無線網絡部署與規劃要點及案例分享
無線網絡部署白皮書
一、首先明確幾個重要概念
WLAN 網絡架構
WLAN網絡架構分有線側和無線側兩部分,有線側是指AP上行到Internet的網絡使用以太網協議。無線側是指STA到AP之間的網絡使用802.11協議。無線側接入的WLAN網
絡架構為集中式架構。
集中式網絡架構
集中式架構又稱為瘦接入點(FIT AP)架構。在該架構下,通過AC集中管理和控制多
在集中式架構下,所有無線接入功能由AP和AC共同完成:
? AC集中處理所有的安全、控制和管理功能,例如移動管理、身份驗證、VLAN劃
分、射頻資源管理和數據包轉發等。
? FIT AP完成無線射頻接入功能,例如無線信號發射與探測響應、數據加密解密、
數據傳輸確認等。
? AP和AC之間采用CAPWAP協議進行通訊,AP與AC間可以跨越二層網絡或三層網
絡。
集中式架構便於管理員的集中管理和維護。
數據轉發方式
WLAN網絡中的數據包括控制報文和數據報文。控制報文是通過CAPWAP的控制隧道
轉發的,用戶的數據報文按照是否通過CAPWAP的數據隧道轉發分為隧道轉發(又稱
為“集中轉發”)方式和直接轉發(又稱為“本地轉發”)方式。
隧道轉發方式是指用戶的數據報文到達AP後,需要經過CAPWAP數據隧道封裝後發送
給AC,然後由AC再轉發到上層網絡,如下圖所示:
直接轉發方式
直接轉發方式是指用戶的數據報文到達AP後,不經過CAPWAP的隧道封裝而直接轉發
到上層網絡,如下圖所示:
隧道轉發方式與直接轉發方式的優缺點
隧道轉發方式與直接轉發方式的優缺點如下表所示:
直接轉發方式下的集中認證
如果采用直接轉發方式,業務數據不經過AC轉發。當無線用戶接入網絡需要進行用戶
接入認證(例如,802.1X認證等)且接入控制點部署在AC上時,用戶的認證報文就無
法通過AC集中管理,這就給管理員對用戶的統一控制造成了不便。通過在直接轉發方
式下使能集中認證功能,可以實現用戶的認證報文通過CAPWAP隧道到達AC轉發,普
二、其次有必要了解一下無線網絡幾個經典的應用場景
大中型園區網WLAN 典型組網應用
大中型園區網定位為大中型企業總部、大型分支機構、高校、機場等場所。大型園區
WLAN部署的AP數量較多。
從網絡運維以及安全考慮,大中型園區網主要采用集中式(AC+FIT AP)架構來部署
WLAN。根據AC的部署方式,又可分為集中式AC方案和分布式AC方案。
集中式AC 方案
集中式AC方案,是指整個網絡中集中部署AC設備(一般是獨立的AC設備)來控制和
管理整網的AP設備。AC的部署可以采用直連(直接部署在AP和匯聚/核心交換機之
間)或旁掛方式(旁掛在匯聚/核心交換機旁側)。
大中型園區網的集中式AC組網方案如圖所示:(旁掛式部署)
小型園區網WLAN 典型組網應用
小型園區網定位為中小型企業包括獨立的小型園區網,也包括只在分支機構部署
WLAN的場景。小型園區網WLAN部署規模小於大型園區但高於SOHO。
相對於大型WLAN網絡而言,小型園區網WLAN可能較少考慮網絡可靠性,可能因為
成本因素而不需要專門的網管設備以及認證服務器。
小型園區網由於規模較小,一般采用集中式AC方案。可采用獨立AC設備或者集成AC
設備的部署方式,如圖所示(以獨立AC設備為例)。
企業分支機構WLAN 典型組網應用
企業分支機構WLAN組網應用在總部與分支均部署了WLAN網絡且總部需要管理分支
機構WLAN網絡的場景。
企業分支機構根據AC部署方式分為大型和小型,與分支機構的網絡規模大小沒有嚴格
的對應關系,如下圖所示:
分布式WLAN 組網典型應用
在酒店房間、校園宿舍、醫院病房等多房間的場景中,由於墻體等室內建築物的阻
隔,無線信號的衰減現象較為嚴重,普通的室內放裝型AP和室內分布式AP無法完全滿
足低成本、高性能的無線覆蓋需求。在這類場景下,可采用敏捷分布式WLAN組網架
構部署網絡滿足此類需求。
分布式WLAN組網包括AC+中心AP+RRU,RRU收發無線報文,並二層透傳給中
心AP進行處理。中心AP通過網線連接RRU,相比於普通AP通過饋線連接天線,網線
能夠提供更長的部署距離,方便在離中心AP更遠的位置部署RRU。
如下圖所示所示,中心AP連接RRU並為RRU提供PoE供電。還可在中心AP下連接PoE交換機,PoE交換機再連接RRU,擴展中心AP下管理的RRU數目。RRU和其接入的中心
AP之間需要是二層可達的組網並且必須是樹型組網。
實例:某校園宿舍大樓中欲部署WLAN網絡覆蓋,但由於宿舍大樓中宿舍房間很多,房間之間的墻壁等障礙物很容易使無線信號嚴重衰減,影響WLAN信號質量。
如下圖所示,AC連接中心AP,再由中心AP連接RRU並為其提供PoE供電,在每個宿
舍中部署一個RRU,所有RRU和中心AP統一由AC進行集中管理,為每個宿舍提供高質
量的WLAN網絡覆蓋。
