【HCIA-Datacom V1.0培训教材】WLAN

1，WLAN概述

什么是WLAN

Wireless Local Area Network无线局域网

• WLAN即Wireless LAN（无线局域网），是指通过无线技术构建的无线局域网络。
▫ 这里指的无线技术不仅仅包含Wi-Fi，还有红外、蓝牙、ZigBee等等。
▫ 通过WLAN技术，用户可以方便地接入到无线网络，并在无线网络覆盖区域内自由移
动，摆脱有线网络的束缚。
• 无线网络根据应用范围可分为WPAN、WLAN、WMAN、WWAN。
▫ WPAN (Wireless Personal Area Network)：个人无线网络，常用技术有：Bluetooth、
ZigBee、NFC、HomeRF、UWB。
▫ WLAN (Wireless Local Area Network)：无线局域网，常用技术有：Wi-Fi。(WLAN
中也会使用WPAN的相关技术。)
▫ WMAN (Wireless Metropolitan Area Network)：无线城域网，常用技术有：WiMax。
▫ WWAN (Wireless Wide Area Network)：无线广域网，常用技术有：GSM、CDMA、
WCDMA、TD-SCDMA、LTE、5G。
• WLAN的优点：
▫ 网络使用自由：凡是自由空间均可连接网络，不受限于线缆和端口位置。在办公大楼、
机场候机厅、度假村、商务酒店、体育场馆、咖啡店等场所尤为适用。
▫ 网络部署灵活：对于地铁、公路交通监控等难于布线的场所，采用WLAN进行无线网
络覆盖，免去或减少了繁杂的网络布线，实施简单，成本低，扩展性好。
• 本课程介绍的WLAN特指通过Wi-Fi技术基于802.11标准系列，利用高频信号（例如2.4GHz
或5GHz）作为传输介质的无线局域网。

IEEE 802.11，WLAN与Wi-Fi：

• IEEE 802.11标准聚焦在TCP/IP对等模型的下两层：
▫ 数据链路层：主要负责信道接入、寻址、数据帧校验、错误检测、安全机制等内容。
▫ 物理层：主要负责在空口（空中接口）中传输比特流，例如规定所使用的频段等。
• Wi-Fi联盟成立于1999年，当时的名称叫做Wireless Ethernet Compatibility Alliance
（WECA）。在2002年10月，正式改名为Wi-Fi Alliance。
• IEEE 802.11第一个版本发表于1997年。此后，更多的基于IEEE 802.11的补充标准逐渐被
定义，最为熟知的是影响Wi-Fi代际演进的标准：802.11b、802.11a、802.11g、802.11n、
802.11ac等。
• 在IEEE 802.11ax标准推出之际，Wi-Fi联盟将新Wi-Fi规格的名字简化为Wi-Fi 6，主流的
IEEE 802.11ac改称Wi-Fi 5、IEEE 802.11n改称Wi-Fi 4，其他世代以此类推。

compatibility
英[kəmˌpætəˈbɪləti]	美[kəmˌpætəˈbɪləti]

n.	和睦相处; 并存; 相容; (尤指计算机及程序的)兼容性，相容性;

[例句]The true measureof compatibility occurs shortly there after.

alliance

英[əˈlaɪəns]

美[əˈlaɪəns]

n.	(国家、政党等的)结盟，同盟; 结盟团体; 联盟;

[例句]China will not enter into alliance with any big power.

中国不同任何大国结盟。

[其他]	复数：alliances

Wi-Fi在办公场景的发展趋势：

• 第一阶段：初级移动办公时代，无线作为有线的补充
▫ WaveLAN技术的应用可以被认为是最早的企业WLAN雏形。早期的Wi-Fi技术主要应
用在类似“无线收音机”这样的物联设备上，但是随着802.11a/b/g标准的推出，无
线连接的优势越来越明显。企业和消费者开始认识到Wi-Fi技术的应用潜力，无线热
点开始出现在咖啡店、机场和酒店。
▫ Wi-Fi也在这一时期诞生，它是Wi-Fi联盟的商标，该联盟最初的目的是为了推动
802.11b标准的制定，并在全球范围内推行Wi-Fi产品的兼容认证。随着标准的演进和
遵从标准产品的普及，人们往往将Wi-Fi等同于802.11标准。
▫ 802.11标准是众多WLAN技术中的一种，只是802.11标准已成为业界的主流技术，所
以人们提到WLAN时，通常是指使用Wi-Fi技术的WLAN。
▫ 这是WLAN应用的第一阶段，主要是解决“无线接入”的问题，核心价值是摆脱有线
的束缚，设备在一定范围内可以自用移动，用无线网络延伸了有线网络。但是这一阶
段的WLAN对安全、容量和漫游等方面没有明确的诉求，接入点（Access Point，AP）
的形态还是单个接入点，用于单点组网覆盖。通常称单个接入点架构的AP为FAT AP。

• 第二阶段：无线办公时代，有线无线一体化
▫ 随着无线设备的进一步普及，WLAN从起初仅仅作为有线网络的补充，发展到和有线
网络一样不可或缺，由此进入第二阶段。
▫ 在这个阶段，WLAN作为网络的一部分，还需要为企业访客提供网络接入。
▫ 在办公场景下，存在大量视频、语音等大带宽业务，对WLAN的带宽有更大的需求。
从2012年开始，802.11ac标准趋于成熟，对工作频段、信道带宽、调制与编码方式等
做出了诸多改进，与以往的Wi-Fi标准相比，其具有更高的吞吐率、更少的干扰，能
够允许更多的用户接入。
• 第三阶段：全无线办公时代，以无线为中心
▫ 目前，WLAN已经进入第三阶段，在办公环境中，使用无线网络彻底替代有线网络。
办公区采用全Wi-Fi覆盖，办公位不再提供有线网口，办公环境更为开放和智能。
▫ 未来，云桌面办公、智真会议、4K视频等大带宽业务将从有线网络迁移至无线网络，
而VR/AR等新技术将直接基于无线网络部署。新的应用场景对WLAN的设计与规划提
出更高的要求。
▫ 2018年，新一代Wi-Fi标准Wi-Fi 6 (IEEE命名为802.11ax，Wi-Fi 6是Wi-Fi联盟的命名)
发布，这是Wi-Fi发展史上的又一重大里程碑，Wi-Fi 6的核心价值是容量的进一步提
升，引领无线通信进入10Gbit/s时代；多用户并发性能提升4倍，让网络在高密度接
入、业务重载的情况下，依然保持优秀的服务能力。

2，WLAN的基本概念

WLAN设备介绍

• 华为无线局域网产品形态丰富，覆盖室内室外、家庭企业等各种应用场景，提供高速、安
全和可靠的无线网络连接。
• 家庭WLAN产品：
▫ 家庭Wi-Fi路由器：通过把有线网络信号转换成无线信号，供家庭电脑、手机等设备
接收，实现无线上网功能。
• 企业WLAN产品：
▫ 无线接入点 (AP, Access Point)
▪ 一般支持FAT AP（胖AP）、FIT AP（瘦AP）和云管理AP三种工作模式，根据
网络规划的需求，可以灵活地在多种模式下切换。
▪ FAT AP：适用于家庭，独立工作，需单独配置，功能较为单一，成本低。独立
完成用户接入、认证、数据安全、业务转发和QoS等功能。
▪ FIT AP：适用于大中型企业，需要配合AC使用，由AC统一管理和配置，功能丰
富，对网络维护人员的技能要求高。用户接入、AP上线、认证、路由、AP管理、
安全协议、QoS等功能需要同AC配合完成。
▪ 云管理：适用于中小型企业，需要配合云管理平台使用，由云管理平台统一管
理和配置，功能丰富，即插即用，对网络维护人员的技能要求低。

▫ 无线接入控制器 (AC, Access Controller)
▪ 一般位于整个网络的汇聚层，提供高速、安全、可靠的WLAN业务。
▪ 提供大容量、高性能、高可靠性、易安装、易维护的无线数据控制业务，具有
组网灵活、绿色节能等优势。
▫ PoE交换机
▪ PoE（Power over Ethernet，以太网供电）是指通过以太网网络进行供电，也
被称为基于局域网的供电系统PoL（Power over LAN）或有源以太网（Active
Ethernet）。
▪ PoE允许电功率通过传输数据的线路或空闲线路传输到终端设备。
▪ 在WLAN网络中，可以通过PoE交换机对AP设备进行供电。

