如何构建规模化的WLAN网络？

任务描述

某企业是一家从事电子产品开发设计和销售的中型企业,公司总部设立在成都,有员工200多人,分公司设在重庆,有员工50多人。近几年来,公司业务不断发展壮大,对信息化的需求越来越高,因此需要对企业原有的网络进行升级改造,并且随着无线接入需求的增加,需要在企业原有的有线网络基础上,增加企业总部和分公司全覆盖的无线网络。

任务分析

企业原有有线网络通过“MSTP+VRRP”技术实现链路的冗余性与网关的热备份功能,且核心交换机之间采用链路聚合,提高链路带宽;使用IPSEC VPN技术实现总部与分公司之间的互访,通过加密验证等机制保证数据的安全性;通过L2TP over IPSEC技术实现出差员工能拨入到内部网络,访问特定的资源。

企业需要增加无线网络的覆盖范围。公司总部由于员工较多,部门较多,对无线网络的速率和可靠性等都有较高的要求,需要较多的AP才能满足无线接入的需求,为了便于日后维护管理无线网络,总部采用“无线控制器+FIT AP”的统一集中管理方式;分公司员工数量和部门都较少,采用FAT AP工作方式。图3-72为该企业的网络拓扑结构。

图3-72 某企业网络的拓扑结构

任务目标

一、知识目标

(1)掌握中大型企业/园区无线网络的架构。

(2)掌握FAT AP组网模式。

(3)掌握“FIT AP+AC”组网模式。

(4)掌握WLAN漫游概念。

(5)了解CAPWAP(无线接入点控制和配置协议)的工作机制。

二、能力目标

(1)能够完成用FAT AP组建无线局域网。

(2)能够完成用“FIT AP+AC”组建无线局域网。

(3)能够实现简单的WLAN漫游。

专业知识链接

一、WLAN应用场景

随着智能手机、笔记本计算机等无线终端的普及,用户越来越习惯使用WLAN。对用户终端类型及发展趋势进行分析,可总结出WLAN的主要应用场景。

1.高校、企业

高校、企业具有人员相对固定、对带宽要求高、网络并发率高等特点,在网络覆盖上需结合高校、企业内部的不同场所(如高校中的宿舍、教室、图书馆、体育馆、食堂等,企业中的不同部门等),给出针对性的网络覆盖方案。

2.咖啡厅、商业楼宇、机场、酒店等室内场景

在咖啡厅、商业楼宇、机场、酒店等室内场景中,用户人群具有一定的流动性,上网需求比较旺盛。在这类场景的部署中,优先考虑结合现有的2G/3G/4G室内分布系统来进行WLAN的快速部署;在没有2G/3G/4G室内分布系统的场合,可直接部署室内放装型AP设备,实现WLAN信号的覆盖。

3.小区、室外街道、市民广场、农村等场景

随着WLAN室外覆盖以及室外宏覆盖等技术的成熟,在解决部分有线资源难以到达的小区宽带、农村宽带时,WLAN可发挥很好的作用;在一些站点难以选择的室外街道、市民广场、公园等场景,WLAN室外宏覆盖技术可很好地解决无线宽带接入问题。

二、WLAN的覆盖方式

根据WLAN目标覆盖区域的特点、WLAN的性能以及已有网络的资源,WLAN主要有以下几种覆盖方式。

(1)室内AP独立放装

室内AP独立放装方式适用于用户密度高、持续流量大、容量需求高的覆盖区域。AP可独立安装到天花板、墙壁等处,部署灵活,网络容量大,但是安装工程量较大,后期维护相对复杂。

(2)室外AP+定向天线布放

室外AP+定向天线布放方式适合于用户较为分散、无线环境较简单的覆盖区域。室外AP通过定向天线来满足特定区域的覆盖要求,容量较小。室外AP应安装在遮挡尽量少,对目标区域良好覆盖的位置。

(3)室内分布系统合路

利用建筑物内原有的分布系统,合路WLAN信号。此种方式无线信号覆盖范围面积较大,信号分布均匀,但是实现大容量覆盖的难度较大。可将分布系统与AP独立放装方式相结合,分布系统主要用于解决目标区域的覆盖问题,而独立AP主要用于解决网络容量问题。

三、企业WLAN组网结构

1.FAT AP组网结构

FAT AP组网结构是传统的WLAN组网方案,在该组网方案中FAT AP承担了大部分复杂的功能,如用户认证、漫游切换、用户数据加密、QoS、网络管理等。通常FAT AP产品的管理平面、控制平面和数据平面都集中在同一个系统中,因此这种架构非常适合简单小型无线网络的部署,缺点就是当网络规模增大的时候,较难实现集中管理。图3-73为FAT AP典型的组网结构。