配置與其他幾種應用場景類似,請參考本文XX無線部署實例配置,網絡結構稍作調整即可。
三、有了上述基礎以後,結合一個實際案例
步驟1 配置網絡互通
配置交換機。
將接口GE0/0/1~GE0/0/5, 都加入VLAN100(AP管理VLAN,用於AC與AP之間互相通信)。
接口GE0/0/1~GE0/0/5下的配置完全一致,以配置接口GE0/0/1為例。
system-view
sysname MaLa-Switch
vlan batch 100
interface gigabitethernet 0/0/1
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100
port-isolate enable
quit
#在交換機上創建VLANIF100~VLANIF103、VLANIF200和VLANIF201並配置IP地址。其中VLANIF100為AP的網關,VLANIF101為辦公用戶的網關,VLANIF102為開發部門員工的網關,VLANIF103為guest用戶的網關;然後配置交換機接口GE0/0/6加入VLAN101~VLAN103(業務vlan)以及VLAN200,用於承載業務流量以及與交換機之間通信,接口GE0/0/24加入VLAN201, 於交換機與路由器通信。
interface vlanif 100
ip address 172.16.100.254 24
quit
interface vlanif 101
ip address 172.16.101.254 24
quit
interface vlanif 102
ip address 172.16.102.254 24
quit
interface vlanif 103
ip address 172.16.103.254 24
quit
int vlanif 200
ip add 10.10.200.2 24
quit
int vlanif 201
ip add 10.10.201.2 24
quit
interface gigabitethernet 0/0/6
port link-type trunk
port trunk allow-pass vlan 101 to 103 200
quit
interface gigabitethernet 0/0/24
port link-type trunk
port trunk allow-pass vlan 201
quit
AC配置:將AC連接交換機的接口GE0/0/6加入VLAN101~VLAN103和VLAN200。
<AC6605> system-view
[AC6605] sysname AC
[AC] vlan batch 101 to 103 200
[AC] interface vlanif 200
[AC-Vlanif200] ip address 10.10.200.1 24
[AC-Vlanif200] quit
[AC] interface gigabitethernet 0/0/1
[AC-GigabitEthernet0/0/1] port link-type trunk
[AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 101 to 103 200
[AC-GigabitEthernet0/0/1] quit
出口路由器配置:配置到Switch的路由。
ip route-static 172.16.100.0 24 10.10.201.2
ip route-static 172.16.101.0 24 10.10.201.2
ip route-static 172.16.102.0 24 10.10.201.2
ip route-static 172.16.103.0 24 10.10.201.2
配置Switch的缺省路由,下一跳為Router的VLANIF201。
[Switch_B] ip route-static 0.0.0.0 0.0.0.0 10.10.201.1
配置AC到AP的路由,下一跳為Switch的VLANIF200。
[AC] ip route-static 172.16.100.0 24 10.10.200.2
步驟2 配置DHCP服務,為AP和終端機分配IP地址
配置Switch作為DHCP服務器給AP和終端分配IP地址。AP和AC間為三層網絡時需要通過配置Option 43向AP通告AC的IP地址。
dhcp enable
ip pool ap
network 172.16.100.0 mask 24
gateway-list 172.16.100.254
option 43 sub-option 3 ascii 10.10.200.1
quit
