导图社区 华为认证-WLAN
- 347
- 7
- 0
- 举报
华为认证-WLAN
华为认证WLAN基础学习笔记 包括内容:HCIA-Datacom中的WLAN概述、HCIP-Datacom-Core Technology中的大型WLAN组网介绍与部署以及部分HCIA-WLAN中的内容
编辑于2022-08-25 10:38:18 河北省- 网络工程师
- 华为认证
- ICT
- WLAN
- 相似推荐
- 大纲
WLAN
无线技术概述
概述
WLAN
有线网络的无线化延伸
WIFI
一种基于IEEE 802.11标准的无线局域网技术
802.11
信道
2.4 GHz频段 (2.4 GHz~2.4835 GHz)和 5 GHz频段 (5.15GHz~5.35 GHz,5.725 GHz~5.85 GHz)。
在配置40MHz或者80MHz调优带宽时,请先确认国家码下是否存在相应带宽的信道。 为确保调优效果,建议调优信道不少于三个。 为了避免信号干扰,请确保相邻AP工作在非重叠信道上。由于2.4G频段存在重叠信道,建议用户在配置调优信道时,选择1、6、11或者1、5、9、13的非重叠信道组合。 802.11b信道带宽22,可用信道11个,3个信道不重叠,即1、6、11 5g频段相邻信道之间不重叠,2.4g相邻重叠 中国可用信道 36、40、44、48、52、56、60、64 8个 149、153、157、161、165 5个 总共13个
lEEE80211b/g协议规定的工作频率范围为2.4~24835GHz。 在此频率范围内,802.11协议定义了14个信道,相邻两个信道的中心频率之间相差5MHz,即信道1的中心频率为2412GHz,信道2的中心频率为2.417GHz。依此类推至位于2472GHz的信道13.而信道14是特别针对日本所定义的,其中心频率与信道13的中心频率相差12MHz 14个信道在各个国家开放的情况也不一样,在美国、加拿大等主要北美地区开放的信道范围为1~11信道,在欧洲的大部分地区开放1~13信道,在中国同样开放1~13信道,而在日本开放全部的1~14信道。
为了最大程度的利用频段资源,减少信道间的干扰,通常使用1、6、11;2、7、12;3、8、13;4、9、14这四组互相不干扰的信道来进行无线覆盖。而由于只有部分国家开放了12~14信道,所以在一般情况下,都使用1、6、11这三个信道来进行无线部署对于80211a的5G频段,在中国一共开放了5个信道,分别是149、153、157、161、165信道,这5个信道相互之间不重叠,为互不干扰信道
WIFI关键技术
物理层
OFDM(正交频分复用)
OFDM是一种特殊的多载波调制技术,其主要思想是将信道分成若干正交子信道
BPSK( Binary Phase Shift Keying )二进制相移键控 QPSK( Quadrature Phase Shift Keying )正交相移键控 QAM(Quadrature Amplitude Modulation)正交幅度调制
OFDMA(正交频分多址技术)
OFDMA是通过将整个信道资源划分成多个子载波(也可称为子信道),通过不同的频率区分不同的用户, OFDMA实现了多个用户同时进行数据传输
MIMO
MU-MIMO(Multi-User Multiple-Input Multiple-Output,多用户-多输入多输出)
MAC层
CSMA/CA
分布式协调功能(DCF):使用载波侦听/多址访问/冲突避免(CSMA/CA)机制
CSMA/CA 是 DCF 的核心机制
RTS/CTS
RTS/CTS(Request To Send/Clear To Send,请求发送/允许发送):用来减少节点问题所造 成的冲突机制。
RTS帧的作用:预约链路使用权;其他收到该RTS的STA保持沉默。 CTS帧作用:用于AP 答复RTS帧;其他收到该CTS的STA保持沉默。
信道绑定
2.4G
信道捆绑是指将相邻的两个不重叠20MHz信道绑 定成40MHz,使传输速率成倍提高
2.4GHz频段最大只能实现40MHz的信道捆绑频宽
一个为主带宽,一个为次带宽, 主信道发送beacon报文和部分数据报文,辅信道 发送其他报文。
5G
若捆绑两个相邻的20MHz信道时,辅助20MHz带宽的中心频率低于主信道的中心频率,则为plus,反之则为minus
帧间间隔
WIFI6新技术
使用了OFDMA
降低时延
QAM是OFDM子信道的一种调制技术,WiFi6支持更高的QAM
提高带宽
支持上行的MU-MIMO
高并发
目标唤醒时间(TWT)
目的是节能省电
BSS Color着色机制
每个通道分配一种 颜色,通过颜色识别同频传输干扰信号
WLAN基本术语
有线侧组网
