第5章无线局域网仿真 本章主要讲述如下知识点: 无线网络仿真平台eNSP的基本使用; 无线局域网的配置流程; 无线局域网的相关模板配置; 二层无线局域网的组网; 三层无线局域网的组网; 基于Web的无线局域网组网配置。 5.1无线仿真平台概述 eNSP是华为公司出品的图形化网络仿真平台,该平台可以全面加载华为出品的交换器、路由器、防火墙以及无线AP、AC等设备。该平台通过对真实网络设备的全面仿真,可以帮助用户快速熟悉华为网络产品的操作和配置、提升网络规划、建设、运维能力。本章的所有实验环境基于华为eNSP 1.3.0版本。该版本是当前最新的仿真平台,配套有完整的华为无线网络产品仿真环境,支持AC6005、AC6605控制器,支持AP2050、AP3030等近11款无线AP。 在进行实验之前首先在计算机上安装eNSP。由于eNSP采用虚拟机方式运行,因此对计算机的硬件要求相对较高,建议计算机内存不少于8GB,由于可能需要在磁盘上加载对应的防火墙、路由器等系统镜像,因此,尽量不要选择安装在系统盘。安装eNSP时,需要加载WinPcap、Winshark和Virtual Box软件。其中,WinPcap和Winshark用于实现eNSP的底层抓包,Virtual Box用于实现设备虚拟化。如图51所示是安装eNSP后,单击无线局域网出现的界面,在该界面下可以看到所有的AC和AP设备。 根据需要将对应的网络设备拖到右边的白色区域中,采用线缆进行连接,构建所需的网络拓扑。要注意的是,进行设备连接时,首先要进行网络规划,在构建网络拓扑后,显示所有端口名称,尽可能在拓扑上标记批注。最后把所有设备选中,单击连接工具栏上的按钮或者在选中所有设备后右击,在弹出的菜单中选择“启动”命令,开启设备。其操作过程如图52 所示。 设备启动时,会占用较多系统资源,计算机响应速度明显变慢。当设备全部开启完成后,资源自动释放。因此,在启动过程中尽量不要执行其他操作。启动完成后,所有设备之间的连线由红色变成绿色。如果设备启动不正常,则某条对应连线仍然显示红色。此时,需要逐个排查。在实际使用中发现,可能有些设备一直无法启动,例如某个AP一直启动不正常,此时,将这个设备删除,重新添加一台,右击该设备,选择“启动”命令。如果有某种类型的设备都无法启动,可能是该类设备在Virtual Box中加载的镜像模板有问题,此时需要将eNSP关闭并重新打开,然后选择“菜单”→“工具”→“注册设备”命令,在弹出的窗口中选择需要注册的设备类型,单击“注册”按钮,实现设备在Virtual Box中的重新注册,如图53所示。注册完成后,设备就能正常启动。 第5章无线局域网仿真无线网络技术(第2版)图51eNSP主界面 图52设计网络拓扑 图53注册网络设备 设备启动后,在对应设备图标上双击,即可弹出设备的配置窗口,按照需求依次配置。配置完成后可以使用ping命令、trace命令等实现网络连通性测试。eNSP提供了非常友好的无线仿真测试环境,当网络配置成功后,就会显示每个AP的无线网络覆盖图,这极大地方便了用户使用。 5.2基本组网设备与概念 第4章主要介绍了家庭环境、小规模办公环境下基于无线路由器或者Fat AP构建小规模无线局域网的基本配置。然而在大规模网络环境下,这种无线网络在接入用户数量、网络服务质量、安全性等方面均存在问题。因此,本章介绍采用Fit AP和无线控制器(AC)构建大规模无线局域网工程。 5.2.1基本设备 无线局域网工程环境中主要采用的设备包括Fit AP、无线控制器、路由器、交换机、服务器以及用户接入终端设备。 Fit AP是为工作站提供无线接入服务的设备。通常,其连接到有线网络,并通过射频连接工作站。和传统的Fat AP不同的是,Fit AP只提供无线连接功能,其他的增强功能配置统一在AC上实现并下发。注意,如无特别说明,本章介绍的AP均为Fit AP,以下简称AP。在无线局域网工程中,AP通常连接到二层或者三层交换机,通过DHCP服务器来获得IP地址。AP连接到网络后一般情况下不做任何配置,所有的配置均在AC和对应的交换机等设备上完成。如果AC和AP属于二层组网,则AP就会自动发现AC。如果是三层组网,则需要用户在DHCP服务器上设置Option 43指令来指定AC的IP地址,AP在获得IP地址时就能获得AC的地址,基于该选项实现AC的发现过程。 AC是整个无线网络的核心,通过AC实现对整个网络中所有AP的控制和管理。AC同时具备三层交换机的功能,相关的业务接口需要在AC上采用定义的VLAN接口实现连接。为方便使用,部分DHCP地址池也可能会建立在AC上。在三层组网时,必须在AC上配置对应的路由协议。在大规模无线网络中可以使用路由器实现异构网段互联,然而一般的无线网络工程中,通常使用三层交换机连接不同网段。 要注意的是,AC通常部署在集控机房,而AP连接到无线用户环境。功能强大的AC通常有较多的以太网接口,在小规模无线网络环境下,这些接口可以直接连接AP。