WLAN 无线局域网

主要技术：WIFI

WLAN工作流程

目录

WLAN工作流程

AP上线

WLAN业务配置下发

STA接入

WLAN业务数据转发

实验部分

拓扑图​

AP上线

1、AP获取IP地址；

AP必须获取IP地址才能够与AC通信，WLAN网络才能够正常工作。

AP获取IP地址的方式包括：

静态获取：登录到AP设备上手工配置IP地址

DHCP方式：通过配置DHCP服务器，使AP作为DHCP客户端向DHCP服务器请求IP地址

典型方案：

部署专门的DHCP Server为AP分配IP地址。

使用AC的DHCP服务为AP分配IP地址。

使用网络中的设备，例如核心交换机为AP分配IP地址。

DHCP获取过程

①AP发DHCP Discovery（广播）给服务器端

②服务器回DHCP Offer（单播）回应AP

③AP发送DHCP Request（广播）通知服务器本机选择的IP地址

④服务器发DHCP Ack确认地址分配

2、AP发现AC并与之建立CAPWAP隧道；

AC通过CAPWAP隧道来实现对AP的集中管理和控制

阶段一：Discovery阶段（AP发现AC阶段）

AP通过发送Discovery Request报文，找到可用的AC；

AP发现AC有两种方式：

静态方式：AP上预先配置AC的静态IP地址列表。

动态方式：DHCP方式、DNS方式和广播方式。

DHCP方式（三层组网）

广播方式

阶段二：建立CAPWAP隧道阶段

AP与AC关联，完成CAPWAP隧道建立。包括数据隧道和控制隧道：

数据隧道：AP接收的业务数据报文经过CAPWAP数据隧道集中到AC上转发。

控制隧道：通过CAPWAP控制隧道实现AP与AC之间的管理报文的交互。

3、AP接入控制；

AP发现AC后，会发送join request报文。AC收到后会判断是否允许该AP接入，并相应join response报文。AC上支持三种对AP的认证方式：MAC认证、序列号(SN)认证和不认证、

4、AP版本升级；

AP根据收到的Join response报文中的参数判断当前的系统版本是否与AC上指定的一致。如果不一致，则AP通过发送Image Data request报文请求软件版本，然后进行版本升级，升级方式包括AC模式、FTP模式和SFTP模式。

AP在软件版本更新完成后重新启动，重复进行前面三个步骤。

5、CAPWAP隧道维持；

数据隧道维持：

AP与AC之间交互keepalive报文来检测数据隧道的连通状态。

控制隧道维持：

AP与AC交互ECHO报文来检测控制隧道的连通状态。

WLAN业务配置下发

AC向AP发送configuration update request请求消息；

AP回应configuration update response消息；

AC再将AP的业务配置信息下发给AP。

STA接入

CAPWAP隧道建立完成后，用户就可以接入无线网络。

STA接入过程分为六个阶段：扫描阶段、链路认证阶段、关联阶段、接入认证阶段、DHCP、用户认证。

WLAN业务数据转发

CAPWAP中的数据包括控制报文（管理报文）和数据报文。

控制报文是通过CAPWAP的控制隧道转发的；

用户的数据报文分为隧道转发（又称为“集中转发”）方式和直接转发（又称为“本地转发”）方式

实验部分

拓扑图

1、基础配置（地址、vlan等）

AC:

[AC6005]int vlan 1

[AC6005-Vlanif1]ip add 192.168.1.1 24

测试与本地的连通性，确保本地能使用浏览器登录到AC

本地设置网卡的地址

测试连通性

[AC6005]ping 192.168.1.10

PING 192.168.1.10: 56 data bytes, press CTRL_C to break

Reply from 192.168.1.10: bytes=56 Sequence=1 ttl=128 time=110 ms

Reply from 192.168.1.10: bytes=56 Sequence=2 ttl=128 time=40 ms

Reply from 192.168.1.10: bytes=56 Sequence=3 ttl=128 time=30 ms

Reply from 192.168.1.10: bytes=56 Sequence=4 ttl=128 time=30 ms

Reply from 192.168.1.10: bytes=56 Sequence=5 ttl=128 time=20 ms

--- 192.168.1.10 ping statistics ---

5 packet(s) transmitted

5 packet(s) received

0.00% packet loss

round-trip min/avg/max = 20/46/110 ms

//查看相应的服务是否开启

[AC6005]dis http server

HTTP server status : Disabled (default: disable)

HTTP server port : 80 (default: 80)

HTTP timeout interval : 10 (default: 10 minutes)

Current online users : 0

Maximum users allowed : 5

HTTPS server status : Enabled (default: enable)

HTTPS server port : 443(default: 443)

HTTPS SSL Policy :

用浏览器进行访问https://192.168.1.1,默认的用户名：admin，密码：admin@

若想使用自己设置的用户名和密码，在aaa视图下增加用户名和密码，且要开启相应服务。

[AC6005-aaa]local-user ghm password irreversible-cipher

[AC6005-aaa]local-user ghm privilege level 15

[AC6005-aaa]local-user ghm service-type http

2、让AP获得IP地址

DHCP方式：

[AC6005]dhcp enable

[AC6005]int vlan 1

[AC6005-Vlanif1]dhcp select int

AP1、AP2获得IP地址

<Huawei>dis ip int br

Interface IP Address/Mask Physical Protocol

NULL0unassignedupup(s)

Vlanif1 192.168.1.185/24 upup

<Huawei>dis ip int br

Interface IP Address/Mask Physical Protocol

NULL0unassignedupup(s)

Vlanif1 192.168.1.77/24 upup

模拟一个DNS服务器（192.168.1.2）：

[AC6005-Vlanif1]dhcp server dns-list 192.168.1.2

[AC6005-Vlanif1]dhcp server domain-name //添加一个自定义的域名，默认会在前面加上huawei-wlan-controller的前缀。

