssid-prof-ssidProf]ssidhuawei//配置SSID名稱為“huawei”

(2)配置安全模板(可選),命令如下:[AC6005-wlan-view]security-profilenamesecProf//創(chuàng)建安全模板secProf[AC6005-wlan-sec-prof-secProf]securitywpa2pskpass-phrasehuawei@123aes//認(rèn)證類(lèi)型采用wpa2,密碼設(shè)為huawei@123,加密算法采用aes

(3)創(chuàng)建VAP模板,配置業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)模式、業(yè)務(wù)VLAN,并引用SSID模板和安全模板,命令如下:[AC6005-wlan-view]vap-profilenamevapProf//創(chuàng)建VAP模板[AC6005-wlan-vap-prof-vapProf]forward-modetunnel//轉(zhuǎn)發(fā)模式設(shè)置為隧道模式[AC6005-wlan-vap-prof-vapProf]service-vlanvlan-id100//業(yè)務(wù)VLAN綁定到VLAN100[AC6005-wlan-vap-prof-vapProf]ssid-profilessidProf//綁定ssid模板[AC6005-wlan-vap-prof-vapProf]security-profilesecProf//綁定安全模板[AC6005-wlan-vap-prof-vapProf]quit

(4)配置AP組引用VAP模板,AP上射頻0使用VAP模板的配置,因?yàn)閷?shí)驗(yàn)中只有一個(gè)AP,所以使用射頻0,命令如下:[AC6005-wlan-view]ap-groupnameap01[AC6005-wlan-ap-group-ap01]vap-profilevapProfwlan1radio0[AC6005-wlan-ap-group-ap01]return

(5)WLAN業(yè)務(wù)配置會(huì)自動(dòng)下發(fā)給AP,配置完成后,通過(guò)執(zhí)行命令displayvapssidhuawei查看如下信息,當(dāng)“Status”項(xiàng)顯示為“ON”時(shí),表示AP對(duì)應(yīng)的射頻上的VAP已創(chuàng)建成功,命令如下:<AC6005>displayvapssidhuaweiWID:WLANIDAPIDAPnameRfIDWIDBSSIDStatusAuthtypeSTASSID

0area_10100E0-FC82-1E90ONWPA2-PSK0huawei

7.如圖11-17所示,在STA1上進(jìn)行連接測(cè)試,雙擊值為“huawei”的SSID,輸入密碼“huawei@123”進(jìn)行連接。圖11-17在STA1上進(jìn)行連接測(cè)試

8.連接成功后的效果圖如圖11-18所示。圖11-18無(wú)線連接成功的效果圖謝謝欣賞第11章組建無(wú)線局域網(wǎng)編著:

秦?zé)鰺o(wú)線局域網(wǎng)(WLAN)是指以無(wú)線信道作為傳輸媒介的局域網(wǎng)絡(luò)。無(wú)線局域網(wǎng)WLAN的傳輸介質(zhì)包括紅外線、無(wú)線電波等,紅外技術(shù)已逐漸被藍(lán)牙技術(shù)(IEEE802.15)取代。藍(lán)牙工作在2.4GHz頻段,傳輸速率最高1Mb/s,傳輸距離最大10米,用于個(gè)人操作空間,藍(lán)牙技術(shù)與IEEE802.11協(xié)議互相補(bǔ)充。無(wú)線局域網(wǎng)基于IEEE802.11協(xié)議簇工作。IEEE802.11協(xié)議簇包括802.11a、802.11b、802.11g、802.11n(Wi-Fi4)、802.11ac(Wi-Fi5)和802.11ax(Wi-Fi6)等多個(gè)標(biāo)準(zhǔn)。其中,2019年推出的802.11ax工作頻率為2.4GHz或5GHz,寬帶速率可達(dá)600~9608Mb/s。11.1無(wú)線局域網(wǎng)基礎(chǔ)

常見(jiàn)的WLAN組網(wǎng)設(shè)備如下:

1.無(wú)線工作站(STA),指連接到無(wú)線網(wǎng)絡(luò)的計(jì)算機(jī)或智能終端。如PC、平板電腦、智能手機(jī)、無(wú)線打印機(jī)等。