图3-73 FAT AP典型的组网结构

2.“FIT AP+AC”组网结构

“FIT AP+AC”组网结构是对传统FAT AP组网结构的优化,其新增AC(作为中央控制管理设备),剥离FAT AP承载的用户认证、漫游切换、动态密钥等复杂功能,将其转移到AC上,FIT AP与AC之间通过隧道方式通信,可以跨越L2、L3网络甚至广域网进行连接,大大提高了整网的工作效率。图3-74为“FIT AP+AC”的典型组网结构。

图3-74 “FIT AP+AC”的典型组网结构

四、WLAN的主要设备

构成企业WLAN的主要设备不仅包括FAT AP、FIT AP、AC、天线、馈线、POE交换机、PORTAL服务器、RADIUS服务器等,还包括合路器、功分器、耦合器等室分设备。我们这里主要针对AP和AC设备进行介绍。

1.AP设备

AP是移动终端进入有线网络的接入点,主要用于家体网络、企业内部网络的部署,无线覆盖距离为几十米到上百米。AP在逻辑上就是一个无线单元的中心点,该无线单元内的所有无线信号都要通过它才能进行交换。AP设备从功能上可以划分为FAT AP和FIT AP。

(1)FAT AP

FAT AP主要完成WLAN的物理层功能,完成用户数据认证、加密、漫游、网络管理等功能。在由FAT AP组成的无线网络中,FAT AP都分散在各自的覆盖区域里面,分别给各自有效的覆盖区域提供射频信号、用户安全管理策略和接入访问策略,每一个FAT AP都是一个独立的工作体,互不相干。

FAT AP自身特点使得FAT AP主要应用于家庭网络、SOHO网络和小型网络,无法满足中大型企业的无线网络的需求,当需要组建中大型无线网络或需要更多的增值服务时,需要采用“FIT AP+AC”的网络结构。

(2)FIT AP

FIT AP只完成物理层功能,其他管理性功能均由AC来完成。每个FIT AP只单独负责射频和通信的工作,它就是一个简单的、基于硬件的射频底层传感设备。无线网络中的所有FIT AP接收射频信号,经过802.11编码之后随即通过不同厂商制定的加密隧道协议(如CAPWAP协议等)穿过以太网络并传送到AC,进而由AC集中对编码流进行加密、验证、安全控制等更高层次的工作。

2.AC设备

AC设备主要应用于集中式架构网络。AC主要完成无线终端用户的接入控制、无线射频资源控制、无线业务控制、AP设备控制以及无线用户计费信息采集工作。通过AC可以统一对AP进行查看、配置、修改、升级等操作,这不仅便于整个网络的管理和维护,而且可以提高无线网络的安全性和可靠性。

五、FIT AP接入控制

1.FIT AP启动顺序

FIT AP可以直接与AC连接,也可以通过二层网络与AC连接,还可以通过三层网络与AC连接。图3-75为FIT AP与AC的连接图(AC旁挂模式)。

图3-75 FIT AP与AC连接图(AC旁挂模式)

FIT AP的启动过程如下。

(1)AP的地址通常是动态获取的,AP上电后的第一件事情便是通过DHCP服务器获取IP地址和AC的地址。

(2)AP启动CAPWAP的发现机制,以广播形式发送发现请求报文,试图关联AC。

(3)接收到发现请求报文的AC会检查AP的权限,如果有权限(即AP通过AC的接入控制),则回应发现响应,否则拒绝。

(4)AP从AC下载最新的软件版本。

(5)AP从AC下载最新配置。

(6)AP正常工作,与AC交换用户数据报文。

2.FIT AP上线AC

FIT AP上电后发现AC,如果通过AC的接入认证,则上线AC。FIT AP发现AC分为静态发现和动态发现两种方式。FIT AP接入控制分为不认证、MAC地址认证和SN序列号认证。

(1)AP静态发现AC

AP静态发现AC是直接在AP上预配置AC的IP地址,AP会向所有配置的AC单播发送发现请求报文,然后根据AC的回复,选择优先级高的一个AC建立CAPWAP隧道。在实际应用中不建议采用这种方式。

(2)AP动态发现AC

AP动态发现AC是通过DHCP OPTION43或者DNS方式获取AC的IP地址。图3-76给出了AP动态发现AC的过程。

图3-76 AP动态发现AC的过程

第一步:AP通过广播DISCOVERY报文去发现DHCP服务器,如果不能发现,则通过DHCP RELAY去发现,直到AP获取IP地址(设备IP)。同时,AP会获取AC的IP地址或者获取AC的域名和DNS的IP地址。

