无线局域网技术

WLAN [Wireless Local Area Network，无线局域网]

[TOC]

WLAN概述

WLAN即Wireless LAN（无线局域网），是指通过无线技术构建的无线局域网络

WLAN广义上是指以无线电波、激光、红外线等无线信号来代替有线局域网中的部分或全部传输介质所构成的网络

通过WLAN技术，用户可以方便地接入到无线网络，并在无线网络覆盖区域内自由移动，彻底摆脱有线网络的束缚

无线网络根据应用范围可分为WPAN、WLAN、WMAN、WWAN：

• WPAN [Wireless Personal Area Network]：个人无线网络，常用技术有Bluetooth、ZigBee、NFC、HomeRF、UWB
• WLAN [Wireless Local Area Network]：无线局域网，常用技术Wi-F
• WMAN [Wireless Metropolitan Area Network]：无线城域网，常用技术有WiMax
• WWAN [Wireless Wide Area Network]：无线广域网，常用技术有GSM、CDMA、WCDMA、TD-SCDMA、LTE、5G

IEEE 802.11是现今无线局域网通用的标准，是由国际电机电子工程学会(IEEE)定义的无线网络通信的标准

Wi-Fi联盟制造商的商标，并做为产品的品牌认证，是一种创建于IEEE 802.11标准上的无线局域网技术。在大多数场景下，Wi-Fi可等同于802.11

• IEEE 802.11标准聚焦在TCP/IP对等模型的下两层：
  • 数据链路层：主要负责信道接入、寻址、数据帧校验、错误检测、安全机制等内容
  • 物理层：主要负责在空口（空中接口）中传输比特流，例如规定所使用的频段等

IEEE 802.11第一个版本发表于1997年。更多基于IEEE 802.11的补充标准逐渐被定义，如802.11b、802.11a、802.11g、802.11n、802.11ac等

在IEEE 802.11ax标准推出之际，Wi-Fi联盟将新Wi-Fi规格的名字简化为Wi-Fi 6，主流的IEEE 802.11ac改称Wi-Fi 5、IEEE 802.11n改称Wi-Fi 4，其他世代以此类推

WLAN的基本概念

家庭WLAN产品：

家庭Wi-Fi路由器：通过把有线网络信号转换成无线信号，供家庭电脑、手机等设备接收，实现无线上网功能

企业WLAN产品：

• 无线接入点 [AP, Access Point]

  • 一般支持FAT AP、FIT AP和云管理AP三种工作模式，根据网络规划的需求，可以灵活地在多种模式下切换
  • FAT AP：适用于家庭，独立工作，需单独配置，功能较为单一，成本低。独立完成用户接入、认证、数据安全、业务转发和QoS等功能
  • FIT AP：适用于大中型企业，需要配合AC使用，由AC统一管理和配置，功能丰富，对网络维护人员的技能要求高。用户接入、AP上线、认证、路由、AP管理、安全协议、QoS等功能需要同AC配合完成
  • 云管理：适用于中小型企业，需要配合云管理平台使用，由云管理平台统一管理和配置，功能丰富，即插即用，对网络维护人员的技能要求低

• 无线接入控制器 [AC, Access Controller]

  • 一般位于整个网络的汇聚层，提供高速、安全、可靠的WLAN业务
  • 提供大容量、高性能、高可靠性、易安装、易维护的无线数据控制业务，具有组网灵活、绿色节能等优势

• PoE交换机 [Power over Ethernet，以太网供电]

  • 是指通过以太网网络进行供电，也被称为基于局域网的供电系统PoL [Power over LAN]或有源以太网[Active Ethernet]
  • PoE允许电功率通过传输数据的线路或空闲线路传输到终端设备
  • 在WLAN网络中，可以通过PoE交换机对AP设备进行供电

WLAN基本概念：

• 工作站STA (Station)：
  • 支持802.11标准的终端设备。例如带无线网卡的电脑、支持WLAN的手机等
• 无线接入控制器AC (Access Controller)：
  • 在AC+FIT AP网络架构中，AC对无线局域网中的所有FIT AP进行控制和管理
• 无线接入点AP (Access Point)：
  • 为STA提供基于802.11标准的无线接入服务，起到有线网络和无线网络的桥接作用
• 无线接入点控制与规范CAPWAP (Control And Provisioning of Wireless Access Points)：
  • 由RFC5415协议定义的，实现AP和AC之间的互通的一个通用封装和传输机制
• 射频信号 (无线电磁波)：提供基于802.11标准的WLAN技术的传输介质，是具有远距离传输能力的高频电磁波