2.無(wú)線接入點(diǎn)(AP),指為無(wú)線工作站連接到無(wú)線網(wǎng)絡(luò)提供接入服務(wù)的無(wú)線網(wǎng)絡(luò)設(shè)備。分為胖AP(FATAP)和瘦AP(FITAP)。胖AP適用于規(guī)模較小的環(huán)境,每臺(tái)胖AP需要單獨(dú)配置,胖AP除了具有基本的射頻信號(hào)接入功能外,還具有IP地址分配、安全管理等網(wǎng)絡(luò)管理功能;瘦AP適用于規(guī)模較大的環(huán)境,僅對(duì)外提供射頻信號(hào)接入功能,各瘦AP無(wú)法單獨(dú)配置,而是集中由一臺(tái)專門(mén)的設(shè)備統(tǒng)一配置,減輕大規(guī)模環(huán)境下管理員的工作負(fù)擔(dān),提高工作效率。11.1.1常見(jiàn)的WLAN組網(wǎng)設(shè)備3.無(wú)線接入控制器(AccessController,AC),指用于集中控制管理瘦AP的網(wǎng)絡(luò)設(shè)備。采用瘦AP組網(wǎng)時(shí),由AC承擔(dān)對(duì)AP的管理任務(wù)、向瘦AP下發(fā)配置,提供IP地址分配、DHCP服務(wù)等網(wǎng)絡(luò)管理功能。網(wǎng)絡(luò)管理員一般只需關(guān)注AC,無(wú)需逐一對(duì)AP進(jìn)行配置,減少了工作量,增強(qiáng)了WLAN的擴(kuò)展性。4.天線,由發(fā)送端天線和接收端天線組成。發(fā)送端發(fā)射的射頻信號(hào)通過(guò)饋線輸送到發(fā)送端天線,由天線以電磁波的形式輻射出去;接收端天線接收到電磁波后,再通過(guò)饋線輸送到接收端。兩個(gè)無(wú)線設(shè)備相距較遠(yuǎn)時(shí),可借助天線提升射頻信號(hào)強(qiáng)度。11.1.2無(wú)線局域網(wǎng)安全

如果無(wú)線接入點(diǎn)沒(méi)有開(kāi)啟安全設(shè)置功能,那么周邊的移動(dòng)終端都可以查看到它的SSID(服務(wù)集標(biāo)識(shí)符)值,無(wú)須密碼直接接入,造成安全隱患,因此為WLAN開(kāi)啟安全設(shè)置是很重要的。WLAN安全設(shè)置包括禁用SSID廣播、數(shù)據(jù)加密等。

1.SSID代表了一個(gè)無(wú)線局域網(wǎng),只有連接到相同SSID值的終端才能直接通信。禁用SSID廣播可以避免無(wú)線網(wǎng)絡(luò)的SSID顯示在用戶無(wú)線網(wǎng)卡發(fā)現(xiàn)的SSID列表中,減少受到攻擊的概率。另外,由于無(wú)線路由器或無(wú)線AP都有默認(rèn)SSID值,為避免攻擊者嘗試使用默認(rèn)SSID連接無(wú)線網(wǎng)絡(luò),啟用WLAN時(shí)建議修改SSID值。

2.為避免非法用戶入侵和竊聽(tīng),需要開(kāi)啟加密、認(rèn)證等功能。無(wú)線網(wǎng)絡(luò)的數(shù)據(jù)加密技術(shù)有WEP(有線等效保密)、WPA、WPA2、WPA3等。WEP是802.11系列標(biāo)準(zhǔn)定義的鏈路層加密協(xié)議,協(xié)議核心是李斯特加密(RivestCipher4,RC4)算法,算法采用靜態(tài)共享密鑰(PSK),稱為靜態(tài)WEP。由于靜態(tài)WEP安全性較低,有些廠商結(jié)合802.1X技術(shù),推出了動(dòng)態(tài)WEP標(biāo)準(zhǔn)。

3.為克服靜態(tài)WEP的弱點(diǎn),Wi-Fi聯(lián)盟也于2003年推出了WPA(Wi-Fi保護(hù)接入)標(biāo)準(zhǔn),該標(biāo)準(zhǔn)在WEP的基礎(chǔ)上提出了TKIP(臨時(shí)密鑰完整性協(xié)議)加密方式。TKIP保留了WEP的基本架構(gòu),仍使用RC4的流加密機(jī)制,但增加了初始向量的長(zhǎng)度、不再采用所有用戶共用密鑰而改用動(dòng)態(tài)密鑰機(jī)制為每個(gè)用戶生成獨(dú)立密鑰、采用MIC(信息完整性校驗(yàn))機(jī)制通過(guò)完整性校驗(yàn)保護(hù)源地址、為每個(gè)幀分配序列號(hào)防范重放攻擊等。

