H3C無線產品特性與應用部署 ISSUE 2.0 日期： 杭州華三通信技術有限公司 版權所有，未經授權不得使用與傳播 引入 n 近年來，整個世界逐漸走向移動化。無線網絡以其施 工簡單、接入方便逐漸被人們所喜愛。目前，越來越 多的 WLAN產品正走入我們的生活。本文就主要講解 WLAN產品的主要特性和常見應用部署方式。 課程目標 學習完本課程，您應該能夠： n 掌握 Fat AP系列產品與典型配置 n 掌握 Fat AP主要特性 n 掌握無線交換機 +Fit AP工作原理 n 掌握無線交換機 +Fit AP應用部署方式 n 掌握無線交換機 +Fit AP主要特性 n 掌握無線交換機產 品與典型配置 無線應用 網絡管理軟件 無線 IDS 無線定位 無線客戶端 WiFi語音 無線控制器系列 WX5002 WX6103 S7500E/9500插卡 S7500 插卡 WX3024 FAT AP/網橋 FAT AP FIT/FAT AP WA1208E-G WA1208E-AG/DG/GP/AGP WA2210-AG WA2220-AG WA2220E-AG WA2210X-G WA2220X-AG WA2110-AG WA2600 11n AP MESH AP /網橋 WH2520 WB2320 目錄 n Fat AP產品介紹與典型配置 n Fat AP主要特性 n 無線交換機工作原理 n 無線交換機應用部署方式 n 無線交換機主要特性 n 無線交換機產品介紹 n 無線交換機的典型組網與配置 5 WA2200系列產品 l WA2200產品主要分為三個系列： WA2200室內型（ WA2200系列） WA2200復雜型（ WA2200E系列） WA2200室外型（ WA2200X系列） WA2200室內型 WA2200復雜型 WA2200室外型 6 WA2200室內型產品 產品型號 WA2210-AG WA2220-AG 模式 Fit/Fat雙模 AP Fit/Fat雙模 AP 射頻特性 單射頻，可通過軟件配置 成 11a或 11b/g 雙射頻，同時支持 11a或 11b/g 最大射頻功率 100mW 100mW 備注 室內型產品 室內型產品 7 8 WA2200室外型產品 產品型號 WA2210X-G WA2220X-AG WA2220X-AGP 模式 Fit/Fat雙模 AP Fit/Fat雙模 AP Fit/Fat雙模 AP 射頻特性 單射頻，只支持 11b/g 雙射頻，同時支持 11a或 11b/g 雙射頻，同時支持 11a或 11b/g 最大射頻功率 100mW 100mW 11g射頻功率最 大 500mW 備注 室外型產品，支持光口， 網口防雷 室外型產品，支持光口， 網口防雷 室外型產品，支持光口， 網口防雷 9 WA2220E的三個端口 WA1208E系列產品 產品型號 WA1208E-G WA1208E-GP WA1208E-DG WA1208E-AG WA1208E-AGP 模式 Fit/Fat雙模 AP Fit/Fat雙模 AP Fit/Fat雙模 AP Fit/Fat雙模 AP Fit/Fat雙模 AP 射頻特性 單射頻，只支持 11b/g 單射頻，只支持 11b/g 雙射頻，只支持 11b/g 雙射頻，同時支持 11a或 11b/g 雙射頻，同時支持 11a或 11b/g 最大射頻功率 100mW 500mW 100mW 100mW 11g射頻功率最大 500mW 11a射頻功率最大 100mW 10 Fat AP的典型應用與配置 trunk 交換機 Fat AP(V5) l 實例： 無線客戶端 Fat AP上配置兩個 vlan： vlan 1000和 vlan 256 vlan 1000為管理 vlan； vlan 256為業務 vlan，所有的 無線客戶端都屬于 vlan 256 Fat AP的管理 IP地址為 0/24，網關為 54 服務集標識 SSID為 H3C-wireless，無認證無加密 11 配置步驟（ 1） 步驟一：創建業務 vlan（ vlan256）和管理 vlan（ vlan 1000），并配置管理 IP地址 H3C vlan 256 H3C-vlan256 quit H3C vlan 1000 H3C-vlan1000 quit H3C interface vlan 1000 H3C-Vlan-interface1000 