CAPWAP是基于UDP进行传输的应用层协议。 CAPWAP数据和控制报文基于不同的UDP端口 CAPWAP协议在传输层运输两种类型的消息: 业务数据流量,封装转发无线数据帧。 ---通过 CAPWAP数据隧道---UDP端口5247 管理流量,管理AP和AC之间交换的管理消息。---通过 CAPWAP控制隧道---UDP端口5246
WLAN中的数据包括控制报文和数据报文 控制报文通过 CAPWAP隧道转发 用户数据报文分为隧道转发、直接转发
AP和AC间的组网分为:二层组网和三层组网。(是否在同一网段)
AC的连接方式分为:直连式组网和旁挂式组网。
用户的数据报文转发方式分为:隧道转发(又称为“集中转发”)方式和直 接转发(又称为“本地转发”)。
无线侧组网
WLAN漫游指STA在同属一个ESS的不同AP的覆盖范围之间移动且保持用户业务不中断的行为。
WLAN规划
WLAN可靠性
AC可靠性
HSB(Hot Standby,热备份)是华为主备公共机制
业务可靠性
WLAN组网架构
WLAN工作原理
1、AP上线
①AP获取IP地址(Discovery)
手工
DHCP
②AP发现AC
手工
动态
三层
单播
DHCP Option 43/52
通过DNS获取AC的域名
二层
广播
③建立CAPWAP隧道
DTS协商数据是否加密
AC认证(Join)
MAC
默认
序列号(SN)
不认证
检查AP的版本
配置检查及是否要更新
隧道维护
数据隧道
keeplive
控制隧道
Echo Request/Response
2、AC配置下发
3、STA上线
扫描
链路认证
链路认证和接入认证使用同一套安全策略
WPA/WPA2-PSK
个人版 无需认证服务器
WPA/WPA2-802.1X
企业版 使用RADIUS服务器认证
WPA/WPA2两种认证模式
WPA/WPA2-PSK
所有客户端密钥相同
WPA/WPA2-PPSK
每个用户都可以有不同的密钥
加密算法
WEP
RC4
WPA
TKIT加密方法
WPA2
CCMP加密机制(AES加密算法)
关联
接入认证(可选)
DHCP
用户认证(可选)
4、流量转发
直接转发
隧道转发
WLAN配置流程
1、基础网络配置
VLAN
IP
DHCP(AP和STA)
2、WLAN配置
AP上线
创建域管理模板配置国家码
创建AP组(可选)
引用域管理模板
配置AC源地址
AC导入AP信息
AP加组
查看AP是否上线
display ap all
业务参数配置
配置射频模板
配置SSID模板
配置安全模板
配置VAP模板
引用SSID和安全模板
配置业务VLAN
配置转发模式
AP或者AP组
VAP模板
配置射频参数
工作频段、信道、发射功率
WLAN报文
大型WLAN组网部署
大型WLAN组网概述
大型WLAN网络关键技术
VLAN Pool
通过VLAN Pool把接入的用户分配到不同的VLAN,可以减少广播域,减少网络中的广播报文,提升网络性能。
DHCP Option 43 & 52
当AC和AP间是三层组网时,AP通过发送广播请求报文的方式无法发现AC,这时需要通过DHCP服务器回应给AP的报文中携带的Option43字段(IPv4)或Option52(IPv6)来通告AC的IP地址。
漫游技术
WLAN漫游是指STA在不同AP覆盖范围之间移动且保持用户业务不中断的行为。
高可靠性技术
为了保证WLAN业务的稳定运行,保证在主设备故障时业务能够顺利切换到备份设备的技术。
准入控制
准入控制技术是通过对接入网络的客户端和用户的认证来保证网络的安全,是一种“端到端”的安全技术。
VLAN Pool
背景
一个SSID只能对应一个业务VLAN,,一个VLAN对应一个子网,如果接入用户过多时,需要通过扩大子网增加IP地址则会导致广播域扩大,大量的广播报文造成网络拥塞
VLAN Pool分配VLAN的算法
顺序分配算法
原理
把用户按上线顺序依次划分到不同的VLAN中
优点
各个VLAN用户数目划分相对均匀
缺点
重新上线VLAN容易变更、IP变化
HASH分配算法
原理
根据用户MAC地址HASH值分配VLAN
优点
用户多次上线可分配相同的VLAN、IP不变
缺点
各个VLAN用户数划分不均衡
配置
创建VLAN Pool
[AC] vlan pool pool-name
添加VLAN到VLAN Pool中
[AC-vlan-pool-pool-name] vlan { start-vlan [ to end-vlan ] } &<1-10>
配置VLAN Pool的分配算法
[AC-vlan-pool-pool-name] assignment { even | hash }
默认HASH分配算法