4.隨著2004年IEEE推出802.11i標(biāo)準(zhǔn),Wi-Fi聯(lián)盟也以此為基準(zhǔn)修訂WPA,推出了WPA2。WPA2采用802.11i定義的默認(rèn)加密方式CCMP(計(jì)數(shù)器模式密碼塊鏈信息認(rèn)證協(xié)議),CCMP使用AES(高級(jí)加密標(biāo)準(zhǔn))作為加密算法,該算法彌補(bǔ)了RC4的缺陷,安全性更高。但AES對(duì)硬件要求較高,無(wú)法通過(guò)軟件升級(jí)舊設(shè)備或舊網(wǎng)卡的方式支持CCMP。

5.為了滿足兼容性,目前WPA和WPA2都支持802.1X和PSK認(rèn)證,也都支持TKIP和CCMP加密算法。WPA和WPA2的不同主要表現(xiàn)在協(xié)議報(bào)文格式上的不同。WPA和WPA2分為個(gè)人版和企業(yè)版。個(gè)人版在AP和STA間采用預(yù)共享密鑰(PSK)的方式進(jìn)行認(rèn)證;企業(yè)版采用專門(mén)的認(rèn)證服務(wù)器通過(guò)802.1X等方式進(jìn)行認(rèn)證。

6.2018年1月,Wi-Fi聯(lián)盟在WPA2的基礎(chǔ)上發(fā)布了新一代的WPA3,WPA3個(gè)人版采用SAE(對(duì)等實(shí)體同時(shí)驗(yàn)證)協(xié)議取代了WPA/WPA2的PSK認(rèn)證方式,可有效抵御離線字典攻擊和增加暴力破解的難度。WPA3個(gè)人版采用向前保密,使攻擊者就算有密碼也無(wú)法解密截獲的數(shù)據(jù)。WPA3企業(yè)版沒(méi)有從根本上改變?cè)袇f(xié)議,主要從數(shù)據(jù)保護(hù)、流量保護(hù)和管理幀保護(hù)等方面進(jìn)行了提升。11.1.3CAPWAP隧道一、AC與AP間隧道的建立在瘦AP+AC的組網(wǎng)模式中,全網(wǎng)的AP由AC統(tǒng)一管理,AC承擔(dān)了AP配置、用戶接入認(rèn)證等管理功能,AC與AP之間采用稱為CAPWAP的通信協(xié)議建立隧道。CAPWAP隧道包括控制通道和數(shù)據(jù)通道兩種,分別使用UDP的5246端口和5247端口。CAPWAP隧道的建立過(guò)程如下:1.AP獲取地址。通過(guò)配置DHCP服務(wù)(可在AC或核心交換機(jī)等設(shè)備上配置),為AP分配IP地址。2.AP發(fā)現(xiàn)AC。AP可以通過(guò)DHCP服務(wù)的Option43字段或通過(guò)DNS解析獲取AC的IP地址。獲取到AC的地址后,AP發(fā)送DiscoveryRequest報(bào)文嘗試關(guān)聯(lián)AC(三層網(wǎng)絡(luò)通過(guò)單播、二層網(wǎng)絡(luò)通過(guò)廣播),AC收到請(qǐng)求后返回?cái)y帶有AC優(yōu)先級(jí)和當(dāng)前已關(guān)聯(lián)AP數(shù)量等信息的DiscoveryResponse給AP,由AP決定與哪個(gè)AC建立連接。3.建立DTLS連接。DTLS(DatagramTransportLevelSecurity,數(shù)據(jù)報(bào)安全傳輸協(xié)議)是UDP版本的TLS,用于防數(shù)據(jù)被竊聽(tīng)、篡改、身份冒充等。AC在DiscoveryResponse中會(huì)指示是否采用DTLS加密CAPWAP隧道中的UDP報(bào)文。

4.AP加入AC。AP發(fā)送JoinRequest報(bào)文請(qǐng)求加入AC并建立控制通道,AC發(fā)送JoinResponse響應(yīng)。

5.AP版本升級(jí)。AP根據(jù)JoinResponse攜帶的版本要求判斷自身版本是否符合,若不符合則向AC申請(qǐng)下發(fā)新版本。

6.AP配置下發(fā)。AP版本達(dá)到要求后,向AC發(fā)送ConfigurationStatusRequest(配置狀態(tài)請(qǐng)求)報(bào)文,請(qǐng)求報(bào)文攜帶了AP現(xiàn)有的配置,若AC發(fā)現(xiàn)AP的配置不符合要求,則發(fā)送ConfigurationStatusResponse報(bào)文通知AP同步配置。

7.AP配置確認(rèn)。AP配置完成后,向AC發(fā)送ChangeStateEventRequest(配置確認(rèn)請(qǐng)求)報(bào)文,其中包含射頻、錯(cuò)誤碼、配置信息等。AC回復(fù)ChangeStateEventResponse(配置確認(rèn)響應(yīng))。