基本的WLAN组网架构

WLAN网络架构分有线侧和无线侧两部分，有线侧是指AP上行到Internet的网络使用以太网协议，无线侧是指STA到AP之间的网络使用802.11协议

无线侧接入的WLAN网络架构

无线侧接入的WLAN网络架构为集中式架构，从最初的FAT AP架构，演进为AC+FIT AP架构。

• FAT AP 架构

  • 这种架构不需要专门的设备集中控制就可以完成无线用户的接入、业务数据的加密和业务数据报文的转发等功能，因此又称为自治式网络架构

  • 适用范围：家庭

  • 特点：AP独立工作，需要单独配置，功能较为单一，成本低
    缺点：随着WLAN覆盖面积增大，接入用户增多，需要部署的FAT AP数量也会增多，但FAT AP是独立工作的，缺少统一的控制设备，因此管理维护这些FAT AP就十分麻烦

• AC+FIT AP 架构

  • 这种架构中，AC负责WLAN的接入控制、转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制；FIT AP负责802.11报文的加解密、802.11的物理层功能、接受AC的管理等简单功能。
  • 适用范围：大中型企业
  • 特点：AP需要配合AC使用，由AC统一管理和配置，功能丰富，对网络运维人员的技能要求高。

敏捷分布式AP架构

AP的一种特殊架构，将AP拆分为中心AP和敏分AP两部分，中心AP可管理多台敏分AP

在适用的场景下，成本低，覆盖好。敏捷分布式AP可以用于FAT AP、AC+FIT AP、云管理架构

适用范围：房间分布密集的场景

有线侧组网

有线侧组网概念：CAPWAP协议：

CAPWAP [Control And Provisioning of Wireless Access Points Protocol，无线接入点控制和配置协议]：该协议定义了如何对AP进行管理、业务配置，即AC通过CAPWAP隧道来实现对AP的集中管理和控制

CAPWAP隧道的功能：

• AP与AC间的状态维护
• AC通过CAPWAP隧道对AP进行管理、业务配置下发
• 当采用隧道转发模式时，AP将STA发出的数据通过CAPWAP隧道实现与AC之间的交互

CAPWAP介绍

• CAPWAP是基于UDP进行传输的应用层协议
• CAPWAP协议在传输层运输两种类型的消息：
  • 业务数据流量，封装转发无线数据帧——通过CAPWAP数据隧道
  • 管理流量，管理AP和AC之间交换的管理消息——通过CAPWAP控制隧道
• CAPWAP数据和控制报文基于不同的UDP端口发送：
  • 管理流量端口为UDP端口5246，业务数据流量端口为UDP端口5247

有线侧组网概念：AP-AC组网方式：

二层是指AP和AC之间是二层组网，三层是指AC和AP之间是三层组网

• 二层组网AP可以通过二层广播，或者DHCP过程，即插即用上线
• 三层网络下，AP无法直接发现AC，需要通过DHCP或DNS方式动态发现，或者配置静态IP

有线侧组网概念：AC连接方式：

直连模式下AC部署在用户的转发路径上，旁挂则相反

直连模式用户流量要经过AC，会消耗AC转发能力，旁挂一般流量不会经过AC

• 直连式组网：

  • 对AC的吞吐量以及处理数据能力要求比较高，否则AC会是整个无线网络带宽的瓶颈
  • 优势：组网架构清晰，组网实施起来简单

• 旁挂式组网：

  • 实际组网中，大部分不是早期就规划好无线网络，无线网络的覆盖架设是后期在现有网络中扩展而来

• 旁挂式组网就比较容易进行扩展，只需将AC旁挂在现有网络中，就可以对终端AP进行管理

  • 旁挂式组网方式使用率比较高

  在旁挂式组网中，AC只承载对AP的管理功能，管理流封装在CAPWAP隧道中传输，数据业务流可以通过CAPWAP数据隧道经AC转发，也可以不经过AC转发直接转发，后者无线用户业务流经汇聚交换机由汇聚交换机传输至上层网络

无线侧组网

无线侧组网概念：无线通信系统：

无线通信系统中，信息可以是图像、文字、声音等。信息需要先经过信源编码转换为方便于电路计算和处理的数字信号，再经过信道编码和调制，转换为无线电波发射出去

• 编码：
  • 信源编码：将最原始的信息，经过对应的编码，转换为数字信号的过程。
  • 信道编码：是一种对信息纠错、检错的技术，可以提升信道传输的可靠性。信息在无线传输过程中容易受到噪声的干扰，导致接收信息出错，引入信道编码能够在接收设备上最大程度地恢复信息，降低误码率
• 调制：将数字信号叠加到高频振荡电路产生的高频信号上，才能通过天线转换成无线电波发射出去。叠加动作就是调制的过程
• 信道：传输信息的通道，无线信道就是空间中的无线电波
• 空中接口：简称空口，无线信道使用的接口。发送设备和接收设备使用接口和信道连接，对于无线通信，接口是不可见的，连接着不可见的空间