第二步:AP启动CAPWAP协议的发现机制,以广播或单播形式发送发现请求报文,试图关联AC。

第三步:如果第一步中返回的是AC的IP地址(即DHCP OPTION43字段),则AP会向AC单播发送发现请求报文,接收到发现请求报文的AC会检查该AP是否有接入本机的权限,如果有,则回应发现响应,完成AP到AC的上线。

第四步:如果第一步中返回的是AC的域名和DNS服务器的IP地址(即DHCP OPTION15字段),则AP会多次广播发送发现请求报文,若均无回应,AP便会与DNS服务器连接,通过AC域名到DNS服务器那里获取AC的IP地址,最后再通过AC的IP地址完成上线过程。

(3)AP接入控制

AP接入控制指的是在AP上电后,AC经过一系列判断来决定是否允许该AP上线,即验证AP身份的合法性。

AC判断AP身份的合法性的过程如下。

第一步:查看AP是否被列入黑名单,如果在黑名单中能匹配上AP,则不允许AP接入;如果AP不在黑名单,则进入第二步。

第二步:判断AP的认证模式,如果认证方式为不认证,则允许接入;如果是MAC或SN认证,则进入第三步。

第三步:需要验证MAC或SN对应的AP是否已离线添加,如果已添加,则允许AP接入;如果没有离线添加,则进入第四步。

第四步:查看AP的MAC或SN是否能在白名单中匹配上,如果匹配上,则允许接入,否则AP被放入到未认证列表中,此时进入第五步。

第五步:可以通过手工确认未认证列表中的MAC或SN,如果可以,则允许相应的AP接入,否则,AP无法接入。

【工作小任务1】采用华为仿真器eNSP模拟AP上线AC的过程,其中AP与AC之间采用二层组网方式。

具体数据规划:AP与AC为二层组网模式,VLAN1作为AC的管理VLAN和AP的设备VLAN,网络地址为192.168.1.0/24,网关设置在AC上为192.168.100.1,DHCP服务器也设置在AC上,AP接入控制为不认证方式。具体的组网拓扑如图3-77所示。

图3-77 AP二层上线AC组网拓扑

第一步:配置AC(AP零配置)。

第二步:检测AP是否分配到了IP地址。

可以看出,used选项为2,表示已经为两个AP分配了IP地址。

第三步:查看AP的MAC地址。

因为AC6005默认的是使用MAC地址对AP上线认证,所以此时还看不到AP。

第四步:查看AP的MAC地址和AC连接AP的接口。

第五步:查看没有通过认证的AP列表。

第六步:通过命令手工确认AP上线。

可以看出,通过手工确认AP,已有2台AP成功上线。

第七步:检测已经上线的AP。

第八步:手工重启一个AP(如id 0),观察其状态。

此时观察AP的状态,发现其状态由“normal”变为“fault”。

第九步:通过Wireshark协议抓包查看AP的上线过程,如图3-78所示。

图3-78 Wireshark抓包分析AP上线过程

在AP重启之后,需要重新获取IP地址,再通过CAPWAP协议上线AC。

六、WLAN用户接入

WLAN的主要目的就是为无线用户提供网络接入服务,实现用户访问网络资源的需求。

1.WLAN用户接入过程

如果网络服务没有使用任何接入认证,则客户端可以直接接入网络服务中;如果网络服务指定了接入认证方式,则WLAN服务端会触发对用户的接入认证,只有接入认证成功后,WLAN客户端才可以访问网络。图3-79是客户端接入WLAN服务的协商过程。

图3-79 WLAN用户接入网络的过程

(1)无线链路建立过程

经过扫描、链路认证、关联过程,WLAN客户端和WLAN服务端成功建立了802.11链路,即STA身份验证成功。如果没有使用接入认证的服务,客户端已经可以访问WLAN网络;如果WLAN服务使用了接入认证服务,则WLAN服务端会发起对客户端的接入认证。

(2)用户接入认证过程

用户接入认证主要是对接入用户身份进行认证,为网络服务提供安全保护。

接入认证主要有802.1X认证、PSK认证、PORTAL认证、MAC认证等方式。其中,802.1X认证、MAC认证、PORTAL认证可以对有线用户和WLAN无线用户进行身份认证,而PSK认证只是对WLAN无线用户提供认证。

(3)密钥协商过程

密钥协商为数据安全提供有力保障,协商的密钥将作为802.11数据传输过程中的加密/解密密钥。在WLAN服务应用中,对于WPA用户或者WPA2(RSN)用户需要进行EAPOL-Key密钥协商。

(4)数据加密过程

无线用户身份确定无误并赋予访问权限后,网络必须保护用户所传送的数据不被窥视。数据的私密性通常是靠加密协议来达成的,只允许拥有密钥并经过授权的用户访问数据,以确保数据在传输过程中未遭篡改。