8.AP運(yùn)行。配置確認(rèn)后,意味著CAPWAP的控制通道已成功建立,AP進(jìn)入運(yùn)行狀態(tài),可以開(kāi)始轉(zhuǎn)發(fā)數(shù)據(jù)了。AP運(yùn)行后會(huì)定期向AC發(fā)送EchoRequest(控制通道?;睿﹫?bào)文,AC回應(yīng)EchoResponse(控制通道響應(yīng))表示控制通道正常;另外,AP還定期向AC發(fā)送Keepalive(數(shù)據(jù)通道?;睿﹫?bào)文,AC回應(yīng)Keepalive報(bào)文表示數(shù)據(jù)通道正常。

二、CAPWAP數(shù)據(jù)的傳輸

CAPWAP隧道承載的數(shù)據(jù)包括管理報(bào)文和業(yè)務(wù)報(bào)文。其中,管理報(bào)文必須封裝在CAPWAP控制通道中,在AP和AC間傳輸;業(yè)務(wù)報(bào)文則可選擇不經(jīng)過(guò)CAPWAP封裝直接由AP轉(zhuǎn)發(fā)到上行網(wǎng)絡(luò)(稱為直接轉(zhuǎn)發(fā)或本地轉(zhuǎn)發(fā)),也可選擇先由AP封裝到CAPWAP數(shù)據(jù)通道中傳輸給AC,再由AC進(jìn)一步轉(zhuǎn)發(fā)(稱為隧道轉(zhuǎn)發(fā)或集中轉(zhuǎn)發(fā))。

1.以管理報(bào)文從AC發(fā)往AP為例分析管理報(bào)文的傳輸。管理載荷在AC上會(huì)先封裝CAPWAP頭部,再封裝UDP/IP頭部,再封裝802.3以太網(wǎng)頭部,最后封裝上管理VLANID頭部形成管理報(bào)文。封裝好后的管理報(bào)文途經(jīng)交換機(jī)轉(zhuǎn)發(fā)給AP。交換機(jī)在與AP相連的端口上一般要將PVID設(shè)置為管理VLANID,這樣交換機(jī)就會(huì)先去掉PVID(即管理VLANID),再將管理報(bào)文轉(zhuǎn)交給AP。之所以要這樣處理,是因?yàn)锳P一般只將不帶VLAN標(biāo)記的報(bào)文識(shí)別為管理報(bào)文。AP識(shí)別出管理報(bào)文后,依次去掉報(bào)文的802.3頭部、UDP/IP頭部和CAPWAP頭部,再對(duì)剩下的管理載荷進(jìn)行處理。

2.再以業(yè)務(wù)報(bào)文從無(wú)線終端發(fā)往AP為例,分析業(yè)務(wù)報(bào)文的直接轉(zhuǎn)發(fā)模式和隧道轉(zhuǎn)發(fā)模式。在直接轉(zhuǎn)發(fā)模式下,無(wú)線工作站的無(wú)線網(wǎng)卡將業(yè)務(wù)數(shù)據(jù)封裝上無(wú)線的802.11頭部,通過(guò)無(wú)線信道發(fā)送到AP,AP收到的業(yè)務(wù)報(bào)文后,去除無(wú)線的802.11頭部,封裝上有線以太網(wǎng)的802.3頭部,然后直接將其通過(guò)上行交換機(jī)轉(zhuǎn)發(fā)到上行網(wǎng)絡(luò),無(wú)需經(jīng)過(guò)AC集中處理,適用于中小規(guī)模的WLAN;隧道模式下,業(yè)務(wù)報(bào)文在AP上進(jìn)行CAPWAP封裝后經(jīng)CAPWAP數(shù)據(jù)通道傳到AC,由AC將其解封裝后轉(zhuǎn)發(fā)到上行網(wǎng)絡(luò),有利于數(shù)據(jù)傳輸?shù)陌踩浴⒂欣贏C對(duì)數(shù)據(jù)的集中控制和管理,適用于在現(xiàn)網(wǎng)中新增設(shè)備、減少對(duì)現(xiàn)網(wǎng)的改動(dòng)。11.2.3華三無(wú)線設(shè)備的配置

