无线局域网基础——WLAN

1.WLAN简介

无线局域网——WLAN，是指通过激光，电磁波，红外线等无线信号来替代有线介质的局域网络。相比于传统有线网络来说，无线网络的部署相对比较灵活，不收有线因网口等因素而造成的局限性。但是无线的信号容易收各种因素的影响，稳定性相对有线网络稍差一些。

WLAN目前使用的协议是IEEE802.11ax协议，通俗来讲叫wifi6，IEEE802.11ax是802.11协议族中的一员，在此之间还有802.11、802.11b、802.11g、802.11n等协议。

2.AP分类

无线离不开AP这个设备，AP（无线接入点）有两大类，一类是FAT AP，也叫胖AP，一类是FIT AP，也叫瘦AP。这两个主要差别在于是否需要AC（无线控制器）来进行纳管。

胖AP可以自主管理，不需要AC进行管理，家用无线路由器就是一个典型的胖AP的例子。瘦AP需要AC来进行管理，下发配置和升级版本等信息。

AP和AC之间属于有线连接，AP和终端之间是无线连接。AC的接入方式有两种，可以直接和AP连接，也可以旁挂组网，直连AP导致数据流量也通过AC转发，对AC的性能考验较大，旁挂组网则实现管理流量和业务流量分离。

3.WLAN相关术语

BSS：基本服务集合，是由一个AP和多个终端组成。

BSSID：基本服务集合标识，用于设备识别AP，一般是AP的MAC地址。

SSID：服务集合标识，用于人识别AP，一般是无线名称。

ESS：当多个AP的SSID相同，但是BSSID不同时，则成为扩展服务集合。

VAP：虚拟无线接入点，可以把一个AP虚拟成多个AP来实现不同的无线网隔离。

CAPWAP：无线接入管理和配置协议，用于AP和AC之间建立通信隧道和保活的协议。

4.WLAN基础配置

4.1 AP的上线

AP的地址获取可以通过静态配置或者动态DHCP获取，一般采用动态获取的方式，手工配置AP地址过于繁琐，不易施工。

AP在动态获取地址之后，需要和AC建立capwap隧道，分为控制隧道和数据隧道两种。控制隧道是AP和AC之间管理报文的交互，数据隧道是流量转发的路径选择。一般可以在AP上手工指定AC的地址，也可以自动的发现AC，通过APdiscover request报文寻找AC，AC回复discover response来确认。

在建立通信隧道之后，AP需要加入AC控制节点，通过join request和join response来进行交互。AC在收到join request之后，要检查收否允许AP的接入，有三种认证方式，基于MAC地址的认证、基于序列号的认证、不认证。

AC不一定支持所有的AP版本接入，当AP版本过低时，需要进行版本的升级，可以通过image data request和image data response报文来实现。

AP好AC之间通过keepalive机制维持数据隧道的连通性，通过echo request和echo response报文维持控制隧道的连通性。

为了能让AP加入AC的管理，AC还需要指定CAPWAP的源接口，将AP加入到AP组等信息。

4.2 业务的下发

AP通过主动发送configuration status request报文来向AC请求配置信息，AP通过AC的接入检查后，通过configuration status response报文来向A下发配置信息。

配置模板主要包含域管理模板，安全模板，SSID模板，射频模板，VAP模板等信息。

不同的国家使用不同的国家管理代码，安全模板主要信息有无线的密码，加密方式以及加密算法等信息，SSID模板主要信息就是无线网的名称，射频模板可以指定使用的射频口，将安全模板和SSID模板以及转发模式和业务vlan号在VAP模板中引用，然后在AP组中，引用与管理模板以及射频模板和VAP模板。

4.3 终端的接入

终端接入需要经历扫描、认证、关联、获取地址和用户认证几个阶段。

扫描阶段，也就是终端需要找到AP的无线名称，这个可以通过指定名称的扫描，也可以自动的扫描无AP。

认证阶段需要是加密方式的协商，目前最多使用的一般是wap-wap2-psk的认证方式。

关联阶段是终端需要和AP、AC协商速率等信息。

STA一般都是通过DHCP来获取地址。

用户认证，输入的密码要和AC下发给AP对应SSID的密码要一致。

4.4 业务的转发

业务转发模式一般有两种，通过隧道转发和直接转发。隧道转发就是数据流量要通过AC然后再向外转发，直接转发是数据流量可以不通过AC直接转发出去，在隧道只走控制流量，在旁挂AC的时候，可以使用直接转发模式，来降低AC的资源消耗。

5.WLAN基础实验

拓扑：

需求描述：管理和业务分开，数据转发不经过AC，R1上配置静态路由指向SW1，管理属于vlan10，地址段192.168.10.0/24，网关在AC上，AC配置接口DHCP池，业务属于vlan20，地址段192.168.20.0/24，网关在SW1上，SW1配置接口DHCP池，使STA能够ping通R1。R1和SW1之间属于vlan100。

SW1配置：

#vlan batch 10 20 100#dhcp enable#interface Vlanif20ip address 192.168.20.254 255.255.255.0dhcp select interface#interface Vlanif100ip address 10.1.12.1 255.255.255.0#interface GigabitEthernet0/0/1port link-type trunkport trunk allow-pass vlan 10#interface GigabitEthernet0/0/2port link-type trunkport trunk pvid vlan 10port trunk allow-pass vlan 10 20#interface GigabitEthernet0/0/3port link-type accessport default vlan 100

AC配置：

#vlan batch 10#dhcp enable#interface Vlanif10ip address 192.168.10.254 255.255.255.0dhcp select interface#interface GigabitEthernet0/0/1port link-type trunkport trunk allow-pass vlan 10#wlansecurity-profile name secsecurity wpa-wpa2 psk pass-phrase 12345678 aesssid-profile name guossid guovap-profile name vapservice-vlan vlan-id 20ssid-profile guosecurity-profile secregulatory-domain-profile name cnap auth-mode no-authap-group name apsregulatory-domain-profile cnradio 0vap-profile vap wlan 1tap-id 0 type-id 56 ap-mac 00e0-fcc4-3400 ap-sn 210235448310E643CE08ap-name ap1ap-group aps

R1配置：

#interface GigabitEthernet0/0/0ip address 10.1.12.2 255.255.255.0 #ip route-static 192.168.20.0 255.255.255.0 10.1.12.1

ping测试：

在AC和SW1 抓包没有ping包