WLAN組網(wǎng)-華為無線HCIA

WLAN組網(wǎng)方式：胖AP設備的典型組網(wǎng).家庭或SOHO網(wǎng)絡的組網(wǎng)模式：無線覆蓋范圍小，胖AP可以不僅實現(xiàn)無線覆蓋的要求，還可同時作為路由器，實現(xiàn)對有線網(wǎng)絡的路由轉發(fā).企業(yè)網(wǎng)絡的組網(wǎng)模式：無線覆蓋范圍比較大，則可將AP接入到接入交換機端，數(shù)據(jù)通過交換機的轉發(fā)，到達企業(yè)核心網(wǎng)。在企業(yè)核心網(wǎng)也可以架設起網(wǎng)管系統(tǒng)，便于對AP的統(tǒng)一管理瘦AP+AC組網(wǎng)方式：無線控制器+FITAP控制架構（瘦AP）對設備的功能進行了重新劃分，其中無線控制器負責無線網(wǎng)絡的接入控制，轉發(fā)和統(tǒng)計、AP的配置監(jiān)控、漫游管理、AP的網(wǎng)管代理、安全控制；FITAP負責802.11報文的加解密、802.11的物理層功能、接受無線控制器的管理、RF空口的統(tǒng)計等簡單功能組網(wǎng)方式：根據(jù)AP與AC之間的網(wǎng)絡架構可分為：二層組網(wǎng)：瘦AP和無線控制器同屬于一個二層廣播域，瘦AP和AC之間通過二層交換機互聯(lián)優(yōu)點：組網(wǎng)比較簡單，適用于簡單臨時的組網(wǎng)，能夠進行比較快速的組網(wǎng)配置缺點：不適用于大型組網(wǎng)架構三層組網(wǎng)：瘦AP和無線控制器屬于不同的IP網(wǎng)段。瘦AP和AC之間的通信需要通過路由器或者三層交換機三層轉發(fā)來完成一臺AC可以連接幾十甚至幾百臺AP,組網(wǎng)一般比較復雜，一般應用在在大型組網(wǎng)中根據(jù)AC在網(wǎng)絡中的位置可分為：直連式組網(wǎng)：直連式組網(wǎng)中AC同時扮演AC和匯聚交換機的功能，AP的數(shù)據(jù)業(yè)務和管理業(yè)務都由AC集中轉發(fā)和處理直連式組網(wǎng)可以認為AP、AC與上層網(wǎng)絡串聯(lián)在一起，所有數(shù)據(jù)必須通過AC到達上層網(wǎng)絡；采用這種組網(wǎng)方式，對AC的吞吐量以及處理數(shù)據(jù)能力比較高，否則AC會是整個無線網(wǎng)絡帶寬的瓶頸優(yōu)點：組網(wǎng)架構清晰，實施起來簡單，多采用直接轉發(fā)模式，適用于大規(guī)模集中部署AC只承載對AP的管理功能，管理流封裝在CAPWAP隧道中傳輸。數(shù)據(jù)業(yè)務流可以通過CAPWAP數(shù)據(jù)隧道經(jīng)AC轉發(fā)，也可以不經(jīng)過AC轉發(fā)直接轉發(fā)，后者無線用戶業(yè)務流經(jīng)匯聚交換機由匯聚交換機傳輸至上層網(wǎng)絡優(yōu)點：無線用戶業(yè)務數(shù)據(jù)無需經(jīng)過AC集中處理，基本無帶寬瓶頸，而且便于繼承現(xiàn)有網(wǎng)絡的安全策略，使用率比較高敏捷分布Wi-Fi方案組網(wǎng)：通過AC集中管理和控制多個中心AP,每個中4AP集中管理和控制多個RRU所有無線接入功能由RRU(RemoteRadioUnit)、中心AP和AC共同完成：AC集中處理所有的安全、控制和管理功能，例如移動管理、身份驗證、VLAN劃分、射頻資源管理和數(shù)據(jù)包轉發(fā)等。RRU負責802.11報文的收發(fā)，并透傳給中心AP,中心AP完成其他功能，例如無線信號發(fā)射與探測響應、數(shù)據(jù)加密解密、數(shù)據(jù)傳輸確認等。