在HCL中搭建如圖11-19所示的拓?fù)?,完成華三無(wú)線設(shè)備的配置。

圖11-19華三無(wú)線設(shè)備配置的拓?fù)?1.2無(wú)線設(shè)備的配置1.AC的vlan、dhcp配置,命令如下:[AC1]vlan100[AC1-vlan100]quit[AC1]vlan101[AC1-vlan101]quit[AC1]interfaceVlan-interface100[AC1-Vlan-interface100]ipaddress192.168.100.124[AC1-Vlan-interface100]quit[AC1]interfaceVlan-interface101[AC1-Vlan-interface101]ipaddress192.168.101.124[AC1-Vlan-interface101]quit[AC1]interfaceGigabitEthernet1/0/0[AC1-GigabitEthernet1/0/0]portlink-typetrunk[AC1-GigabitEthernet1/0/0]porttrunkpermitvlan100101[AC1-GigabitEthernet1/0/0]quit[AC1]dhcpserverip-poolvlan100[AC1-dhcp-pool-vlan100]network192.168.100.024[AC1-dhcp-pool-vlan100]gateway-list192.168.100.1[AC1-dhcp-pool-vlan100]quit[AC1]dhcpserverip-poolvlan101[AC1-dhcp-pool-vlan101]network192.168.101.024[AC1-dhcp-pool-vlan101]gateway-list192.168.101.1[AC1-dhcp-pool-vlan101]forbidden-ip192.168.101.1[AC1-dhcp-pool-vlan101]quit[AC1]dhcpenable2.交換機(jī)SW1的vlan配置,命令如下:[SW1]vlan100[SW1-vlan100]quit[SW1]vlan101[SW1-vlan101]quit[SW1]interfaceGigabitEthernet1/0/1[SW1-GigabitEthernet1/0/1]portlink-typetrunk[SW1-GigabitEthernet1/0/1]porttrunkpermitvlan100101[SW1-GigabitEthernet1/0/1]undoporttrunkpermitvlan1[SW1-GigabitEthernet1/0/1]quit[SW1]interfaceGigabitEthernet1/0/2[SW1-GigabitEthernet1/0/2]portlink-typetrunk[SW1-GigabitEthernet1/0/2]porttrunkpermitvlan100101[SW1-GigabitEthernet1/0/2]undoporttrunkpermitvlan1[SW1-GigabitEthernet1/0/2]porttrunkpvidvlan1013..在AC1上開(kāi)啟自動(dòng)AP,命令如下:[AC1]wlanauto-apenable//開(kāi)啟自動(dòng)AP使用自動(dòng)AP的功能是為了在無(wú)線網(wǎng)絡(luò)中部署的AP數(shù)量較多時(shí),使用自動(dòng)AP功能可以減少管理員的配置工作量,并可以簡(jiǎn)化配置,避免多次配置AP序列號(hào),同時(shí)降低了配置出錯(cuò)的概率。開(kāi)啟自動(dòng)AP一段時(shí)間后,在AC上出現(xiàn)以下提示:%Aug1615:33:21:7522023AC1APMGR/6/APMGR_AP_ONLINE:-MDC=1;AP5ccc-d5d7-0300cameonline.StatechangedtoRun.%Aug1615:33:21:7532023AC1CWS/6/CWS_AP_UP:-MDC=1;MasterCAPWAPtunneltoAP5ccc-d5d7-0300wentup.4.在AC1查詢AP信息,顯示所有AP的信息,這里的主要目的是看自動(dòng)上線的AP的名稱及其他參數(shù)信息,命令如下:[AC1]displaywlanapallTotalnumberofAPs:1TotalnumberofconnectedAPs:1TotalnumberofconnectedmanualAPs:0TotalnumberofconnectedautoAPs:1TotalnumberofconnectedcommonAPs:1TotalnumberofconnectedWTUs:0TotalnumberofinsideAPs:0MaximumsupportedAPs:60000RemainingAPs:59999TotalAPlicenses:60000LocalAPlicenses:60000ServerAPlicenses:0RemaininglocalAPlicenses:59999SyncAPlicenses:0

可以看到,AP名稱被命名為5ccc-d5d7-0300。

5.在AC上修改AP名稱,命令如下:[AC1]wlanauto-appersistentall//將自動(dòng)AP固化為持久的可配置AP,否則無(wú)法修改AP名稱[AC1]wlanrename-ap5ccc-d5d7-0300ap1//修改AP名稱,將"5ccc-d5d7-0300"重命名為"ap1"

6.在AC上對(duì)AP進(jìn)行配置,命令如下:[AC1]wlanservice-template1//創(chuàng)建無(wú)線服務(wù)模板[AC1-wlan-st-1]ssidguest//在無(wú)線服務(wù)模板視圖下配置SSID,即無(wú)線網(wǎng)絡(luò)名稱(WiFi名稱)[AC1-wlan-st-1]service-templateenable//開(kāi)啟無(wú)線服務(wù)模板[AC1-wlan-st-1]quit[AC1]wlanap-groupgroup1//創(chuàng)建Wlan組[AC1-wlan-ap-group-group1]apap1//將名稱為"ap1"的ap加入到本組中[AC1-wlan-ap-group-group1]ap-modelWA6320-HCL//創(chuàng)建并進(jìn)入AP組下的AP型號(hào)視圖[AC1-wlan-ap-group-group1-ap-model-WA6320-HCL]radio1//進(jìn)入Radio視圖[AC1-wlan-ap-group-group1-ap-model-WA6320-HCL-radio-1]service-template1vlan100