在服务器上添加相应的域名和ip

在每次修改了之后需要在AP上执行重启获取的操作

[Huawei]int vlan 1

[Huawei-Vlanif1]dhcp client renew

[Huawei]dis dhcp client

DHCP client lease information on interface Vlanif1 :

Current machine state: Bound

Internet address assigned via : DHCP

Physical address : 00e0-fc10-41d0

IP address: 192.168.1.77

Subnet mask: 255.255.255.0

Gateway ip address: 192.168.1.1

DHCP server: 192.168.1.1

Lease obtained at : -10-04 07:11:45

Lease expires at : -10-05 07:11:45

Lease renews at : -10-04 19:11:45

Lease rebinds at : -10-05 04:11:45

Domain name:

DNS : 192.168.1.2

3、建立capwap隧道

最好的是dhcp里面直接给option43直接告诉AP AC的地址是多少。

[AC6005]int vlan 1

[AC6005-Vlanif1]dhcp server option 43 sub-option 2 ip-address 192.168.1.1 //sub-option代表子选项，2代表ip add

[AC6005]capwap source int vlan 1 //配隧道源地址

同样做完让AP重新获取[Huawei-Vlanif1]dhcp client renew

通过抓包可以看到一直都是AP向AC发起请求。AC并没有回应。而且每十次单播就发一次广播，AC此时还需要配认证方式。

[AC6005-wlan-view]ap auth-mode ?

mac-auth MAC authenticated mode, default authenticated mode

no-auth No authenticated mode

sn-auth SN authenticated mode

[AC6005-wlan-view]ap auth-mode no-auth //为更快建立隧道这里选择不认证

如果要想设置mac认证或者sn认证只需要添加相应mac或sn地址就好

ap-id 0 ap-mac 00e0-fc01-0da0 0

ap-id 1 ap-mac 00e0-fc10-41d0

这时候隧道就建立成功了，192.168.1.1回复response包且AP会出现隧道建立成功的字样

[Huawei-Vlanif1]

===== CAPWAP LINK IS UP!!! =====

在浏览器就能看到两台AP

配置组，把AP加入到相应组，并给AP重新改个名：

[AC6005]wlan

[AC6005-wlan-view]ap-group name MARRY //创建组MARRY

[AC6005-wlan-ap-group-MARRY]q

[AC6005-wlan-view]ap-id 0

[AC6005-wlan-ap-0]ap-group MARRY //把第一台AP加入到MARRY这个组

[AC6005-wlan-ap-0]ap-name AP-MARRY //修改AP的名字为AP-MARRY

[AC6005-wlan-view]ap-group name BOB

[AC6005-wlan-ap-group-BOB]Q

[AC6005-wlan-view]ap-id 1

[AC6005-wlan-ap-1]ap-group BOB //把第二台AP加入到BOB组

[AC6005-wlan-ap-1]ap-name AP-BOB

业务下发（MARRY组）：

SSID模板

[AC6005]wlan

[AC6005-wlan-view]ssid-profile name MARRY

[AC6005-wlan-ssid-prof-MARRY]ssid MARRY001

[AC6005-wlan-ssid-prof-MARRY]Q

安全模板

[AC6005-wlan-view]security-profile name MARRY

[AC6005-wlan-sec-prof-MARRY]security wpa-wpa2 psk pass-phrase aes

VAP模板（设置了业务vlan10，那么就要为业务vlan分配ip地址，且经过的设备接口要允许通过业务vlan10）

[AC6005-wlan-view]vap-profile name MARRY

[AC6005-wlan-vap-prof-MARRY]forward-mode direct-forward

[AC6005-wlan-vap-prof-MARRY]service-vlan vlan-id 10

[AC6005-wlan-vap-prof-MARRY]ssid-profile MARRY

[AC6005-wlan-vap-prof-MARRY]security-profile MARRY

[AC6005-wlan-vap-prof-MARRY]Q

[AC6005]vlan 10

[AC6005]int vlan 10

[AC6005-Vlanif10]ip add 192.168.10.1 24

[AC6005-Vlanif10]dhcp select int

组引用

[AC6005-wlan-view]ap-group name MARRY

[AC6005-wlan-ap-group-MARRY]vap-profile MARRY wlan 1 radio 0 //2.4G频段

[AC6005-wlan-ap-group-MARRY]vap-profile MARRY wlan 1 radio 1 //5G频段

同理BOB组一样

[AC6005]wlan

[AC6005-wlan-view]ssid-profile name BOB

[AC6005-wlan-ssid-prof-BOB]ssid BOB001

[AC6005-wlan-ssid-prof-BOB]q

[AC6005-wlan-view]security-profile name BOB

[AC6005-wlan-sec-prof-BOB]security wpa-wpa2 psk pass-phrase aes

[AC6005-wlan-sec-prof-BOB]q

[AC6005-wlan-view]vap-profile name BOB

[AC6005-wlan-vap-prof-BOB]forward-mode tunnel

[AC6005-wlan-vap-prof-BOB]service-vlan vlan-id 20

[AC6005-wlan-vap-prof-BOB]ssid-profile BOB

[AC6005-wlan-vap-prof-BOB]security-profile BOB

[AC6005-wlan-vap-prof-BOB]q

[AC6005-wlan-view]ap-group name BOB

[AC6005-wlan-ap-group-BOB]vap-profile BOB wlan 1 radio 0

[AC6005-wlan-ap-group-BOB]vap-profile BOB wlan 1 radio 1

[AC6005]vlan 20

[AC6005-vlan20]int vlan 20

[AC6005-Vlanif20]ip add 192.168.20.1 24

[AC6005-Vlanif20]dhcp select int