第2章H3C无线产品特性与应用部署_V10

第二章H3C无线产品特性与应用部署ISSUE1.0日期：杭州华三通信技术有限公司版权所有，未经授权不得使用与传播近年来，整个世界逐渐走向移动化。无线网络以其施工简单、接入方便逐渐被人们所喜爱。目前，越来越多的WLAN产品正走入我们的生活。本文就主要讲解WLAN产品的主要特性和常见应用部署方式。引入掌握FatAP的应用部署方式掌握FatAP的主要特性掌握无线交换机+FitAP的应用部署方式掌握无线交换机+FitAP的工作原理掌握无线交换机+FitAP的主要特性课程目标学习完本课程，您应该能够：FatAP的应用部署方式FatAP的主要特性无线交换机的应用部署方式无线交换机的工作原理无线交换机的主要特性目录的应用部署方式FatAP的基本服务集模式FatAP的扩展服务集模式FatAP的WDS组网模式的基本服务集模式基本服务集（BasicServiceSet，简称BSS）在基本服务集（BSS）中，用户共用一个AP，AP独立组网（无线），AP上行可以接入到有线网络，无线用户在一个BSS中实现互通。RadiusServer无线客户端L2交换机AP无线客户端无线客户端无线客户端扩展服务集模式（ExtendedServiceSet，简称ESS）在扩展服务集（ESS）中，距离较远的无线终端分别属于不同BSS，AP可以上行接入到有线网络，借助有线网无线终端实现互通，如果有无线网桥，两个BSS通过无线网桥实现互通。组网模式WDS模式（WirelessDistributionSystem）WDS模式中，AP工作桥模式扮演无线中继器角色，无线终端在ESS服务集通过WDS桥接后，在纯无线网络中实现互通或上行接入到有线网络。WDSRadiusServerL2交换机APWDSAP无线客户端无线客户端FatAP的应用部署方式FatAP的主要特性无线交换机的应用部署方式无线交换机的工作原理无线交换机的主要特性目录的主要特性无线漫游无线访问控制WDS功能射频管理认证方式加密方式的快速漫游技术－KeycachingKeycaching过程：1.STA第一次接入时（接入OldAP）采用正常的802.1x认证过程2.认证通过后STA把使用的PMK信息保存在Cache中3.STA漫游切换时，向NewAP发起Reassociation时协商使用PMKCache方式做认证4.STA利用在Cache中保存的在OldAP中使用的PMK和NewAP发起4次握手协商过程5.协商成功，STA开始传送数据报文STAAPPMKCacheXXXXXXXNewAPOldAPSTAPMKCacheXXXXXXXSTAPMKCacheXXXXXXX的无线访问控制FatAP作为接入设备，它具有完整的接入和控制功能。支持ACL和防火墙功能MAC地址认证有些FatAP利用黑白名单实现用户访问控制，在黑名单上源MAC用户拒绝接入，白名单的用户为合法用户，允许接入可以通过SSID同VLAN绑定，实现不同SSID下二层用户间的隔离有些厂家的设备支持同一个SSID下用户之间的隔离，如H3C公司的WA1208E等功能WDS是FatAP的一个特殊功能，通过此功能可以实现AP与AP之间的无线通信。802.11协议对WDS的具体实现没作规定，这为各大厂家WDS的实现带来了灵活的余地，但各厂商产品之间的互通基本没有可能性。的射频管理自动调节FatAP射频可以工作在自动模式，射频自动间隔一定时间扫描一次周围的射频环境，通过比较自动选择干扰小，噪音低的信道，通过监控当前的信道也能自动调节功率和数据发送速率，有一定的智能性。手动配置用户也可以手动配置信道、功率以及数据发送速率。缺点在于不能发挥物理层的性能，没有自动状态效率高。的认证方式开放系统身份认证（open-systemauthentication）开放系统认证是802.11要求必备的方式。在开放系统身份认证中，AP并未验证移动式工作站的真实身份。开放系统下用户只要MAC地址唯一即可接入网络。共享密钥认证（shared-keyauthentication）共享密钥身份认证必须使用WEP。共享密钥身份认证要求在进行身份认证之前，必须传递共享密钥给无线终端。双方交换密钥成功后，终端才可接入网络。MAC地址认证MAC地址认证是相当常见的做法，几乎所有产品均有支持。网管人员可以键入一组经过授权的终端MAC地址，只有表上有其MAC地址的终端才可以跟网络连接。PSK（Pre-sharedkey）认证PSK认证要求在STA侧预先配置Key，AP通过4次握手Key协商协议来验证STA侧Key的合法性。802.1x认证802.1x认证是基于端口的网络接入控制协议,它提供了一个认证过程框架，支持多种认证协议。在802.1x中，不同的认证协议统一使用EAP封装格式。的加密方式WEP（WiredEquivalentPrivacy）有线等价保密协议WEP密钥采用RC4算法，有静态与动态之分。WEP标准采用64位比特或128位比特加密。WPA（Wi-FiProtectedAccess）加密方式IEEE为了改进WEP加密机制的各种缺陷制定了IEEE802.11i安全标准。标准采用了IEEE802.11i的草案，保证了与未来出现的协议的前向兼容。