无线侧组网概念：无线电磁波：

无线电磁波是频率介于3赫兹和约300G赫兹之间的电磁波，也叫作射频电波，或简称射频、射电。无线电技术将声音讯号或其他信号经过转换，利用无线电磁波传播

常用频段：2.4GHz频段 2.4GHz~2.4835GHz 与5GHz频段 5.15GHz~5.35GHz 和 5.725GHz~5.85GHz

• 极低频 (3Hz–30Hz)：潜艇通讯或直接转换成声音
• 超低频 (30Hz–300Hz) ：直接转换成声音或交流输电系统（50-60赫兹)
• 特低频 (300Hz–3KHz) ：矿场通讯或直接转换成声音
• 甚低频 (3KHz–30KHz) ：直接转换成声音、超声、地球物理学研究
• 低频 (30KHz–300KHz) ：国际广播
• 中频 (300KHz–3MHz) ：调幅(AM)广播、海事及航空通讯
• 高频 (3MHz–30MHz) ：短波、民用电台
• 甚高频 (30MHz–300MHz) ：调频(FM)广播、电视广播、航空通讯
• 特高频 (300MHz–3GHz) ：电视广播、无线电话通讯、无线网络、微波炉
• 超高频 (3GHz–30GHz) ：无线网络、雷达、人造卫星接收
• 极高频 (30GHz–300GHz) ：射电天文学、遥感、人体扫描安检仪
• 300GHz以上：红外线、可见光、紫外线、射线等

无线侧组网概念：无线信道：

信道是传输信息的通道，无线信道就是空间中的无线电磁波。无线电磁波无处不在，如果随意使用频谱资源，那将带来无穷无尽的干扰问题，所以无线通信协议除了要定义出允许使用的频段，还要精确划分出频率范围，每个频率范围就是信道

无线侧组网概念：BSS/SSID/BSSID：

• 基本服务集BSS [Basic Service Set]：

  无线网络的基本服务单元，通常由一个AP和若干STA组成，BSS是802.11网络的基本结构。由于无线介质共享性，BSS中报文收发需携带BSSID

  • 一个AP所覆盖的范围
  • 在一个BSS的服务区域内，STA可以相互通信

• 基本服务集标识符BSSID [Basic Service SetIdentifier]：

  • 是无线网络的一个身份标识，用AP的MAC地址表示
  • AP上的数据链路层MAC地址
  • 为了区分BSS，要求每个BSS都有唯一的BSSID，因此使用AP的MAC地址来保证其唯一性

• 服务集标识符SSID [Service Set Identifier]：

  • 是无线网络的一个身份标识，用字符串表示，为了便于用户辨识不同的无线网络，用SSID代替BSSID
  • 如果一个空间部署了多个BSS，终端就会发现多个BSSID，只要选择加入的BSSID就行。但是做选择的是用户，为了使得AP的身份更容易辨识，则用一个字符串来作为AP的名字。这个字符串就是SSID。

无线侧组网概念：VAP [Virtual Access Point] ：

VAP就是在一个物理实体AP上虚拟出的多个AP，是AP设备上虚拟出来的业务功能实体。

• 每个VAP提供和物理实体AP一样的功能，用户可以在一个AP上创建不同的VAP来为不同的用户群体提供无线接入服务
• 每个VAP对应1个BSS。这样1个AP，就可以提供多个BSS，可以再为这些BSS，设置不同的SSID。

无线侧组网概念：ESS

为了满足实际业务的需求，需要对BSS的覆盖范围进行扩展。同时用户从一个BSS移动到另一个BSS时，不能感知到SSID的变化，则可以通过扩展服务集ESS实现

扩展服务集ESS [Extend Service Set]：

由多个使用相同SSID的BSS组成，是采用相同的SSID的多个BSS组成的更大规模的虚拟BSS

ESS (Extend Service Set)：

• 采用相同的SSID的多个BSS组成的更大规模的虚拟BSS
• 用户可以带着终端在ESS内自由移动和漫游，不管用户移动到哪里，都可以认为使用的同一个WLAN

WLAN漫游：

WLAN漫游指STA在同属一个ESS的不同AP的覆盖范围之间移动且保持用户业务不中断的行为

• WLAN网络的优势就是STA不受物理介质的影响，可以在WLAN覆盖范围内四处移动并且能够保持业务不中断

• 同一个ESS内包含多个AP设备，当STA从一个AP覆盖区域移动到另外一个AP覆盖区域时，利用WLAN漫游技术可以实现STA用户业务的平滑切换

WLAN的工作原理

AP上线

1. AP获取IP地址:

AP必须获得IP地址才能够与AC通信，WLAN网络才能够正常工作

AP获取IP地址的方式包括以下：

• 静态方式：登录到AP设备上手工配置IP地址

• DHCP方式：通过配置DHCP服务器，使AP作为DHCP客户端向DHCP服务器请求IP地址

  