基本的WLAN组网架构

• WLAN网络架构分有线侧和无线侧两部分，有线侧是指AP上行到Internet的网络使用以太网
协议，无线侧是指STA到AP之间的网络使用802.11协议。
• 无线侧接入的WLAN网络架构为集中式架构。从最初的FAT AP架构，演进为AC+FIT AP架
构。
▫ FAT AP (胖AP)架构
▪ 这种架构不需要专门的设备集中控制就可以完成无线用户的接入、业务数据的
加密和业务数据报文的转发等功能，因此又称为自治式网络架构。
▪ 适用范围：家庭
▪ 特点：AP独立工作，需要单独配置，功能较为单一，成本低。
▪ 缺点：随着WLAN覆盖面积增大，接入用户增多，需要部署的FAT AP数量也会
增多，但FAT AP是独立工作的，缺少统一的控制设备，因此管理维护这些FAT
AP就十分麻烦。
▫ AC+FIT AP (瘦AP)架构
▪ 这种架构中，AC负责WLAN的接入控制、转发和统计、AP的配置监控、漫游管
理、AP的网管代理、安全控制；FIT AP负责802.11报文的加解密、802.11的物
理层功能、接受AC的管理等简单功能。
▪ 适用范围：大中型企业
▪ 特点：AP需要配合AC使用，由AC统一管理和配置，功能丰富，对网络运维人
员的技能要求高。

• WLAN基本概念：
▫ 工作站STA (Station)：
▪ 支持802.11标准的终端设备。例如带无线网卡的电脑、支持WLAN的手机等。
▫ 无线接入控制器AC (Access Controller)：
▪ 在AC+FIT AP网络架构中，AC对无线局域网中的所有FIT AP进行控制和管理。
例如，AC可以通过与认证服务器交互信息来为WLAN用户提供认证服务。
▫ 无线接入点AP (Access Point)：
▪ 为STA提供基于802.11标准的无线接入服务，起到有线网络和无线网络的桥接
作用。
▫ 无线接入点控制与规范CAPWAP (Control And Provisioning of Wireless Access
Points)：
▪ 由RFC5415协议定义的，实现AP和AC之间的互通的一个通用封装和传输机制。
▫ 射频信号 (无线电磁波)：
▪ 提供基于802.11标准的WLAN技术的传输介质，是具有远距离传输能力的高频
电磁波。本课程指的射频信号是2.4G或5G频段的无线电磁波。

敏捷分布式AP架构

有线侧组网概念：

无线接入点控制与规范CAPWAP (Control And Provisioning of Wireless Access
Points)

• 为满足大规模组网的要求，需要对网络中的多个AP进行统一管理，IETF成立了CAPWAP工
作组，最终制定CAPWAP协议。该协议定义了AC如何对AP进行管理、业务配置，即AC与
AP间首先会建立CAPWAP隧道，然后AC通过CAPWAP隧道来实现对AP的集中管理和控制。
• CAPWAP是基于UDP进行传输的应用层协议。
▫ CAPWAP协议在传输层运输两种类型的消息：
▪ 业务数据流量，封装转发无线数据帧。——通过CAPWAP数据隧道。
▪ 管理流量，管理AP和AC之间交换的管理消息。——通过CAPWAP控制隧道。
▫ CAPWAP数据和控制报文基于不同的UDP端口发送：
▪ 管理流量端口为UDP端口5246。
▪ 业务数据流量端口为UDP端口5247。
• 注：国际互联网工程任务组（The Internet Engineering Task Force，简称 IETF）。

AP-AC组网方式：

• AP-AC组网：二层是指AP和AC之间是二层组网，三层是指AC和AP之间是三层组网；二层
组网AP可以通过二层广播，或者DHCP过程，即插即用上线；三层网络下，AP无法直接发
现AC，需要通过DHCP或DNS方式动态发现，或者配置静态IP。
• 在实际组网中，一台AC可以连接几十甚至几百台AP，组网一般比较复杂。比如在企业网络
中，AP可以布放在办公室，会议室，会客间等场所，而AC可以安放在公司机房。这样，AP
和AC之间的网络就是比较复杂的三层网络。因此，在大型组网中一般采用三层组网。

AC连接方式：

• AC连接方式：直连模式下AC部署在用户的转发路径上，旁挂则相反；直连模式用户流量要
经过AC，会消耗AC转发能力，旁挂一般流量不会经过AC。
• 直连式组网：
▫ 采用这种组网方式，对AC的吞吐量以及处理数据能力要求比较高，否则AC会是整个
无线网络带宽的瓶颈。
▫ 但用此种组网，组网架构清晰，组网实施起来简单。
• 旁挂式组网：
▫ 由于实际组网中，大部分不是早期就规划好无线网络，无线网络的覆盖架设大部分是
后期在现有网络中扩展而来。而采用旁挂式组网就比较容易进行扩展，只需将AC旁挂
在现有网络中，比如旁挂在汇聚交换机上，就可以对终端AP进行管理。所以此种组网
方式使用率比较高。
▫ 在旁挂式组网中，AC只承载对AP的管理功能，管理流封装在CAPWAP隧道中传输。
数据业务流可以通过CAPWAP数据隧道经AC转发，也可以不经过AC转发直接转发，
后者无线用户业务流经汇聚交换机由汇聚交换机传输至上层网络。

无线侧组网概念：无线通信系统

• 编码：
▫ 信源编码：将最原始的信息，经过对应的编码，转换为数字信号的过程。
▫ 信道编码：是一种对信息纠错、检错的技术，可以提升信道传输的可靠性。信息在无
线传输过程中容易受到噪声的干扰，导致接收信息出错，引入信道编码能够在接收设
备上最大程度地恢复信息，降低误码率。
• 调制：将数字信号叠加到高频振荡电路产生的高频信号上，才能通过天线转换成无线电波
发射出去。叠加动作就是调制的过程。
• 信道：传输信息的通道，无线信道就是空间中的无线电波。
• 空中接口：简称空口，无线信道使用的接口。发送设备和接收设备使用接口和信道连接，
对于无线通信，接口是不可见的，连接着不可见的空间。

无线电磁波：

• 极低频 (3Hz–30Hz)：潜艇通讯或直接转换成声音。
• 超低频 (30Hz–300Hz) ：直接转换成声音或交流输电系统（50-60赫兹)。
• 特低频 (300Hz–3KHz) ：矿场通讯或直接转换成声音。
• 甚低频 (3KHz–30KHz) ：直接转换成声音、超声、地球物理学研究。
• 低频 (30KHz–300KHz) ：国际广播。
• 中频 (300KHz–3MHz) ：调幅(AM)广播、海事及航空通讯。
• 高频 (3MHz–30MHz) ：短波、民用电台。
• 甚高频 (30MHz–300MHz) ：调频(FM)广播、电视广播、航空通讯。
• 特高频 (300MHz–3GHz) ：电视广播、无线电话通讯、无线网络、微波炉。
• 超高频 (3GHz–30GHz) ：无线网络、雷达、人造卫星接收。
• 极高频 (30GHz–300GHz) ：射电天文学、遥感、人体扫描安检仪。
• 300GHz以上：红外线、可见光、紫外线、射线等。

无线信道：

• WLAN中，AP的工作状态会受到周围环境的影响。例如，当相邻AP的工作信道存在重叠频
段时，某个AP的功率过大会对相邻AP造成信号干扰。
• 通过射频调优功能，动态调整AP的信道和功率，可以使同一AC管理的各AP的信道和功率保
持相对平衡，保证AP工作在最佳状态。

BSS/SSID/BSSID：

• BSS (Basic Service Set)：
▫ 无线网络的基本服务单元，通常由一个AP和若干STA组成，BSS是802.11网络的基本
结构。由于无线介质共享性，BSS中报文收发需携带BSSID（MAC地址）。
• 基本服务集标识符BSSID（Basic Service Set Identifier）：
▫ AP上的数据链路层MAC地址。
▫ 终端要发现和找到AP，需要通过AP的一个身份标识，这个身份标识就是BSSID。
▫ 为了区分BSS，要求每个BSS都有唯一的BSSID，因此使用AP的MAC地址来保证其唯
一性。
• 服务集标识符SSID（Service Set Identifier）：
▫ 表示无线网络的标识，用来区分不同的无线网络。例如，当我们在笔记本电脑上搜索
可接入无线网络时，显示出来的网络名称就是SSID。
▫ 如果一个空间部署了多个BSS，终端就会发现多个BSSID，只要选择加入的BSSID就行。
但是做选择的是用户，为了使得AP的身份更容易辨识，则用一个字符串来作为AP的
名字。这个字符串就是SSID。

