第2章 H3C_无线产品特性与应用部署_V2.0解析

第二章H3C 无线产品特性与应用部署ISSUE 2.0
日期：
杭州华三通信技术有限公司版权所有，未经授权不得使用与传播
引入
n 掌握Fat AP系列产品与典型配置n 掌握Fat AP主要特性
n 掌握无线交换机+Fit AP工作原理n 掌握无线交换机+Fit AP应用部署方式n 掌握无线交换机+Fit AP主要特性n 掌握无线交换机产品与典型配置
课程目标
WH2520
WA1208E-AG/DG/GP/AGP
WA2220E-AG WA2210X-G WA2220X-AG 无线IDS
无线定位WiFi
语音
n Fat AP产品介绍与典型配置n Fat AP主要特性n 无线交换机工作原理n 无线交换机应用部署方式n 无线交换机主要特性n 无线交换机产品介绍
n 无线交换机的典型组网与配置目录
WA2200系列产品 l WA2200产品主要分为三个系列： à WA2200室内型
（ WA2200系列） à WA2200复杂型（ WA2200E系列） à WA2200室外型
（ WA2200X系列） WA2200室内型 WA2200复杂型 WA2200室外型 5
WA2200室内型产品产品型号 WA2210-AG WA2220-AG 模式 Fit/Fat双模AP Fit/Fat双模AP 射频特性单射频，可通过软件配置成11a或11b/g 双射频，同时支持11a或 11b/g 最大射频功率 100mW 100mW 备注室内型产品室内型产品 6
WA2200复杂型产品产品型号 WA2220E-AG 模式 Fit/Fat双模AP 射频特性双射频，同时支持 11a或11b/g 最大射频功率 100mW 备注复杂环境型产品，支持宽温度范围，可应用在各种恶劣的室内环境 7
WA2200室外型产品产品型号 WA2210X-G WA2220X-AG WA2220X-AGP 模式 Fit/Fat双模AP Fit/Fat双模AP Fit/Fat双模AP 射频特性单射频，只支持 11b/g
双射频，同时支持 11a或11b/g 双射频，同时支持 11a或11b/g 最大射频功率
100mW 100mW 11g射频功率最大500mW 备注室外型产品，支持光口，网口防雷室外型产品，支持光口，网口防雷室外型产品，支持光口，网口防雷
8
WA2220E的三个端口 l WA2220E的三个端口分别是： à Console口：可通过此端口配置管理WA2220E。

à以太网口：10/100M自适应，支持 PoE供电，通过此端口接入网络。

à电源口：支持本地电源供电，可连接48V电源适配器。

9
WA1208E系列产品 WA1208E-G WA1208E-GP WA1208E-DG WA1208E-AG WA1208E-AGP 产品型号 WA1208E-G WA1208E-GP WA1208E-DG WA1208E-AG WA1208E-AGP 模式 Fit/Fat双模AP Fit/Fat双模AP Fit/Fat双模AP Fit/Fat双模AP Fit/Fat双模AP 射频特性单射频，只支持11b/g 单射频，只支持11b/g 双射频，只支持11b/g 双射频，同时支持11a或11b/g 双射频，同时支持11a或11b/g 最大射频功率 100mW 500mW 100mW 100mW 11g射频功率最大500mW 11a射频功率最大100mW 10
Fat AP的典型应用与配置 trunk 交换机 Fat AP(V5 l 实例：无线客户端 à Fat AP上配置两个vlan：vlan 1000和vlan 256 à vlan 1000为管理vlan；vlan 256为业务vlan，所有的无线客户端都属于vlan 256 à Fat AP的管理IP地址为
10.10.1.50/24，网关为 10.10.1.254 à服务集标识SSID为H3C-wireless，无认证无加密 11
配置步骤（1） à步骤一：创建业务vlan（vlan256）和管理vlan（vlan 1000），并配置管理IP地址 [H3C] vlan 256 [H3C-vlan256] quit [H3C] vlan 1000 [H3C-vlan1000] quit [H3C] interface vlan 1000 [H3C-Vlan-interface1000] ip address 10.10.1.50 255.255.255.0 [H3C-Vlan-interface1000] quit à步骤二：将上行以太网口配置为Trunk类型 [H3C] interface Ethernet 1/0/1 [H3C-Ethernet1/0/1] port link-type
trunk [H3C-Ethernet1/0/1] port trunk permit vlan all à步骤三：创建无线接口 [H3C] interface WLAN-BSS 1 [H3C-WLAN-BSS1] port access vlan 256 12
配置步骤（2） à步骤四：创建无线服务模板（SSID名称为H3C-wireless）[H3C] wlan service-template 1 clear [H3C-wlan-st-1] authentication-method open-system [H3C-wlan-st-1] ssid H3C-wireless [H3C-wlan-st-1] service-template enable à步骤五：在11g射频卡上绑定无线服务模板和无线接口，配置信道为11、功率为
15dBm [H3C] interface WLAN-Radio 1/0/1 [H3C-WLAN-Radio1/0/1] service-template 1 interface WLAN-BSS 1 [H3C-WLAN-Radio1/0/1] radio-type 11g [H3C-WLAN-Radio1/0/1] channel 11 [H3C-WLAN-Radio1/0/1] max-power 15 注：默认情况下，功率为20dBm（即100mW）；信道为自动调整。