典型方案：

• 部署专门的DHCP Server为AP分配IP地址
• 使用AC的DHCP服务为AP分配IP地址
• 使用网络中的设备，例如核心交换机为AP分配IP地址

2. AP发现AC并与之建立CAPWAP隧道：

Step1：AP动态发现AC

• 静态方式：AP上预先配置了AC的静态IP地址列表。AP上线时，AP发送Discovery Request单播报文到所有预配置列表对应IP地址的AC。AP通过接收到的Discovery Response报文，选择一个AC开始建立CAPWAP隧道
• 动态方式：分为DHCP方式、DNS方式和广播方式

DHCP方式：

• 通过DHCP的四步交互过程，获取AC的IP地址：
  • 在没有预配置AC的IP列表时，则启动AP动态AC发现机制。通过DHCP获取IP地址，并通过DHCP协议中的Option返回AC地址列表（在DHCP服务器上配置DHCP响应报文中携带Option 43，且Option 43携带AC的IP地址列表）
  • 首先是AP发送DHCP Discover广播报文，请求DHCP Server响应，在DHCP服务器侦听到DHCP Discover报文后，它会从没有租约的地址范围中，选择最前面的闲置IP，连同其他TCP/IP设定，响应AP一个DHCP Offer报文，该报文中会包含一个租约期限的信息
  • 由于DHCP Offer报文既可以是单播报文，也可以是广播报文，当AP端收到多台DHCP Server的响应时，只会挑选其中一个Offer(通常是最先抵达的那个)，然后向网络中发送一个DHCP Request广播报文，告诉所有的Offer，并重新发送DHCP，将指定接收哪一台服务器提供的IP地址
  • 当DHCP Server接收到AP的Request报文之后，会向AP发送一个DHCP Ack响应，该报文中携带的信息包括了AP的IP地址，租约期限，网关信息，以及DNS Server IP等，以此确定租约的正式生效，就此完成DHCP的四步交互工作
• 通过AC发现机制，与AC关联：
  • AP通过DHCP服务获取AC的IP地址后，使用AC发现机制来获知哪些AC是可用的，决定与最佳AC来建立CAPWAP的连接
  • AP启动CAPWAP协议的发现机制，以单播或广播的形式发送发现请求报文试图关联AC，AC收到AP的Discovery Request以后，会发送一个单播Discovery Response 给AP，AP可以通过Discover Response中所带的AC优先级或者AC上当前AP的个数等，确定与哪个AC建立会话

广播方式：

• 当AP启动后，如果DHCP方式和DNS方式均未获得AC的IP或AP发出发现请求报文后未收到响应，则AP启动广播发现流程，以广播包方式发出发现请求报文
• 接收到发现请求报文的AC检查该AP是否有接入本机的权限（已经授权的MAC地址或者序列号），如果有则发回响应。如果该AP没有接入权限，AC则拒绝请求
• 广播发现方式只适用于AC/AP间为二层可达的网络场景

Step2：建立CAPWAP隧道

AP与AC关联，完成CAPWAP隧道建立。包括数据隧道和控制隧道：
数据隧道：AP接收的业务数据报文经过CAPWAP数据隧道集中到AC上转发。同时还可以选择对数据隧道进行数据传输层安全DTLS（Datagram Transport Layer Security）加密，使能DTLS加密功能后，CAPWAP数据报文都会经过DTLS加解密。
控制隧道：通过CAPWAP控制隧道实现AP与AC之间的管理报文的交互。同时还可以选择对控制隧道进行数据传输层安全DTLS加密，使能DTLS加密功能后，CAPWAP控制报文都会经过DTLS加解密。

3. AP接入控制：

AP发现AC后，会发送Join Request报文。AC收到后会判断是否允许该AP接入，并响应Join Response报文

• AC上支持三种对AP的认证方式：
  • MAC认证
  • 序列号（SN）认证
  • 不认证
• AC上添加AP的方式有三种：
  • 离线导入AP：预先配置AP的MAC地址和SN，当AP与AC连接时，如果AC发现AP和预先增加的AP的MAC地址和SN匹配，则AC开始与AP建立连接
  • 自动发现AP：当配置AP的认证模式为不认证或配置AP的认证模式为MAC或SN认证且将AP加入AP白名单中，则当AP与AC连接时，AP将被AC自动发现并正常上线
  • 手工确认未认证列表中的AP：当配置AP的认证模式为MAC或SN认证，但AP没有离线导入且不在已设置的AP白名单中，则该AP会被记录到未授权的AP列表中。需要用户手工确认后，此AP才能正常上线

