WLAN基础及配置

什么是WLAN？WLAN和Wi-Fi有什么不同？ - 华为 (huawei.com)

WLAN网络简介 - WLAN V200R019C00 典型配置案例集 - 华为 (huawei.com)

配置WLAN高密业务部署示例 - WLAN V200R019C00 典型配置案例集 - 华为 (huawei.com)

WLAN常用业务配置举例 - WLAN V200R019C00 典型配置案例集 - 华为 (huawei.com)

无线局域网WLAN（Wireless Local Area Network）是一种无线计算机网络，使用无线信道代替有线传输介质连接两个或多个设备形成一个局域网LAN（Local Area Network），典型部署场景如家庭、学校、校园或企业办公楼等。

WLAN是一个网络系统，而我们常见的Wi-Fi是这个网络系统中的一种技术。所以，WLAN和Wi-Fi之间是包含关系，WLAN包含了Wi-Fi。

WLAN的基本元素

• 工作站STA（Station）：支持802.11标准的终端设备。例如带无线网卡的电脑、支持WLAN的手机等。
• 接入点AP（Access Point）：为STA提供基于802.11标准的无线接入服务，起到有线网络和无线网络的桥接作用。 STA和AP
• 虚拟接入点VAP（Virtual Access Point）：是AP设备上虚拟出来的业务功能实体。用户可以在一个AP上创建不同的VAP来为不同的用户群体提供无线接入服务。 VAP的示意图
• 基本服务集BSS（Basic Service Set）：一个AP所覆盖的范围。在一个BSS的服务区域内，STA可以相互通信。
• 扩展服务集ESS（Extend Service Set）：由多个使用相同SSID的BSS组成。 BSS和ESS的关系
• 分布式系统（Distribution System）：分布式系统是指AP之间通过无线链路连接两个或者多个独立的局域网（包括有线局域网和无线局域网），组建一个互通的网络实现数据传输。目前无线分布式系统主要基于WDS或MESH协议。

WLAN的网络类型

1️⃣ FAT AP独立部署

FAT AP，又称为胖AP，独立完成Wi-Fi覆盖，不需要另外部署管控设备。但是，由于FAT AP独自控制用户的接入，用户无法在FAT AP之间实现无线漫游，只有在FAT AP覆盖范围内才能使用Wi-Fi网络。

因此，FAT AP通常用于家庭或SOHO环境的小范围Wi-Fi覆盖，在企业场景已经逐步被“AC+FIT AP”和“云管理平台+云AP”的模式所取代。

2️⃣ AC+FIT AP集中式部署

“AC+FIT AP”的模式目前广泛应用于大中型园区的Wi-Fi网络部署，如商场、超市、酒店、企业办公等。

AC的主要功能是通过CAPWAP隧道对所有FIT AP进行管理和控制。

AC统一给FIT AP批量下发配置，因此不需要对AP逐个进行配置，大大降低了WLAN的管控和维护成本。

同时，因为用户的接入认证可以由AC统一管理，所以用户可以在AP间实现无线漫游。

云化部署云

云AP支持即插即用，部署简单，并且不受部署空间的限制，能灵活的扩展，目前比较多的应用于分支较多的场景。

WLAN是怎么工作的？

在WLAN中，信息在发射端需要先经过信源编码转换为便于电路计算和处理的数字信号，再经过信道编码和调制， 转换为无线电波发射出去。接收端接收到无线电波后，经过解调、解码，最后转成信息。信息可以是图像、文字、声音等。其中发送设备和接收设备使用接口和信道连接。

WLAN的工作机制

AC控制器

接入控制器（Access Controll）：

无线局域网接入控制设备，负责将来自不同AP的数据进行汇聚并接入Interne，同时完成AP设备的配置管理和无线用户的认证、管理，以及带宽、访问、切换、安全等控制功能。

即此设备的用途是管理AP接入点，以及无线用户权限的控制。

无线AP

无线接入点（Acess Point）：

电信级无线覆盖设备，相当于一个连接有线网和无线网的桥，其主要作用是将各个无线网络客户端连接到一起，实现大范围、多用户的无线接，根据应用场景不同，AP通常可分为室内型和室外型，室内环境下覆盖范围通常在30米~100米，室外环境最大覆盖范围可达到800米。

WLAN模板引用关系

为了方便用户配置和维护WLAN的各个功能，针对WLAN的不同功能和特性设计了各种类型的模板，这些模板统称为WLAN模板。

各个WLAN模板间存在着相互引用的关系，通过了解这些引用关系，明确WLAN模板的引用关系配置思路，便于用户顺利完成WLAN模板的配置。

WLAN基本业务配置流程

WLAN基本业务配置流程包括：

1️⃣创建AP组。

2️⃣配置网络互通。

3️⃣配置AC系统参数。

4️⃣配置AC为FIT AP下发WLAN业务。

AP组和AP

WLAN网络中存在着大量的AP，为了简化AP的配置操作步骤，可以将AP加入到AP组中，在AP组中统一对AP进行同样的配置。

但是每个AP也有着不同于其它AP的参数配置，不便于通过AP组来进行统一配置，这类个性化的参数可以直接在每个AP下配置。

每个AP在上线时都会加入并且只能加入到一个AP组中。

• 如果AP下没有配置，会直接使用AP组下的配置。
• 如果AP下存在配置，优先使用AP下的配置，但是如果AP下的配置不完整，则AP还会从AP组中获取AP下不存在的配置。

