分类: Wireless

华为无线基本实验(1)旁挂AC直接转发方式

WLAN网络中的报文分为管理报文(控制报文)和数据报文(业务报文)。管理报文通过CAPWAP的控制隧道进行转发;用户数据报文则根据是否通过CAPWAP的数据隧道转发分为隧道转发(又称为“集中转发”)方式、直接转发(又称为“本地转发”)方式和Soft-GRE转发方式。

隧道转发方式是指用户的数据报文到达AP后,需要经过CAPWAP数据隧道封装后发送给AC,然后由AC再转发到上层网络,如图所示。

隧道转发

直接转发方式是指用户的数据报文到达AP后,不经过CAPWAP的隧道封装而直接转发到上层网络,如图1-2所示。

表1-1 隧道转发与直接转发的优缺点

数据转发方式优点缺点
隧道转发AC集中转发数据报文,安全性好,方便集中管理和控制,新增设备部署配置方便,对现网改动小。业务数据必须经过AC转发,报文转发效率比直接转发方式低,AC所受压力大。
直接转发业务数据不需要经过AC转发,报文转发效率高,AC所受压力小。业务数据不便于集中管理和控制,新增设备部署对现网改动大。

配置调整原则

直接转发和隧道转发之间的配置调整,除了VAP下的转发方式的配置调整外,最主要的就是各接口下管理VLAN和业务VLAN的配置调整

  • 直接转发方式下,建议管理VLAN和业务VLAN分别使用不同的VLAN,否则可能导致业务不通。例如,业务VLAN如果和管理VLAN相同,且交换机连接AP的端口配置了PVID为管理VLAN,则下行到用户的报文出连接AP的交换机时业务VLAN会被终结,从而导致业务不通。
  • 隧道转发方式下,管理VLAN和业务VLAN不能配置为同一VLAN,否则会导致MAC漂移,报文转发出错。并且AP和AC之间只能放通管理VLAN,不能放通业务VLAN

实验拓扑

sw1 配置

vlan batch 100 to 105
#
stp disable

interface Vlanif100
ip address 10.1.100.1 255.255.255.0
dhcp select relay
dhcp relay server-ip 10.1.102.2
#
interface Vlanif101
#
interface Vlanif102
ip address 10.1.102.1 255.255.255.0
#
interface Vlanif103
ip address 10.1.103.1 255.255.255.0
dhcp select relay
dhcp relay server-ip 10.1.102.2
#
interface Vlanif104
ip address 10.1.104.1 255.255.255.0
dhcp select relay
dhcp relay server-ip 10.1.102.2
#
interface Vlanif105
ip address 10.1.105.1 255.255.255.0

interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 // 和AC 相连的接口只允许管理vlan通过
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 105
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 100 to 105 //允许业务vlanc通
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 102

ip route-static 0.0.0.0 0.0.0.0 10.1.105.2

Sw2配置

vlan batch 100 103 to 104

interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 to 105
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100 to 105
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 104
stp edged-port enable
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100 to 105

【思考1】:如果 为隧道转发为什么SW2只创建VLAN100,不用创建VLAN103,104?
解析:因为我们用的是隧道转发,数据到达AC1后,才会打上103,104标记然后发给LSW1
【思考2】:为什么连接AP的接口要打port trunk pvid vlan 100?
解析:交换机收到AP的数据帧打上100的tag发送,把带上100tag的数据帧去掉然后发给AP

AC 配置

vlan batch 100

interface Vlanif100
ip address 10.1.100.2 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 100 //如果为隧道转发要加上业务vlan ID,业务vlan 要通过AC 转发

第一步 创建AP 组

wlan

ap-group apgoup01

第二步 创建管理模板并关联到AP 组

wlan
regulatory-domain-profile name profile01 //创建域管理模板,名字叫profile01
country-code cn //国家代码选择中国

ap-group name apgroup01
regulatory-domain-profile profile01 //AP组的域管理模板是profile01
Warning: Modifying the country code will clear channel, power and antenna gain c
onfigurations of the radio and reset the AP. Continue?[Y/N]:y


