目录一、WLAN是什么二、无线控制器自动注册AP三、无线控制器二层注册四、无线控制器三层注册五、无线控制器本地MAC认证配置一、WLAN是什么定义WLAN就是无线局域网它是计算机网络与无线通信技术相结合的产物它利用射频RF技术取代旧式的双绞线构成局域网络提供传统有线局域网的所有功能。是一种利用电磁波传递信息实现在中短距离范围内通信的技术主要无线技术IrDA红外线、BlueTooth蓝牙、5G、802.11a/b/g/n、ZigBee无线技术的优点1、无线让网络使用更自由不受限于线缆和端口位置2、无线让网络建设更经济通信更便利有效降低布线成本3、无线让工作更高效不受限于时间和地点WLAN技术标准标准频段定位802.11b2.4G初代低速 WiFi802.11a5G早期 5G WiFi802.11g2.4G兼容 b54M 主流老 WiFi802.11n(WiFi4)2.4G/5G双频MIMO802.11ac(WiFi5)5G纯 5G 高速802.11ax(WiFi6)2.4G/5G新一代 WiFiWLAN基本要素SSIDService Set ID 服务集识别码无线网络的名称用户通过 SSID 来识别并选择要连接的无线网络。STAStation任何的无线终端设备如手机、笔记本电脑APAccess Point一种特殊的STA无线网络的接入设备负责提供无线信号覆盖让 STA 可以接入网络。AC(Access Controller)无线控制器用于集中管理多个 AP实现配置下发、用户认证、漫游管理等功能。BSSBasic Service Set基本服务集由一个 AP 和其连接的所有 STA 组成的基本无线单元是无线网络的基本组成部分。DSDistribution System分布式系统用于连接多个 BSS 的骨干网络BSS可相同可不同负责在不同 AP 之间转发数据实现用户漫游。ESSExtended Service Set扩展服务集采用相同的SSID的多个BSS形成的更大规模的虚拟BSS。WLAN面临的挑战与问题1、干扰工作在相同频段的其他设备会对WLAN设备的正常工作产生影响。2、高密场景无线终端密集场景下如何保证传输效率对无线体验至关重要。3、电磁辐射无线设备的发射功率应满足安全标准以减少对人体的伤害。4、数据安全性无线网络中数据在空中传输因此安全性显得尤为重要。二、无线控制器自动注册AP什么是Fit AP自动发现、自动注册、自动固化目的让 AP 不用手动配置就能被 AC 集中管理1、AP 自动发现AP 刚上电时自动在网络里找到自己的 “管理者”——AC并获取它的 IP 地址。2、AP 自动注册Auto JoinAP 找到 AC 后和 AC 建立 CAPWAP 隧道完成身份验证并加入 AC 管理的过程。具体流程AP 向 AC 发送Discovery Request报文AC 回应Discovery Response确认自己的身份AP 发送Join Request带上自己的序列号、型号等信息AC 校验 AP 信息通过后返回Join Response隧道建立成功AP 正式注册到 AC 上进入受控状态。3、AP 自动固化AP 注册成功后自动从 AC 下载配置文件加载并固化到本地无需人工配置。1配置交换机1、创建vlan vlan 100 # 上联AC interface GigabitEthernet1/0/1 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 100 port trunk pvid vlan 100 # 下联AP interface GigabitEthernet1/0/2 port link-type access port access vlan 1002配置ACVLAN及三层接口、Trunk接口、DHCP地址池、无线服务模板、开启射频功能1. 配置VLAN及三层接口 system-view vlan 100 interface Vlan-interface100 ip address 192.1.0.1 255.255.0.0 2. 配置级联Trunk接口 interface GigabitEthernet1/0/0 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 100 port trunk pvid vlan 100 3. 配置DHCP地址池 dhcp enable dhcp server ip-pool 1 network 192.1.0.0 16 gateway-list 192.1.0.1 4. 配置无线服务模板 wlan service-template 1 ssid henu-学号 vlan 100 service-template enable 5. 开启自动识别AP与手动固化 wlan auto-ap enable display wlan ap all //此处可显示固化后的ap列表 6.开启射频功能 wlan ap ap1 radio 2 service-template 1 radio enable验证结果1. 查看AP注册与固化状态 display wlan ap all 2、客户端列表 dis wlan client 3、AP和Phone获取IP地址 display dhcp server ip-in-use三、无线控制器二层注册Fit AP 二层注册的核心是AP 与 AC 同属一个广播域同 VLAN、同网段AP 通过二层广播发现 AC然后建立CAPWAP 隧道完成注册与管控。核心条件AC 与 AP 在同一 VLAN、同一 IP 网段注册原理与流程1. AP 上电获取 IPAP 通过DHCP获取 IP与 AC 同网段2. 二层广播发现 AC关键AP 发广播 Discovery 请求在本网段找 AC。同广播域的 AC 收到后检查 AP 权限白名单 / 自动注册回复Discovery 响应。3. 建立 CAPWAP 隧道AP 与 AC 协商建立CAPWAP 控制隧道隧道用途AC 下发配置、AP 上报状态、版本升级。4. 配置下发与上线AP 从 AC 下载配置、版本、WLAN 模板。注册完成AP 转为Run 状态开始提供无线服务。