ip pool BanGong
network 172.16.101.0 mask 24
gateway-list 172.16.101.254
Dns-list 114.114.114.114
quit
ip pool KaiFa
network 172.16.102.0 mask 24
gateway-list 172.16.102.254
Dns-list 114.114.114.114
quit
ip pool Guest
network 172.16.103.0 mask 24
gateway-list 172.16.103.254
Dns-list 114.114.114.114
quit
步驟3 配置VLAN pool,用於承載無線的業務VLAN
新建3個VLAN pool,BanGong、KaiFa、Guest,將VLAN101和VLAN102、103分別加入對應的vlan pool
說明:本例VLAN pool中的概念為:vlan用於在AC上隔離各終端,如果終端數量比較多,例如超出了255個,一個vlan pool中就可包含2個或者多個vlan,每個vlan對應一個網段,通過隔離用戶的廣播域,減輕對無線網絡性能的影響。VLAN分配的算法配置為“hash”。分配算法缺省情況下為“hash”,如果之前沒有修改其缺省配置,可以不用執行命令assignment hash。
本例VLAN pool僅以加入VLAN101和VLAN102兩個VLAN為例,實際可以配置多個VLAN加入VLAN
pool,配置方法與VLAN101和VLAN102一致,也需要在Switch_B上創建對應的VLANIF接口、配置IP地址,在Router上配置IP地址池。
vlan pool mala-BanGong
vlan 101
assignment hash
quit
vlan pool mala-KaiFa
vlan 102
assignment hash
quit
vlan pool mala-Guest
vlan 103
assignment hash
quit
步驟4 配置AP上線
創建3個AP組“MaLa-BanGong”和“MaLa-KaiFa”、“MaLa-Guest”。
[AC] wlan
[AC-wlan-view] ap-group name MaLa-BanGong
[AC-wlan-ap-group-BanGong] quit
[AC-wlan-view] ap-group name MaLa-KaiFa
[AC-wlan-ap-group-KaiFa] quit
[AC-wlan-view] ap-group name MaLa-Guest
[AC-wlan-ap-group-Guest] quit
創建域管理模板,在域管理模板下配置AC的國家碼並在AP組下引用域管理模板。
[AC-wlan-view] regulatory-domain-profile name domain1
[AC-wlan-regulatory-domain-prof-domain1] country-code cn
[AC-wlan-regulatory-domain-prof-domain1] quit
[AC-wlan-view] ap-group name MaLa-BanGong
[AC-wlan-ap-group-Mala-bangong] regulatory-domain-profile domain1
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continue?[Y/N]:y
[AC-wlan-ap-group-Mala-banggong] quit
[AC-wlan-view] ap-group name MaLa-KaiFa
[AC-wlan-ap-group-Mala-kaifa] regulatory-domain-profile domain1
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continue?[Y/N]:y
[AC-wlan-ap-group-Mala-kaifa] quit
[AC-wlan-view] ap-group name MaLa-Guest
[AC-wlan-ap-group-MaLa-Guest] regulatory-domain-profile domain1
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continue?[Y/N]:y
[AC-wlan-ap-group-MaLa-Guest] quit
配置AC的源接口。
[AC] capwap source interface vlanif 200 此條命令非常重要!!