2.无线网络加密技术

无线网络需要保护无线链路的私密性,所以需要通过一系列加密协议,只允许拥有密钥的授权用户访问网络。无线网络中常采用的加密技术有WEP、TKIP和CCMP,表3-4对比了它们之间的不同。

表3-4 几种加密方式的对比

(1)WEP加密

WEP是802.11最早的安全标准,称为有线等效私密性。WEP安全措施主要包括两个阶段:一是认证阶段,二是加密阶段。

在WEP安全标准中,数据加密算法采用RC4算法,加密密钥长度有64位和128位两种,其中有24 bit的IV是由系统产生的,所以在WLAN服务端和WLAN客户端上配置的密钥就需要40位或104位。

(2)TKIP加密

TKIP称为临时密钥完整性协议,实际上是增强了的WEP,仍然采用RC4核心算法,TKIP相对于WEP增加了EIV(扩展IV)和MIC,作用是防止重放攻击、信息篡改。

(3)CCMP加密

IEEE 802.11i安全标准规定高级加密标准(AES)使用128 bit的密钥和128 bit的数据块,以AES为基础的链路层安全协议称为CCMP(计数器模式及密码块链消息认证码协议)。

3.用户身份认证技术

用户身份认证需要对用户身份进行确定,在确认用户身份之前只允许有限的网络访问。用户身份认证策略主要包括WPA/WPA2-PSK认证、802.1X认证、PORTAL认证、MAC认证等。

(1)WPA-PSK认证

WPA-PSK认证是一种通过预共享密钥进行认证的方式,我们称其为WPA个人版。WPA-PSK认证不需要架设昂贵的专用认证服务器,仅要求在每个WLAN节点(AP、AC、网卡等)预先输入一个预共享密钥即可。只要密钥吻合,客户就可以获得WLAN的访问权,但是这个密钥仅仅用于认证过程,而不用于加密过程。WPA-PSK认证在家庭局域网和小型SOHO网络中广泛使用。

(2)802.1X认证

802.1X是基于端口的网络接入控制协议,提供了一个认证过程框架,支持多种认证协议。802.1X在局域网接入控制设备的端口上对所接入的设备进行认证和控制,连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源,相当于物理连接被断开。

我们通常称802.1X认证方式为WPA企业版,即WPA-802.1X认证,用户提供认证所需的凭证(如用户名和密码),通过特定的用户认证服务器(一般是RADIUS服务器)来实现。

802.1X认证在企业网中使用较多,在运营商网络中较少使用。

(3)PORTAL认证

PORTAL认证即WEB认证。用户可主动访问位于PORTAL服务器上的认证页面(主动认证)或通过HTTP访问其他外网被WLAN服务端强制重定向到WEB认证页面(强制认证),在用户输入用户账号信息,提交WEB页面后,PORTAL服务器获取用户账号信息。PORTAL服务器通过PORTAL协议与WLAN服务端交互,将用户账号信息发送给WLAN服务端,服务端与认证服务器交互完成用户认证过程。

PORTAL认证通常由客户端、接入服务器(NAS)、PORTAL服务器、AAA服务器组成。PORTAL认证在WLAN运营网和企业网中大量使用。

(4)MAC认证

MAC认证可以采用本地MAC认证和远程MAC认证。

本地MAC认证是在本地设备上预先配置允许访问的MAC地址列表,如果客户端的MAC地址不在允许访问的MAC地址列表,将被拒绝其接入请求。

远程MAC认证是使用RADIUS服务器对客户端进行认证。当服务端获取客户端的MAC地址后,会主动向RADIUS服务器发起认证请求。RADIUS服务器完成对该客户端的认证,并通知服务端认证结果以及相应的授权信息。

MAC认证过程不需要客户端参与,不需要安装客户端软件,也不需要输入用户名和密码,常应用于安全要求不高的场合。

【工作小任务2】采用华为仿真器eNSP模拟用户接入认证无线网络的过程,其中AP与AC之间采用二层组网方式,认证方式采用“OPEN+WEP”或WPA-PSK方式,具体拓扑结构如图3-80所示。

图3-80 用户接入认证的拓扑结构图

第一步:数据规划。

AC与AR之间采用动态路由协议;AC作为DHCP服务器;SSID为vlan101的业务集,采用WEP认证,共有40位密钥,密码为12345;SSID为vlan102的业务集,采用WPA-PSK认证,预共享密钥为12345678;SSID为guest103的业务集,采用开放认证,供访客使用。