à步骤六：配置默认路由 [H3C] ip route-static 0.0.0.0 0 10.10.1.254 13
目录 n Fat AP产品介绍与典型配置 n Fat AP主要特性 n 无线交换机工作原理 n 无线交换机应用部署方式 n 无线交换机主要特性 n 无线交换机产品介绍 n 无线交换机的典型组网与配置
Fat AP的主要特性
l 无线漫游
l 无线访问控制
l WDS 功能
l 射频管理
l 认证方式
l 加密方式
Fat AP的WDS 功能
l WDS 是Fat AP的一个特殊功能，通过此功能可以实现AP 与AP 之间的无线通信。

l 802.11协议对WDS 的具体实现没作规定，这为各厂商WDS 的实现带来了灵活的余地，但各厂商产品之间的互通基本没有可
能性。

L2交换机AP AP
无线客户端
无线客户端
WDS 功能的典型应用与配置方式
企业分支网络1
l WDS 功能的两种配置方式àRoot 方式àPeer MAC方式
上行链路完整性检测功能
Radius Server
无线客户端
L2交换机
AP
trunk
l FAT AP支持上行链路的检测功能，并且根据上行链路的状态确定是否提供WLAN 接入服务à
WLAN uplink-interface Ethernet 1/0/1
信号消失
Fat AP的无线访问控制功能
Radius Server
无线
客户端L2交换机
AP
trunk
l 二层隔离功能
àl2fw wlan-client-isolation enablel 黑白名单功能àstatic-blacklist mac-address mac-add àwhitelist mac-address mac-add
l ACL 和防火墙功能
无线
客户端
Fat AP的射频管理功能
l 信道
à自动选择：Fat AP上电后会扫描一次周围的射频环境，通过比较自动选择干扰小，噪音低的信道为当前工作信道。

à手动设置：可以手动设定Fat AP当前工作信道。

l 功率
àFat AP功率只能通过手动设置。

à默认情况下，Fat AP以最大功率启动。

Fat AP的认证加密方式
l MAC 地址认证
àMAC 地址认证是相当常见的做法，几乎所有产品均有支持。

网管人员可以键入一组经过授权的终端MAC 地址，只有表上有其MAC 地址的终端才可以跟网络连接。

l PSK （Pre-shared key）认证
àPSK 认证要求在STA 侧预先配置Key ，AP 通过4次握手Key 协商协议来验证STA 侧Key 的合法性。

l 802.1x 认证
à802.1x 认证是基于端口的网络接入控制协议, 它提供了一个认证过程框架，支持多种认证协议。

在802.1x 中，不同的认证协议统一使用EAP 封装格式。

l WEP （Wired Equivalent Privacy）加密方式
àWEP 密钥采用RC4算法。

WEP 标准采用64位比特或128位比特加密。

l WPA （Wi-Fi Protected Access）安全架构
àIEEE 为了改进WEP 加密机制的各种缺陷制定了IEEE 802.11i安全标准。

标准采用了IEEE802.11i 的草案，保证了与未来出现的协议的前向兼容。

WPA 采用TKIP 和CCMP 加密算法。

l WPA2安全架构（又称为RSN （Robust Security Network））àWPA2采用CCMP （即AES ，advanced encryption standard）加密算法。

n Fat AP产品介绍与典型配置
n Fat AP主要特性
n 无线交换机工作原理
n 无线交换机应用部署方式
n 无线交换机主要特性
n 无线交换机产品介绍
n 无线交换机的典型组网与配置
目录
无线交换机的工作原理
l 无线交换机+Fit AP的连接方式
l 无线交换机+Fit AP系统构成特点l Fit AP零配置启动注册过程
l 无线交换机+Fit AP的数据转发原理无线交换机+Fit AP的连接方式
Fit AP
无线交换机无线交换机
无线交换机
Fit APFit APFit APFit AP
Fit AP直连方式二层网络连接方式三层网络连接方式
无线交换机+Fit AP系统构成特点
l 主要由无线交换机和Fit AP在有线网的基础上构成的。