VAP模板中使用VLAN Pool
[AC] wlan
[AC-wlan-view] vap-profile name profile-name
[AC-wlan-vap-prof-profile-name] service-vlan vlan-pool pool-name
查看VLAN Pool信息
display vlan pool all
display vlan pool name XXX
DHCP技术
DHCP中继
WLAN三层组网AC发现机制
概述
WLAN三层组网场景,AP的广播Discovery Request报文无法发现AC,导致CAPWAP隧道无法建立。
WLAN三层组网场景,配置DHCP Option 43/52后,在AP获取IP地址阶段,同时获取了AC的IP地址,直接通过单播与AC建立联系。
在AC和AP间是二层组网的情况下,也可以配置Option43,AP会根据Option43的内容先向指定IP地址的AC发送单播请求报文,如果发送十次报文,AP都没有收到回应,则AP会继续以广播的方式来发现同一网段的AC。所以在二层组网的情况下Option 43不是必配的参数,但在三层组网的情况下则是必配的。
Option 43即为Type值为43(0x2B)的Option字段,又称为厂商特定信息选项,DHCP服务器和DHCP客户端通过Option43交换厂商特定的信息。当DHCP服务器接收到请求Option43信息的DHCP请求报文后,将在回复报文中携带Option43,为DHCP客户端分配厂商指定的信息(本文中特指AC的IP地址)。
配置
通过AC地址的16进制格式配置AC地址
[AC-ip-pool-AP] option 43 sub-option 1 hex hex-string
多个AC的IP可以连续写
通过AC的IP地址直接配置
[AC-ip-pool-AP] option 43 sub-option 2 ip-address ip-address
多个AC的IP空格隔开
通过AC地址的ASCII格式配置
[AC-ip-pool-AP] option 43 sub-option 3 ascii ascii-string
多个AC的IP用,隔开
漫游技术
概述
WLAN漫游是指STA在不同AP覆盖范围之间移动且保持用户业务不中断的行为。
条件
两个AP必须使用相同的SSID和安全模板(安全模板名称可以不同,但是安全模板下的配置必须相同),认证模板的认证方式和认证参数也要配置相同
WLAN漫游策略
避免漫游过程中的认证时间过长导致丢包甚至业务中断。
保证用户授权信息不变。
保证用户IP地址不变。
漫游术语
AC内漫游:如果漫游过程中关联的是同一个AC,这次漫游就是AC内漫游。
AC间漫游:如果漫游过程中关联的不是同一个AC,这次漫游就是AC间漫游。
AC间隧道:为了支持AC间漫游,漫游组内的所有AC需要同步每个AC管理的STA和AP设备的信息,因此在AC间建立一条隧道作为数据同步和报文转发的通道。AC间隧道也是利用CAPWAP协议创建的。如图所示,AC1和AC2间建立AC间隧道进行数据同步和报文转发。
漫游组服务器
STA在AC间进行漫游,通过选定一个AC作为漫游组服务器,在该AC上维护漫游组的成员表,并下发到漫游组内的各AC,使漫游组内的各AC间相互识别并建立AC间隧道。
漫游组服务器既可以是漫游组外的AC,也可以是漫游组内选择的一个AC。
一个AC可以同时作为多个漫游组的漫游组服务器,但是自身只能加入一个漫游组。
漫游组服务器管理其他AC的同时不能被其他的漫游组服务器管理。也就是说如果一个AC是作为漫游组服务器角色负责向其他AC同步漫游配置的,则它无法再作为被管理者接受其他AC向其同步漫游配置(即配置了漫游组就不能再配置漫游组服务器)。
漫游组服务器作为一个集中配置点,不需要有特别强的数据转发能力,只需要能够和各个AC互通即可。
家乡代理
能够和STA家乡网络的网关二层互通的一台设备。为了支持STA漫游后仍能正常访问家乡网络,需要将STA的业务报文通过隧道转发到家乡代理,再由家乡代理中转。STA的家乡代理由HAC或HAP兼任,如图所示,用户可以选取AC1或AP1作为STA的家乡代理。
漫游类型
二层漫游
条件
漫游前后的AP都绑定的是同1个SSID并且业务VLAN都在同1个VLAN内(在同一个IP地址段)
过程
漫游切换的过程中,无线客户端的接入属性(比如无线客户端所属的业务VLAN、获取的IP地址等属性)不会有任何变化,直接平滑过渡,在漫游的过程中不会有丢包和断线重连的现象
三层漫游
条件
漫游前后SSID的业务VLAN不同,AP所提供的业务网络为不同的三层网络,对应不同的网关
过程
为保持漫游用户IP地址不变的特性,需要将用户流量迂回到初始接入网段的AP,实现跨VLAN漫游