4. AP版本升级：

AP根据收到的Join Response报文中的参数判断当前的系统软件版本是否与AC上指定的一致。如果不一致，则AP通过发送Image Data Request报文请求软件版本，然后进行版本升级

在AC上给AP升级方式：

• 自动升级：主要用于AP还未在AC中上线的场景。通常先配置好AP上线时的自动升级参数，然后再配置AP接入。AP在之后的上线过程中会自动完成升级。如果AP已经上线，配置完自动升级参数后，任意方式触发AP重启，AP也会进行自动升级。但相比于自动升级，使用在线升级方式升级能够减少业务中断的时间
  • AC模式：AP升级时从AC上下载升级版本，适用于AP数量较少时的场景
  • FTP模式：AP升级时从FTP服务器上下载升级版本，适用于网络安全性要求不是很高的文件传输场景中，采用明文传输数据，存在安全隐患
  • SFTP模式：AP升级时从SFTP服务器上下载升级版本，适用于网络安全性要求高的场景，对传输数据进行了严格加密和完整性保护
• 在线升级：主要用于AP已在AC中上线并已承载了WLAN业务的场景。
• 定时升级：主要用于AP已在AC中上线并已承载了WLAN业务的场景，通常指定在网络访问量少的时间段升级

5. CAPWAP隧道维持：

• 数据隧道维持：AP与AC之间交互Keepalive (UDP端口号为5247)报文来检测数据隧道的连通状态
• 控制隧道维持：AP与AC交互Echo (UDP端口号为5246)报文来检测控制隧道的连通状态

WLAN业务配置下发

AC向AP发送Configuration Update Request请求消息，AP回应Configuration Update Response消息，AC再将AP的业务配置信息下发给AP

配置模板

为了方便用户配置和维护WLAN的各个功能，针对WLAN的不同功能和特性设计了各种类型的模板，这些模板统称为WLAN模板

AP组和AP下都能够引用如下模板：域管理模板、AP系统模板、射频模板、VAP模板，部分模板例还能继续引用其它模板

• 域管理模板：
  • 国家码用来标识AP射频所在的国家，不同国家码规定了不同的AP射频特性，包括AP的发送功率、支持的信道等。配置国家码是为了使AP的射频特性符合不同国家或区域的法律法规要求
  • 通过配置调优信道集合，可以在配置射频调优功能时指定AP信道动态调整的范围，同时避开雷达信道和终端不支持信道
• 射频模板：
  • 根据实际的网络环境对射频的各项参数进行调整和优化，使AP具备满足实际需求的射频能力，提高WLAN网络的信号质量。射频模板中各项参数下发到AP后，只有AP支持的参数才会在AP上生效
  • 可配置的参数有：射频的类型、射频的速率、射频的无线报文组播发送速率、AP发送Beacon帧的周期等
• VAP模板：
  • 在VAP模板下配置各项参数，然后在AP组或AP中引用VAP模板，AP上就会生成VAP，VAP用来为STA提供无线接入服务。通过配置VAP模板下的参数，使AP实现为STA提供不同无线业务服务的能力
  • VAP模板下还能继续引用SSID模板、安全模板、流量模板等
• 其他模板：如WIDS模板、AP有线口模板、WDS模板、定位模板和Mesh模板等

射频参数配置：

• AP射频需要根据实际的WLAN网络环境来配置不同的基本射频参数，以使AP射频的性能达到更优
• WLAN网络中，相邻AP的工作信道存在重叠频段时，容易产生信号干扰，对AP的工作状态产生影响。为避免信号干扰，使AP工作在更佳状态，提高WLAN网络质量，可以手动配置相邻AP工作在非重叠信道上
• 根据实际网络环境的需求，配置射频的发射功率和天线增益，使射频信号强度满足实际网络需求，提高WLAN网络的信号质量
• 实际应用场景中，两个AP之间的距离可能为几十米到几十公里，因为AP间的距离不同，所以AP之间传输数据时等待ACK报文的时间也不相同。通过调整合适的超时时间参数，可以提高AP间的数据传输效率