ip address 0 H3C-Vlan-interface1000 quit 步驟二：將上行以太網口配置為 Trunk類型 H3C interface Ethernet 1/0/1 H3C-Ethernet1/0/1 port link-type trunk H3C-Ethernet1/0/1 port trunk permit vlan all 步驟三：創建無線接口 H3C interface WLAN-BSS 1 H3C-WLAN-BSS1 port access vlan 256 12 配置步驟（ 2） 步驟四：創建無線服務模板（ SSID名稱為 H3C-wireless） H3C wlan service-template 1 clear H3C-wlan-st-1 authentication-method open-system H3C-wlan-st-1 ssid H3C-wireless H3C-wlan-st-1 service-template enable 步驟五：在 11g射頻卡上綁定無線服務模板和無線接口，配置信道為 11、功率為 15dBm H3C interface WLAN-Radio 1/0/1 H3C-WLAN-Radio1/0/1 service-template 1 interface WLAN-BSS 1 H3C-WLAN-Radio1/0/1 radio-type 11g H3C-WLAN-Radio1/0/1 channel 11 H3C-WLAN-Radio1/0/1 max-power 15 注：默認情況下，功率為 20dBm（即 100mW）；信道為自動調整。 步驟六：配置默認路由 H3C ip route-static 0 54 13 目錄 n Fat AP產品介紹與典型配置 n Fat AP主要特性 n 無線交換機工作原理 n 無線交換機應用部署方式 n 無線交換機主要特性 n 無線交換機產品介紹 n 無線交換機的典型組網與配置 Fat AP的主要特性 l 無線漫游 l 無線訪問控制 l WDS功能 l 射頻管理 l 認證方式 l 加密方式 15 Fat AP的 WDS功能 l WDS 是 Fat AP的一個特殊功能，通過此功能可以實現 AP與 AP之間 的無線通信。 l 802.11協議對 WDS的具體實現沒作規定，這為各廠商 WDS的實現帶 來了靈活的余地，但各廠商產品之間的互通基本沒有可能性。 L2交換機 I P網絡 Radius Server AP WDS 無線客戶端 WDS AP 無線客戶端 16 WDS功能的典型應用與配置方式 l WDS 功能的兩種配置方式 方式 MAC方式 企業分支網絡 1 企業總部網絡 Fat AP-2 Fat AP-1 企業分支網絡 2 Fat AP-3 17 AP 上行鏈路完整性檢測功能 Radius Server IP L2交換機 trunk l FAT AP支持上行鏈路的檢測功能，并且根 據上行鏈路的狀態確定是否提供 WLAN接入 服務 WLAN uplink-interface Ethernet 1/0/1 信號消失 無線客戶端 18 IP trunk AP Fat AP的無線訪問控制功能 Radius Server l 二層隔離功能 l2fw wlan-client-isolation enable L2交換機 l 黑白名單功能 static-blacklist mac-address mac-add whitelist mac-address mac-add l ACL和防火墻功能 無線客戶端 無線客戶端 19 Fat AP的射頻管理功能 l 信道 自動選擇： Fat AP 上電后會掃描一次周圍的射頻環境，通過比較 自動選擇干擾小，噪音低的信道為當前工作信道。 手動設置：可以手動設定 Fat AP當前工作信道。 l 功率 Fat AP功率只能通過手動設置。 默認情況下， Fat AP以最大功率啟動。 20 Fat AP的認證加密方式 l MAC地址認證 MAC地址認證是相當常見的做法，幾乎所有產品均有支持。網管人員可以鍵入一組經過授權 的終端 MAC地址，只有表上有其 MAC地址的終端才可以跟網絡連接。 l PSK（ Pre-shared key）認證 PSK認證要求在 STA側預先配置 Key， AP通過 4次握手 Key協商協議來驗證 STA側 Key的合法 性。 