二层 vs 三层注册对比项二层注册三层注册网络层级同 VLAN / 同网段无三层路由跨网段 / 跨 VLAN需三层互通AC 发现方式AP 二层广播DHCP Option 43或 DNSCAPWAP 隧道直接建立路由可达后建立适用场景小型网络、AC 与 AP 同楼大型园区、多分支1配置二层交换机创建三个vlansystem-view vlan 100 vlan 200 vlan 300 # 上联AC interface GigabitEthernet1/0/1 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 100 200 300 port trunk pvid vlan 100 # 下联AP interface GigabitEthernet1/0/2 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 100 200 port trunk pvid vlan 100 # 下联有线终端 interface GigabitEthernet1/0/3 port access vlan 3002配置ACDHCP注意三个VLAN的地址池都要配、VLAN及三层接口、Trunk接口、无线服务模板、开启射频功能1. 开启DHCP功能 system-view dhcp enable 2. 配置DHCP地址池 # AP地址池 dhcp server ip-pool 1 network 192.168.201.0 mask 255.255.255.0 gateway-list 192.168.201.1 quit # 无线用户地址池 dhcp server ip-pool 2 network 192.168.202.0 mask 255.255.255.0 gateway-list 192.168.202.1 quit # 有线用户地址池 dhcp server ip-pool 3 network 192.168.203.0 mask 255.255.255.0 gateway-list 192.168.203.1 quit 3. 配置VLAN及三层接口 vlan 100 vlan 200 vlan 300 interface Vlan-interface100 ip address 192.168.201.1 255.255.255.0 interface Vlan-interface200 ip address 192.168.202.1 255.255.255.0 interface Vlan-interface300 ip address 192.168.203.1 255.255.255.0 4. 配置上联Trunk接口 interface GigabitEthernet1/0/0 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 100 200 300 port trunk pvid vlan 100 5. 配置无线服务模板 wlan service-template 1 ssid henu-学号 service-template enable 开启自动识别功能 wlan auto-ap enable 6.开启射频功能 wlan ap ap1 radio 1 service-template 1 vlan 200 radio enableAC在整个网络中的角色是什么AC无线控制器是整个无线网络的 “大脑”AP无线接入点只是负责发射无线信号的 “天线”。AP 本身不能独立工作必须和 AC 建立连接才能获取配置、上线并发射 Wi-Fi 信号。所以 AC 的所有配置本质上都是为了让 AP 能正常注册、上线让无线用户能正常获取 IP、上网统一管理所有 AP 的无线信号和策略换言之AP所有要实现的功能都在AC上配置AP只负责和 AC 建立连接才能获取配置、上线并发射 Wi-Fi 信号。四、无线控制器三层注册三层注册指 AP 与 AC 不在同一 VLAN / 网段借助路由可达完成上线注册。整体流程核心逻辑Fit AP 上电初始化先获取自身 IP 地址DHCPAP 通过多种方式DHCP Option43、DNS、广播转单播解析出 AC 的 IPAP 主动发起 CAPWAP 控制通道 TCP连接 ACAP 与 AC 完成 CAPWAP 隧道建立、证书 / 密钥校验、版本同步、配置下发AP 完成注册AC 统一管理射频、SSID、VLAN、信道功率等无线参数用户业务数据通过 CAPWAP 数据隧道转发。DHCP Option43的作用是什么解决三层注册痛点二层注册 AP 可靠全网广播 CAPWAP 发现报文找 AC但广播无法跨越三层网关路由器 / 三层 VLANIF跨网段 AP 收不到 AC 回复无法上线。DHCP 服务器下发 IP 地址时通过 Option 43 携带AC 的 IP 地址AP 拿到 AC 单播 IP 后直接点对点发起 CAPWAP 隧道连接实现跨三层上线是大型园区无线三层部署必备技术。简言之三层 AP 跨网段时DHCP 借 Option43 把 AC 的 IP 地址推给 AP让 AP 不用广播、单播主动找到 AC 完成注册上线。dhcp server ip-pool ap-vlan option 43 hex 80070000C0A864011配置三层交换机1. 配置VLAN及三层接口 system-view vlan 100 vlan 200 vlan 300 vlan 400 interface Vlan-interface100 ip address 192.168.10.83 255.255.255.0 interface Vlan-interface200 ip address 192.168.20.1 255.255.255.0 interface Vlan-interface300 ip address 192.168.30.1 255.255.255.0 interface Vlan-interface400 ip address 192.168.40.1 255.255.255.0 2. 配置上联AC接口 interface GigabitEthernet1/0/1 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 100 200 3. 