VAP模板

• SSID模板：主要用于配置WLAN网络的SSID名称，还可以配置其他功能，主要包括如下功能：
  • 隐藏SSID功能：
    • 用户在创建无线网络时，为了保护无线网络的安全，可以对无线网络名称进行隐藏设置。这样，只有知道网络名称的无线用户才能连接到这个无线网络中
  • 单个VAP下能够关联成功的最大用户数：
    • 单个VAP下接入的用户数越多，每个用户能够使用的平均网络资源就越少，为了保证用户的上网体验，可以根据实际的网络状况配置合理的最大用户接入数
  • 用户数达到最大时自动隐藏SSID的功能：
    • 使能用户数达到最大时自动隐藏SSID的功能后，当WLAN网络下接入的用户数达到最大时，SSID会被隐藏，新用户将无法搜索到SSID
• 安全模板：配置WLAN安全策略，可以对无线终端进行身份验证，对用户的报文进行加密，保护WLAN网络和用户的安全
  • WLAN安全策略支持开放认证、WEP、WPA/WPA2-PSK、WPA/WPA2-802.1X等，在安全模板中选择其中一种进行配置
• 数据转发方式：
  • 控制报文是通过CAPWAP的控制隧道转发的，用户的数据报文分为隧道转发方式、直接转发方式
• 业务VLAN：
  • 由于WLAN无线网络灵活的接入方式，STA可能会在某个地点集中接入到同一个WLAN无线网络中，然后漫游到其它AP覆盖的无线网络环境下
    • 业务VLAN配置为单个VLAN时，在接入STA数众多的区域容易出现IP地址资源不足、而其它区域IP地址资源浪费的情况
    • 业务VLAN配置为VLAN pool时，可以在VLAN pool中加入多个VLAN，然后通过将VLAN pool配置为VAP的业务VLAN，实现一个SSID能够同时支持多个业务VLAN
      • 新接入的STA会被动态的分配到VLAN pool中的各个VLAN中，减少了单个VLAN下的STA数目，缩小了广播域
      • 同时每个VLAN尽量均匀的分配IP地址，减少了IP地址的浪费

STA接入

CAPWAP隧道建立完成后，用户就可以接入无线网络。

STA接入过程分为六个阶段：扫描阶段、链路认证阶段、关联阶段、接入认证阶段、DHCP、用户认证

1. 扫描阶段：

STA可以通过主动扫描，定期搜索周围的无线网络，获取到周围的无线网络信息

主动扫描：

• 携带有指定SSID的主动扫描方式：
  • 适用于STA通过主动扫描接入指定的无线网络
  • 客户端发送携带有指定SSID的Probe Request：STA依次在每个信道发出Probe Request帧，寻找与STA有相同SSID的AP，只有能够提供指定SSID无线服务的AP接收到该探测请求后才回复探查响应
• 携带空SSID的主动扫描方式：
  • 适用于STA通过主动扫描可以获知是否存在可使用的无线服务

被动扫描：

• 被动扫描是指客户端通过侦听AP定期发送的Beacon帧 [信标帧，包含：SSID、支持速率等信息]发现周围的无线网络，缺省状态下AP发送Beacon帧的周期为100TUs

2. 链路认证阶段：

无线接入安全协议

WLAN技术是以无线射频信号作为业务数据的传输介质，这种开放的信道使攻击者很容易对无线信道中传输的业务数据进行窃听和篡改

链路认证

为了保证无线链路的安全，接入过程中AP需要完成对STA的认证

802.11链路定义了两种认证机制：开放系统认证和共享密钥认证

共享密钥认证：
STA和AP预先配置相同的共享密钥，AP在链路认证过程验证两边的密钥配置是否相同。一致则成功；否则失败

• 认证过程：
  1. STA向AP发送认证请求 [Authentication Request]
  2. AP随即生成一个 挑战短语 [Challenge] 发给STA
  3. STA使用预先设置好的密钥加密挑战短语 [EncryptedChallenge] 并发给AP
  4. AP接收到经过加密的挑战短语，用预先设置好的密钥解密该消息，然后将解密后的挑战短语与之前发送给STA的进行比较。如果相同，认证成功；否则，认证失败

3. 关联：

完成链路认证后，STA会继续发起链路服务协商，具体的协商通过Association报文实现

终端关联过程实质上就是链路服务协商的过程，协商内容包括：支持的速率、信道等

FIT AP架构中关联阶段处理过程：

1. STA向AP发送Association Request请求，请求帧中会携带STA自身的参数以及根据服务配置选择的参数
2. AP收到Association Request请求帧后将其进行CAPWAP封装，并上报AC
3. AC收到关联请求后判断是否需要进行用户的接入认证，并回应Association Response
4. AP收到Association Response后将其进行CAPWAP解封装，并发给STA