l 802.1x認證 802.1x認證是基于端口的網絡接入控制協議 , 它提供了一個認證過程框架，支持多種認證協 議。在 802.1x中，不同的認證協議統一使用 EAP封裝格式。 l WEP（ Wired Equivalent Privacy）加密方式 WEP 密鑰采用 RC4算法。 WEP 標準采用 64位比特或 128位比特加密。 l WPA（ Wi-Fi Protected Access）安全架構 IEEE為了改進 WEP加密機制的各種缺陷制定了 IEEE 802.11i安全標準 。 標準采用了 IEEE802.11i的草案，保證了與未來出現的協議的前向兼容。 WPA采用 TKIP和 CCMP加密算 法。 l WPA2安全架構（又稱為 RSN （ Robust Security Network） WPA2采用 CCMP（即 AES， advanced encryption standard）加密算法。 21 目錄 n Fat AP產品介紹與典型配置 n Fat AP主要特性 n 無線交換機工作原理 n 無線交換機應用部署方式 n 無線交換機主要特性 n 無線交換機產品介紹 n 無線交換機的典型組網與配置 無線交換機的工作原理 l 無線交換機 +Fit AP的連接方式 l 無線交換機 +Fit AP系統構成特點 l Fit AP零配置啟動注冊過程 l無線交換機 +Fi AP的數據轉發原理 23 無線交換機 +Fit AP的連接方式 無線交換機 無線交換機 L2網絡 無線交換機 L3網絡 Fit AP Fit AP Fit AP Fit AP Fit AP Fit AP 直連方式 二層網絡連接方式 三層網絡連接方式 24 無線交換機 +Fit AP系統構成特點 l 主要由無線交換機和 Fit AP在有線網的基礎上構成的。 l AP零配置，硬件主要由 CPU內存 RF構成，配置和軟件都要從無 線交換機上下載。所有 AP和無線客戶端的管理都在無線交換機上完 成。 l AP和無線交換機之間的流量被私有協議加密；無線客戶端的 MAC只 出現在無線交換機端口，而不會出現在 AP的端口。 l 可以在任何現有的二層或三層 LAN 拓撲上部署 H3C的通用無線解決 方案，而無需重新配置主干或硬件。無線交換機以及管理型接入點 AP可以位于網絡中的任何位置。 在復雜的網絡中， Fit AP如何得知無線交換機的位置？ 25 4. 5. AP直連或通過二層網絡連接時的注冊流程 AP與無線交換機直連或通過二層網絡連接： AP DHCP Server 無線交換機 1. AP通過 DHCP server獲取 IP地址 2. AP發出二層廣播的發現請求報文試圖聯 系一個無線交換機 3. 接收到發現請求報文的無線交換機會檢 查該 AP是否有接入本機的權限，如果有 則回應發現響應 AP從無線交換機下載最新軟件版本、 配置 AP開始正常工作和無線交換機交換用 戶數據報文 1、獲取 IP地址 2、發送二層廣播發現請求 3、無線交換機發現響應 4、版本、配置下載 5、用戶數據傳遞 26 AP通過三層網絡連接時的注冊流程 _option 43方式 AP與無線交換機通過三層網絡連接： 1. AP通過 DHCP server獲取 IP地址、 AP DHCP Server 無線交換機 option 43屬性 (攜帶無線交換機的 IP 地址信息 ) 1、獲取 IP地址、 option 43屬性 2. AP會從 option 43屬性中獲取無線交換 機的 IP地址，然后向無線控制器發送 單播發現請求。 3. 接收到發現請求報文的無線交換機會 檢查該 AP是否有接入本機的權限，如 果有則回應發現響應。 4. AP從無線交換機下載最新軟件版本、 配置 5. AP開始正常工作和無線交換機交換用 戶數據報文 2、無線交換機發現請求 3、無線交換機發現響應 4、版本、配置下載 5、用戶數據傳遞 27 Option 43屬性配置舉例 l H3C設備內置 DHCP Server l Option 43選項說明 80：選項類型，固定為 80， 1個字節。 0B: 選項長度，表示其后內容的長度 （十六進制數的個數，這里表示后面有 11個十六進制數），一個字節。 0000: Server type ，固定配為 0000兩 個字節。 02：后面 IP地址的個數，一個字節。 