第二步:AR1配置。

AR1模拟AC的上层网络,并通过loopback100模拟外网。

第三步:AC配置。

AC与AP之间直接二层连接,业务转发方式为本地转发。业务VLAN分别为VLAN 101、VLAN 102和VLAN103,管理VLAN为VLAN100。

①全局配置

②接口配置

③路由配置

④无线配置

·首先配置wlan-ess接口,这些接口是用来关联每一个服务集的,下发的时候将告诉下面的AP要打上什么样的VLAN标签。

·然后进入到WLAN配置模式,进行无线参数的配置。

第四步:Client1连接到SSID为vlan101网络,输入WEP密码,然后查看获取的IP地址,如图3-81和图3-82所示。

图3-81 输入WEP密码

图3-82 查看获取的IP地址

第五步:Client2连接到SSID为vlan102网络,增加一部Phone连接到vlan103网络。

第六步:在AC上查询接入的用户。

第七步:测试Client1和Client2相互PING通,如图3-83所示。测试Phone PING内网不通,PING外网100.100.100.100通,如图3-84所示。

图3-83 Client1与Client2互通测试

图3-84 Phone与内网/外网互通测试

七、WLAN漫游

无线客户端在移动的过程中若要保持业务不中断,则需要漫游技术的支持。同一个ESS内包含多个AP设备,当无线客户端从一个AP覆盖区域移动到另一个AP覆盖区域时,可以实现无线客户端业务的平滑切换,这就是漫游。

漫游是无线终端主动发起的,当终端检测到所在WLAN中有一个信号更强的AP时,将主动与新的AP建立连接。

1.漫游的条件

(1)信号覆盖要连续,即AP1和AP2之间的信号覆盖需要有交叉。

(2)SSID需要一致,密码也需要一致。

2.漫游的方式

(1)同一AC内的二层漫游

终端在同一个AC下面的不同AP之间进行漫游,且漫游前后的AP所属的用户VLAN不变,且IP地址在同一个网段,如图3-85(a)所示。

(2)同一AC内的三层漫游

终端在同一个AC下面的不同AP之间进行漫游,且漫游前后的AP所属的用户VLAN发生变化,且IP地址不在同一个网段,如图3-85(b)所示。

(www.xing528.com)

图3-85 同一AC下的漫游

(3)AC间漫游

终端在不同的AC之间进行漫游,有二层漫游和三层漫游之分,如图3-86所示。

图3-86 AC间漫游

HAP(Home AP):终端首次关联的漫游组内的某个AP。

HAC(Home AC):终端首次关联的漫游组内的某个AC。

FAP(Foreign AP):终端漫游后关联的AP。

FAC(Foreign AC):终端漫游后关联的AC。

漫游组:在WLAN中,可以对不同的AC进行分组,STA可以在同一个组的AC间进行漫游,这个组就称为漫游组。

AC间隧道:为了支持AC间漫游,漫游组内的所有AC需要同步每个AC管理的STA和AP设备的信息,因此在AC间需要建立一条隧道作为数据同步和报文转发的通道。

Master Controller:STA在同一个漫游组内的AC间进行漫游,需要漫游组内的AC能够识别组内其他AC,通过选定一个AC作为Master Controller(它将在该AC上维护漫游组成员表,并下发到漫游组的各AC),可使漫游组内的各AC间相互识别并建立AC隧道。

①二层漫游过程

漫游前STA将数据发送给HAP,HAP通过CAPWAP隧道把报文发送给HAC,HAC收到数据后直接把业务报文送给上层网络。

漫游后STA将数据发送给FAP,FAP通过CAPWAP隧道把报文发送给FAC,FAC与HAC之间通过AC隧道交换移动性信息,将HAC上的客户端数据库条目转移到FAC上,FAC把业务报文送给上层网络处理。

二层漫游是在同一子网上的多台AC上发生的,用户在漫游过程中处于同一VLAN下,IP地址不会改变。

②三层漫游

漫游前STA将数据发送给HAP,HAP通过CAPWAP隧道把报文发送给HAC,HAC收到以后把报文送给上层设备,由上层设备处理转发。

漫游后STA将数据发送给FAP,FAP通过CAPWAP隧道将报文发送给FAC,FAC通过AC间隧道把报文发送给HAC,HAC把报文送往上层设备,由上层设备处理转发。

