学习华为企业无线网络，有这篇文章就够了（1-2）

发布作者：微思网络   发布时间：2025-12-10   浏览量：0次

WLAN工作流程：步骤1

AP获取IP地址

AP获取IP地址：DHCP方式

CAPWAP隧道建立

•CAPWAP隧道可以实现：

▫AP与AC间的状态维护；

▫AC对AP进行管理和业务配置下发；

▫业务数据经过CAPWAP隧道集中到AC上转发。

•AP发现AC阶段：

▫静态方式：AP上预先配置了AC的静态IP地址列表。AP上线时，AP分别发送Discovery Request单播报文到所有预配置列表对应IP地址的AC。然后AP通过接收到AC返回的Discovery Response报文，选择一个AC开始建立CAPWAP隧道。

▫动态方式：分为DHCP方式、DNS方式和广播方式，其中本章主要介绍DHCP方式和广播方式。

Step1：AP动态发现AC

•DHCP方式：

▫通过DHCP的四步交互过程，获取AC的IP地址：

▪在没有预配置AC的IP列表时，则启动AP动态AC发现机制。通过DHCP获取IP地址，并通过DHCP协议中的Option返回AC地址列表（在DHCP服务器上配置DHCP响应报文中携带Option 43，且Option 43携带AC的IP地址列表）。

▪首先是AP发送DHCP Discover广播报文，请求DHCP Server响应，在DHCP服务器侦听到DHCP Discover报文后，它会从没有租约的地址范围中，选择最前面的闲置IP，连同其他TCP/IP设定，响应AP一个DHCP Offer报文，该报文中会包含一个租约期限的信息。

▪由于DHCP Offer报文既可以是单播报文，也可以是广播报文，当AP端收到多台DHCP Server的响应时，只会挑选其中一个Offer(通常是最先抵达的那个)，然后向网络中发送一个DHCP Request广播报文，告诉所有的Offer，并重新发送DHCP，将指定接收哪一台服务器提供的IP地址。

▪当DHCP Server接收到AP的Request报文之后，会向AP发送一个DHCP Ack响应，该报文中携带的信息包括了AP的IP地址，租约期限，网关信息，以及DNS Server IP等，以此确定租约的正式生效，就此完成DHCP的四步交互工作。

▫通过AC发现机制，与AC关联：

▪AP通过DHCP服务获取AC的IP地址后，使用AC发现机制来获知哪些AC是可用的，决定与最佳AC来建立CAPWAP的连接。

▪AP启动CAPWAP协议的发现机制，以单播或广播的形式发送发现请求报文试图关联AC，AC收到AP的Discovery Request以后，会发送一个单播Discover Response 给AP，AP可以通过Discover Response中所带的AC优先级或者AC上当前AP的个数等，确定与哪个AC建立会话。

•广播方式：

▫当AP启动后，如果DHCP方式和DNS方式均未获得AC的IP或AP发出发现请求报文后未收到响应，则AP启动广播发现流程，以广播包方式发出发现请求报文。

▫接收到发现请求报文的AC检查该AP是否有接入本机的权限（已经授权的MAC地址或者序列号），如果有则发回响应。如果该AP没有接入权限，AC则拒绝请求。

▫广播发现方式只适用于AC/AP间为二层可达的网络场景。

Step2：建立CAPWAP隧道

AP接入控制

•在收到AP发送的Join Request报文之后，AC会进行AP合法性的认证，认证通过则添加相应的AP设备。

•AC上支持三种对AP的认证方式：

▫MAC认证

▫序列号（SN）认证

▫不认证

•AC上添加AP的方式有三种：

▫离线导入AP：预先配置AP的MAC地址和SN，当AP与AC连接时，如果AC发现AP和预先增加的AP的MAC地址和SN匹配，则AC开始与AP建立连接。

▫自动发现AP：当配置AP的认证模式为不认证或配置AP的认证模式为MAC或SN认证且将AP加入AP白名单中，则当AP与AC连接时，AP将被AC自动发现并正常上线。

▫手工确认未认证列表中的AP：当配置AP的认证模式为MAC或SN认证，但AP没有离线导入且不在已设置的AP白名单中，则该AP会被记录到未授权的AP列表中。需要用户手工确认后，此AP才能正常上线。