VAP：

• 虚拟接入点VAP（Virtual Access Point）：
▫ 是AP设备上虚拟出来的业务功能实体。用户可以在一个AP上创建不同的VAP来为不
同的用户群体提供无线接入服务。
• VAP简化了WLAN的部署，但不意味VAP越多越好，要根据实际需求进行规划。一味增加
VAP的数量，不仅要让用户花费更多的时间找到SSID，还会增加AP配置的复杂度。而且
VAP并不等同于真正的AP，所有的VAP都共享这个AP的软件和硬件资源，所有VAP的用户
都共享相同的信道资源，所以AP的容量是不变的，并不会随着VAP数目的增加而成倍的增
加。

ESS：

• ESS (Extend Service Set)：
▫ 采用相同的SSID的多个BSS组成的更大规模的虚拟BSS。
▫ 用户可以带着终端在ESS内自由移动和漫游，不管用户移动到哪里，都可以认为使用
的同一个WLAN。
• WLAN漫游：
▫ 指STA在同属一个ESS的不同AP的覆盖范围之间移动且保持用户业务不中断的行为。
▫ WLAN网络的最大优势就是STA不受物理介质的影响，可以在WLAN覆盖范围内四处
移动并且能够保持业务不中断。同一个ESS内包含多个AP设备，当STA从一个AP覆盖
区域移动到另外一个AP覆盖区域时，利用WLAN漫游技术可以实现STA用户业务的平
滑切换。

3，WLAN的工作原理

WLAN工作流程概述：

• AC+FIT AP组网架构中，是通过AC对AP进行统一的管理，因此所有的配置都是在AC上进行
的。

WLAN工作流程：步骤1 AP上线

1）AP获取IP地址

AP获取IP方式：DHCP方式

2）CAPWAP遂道建立

• CAPWAP隧道可以实现：
▫ AP与AC间的状态维护；
▫ AC对AP进行管理和业务配置下发；
▫ 业务数据经过CAPWAP隧道集中到AC上转发。
• AP发现AC阶段：
▫ 静态方式：AP上预先配置了AC的静态IP地址列表。AP上线时，AP分别发送Discovery
Request单播报文到所有预配置列表对应IP地址的AC。然后AP通过接收到AC返回的
Discovery Response报文，选择一个AC开始建立CAPWAP隧道。
▫ 动态方式：分为DHCP方式、DNS方式和广播方式，其中本章主要介绍DHCP方式和
广播方式。

step1:AP动态发现AC

• DHCP方式：
▫ 通过DHCP的四步交互过程，获取AC的IP地址：
▪ 在没有预配置AC的IP列表时，则启动AP动态AC发现机制。通过DHCP获取IP地
址，并通过DHCP协议中的Option返回AC地址列表（在DHCP服务器上配置
DHCP响应报文中携带Option 43，且Option 43携带AC的IP地址列表）。
▪ 首先是AP发送DHCP Discover广播报文，请求DHCP Server响应，在DHCP服务
器侦听到DHCP Discover报文后，它会从没有租约的地址范围中，选择最前面
的闲置IP，连同其他TCP/IP设定，响应AP一个DHCP Offer报文，该报文中会包
含一个租约期限的信息。
▪ 由于DHCP Offer报文既可以是单播报文，也可以是广播报文，当AP端收到多台
DHCP Server的响应时，只会挑选其中一个Offer(通常是最先抵达的那个)，然
后向网络中发送一个DHCP Request广播报文，告诉所有的Offer，并重新发送
DHCP，将指定接收哪一台服务器提供的IP地址。
▪ 当DHCP Server接收到AP的Request报文之后，会向AP发送一个DHCP Ack响应，
该报文中携带的信息包括了AP的IP地址，租约期限，网关信息，以及DNS
Server IP等，以此确定租约的正式生效，就此完成DHCP的四步交互工作。

▫ 通过AC发现机制，与AC关联：
▪ AP通过DHCP服务获取AC的IP地址后，使用AC发现机制来获知哪些AC是可用的，
决定与最佳AC来建立CAPWAP的连接。
▪ AP启动CAPWAP协议的发现机制，以单播或广播的形式发送发现请求报文试图
关联AC，AC收到AP的Discovery Request以后，会发送一个单播Discovery
Response 给AP，AP可以通过Discover Response中所带的AC优先级或者AC上
当前AP的个数等，确定与哪个AC建立会话。

• 广播方式：
▫ 当AP启动后，如果DHCP方式和DNS方式均未获得AC的IP或AP发出发现请求报文后未
收到响应，则AP启动广播发现流程，以广播包方式发出发现请求报文。
▫ 接收到发现请求报文的AC检查该AP是否有接入本机的权限（已经授权的MAC地址或
者序列号），如果有则发回响应。如果该AP没有接入权限，AC则拒绝请求。
▫ 广播发现方式只适用于AC/AP间为二层可达的网络场景。

step2:建立CAPWAP遂道

3）AP接入控制

• 在收到AP发送的Join Request报文之后，AC会进行AP合法性的认证，认证通过则添加相应
的AP设备。
• AC上支持三种对AP的认证方式：
▫ MAC认证
▫ 序列号（SN）认证
▫ 不认证
• AC上添加AP的方式有三种：
▫ 离线导入AP：预先配置AP的MAC地址和SN，当AP与AC连接时，如果AC发现AP和预
先增加的AP的MAC地址和SN匹配，则AC开始与AP建立连接。
▫ 自动发现AP：当配置AP的认证模式为不认证或配置AP的认证模式为MAC或SN认证且
将AP加入AP白名单中，则当AP与AC连接时，AP将被AC自动发现并正常上线。
▫ 手工确认未认证列表中的AP：当配置AP的认证模式为MAC或SN认证，但AP没有离线
导入且不在已设置的AP白名单中，则该AP会被记录到未授权的AP列表中。需要用户
手工确认后，此AP才能正常上线。

4）AP的版本升级

• 在AC上给AP升级方式：
▫ 自动升级：主要用于AP还未在AC中上线的场景。通常先配置好AP上线时的自动升级
参数，然后再配置AP接入。AP在之后的上线过程中会自动完成升级。如果AP已经上
线，配置完自动升级参数后，任意方式触发AP重启，AP也会进行自动升级。但相比
于自动升级，使用在线升级方式升级能够减少业务中断的时间。
▪ AC模式：AP升级时从AC上下载升级版本，适用于AP数量较少时的场景。
▪ FTP模式：AP升级时从FTP服务器上下载升级版本，适用于网络安全性要求不是
很高的文件传输场景中，采用明文传输数据，存在安全隐患。
▪ SFTP模式：AP升级时从SFTP服务器上下载升级版本，适用于网络安全性要求高
的场景，对传输数据进行了严格加密和完整性保护。
▫ 在线升级：主要用于AP已经在AC中上线并已承载了WLAN业务的场景。
▫ 定时升级：主要用于AP已经在AC中上线并已承载了WLAN业务的场景。通常指定在
网络访问量少的时间段升级。

5）CAPWAP遂道维持

• 数据隧道维持：
▫ AP与AC之间交互Keepalive (UDP端口号为5247)报文来检测数据隧道的连通状态。
• 控制隧道维持：
▫ AP与AC交互Echo (UDP端口号为5246)报文来检测控制隧道的连通状态。

为确保AP能够上线，AC需预先配置如下内容：

• 域管理模板：
▫ 域管理模板提供对AP的国家码、调优信道集合和调优带宽等的配置。
▫ 国家码用来标识AP射频所在的国家，不同国家码规定了不同的AP射频特性，包括AP
的发送功率、支持的信道等。配置国家码是为了使AP的射频特性符合不同国家或区域
的法律法规要求。
• 配置AC的源接口或源地址：
▫ 每台AC都必须唯一指定一个IP地址、VLANIF接口或者Loopback接口，该AC设备下挂
接的AP学习到此IP地址或者此接口下配置的IP地址，用于AC和AP间的通信。此IP地址
或者接口称为源地址或源接口。
▫ 只有为每台AC指定唯一一个源接口或源地址，AP才能与AC建立CAPWAP隧道。
▫ 设备支持使用VLANIF接口或Loopback接口作为源接口，支持使用VLANIF接口或
Loopback接口下的IP地址作为源地址。
• 添加AP设备：即配置AP认证模式，AP上线。
▫ 添加AP有三种方式：离线导入AP、自动发现AP以及手工确认未认证列表中的AP。

WLAN工作流程：步骤二 WLAN业务配置下发

• AP上线后，会主动向AC发送Configuration Status Request报文，该信息中包含了现有AP
的配置，为了做AP的现有配置和AC设定配置的匹配检查。当AP的当前配置与AC要求不符
合时，AC会通过Configuration Status Response通知AP。
• 说明：AP上线后，首先会主动向AC获取当前配置，而后统一由AC对AP进行集中管理和业
务配置下发。