特殊情况
两个业务VLAN的VLAN ID相同,但是这两个子网又属于不同的子网。此时为了避免系统仅仅依据VLAN ID将用户在两个子网间的漫游误判为二层漫游,需要通过漫游域来确定设备是否在同一个子网内,只有当VLAN相同且漫游域也相同的时候才是二层漫游,否则是三层漫游
WLAN漫游流量转发模型
二层/三层
AC内/AC间
直接转发/隧道转发
直接转发的HAC家乡代理/HAP家乡代理
漫游模型
AC内三层漫游 - 直接转发 (HAP为家乡代理)
AC内三层漫游 - 直接转发(HAC为家乡代理)
AC间三层漫游 - 隧道转发(HAC为家乡代理)
隧道转发模式下,HAP和HAC之间的业务报文通过CAPWAP隧道封装,此时可以将HAP和HAC看作在同一个子网内,报文无需返回到HAP, 直接通过HAC进行中转到上层网络
AC间三层漫游 - 直接转发 (HAP为家乡代理)
直接转发模式下,HAP和HAC之间的业务报文不通过CAPWAP隧道封装,无法判定HAP和HAC是否在同一个子网内,此时设备默认报文需要返回到HAP进行中转。如果HAP和HAC在同一个子网时,可以将家乡代理设置为性能更强的HAC,减少HAP的负荷并提高转发效率。
AC间三层漫游 - 直接转发(HAC为家乡代理)
漫游配置
1、创建漫游组
[AC-wlan-view] mobility-group name group-name
2、向漫游组中添加成员,此处添加的AC的IP地址为AC的源IP地址
[AC-mc-mg-group-name] member { ip-address ipv4-address | ipv6-address ipv6-address } [ description description ]
3、验证配置
查看漫游组状态
display mobility-group
查看用户接入信息
display station all
在AC上查看STA的漫游轨迹
display station roam-track sta-mac xxxx-xxxx-xxxx
高可靠性技术
备份技术
VRRP双机热备份(主备)
原理
主备AC两个独立的IP地址,通过VRRP对外虚拟为同一个IP地址,单个AP和虚拟IP建立一条CAPWAP链路。
主AC备份AP信息、STA信息和CAPWAP链路信息,并通过HSB主备服务将信息同步给备AC。AP只看到一个AC的存在,AC间的切换由VRRP决定,主AC故障后,备AC直接接替工作。
HSB
概念
HSB(Hot Standby,热备份)是华为主备公共机制
主备服务(HSB service):建立和维护主备通道,为各个主备业务模块提供通道通断事件和报文发送/接收接口。
主备备份组(HSB group):HSB备份组内部绑定HSB service,为各个主备业务模块提供数据备份通道。HSB备份组与一个VRRP实例绑定,借用VRRP机制协商出主备实例。同时,HSB备份组还负责通知各个业务模块处理批量备份、实时备份、主备切换等事件。
HSB主备服务
HSB主备服务负责在两个互为备份的设备间建立主备备份通道,维护主备通道的链路状态,为其他业务提供报文的收发服务,并在备份链路发生故障时通知主备业务备份组进行相应的处理。
作用
建立主备备份通道
通过配置主备服务本端和对端的IP地址和端口号,从而建立主备机制报文发送的TCP通道,为其他业务提供报文的收发以及链路状态变化通知服务
维护主备通道的链路状态
通过发送主备服务报文和重传等机制来防止TCP较长时间中断但协议栈没有检测到该连接中断。如果在主备服务报文时间间隔与重传次数乘积的时间内还未收到对端发送的主备服务报文,设备则会收到异常通知,并且准备重建主备备份通道
数据同步
基于VRRP双机热备备份信息包括用户表项、CAPWAP链路信息以及AP表项等信息,备份的方式有实时备份,批量备份,定时备份
分类
批量备份:主用设备会将已有的会话表项一次性同步到新加入的备份设备上,使主备AC信息对齐,这个过程称为批量备份。批量备份会在AC主备确立时进行触发。
实时备份:主用设备在产生新表项或表项变化后会及时备份到备份设备上。包括:用户数据信息备份、CAPWAP隧道信息备份、AP表项备份、DHCP地址信息备份
定时同步:备用设备会每隔30分钟检查其已有的会话表项与主用设备是否一致,若不一致则将主用设备上的会话表项同步到备用设备。
配置
配置VRRP备份组
配置虚拟IP地址
[AC-GigabitEthernet0/0/1] vrrp vrid virtual-router-id virtual-ip virtual-address
配置主设备优先级大于备设备