4. 接入认证：

接入认证即对用户进行区分，并在用户访问网络之前限制其访问权限。相对于链路认证，接入认证安全性更高。

主要包含：PSK认证和802.1X认证

5. STA地址分配 [DHCP]：

STA获取到自身的IP地址，是STA正常上线的前提条件

如果STA是通过DHCP方式获取IP地址，可以用AC设备或汇聚交换机作为DHCP服务器为STA分配IP地址。一般情况下使用汇聚交换机作为DHCP服务器

6. 用户认证：

用户认证是一种“端到端”的安全结构，包括：802.1X认证、MAC认证和Portal认证

WLAN业务数据转发

CAPWAP中的数据包括控制报文和数据报文，控制报文是通过CAPWAP的控制隧道转发的

用户的数据报文分为隧道转发方式和直接转发方式

• 隧道转发方式：
  • 优点：AC集中转发数据报文，安全性好，方便集中管理和控制
  • 缺点：业务数据必须经过AC转发，报文转发效率比直接转发方式低，AC所受压力大
• 直接转发方式：
  • 优点：数据报文不需要经过AC转发，报文转发效率高，AC所受压力小
  • 缺点：业务数据不便于集中管理和控制

WLAN的配置实现

配置AP上线

1. 配置AC作为DHCP服务器，配置Option 43字段：

[AC-ip-pool-pool1] option code [ sub-option sub-code ] { ascii ascii-string | hex hex-string | cipher cipher-string | ip-address ip-address
#	配置DHCP服务器分配给DHCP客户端的自定义选项
#	参考语句：
<HUAWEI> system-view
[HUAWEI] ip pool pool1
[HUAWEI-ip-pool-global1] option 43 hex 11

• code：指定自定义选项Option的数值。整数形式，取值范围1～254，但1、3、6、15、44、46、50、51、52、53、54、55、57、58、59、61、82、121、184不能配置
• sub-option sub-code：指定自定义的Option子选项的数值。整数形式，取值范围是1～254
• ascii | hex | cipher：指定自定义的选项码为ASCII字符串类型，或十六进制字符串类型，或密文字符串类型
• ip-address ip-address：指定自定义的选项码为IP地址类型

2. 创建域管理模板，并配置国家码：

[AC] wlan	#进入WLAN视图
[AC-wlan-view] regulatory-domain-profile name profile-name	
#	创建域管理模板，并进入模板视图，若模板已存在则直接进入模板视图
#	name profile-name：指定域管理模板的名称
[AC-wlan-regulate-domain-profile-name] country-code country-code
#	配置设备的国家码标识
[AC-wlan-view] ap-group name group-name
#	创建AP组，并进入AP组视图，若AP组已存在则直接进入AP组视图
#	name group-name，指定AP组的名称
[AC-wlan-ap-group-group-name] regulatory-domain-profile profile-name
#	将指定的域管理模板引用到AP或AP组
#	用户在使用命令regulatory-domain-profile（WLAN视图）创建域管理模板后，需要在AP或AP组下引用域管理模板才能生效

3. 配置源接口或源地址：

[AC] capwap source interface { loopback loopback-number | vlanif vlan-id }
#	配置AC与AP建立CAPWAP隧道的源接口
[AC] capwap source ip-address ip-address
#	配置AC的源IP地址

参数	参数说明
loopback loopback-number	指定Loopback接口为源接口
vlanif vlan-id	指定VLANIF接口为源接口

4. 添加AP设备 – 离线导入AP：

[AC-wlan-view] ap auth-mode { mac-auth | no-auth | sn-auth }
#	配置AP认证模式为MAC地址认证，或SN认证，缺省为MAC地址认证

参数	参数说明
mac-auth	指定AP认证模式为MAC地址认证
no-auth	指定AP认证模式为不认证
sn-auth	指定AP认证模式为SN认证

[AC-wlan-view] ap-id ap-id [ [ type-id type-id | ap-type ap-type ] { ap-mac ap-mac | ap-sn ap-sn | ap-mac ap-mac ap-sn ap-sn } ] #离线增加AP设备或进入AP视图
[AC-wlan-ap-ap-id] ap-name ap-name	#配置单个AP的名称

参数	参数说明
ap-id	AP设备索引
type-id type-id	AP设备类型索引
ap-type ap-type	AP设备类型
ap-mac ap-mac	AP的MAC地址
ap-sn ap-sn	AP的序列号