12010701,12010702：兩個 AC的 IP地 址的十六進制表示 ，分別是 和 ，其中 為主 AC. l Microsoft DHCP Server 28 3. AP通過三層網絡連接時的注冊流程 _DNS方式 AP與無線交換機通過三層網絡連接： 1. AP通過 DHCP server獲取 IP地址、 DNS server AP DHCP Server DNS Server 無線交換機 地址、域名 2. AP發出二層廣播的發現請求報文試圖聯系一 個無線交換機 AP在多次嘗試發現請求無回應的情況下： AP會從 DNS server獲取 H3C.xxxx.xxx的 IP地址，該 IP地址即為無線交換機的 IP 地址，其中 xxxx.xxx是從 DHCP server 學習到的域名。 1、獲取 IP地址、 DNS Server地址、 域名 2、二層廣播發現請求 長時間無響應 3、獲取無線交換機的 IP地址 4、無線交換機發現請求 4. AP向無線控制器發送單播發現請求。 5、無線交換機發現響應 5. 接收到發現請求報文的無線交換機會檢查該 AP 是否有接入本機的權限，如果有則回應發現響 應。 6. AP從無線交換機下載最新軟件版本、配置 7. AP開始正常工作和無線交換機交換用戶數據報文 6、版本、配置下載 7、用戶數據傳遞 29 無線交換機的數據轉發原理 核心交換機 隧道口 無線交換機 IP: 接入交換機 隧道口 隧道口 Server Fit AP STA VLAN 1 IP: Fit AP STA VLAN 2 IP: VLAN 1 IP: l 無線交換機和 AP間數據轉發的核心思想 在無線交換機和 AP之間建立 IPinIP隧道，無線交換機將這些隧道看做虛擬物理端口； 無線客戶端 STA的任何數據報文都將由 AP通過 IPinIP隧道交給無線交換機，由無線交換機統一轉 發； 無線交換機從 IPinIP隧道接收到用戶的數據后先解隧道封裝，然后做數據交換，如果出接口為隧道 則對數據報文再次加上隧道封裝，直到交換到最遠端。 30 STAPC的數據轉發 STA AP 無線交換機 L2交換機 PC 無線交換機 IP: VLAN 1 L2交換機 SA STA MAC DA PC MAC SIP DIP 加 IPinIP隧道封裝 802.11報文 SA AP MAC DA AC MAC VLAN 1 AP IP: STA IP: VLAN 1 PC IP: VLAN VLAN 1 SIP DIP IPinIP隧道封裝 SA STA MAC DA PC MAC SIP DIP 解 IPinIP隧道封裝， 802.11-802.3轉換 SA STA MAC DA PC MAC VLAN VLAN1 SIP DIP SA STA MAC DA PC MAC SIP DIP 31 STA2-STA1的數據轉發 STA2 AP2 無線交換機 AP1 STA1 無線交換機 IP: L3交換機 SA STA2 MAC DA STA1 MAC SIP DIP 加 IPinIP隧道封裝 802.11報文 SIP DIP IPinIP隧道封裝 SA STA2 MAC DA STA1 MAC AP1 IP: STA1 VLAN1 IP: AP2 IP: STA2 VLAN1 IP: SIP DIP 解 IPinIP隧道封裝， 802.11-802.3轉換 802.3-802.11轉換，加 IPinIP隧道封裝 SIP DIP IPinIP隧道封裝 SA STA2 MAC DA STA1 MAC SIP DIP 解 IPinIP隧道封裝 SA STA2 MAC DA STA1 MAC SIP DIP 32 目錄 n Fat AP產品介紹與典型配置 n Fat AP主要特性 n 無線交換機工作原理 n 無線交換機應用部署方式 n 無線交換機主要特性 n 無線交換機產品介紹 n 無線交換機的典型組網與配置 無線交換機的應用部署方式 l無線交換機 +Fi AP集中式企業內部部署方式 l 無線交換機 +Fit AP分布式企業內部部署方式 l 無線交換機 +Fit AP企業分支機構部署方式 34 無線交換機 +Fit AP集中式企業內部部署方式 無線接入點 PoE交換機 有線客戶端 一層樓 匯聚交換機 無線交換機 無線客戶端 PoE交換機 公司骨干 無線網管 二層樓 認證服務器 