//無(wú)線服務(wù)模板綁定Radio時(shí)綁定的VLANID,此處VLAN就是用戶dhcp獲取的網(wǎng)關(guān)vlanid[AC1-wlan-ap-group-group1-ap-model-WA6320-HCL-radio-1]radioenable//開(kāi)啟射頻功能,即WiFi可被搜索7.如圖11-20所示,右擊Phone1,在彈出的菜單中選擇“配置”。圖11-20打開(kāi)Phone1的配置界面8.如圖11-21所示,在“打開(kāi)WIFI?”欄中選擇“是”,點(diǎn)開(kāi)“連接狀態(tài)”列的開(kāi)關(guān)鈕,點(diǎn)擊“IPv4配置”欄“DHCP”選項(xiàng)的“啟用”按鈕。圖11-21對(duì)Phone1進(jìn)行WIFI連接配置9.如圖11-22所示,終端成功聯(lián)網(wǎng)。圖11-22終端成功聯(lián)網(wǎng)謝謝欣賞第11章組建無(wú)線局域網(wǎng)編著:

秦?zé)?/p>

無(wú)線局域網(wǎng)(WLAN)是指以無(wú)線信道作為傳輸媒介的局域網(wǎng)絡(luò)。無(wú)線局域網(wǎng)WLAN的傳輸介質(zhì)包括紅外線、無(wú)線電波等,紅外技術(shù)已逐漸被藍(lán)牙技術(shù)(IEEE802.15)取代。藍(lán)牙工作在2.4GHz頻段,傳輸速率最高1Mb/s,傳輸距離最大10米,用于個(gè)人操作空間,藍(lán)牙技術(shù)與IEEE802.11協(xié)議互相補(bǔ)充。無(wú)線局域網(wǎng)基于IEEE802.11協(xié)議簇工作。IEEE802.11協(xié)議簇包括802.11a、802.11b、802.11g、802.11n(Wi-Fi4)、802.11ac(Wi-Fi5)和802.11ax(Wi-Fi6)等多個(gè)標(biāo)準(zhǔn)。其中,2019年推出的802.11ax工作頻率為2.4GHz或5GHz,寬帶速率可達(dá)600~9608Mb/s。11.1無(wú)線局域網(wǎng)基礎(chǔ)

常見(jiàn)的WLAN組網(wǎng)設(shè)備如下:

1.無(wú)線工作站(STA),指連接到無(wú)線網(wǎng)絡(luò)的計(jì)算機(jī)或智能終端。如PC、平板電腦、智能手機(jī)、無(wú)線打印機(jī)等。

2.無(wú)線接入點(diǎn)(AP),指為無(wú)線工作站連接到無(wú)線網(wǎng)絡(luò)提供接入服務(wù)的無(wú)線網(wǎng)絡(luò)設(shè)備。分為胖AP(FATAP)和瘦AP(FITAP)。胖AP適用于規(guī)模較小的環(huán)境,每臺(tái)胖AP需要單獨(dú)配置,胖AP除了具有基本的射頻信號(hào)接入功能外,還具有IP地址分配、安全管理等網(wǎng)絡(luò)管理功能;瘦AP適用于規(guī)模較大的環(huán)境,僅對(duì)外提供射頻信號(hào)接入功能,各瘦AP無(wú)法單獨(dú)配置,而是集中由一臺(tái)專門(mén)的設(shè)備統(tǒng)一配置,減輕大規(guī)模環(huán)境下管理員的工作負(fù)擔(dān),提高工作效率。11.1.1常見(jiàn)的WLAN組網(wǎng)設(shè)備3.無(wú)線接入控制器(AccessController,AC),指用于集中控制管理瘦AP的網(wǎng)絡(luò)設(shè)備。采用瘦AP組網(wǎng)時(shí),由AC承擔(dān)對(duì)AP的管理任務(wù)、向瘦AP下發(fā)配置,提供IP地址分配、DHCP服務(wù)等網(wǎng)絡(luò)管理功能。網(wǎng)絡(luò)管理員一般只需關(guān)注AC,無(wú)需逐一對(duì)AP進(jìn)行配置,減少了工作量,增強(qiáng)了WLAN的擴(kuò)展性。4.天線,由發(fā)送端天線和接收端天線組成。發(fā)送端發(fā)射的射頻信號(hào)通過(guò)饋線輸送到發(fā)送端天線,由天線以電磁波的形式輻射出去;接收端天線接收到電磁波后,再通過(guò)饋線輸送到接收端。兩個(gè)無(wú)線設(shè)備相距較遠(yuǎn)時(shí),可借助天線提升射頻信號(hào)強(qiáng)度。11.1.2無(wú)線局域網(wǎng)安全