在AC上離線導入AP。將部署在前臺大廳的AP都加入到AP組“Mala-guest”,部署在辦公
區域的AP都加入到AP組“Maala-BanGong”,部署在2層辦公區域的加入”Mala-kaifa“並且根據AP的部署位置為AP配置名稱,便於從名稱上就能夠了解AP的部署位置。例如MAC地址為60de-4474-9640的AP部署在辦公區域2樓的1號房間,命名此AP為“Bangong-AP1”。
說明
ap auth-mode命令缺省情況下為MAC認證,如果之前沒有修改其缺省配置,可以不用執行ap authmode
mac-auth。
舉例中使用的AP為AP6010DN-AGN,具有射頻0和射頻1兩個射頻。AP6010DN-AGN的射頻0為
2.4GHz射頻,射頻1為5GHz射頻。
[AC] wlan
[AC-wlan-view] ap auth-mode mac-auth
[AC-wlan-view] ap-id 1 ap-mac 60de-4476-e360
[AC-wlan-ap-0] ap-name ap1
[AC-wlan-ap-0] ap-group mala-bangong
Warning: This operation may cause AP reset. If the country code changes, it will clear channel,power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y
[AC-wlan-ap-0] quit
[AC-wlan-view] ap-id 2 ap-mac 60de-4476-e380
[AC-wlan-ap-1] ap-name ap2
[AC-wlan-ap-1] ap-group mala-bangong
Warning: This operation may cause AP reset. If the country code changes, it will clear channel,power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y
[AC-wlan-ap-1] quit
[AC-wlan-view] ap-id 3 ap-mac 60de-4474-9640
[AC-wlan-ap-2] ap-name ap3
[AC-wlan-ap-2] ap-group mala-kaifa
Warning: This operation may cause AP reset. If the country code changes, it will clear channel,power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y
[AC-wlan-ap-2] quit
[AC-wlan-view] ap-id 4 ap-mac 60de-4474-9660
[AC-wlan-ap-3] ap-name mala-kaifa
[AC-wlan-ap-3] ap-group employee
Warning: This operation may cause AP reset. If the country code changes, it will clear channel,power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y
[AC-wlan-ap-3] quit
[AC-wlan-view] ap-id 5 ap-mac 60de-4474-9660
[AC-wlan-ap-3] ap-name ap5
[AC-wlan-ap-3] ap-group mala-guest
Warning: This operation may cause AP reset. If the country code changes, it will clear channel,power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y
[AC-wlan-ap-3] quit
將AP上電後,當執行命令display ap all查看到AP的“State”字段為“nor”時,表示
AP正常上線。
[AC-wlan-view] display ap all
Total AP information:
nor : normal [4]
ID MAC Name Group IP Type State STA Uptime
0 60de-4474-9640 office2-1 employee 10.23.100.253 AP6010DN-AGN nor 0 2H:30M:1S
1 60de-4474-9660 office2-2 employee 10.23.100.251 AP6010DN-AGN nor 0 2H:35M:2S
2 60de-4476-e360 lobby-1 guest 10.23.100.254 AP6010DN-AGN nor 0 2H:29M:29S
3 60de-4476-e380 lobby-2 guest 10.23.100.252 AP6010DN-AGN nor 0 2H:34M:11S
Total: 4
步驟5 配置WLAN業務參數
創建名為“mala-bangong”和“mala-kaifa”、mala-guest的安全模板,並配置安全策略。
說明:舉例中以配置WPA2+PSK+AES的安全策略為例,密碼分別為“a1234567”、“b1234567”,實際配置中請根據實際情況,配置符合實際要求的安全策略。
[AC-wlan-view] security-profile name mala-bangong
[AC-wlan-sec-prof-guest] security wpa2 psk pass-phrase mala.bangong.com aes
[AC-wlan-sec-prof-guest] quit
[AC-wlan-view] security-profile name mala-kaifa
[AC-wlan-sec-prof-employee] security wpa2 psk pass-phrase mala.kaifa.com aes
[AC-wlan-sec-prof-employee] quit
[AC-wlan-view] security-profile name mala-guest
[AC-wlan-sec-prof-employee] security wpa2 psk pass-phrase mala.guest.com aes
[AC-wlan-sec-prof-employee] quit
創建名為“mala-bangong”和“mala-kaifa”mala-guest的SSID模板,並分別配置SSID名稱 。
[AC-wlan-view] ssid-profile name mala-bangong