域管理模板

域管理模板提供对AP的国家码、调优信道集合和调优带宽等的配置。

国家码用来标识AP射频所在的国家，不同国家码规定了不同的AP射频特性，包括AP的发送功率、支持的信道等。配置国家码是为了使AP的射频特性符合不同国家或区域的法律法规要求。

射频模板

射频模板主要用于优化射频的参数，以及配置信道切换业务不中断功能。

射频模板分为2G射频模板和5G射频模板，2G射频模板只对2.4GHz的射频生效，5G射频模板只对5GHz的射频生效。

VAP模板

在VAP模板下配置各项参数，然后在AP组或AP中引用VAP模板，AP上就会生成VAP，VAP用来为STA提供无线接入服务。

通过配置VAP模板下的参数，使AP实现为STA提供不同无线业务服务的能力。

VAP模板能够引用以下模板:

• SSID模板
• 安全模板
• 流量模板
• 攻击防御模板
• 用户模板
• 认证模板
• Hotspot2.0模板
• 智能应用控制模板
• UCC模板

SSID模板

SSID用来指定不同的无线网络。在STA上搜索可接入的无线网络时，显示出来的网络名称就是SSID。

SSID模板主要用于配置WLAN网络的SSID名称，还可以配置其他功能.

认证模板

NAC能够实现对用户进行接入控制，为便于管理员配置NAC的相关功能，设备使用认证模板统一管理NAC的配置信息。通过配置认证模板下的参数（例如：配置认证模板下绑定的接入模板，确定认证模板的认证方式；之后应用该认证模板的VAP模板采用以上认证方式对用户做认证），实现对不同的用户进行不同的接入控制。

安全模板

配置WLAN安全策略，可以对无线终端进行身份验证，对用户的报文进行加密，保护WLAN网络和用户的安全。WLAN安全策略支持开放认证、WEP、WPA/WPA2-PSK、WPA/WPA2-802.1X、WPA-WPA2、WPA3-SAE、WPA3-802.1X、WPA2-WPA3、OWE、WAPI-PSK和WAPI-证书，在安全模板中选择其中一种进行配置。开放认证和WPA/WPA2/WPA3-802.1X还需要和NAC一起配置，有效管理用户的接入。

报文处理流程

WLAN网络中的数据包括管理报文和业务数据报文。

管理报文必须采用CAPWAP隧道进行转发，而业务数据报文除了可以采用CAPWAP隧道转发之外，还可以采用直接转发方式和Soft-GRE转发方式。

管理报文用来传送AC与AP之间的管理数据，存在于AC和AP之间。业务数据报文主要是传送WLAN用户上网时的数据，存在于STA和上层网络之间。

配置内部人员接入WLAN网络示例（802.1X认证）

用户接入WLAN网络，使用802.1X客户端进行认证，输入正确的用户名和密码后可以无线上网。且在覆盖区域内移动发生漫游时，不影响用户的业务使用。

组网需求?

• AC组网方式：旁挂二层组网。
• DHCP部署方式：AC作为DHCP服务器为AP分配IP地址，SwitchB作为DHCP服务器为STA分配IP地址。
• 业务数据转发方式：直接转发。
• WLAN认证方式：WPA-WPA2+802.1X+AES。

AC数据规划表:

⚡️ AC源接口的作用与选择建议？

每台AC都必须指定一个或两个IP地址、VLANIF接口或者Loopback接口，该AC管理的AP学习到此IP地址或者此接口下配置的IP地址，用于AC和AP间建立CAPWAP隧道通信，此IP地址或者接口称为源地址或源接口。

源地址需使用 VLANIF接口或 Loopback接口下的IP地址。

配置网络互通

1️⃣ 配置接入交换机SwitchA的接口GE0/0/1和GE0/0/2加入VLAN100和VLAN101。

<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] vlan batch 100 101
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] port link-type trunk
[SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101
[SwitchA-GigabitEthernet0/0/1] port-isolate enable
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2
[SwitchA-GigabitEthernet0/0/2] port link-type trunk
[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101
[SwitchA-GigabitEthernet0/0/2] quit

