网工必学技术点
无线局域网——WLAN,是指通过激光,电磁波,红外线等无线信号来替代有线介质的局域网络。相比于传统有线网络来说,无线网络的部署相对比较灵活,不收有线因网口等因素而造成的局限性。但是无线的信号容易收各种因素的影响,稳定性相对有线网络稍差一些。
WLAN目前使用的协议是IEEE802.11ax协议,通俗来讲叫wifi6,IEEE802.11ax是802.11协议族中的一员,在此之间还有802.11、802.11b、802.11g、802.11n等协议。
无线离不开AP这个设备,AP(无线接入点)有两大类,一类是FAT AP,也叫胖AP,一类是FIT AP,也叫瘦AP。这两个主要差别在于是否需要AC(无线控制器)来进行纳管。
胖AP可以自主管理,不需要AC进行管理,家用无线路由器就是一个典型的胖AP的例子。瘦AP需要AC来进行管理,下发配置和升级版本等信息。
AP和AC之间属于有线连接,AP和终端之间是无线连接。AC的接入方式有两种,可以直接和AP连接,也可以旁挂组网,直连AP导致数据流量也通过AC转发,对AC的性能考验较大,旁挂组网则实现管理流量和业务流量分离。
BSS:基本服务集合,是由一个AP和多个终端组成。
BSSID:基本服务集合标识,用于设备识别AP,一般是AP的MAC地址。
SSID:服务集合标识,用于人识别AP,一般是无线名称。
ESS:当多个AP的SSID相同,但是BSSID不同时,则成为扩展服务集合。
VAP:虚拟无线接入点,可以把一个AP虚拟成多个AP来实现不同的无线网隔离。
CAPWAP:无线接入管理和配置协议,用于AP和AC之间建立通信隧道和保活的协议。
4.1 AP的上线
AP的地址获取可以通过静态配置或者动态DHCP获取,一般采用动态获取的方式,手工配置AP地址过于繁琐,不易施工。
AP在动态获取地址之后,需要和AC建立capwap隧道,分为控制隧道和数据隧道两种。控制隧道是AP和AC之间管理报文的交互,数据隧道是流量转发的路径选择。一般可以在AP上手工指定AC的地址,也可以自动的发现AC,通过APdiscover request报文寻找AC,AC回复discover response来确认。
在建立通信隧道之后,AP需要加入AC控制节点,通过join request和join response来进行交互。AC在收到join request之后,要检查收否允许AP的接入,有三种认证方式,基于MAC地址的认证、基于序列号的认证、不认证。
AC不一定支持所有的AP版本接入,当AP版本过低时,需要进行版本的升级,可以通过image data request和 image data response报文来实现。
AP好AC之间通过keepalive机制维持数据隧道的连通性,通过echo request和echo response报文维持控制隧道的连通性。
为了能让AP加入AC的管理,AC还需要指定CAPWAP的源接口,将AP加入到AP组等信息。
4.2 业务的下发
AP通过主动发送configuration status request报文来向AC请求配置信息,AP通过AC的接入检查后,通过configuration status response报文来向A下发配置信息。
配置模板主要包含域管理模板,安全模板,SSID模板,射频模板,VAP模板等信息。
不同的国家使用不同的国家管理代码,安全模板主要信息有无线的密码,加密方式以及加密算法等信息,SSID模板主要信息就是无线网的名称,射频模板可以指定使用的射频口,将安全模板和SSID模板以及转发模式和业务vlan号在VAP模板中引用,然后在AP组中,引用与管理模板以及射频模板和VAP模板。
4.3 终端的接入
终端接入需要经历扫描、认证、关联、获取地址和用户认证几个阶段。
扫描阶段,也就是终端需要找到AP的无线名称,这个可以通过指定名称的扫描,也可以自动的扫描无AP。
认证阶段需要是加密方式的协商,目前最多使用的一般是wap-wap2-psk的认证方式。
关联阶段是终端需要和AP、AC协商速率等信息。
STA一般都是通过DHCP来获取地址。
用户认证,输入的密码要和AC下发给AP对应SSID的密码要一致。
4.4 业务的转发
业务转发模式一般有两种,通过隧道转发和直接转发。隧道转发就是数据流量要通过AC然后再向外转发,直接转发是数据流量可以不通过AC直接转发出去,在隧道只走控制流量,在旁挂AC的时候,可以使用直接转发模式,来降低AC的资源消耗。
拓扑:
需求描述:管理和业务分开,数据转发不经过AC,R1上配置静态路由指向SW1,管理属于vlan10,地址段192.168.10.0/24,网关在AC上,AC配置接口DHCP池,业务属于vlan20,地址段192.168.20.0/24,网关在SW1上,SW1配置接口DHCP池,使STA能够ping通R1。R1和SW1之间属于vlan100。
SW1配置:
# vlan batch 10 20 100 # dhcp enable # interface Vlanif20 ip address 192.168.20.254 255.255.255.0 dhcp select interface # interface Vlanif100 ip address 10.1.12.1 255.255.255.0 # interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 10 # interface GigabitEthernet0/0/2 port link-type trunk port trunk pvid vlan 10 port trunk allow-pass vlan 10 20 # interface GigabitEthernet0/0/3 port link-type access port default vlan 100
AC配置:
# vlan batch 10 # dhcp enable # interface Vlanif10 ip address 192.168.10.254 255.255.255.0 dhcp select interface # interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 10 # wlan security-profile name sec security wpa-wpa2 psk pass-phrase 12345678 aes ssid-profile name guo ssid guo vap-profile name vap service-vlan vlan-id 20 ssid-profile guo security-profile sec regulatory-domain-profile name cn ap auth-mode no-auth ap-group name aps regulatory-domain-profile cn radio 0 vap-profile vap wlan 1t ap-id 0 type-id 56 ap-mac 00e0-fcc4-3400 ap-sn 210235448310E643CE08 ap-name ap1 ap-group aps
R1配置:
# interface GigabitEthernet0/0/0 ip address 10.1.12.2 255.255.255.0 # ip route-static 192.168.20.0 255.255.255.0 10.1.12.1
ping测试:
在AC和SW1 抓包没有ping包:
推荐阅读
>>>【独家首发】新版HCIE考试解读直播回顾
>>> 重磅!华为HCIE认证改版升级通知!
>>>【命令解析】Linux用户行为的常用命令
>>> 网工必备通信基础知识,还不知道你就out了?
>>>【必备干货】网工入门必会桥接教程,外网+GNS3+Vmware
>>>【技术指南】5分钟搞清楚OSPF链路状态路由协议
网工界市场认可度极高的华为认证,你考了吗?
拿下华为HCIE认证之后,你可以:
跨越90%企业的招聘硬门槛
增加70%就业机会
拿下BAT全国TOP100大厂敲门砖
体系化得到网络技术硬实力
技术大佬年薪可达30w+