第三步:配置AC的接口源地址
[AC1]capwap source interface Vlanif 100 //AC的接口源地址为VLAN100

第四步:离线导入AP
wlan
ap auth-mode mac-auth //AP的认证模式为MAC认证
ap-id 1 ap-mac 00e0-fc94-4640 //AP的编号和MAC地址
ap-name AP1 //AP的名字为ds
ap-group apgroup01 //AP属于AP组x
ap-id 2 ap-mac 00e0-fc19-42c0 //AP的编号和MAC地址
ap-name AP2 //Ap的名字
ap-group apgroup01 //AP属于AP组x
Warning: This operation may cause AP reset. If the country code changes, it will
clear channel, power and antenna gain configurations of the radio, Whether to c
ontinue? [Y/N]:y
思考:AP的MAC地址是怎么知道的?
读者可以通过在ap上使用命令“display interface Vlanif 1”查看当前ap的mac地址,然后再将mac地址进行绑定。

第五步:配置VLAN业务参数

第1步:创建安全模板

wlan
security-profile name secprofile01 //安全模板的名字叫secprofile01
security wpa-wpa2 psk pass-phrase huawei@123 aes //密码是huawei@123,用AES加密。
quit
第2步:创建SSID模板
wlan
ssid-profile name ssidprofile01 //ssid的模板名字叫ssidprofile01
ssid wifi01 //ssid的名称叫wifi01
quit

第3步:创建VAP模板
wlan
vap-profile name vapprofile01 //vap模板的名字叫vapprofile01
forward-mode direct-forward //转发模式为隧道
service-vlan vlan-id 103 //服务的VLAN为103
security-profile secprofile01//调用安全模板secprofile01
ssid-profile ssidprofile01 //调用SSID模板ssidprofile01
quit
第4步:在AP组里面调用VAP模板
[AC1-wlan-view]ap-group name x
[AC1-wlan-ap-group-x]vap-profile vapprofile01 wlan 1 radio 0 //调用VAP模板
[AC1-wlan-ap-group-x]vap-profile y wlan 1 radio 1 //
思考:radio0 1 2 是什么意思?

DHCP Server 配置

vlan batch 100 to 105
#
stp disable

dhcp enable
#
ip pool vlan103
gateway-list 10.1.103.1
network 10.1.103.0 mask 255.255.255.0
#
ip pool vlan104
gateway-list 10.1.104.1
network 10.1.104.0 mask 255.255.255.0
#
ip pool vlan100
gateway-list 10.1.100.2
network 10.1.100.0 mask 255.255.255.0
option 43 sub-option 2 ip-address 10.1.100.2

interface Vlanif100
dhcp select global
#
interface Vlanif103
dhcp select global
#
interface Vlanif104
dhcp select global

interface GigabitEthernet0/0/0
ip address 10.1.102.2 255.255.255.0
dhcp select global

ip route-static 0.0.0.0 0.0.0.0 10.1.102.1









网工 无线网络基本概念

STA Station 工作站

RF(射频信息)Radio frequency signal

提供基于802.11标准的WLAN技术的传输介质,是具有远距离传输能力的高频电磁波。本课程指的射频信号是2.4G或5G频段的无线电磁波。

CAPWAP

无线接入点控制与规范CAPWAP (Control And Provisioning of Wireless Access Points):由RFC5415协议定义的,实现AP和AC之间的互通的一个通用封装和传输机制。

该协议定义了AC如何对AP进行管理、业务配置,即AC与AP间首先会建立CAPWAP隧道,然后AC通过CAPWAP隧道来实现对AP的集中管理和控制

CAPWAP是基于UDP进行传输的应用层协议,CAPWAP协议在传输层运输两种类型的流量:

  • 业务数据流量,封装转发无线数据帧 。——通过CAPWAP数据隧道
  • 管理流量,管理AP和AC之间交换的管理消息 。——通过CAPWAP控制隧道

CAPWAP数据和控制报文基于不同的UDP端口发送:

  • 管理流量端口为UDP端口5246。
  • 业务数据流量端口为UDP端口5247。

AC 连接方式

AC的连接方式分为:直连式组网和旁挂式组网。

生产网络一般是采用旁挂组网方式

在旁挂式组网中,AC只承载对AP的管理功能,管理流封装在CAPWAP隧道中传输数据业务流可以通过CAPWAP数据隧道经AC转发,也可以不经过AC转发直接转发,后者无线用户业务流经汇聚交换机由汇聚交换机传输至上层网络。

BSS/SSID/BSSID

分别是基本服务集BSS (Basic Service Set)、基本服务集标识符BSSID (Basic Service Set Identifier)、服务集标识符SSID (Service Set Identifier)。

  1. BSS:一个AP所覆盖的范围,在一个BSS的服务区域内,STA可以相互通信
  2. BSSID:是无线网络的一个身份标识,用AP的MAC地址表示。
  3. SSID:表示无线网络的标识,用来区分不同的无线网络。例如,当我们在笔记本电脑上搜索可接入无线网络时,显示出来的网络名称就是SSID。
  4. VAP
    早期的AP只支持1个BSS,如果要在同一空间内部署多个BSS,则需要安放多个AP,这不但增加了成本,还占用了信道资源。为了改善这种状况,现在的AP通常支持创建出多个虚拟AP (Virtual Access Point, VAP)。如图16-13所示,它相当于交换机中的VLAN
  5. ESS 为了满足实际业务的需求,需要对BSS的覆盖范围进行扩展。同时用户从一个BSS移动到另一个BSS时,不能感知到SSID的变化,则可以通过扩展服务集ESS (Extend Service Set)实现。如图6-14所示,这是由多个使用相同SSID的BSS组成,是采用相同的SSID的多个BSS组成的更大规模的虚拟BSS。

WLAN基本业务配置流程

AP发现AC有静态和动态两种方式:

  • 静态方式

AP上预先配置了AC的静态IP地址列表。AP上线时,AP分别发送Discovery Request单播报文到所有预配置列表对应IP地址的AC。然后AP通过接收到AC返回的Discovery Response报文,选择一个AC开始建立CAPWAP隧道。

  • 动态方式

动态发现AC又分为:DHCP方式、DNS方式和广播方式,下面我们主要介绍一下DHCP方式。

DHCP方式:AP通过DHCP服务获取AC的IP地址(IPv4报文通过在DHCP服务器上配置DHCP响应报文中携带Option 43,且Option 43携带AC的IP地址列表;IPv6报文通过在DHCP服务器上配置DHCP响应报文中携带Option 52,且Option 52携带AC的IP地址列表),然后向AC发送Discovery Request单播报文。AC收到后,向AP回应Discovery Response报文。

wlan 业务数据转发方式

1、隧道转发方式

隧道转发方式是指用户的数据报文到达AP后,需要经过CAPWAP数据隧道封装后发送给AC,然后由AC再转发到上层网络,

隧道转发方式的优点是AC集中转发数据报文,安全性好,方便集中管理和控制。缺点是业务数据必须经过AC转发,报文转发效率比直接转发方式低,AC所受压力大。

2、直接转发方式

直接转发方式是指用户的数据报文到达AP后,不经过CAPWAP的隧道封装而直接转发到上层网络。

直接转发方式的优点是数据报文不需要经过AC转发,报文转发效率高,AC所受压力小。缺点是业务数据不便于集中管理和控制。

Aruba 无线AP配置要点

1、AP、AP-Group、和Virtual-AP的关系

解析列举:
      AP1、AP3,属于AP-Group1,释放SSID=A;
      AP2、AP5,属于AP-Group2,释放SSID=B、SSID=C
      AP4,属于AP-Group3,释放SSID=A、SSID=B、SSID=C、SSID=D

2. Virtual-AP的配置要点

2.1 认证方式—-AAA Profile

  • 确保接入无线网络的用户都是合法用户
  • 认证方式可以选择无认证,或者MAC、PSK、captive portal、802.1X等认证方式
  • 在认证过程中实现角色分配

2.2 加密方法—-SSID Profile

  • 确保数据在空中传输时的私密性
  • 可以选择不加密(open)、二层加密(TKIP, AES) 或者三层加密 (VPN)