AP的版本升级

•在AC上给AP升级方式：

▫自动升级：主要用于AP还未在AC中上线的场景。通常先配置好AP上线时的自动升级参数，然后再配置AP接入。AP在之后的上线过程中会自动完成升级。如果AP已经上线，配置完自动升级参数后，任意方式触发AP重启，AP也会进行自动升级。但相比于自动升级，使用在线升级方式升级能够减少业务中断的时间。

▪AC模式：AP升级时从AC上下载升级版本，适用于AP数量较少时的场景。

▪FTP模式：AP升级时从FTP服务器上下载升级版本，适用于网络安全性要求不是很高的文件传输场景中，采用明文传输数据，存在安全隐患。

▪SFTP模式：AP升级时从SFTP服务器上下载升级版本，适用于网络安全性要求高的场景，对传输数据进行了严格加密和完整性保护。

▫在线升级：主要用于AP已经在AC中上线并已承载了WLAN业务的场景。

▫定时升级：主要用于AP已经在AC中上线并已承载了WLAN业务的场景。通常指定在网络访问量少的时间段升级。

CAPWAP隧道维持

•数据隧道维持：

▫AP与AC之间交互Keepalive (UDP端口号为5247)报文来检测数据隧道的连通状态。

•控制隧道维持：

▫AP与AC交互Echo (UDP端口号为5246)报文来检测控制隧道的连通状态。

为确保AP能够上线，AC需预先配置如下内容

•域管理模板：

▫域管理模板提供对AP的国家码、调优信道集合和调优带宽等的配置。

▫国家码用来标识AP射频所在的国家，不同国家码规定了不同的AP射频特性，包括AP的发送功率、支持的信道等。配置国家码是为了使AP的射频特性符合不同国家或区域的法律法规要求。

•配置AC的源接口或源地址：

▫每台AC都必须唯一指定一个IP地址、VLANIF接口或者Loopback接口，该AC设备下挂接的AP学习到此IP地址或者此接口下配置的IP地址，用于AC和AP间的通信。此IP地址或者接口称为源地址或源接口。

▫只有为每台AC指定唯一一个源接口或源地址，AP才能与AC建立CAPWAP隧道。

▫设备支持使用VLANIF接口或Loopback接口作为源接口，支持使用VLANIF接口或Loopback接口下的IP地址作为源地址。

•添加AP设备：即配置AP认证模式，AP上线。

▫添加AP有三种方式：离线导入AP、自动发现AP以及手工确认未认证列表中的AP。

WLAN工作流程：步骤2

•AP上线后，会主动向AC发送Configuration Status Request报文，该信息中包含了现有AP的配置，为了做AP的现有配置和AC设定配置的匹配检查。当AP的当前配置与AC要求不符合时，AC会通过Configuration Status Response通知AP。

•说明：AP上线后，首先会主动向AC获取当前配置，而后统一由AC对AP进行集中管理和业务配置下发。

WLAN业务相关配置 - 配置射频

•配置基本射频参数：

▫AP射频需要根据实际的WLAN网络环境来配置不同的基本射频参数，以使AP射频的性能达到更优。

▪WLAN网络中，相邻AP的工作信道存在重叠频段时，容易产生信号干扰，对AP的工作状态产生影响。为避免信号干扰，使AP工作在更佳状态，提高WLAN网络质量，可以手动配置相邻AP工作在非重叠信道上。

▪根据实际网络环境的需求，配置射频的发射功率和天线增益，使射频信号强度满足实际网络需求，提高WLAN网络的信号质量。

▪实际应用场景中，两个AP之间的距离可能为几十米到几十公里，因为AP间的距离不同，所以AP之间传输数据时等待ACK报文的时间也不相同。通过调整合适的超时时间参数，可以提高AP间的数据传输效率。

▫基本射频参数可以在AP组射频和AP射频下配置。AP组射频下配置的参数对AP组内所有的AP指定射频生效，AP射频下配置的参数只对单个AP指定的射频生效，且AP射频下配置的参数优先级高于AP组射频下配置的参数。