l AP 零配置，硬件主要由CPU ＋内存＋RF 构成，配置和软件都要从无线交换机上下载。

所有AP 和无线客户端的管理都在无线交换机上完成。

l AP 和无线交换机之间的流量被私有协议加密；无线客户端的MAC 只出现在无线交换机端口，而不会出现在AP 的端口。

l 可以在任何现有的二层或三层LAN 拓扑上部署H3C 的通用无线解决方案，而无需重新配置主干或硬件。

无线交换机以及管理型接入点AP 可以位于网络中的任何位置。

在复杂的网络中，Fit AP如何得知无线交换机的位置？
AP 直连或通过二层网络连接时的注册流程
4.
AP 从无线交换机下载最新软件版本、配置
5.
AP 开始正常工作和无线交换机交换用户数据报文无线交换机
AP
DHCP Server
1. AP 通过DHCP server获取IP 地址
2. AP 发出二层广播的发现请求报文试图联
系一个无线交换机3. 接收到发现请求报文的无线交换机会检
查该AP 是否有接入本机的权限，如果有则回应发现响应AP 与无线交换机直连或通过二层网络连接：
AP 通过三层网络连接时的注册流程_option 43方式
AP
DHCP Server
无线交换机
2. AP 会从option 43属性中获取无线交换
机的IP 地址，然后向无线控制器发送单播发现请求。

1. AP 通过DHCP server 获取IP 地址、
option 43属性(携带无线交换机的IP 地址信息 3. 接收到发现请求报文的无线交换机会
检查该AP 是否有接入本机的权限，如果有则回应发现响应。

4. AP 从无线交换机下载最新软件版本、
配置AP 与无线交换机通过三层网络连接：5. AP 开始正常工作和无线交换机交换用
户数据报文
Option 43属性配置举例
l Option 43选项说明
à80：选项类型，固定为80，1个字节。

à0B: 选项长度，表示其后内容的长度
（十六进制数的个数，这里表示后面有11个十六进制数），一个字节。

à0000: Server type ，固定配为0000两
个字节。

à02：后面IP 地址的个数，一个字节。

à12010701,12010702：两个AC 的IP 地
址的十六进制表示，分别是18.1.7.1和18.1.7.2 ，其中18.1.7.1为主
AC.
l Microsoft DHCP Server
l H3C 设备内置DHCP Server
AP 通过三层网络连接时的注册流程_DNS方式
AP
DHCP Server
无线交换机
3.
AP 在多次尝试发现请求无回应的情况下：Ø
AP 会从DNS server获取H3C.xxxx.xxx 的IP 地址，该IP 地址即为无线交换机的IP 地址，其中xxxx.xxx 是从DHCP server学习到的域名。

DNS Server
2. AP 发出二层广播的发现请求报文试图联系一
个无线交换机1. AP 通过DHCP server获取IP 地址、DNS server
地址、域名5. 接收到发现请求报文的无线交换机会检查该AP
是否有接入本机的权限，如果有则回应发现响应。

6. AP 从无线交换机下载最新软件版本、配置7. AP 开始正常工作和无线交换机交换用户数据报文
AP 与无线交换机通过三层网络连接：
4. AP 向无线控制器发送单播发现请求。

无线交换机的数据转发
原理
STA
Server
VLAN 1IP:1.0.0.1
无线交换机
隧道口
IP:3.0.0.1
l 无线交换机和AP 间数据转发的核心思想
à在无线交换机和AP 之间建立IPinIP 隧道，无线交换机将这些隧道看做虚拟物理端口；
à无线客户端STA 的任何数据报文都将由AP 通过IPinIP 隧道交给无线交换机，由无线交换机统一转
发；à无线交换机从IPinIP 隧道接收到用户的数据后先解隧道封装，然后做数据交换，如果出接口为隧道
则对数据报文再次加上隧道封装，直到交换到最远端。