配置模板：

• WLAN网络中存在着大量的AP，为了简化AP的配置操作步骤，可以将AP加入到AP组中，在
AP组中统一对AP进行同样的配置。但是每个AP也有着不同于其它AP的参数配置，不便于
通过AP组来进行统一配置，这类个性化的参数可以直接在每个AP下配置。每个AP在上线时
都会加入并且只能加入到一个AP组中。当AP从AC上获取到AP组和AP个性化的配置后，会
优先使用AP下的配置。
• AP组和AP下都能够引用如下模板：域管理模板、AP系统模板、、射频模板、VAP模板，部
分模板例还能继续引用其它模板。
▫ 域管理模板：
▪ 国家码用来标识AP射频所在的国家，不同国家码规定了不同的AP射频特性，包
括AP的发送功率、支持的信道等。配置国家码是为了使AP的射频特性符合不同
国家或区域的法律法规要求。
▪ 通过配置调优信道集合，可以在配置射频调优功能时指定AP信道动态调整的范
围，同时避开雷达信道和终端不支持信道。
▫ 射频模板：
▪ 根据实际的网络环境对射频的各项参数进行调整和优化，使AP具备满足实际需
求的射频能力，提高WLAN网络的信号质量。射频模板中各项参数下发到AP后，
只有AP支持的参数才会在AP上生效。
▪ 可配置的参数包括：射频的类型、射频的速率、射频的无线报文组播发送速率、
AP发送Beacon帧的周期等。

▫ VAP模板：
▪ 在VAP模板下配置各项参数，然后在AP组或AP中引用VAP模板，AP上就会生成
VAP，VAP用来为STA提供无线接入服务。通过配置VAP模板下的参数，使AP实
现为STA提供不同无线业务服务的能力。
▪ VAP模板下还能继续引用SSID模板、安全模板、流量模板等。
▫ 其他模板：如WIDS模板、AP有线口模板、WDS模板、定位模板和Mesh模板等。
▫ 射频参数配置：
▪ AP射频需要根据实际的WLAN网络环境来配置不同的基本射频参数，以使AP射
频的性能达到更优。
▪ WLAN网络中，相邻AP的工作信道存在重叠频段时，容易产生信号干扰，对AP
的工作状态产生影响。为避免信号干扰，使AP工作在更佳状态，提高WLAN网
络质量，可以手动配置相邻AP工作在非重叠信道上。
▪ 根据实际网络环境的需求，配置射频的发射功率和天线增益，使射频信号强度
满足实际网络需求，提高WLAN网络的信号质量。
▪ 实际应用场景中，两个AP之间的距离可能为几十米到几十公里，因为AP间的距
离不同，所以AP之间传输数据时等待ACK报文的时间也不相同。通过调整合适
的超时时间参数，可以提高AP间的数据传输效率。

VAP模板：

• SSID模板：主要用于配置WLAN网络的SSID名称，还可以配置其他功能，主要包括如下功
能：
▫ 隐藏SSID功能：用户在创建无线网络时，为了保护无线网络的安全，可以对无线网络
名称进行隐藏设置。这样，只有知道网络名称的无线用户才能连接到这个无线网络中。
▫ 单个VAP下能够关联成功的最大用户数：单个VAP下接入的用户数越多，每个用户能
够使用的平均网络资源就越少，为了保证用户的上网体验，可以根据实际的网络状况
配置合理的最大用户接入数。
▫ 用户数达到最大时自动隐藏SSID的功能：使能用户数达到最大时自动隐藏SSID的功能
后，当WLAN网络下接入的用户数达到最大时，SSID会被隐藏，新用户将无法搜索到
SSID。
• 安全模板：配置WLAN安全策略，可以对无线终端进行身份验证，对用户的报文进行加密，
保护WLAN网络和用户的安全。
▫ WLAN安全策略支持开放认证、WEP、WPA/WPA2-PSK、WPA/WPA2-802.1X等，在
安全模板中选择其中一种进行配置。

• 数据转发方式：
▫ 控制报文是通过CAPWAP的控制隧道转发的，用户的数据报文分为隧道转发（又称为
“集中转发”）方式、直接转发（又称为“本地转发”）方式。这部分内容在后面的
课程中会详细介绍。
• 业务VLAN：
▫ 由于WLAN无线网络灵活的接入方式，STA可能会在某个地点（例如办公区入口或体
育场馆入口）集中接入到同一个WLAN无线网络中，然后漫游到其它AP覆盖的无线网
络环境下。
▪ 业务VLAN配置为单个VLAN时，在接入STA数众多的区域容易出现IP地址资源
不足、而其它区域IP地址资源浪费的情况。
▪ 业务VLAN配置为VLAN pool时，可以在VLAN pool中加入多个VLAN，然后通
过将VLAN pool配置为VAP的业务VLAN，实现一个SSID能够同时支持多个业务
VLAN。新接入的STA会被动态的分配到VLAN pool中的各个VLAN中，减少了
单个VLAN下的STA数目，缩小了广播域；同时每个VLAN尽量均匀的分配IP地
址，减少了IP地址的浪费。

WLAN工作流程：步骤三 STA接入

扫描：

• 主动扫描：
▫ 携带有指定SSID的主动扫描方式：适用于STA通过主动扫描接入指定的无线网络。
▫ 携带空SSID的主动扫描方式：适用于STA通过主动扫描可以获知是否存在可使用的无
线服务。
• 被动扫描：
▫ STA也支持被动扫描搜索无线网络。
▫ 被动扫描是指客户端通过侦听AP定期发送的Beacon帧（信标帧，包含：SSID、支持
速率等信息）发现周围的无线网络，缺省状态下AP发送Beacon帧的周期为100TUs
（1TU=1024us）。

无线接入安全协议：

• WLAN安全提供了WEP、WPA、WPA2等安全策略机制。每种安全策略体现了一整套安全
机制，包括无线链路建立时的链路认证方式，无线用户上线时的用户接入认证方式和无线
用户传输数据业务时的数据加密方式。
• WEP（Wired Equivalent Privacy）
▫ 有线等效加密WEP协议是由802.11标准定义的，用来保护无线局域网中的授权用户所
传输的数据的安全性，防止这些数据被窃听。WEP的核心是采用RC4算法，加密密钥
长度有64位、128位和152位，其中有24bit的IV（初始向量）是由系统产生的，所以
WLAN服务端和WLAN客户端上配置的密钥长度是40位、104位或128位。WEP加密
采用静态的密钥，接入同一SSID下的所有STA使用相同的密钥访问无线网络。
• WPA/WPA2 (Wi-Fi Protected Access)
▫ 由于WEP共享密钥认证采用的是基于RC4对称流的加密算法，需要预先配置相同的静
态密钥，无论从加密机制还是从加密算法本身，都很容易受到安全威胁。为了解决这
个问题，在802.11i标准没有正式推出安全性更高的安全策略之前，Wi-Fi联盟推出了
针对WEP改良的WPA。WPA的核心加密算法还是采用RC4，在WEP基础上提出了临
时密钥完整性协议TKIP（Temporal Key Integrity Protocol）加密算法，采用了
802.1X的身份验证框架，支持EAP-PEAP、EAP-TLS等认证方式。随后802.11i安全标
准组织又推出WPA2，区别于WPA，WPA2采用安全性更高的区块密码锁链-信息真实
性检查码协议CCMP（Counter Mode with CBC-MAC Protocol）加密算法。
▫ 为了实现更好的兼容性，在目前的实现中，WPA和WPA2都可以使用802.1X的接入认
证、TKIP或CCMP的加密算法，他们之间的不同主要表现在协议报文格式上，在安全
性上几乎没有差别。
▫ 综上所述，WPA/WPA2安全策略涉及了链路认证阶段、接入认证阶段、密钥协商和
数据加密阶段。

链路认证：

• WLAN需要保障用户接入安全，即保障用户接入无线网络的合法性和安全性，STA接入
WLAN网络前需要进行终端身份验证，即链路认证。链路认证通常被认为是终端连接AP并
访问WLAN的起点。
• 共享密钥认证：
▫ STA和AP预先配置相同的共享密钥，AP在链路认证过程验证两边的密钥配置是否相同。
如果一致，则认证成功；否则，认证失败。
▫ 认证过程：
1. STA向AP发送认证请求（Authentication Request）。
2. AP随即生成一个“挑战短语（Challenge）”发给STA。
3. STA使用预先设置好的密钥加密“挑战短语”（EncryptedChallenge）并发给
AP。
4. AP接收到经过加密的“挑战短语”，用预先设置好的密钥解密该消息，然后将
解密后的“挑战短语”与之前发送给STA的进行比较。如果相同，认证成功；
否则，认证失败。