•射频模板：

▫根据实际的网络环境对射频的各项参数进行调整和优化，使AP具备满足实际需求的射频能力，提高WLAN网络的信号质量。射频模板中各项参数下发到AP后，只有AP支持的参数才会在AP上生效。

▫可配置的参数包括：射频的类型、射频的速率、射频的无线报文组播发送速率、AP发送Beacon帧的周期等。

WLAN业务相关配置 - 配置VAP

•数据转发方式：

▫控制报文是通过CAPWAP的控制隧道转发的，用户的数据报文分为隧道转发（又称为“集中转发”）方式、直接转发（又称为“本地转发”）方式。这部分内容在后面的课程中会详细介绍。

•业务VLAN：

▫由于WLAN无线网络灵活的接入方式，STA可能会在某个地点（例如办公区入口或体育场馆入口）集中接入到同一个WLAN无线网络中，然后漫游到其它AP覆盖的无线网络环境下。

▪业务VLAN配置为单个VLAN时，在接入STA数众多的区域容易出现IP地址资源不足、而其它区域IP地址资源浪费的情况。

▪业务VLAN配置为VLAN pool时，可以在VLAN pool中加入多个VLAN，然后通过将VLAN pool配置为VAP的业务VLAN，实现一个SSID能够同时支持多个业务VLAN。新接入的STA会被动态的分配到VLAN pool中的各个VLAN中，减少了单个VLAN下的STA数目，缩小了广播域；同时每个VLAN尽量均匀的分配IP地址，减少了IP地址的浪费。

•SSID模板：主要用于配置WLAN网络的SSID名称，还可以配置其他功能，主要包括如下功能：

▫隐藏SSID功能：用户在创建无线网络时，为了保护无线网络的安全，可以对无线网络名称进行隐藏设置。这样，只有知道网络名称的无线用户才能连接到这个无线网络中。

▫单个VAP下能够关联成功的最大用户数：单个VAP下接入的用户数越多，每个用户能够使用的平均网络资源就越少，为了保证用户的上网体验，可以根据实际的网络状况配置合理的最大用户接入数。

▫用户数达到最大时自动隐藏SSID的功能：使能用户数达到最大时自动隐藏SSID的功能后，当WLAN网络下接入的用户数达到最大时，SSID会被隐藏，新用户将无法搜索到SSID。

•安全模板：配置WLAN安全策略，可以对无线终端进行身份验证，对用户的报文进行加密，保护WLAN网络和用户的安全。

▫WLAN安全策略支持开放认证、WEP、WPA/WPA2-PSK、WPA/WPA2-802.1X等，在安全模板中选择其中一种进行配置。

•VAP模板：通过配置VAP模板下的参数，使AP实现为STA提供不同无线业务服务的能力。

▫VAP模板能够引用：SSID模板和安全模板。

WLAN工作流程：步骤3

扫描

•主动扫描：

▫携带有指定SSID的主动扫描方式：适用于STA通过主动扫描接入指定的无线网络。

▫携带空SSID的主动扫描方式：适用于STA通过主动扫描可以获知是否存在可使用的无线服务。

•被动扫描：

▫STA也支持被动扫描搜索无线网络。

▫被动扫描是指客户端通过侦听AP定期发送的Beacon帧（信标帧，包含：SSID、支持速率等信息）发现周围的无线网络，缺省状态下AP发送Beacon帧的周期为100TUs（1TU=1024us）。

链路认证

•WLAN需要保障用户接入安全，即保障用户接入无线网络的合法性和安全性，STA接入WLAN网络前需要进行终端身份验证，即链路认证。链路认证通常被认为是终端连接AP并访问WLAN的起点。

•共享密钥认证：

▫STA和AP预先配置相同的共享密钥，AP在链路认证过程验证两边的密钥配置是否相同。如果一致，则认证成功；否则，认证失败。

▫认证过程：

1.STA向AP发送认证请求（Authentication Request）。

2.AP随即生成一个“挑战短语（Challenge）”发给STA。

3.STA使用预先设置好的密钥加密“挑战短语”（EncryptedChallenge）并发给AP。

4.AP接收到经过加密的“挑战短语”，用预先设置好的密钥解密该消息，然后将解密后的“挑战短语”与之前发送给STA的进行比较。如果相同，认证成功；否则，认证失败。

关联

•瘦接入点（FIT AP）架构中关联阶段处理过程：

1.STA向AP发送Association Request请求，请求帧中会携带STA自身的各种参数以及根据服务配置选择的各种参数（主要包括支持的速率、支持的信道、支持的QoS的能力等）。