三层漫游不同于二层漫游的是,三层漫游是在不同子网上的多台AC上发生的,用户在漫游过程中处于不同的VLAN下,IP地址不会改变。

任务实施

一、任务实施流程

对该企业的网络总需求进行分析,然后分别对总部和分部进行企业无线网络的建设。任务实施流程如图3-87所示。

图3-87 企业无线网络建设的实施流程

二、总需求分析

(1)合理划分IP子网,保证网络的可扩展性、可汇总性和可控制性。

(2)保证网络的冗余性,包括链路冗余和设备冗余。

(3)保证网络的安全性,保护重要的企业重要部门(如财务部等)只能被特定人员访问。

(4)增加企业的无线功能,要求实现验证功能,对于来宾访客可以不进行认证,但不能访问企业内部网络,只能访问企业提供的网页服务和Internet连接。

(5)总部与分部之间、分部与财务部之间需要互访,必须保证安全性。

(6)出差员工可以通过远程访问技术接入企业内部,实现访问特定资源。

(7)设备实现管理,由单独的管理主机访问。

三、解决思路

(1)使用子网划分对每一个部门进行规划,保证每一个部门为单独一个24位子网段,从而保证网络的连续性和汇总性。

(2)利用“MSTP+VRRP”实现链路的冗余性和网关的热备份,核心交换机之间的链路启用链路聚合功能。

(3)采用ACL(访问控制列表)和端口隔离技术实现网络的安全性。

(4)使用“AC+FIT AP”二层旁挂组建总部无线网络,而采用FAT AP组建分部无线网络。

(5)使用IPSEC技术实现总部与分部之间的互访,通过加密认证机制保证数据的安全性。

(6)出差员工可以通过L2TP over IPSEC技术远程拨入内网,实现特定资源的访问。

(7)开启TELNET或SSH功能,实现特定主机的远程管理。

四、企业分部无线网络实施

(一)企业分部无线网络需求分析

企业分部因为部门和员工不多,故直接采用FAT AP的组网结构。

(二)设备选型

(1)出口路由器采用华三RT-MSR2600-10设备。

(2)三层交换机采用华三S3600V2-28TP-PWR-EI设备。

(3)二层交换机采用华三S3110-10TP-PWR POE设备。

(4)无线接入设备采用数台华三WA2620i系列无线接入产品。它们作为FAT AP接入企业分部的有线网络,为无线客户端提供无线接入服务。

(三)组网结构确定

该企业分部网络结构简化为图3-88所示。

图3-88 企业分部网络简化结构

(四)组网实施

1.数据规划

企业分部IP地址规划如表3-5所示。

表3-5 企业分部IP地址规划

注:为了方便管理,所有设备的管理地址都为固定IP。

2.WA2620i无线接入设备认识

(1)WA2620i特点

WA2620i是高性能双频千兆无线局域网接入点设备,支持FAT AP和FIT AP两种工作模式。它外形小巧美观,安装方式灵活,适用于壁挂、桌面、吸顶三种安装方式,提供天线外置接口,可以外接802.11n专用天线。它内置4dBi的智能天线,支持2.4 GHz和5.8 GHz频段,支持POE供电,最大发射功率可达23 dBm。

(2)WA2620i接口

WA2620i的接口如图3-89所示。图中为2.4 GHz天馈线连接口;为5 GHz天馈线连接口;为复位按钮孔,可以恢复出厂初始设置;为上行以太网接口;为配置Console接口;为本地48 V电源接口。WA2620i除了提供上述这些物理接口之外,还提供两种二层虚拟接口;一种负责AP管理VLAN1;另一种负责辅助射频工作WLAN-BSS。

图3-89 WA2620i的接口

(3)WA2620i指示灯

WA2620i只有一个指示灯,指示灯通过颜色和闪烁快慢来表示设备的不同状态,如表3-6所示。

表3-6 WA2620i指示灯状态

3.WA2620i室内安装

(1)壁挂式安装步骤

①将安装套件的内圈定位突起对准AP背面的定位孔,拧紧M4X10盘头螺钉,把安装套件内圈固定到AP,如图3-90所示。

图3-90 固定安装套件内圈到AP

②将安装套件的中圈和外圈贴在墙面,画出需要安装螺钉的孔位置标记。

③在标记处用冲击钻打三个直径为5.0 mm的孔,所钻的孔与安装套件上的安装孔成对应关系。

④在墙面上钻好的孔中插入膨胀螺管,用橡胶锤敲打膨胀螺管的一端,直到将膨胀螺管全部敲入墙面。

⑤把安装套件的中圈和外圈的安装孔对准膨胀螺管孔,并将螺钉从相应的安装孔穿过,调整安装套件的位置,将螺钉拧紧。

⑥将AP呈45°对准安装套件,然后顺时针旋转至竖直位置,当听到“啪”的一声时,说明AP已经卡紧,安装完后仔细检查AP设备是否被卡紧,以免没有卡紧造成设备跌落,如图3-91所示。