2.3 VLAN分配—-VLAN-Name或VLAN-ID

  • 为接入无线网络的无线用户分配VLAN,以便获得正确的IP地址

Aruba Wlan配置

1. AP group :

    Aruba无线控制器通过AP Group来构建无线网络配置参数模版。并通过将多个AP加入某个AP Group来将这些配置参数同步到每个AP。

    AP组的方式保存具有相同配置AP的所有参数;
    所有被AC发现的AP(还未进行配置)都被默认分配到一个”default”的AP组;
    一个AP只能属于一个AP组,多个AP可以属于同一个AP组;
    可以建立新的AP组,然后把特定的 AP分配到新建的AP组。可以修改AP组的参数,使修改参数应用到所有属于这个AP组的AP,也可以对一个特定的AP进行参数修改,修改的参数将覆盖AP组对应的参数。

2.Profile

   Aruba以profile为单元的方式分解无线配置参数,根据无线配置参数的功能,分解成一个个独立的profiles,下层Profile可以提供给多个上层profile进行使用,上层profile也可以包含多个不同功能的下层profile。
  例如SSID Profile(包含AP的名称,加密方式等等),包含EDCA Parameters Station Profile(Clients到AP的流量优先级参数),EDCA Paramters AP Profile(AP到Clients的流量优先级参数),High-throughput SSID  Profile(802.11n的40MH的利用),这三个Profile还可以被其他的SSID Profile包含。

  • SSID profile: 配置用户可见的ESSID,及其加密方式,如open、wep、wpa-tkip、wpa2-aes,以及使用pre-share key静态密钥还是802.1x。
  • AAA profile: 配置用户认证方式(mac、802.1x、captive-portal、VPN),关联相应AAA认证服务器(Radius、TACACS+、LDAP及Internal DB)。
  • Virtual-AP profile: 关联上述SSID profile和AAA profile以构成一组WLAN服务模版,并为其分配vlan。

3. Virtual AP配置架构

Aruba 无线学习

1、Aruba产品线

  • IP switches: 1500、2500、3500
  • Controllers:7200 、70×0 Series、7200、9000、9200、 (AC)
  • Meridian:基于ACE/BCE蓝牙定位(与app结合)
  • Clearpass: BYOD架构
  • Airwave:本地网管,多厂商设备可以监控
  • Aruba Central:云端网管
  • AP:无线设备,   奇数表示内置天线,偶数表示外置天线
         MST-200、MSR-1200/2000/4000  用于做MESH(收购阿德尼亚)
         100 series: 支持802.11 (其中AP175特殊支持802.ac)
         200 series: 支持802.ac
         300 series: 支持802.ac wave2,MU-MIMO
         RAP: RAP-155、RAP-108/109、RAP-3
  • 参考链接:什么是 WLAN?为什么需要它?| 安移通网络科技(中国)有限公司 (arubanetworks.com)

2、AP 一些简单术语

 IAP :类似于cisco的胖AP,必须依靠AC
 CAP:类似于cisco的瘦AP,单独组网,不需要AC
 RAP:远程AP, 建立VPN隧道
 Spectrum Aps:特殊AP,用于频道分析

3、Aruba通讯过程

Aruba 通讯过程:

①AP连接到现有网络的交换机端口,加电起动后,获得IP地址(DHCP或者静态设置)
②AP通过各种方式获得ARUBA控制器的IP地址(静态获得、DHCP返回、DNS解析、组播、广播)
AP与控制器之间建立PAPI隧道(UDP 8211),通过FTP或TFTP到ARUBA控制器上比对并下载AP的image软件和配置文档,
    并根据配置信息建立AP与控制器之间的GRE(port 47)隧道,同时向无线用户提供无线接入服务
④无线用户通过SSID连接无线网络,所有的用户流量都通过AP与ARUBA控制器之间的GRE隧道直接传递到ARUBA控制器上,进行相应的加解密、身份验证、授权、策略和转发。

Control Traffic控制流量:Aruba私有协议PAPI(UDP 8211),ssid、channel、power
Data Traffic数据流量:封装在GRE(协议号port 47)隧道

Table of Contents

Index