中心AP和AC之間以及RRU和中心AP之間都采用CAPWAP協(xié)議進行通訊，中心AP與AC間可以跨越二層網(wǎng)絡或三層網(wǎng)絡，RRU和中心AP之間跨越二層網(wǎng)絡用戶接入無線網(wǎng)絡的過程分三步：中心AP與AC建立CAPWAP隧道RRU和中心AP建立CAPWAP隧道STA與RRU和中心AP的關聯(lián)過程敏捷分布式WLAN組網(wǎng)典型應用：在酒店房間、校園宿舍、醫(yī)院病房等多房間的場景中，由于墻體等室內(nèi)建筑物的阻隔，無線信號的衰減現(xiàn)象較為嚴重，普通的室內(nèi)放裝型AP和室內(nèi)分布式AP無法完全滿足低成本、高性能的無線覆蓋需求。在這類場景下，可采用敏捷分布式WLAN組網(wǎng)架構部署網(wǎng)絡滿足此類需求敏捷分布式WLAN組網(wǎng)包括AC+中心AP+RRU，RRU收發(fā)無線報文，并二層透傳給中4AP進行處理。中4AP通過網(wǎng)線連接RRU，相比于普通AP通過饋線連接天線，網(wǎng)線能夠提供更長的部署距離，方便在離中心AP更遠的位置部署RRU豉捷云本式WLAN田網(wǎng)苗上圖拓撲中，中4AP連接RRU并為RRU提供PoE供電。還可在中心AP下連接PoE交換機，PoE交換機再連接RRU，擴展中心AP下管理的RRU數(shù)目。RRU和其接入的中4AP之間需要是二層可達的組網(wǎng)并且必須是樹型組網(wǎng)數(shù)據(jù)轉發(fā)方式：WLAN網(wǎng)絡中的數(shù)據(jù)包括控制消息和數(shù)據(jù)消息（控制報文必須采用CAPWAP隧道進行轉發(fā)；數(shù)據(jù)報文可以采用CAPWAP隧道/直接轉發(fā)）數(shù)據(jù)消息轉發(fā)方式包括：（是否封裝在CAPWAP隧道中轉發(fā)）直接轉發(fā)（又稱為“本地轉發(fā)”）：AP與AC間的報文沒有經(jīng)過CAPWAP隧道封裝，直接轉發(fā)到上層網(wǎng)絡，從而提高報文的轉發(fā)效率AP不會對數(shù)據(jù)報文進行任何處理，發(fā)送原始報文，很容易的突破AC的帶寬限制，而且配置CAPWAP斷鏈保持以后，可以減少無線用戶斷網(wǎng)的風險

CAPWAP隧道轉發(fā)（又稱為“集中轉發(fā)”）：AP與AC間的報文經(jīng)過CAPWAP隧道封裝后再轉發(fā)到上層網(wǎng)絡，從而提高報文的轉發(fā)安全性所有數(shù)據(jù)報文都要經(jīng)過CAPWAP隧道封裝后到達AC,再由AC轉發(fā)到上層網(wǎng)絡，可以大大提高數(shù)據(jù)的安全性，還可以對數(shù)據(jù)進行集中控制，比如QoS等組網(wǎng)方式的數(shù)據(jù)轉發(fā)：直連式組網(wǎng)-直接轉發(fā)：fIM1：LIPLfllJnLllfIM1：LIPLfllJnLllP3n,3j.33nzPUO.LlJOL&lnWklAMLQLW1.M3.9直連直連式組網(wǎng)隧道轉發(fā)：IPJOLIL加的CnhfZMclA￡IPPXlLjllDi旁掛式組IPJOLIL加的CnhfZMclA￡IPPXlLjllDi旁掛式組網(wǎng)-直接轉發(fā)：LJ1U.11]MlmBniperren：VU^101MMBlWD即上壯VUNlOZKE1WTKhiPUlAN皿LO.].]D].iUM煙優(yōu)W1AH11IF]!}J.L1.1B2hktikFi：PJD.JJjOLSJMo?但W1AH11IF]!}J.L1.1B2hktikFi：PJD.JJjOLSJMo?