[AC-GigabitEthernet0/0/1] vrrp vrid virtual-router-id priority priority-value
配置HSB主备服务
创建HSB主备服务
[AC] hsb-service service-index
配置建立HSB主备备份通道的IP地址和端口号
[AC-hsb-service-0] service-ip-port local-ip { local-ipv4-address | local-ipv6-address } peer-ip { peer-ipv4-address | peer-ipv6-address } local-data-port local-port peer-data-port peer-port
配置HSB备份组
创建HSB备份组
[AC] hsb-group group-index
配置HSB备份组绑定的VRRP备份组
[AC-hsb-group-0] track vrrp vrid virtual-router-id interface interface-type interface-number
配置WLAN业务绑定HSB备份组
[AC] hsb-service-type ap hsb-group group-index
配置DHCP业务绑定HSB备份组
[AC] hsb-service-type dhcp hsb-group group-index
配置准入控制用户绑定HSB备份组
[AC] hsb-service-type access-user hsb-group group-index
使能HSB备份组
[AC-hsb-group-0] hsb enable
检查配置结果
查看HSB备份组的信息
[AC] display hsb-group group-index
查看HSB主备服务的信息
[AC] display hsb-service service-index
双链路冷备份
概念
单个AP分别和主备AC建立CAPWAP链路,一条主链路,一条备链路。
AC不备份同步信息。主AC故障后,AP切换到备链路上,备AC接替工作。
双链路热备份(主备&负载分担)
概念
单个AP分别和主备AC建立CAPWAP链路,一条主链路,一条备链路。
主AC仅备份STA信息,并通过HSB主备服务将信息同步给备AC。主AC故障后,AP切换到备链路上,备AC接替工作。
原理
业务直接绑定HSB备份服务,这样HSB对业务仅提供备份数据收发的功能,用户的主备状态由双链路机制进行维护。
AP同时与主备AC之间分别建立CAPWAP隧道,AC间的业务信息通过HSB主备通道同步。
当AP和主AC间链路断开,AP会通知备AC切换成主AC
工作过程
主备协商 & 建立主链路
AP与AC建立主链路,在Discovery阶段要优选出主AC。 1、使能双链路备份功能后,AP开始发送Discovery Request报文。 2、AC收到Request报文后回应Discovery Response报文。 3、AP收集到主备AC回应的Discovery Response报文后,根据AC的优先级、设备的负载情况以及AC的IP地址来选择主AC。 4、AP开始与优选出的主AC建立CAPWAP主链路。
在Discovery阶段,使能双链路备份功能后,AP开始发送Discovery Request报文,分为单播方式和广播方式: 如果预先通过静态方式、DHCP服务器方式或DNS方式指定了主备AC的IP地址,AP向AC发送单播Discovery Request报文请求与主备AC关联。 如果没有配置AC的静态IP地址或者单播没有回应时,AP将发送广播Discovery Request报文请求同网段内可关联的AC。 不管是单播发现还是广播发现,如果主备AC都正常,都会回应Discovery Response报文,并在该报文中携带双链路特性开关、优先级、负载情况以及IP地址。 AP收集到主备AC回应的Discovery Response报文后,根据AC的优先级、设备的负载情况以及AC IP地址来选择主AC并开始与其建立CAPWAP主链路,优选顺序如下: 1、比较AC的优先级,优先级值小的为主AC,默认优先级为0,最大值为7,优先级取值越小,优先级越高。; 2、优先级相同情况下,比较AC设备的负载情况,即AP个数和STA个数,负载轻的为主AC。优先选择当前可接入AP数大的AC为主AC,如果当前可接入AP数相同,则选择当前可接入STA数大的AC为主AC; 3、负载相同情况下,比较IP地址,IP地址小的为主AC。
建立备链路