在大规模无线网络环境下,这些接口直接连接三层交换机。另外,在无线网络工程中需要考虑的一个事项是POE接口问题。POE(Power Over Ethernet)是一种基于以太网供电的技术,有时,由于AP部署的环境可能没有电力部署,例如AP部署在空旷的室外环境时,不方便为AP架设电力线,此时就需要采用具有POE接口的AP设备,即POE受电端。当然,连接AP的三层交换机或者AC也必须提供POE接口,即POE供电端。AP设备采用以太网线缆供电可以解决给AP部署电源线的问题。 用户接入终端设备通常称为工作站(Station,STA),即支持IEEE 802.11标准的无线网络设备。例如,带无线网卡的计算机、平板电脑、支持WLAN的智能手机等。 5.2.2CAPWAP CAPWAP(Control And Provisioning of Wireless Access Points Protocol Specification)即无线接入点控制与配置协议规范,由CAPWAP和无线BINDING协议两部分构成。CAPWAP是一个通用隧道协议,实现AP和AC之间通信的封装和传输机制。其主要定义了AC的自动发现、AP和AC的状态机运行与维护、AP管理、业务配置下发以及客户端封装CAPWAP隧道等功能。CAPWAP通过UDP的5246端口实现控制通信,5247号端口进行数据通信。 在CAPWAP中定义了单播、广播以及组播三种AC发现机制。AP通过接收DHCP服务器发送的ACK报文获取AC地址列表,并基于单播发送AC请求发现报文(Discovery Request, DReq),AC回复发现响应报文(Discovery Response,DRes)来确认发现过程。如果AP收到的ACK报文中没有AC地址列表或者在发送DReq报文后,没有收到AC回复的DRes报文,则通过广播发送DReq报文。如果发送的范围对应某个网络组,则认为是组播发送。AP收到多个AC回应的DRes报文时,则通过AC的优先级和当前已上线的AP数量来择优选择AC。 在无线网络配置时,必须通过CAPWAP来指定AC管理IP地址。通常在AC上建立连接三层交换机的AC管理VLAN,定义该VLAN的接口IP地址为AC的管理IP地址。如果要采用三层无线组网,则在对应交换机上也要指定相同的VLAN,并且指定VLAN接口IP地址和AC管理VLAN的IP地址处于相同网段。另外,连接AC和三层交换机的物理端口一般设置为Trunk模式。 5.3无线局域网相关模板 无线局域网配置中设计了很多模块,为了方便使用,在AC上已经定义了这些模块的一些实例。这些模块通常被称为模板(Profile),用户可以引用这些实例定义新的模板。另外,如果没有特殊需求,也可以直接修改或者使用系统内置的默认模板。华为的AC系统中,全面定义了所有模板实例,这些模板通常都命名为default。用户可以在对应视图下采用display命令查看对应的模板。 例如,查看系统下的所有SSID模板,则采用display ssidprofile all命令。要进入某个模板和定义某个模板的命令是相同的,即通过在模板名增加name命令实现。例如,要建立安全模板的名称为hist,则使用的命令为securityprofile name hist,下一次进入该模板时仍然采用这个命令。此外,部分模板存在关联引用关系,在当前模板下引用另一个模板时,直接写出需要引用模板的类型和模板名即可,但不能出现name命令。例如,在VAP模板下要引用安全模板和SSID模板,其操作如图54所示。 图54模板的定义和引用 华为的无线局域网配置中,所有的模板都要最终在AP或者AP组下进行引用,在这些模板中,管理域模板和认证模板在系统视图下进行定义,而其他模板通常都在WLAN视图下定义。用户在配置之前必须理解一些核心模板的功能和作用,并且掌握它们之间的引用关系。否则,即使采用基于Web图形界面的配置,也可能由于理解不清模板之间的关系,导致配置混乱出错。图55给出了常见的模板引用关系。 图55模板及其引用关系 5.3.1管理域模板 管理域模板(Regulatorydomainprofile)实现对AP的国家码、调优信道集合和调优带宽等的配置。由于不同国家码规定了不同的AP射频特性,包括AP的发送功率、支持的信道等。因此,配置国家码是为了使AP的射频特性符合不同国家或区域的实际要求。要注意的是,管理域模板是无线网络配置的第一步,也是非常重要的一步,如果遗忘该配置导致设计的无线局域网射频不符合实际部署地的需求,这将造成严重后果。管理域模板在WLAN视图下配置,在AP或者AP组下引用。