[AC-wlan-ssid-prof-guest] ssid MaLa-BanGong
Warning: This action may cause service interruption. Continue?[Y/N]y
[AC-wlan-ssid-prof-guest] quit
[AC-wlan-view] ssid-profile name Mala-kaifa
[AC-wlan-ssid-prof-employee] ssid Mala-kaifa
Warning: This action may cause service interruption. Continue?[Y/N]y
[AC-wlan-ssid-prof-employee] quit
[AC-wlan-view] ssid-profile name Mala-guest
[AC-wlan-ssid-prof-employee] ssid Mala-guest
Warning: This action may cause service interruption. Continue?[Y/N]y
[AC-wlan-ssid-prof-employee] quit
創建名為“mala-bangong”和“mala-kaifa”、mala-guest的VAP模板,配置業務數據轉發模式、業務
VLAN,並且引用安全模板和SSID模板。
[AC-wlan-view] vap-profile name mala-bangong
[AC-wlan-vap-prof-guest] forward-mode tunnel
Warning: This action may cause service interruption. Continue?[Y/N]y
[AC-wlan-vap-prof-guest] service-vlan vlan-pool mala-bangong
[AC-wlan-vap-prof-guest] security-profile mala-bangong
[AC-wlan-vap-prof-guest] ssid-profile mala-bangong
[AC-wlan-vap-prof-guest] quit
其余類似,不再重復。
配置AP組引用VAP模板,如果AP支持雙頻,AP上射頻0和射頻1都使用VAP模板的配置。
[AC-wlan-view] ap-group name mala-bangong
[AC-wlan-ap-group-guest] vap-profile mala-bangong wlan 1 radio 0
[AC-wlan-ap-group-guest] vap-profile mala-bangong 1 radio 1
[AC-wlan-ap-group-guest] quit
其余類似,不再重復。
步驟6 驗證配置結果
WLAN業務配置會自動下發給AP,配置完成後,通過執行命令display vap ssid guest和
display vap ssid employee查看如下信息,當“Status”項顯示為“ON”時,表示AP對
應的射頻上的VAP已創建成功。
[AC-wlan-view] display vap ssid guest
WID : WLAN ID
AP ID AP name RfID WID BSSID Status Auth type STA SSID
0 lobby-1 0 1 60DE-4476-E360 ON WPA2-PSK 1 guest
0 lobby-1 1 1 60DE-4476-E370 ON WPA2-PSK 0 guest
1 lobby-2 0 1 60DE-4476-E380 ON WPA2-PSK 1 guest
1 lobby-2 1 1 60DE-4476-E390 ON WPA2-PSK 0 guest
Total: 4
[AC-wlan-view] display vap ssid employee
WID : WLAN ID
AP ID AP name RfID WID BSSID Status Auth type STA SSID
2 office2-1 0 1 60DE-4474-9640 ON WPA2-PSK 0 employee
2 office2-1 1 1 60DE-4474-9650 ON WPA2-PSK 1 employee
3 office2-2 0 1 60DE-4474-9660 ON WPA2-PSK 0 employee
3 office2-2 1 1 60DE-4474-9670 ON WPA2-PSK 1 employee
Total: 4
終端用戶搜索到名為“MaLa-BanGong”和“Mala-kaifa”、Mala-guest的無線網絡,分別輸入密碼“a1234567”和“b1234567”並正常關聯後,在AC上執行display station ssid guest和display station ssid XXXX(ssid名稱)命令,可以查看到用戶已經分別接入到無線網絡“guest”和
“employee”中。
[AC-wlan-view] display station ssid guest
Rf/WLAN: Radio ID/WLAN ID
Rx/Tx: link receive rate/link transmit rate(Mbps)
STA MAC AP ID Ap name Rf/WLAN Band Type Rx/Tx RSSI VLAN IP address
581f-28fc-7ead 0 lobby-1 0/1 2.4G 11n 2/4 -53 101 10.23.101.254
Total: 1 2.4G: 1 5G: 0
[AC-wlan-view] display station ssid employee
Rf/WLAN: Radio ID/WLAN ID
Rx/Tx: link receive rate/link transmit rate(Mbps)
STA MAC AP ID Ap name Rf/WLAN Band Type Rx/Tx RSSI VLAN IP address
e019-1dc7-1e08 2 office2-1 1/1 5G 11n 26/51 -61 102 10.23.103.254
Total: 1 2.4G: 0 5G: 1
四、總結
當然,無線裏面還涉及很多概念性的知識,例如:無線幀結構、CAPWAP的原理、客戶端主/被動掃描、AP上線註冊過程等等技術原理,華為的官方文檔裏面有很詳細的介紹,在此不再贅述。本文圖片和大部分文字也均摘抄自華為廠商文檔:AC6605&AC6005&AC6003&ACU2V200R006(C10&C20) 配置指南(CLI),如有侵權,請聯系作者,及時刪除。
整理者:路路 Email:[email protected] 2016年8月
無線網絡部署與規劃要點及案例分享