但FCPJD.JJjOLEIZ超開展網(wǎng)的用戶頓WnUHiP*明JAJ1011GdU^i^-Y岫10J301W21,xlmj11L0.1.nlluiTtaMicm5fiulax(aajji3diai.uij.iM-旁掛式組網(wǎng)-隧道轉發(fā)：flPVLANJl控制毛工加：!■察M￥LMiDLldLLOd.iSacMrflPVLANJl控制毛工加：!■察M￥LMiDLldLLOd.iSacMrMUM3D2揖I!m.lVLW3150111儂 ，UHWNUDIWJ.JOLJWsc?tkVLsMUVJNID11DJJIIZ.1EMivrriEv'^LA^F肌hl.KinaidOLSippSUHJlIP3O.L1L1JQCM由I?歸ipmiWLSi管理VLAN:主要是用來傳送AC與AP之間的管理數(shù)據(jù)對于二層交換機而言，一般只能設置一個三層虛接口，所以必須設置一個VLAN作為三層虛接口的管理VLAN。管理VLAN中綁定了一個IP地址，這樣我們可以遠程管理交換機，例如登錄交換機查看相應的LOG日志，分析交換機狀態(tài)，處理某些故障等對于WLAN來說，管理VLAN主要是用來傳送AC與AP之間的管理數(shù)據(jù)，如APDHCP報文、APARP報文、APCAPWAP報文（包含控制CAPWAP報文和數(shù)據(jù)CAPWAP報文）。AC內(nèi)部XGE口的PVID和TRUNKVLAN與交換機普通物理端口的PVID和TRUNKVLAN相同，在部署AC時，需要配置PVID為管理VLANID并允許管理VLAN的報文通過TRUNK接口業(yè)務VLAN:主要負責傳送WLAN用戶上網(wǎng)時的數(shù)據(jù)從WLAN整體來看：業(yè)務VLAN是基于VAP的區(qū)域業(yè)務VLAN，與位置有關，與用戶無關，VAP內(nèi)的用戶使用此業(yè)務VLAN封裝用戶。主要負責傳送WLAN用戶上網(wǎng)時的數(shù)據(jù)從AP角度看：直接轉發(fā)模式下，業(yè)務VLAN是指AP給數(shù)據(jù)報文加的VLAN隧道轉發(fā)模式下，業(yè)務VLAN是指CAPWAP隧道內(nèi)用戶報文的VLAN從AC角度看：VAP模板中的ServiceVLAN：AP上傳的用戶報文VLAN，始終為當前用戶的業(yè)務VLANACAC用戶VLAN:基于用戶權限的VLAN用戶在使用802.1X方式進行用戶接入安全認證時，會涉及到以下的VLAN：GuestVLAN:GuestVLAN的基本功能是使用戶在沒有經(jīng)過認證的情況下也能訪問GuestVLAN內(nèi)部的部分資源。例如，當用戶沒有安裝客戶端軟件時，可以通過訪問GuestVLAN的資源下載并安裝客戶端，通過認證后，才能進行正常的網(wǎng)絡訪問RestrictVLAN：RestrictVLAN功能允許用戶在認證失敗的情況下可以訪問某一特定VLAN中的資源，這個VLAN稱之為RestrictVLAN。需要注意的是，這里的認證失敗是認證服務器因某種原因明確拒絕用戶認證通過，比如用戶密碼錯誤，而不是認證超時或網(wǎng)絡連接等原因造成的認證失敗但PAC收到RADIUS服務器下發(fā)的Radius-reject報文）授權VLAN:傳統(tǒng)的靜態(tài)VLAN部署不僅管理復雜，而且難以解決移動辦公用戶的VLAN控制問題?？梢酝ㄟ^在用戶接入網(wǎng)絡時動態(tài)指定該用戶所屬的VLAN,實現(xiàn)基于用戶的VLAN劃分。例如，在企業(yè)網(wǎng)中，通過動態(tài)VLAN下發(fā)，可以保證在無線用戶在一個AP的覆蓋區(qū)域漫游到另外一個AP的覆蓋區(qū)域時，用戶均屬于同一個業(yè)務VLAN,保證用戶正常業(yè)務不被中斷Sv/itchPC2 AP2GuestVLANVLAN部署的原則：當WLAN系統(tǒng)同時設置了用戶VLAN和管