STA
VLAN 2IP:2.0.0.1
VLAN 1IP:1.0.0.2
STA IP:1.0.0.1 IP:1.0.0.3 IP:1.0.0.4
PC
无线交换机交换机
AP
L2交换机无线交换机AP PC IP:1.0.0.2
STA
STA>PC的数据转发
STA1VLAN1VLAN1IP:1.0.0.1 IP:1.0.0.2
IP:2.0.0.1
IP:3.0.0.1
STA1
无线交换机
AP1
AP1无线交换机AP2AP2 STA2IP:4.0.0.1
STA2
STA2->STA1的数据转发
n Fat AP产品介绍与典型配置n Fat AP主要特性n 无线交换机工作原理n 无线交换机应用部署方式n 无线交换机主要特性n 无线交换机产品介绍n 无线交换机的典型组网与配置
目录
无线交换机的应用部署方式
l 无线交换机+Fit AP集中式企业内部部署方式l 无线交换机+Fit AP分布式企业内部部署方式l 无线交换机+Fit AP企业分支机构部署方式
无线交换机+Fit AP集中式企业内
部部署方式
无线网管
无线
无线交换机+Fit AP分布式企业内部部署方式
管
无线有线客户端
二层楼
无线交换机+Fit AP企业分支机构部署方式
无线网管
无线客户端
无线客户端公司总部
有线客户端
n Fat AP产品介绍与典型配置n Fat AP主要特性n 无线交换机工作原理n 无线交换机应用部署方式n 无线交换机主要特性n 无线交换机产品介绍n 无线交换机的典型组网与配置
目录
无线交换机的主要特性
l 基于用户的授权
l 无线用户漫游
l 无线交换机端口聚合和负荷分担l Fit AP之间的负载均衡
l 无线交换机系统的冗余与可靠性l 基于用户身份的安全
l ROGUE （欺诈）探测
无线交换机系统－基于用户的授权
l 无线交换机可以通过自身设置或配合Radius 服务器对无线接入用户进行授权，如对用户下发VLAN 属性，实现基于用户的授权。

Radius ServerDHCP Server
trunk
无线交换机vlan 2vlan 3
Fit AP
User 2User 3
方式一、在无线交换机自身设置
mac-vlan mac-address 0000-0000-0002 vlan2mac-vlan mac-address 0000-0000-0003vlan 3
在WLAN-ESS 接口上使能mac-vlan 功能
port link-type hybrid
port hybrid vlan1 to 3 untaggedmac-vlan enable 方式二、通过Radius Server 授权
User 2 MAC ：0000-0000-0002User 3 MAC ： 0000-0000-0003
无线交换机系统－无线用户漫游
l 漫游：用户在移动时，保持它们的会话连接包括IP 地址、所属VLAN 及所连接的服务均不改变，用户感觉不到网络的变化。

l 漫游域（Mobility Domain）：漫游域是由多个无线交换机和AP 组成的支持wireless client漫游的无线网络系统。

Radius ServerDHCP Server无线交换机-1:vlan 1vlan 2
192.168.1.2User 1
User 1
无线交换机-2:vlan 1vlan 3
192.168.1.3
无线交换机端口聚合和负荷分担
l 无线交换机支持端口聚合，端口聚合可以实现各端口之间负载分担和动态备份。

无线交换机
L3 Switch
PoE Switch
Fit AP
Fit AP无线客户端
无线客户端端口聚合
Fit AP之间的负载均衡
l 当不同的AP 覆盖同一区域时，可通过负载均衡控制不同AP 的接入用户数，以保证密集用户区域的用户带宽性能。

l H3C FIT AP的负载均衡有两种方式，即用户数（session ）和流量
（traffic ）。

用户数负载均衡阈值默认值为20，最小为5，最大为40。

流量负载均衡阈值默认值30％，最小10％，最大80％。

无线交换机
AP1
AP2
client 6
client 5
client 1
····
AP1 Session:* client 1* client 2* client 3* client 4* client 5Total: 5
AP2 Session:
Total: 0
AP1 Session:
* client 1* client 2* client 3* client 4* client 5Total: 5
AP2 Session:* client 6Total: 1
client 6接入无线网络后，两个AP 的用户接入情况：
client 6接入无线网络前，两个AP 的用户接入情况：
无线交换机系统的冗余与可靠性
l 对于每个AP 都支持无线交换机上行互为备份，当其中一个发生故障时快速切换到另外一个无线交换机。

无线交换机1
L3 Switch
Fit AP
Fit AP
无线客户端
无线
客户端2
无线交换机系统－认证加密方式
l 支持通过Radius 服务器或者无线交换机本地数据库认证无线用户，支持的认证方式如下
à802.1X 认证àMAC 认证àPortal 认证àPPPoE 认证
l 无线交换机支持的加密方式如下
àWEP （Wired Equivalent Privacy）加密方式àWPA （Wi-Fi Protected Access）安全架构àWPA2安全架构
无线交换机系统－ROGUE(欺诈探测
l
Rogue AP是指未经授权在网络中运行的AP ，它及其用户造成了对网络安全的威胁。

l
无线交换机的Rogue AP检测功能用来检测Rogue 设备并对它们采取反制措施。

l
AP 可以工作在以下三种模式下:
àNormal 模式àMonitor 模式àHybrid 模
式
无线交换机
POE SwitchFit AP Fit AP
第三方
AP
n Fat AP产品介绍与典型配置n Fat AP主要特性n 无线交换机工作原理n 无线交换机应用部署方式n
无线交换机主要特性n 无线交换机产品介绍n 无线交换机的典型组网与配置
目录
WX 系列无线控制器
l 无线控制器W6103、WX5002与AP WA2110
à无线控制器WX6103。