WPA采用TKIP和CCMP加密算法。WPA2加密方式WPA2采用CCMP加密算法。FatAP的应用部署方式FatAP的主要特性无线交换机的应用部署方式无线交换机的工作原理无线交换机的主要特性目录无线交换机的应用部署方式无线交换机+FitAP集中式企业内部部署方式无线交换机+FitAP分布式企业内部部署方式无线交换机+FitAP企业分支机构部署方式无线交换机+FitAP集中式企业内部部署方式无线交换机无线交换机认证服务器无线网管公司骨干汇聚交换机有线客户端有线客户端PoE交换机PoE交换机无线接入点无线接入点无线客户端一层楼二层楼无线交换机+FitAP分布式企业内部部署方式无线交换机无线交换机认证服务器无线网管公司骨干汇聚交换机有线客户端有线客户端PoE交换机PoE交换机无线接入点无线接入点无线客户端一层楼二层楼无线交换机+FitAP企业分支机构部署方式无线交换机认证服务器无线网管公司骨干路由器有线客户端有线客户端PoE交换机PoE交换机无线接入点无线接入点无线客户端分支二分支一无线客户端公司总部分支出口路由器分支出口路由器无线接入点有线客户端PoE交换机FatAP的应用部署方式FatAP的主要特性无线交换机的应用部署方式无线交换机的工作原理无线交换机的主要特性目录无线交换机的工作原理无线交换机+FitAP的连接方式无线交换机+FitAP系统构成特点FitAP零配置启动注册过程无线交换机+FitAP的数据转发原理无线交换机+FitAP的连接方式FitAP无线交换机无线交换机无线交换机L2网络L3网络FitAPFitAPFitAPFitAPFitAP直连方式二层网络连接方式三层网络连接方式无线交换机+FitAP系统构成特点主要由无线交换机和FitAP在有线网的基础上构成的。AP零配置，硬件主要由CPU＋内存＋RF构成，配置和软件都要从无线交换机上下载。所有AP和无线客户端的管理都在无线交换机上完成。AP和无线交换机之间的流量被私有协议加密；无线客户端的MAC只出现在无线交换机端口，而不会出现在AP的端口。可以在任何现有的二层或三层LAN拓扑上部署H3C的通用无线解决方案，而无需重新配置主干或硬件。无线交换机以及管理型接入点AP可以位于网络中的任何位置。在复杂的网络中，FitAP如何得知无线交换机的位置？从无线交换机下载最新软件版本、配置5.AP开始正常工作和无线交换机交换用户数据报文无线交换机APDHCPServer1、获取IP地址2、发送二层广播发现请求4、版本、配置下载3、无线交换机发现响应5、用户数据传递1.AP通过DHCPserver获取IP地址2.AP发出二层广播的发现请求报文试图联系一个无线交换机3.接收到发现请求报文的无线交换机会检查该AP是否有接入本机的权限，如果有则回应发现响应AP与无线交换机直连或通过二层网络连接：、获取IP地址、DNSServer地址、域名2、二层广播发现请求6、版本、配置下载7、用户数据传递3.AP在多次尝试发现请求无回应的情况下：AP会从DNSserver获取H3C.xxxx.xxx的IP地址，该IP地址即为无线交换机的IP地址，其中xxxx.xxx是从DHCPserver学习到的域名。长时间无响应DNSServer3、获取无线交换机的IP地址4、无线交换机发现请求5、无线交换机发现响应2.AP发出二层广播的发现请求报文试图联系一个无线交换机1.AP通过DHCPserver获取IP地址、DNSserver地址、域名5.接收到发现请求报文的无线交换机会检查该AP是否有接入本机的权限，如果有则回应发现响应。6.AP从无线交换机下载最新软件版本、配置7.AP开始正常工作和无线交换机交换用户数据报文AP与无线交换机通过三层网络连接：4.AP向无线控制器发送单播发现请求。无线交换机FitAP隧道口隧道口IP:3.0.0.1无线交换机和AP间数据转发的核心思想在无线交换机和AP之间建立IPinIP隧道，无线交换机将这些隧道看做虚拟物理端口；无线客户端STA的任何数据报文都将由AP通过IPinIP隧道交给无线交换机，由无线交换机统一转发；无线交换机从IPinIP隧道接收到用户的数据后先解隧道封装，然后做数据交换，如果出接口为隧道则对数据报文再次加上隧道封装，直到交换到最远端。核心交换机接入交换机FitAP隧道口STAVLAN2IP:2.0.0.1VLAN1IP:1.0.0.2＝STAMACDA＝PCMACVLAN＝VLAN1SIP＝1.0.0.1DIP＝1.0.0.2SA＝STAMACDA＝PCMACSIP＝1.0.0.1DIP＝1.0.0.2STAIP:1.0.0.1IP:1.0.0.3IP:1.0.0.4PC无线交换机L2交换机SA＝STAMACDA＝PCMACSIP＝1.0.0.1DIP＝1.0.0.2APL2交换机无线交换机SA＝STAMACDA＝PCMACSIP＝1.0.0.1DIP＝1.0.0.2APPCIP:1.0.0.2STASA＝APMACDA＝ACMACVLAN＝VLAN1SIP＝1.0.0.3DIP＝1.0.0.4IPinIP隧道封装STAPC的数据转发解IPinIP隧道封装，802.11-802.3转换加IPinIP隧道封装802.11报文VLAN1VLAN1VLAN1