关联：

• 瘦接入点（FIT AP）架构中关联阶段处理过程：
1. STA向AP发送Association Request请求，请求帧中会携带STA自身的各种参数以及根
据服务配置选择的各种参数（主要包括支持的速率、支持的信道、支持的QoS的能力
等）。
2. AP收到Association Request请求帧后将其进行CAPWAP封装，并上报AC。
3. AC收到关联请求后判断是否需要进行用户的接入认证，并回应Association Response。
4. AP收到Association Response后将其进行CAPWAP解封装，并发给STA。

接入认证：

• 数据加密：
▫ 除了用户接入认证外，对数据报文还需要使用加密的方式来保证数据安全，也是在接
入认证阶段完成的。数据报文经过加密后，只有持有密钥的特定设备才可以对收到的
报文进行解密，其他设备即使收到了报文，也因没有对应的密钥，无法对数据报文进
行解密。

STA地址分配：

用户认证：

• 随着企业网络的应用和发展，病毒、木马、间谍软件、网络攻击等各种信息安全威胁也在
不断增加。在传统的企业网络建设思路中，一般认为企业内网是安全的，安全威胁主要来
自外界。但是研究证明，80%的网络安全漏洞都存在于网络内部。它们对网络的破坏程度
和范围持续扩大，经常引起系统崩溃、网络瘫痪。另外，内部员工在浏览某些网站时，一
些间谍软件、木马程序等恶意软件也会不知不觉地被下载到电脑中，并且在企业内网传播，
产生严重的安全隐患。
• 因此，随着安全挑战的不断升级，仅通过传统的安全措施已经远远不够。安全模型需要由
被动模式向主动模式转变。从根源（终端）彻底解决网络安全问题，提高整个企业的信息
安全水平。

WLAN工作流程：步骤四 WLAN业务数据转发

数据转发方式：

• 隧道转发方式：
▫ 优点：AC集中转发数据报文，安全性好，方便集中管理和控制。
▫ 缺点：业务数据必须经过AC转发，报文转发效率比直接转发方式低，AC所受压力大。
• 直接转发方式：
▫ 优点：数据报文不需要经过AC转发，报文转发效率高，AC所受压力小。
▫ 缺点：业务数据不便于集中管理和控制。

4，WLAN配置实现

WLAN基础配置命令-配置AP上线（1）

• 命令：option
code
[ sub-option
sub-code
] { ascii ascii-string | hex hex-string | cipher
cipher-string
| ip-address
ip-address
▫code
：指定自定义选项Option的数值。整数形式，取值范围1～254，但1、3、6、15、
44、46、50、51、52、53、54、55、57、58、59、61、82、121、184不能配置。
▫ sub-option
sub-code
：指定自定义的Option子选项的数值。整数形式，取值范围是
1～254。知名选项请参考RFC2132。
▫ ascii | hex | cipher：指定自定义的选项码为ASCII字符串类型，或十六进制字符串类
型，或密文字符串类型。
▫ ip-address
ip-address
：指定自定义的选项码为IP地址类型。
• 命令：regulatory-domain-profile name
profile-name
▫ name
profile-name
：指定域管理模板的名称。字符串类型，不区分大小写，可输入
的字符串长度为1～35个字符。可见字符，不能包含“?”和空格，双引号不能出现在
字符串的首尾。
• 命令：country-code
country-code
▫country-code：指定设备的国家码标识。字符串格式，枚举类型。
▫ AC支持的国家码有很多，如：
▫ CN 中国（缺省值）
▫ AU 澳大利亚
▫ CA 加拿大
▫ DE 德国
▫ FR 法国
▫ US 美国
▫ ……

WLAN基础配置命令-配置AP上线（2）

• 命令：ap-group name
group-name
▫ name
group-name
：指定AP组的名称。字符串类型，可输入的字符串长度为1～35
个字符。可见字符，不能包含“?”、“/”和空格，双引号不能出现在字符串的首尾。

WLAN基础配置命令-配置AP上线（3）

• 命令：ap-id ap-id [ [ type-id type-id | ap-type ap-type ] { ap-macap-mac| ap-snap-sn| ap-macap-macap-snap-sn} ]
▫ap-id：AP设备索引。整数类型，取值范围：0～8191。
▫ type-id type-id：AP设备类型索引。整数类型，取值范围：0～255。
▫ ap-type ap-type：AP设备类型。字符串类型，取值范围为1～31个字符。
▫ ap-mac ap-mac：AP的MAC地址。格式为H-H-H，其中H为4位的十六进制数。
▫ ap-sn ap-sn：AP的序列号。字符串类型，取值范围为1～31个字符，只能包括字母
和数字。

WLAN基础配置命令-配置射频（1）

• 命令：radio radio-id

▫radio-id
：射频ID。必须是已存在的射频ID。
• 命令：
▫ channel { 20mhz | 40mhz-minus | 40mhz-plus | 80mhz | 160mhz }
channel
▫ channel 80+80mhz
channel1 channel2
▫ 20mhz：指定射频的工作带宽为20MHz。
▫ 40mhz-minus：指定射频的工作带宽为40MHz Minus。
▫ 40mhz-plus：指定射频的工作带宽为40MHz Plus。
▫ 80mhz：指定射频的工作带宽为80MHz。
▫ 160mhz：指定射频的工作带宽为160MHz。
▫ 80+80mhz：指定射频的工作带宽为80+80MHz。
▫channel/channel1/channel2
：指定射频的工作信道，信道基于国家代码和射频模式
来进行选择。枚举值类型，取值范围根据国家代码和射频模式来进行选择。
• 命令：antenna-gain
antenna-gain
▫antenna-gain
：天线增益。整数类型，取值范围：0～30，单位：dB。

WLAN基础配置命令-配置射频（2）

• 命令：eirp
eirp
▫eirp
：发射功率值。整数形式，取值范围是1～127，单位：dBm。
• 命令：coverage distance
distance
▫distance
：射频覆盖距离参数。每个射频覆盖距离参数对应一组slottime、
acktimeout和ctstimeout数值。根据AP间的实际距离配置射频覆盖距离参数后，AP
设备根据此参数值调整对应的slottime、acktimeout和ctstimeout数值。整数类型，
取值范围：1～400，单位为100m。
• 命令：frequency { 2.4g | 5g }
▫ 缺省情况下，射频0工作在2.4GHz频段，射频2工作在5GHz频段。

WLAN基础配置命令-配置射频（3）

• 命令：radio-2g-profile name profile-name
▫ name profile-name：指定2G射频模板的名称。字符串类型，不区分大小写，可输入
的字符串长度为1～35个字符。可见字符，不能包含“?”和空格，双引号不能出现在
字符串的首尾。
▫ 缺省情况下，系统上存在名为default的2G射频模板。
• 命令：radio-2g-profile profile-nameradio { radio-id| all }
▫profile-name：指定2G射频模板的名称。必须是已存在的2G射频模板名称。
▫ radio radio-id：指定射频的ID。整数类型，取值范围：0和2。
▫ radio all：指定所有的射频。

WLAN基础配置命令-配置VAP（1）

WLAN基础配置命令-配置VAP（2）

WLAN基础配置命令-配置VAP（3）

• 命令：ssidssid
▫ssid：指定SSID的名称。文本类型，区分大小写，可输入的字符串长度为1～32字符，
支持中文字符，也支持中英文字符混合，不支持制表符。
▫ 如果想设置SSID首字符为空格，则输入的SSID内容应该以“"”开头以“"”结束，如"
hello"，其中前后的“"”占用两个字符。如果想设置SSID首字符为“"”，则需要在“"”
前输入转义字符“\”，如\"hello，其中“\”占用一个字符。

WLAN基础配置命令-配置VAP（4）

• 命令：display vap { ap-group ap-group-name| { ap-name ap-name| ap-id ap-id} [ radio radio-id
] } [ ssidssid]
▫ ap-group ap-group-name：查看指定AP组下的所有业务型VAP的相关信息。必须是
已存在的AP组名称。
▫ ap-name ap-name：查看指定名称的AP的业务型VAP的相关信息。必须是已存在的
AP名称。
▫ ap-id ap-id：查看指定ID的AP的业务型VAP的相关信息。必须是已存在的AP ID。
▫ radio radio-id：查看指定射频的业务型VAP的相关信息。整数类型，取值范围：0～
2。
▫ ssid ssid：查看指定SSID的业务型VAP的相关信息。必须是已存在的SSID。
• 命令：display vap { all | ssid ssid}
▫ all：查看所有业务型VAP的相关信息。