[AC-wlan-view] ap-id 0
[AC-wlan-ap-0] ap-group ap-group	#配置AP所加入的组

5. 检查AP上线结果：

[AC] display ap { all | ap-group ap-group }}	#查看AP信息

配置射频

1. 进入射频视图：

[AC-wlan-view] ap-id 0
[AC-wlan-ap-0] radio radio-id
#radio-id：射频ID，必须是已存在的射频ID

2. 配置指定射频的工作带宽和信道：

[AC-wlan-radio-0/0] channel { 20mhz | 40mhz-minus | 40mhz-plus | 80mhz | 160mhz } channel
Warning: This action may cause service interruption. Continue?[Y/N]
#配置AP组中所有AP或单个AP指定射频的工作带宽和信道

[AC-wlan-radio-0/0] channel 80+80mhz channel1 channel2
Warning: This action may cause service interruption. Continue?[Y/N]
#配置AP组中所有AP或单个AP指定射频的工作带宽和信道

3. 配置天线的增益：

[AC-wlan-radio-0/0] antenna-gain antenna-gain # 配置AP组中所有AP或单个AP指定射频的天线增益

参数	参数说明	取值
antenna-gain	天线增益	整数，取值范围：–10dB～30dB

4. 配置射频的发射功率：

[AC-wlan-radio-0/0] eirp eirp #配置AP组中所有AP或单个AP指定射频的发射功率

5. 配置射频覆盖距离参数：

[AC-wlan-radio-0/0] coverage distance distance
#配置AP组中所有AP或单个AP指定射频的射频覆盖距离参数
#distance：射频覆盖距离参数。每个射频覆盖距离参数对应一组slottime、acktimeout和ctstimeout数值
#根据AP间的实际距离配置射频覆盖距离参数后，AP设备根据此参数值调整对应的slottime、acktimeout和ctstimeout数值。整数类型，取值范围：1～400，单位为100m

6. 配置射频工作的频段：

[AC-wlan-radio-0/0] frequency { 2.4g | 5g }

7. 创建射频模板：

[AC-wlan-view] radio-2g-profile name profile-name

• name profile-name：指定2G射频模板的名称。字符串类型，不区分大小写，可输入的字符串长度为1～35个字符。可见字符，不能包含“?”和空格，双引号不能出现在字符串的首尾
• 缺省情况下，系统上存在名为default的2G射频模板

8. 引用射频模板：

[AC-wlan-view] ap-group name group-name
[AC-wlan-ap-group-group-name] radio-2g-profile profile-name radio { radio-id | all }
#在AP组中，将指定的2G射频模板引用到2G射频

• profile-name：指定2G射频模板的名称。必须是已存在的2G射频模板名称
• radio radio-id：指定射频的ID。整数类型，取值范围：0和2
• radio all：指定所有的射频

配置VAP

1. 创建VAP模板：

[AC-wlan-view] vap-profile name profile-name
#	创建VAP模板，并进入模板视图，若模板已存在则直接进入模板视图

2. 配置数据转发方式：

[AC-wlan-vap-prof-profile-name] forward-mode { direct-forward | tunnel }
#	配置VAP模板下的数据转发方式，可以是直接转发或隧道转发

3. 配置业务VLAN：

[AC-wlan-vap-prof-profile-name] service-vlan { vlan-id vlan-id | vlan-pool pool-name }
#	配置VAP的业务VLAN

4. 配置安全模板：

[AC-wlan-view] security-profile name profile-name	#创建安全模板或者进入安全模板视图
#	缺省情况下，系统已经创建名称为default、default-wds和default-mesh的安全模板
[AC-wlan-view] vap-profile name profile-name 
[AC-wlan-vap-prof-profile-name] security-profile profile-name#	在指定VAP模板中引用安全模板

5. 配置SSID模板：

[AC-wlan-view] ssid-profile name profile-name
#	创建SSID模板，并进入模板视图，若模板已存在则直接进入模板视图
#	缺省情况下，系统上存在名为default的SSID模板
[AC-wlan-ssid-prof-profile-name] ssid ssid
#	配置当前SSID模板中的服务组合识别码SSID（Service Set Identifier）。
#	缺省情况下，SSID模板中的SSID为HUAWEI-WLAN。
[AC-wlan-view] vap-profile name profile-name 
[AC-wlan-vap-prof-profile-name] ssid-profile profile-name#	在指定VAP模板中引用SSID模板

6. 引用VAP模板：

[AC-wlan-view] ap-group name group-name
[AC-wlan-ap-group-group-name] vap-profile profile-name wlan wlan-id radio { radio-id | all } [ service-vlan { vlan-id vlan-id | vlan-pool pool-name } ]
#	在AP组中，将指定的VAP模板引用到射频

7. 查看VAP信息：

[AC] display vap { ap-group ap-group-name | { ap-name ap-name | ap-id ap-id } [ radio radio-id ] } [ ssid ssid ]
[AC] display vap { all | ssid ssid }#	查看业务型VAP的相关信息