AP与AC建立备链路,为了避免业务配置重复下发导致错误,在AP和 主AC建立主隧道并且配置下发完成后,才启动备CAPWAP链路的建立。 1、主AC下发配置到AP上; 2、AP开始建立备用隧道,向备AC发送单播CAPWAP Discovery Request报文; 3、备AC收到Request报文后,回应Response报文,在该报文中携带优选AC的IP地址、备选AC的IP地址、双链路特性开关、负载情况及其优先级。 4、AP收到备AC回应的Response报文后,获取到双链路特性开关为打开,并保存其优先级。
如果该AC的优先级修改为比步骤1已经建立好CAPWAP链路的AC优先级高,也不进行主备倒换,待建立隧道完成后再进行倒换。 AP发送的Join Request中,会携带一个自定义消息类型,告诉备AC配置已经下发过了,不需要再下发。AC收到Join Request,获取到该自定义消息时,在配置下发阶段,会跳过配置下发流程,避免对AP重复下发配置。 备链路建立完成后,AP重新根据两个链路的优先级决策出主备AC。 缺省情况下,CAPWAP心跳检测的间隔时间为25秒,心跳检测报文次数为6。如果开启了双链路备份功能,则CAPWAP心跳检测的间隔时间为25秒,心跳检测报文次数为3。
配置
配置备AC的IP地址
[AC-wlan-view] ac protect protect-ac { ip-address ip-address}
配置本AC的优先级,默认为0
[AC-wlan-view] ac protect priority priority
使能全局回切功能
[AC-wlan-view] undo ac protect restore disable
使能双链路备份功能
[AC-wlan-view] ac protect enable
重启AP,使双链路备份功能生效
[AC-wlan-view] ap-reset { all | ap-name ap-name | ap-mac ap-mac | ap-id ap-id | ap-group ap-group | ap-type { type type-name | type-id type-id } }
配置HSB主备服务
创建HSB主备服务
[AC] hsb-service service-index
配置建立HSB主备备份通道的IP地址和端口号
[AC-hsb-service-0] service-ip-port local-ip { local-ipv4-address | local-ipv6-address } peer-ip { peer-ipv4-address | peer-ipv6-address } local-data-port local-port peer-data-port peer-port
配置HSB备份组
创建HSB备份组
[AC] hsb-group group-index
配置WLAN业务绑定HSB备份组
[AC] hsb-service-type ap hsb-group group-index
配置DHCP业务绑定HSB备份组
[AC] hsb-service-type dhcp hsb-group group-index
配置准入控制用户绑定HSB备份组
[AC] hsb-service-type access-user hsb-group group-index
检查配置结果
查看HSB备份组的信息
display ac protect
查看HSB主备服务的信息
display hsb-service 0
N+1备份
概念
单个AP只和一个AC建立CAPWAP链路。
AC不备份同步信息。主AC故障后,AP重新与备AC建链CAPWAP链路,备AC接替工作。
原理
N+1备份是指在AC+FIT AP的网络架构中,使用一台AC作为备AC,为多台主AC提供备份服务的一种解决方案。
网络正常情况下,AP只与各自所属的主AC建立CAPWAP链路。
当主AC故障或主AC与AP间CAPWAP链路故障时,备AC替代主AC来管理AP,备AC与AP间建立CAPWAP链路,为AP提供业务服务。
支持主备倒换,支持主备回切。
工作过程
在Discovery阶段,AP发现AC后,要选择出最高优先级的AC作为主AC接入。 AC上存在两种优先级: 全局优先级:针对所有AP配置的AC优先级,默认为0,最大值为7,优先级取值越小,优先级越高。 个性优先级:针对指定的单个AP或指定AP组中的AP配置的AC优先级,没有默认值。 AC全局优先级 < AP在AC上优先级。