如果無(wú)線接入點(diǎn)沒(méi)有開(kāi)啟安全設(shè)置功能,那么周邊的移動(dòng)終端都可以查看到它的SSID(服務(wù)集標(biāo)識(shí)符)值,無(wú)須密碼直接接入,造成安全隱患,因此為WLAN開(kāi)啟安全設(shè)置是很重要的。WLAN安全設(shè)置包括禁用SSID廣播、數(shù)據(jù)加密等。

1.SSID代表了一個(gè)無(wú)線局域網(wǎng),只有連接到相同SSID值的終端才能直接通信。禁用SSID廣播可以避免無(wú)線網(wǎng)絡(luò)的SSID顯示在用戶無(wú)線網(wǎng)卡發(fā)現(xiàn)的SSID列表中,減少受到攻擊的概率。另外,由于無(wú)線路由器或無(wú)線AP都有默認(rèn)SSID值,為避免攻擊者嘗試使用默認(rèn)SSID連接無(wú)線網(wǎng)絡(luò),啟用WLAN時(shí)建議修改SSID值。

2.為避免非法用戶入侵和竊聽(tīng),需要開(kāi)啟加密、認(rèn)證等功能。無(wú)線網(wǎng)絡(luò)的數(shù)據(jù)加密技術(shù)有WEP(有線等效保密)、WPA、WPA2、WPA3等。WEP是802.11系列標(biāo)準(zhǔn)定義的鏈路層加密協(xié)議,協(xié)議核心是李斯特加密(RivestCipher4,RC4)算法,算法采用靜態(tài)共享密鑰(PSK),稱為靜態(tài)WEP。由于靜態(tài)WEP安全性較低,有些廠商結(jié)合802.1X技術(shù),推出了動(dòng)態(tài)WEP標(biāo)準(zhǔn)。

3.為克服靜態(tài)WEP的弱點(diǎn),Wi-Fi聯(lián)盟也于2003年推出了WPA(Wi-Fi保護(hù)接入)標(biāo)準(zhǔn),該標(biāo)準(zhǔn)在WEP的基礎(chǔ)上提出了TKIP(臨時(shí)密鑰完整性協(xié)議)加密方式。TKIP保留了WEP的基本架構(gòu),仍使用RC4的流加密機(jī)制,但增加了初始向量的長(zhǎng)度、不再采用所有用戶共用密鑰而改用動(dòng)態(tài)密鑰機(jī)制為每個(gè)用戶生成獨(dú)立密鑰、采用MIC(信息完整性校驗(yàn))機(jī)制通過(guò)完整性校驗(yàn)保護(hù)源地址、為每個(gè)幀分配序列號(hào)防范重放攻擊等。

4.隨著2004年IEEE推出802.11i標(biāo)準(zhǔn),Wi-Fi聯(lián)盟也以此為基準(zhǔn)修訂WPA,推出了WPA2。WPA2采用802.11i定義的默認(rèn)加密方式CCMP(計(jì)數(shù)器模式密碼塊鏈信息認(rèn)證協(xié)議),CCMP使用AES(高級(jí)加密標(biāo)準(zhǔn))作為加密算法,該算法彌補(bǔ)了RC4的缺陷,安全性更高。但AES對(duì)硬件要求較高,無(wú)法通過(guò)軟件升級(jí)舊設(shè)備或舊網(wǎng)卡的方式支持CCMP。

5.為了滿足兼容性,目前WPA和WPA2都支持802.1X和PSK認(rèn)證,也都支持TKIP和CCMP加密算法。WPA和WPA2的不同主要表現(xiàn)在協(xié)議報(bào)文格式上的不同。WPA和WPA2分為個(gè)人版和企業(yè)版。個(gè)人版在AP和STA間采用預(yù)共享密鑰(PSK)的方式進(jìn)行認(rèn)證;企業(yè)版采用專門(mén)的認(rèn)證服務(wù)器通過(guò)802.1X等方式進(jìn)行認(rèn)證。