案例：旁挂二层组网遂道转发

• 业务需求
▫ 企业用户通过WLAN接入网络，以满足移动办公的最基本需求。
• 组网需求
▫ AC组网方式：旁挂二层组网。
▫ DHCP部署方式：
▪ AC作为DHCP服务器为AP分配IP地址。
▪ 汇聚交换机S2作为DHCP服务器为STA分配IP地址。
▫ 业务数据转发方式：隧道转发。
• 配置思路：
▫ 配置AP、AC和周边网络设备之间实现网络互通。
▫ 配置AP上线。
▪ 创建AP组，用于将需要进行相同配置的AP都加入到AP组，实现统一配置。
▪ 配置AC的系统参数，包括国家码、AC与AP之间通信的源接口。
▪ 配置AP上线的认证方式并离线导入AP，实现AP正常上线。
▫ 配置WLAN业务参数，实现STA访问WLAN网络功能。

• 1、S1、S2、AC创建对应VLAN及接口。
▫ S1配置：
[S1] vlan batch 100
[S1] interface gigabitethernet 0/0/1
[S1-GigabitEthernet0/0/1] port link-type trunk
[S1-GigabitEthernet0/0/1] port trunk pvid vlan 100
[S1-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
[S1-GigabitEthernet0/0/1] quit
[S1] interface gigabitethernet 0/0/2
[S1-GigabitEthernet0/0/2] port link-type trunk
[S1-GigabitEthernet0/0/2] port trunk allow-pass vlan 100
[S1-GigabitEthernet0/0/2] quit

▫ S2配置：
[S2] vlan batch 100 101
[S2] interface gigabitethernet 0/0/1
[S2-GigabitEthernet0/0/1] port link-type trunk
[S2-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
[S2-GigabitEthernet0/0/1] quit
[S2] interface gigabitethernet 0/0/2
[S2-GigabitEthernet0/0/2] port link-type trunk
[S2-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101
[S2-GigabitEthernet0/0/2] quit
[S2] interface gigabitethernet 0/0/3
[S2-GigabitEthernet0/0/3] port link-type trunk
[S2-GigabitEthernet0/0/3] port trunk allow-pass vlan 101
[S2-GigabitEthernet0/0/3] quit

▫ AC配置
[AC] vlan batch 100 101
[AC] interface gigabitethernet 0/0/1
[AC-GigabitEthernet0/0/1] port link-type trunk
[AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101
[AC-GigabitEthernet0/0/1] quit

配置AP上线（1）

配置AP上线（2）

• 在AC上离线导入AP
▫ 将AP加入AP组“ap-group1”中。假设AP的MAC地址为60de-4476-e360，并且根据
AP的部署位置为AP配置名称，便于从名称上就能够了解AP的部署位置。例如MAC地
址为60de-4476-e360的AP部署在1号区域，命名此AP为area_1。

查看AP上线

• display ap命令输出信息描述：
▫ ID：AP ID。
▫ MAC：AP MAC地址。
▫ Name：AP名称。
▫ Group：AP所属的AP组名称。
▫ IP：AP的IP地址。在NAT场景下，AP在私网侧，AC在公网侧，该值为AP私网侧的IP
地址。可通过命令display ap run-info查看AP公网侧IP地址。
▫ Type：AP类型。
▫ State：AP状态。
▪ normal：AP正常状态，指AP在AC上成功上线。
▪ commit-failed：AP上线后WLAN业务配置下发失败状态。
▪ download：AP正在升级状态。
▪ fault：AP上线失败状态。
▪ idle：AP和AC建链前的初始状态。
▫ STA：AP上接入的终端用户数。
▫ Uptime：AP已上线时长。
▫ ExtraInfo：额外的信息。P表示设备供电不足。

• display vap命令输出信息描述：
▫ AP ID：AP ID。
▫ AP name：AP名称。
▫ RfID：射频ID。
▫ WID：VAP的ID。
▫ SSID：SSID的名称。
▫ BSSID：VAP的MAC地址。
▫ Status：VAP当前状态：
▪ ON：VAP服务开启
▪ OFF：VAP服务关闭
▫ Auth type：VAP认证方式。
▫ STA：当前VAP接入的终端数。

配置命令不全，以实验手册实验为准

5，新一代WLAN解决方案

华为WLAN方案满足未来无线建网需求

双轮驱动：技术与应用发展助推Wi-Fi 6时代到来

• Wi-Fi 5无法满足4K/8K视频会议场景低业务时延，高带宽需求。
• Wi-Fi 6配合华为SmartRadio智能应用加速，可以将时延降低至10 ms。

Wi-Fi 6 VS Wi-Fi 5

• 带宽提升4倍，是按理论速率进行对比，目前所有Wi-Fi 5产品实现理论（wave2）速率为
2.5G；Wi-Fi 6标准理论速率为9.6G。
• 并发用户数提升4倍，实际测试人均2M情况下，Wi-Fi 5并发100用户，Wi-Fi 6并发用户
400用户。
• Wi-Fi 6中平均时延在20 ms左右（Wi-Fi 5中平均时延在30 ms左右），后面利用华为
SmartRadio智能应用加速技术后，业务时延可再降低至10ms。
• TWT：Wi-Fi 5不支持。

下一代园区网络：智简园区（中小型园区网络）

• 传统方案的弊端：
▫ 在部署网络时，传统网络解决方案会存在部署成本高、后期运维困难等问题，尤其是
对于分支站点数量多、站点地域分散的企业，这些问题尤为明显。
• 云管理架构：
▫ 云管理架构可以很好的解决以上问题，通过云管理平台，实现任意地点对设备进行集
中的管理和维护，大大降低网络部署运维成本。
▫ 当云AP布放完成后，无须网络管理员到安装现场对云AP进行软件调试，云AP上电后
即可自动连接到指定的云管理平台加载指定的配置文件、软件包和补丁文件等系统文
件，实现云AP零配置上线。网络管理员可以随时随地通过云管理平台统一给AP下发
配置，使业务批量配置更快捷。

下一代园区网络：智简园区（大中型园区网络）

LAB:

1. S2交换机支持WLAN-AC功能（若实际环境所用交换机不支持，可用普通AC替代），作为AC使用（后面内容中的AC就是实际的S2交换机）。

2. AC采用旁挂组网方式，AC与AP处于同一个二层网络。

3. AC作为DHCP服务器给AP分配IP地址，S1交换机作为DHCP服务器给接入的STA分配IP地址。

4. 业务数据采用直接转发模式。

数据规划：

配置项	配置参数
AP管理VLAN	VLAN100
STA业务VLAN	VLAN101
DHCP服务器	AC作为DHCP服务器为AP分配IP地址
DHCP服务器	S1作为DHCP服务器为STA分配IP地址，STA的默认网关为192.168.101.254
AP的IP地址池	192.168.100.1-192.168.100.253/24
STA的IP地址池	192.168.101.1-192.168.101.253/24
AC的源接口IP地址	VLANIF100：192.168.100.254/24
AP组	名称：ap-group1
AP组	引用模板：VAP模板HCIA-wlan、域管理模板default
域管理模板	名称：default
域管理模板	国家码：中国（CN）
SSID模板	名称：HCIA-WLAN
SSID模板	SSID名称：HCIA- WLAN
安全模板	名称：HCIA- WLAN
	安全策略：WPA-WPA2+PSK+AES
	密码：HCIA-Datacom
VAP模板	名称：HCIA- WLAN
	转发模式：直接转发
	业务VLAN：VLAN101
	引用模板：SSID模板HCIA- WLAN、安全模板HCIA- WLAN

实验背景

某企业网络需要用户通过WLAN接入网络，以满足移动办公的最基本需求。

配置思路

1. 配置有线网络侧互联互通

2. 配置AP上线。

1）创建AP组，用于将需要进行相同配置的AP都加入到AP组，实现统一配置。

2）配置AC的系统参数，包括国家码、AC与AP之间通信的源接口。

3）配置AP上线的认证方式并离线导入AP，实现AP正常上线。

3. 配置WLAN业务参数并下发给AP，实现STA访问WLAN网络功能。

设备基本配置

# 设备设备命名（拓扑中的S2命名为AC）

有线侧网络配置

# VLAN配置

[S1]vlan batch 100 101

Info: This operation may take a few seconds. Please wait for a moment...done.