图3-91 安装AP到墙面

(2)吸顶式安装

吸顶式安装步骤类似于壁挂式安装,此处不再累述。吸顶式安装AP需要注意如下事项。

①吸顶式安装方式要求天花板的厚度必须小于18 mm,且要求天花板至少可以承受5 kg的重量。

②如果是石膏天花板等本身强度较弱的材料,不建议使用此安装方法;如果由于环境限制必须采用此种安装方式时,请在螺母下增加一层强度较好的板材,以确保设备安装牢固。

(3)室内安装AP注意事项

①当AP安装在弱电井内时,应做好防尘、防水和防盗等安全措施,并保持良好通风。

②当AP安装在大楼墙面时,必须做好防盗措施。

③当AP安装在天花板上时,必须用固定架固定住,不允许悬空放置或直接扔在天花板上面。

④AP的安装位置必须有足够的空间,以便于设备散热、调试和维护。

⑤AP的安装四周应尽量远离变压器、蓝牙设备和其他邻近无线频段的干扰源。

4.设备配置

本书只演示与无线相关的配置,其他配置略。根据IP地址和VLAN规划进行配置。

(1)R1配置

(2)L3SW配置

(3)L2SW-1配置

(4)FAT AP配置

(5)检测结果

①无线内部客户端可以成功关联AP,上线后可以获取172.16.2.0网段的IP地址。

②无线外部访客也可以成功关联AP,上线后可以获取172.16.5.0网段的IP地址。

③使用“display wlan client verbose”命令查看上线的无线客户端。在该命令的显示信息中会显示无线客户端的信息。

五、企业总部无线网络实施

(一)企业总部无线网络需求分析

公司总部涉及的工作部门较多,各部门员工数也较多,且对无线网络的速率、稳定性、可靠性以及无线漫游等都有较高的要求,所以需要较多的AP才能满足无线接入的需求。为了便于日后无线网络的管理和维护,总部采用“AC+FIT AP”的统一集中管理方式。

(二)设备选型

(1)防火墙采用华三设备NS-SecPath F100-S-G设备。

(2)三层交换机采用华三S3600V2-28TP-PWR-EI设备。

(3)二层交换机采用华三S3110-10TP-PWR POE设备。

(4)无线控制器采用华三WA3010E-POEP设备。

(5)无线接入设备采用数台华三WA4620i-ACN系列无线产品,它们作为FIT AP接入到企业总部的有线网络,为无线客户端提供无线接入服务。

(三)组网结构确定

为了网络的安全可靠性,该企业网络在核心层交换机之间配置了链路聚合、VRRP和MSTP等,这里暂不涉及这些网络配置,故将该企业总部网络结构简化,简化结构如图3-92所示。

图3-92 企业总部网络简化结构

(四)组网实施

1.数据规划

AC采取二层旁挂组网、数据直接转发方式;核心交换机、防火墙采用OSPF路由。

设备管理为VLAN 1,FIT AP自动获取设备管理地址;部门1有线用户为VLAN 2;内部无线用户为VLAN 3,采取加密认证接入;外部无线用户为VLAN 4,采取开放认证接入;DHCP服务器处于服务群集群中,IP地址为192.168.88.251/24。该企业总部详细的IP地址及VLAN规划如表3-7所示。

表3-7 企业总部详细的IP地址与VLAN规划

注:为了便于管理,除了FIT AP的设备IP会自动分配,其他设备的IP都是固定的。

2.WA3010E无线控制器设备认识

(1)WA3010E的特点

无线控制器是一个无线网络的核心,用来集中化控制无线接入设备。WA3010E的无线控制引擎和交换引擎属于软件开放应用架构(OAA),交换引擎作为OAP软件模块集成在无线控制引擎上。在设备配置时需要分别针对交换配置文件和无线配置文件进行配置。登录设备时默认进入的是无线控制引擎,使用命令“oap connect slot 0”或者“telnet 192.168.0.101”切换到交换引擎,使用“Ctrl+K”退出交换引擎,返回至无线引擎。

(2)WA3010E的接口

WA3010E交换引擎的10个接口都安装在前面板上,具有POE供电功能,图3-93中的～为以太网电接口;和为Combo光电混合接口,默认为光口;Console接口为配置接口。交换引擎的GE1/0/11和GE1/0/12接口聚合成的逻辑接口BAGG1,与无线控制引擎的GE1/0/1和GE1/0/2聚合成的逻辑接口BAGG1进行数据交互、状态交互以及控制交互,在实际配置过程中,内部接口建议配置为Trunk接口并允许所有的VLAN通过。

图3-93 WA3010E接口

3.WA4620i无线接入设备认识

(1)WA4620i的特点

WA4620i为室内放装型无线接入设备,遵从802.11ac协议,可以作为FIT AP,也可以作为FAT AP,可根据网络规划需要灵活切换。它能提供3个空间流(MIMO技术3×3),整机最高传输速率可达1.75 Gbit/s,用户实际速率可达近千兆,这是相同环境下802.11n产品速率的5倍。WA4620i安装灵活,适用于壁挂、吸顶等多种安装方式。它内置终端感知型硬件智能天线阵列,最高增益可达7 dBi,支持2.4 GHz和5 GHz频段,最大发射功率为25 d Bm。

