XCIE-HUAWEI-WLAN-无线
什么叫WLAN Wireless LAN(无线局域网)
解释一下WLAN和WIFI的区别
手机上有的叫WLAN有的叫WIFI,选择可以告诉你,WLAN比WIFI牛逼
WIFI是一句802.11ac ax等的无线局域网(比如WIFI-6)
WLAN里面包含了红外,蓝牙,WIFI,wifi是他的儿子
只是习惯了WLAN叫企业级的
习惯了wifi是家用的
WLAN设备
1-家用的
2.无线接入点AP,这个也分胖的和瘦的,瘦的必须用AC管理,胖的可以独立工作,AP=Access Point
3.POE交换机(给AP供电使用)
里面区别两个
poe和poe+
区别是支持的功率的区别,poe是15.4左右,poe+是30w+,功率的大小区别于AP能不能正常工作
4.AC,管理AP使用,AC=Access,Controller)
CAPWAP
这个东西很重要哈
(control and provisioning of wireless access points protocol)
这个东西的功能就几个
1.维护AC和AP之间的关系(AC管理AP)
2.AC通过CAPWAP隧道对AP进行管理,业务下发等
3.采用隧道转发的时候,AP会把终端的数据通过CAPWAP隧道实现和AC之间的交互.
无线信道
2.4G为了不冲突,一般用的是1.6.11,这样信道不会冲突 刚好间隔开,反正隔开5就行
中国内最大是13
或者你可以2.7.12或者3.8.13
5G则是,可以说不怕干扰,你在我对面用1频段,我用2频段,也不会互相干扰,但是只是5G,但是5G穿透力差一点,2.4G穿透力好但是速度慢
BSS/SSID/BSSID
这个是啥东西呢?一个一个解释
BSS=一个AP内所覆盖的范围
SSID=wifi的名字
BSSID=一个标志,通常是AP的MAC
ESS(可以理解为WIFI聚合)
可以实现无限漫游,比如我在A区,连着wifi,去到B区,wifi还没断,这样是无感切换,我总不能公司100个AP,然后人家一扫,100个AP吧,可以采用相同的SSID组成ESS
AP发现AC的方式
1.静态,当AP拿到IP之后,会发送一个叫做discover request的报文,找可以用的AC,然后完了之后建立capwap
2.动态,分两个,一个是二层的一个是三层的
一,二层,广播查询,他插进去就拿到IP,然后AP就直接发广播就找到AC了
二,三层,拿到IP之后走路由 ,一样发discovery request,这个时候用dhcp服务器来中继(option43)
CAPWAP隧道维持
它们之间的维持使用keepalive来维持的
这个就是AP上线的流程
WLAN模板
下面分别由
域管理模板-国家码,信道,带宽等
射频模板-优化射频以及业务不中断等
VAP模板-配置VAP,同时可以调用SSID,安全,认证等(这个最重要)
其他模板-AP系统,定位,WIDS,Mesh等
射频参数配置-工作频段,信道,发送功率等
终端连接到wifi的全过程
一,扫描
扫描分两种
1.正常扫描(空ssid)
2.指定ssid(相当于隐藏wifi),做过防蹭网的一般会知道这个
二,认证安全
1.WEP-这个东西其实不太安全,或者说空连接
2.WPS/WPA2-802.1X这个可以连接802.1X做认证(EAP),加密的方式为TKIP或者CCMP,一般用于大型企业
3.WPA/WPA2-PSK(预共享密钥),加密的方式为TKIP或者CCMP,这个一般家用
三,DHCP
这个就是获取地址了
四,用户认证
就是连接之后的要求你单独进行的WEB认证,类似这种
这个一般就是aaa认证
有802.1x
mac认证
portal认证(web)
直接转发与隧道转发的优缺点比较
隧道转发 AC集中转发数据报文,安全性好,方便集中管理和控制,新增设备部署配置方便,对现网改动小。 业务数据必须经过AC转发,报文转发效率比直接转发方式低,AC所受压力大。
直接转发 数据报文不需要经过AC转发,报文转发效率高,AC所受压力小。 业务数据不便于集中管理和控制,新增设备部署对现网改动大。
简单的说 隧道是必须经过ac的,强制,这样安全但是压力大,直接就是能用就能跑,但是不安全
业务数据转发方式采用直接转发时,建议在直连AP的交换机接口上配置组播报文抑制。
业务数据转发方式采用隧道转发时,建议在AC的流量模板下配置组播报文抑制。
实验环境(最后会附上百度网盘链接)
配置完DHCP和基础互联之后就已经可以AP拿到DHCP的地址了,默认就是dhcp的(基础互联都是IA的懒得写了)
拿到地址之后,就会开始寻找AC,这里是因为我告诉他AC在哪,这个叫discovery request,他会一直发,请求和AC建立capwap隧道,直到成功
还有一种就是用console直接配置告诉ap(手动方式)
ap-address mode static(默认dhcp)
改了静态之后可以自己写ip
上面的就是ac,下面的就是自己的地址
查看可以用display ap-address-info
写网关就是ap-addres static ip-address X.X.X.X mask 再写网关
开始配置AC
配置基础互联
CAPWAP-这个很重要
.