無線接入點 無線交換機 有線客戶端 35 無線交換機 +Fit AP分布式企業內部部署方式 匯聚交換機 PoE交換機 無線交換機 無線接入點 匯聚交換機 無線網管 無線客戶端 一層樓 有線客戶端 公司骨干 匯聚交換機 無線接入點 PoE交換機 無線交換機 認證服務器 二層樓 有線客戶端 36 無線交換機 +Fit AP企業分支機構部署方式 分支二 PoE交換機 分支出口路由器 路由器 無線交換機 無線接入點 無線網管 無線客戶端 無線客戶端 無線接入點 PoE交換機 有線客戶端 有線客戶端 分支出口路由器 分支一 PoE交換機 公司骨干 認證服務器 公司總部 無線接入點 有線客戶端 37 目錄 n Fat AP產品介紹與典型配置 n Fat AP主要特性 n 無線交換機工作原理 n 無線交換機應用部署方式 n 無線交換機主要特性 n 無線交換機產品介紹 n 無線交換機的典型組網與配置 無線交換機的主要特性 l 基于用戶的授權 l 無線用戶漫游 l 無線交換機端口聚合 和負荷分擔 l Fit AP之間的負載均衡 l 無線交換機系統的冗余與可靠性 l 基于用戶身份的安全 l ROGUE（欺詐）探測 39 無線交換機系統基于用戶的授權 Radius Server DHCP Server 無線交換機 vlan 2 vlan 3 在 WLAN-ESS接口上使能 mac-vlan功能 port link-type hybrid port hybrid vlan 1 to 3 untagged mac-vlan enable 方式一、在無線交換機自身設置 User 2 IP trunk Fit AP User 3 mac-vlan mac-address 0000-0000-0002 vlan 2 mac-vlan mac-address 0000-0000-0003 vlan 3 方式二、通過 Radius Server授權 User 2 MAC： 0000-0000-0002 User 3 MAC： 0000-0000-0003 l 無線交換機可以通過自身設置或配合 Radius服務器對無線接入用戶進行授權，如對用戶下 發 VLAN屬性，實現基于用戶的授權。 40 無線交換機系統無線用戶漫游 無線交換機 -1: vlan 1 Radius Server vlan 2 DHCP Server /24 無線交換機 -3: vlan 4 無線交換機 -2: vlan 1 vlan 3 trunk Layer 2 trunk 路由器 trunk /24(1) /24 /24(2) Fit AP User 1 /24(3) User 1 Fit AP l漫游：用戶在移動時，保持它們的會話連接包括 I地址、所屬 VLAN及所 連接的服務均不改變，用戶感覺不到網絡的變化。 l漫游域（ Mbiliy Domain）：漫游域是由多個無線交換機和 AP組成的支 持 wireless client漫游的無線網絡系統。 41 無線交換機端口聚合和負荷分擔 Fit AP 無線客戶端 L3 Switch 無線交換機 端口聚合 PoE Switch Fit AP 無線客戶端 l無線交換機支持端口聚合，端口聚合可以實現各端口之間負載分擔和 動態備份。 42 Fit AP之間的負載均衡 無線交換機 client 6接入無線網絡前，兩個 AP的用戶接入情況： AP1 Session: * client 1 * client 2 * client 3 * client 4 AP2 Session: Total: 0 AP1 AP2 * client 5 Total: 5 client 6接入無線網絡后，兩個 AP的用戶接入情況： AP1 Session: AP2 Session: * client 1 * client 2 * client 3 * client 6 Total: 1 client 1 client 5 client 6 * client 4 * client 5 Total: 5 l 當不同的 AP覆蓋同一區域時，可通過負載均衡控制不同 AP的接入用戶數，以保證密集用 戶區域的用戶帶寬性能。 l H3C FIT AP的負載均衡有兩種方式，即用戶數（ session）和流量（ traffic）。用戶數負 載均衡閾值默認值為 20，最小為 5，最大為 40。流量負載均衡閾值默