如下是管理域模板的一个配置实例:system-view [AC6605]wlan [AC6605-wlan-view]regulatory-domain-profile name default//定义管理域名称 [AC6605-wlan-regulate-domain-default]country-code cn //设置国家码为中国 [AC6605-wlan-regulate-domain-default]wideband enable //开启4.9GHz带宽 [AC6605-wlan-regulate-domain-default]quit [AC6605-wlan-view]管理域模板配置完成后采用display regulatorydomainprofile name default命令可以查看详细配置,如图56所示,是查看配置结果的显示。 图56查看管理域模板配置 5.3.2射频模板 射频模板(Radio profile)主要用于设置射频类型,设定射频是否能实现功率自动调整,是否允许波束成形,是否支持智能天线,设置RTSCTS模式及其阈值,配置信道切换模式等功能。在AC中提供了2.4G(Radio2gprofile)和5G(Radio5gprofile)两种射频模板。2.4G射频模板主要支持802.11b、802.11g、802.11n的相关配置。5G射频模板支持802.11a、802.11n、802.11ac的相关配置。射频模板配置完成后需要在AP或者AP组对应的射频(Radio 1和Radio1)下进行引用。以下是2.4G射频模板配置的一个实例: system-view [AC6605]wlan [AC6605-wlan-view]radio-2g-profile name default//定义2.4G射频模板 [AC6605-wlan-radio-2g-prof-default]radio-type dot11g//设置射频类型为802.11g [AC6605-wlan-radio-2g-prof-default]dot11bg basic-rate 54 //设置802.11g基本速率为54Mbps [AC6605-wlan-radio-2g-prof-default]dot11bg supported-rate all //设置802.11g支持所有速率 [AC6605-wlan-radio-2g-prof-default]beacon-interval 200//设置beacon间隔 [AC6605-wlan-radio-2g-prof-default]power auto-adjust enable //设置支持功率自动调整 [AC6605-wlan-radio-2g-prof-default]smart-antenna enable//支持智能天线技术 [AC6605-wlan-radio-2g-prof-default] channel-switch announcement disable //配置不进行信道切换通知 [AC6605-wlan-radio-2g-prof-default]auto-off service start-time 00:00:00 end-time 05:59:59 //设置自动关闭射频 [AC6605-wlan-radio-2g-prof-default]channel-switch mode continue-transmitting //配置信道切换模式 [AC6605-wlan-radio-2g-prof-default]rts-cts-threshold 2048 //设置RTS-CTS阈值为2048 [AC6605-wlan-radio-2g-prof-default]rts-cts-mode rts-cts //设置支持RTS-CTS模式5G射频模板配置和2.4G射频模板存在一定的差异,下面列出5G射频模板的一个配置实例: system-view [AC6605]wlan [AC6605-wlan-view]radio-5g-profile name default [AC6605-wlan-radio-5g-prof-default]radio-type dot11ac //设置射频类型为支持802.11ac [AC6605-wlan-radio-5g-prof-default]vht mcs-map nss 4 max-mcs 9 //设置IEEE 802.11ac支持最大速率 [AC6605-wlan-radio-5g-prof-default]auto-off service start-time 06:00:00 end-time 23:59:59 //设置自动关闭射频 [AC6605-wlan-radio-5g-prof-default]beacon-interval 200//设置Beacon间隔 [AC6605-wlan-radio-5g-prof-default]power auto-adjust enable //设置支持功率自动调整 [AC6605-wlan-radio-5g-prof-default]smart-antenna enable//支持智能天线技术 [AC6605-wlan-radio-5g-prof-default] channel-switch announcement disable //配置不进行信道切换通知 [AC6605-wlan-radio-5g-prof-default]channel-switch mode continue-transmitting //配置信道切换 [AC6605-wlan-radio-5g-prof-default]rts-cts-threshold 2048 //设置RTS-CTS阈值为2048 [AC6605-wlan-radio-5g-prof-default]rts-cts-mode rts-cts//设置支持RTS-CTS模式射频模板配置完成后,可以采用display radio2gprofile name default命令查看配置,如图57所示,是2.4G射频模板配置的查看显示。 图57查看2.4G射频模板配置 5.3.3SSID模板 SSID(Service set identifier),即服务集标识。SSID模板(ssidprofile)用于配置无线网络SSID名称。此外,还可以设置单个VAP下接入的最大终端用户数,也可以开启当用户数达到最大时自动隐藏SSID功能。在SSID模板下可以设置隐藏SSID名称功能,这样,只有手动输入无线网络的SSID名称,才能进行连接。该模板必须在VAP模板下引用。如下是建立SSID模板的一个配置实例: system-view [AC6605]wlan [AC6605-wlan-view]ssid-profile name default//定义SSID模板 [AC6605-wlan-ssid-prof-default]ssid hist_wlan24g//定义SSID名称为hist_ //wlan24g [AC6605-wlan-ssid-prof-default]max-sta-number 128//设置最大接入用户数为128 [AC6605-wlan-ssid-prof-default]undo reach-max-sta hide-ssid disable //达到最大用户时,开启SSID隐藏 [AC6605-wlan-ssid-prof-default]quit在上面配置中,reachmaxsta hidessid命令没有enable选项,所以采用undo命令实现,如果直接要隐藏SSID名称则配置的命令为ssidhide enable,同样要去掉SSID隐藏功能,输入undo ssidhide enable。配置完成后,采用display ssidprofile name default命令可以查看SSID模板的配置情况。如图58所示,构建的SSID名称为hist_wlan24g,最大的接入用户数为128,当达到最大接入用户数后,自动隐藏SSID名。 图58查看SSID模板配置 注意: 定义SSID名称时最好能见名知意,例如,hist_wlan24g表示构建的一个2.4GHz无线网络。hist_wlan5g则表示构建的一个5GHz无线网络。在实际无线局域网工程中,需要构建多个SSID来区分不同无线网络,所以建议SSID模板名和SSID名相同,这样不容易产生混淆。 5.3.4安全模板 安全模板(Securityprofile)用于实现无线局域网的安全策略,完成对无线终端设备的身份验证,完成用户数据加密等功能。安全模板支持开放认证、WEP、WPA/WPA2PSK、WPA/WPA2802.1X、WAPIPSK和WAPI证书等配置,如图59所示。如果网络是公开访问,则选择配置open选项即可。 图59安全模板支持的加密模式 注意,如果选择开放认证和WPA/WPA2802.1X等认证方法,则需要结合AAA服务器完成配置。安全模板在WLAN视图下进行配置,在VAP视图下引用。如下是安全模板的一个配置实例:system-view [AC6605]wlan [AC6605-wlan-view]security-profile name default [AC6605-wlan-sec-prof-default]security wpa-wpa2 psk pass-phrase test1234 aes //设置认证模式安全模板配置完成后,采用display securityprofile name default命令可以查看配置情况,如图510所示是查看安全模板的配置情况。 图510查看安全模板配置 要注意区别的是,在小规模网络环境下通常使用安全模板,这种模板实际上是多个用户使用相同的密码登录同一个无线网络。而在认证模板下,结合AAA服务器可以给每个用户都建立不同用户名和密码,例如在火车站、机场等客户量非常大的区域,通常基于认证模板使用无线网络。 5.3.5认证模板 认证模板(Authenticationprofile)用于连接认证服务器实现用户认证过程。在大规模