当AC收到AP发送的Discovery Request报文时,如果AC没有为该AP配置个性优先级,则在回应的Discovery Response报文中携带全局优先级; 如果AC已为该AP配置了个性优先级,则在回应的Discovery Response报文中携带个性优先级。 正确配置主AC和备AC的不同优先级,可以控制AP能够在指定的主AC或备AC上线 优选顺序如下: AP查看优选AC,如果只有一个优选AC,则此AC作为主AC。如果存在多个优选AC,则选择负载最轻的AC作为主AC,如果负载相同选择IP地址最小的作为主AC; 负载的比较方式:比较AC设备的负载情况,即AP个数和STA个数,负载轻的为主AC。优先选择当前可接入AP数大的AC为主AC,如果当前可接入AP数相同,则选择当前可接入STA数大的AC为主AC; 如果没有优选AC,查看备选AC,如果只有一个备选AC,则此AC作为主AC,如果存在多个备选AC,则选择负载最轻的AC作为主AC,如果负载相同选择IP地址最小的作为主AC; 如果没有备选AC,比较AC的优先级,优先级最高的作为主AC。优先级取值越小,优先级越高。优先级的具体判断方式参考主备优先级; 优先级相同情况下,则选择负载最轻的AC作为主AC; 负载相同情况下,继续比较IP地址,IP地址小的为主AC。
配置
创建AP系统模板
[AC-wlan-view] ap-system-profile name profile-name
配置优选AC的IP地址
[AC-wlan-ap-system-prof-huawei] primary-access { ip-address ip-address | ipv6-address ipv6-address }
配置备选AC的IP地址
[AC-wlan-ap-system-prof-huawei] backup-access { ip-address ip-address | ipv6-address ipv6-address }
在AP组中引用AP系统模板
[AC-wlan-ap-group-huawei] ap-system-profile profile-name
在AP中引用AP系统模板
[AC-wlan-ap-0] ap-system-profile profile-name
重启AP,使双链路备份功能生效
[AC-wlan-view] ap-reset { all | ap-name ap-name | ap-mac ap-mac | ap-id ap-id | ap-group ap-group | ap-type { type type-name | type-id type-id } }
使能全局回切功能
[AC-wlan-view] undo ac protect restore disable
配置CAPWAP心跳检测的间隔时间以及次数
[AC] capwap echo { interval interval-value | times times-value }
使能N+1备份功能
[AC-wlan-view] undo ac protect enable
缺省情况下,全局双链路备份功能未使能,N+1备份功能使能
对比
准入控制技术
NAC
NAC(Network Admission Control)称为网络接入控制
NAC负责控制用户的接入方式(802.1X,MAC或Portal认证),接入过程中的各类参数和定时器。
Radius
实现对用户的AAA
认证
802.X
C/S架构
802.1X认证系统使用可扩展认证协议(Extensible Authentication Protocol,EAP)来实现申请者、认证者和认证服务器之间的信息交互。常用的802.1X认证协议有防护扩展验证协议(Protected Extensible Authentication Protocol,PEAP)和传输层安全性协议(Transport Layer Security,TLS),其区别如下: PEAP:管理员给用户分配用户名、密码。用户在接入WLAN时输入用户名、密码进行认证。 TLS:用户使用证书进行认证,此认证方式一般结合企业App使用,如华为的EasyAccess。
MAC认证
认证过程中,不需要用户手动输入用户名或者密码,MAC认证的接口上检测到用户的MAC地址后,即启动对该用户的认证操作,常用于哑终端(如打印机)的接入认证
Portal认证
B/S架构
认证方式
用户名和密码方式:由前台管理员给访客申请一个临时账号,访客使用临时账号认证。
短信认证:访客通过手机验证码方式认证。
MAC优先的Portal认证
背景
用户进行Portal认证成功后,如果断开网络,重新连接时需要再次输入用户名、密码,体验差。
原理
用户进行Portal认证成功后,在一定时间内断开网络重新连接,能够直接通过MAC认证接入,无需输入用户名密码重新进行Portal认证。
该功能需要在设备配置MAC+Portal的混合认证,同时在认证服务器上开启MAC优先的Portal认证功能并配置MAC地址有效时间。
过程
三种认证方式比较