[S1]interface GigabitEthernet 0/0/13

[S1-GigabitEthernet0/0/13]port link-type trunk

[S1-GigabitEthernet0/0/13]port trunk allow-pass vlan 100 101

[S1-GigabitEthernet0/0/13]quit

[S1]interface GigabitEthernet 0/0/14

[S1-GigabitEthernet0/0/14]port link-type trunk

[S1-GigabitEthernet0/0/14]port trunk allow-pass vlan 100 101

[S1-GigabitEthernet0/0/14]quit

[S1]interface GigabitEthernet 0/0/10

[S1-GigabitEthernet0/0/10]port link-type trunk

[S1-GigabitEthernet0/0/10]port trunk allow-pass vlan 100 101

[S1-GigabitEthernet0/0/10]quit

[AC]vlan batch 100 101

Info: This operation may take a few seconds. Please wait for a moment...done.

[AC]interface GigabitEthernet 0/0/10

[AC-GigabitEthernet0/0/10]port link-type trunk

[AC-GigabitEthernet0/0/10]port trunk allow-pass vlan 100 101

[AC-GigabitEthernet0/0/10]quit

[S3]vlan batch 100 101

Info: This operation may take a few seconds. Please wait for a moment...done.

[S3]interface GigabitEthernet 0/0/1

[S3-GigabitEthernet0/0/1]port link-type trunk

[S3-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 101

[S3-GigabitEthernet0/0/1]quit

[S3]interface GigabitEthernet 0/0/4

[S3-GigabitEthernet0/0/4]port link-type trunk

[S3-GigabitEthernet0/0/4]port trunk pvid vlan 100

[S3-GigabitEthernet0/0/4]port trunk allow-pass vlan 100 101

[S3-GigabitEthernet0/0/4]quit

[S4]vlan batch 100 101

Info: This operation may take a few seconds. Please wait for a moment...done.

[S4]interface GigabitEthernet0/0/1

[S4-GigabitEthernet0/0/1] port link-type trunk

[S4-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 to 101

[S4-GigabitEthernet0/0/1]quit

[S4]interface GigabitEthernet0/0/4

[S4-GigabitEthernet0/0/4] port link-type trunk

[S4-GigabitEthernet0/0/4] port trunk pvid vlan 100

[S4-GigabitEthernet0/0/4] port trunk allow-pass vlan 100 to 101

[S4-GigabitEthernet0/0/4]quit

# 配置接口IP地址

[S1]interface Vlanif 101

[S1-Vlanif101]ip address 192.168.101.254 24

STA的网关。

[S1-Vlanif101]quit

[S1]interface LoopBack 0

[S1-LoopBack0] ip address 10.0.1.1 32

后续做测试用，无实际用途。

[S1-LoopBack0]quit

[AC]interface Vlanif 100

[AC-Vlanif100]ip address 192.168.100.254 24

# DHCP配置

[S1]dhcp enable

Info: The operation may take a few seconds. Please wait for a moment.done.

[S1]ip pool sta

Info:It's successful to create an IP address pool.

创建STA接入时所使用的IP地址池。

[S1-ip-pool-sta]network 192.168.101.0 mask 24

[S1-ip-pool-sta]gateway-list 192.168.101.254

[S1-ip-pool-sta]quit

[S1]interface Vlanif 101

[S1-Vlanif101]dhcp select global

[S1-Vlanif101]quit

[AC]dhcp enable

Info: The operation may take a few seconds. Please wait for a moment.done.

[AC]ip pool ap

Info: It is successful to create an IP address pool.

创建AP接入时所使用的IP地址池。

[AC-ip-pool-ap]network 192.168.100.254 mask 24

[AC-ip-pool-ap]gateway-list 192.168.100.254

[AC-ip-pool-ap]quit

[AC]interface Vlanif 100

[AC-Vlanif100]dhcp select global

[AC-Vlanif100]quit

S1作为STA的DHCP Server ，AC作为AP的DHCP Server，分别配置DHCP服务。

配置AP上线

# 创建名为ap-group1的AP组

[AC]wlan

[AC-wlan-view]ap-group name ap-group1

Info: This operation may take a few seconds. Please wait for a moment.done.

[AC-wlan-ap-group-ap-group1]quit

# 创建域管理模板，在域管理模板下配置AC的国家码

[AC]wlan

[AC-wlan-view]regulatory-domain-profile name default

域管理模板提供对AP的国家码、调优信道集合和调优带宽等的配置。

缺省情况下，系统上存在名为default的域管理模板。故当前进入了默认存在的default模板。

[AC-wlan-regulate-domain-default]country-code cn

Info: The current country code is same with the input country code.

国家码用来标识AP射频所在的国家，不同国家码规定了不同的AP射频特性，包括AP的发送功率、支持的信道等。配置国家码是为了使AP的射频特性符合不同国家或区域的法律法规要求。缺省情况下，设备的国家码标识为“CN”。

[AC-wlan-regulate-domain-default]quit

# 在AP组下引用域管理模板

[AC]wlan

[AC-wlan-view]ap-group name ap-group1

[AC-wlan-ap-group-ap-group1]regulatory-domain-profile default

Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continue?[Y/N]:y

在AP组视图下，regulatory-domain-profile命令用来将指定的域管理模板引用到AP或AP组。缺省情况下，AP组下引用名为default的域管理模板，AP下未引用域管理模板。缺省的域管理模板中国家码为中国，2.4G调优信道包括1、6、11，5G调优信道集合包括149、153、157、161、165 。故这一步和上一步的配置在实际操作时可以省略。

[AC-wlan-ap-group-ap-group1]quit

# 配置AC建立CAPWAP隧道的源接口

[AC]capwap source interface Vlanif 100

capwap source interface命令用来配置AC建立CAPWAP隧道使用的接口，作为AC的源接口，用于AC和AP间建立CAPWAP隧道通信。

# 在AC上离线导入AP，并将AP加入配置好的AP组“ap-group1”中。

AC上添加AP的方式有三种：

离线导入AP：预先配置AP的MAC地址和SN，当AP与AC连接时，如果AC发现AP和预先增加的AP的MAC地址和SN匹配，则AC开始与AP建立连接。
自动发现AP：当配置AP的认证模式为不认证或配置AP的认证模式为MAC或SN认证且将AP加入AP白名单中，则当AP与AC连接时，AP将被AC自动发现并正常上线。
手工确认未认证列表中的AP：当配置AP的认证模式为MAC或SN认证，但AP没有离线导入且不在已设置的AP白名单中，则该AP会被记录到未授权的AP列表中。需要用户手工确认后，此AP才能正常上线。

[AC]wlan

[AC-wlan-view]ap auth-mode mac-auth

ap auth-mode命令用来配置AP认证模式，只有通过认证的AP才能允许上线。除了MAC地址认证之外，还支持SN认证和不认证。缺省情况下，AP认证模式为MAC地址认证。

注：AP的MAC地址和SN可以通过设备包装箱内MAC地址标签和SN标签查询得到。

[AC-wlan-view]ap-id 0 ap-mac 60F1-8A9C-2B40

ap-id命令用来离线增加AP设备或进入AP视图。

当增加AP时，若使用MAC认证，需要配置ap-mac参数；若使用SN认证，则需要配置ap-sn参数。

当进入AP视图时，只需要输入ap-id即可进入相应的AP视图。

[AC-wlan-ap-0]ap-name ap1

ap-name命令用来配置单个AP的名称，注意各个AP的名字不能重复。如果未配置AP的名称，那么AP上线后默认的名称为AP的MAC地址。

[AC-wlan-ap-0]ap-group ap-group1

ap-group命令用来配置AP所加入的组，AC会给AP下发相应ap-group内的配置。比如此处AP1被加入了ap-group1，那么ap-group1关联的域管理模板、射频模板、VAP模板都会被下发给AP1。缺省情况下，未配置AP加入的组，修改AP所加入的组后，下发配置，AP自动重启，会加入到修改后的AP组中。

Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y //需要输入y来确认继续

Info: This operation may take a few seconds. Please wait for a moment.. done.

[AC-wlan-ap-0]quit

[AC-wlan-view]ap-id 1 ap-mac B4FB-F9B7-DE40

[AC-wlan-ap-1]ap-name ap2

[AC-wlan-ap-1]ap-group ap-group1

Info: This operation may take a few seconds. Please wait for a moment.. done.

[AC-wlan-ap-1]quit

# 查看当前的AP信息

[AC]wlan

[AC-wlan-view]display ap all

Info: This operation may take a few seconds. Please wait for a moment.done.