配置下联有线终端接口 interface GigabitEthernet1/0/2 port access vlan 300 4. 配置下联AP接口 interface GigabitEthernet1/0/3 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 200 400 port trunk pvid vlan 400 5. 配置DHCP及Option43 dhcp enable # 无线用户地址池 dhcp server ip-pool 2 network 192.168.20.0 mask 255.255.255.0 gateway-list 192.168.20.1 quit # 有线用户地址池 dhcp server ip-pool 3 network 192.168.30.0 mask 255.255.255.0 gateway-list 192.168.30.1 quit # AP地址池含Option43 dhcp server ip-pool 4 network 192.168.40.0 mask 255.255.255.0 gateway-list 192.168.40.1 option 43 hex 8007000001c0a80a01 quit2配置AC1. 配置VLAN及三层接口 system-view vlan 100 vlan 200 interface Vlan-interface100 ip address 192.168.10.1 255.255.255.0 2. 配置上联Trunk接口 interface GigabitEthernet1/0/0 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 100 200 3. 配置静态路由指向AP网段 ip route-static 192.168.40.0 255.255.255.0 192.168.10.83 4. 配置无线服务模板 wlan service-template 1 ssid henu-学号 service-template enable 5.自动识别、手动固化 wlan auto-ap enable 6.开启射频功能 wlan ap ap1 radio 1 service-template 1 vlan 200 radio enable五、无线控制器本地MAC认证配置本地MAC认证AC本地维护用户MAC地址白名单客户端接入时以MAC为用户名/密码完成认证只有白名单内设备可接入无线网络提升接入安全性。应用场景场景 1企业固定办公设备专属内网 WiFi企业台式机、办公笔记本、打印机、工控终端数量固定不希望员工私自用个人手机连内网 WiFi 窃取内网数据。把所有办公设备 MAC 录入 AC 本地白名单仅固定设备能接入内网 SSID个人手机、外来访客即使搜到 WiFi 也无法连接内网安全性大幅提升。场景 2小型门店、商铺专属自用 WiFi小店老板自用收银机、收银平板、监控连 WiFi不想让周边路人蹭网。仅把自家设备 MAC 加入本地白名单无密码 WiFi 也不会被蹭网1配置交换机system-view vlan 100 vlan 200 # 上联AC interface GigabitEthernet1/0/1 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 100 200 port trunk pvid vlan 100 # 下联AP interface GigabitEthernet1/0/2 port link-type access port access vlan 1002配置AC1. VLAN及三层接口配置 system-view vlan 100 vlan 200 interface Vlan-interface100 ip address 112.12.1.25 255.255.0.0 interface Vlan-interface200 ip address 112.13.1.25 255.255.0.0 2. 级联Trunk接口 interface GigabitEthernet1/0/0 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 100 200 port trunk pvid vlan 100 3. 开启DHCP并配置地址池 dhcp enable dhcp server ip-pool vlan100 network 112.12.0.0 mask 255.255.0.0 gateway-list 112.12.1.25 dhcp server ip-pool vlan200 network 112.13.0.0 mask 255.255.0.0 gateway-list 112.13.1.25 4. 配置本地认证域 domain local-mac authentication lan-access local authorization-attribute idle-cut 15 1024 5.创建本地MAC用户填写客户端实际MAC local-user [00e004021235] class network //下划线处替换成你的字符串 password simple [00e004021235] //下划线处替换成你的字符串 service-type lan-access 6. 无线服务模板绑定MAC认证 wlan service-template 1 ssid henu-学号 vlan 200 client-security authentication-mode mac mac-authentication domain local-mac service-template enable 7.自动识别、手动固化 wlan auto-ap enable 8.开启射频功能 wlan ap ap1 radio 1 service-template 1 vlan 200 radio enable