这个就是在AC上指定了CAPWAP源,告诉AP,和我连接指定这个VLAN就对了
WLAN
dis ap all是用来查看上线ap的
现在所有的AC默认下都是使用MAC认证,也就是说,要在AC里面输入了先
默认下是MAC,配置不认证他会告诉你不安全,但是不用鸟他。这样容易上线,上线之后再做安全策略
不然你一个一个输入ap的mac,麻烦的一批
状态只要显示是nor,就代表正常上线了
这个ap的sysname对应的就是ac上面的那个name(ap的mac地址)
其实在正常会弹出来个capwap link is up!!!(我也不知道为什么这个我没弹出来)
域管理模板
[AC-wlan-view]regulatory-domain-profile ?
name Name
[AC-wlan-view]regulatory-domain-profile n
[AC-wlan-view]regulatory-domain-profile name default
[AC-wlan-regulate-domain-default]
这个东西是用来做安全策略的多,但是一定要做
配置国家码(其实配不配都行)因为在中国出厂默认都是CN
配置这个的原因是在不同的国家的无线的标准不一样,功率,射频等
安全模板-security-profile
加密方式wpa-wpa2,使用psk预共享密钥,然后密码是1-8,用aes加密算法,加密模板名称是default
SSID(wifi名字)
ssid-profile name wifi-1
ssid wifi-1
ssid-profile name wifi-2
ssid wifi-2
name后面的模板的名字,一样的,里面的那个才是真的wifi名称
VAP模板(最重要的玩意)
讲一下
一个VAP模板只能对应一个SSID
里面的分别是
1.转发模式,默认是直接转发,这里调用隧道转发
2.对应的VLAN-ID,这里用的是VLAN30,上面有讲
3.ssid模板,对应到wifi-1
漏了一个,还有个安全模板,这个是指定wifi密码的
还有一个VAP-2给wifi-2用,里面的东西除了VLAN-ID都是一样的
ap组
分别两个ap组
这里面要调用域控组的命令没出来我手动打一下
regulatory-domain-profile defualt (default是域控模板的名字)ap组都要写
至于这个radio是什么意思
radio0=2.4g
radio1=5g
做到这里为什么发现还没生效呢?,因为他不在ap管理组里面,把他改一下就可以加进去了(改了之后AP会自动重启)
进来这里,然后把他改到对应的组,打个yes他就会改过去了,dis ap all也可以看见的
然后输入ap-group,名字就是你做的配置的那个组
然后这个圈圈出来了
两个wifi都出来了,分别连接一下看看获取的IP以及能不能上网(ISP弄了个lo口,ip为10.10.10.10)
然后这样就做成功了
这里一个是2.4的一个是5g的
因为我把两个AP组分开了,如果想看30和40都在一个ap发下就要在同一个AP组
我现在单独把他改去AP-2,那么看到的就是40段的两个wifi,正常情况下是做在一起的哈
[AC-wlan-view]dis ap all
Info: This operation may take a few seconds. Please wait for a moment.done.
Total AP information:
nor : normal [1]
ID MAC Name Group IP Type State STA Uptime
0 00e0-fc63-5560 ap-1 ap-1 192.168.20.253 AP6050DN nor 1 9M:7S
Total: 1
[AC-wlan-view]ap-m
[AC-wlan-view]ap-mac 00e0-fc63-5560
[AC-wlan-ap-0]ap-name aaaa
[AC-wlan-ap-0]ap-gr
[AC-wlan-ap-0]ap-group ap-2
Warning: This operation may cause AP reset. If the country code changes, it will
clear channel, power and antenna gain configurations of the radio, Whether to c
ontinue? [Y/N]:y
Info: This operation may take a few seconds. Please wait for a moment… done.
[AC-wlan-ap-0]
然后这样ap就会重启,加入到AP-2这个组的配置里面去,然后获取到的都是40段的
正常情况可以做一个组,然后这个组里面包含全部的配置
路由也是通的
验证隧道转发模式
隧道转发模式就是强制经过AC,现在去ac抓包,然后从终端发送信息看AC上的流量
这个是抓的AC的G0/0/1口的流量
ensp百度网盘链接附上
链接:https://pan.baidu.com/s/1iBii70edGsb0BuPE6FbKbw?pwd=1qsj
提取码:1qsj
–来自百度网盘超级会员V4的分享