2.AP收到Association Request请求帧后将其进行CAPWAP封装，并上报AC。

3.AC收到关联请求后判断是否需要进行用户的接入认证，并回应Association Response。

4.AP收到Association Response后将其进行CAPWAP解封装，并发给STA。

接入认证

•数据加密：

▫除了用户接入认证外，对数据报文还需要使用加密的方式来保证数据安全，也是在接入认证阶段完成的。数据报文经过加密后，只有持有密钥的特定设备才可以对收到的报文进行解密，其他设备即使收到了报文，也因没有对应的密钥，无法对数据报文进行解密。

无线接入安全协议

•WLAN安全提供了WEP、WPA、WPA2等安全策略机制。每种安全策略体现了一整套安全机制，包括无线链路建立时的链路认证方式，无线用户上线时的用户接入认证方式和无线用户传输数据业务时的数据加密方式。

•WEP（Wired Equivalent Privacy）

▫有线等效加密WEP协议是由802.11标准定义的，用来保护无线局域网中的授权用户所传输的数据的安全性，防止这些数据被窃听。WEP的核心是采用RC4算法，加密密钥长度有64位、128位和152位，其中有24bit的IV（初始向量）是由系统产生的，所以WLAN服务端和WLAN客户端上配置的密钥长度是40位、104位或128位。WEP加密采用静态的密钥，接入同一SSID下的所有STA使用相同的密钥访问无线网络。

•WPA/WPA2 (Wi-Fi Protected Access)

▫由于WEP共享密钥认证采用的是基于RC4对称流的加密算法，需要预先配置相同的静态密钥，无论从加密机制还是从加密算法本身，都很容易受到安全威胁。为了解决这个问题，在802.11i标准没有正式推出安全性更高的安全策略之前，Wi-Fi联盟推出了针对WEP改良的WPA。WPA的核心加密算法还是采用RC4，在WEP基础上提出了临时密钥完整性协议TKIP（Temporal Key Integrity Protocol）加密算法，采用了802.1X的身份验证框架，支持EAP-PEAP、EAP-TLS等认证方式。随后802.11i安全标准组织又推出WPA2，区别于WPA，WPA2采用安全性更高的区块密码锁链-信息真实性检查码协议CCMP（Counter Mode with CBC-MAC Protocol）加密算法。

▫为了实现更好的兼容性，在目前的实现中，WPA和WPA2都可以使用802.1X的接入认证、TKIP或CCMP的加密算法，他们之间的不同主要表现在协议报文格式上，在安全性上几乎没有差别。

▫综上所述，WPA/WPA2安全策略涉及了链路认证阶段、接入认证阶段、密钥协商和数据加密阶段。

DHCP

用户认证

•随着企业网络的应用和发展，病毒、木马、间谍软件、网络攻击等各种信息安全威胁也在不断增加。在传统的企业网络建设思路中，一般认为企业内网是安全的，安全威胁主要来自外界。但是研究证明，80%的网络安全漏洞都存在于网络内部。它们对网络的破坏程度和范围持续扩大，经常引起系统崩溃、网络瘫痪。另外，内部员工在浏览某些网站时，一些间谍软件、木马程序等恶意软件也会不知不觉地被下载到电脑中，并且在企业内网传播，产生严重的安全隐患。

•因此，随着安全挑战的不断升级，仅通过传统的安全措施已经远远不够。安全模型需要由被动模式向主动模式转变。从根源（终端）彻底解决网络安全问题，提高整个企业的信息安全水平。

WLAN工作流程：步骤4

数据转发方式

•隧道转发方式：

▫优点：AC集中转发数据报文，安全性好，方便集中管理和控制。

▫缺点：业务数据必须经过AC转发，报文转发效率比直接转发方式低，AC所受压力大。

•直接转发方式：

▫优点：数据报文不需要经过AC转发，报文转发效率高，AC所受压力小。

▫缺点：业务数据不便于集中管理和控制。