(2)WA4620i的接口

在图3-94中,为WA4620i的Console配置接口;和为上行以太接口。WA4620i上行链路采用双千兆以太网接口,突破了传统单以太网接口的限制,使有线接口不再成为无线接入的速率瓶颈,而且有双千兆以太网口的支持,还可以实现AP POE供电和上行链路传输的备份,有效降低规模部署中有线侧故障对无线网络运行带来的风险。

图3-94 WA4620i的接口

(3)WA4620i指示灯

WA4620i指示灯颜色及闪烁快慢代表设备的不同工作状态,WA4620i指示灯的含义和WA2620i类似,此处不再累述。

4.WA4620i室内安装

WA4620i室内安装方式可壁挂,也可吸顶,安装步骤类同于WA2620i,此处不再累述。

5.设备配置

服务器集群中的DHCP服务器不在这里配置。

(1)L3SW-1核心交换机配置

(2)SW1配置

(3)AC配置

①进入无线引擎配置。

②切换到交换引擎配置。

在用户视图下使用命令“oap connect slot”0切换到交换引擎。

(4)检测结果

①在核心交换机L3SW-1上通过“dhcp relay address-check enable”命令使能DHCP中继的地址匹配检查功能,然后通过“display dhcp relay security”命令显示通过DHCP中继获取IP地址的客户端信息。

②在AC上通过命令“display wlan ap all”查看AP是否上线成功,如图3-95所示。

图3-95 在AC上查看AP是否上线

③无线客户端成功关联AP后,可以使用“display wlan client verbose”命令查看上线的无线客户端,也可以使用“display port-security preshared-key user”命令查看上线的PSK无线客户端。

④在AC上通过“display wlan client-rate-limit service-template”命令可以查看用户限速的配置情况。

任务成果

(1)完成中小型企业网络组建方案并实施,完成实施过程记录。

(2)完成FAT AP无线网络组建方案并实施,完成实施过程记录。

(3)完成“FIT AP+AC”无线网络组建方案并实施,完成实施过程记录。

(4)完成企业无线网络组建任务工单2份。

任务思考与习题

一、不定项选择题

1.某AP的发射功率为500 mW,则换算成相应的功率是(　)。

A.20 d Bm　B.27 dBm　C.30 d Bm　D.10 d Bm

2.下列哪个是WLAN最常用的上网认证方式(　)。

A.WEP认证　B.SIM认证　C.宽带拨号认证　D.PPPoE认证

3.AC在网络中可进行的组网模型有(　)。

A.串接　B.旁挂　C.二层组网　D.三层组网

4.以下哪些项属于AC的功能(　)?

A.接入控制　B.用户限速

C.终端IP地址分配　D.发射无线射频信号

5.属于无线AP的安全措施的是(　)。

A.隐藏SSID　B.启用WEP

C.启用DHCP服务　D.启用MAC地址过滤

6.WLAN业务的两种常见数据转发组网方式为(　)。

A.数据AC集中转发　B.数据AC本地转发

C.数据AP集中转发　D.数据AP本地转发

7.关于转发模式下列说法哪个是正确的(　)。

A.本地转发比集中转发通过AC的业务数据多

B.本地转发比集中转发通过AC的业务数据少

C.两种配置通过AC的业务数据一样多

D.本地转发时业务数据不通过AC

8.热点AP在使用POE供电时,建议采用(　)。

A.3类线　B.5类线　C.6类线　D.7类线

9.WLAN中有哪些覆盖方式(　)?

A.室内分布　B.室外分布　C.室内放装　D.室外叠放

10.按照802.1X协议,无线局域网包括哪些基本组件(　)?

A.STA　B.AP　C.AC　D.端口

11.WLAN业务目前支持的四种数据加密服务是(　)。

A.WEP加密　B.TKIP加密　C.WPA加密　D.CCMP加密

二、简答题

1.对于高密度人群场所,WLAN覆盖需要注意些什么?采取什么样的措施能提高WLAN的质量?

2.WLAN的安全存在不少问题,对于AP模式,入侵者只要接入非授权的假冒AP,也可以进行登录,欺骗网络该AP为合法,如何解决这种安全隐患?

3.AC与FIT AP之间主要的连接方式有哪些?

4.现有个无线客户端需要接入到SSID为test的网络,网络接入采用WPA2加密方式,密码为123456789。现采用FIT AP直接连接AC的组网结构,你如何配置AC,实现无线用户的正常接入?