6.2018年1月,Wi-Fi聯(lián)盟在WPA2的基礎(chǔ)上發(fā)布了新一代的WPA3,WPA3個(gè)人版采用SAE(對(duì)等實(shí)體同時(shí)驗(yàn)證)協(xié)議取代了WPA/WPA2的PSK認(rèn)證方式,可有效抵御離線字典攻擊和增加暴力破解的難度。WPA3個(gè)人版采用向前保密,使攻擊者就算有密碼也無(wú)法解密截獲的數(shù)據(jù)。WPA3企業(yè)版沒(méi)有從根本上改變?cè)袇f(xié)議,主要從數(shù)據(jù)保護(hù)、流量保護(hù)和管理幀保護(hù)等方面進(jìn)行了提升。11.1.3CAPWAP隧道一、AC與AP間隧道的建立在瘦AP+AC的組網(wǎng)模式中,全網(wǎng)的AP由AC統(tǒng)一管理,AC承擔(dān)了AP配置、用戶接入認(rèn)證等管理功能,AC與AP之間采用稱為CAPWAP的通信協(xié)議建立隧道。CAPWAP隧道包括控制通道和數(shù)據(jù)通道兩種,分別使用UDP的5246端口和5247端口。CAPWAP隧道的建立過(guò)程如下:1.AP獲取地址。通過(guò)配置DHCP服務(wù)(可在AC或核心交換機(jī)等設(shè)備上配置),為AP分配IP地址。2.AP發(fā)現(xiàn)AC。AP可以通過(guò)DHCP服務(wù)的Option43字段或通過(guò)DNS解析獲取AC的IP地址。獲取到AC的地址后,AP發(fā)送DiscoveryRequest報(bào)文嘗試關(guān)聯(lián)AC(三層網(wǎng)絡(luò)通過(guò)單播、二層網(wǎng)絡(luò)通過(guò)廣播),AC收到請(qǐng)求后返回?cái)y帶有AC優(yōu)先級(jí)和當(dāng)前已關(guān)聯(lián)AP數(shù)量等信息的DiscoveryResponse給AP,由AP決定與哪個(gè)AC建立連接。3.建立DTLS連接。DTLS(DatagramTransportLevelSecurity,數(shù)據(jù)報(bào)安全傳輸協(xié)議)是UDP版本的TLS,用于防數(shù)據(jù)被竊聽(tīng)、篡改、身份冒充等。AC在DiscoveryResponse中會(huì)指示是否采用DTLS加密CAPWAP隧道中的UDP報(bào)文。

4.AP加入AC。AP發(fā)送JoinRequest報(bào)文請(qǐng)求加入AC并建立控制通道,AC發(fā)送JoinResponse響應(yīng)。

5.AP版本升級(jí)。AP根據(jù)JoinResponse攜帶的版本要求判斷自身版本是否符合,若不符合則向AC申請(qǐng)下發(fā)新版本。

6.AP配置下發(fā)。AP版本達(dá)到要求后,向AC發(fā)送ConfigurationStatusRequest(配置狀態(tài)請(qǐng)求)報(bào)文,請(qǐng)求報(bào)文攜帶了AP現(xiàn)有的配置,若AC發(fā)現(xiàn)AP的配置不符合要求,則發(fā)送ConfigurationStatusResponse報(bào)文通知AP同步配置。

7.AP配置確認(rèn)。AP配置完成后,向AC發(fā)送ChangeStateEventRequest(配置確認(rèn)請(qǐng)求)報(bào)文,其中包含射頻、錯(cuò)誤碼、配置信息等。AC回復(fù)ChangeStateEventResponse(配置確認(rèn)響應(yīng))。

8.AP運(yùn)行。配置確認(rèn)后,意味著CAPWAP的控制通道已成功建立,AP進(jìn)入運(yùn)行狀態(tài),可以開(kāi)始轉(zhuǎn)發(fā)數(shù)據(jù)了。AP運(yùn)行后會(huì)定期向AC發(fā)送EchoRequest(控制通道保活)報(bào)文,AC回應(yīng)EchoResponse(控制通道響應(yīng))表示控制通道正常;另外,AP還定期向AC發(fā)送Keepalive(數(shù)據(jù)通道?;睿﹫?bào)文,AC回應(yīng)Keepalive報(bào)文表示數(shù)據(jù)通道正常。

二、CAPWAP數(shù)據(jù)的傳輸

CAPWAP隧道承載的數(shù)據(jù)包括管理報(bào)文和業(yè)務(wù)報(bào)文。其中,管理報(bào)文必須封裝在CAPWAP控制通道中,在AP和AC間傳輸;業(yè)務(wù)報(bào)文則可選擇不經(jīng)過(guò)CAPWAP封裝直接由A

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論