Total AP information:

nor : normal [2]

-----------------------------------------------------------------------------------------------------------------------------------------

ID MAC Name Group IP Type State STA Uptime

-------------------------------------------------------------------------------------------------------------------------------------------

0 00e0-fc25-0ed0 ap1 ap-group1 192.168.100.206 AirEngine5760 nor 0 30M:4S

1 00e0-fc0f-07a0 ap2 ap-group1 192.168.100.170 AirEngine5760 nor 0 31M:31S

-----------------------------------------------------------------------------------------------------------------------------------------

Total: 2

display ap命令用来查看AP信息，包括AP的IP地址、AP的型号（AirEngine5760）、AP的状态（normal）、上线时长等。

此外，还可以在命令后面加by-state state、by-ssid ssid来查筛选处于特定状态或者使用指定SSID的AP。

可以看到此时两台AP都处于正常状态。（更多状态描述请看本实验附录）

配置WLAN业务参数

# 创建名为“HCIA-WLAN”的安全模板，并配置安全策略。

[AC-wlan-view]security-profile name HCIA-WLAN

[AC-wlan-sec-prof-HCIA-WLAN]security wpa-wpa2 psk pass-phrase HCIA-Datacom aes

security psk命令用来配置WPA/WPA2的预共享密钥认证和加密。

当前使用WPA和WPA2混合方式，用户终端使用WPA或WPA2都可以进行认证。预共享秘钥（PSK）为HCIA-Datacom。通过AES加密算法加密用户数据。

[AC-wlan-sec-prof-HCIA-WLAN]quit

# 创建名为“HCIA-WLAN”的SSID模板，并配置SSID名称为“HCIA-WLAN”。

[AC]wlan

[AC-wlan-view]ssid-profile name HCIA-WLAN

创建名为“HCIA-WLAN”的SSID模板。

[AC-wlan-ssid-prof-HCIA-WLAN]ssid HCIA-WLAN

配置SSID名称为“HCIA-WLAN”。

Info: This operation may take a few seconds, please wait.done.

[AC-wlan-ssid-prof-HCIA-WLAN]quit

# 创建名为“HCIA-WLAN”的VAP模板，配置业务数据转发模式、业务VLAN，并且引用安全模板和SSID模板。

[AC]wlan

[AC-wlan-view]vap-profile name HCIA-WLAN

vap-profile命令用来创建VAP模板。

在VAP模板下可以配置数据转发模式，此外，VAP模板能够引用SSID模板、安全模板、流量模板等。

[AC-wlan-vap-prof-HCIA-WLAN]forward-mode direct-forward

forward-mode命令用来配置VAP模板下的数据转发方式，缺省情况下，VAP模板下的数据转发方式为直接转发。

[AC-wlan-vap-prof-HCIA-WLAN]service-vlan vlan-id 101

service-vlan命令用于配置VAP的业务VLAN，当STA接入无线网络之后，从AP转发出来的用户数据就会带上service-VLAN的tag。

Info: This operation may take a few seconds, please wait.done.

[AC-wlan-vap-prof-HCIA-WLAN]security-profile HCIA-WLAN

引用安全模板“HCIA-WLAN”。

Info: This operation may take a few seconds, please wait.done.

[AC-wlan-vap-prof-HCIA-WLAN]ssid-profile HCIA-WLAN

引用SSID模板“HCIA-WLAN”。

Info: This operation may take a few seconds, please wait.done.

[AC-wlan-vap-prof-HCIA-WLAN]quit

# 配置AP组引用VAP模板，AP上射频0和射频1都使用VAP模板“HCIA-WLAN”的配置。

[AC]wlan

[AC-wlan-view]ap-group name ap-group1

[AC-wlan-ap-group-ap-group1]vap-profile HCIA-WLAN wlan 1 radio all

vap-profile命令用来将指定的VAP模板引用到射频。执行该命令之后，VAP下所有的配置，包括VAP引用的各类模板下的配置都会下发给到AP的射频。

Info: This operation may take a few seconds, please wait...done.

[AC-wlan-ap-group-ap-group1]quit

结果验证：

<AC>dis ap all
Info: This operation may take a few seconds. Please wait for a moment.done.
Total AP information:
nor : normal [2]
--------------------------------------------------------------------------------
--------------
ID MAC Name Group IP Type State STA Upti
me
--------------------------------------------------------------------------------
--------------
0 00e0-fc4e-7bb0 ap1 ap-group1 192.168.100.59 AP2050DN nor 1 41M:
40S
1 00e0-fc6f-7e10 ap2 ap-group1 192.168.100.56 AP2050DN nor 1 41M:
21S
--------------------------------------------------------------------------------
--------------
Total: 2

STA>ipconfig

Link local IPv6 address...........: ::
IPv6 address......................: :: / 128
IPv6 gateway......................: ::
IPv4 address......................: 192.168.101.250
Subnet mask.......................: 255.255.255.0
Gateway...........................: 192.168.101.254
Physical address..................: 54-89-98-8D-80-E3
DNS server........................:

STA>ping 10.0.1.1

Ping 10.0.1.1: 32 data bytes, Press Ctrl_C to break
From 10.0.1.1: bytes=32 seq=1 ttl=255 time=140 ms
From 10.0.1.1: bytes=32 seq=2 ttl=255 time=125 ms
From 10.0.1.1: bytes=32 seq=3 ttl=255 time=124 ms
From 10.0.1.1: bytes=32 seq=4 ttl=255 time=140 ms
From 10.0.1.1: bytes=32 seq=5 ttl=255 time=140 ms

--- 10.0.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 124/133/140 ms

【HCIA-Datacom V1.0培训教材】WLAN相关推荐

【HCIA-Datacom V1.0培训教材】数据通信网络基础
通信与网络 • 网络通信的例子: ▫ A. 两台计算机通过一根网线相连,就组成了一个最简单的网络. ▫ B. 由一台路由器(或交换机)和多台计算机设备组成的小型网络.在这样的网络中, 通过路由器的中转 ...
【HCIA-Datacom V1.0培训教材】园区网典型组网架构及案例实践
1,园区网络基本概念什么是园区网 • 园区网络的规模可大可小,小到一个SOHO(Small Office Home Office,家居办公室), 大到校园.企业园区.公园.购物中心等.园区的规模是有 ...
【HCIA-Datacom V1.0培训教材】广域网技术
局域网LAN(Local Area Network) 广域网WAN(Wide Area Network) 数字数据网DDN(Digital Data Network) 帧中继FR(Frame Rela ...
【HCIA-Datacom V1.0培训教材】网络管理与运维
• 通常意义上,网络管理与运维统称为网管. 1,网络管理与运维基本概念什么是网络管理? • 网络管理(Network Management)分为两类: ▫ 第一类是对网络应用程序.用户账号(例如文件 ...
华为认证 HCIA-IoT V1.0 （物联网工程师）考试大纲
最后更新时间:2019-04-26 11:15:08 1. 华为HCIA-IoT V1.0认证考试华为HCIA-IoT认证项目对应的考试.考试代码.考试名称.考试时长信息如下表所示.本文主要介绍HC ...
wlan万能钥匙电脑版 v1.0.4.7 官方版
wlan万能钥匙电脑版 v1.0.4.7 官方版软件大小:6.90MB 软件语言:简体中文软件类别:网络其它软件授权:官方版应用平台:/Win8/Win7/WinXP 是一款能够破解wlan密 ...
联想m4服务器维修培训ppt,培训联想服务器、存储及方案实战培训v1.0.ppt
培训联想服务器.存储及方案实战培训v1.0 Page * China Server Business GCR | Lenovo Confidential | ? 2008 Lenovo Lenovo ...
曙光服务器bios开启虚拟化支持,中科曙光虚拟化培训教程汇总：3.1 使用针对ESXi的常见LSI 命令行管理工具 v1.0.pdf...
使用针对ESXi的常见LSI命令行管理工具 v1.0 版本发布日期修改人修改原因 1.0 2017.04.11 梁旭首次发布 1 目录一.vib 工具包安装 3 1．安装针对LSI 220 ...
开发者AI职业指南：CSDN《AI技术人才成长路线图V1.0》重磅发布
人工智能浪潮来袭,开发者应该怎么办?2018年1月16日,在刚刚召开的"AI生态赋能2018论坛"上,CSDN副总裁孟岩重磅发布了AI技术职业升级指南--<AI 技术人才成长 ...

【HCIA-Datacom V1.0培训教材】WLAN

【HCIA-Datacom V1.0培训教材】WLAN相关推荐

最新文章

热门文章