建议在与AP直连的设备接口上配置端口隔离，如果不配置端口隔离，尤其是业务数据转发方式采用直接转发时，可能会在VLAN内形成大量不必要的广播报文，导致网络阻塞，影响用户体验。

port link-type { access | hybrid | trunk } 命令用来配置接口的链路类型。

port trunk pvid vlan vlan-id 用来设置Trunk类型接口的缺省VLAN。

port trunk allow-pass vlan 100 101 命令用来配置Trunk类型接口加入的VLAN。

port-isolate enable [ group group-id ] 命令用来使能端口隔离功能。

2️⃣ 配置汇聚交换机SwitchB的接口GE0/0/1加入VLAN100和VLAN101，GE0/0/2加入VLAN100和VLAN102，GE0/0/3加入VLAN103，GE0/0/4加入VLAN104，创建VLANIF102、VLANIF103和VLANIF104接口，并配置下一跳为Router的缺省路由。

<HUAWEI> system-view
[HUAWEI] sysname SwitchB
[SwitchB] vlan batch 100 to 104
[SwitchB] interface gigabitethernet 0/0/1
[SwitchB-GigabitEthernet0/0/1] port link-type trunk
[SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101
[SwitchB-GigabitEthernet0/0/1] quit
[SwitchB] interface gigabitethernet 0/0/2
[SwitchB-GigabitEthernet0/0/2] port link-type trunk
[SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 102
[SwitchB-GigabitEthernet0/0/2] quit
[SwitchB] interface gigabitethernet 0/0/3
[SwitchB-GigabitEthernet0/0/3] port link-type trunk
[SwitchB-GigabitEthernet0/0/3] port trunk pvid vlan 103
[SwitchB-GigabitEthernet0/0/3] port trunk allow-pass vlan 103
[SwitchB-GigabitEthernet0/0/3] quit
[SwitchB] interface gigabitethernet 0/0/4
[SwitchB-GigabitEthernet0/0/4] port link-type trunk
[SwitchB-GigabitEthernet0/0/4] port trunk pvid vlan 104
[SwitchB-GigabitEthernet0/0/4] port trunk allow-pass vlan 104
[SwitchB-GigabitEthernet0/0/4] quit
[SwitchB] interface vlanif 102
[SwitchB-Vlanif102] ip address 10.23.102.1 24
[SwitchB-Vlanif102] quit
[SwitchB] interface vlanif 103
[SwitchB-Vlanif103] ip address 10.23.103.2 24
[SwitchB-Vlanif103] quit
[SwitchB] interface vlanif 104
[SwitchB-Vlanif104] ip address 10.23.104.1 24
[SwitchB-Vlanif104] quit
[SwitchB] ip route-static 0.0.0.0 0.0.0.0 10.23.104.2

3️⃣配置AC的接口GE0/0/1加入VLAN100和VLAN102，创建VLANIF102接口，并配置指向RADIUS服务器的静态路由。

<HUAWEI> system-view
[HUAWEI] sysname AC
[AC] vlan batch 100 101 102
[AC] interface gigabitethernet 0/0/1
[AC-GigabitEthernet0/0/1] port link-type trunk
[AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 102
[AC-GigabitEthernet0/0/1] quit
[AC] interface vlanif 102
[AC-Vlanif102] ip address 10.23.102.2 24
[AC-Vlanif102] quit
[AC] ip route-static 10.23.103.0 24 10.23.102.1

4️⃣ 配置Router的接口GE0/0/1的IP地址，并配置指向STA网段的静态路由。

<Huawei> system-view
[Huawei] sysname Router
[Router] interface gigabitethernet 0/0/1
[Router-GigabitEthernet0/0/1] ip address 10.23.104.2 24
[Router-GigabitEthernet0/0/1] quit
[Router] ip route-static 10.23.101.0 24 10.23.104.1

配置AC作为DHCP服务器为AP分配IP地址

配置AC作为DHCP服务器为AP分配IP地址，SwitchB作为DHCP服务器为STA分配IP地址

在AC上配置VLANIF100接口为AP提供IP地址。

[AC] dhcp enable
[AC] interface vlanif 100
[AC-Vlanif100] ip address 10.23.100.1 24
[AC-Vlanif100] dhcp select interface
[AC-Vlanif100] quit

在SwitchB上配置VLANIF101接口为STA提供IP地址。

[SwitchB] dhcp enable
[SwitchB] interface vlanif 101
[SwitchB-Vlanif101] ip address 10.23.101.1 24
[SwitchB-Vlanif101] dhcp select interface
[SwitchB-Vlanif101] quit

配置AP上线

1️⃣ 创建AP组，用于将相同配置的AP都加入同一AP组中。

[AC] wlan
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] quit

ap-group name 命令用来创建AP组，并进入AP组视图，若AP组已存在则直接进入AP组视图。

创建域管理模板，在域管理模板下配置AC的国家码并在AP组下引用域管理模板。

[AC-wlan-view] regulatory-domain-profile name default
[AC-wlan-regulate-domain-default] country-code cn
[AC-wlan-regulate-domain-default] quit
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] regulatory-domain-profile default
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continue?[Y/N]:y  
[AC-wlan-ap-group-ap-group1] quit
[AC-wlan-view] quit

regulatory-domain-profile name profile-name 命令用来创建域管理模板，并进入模板视图，若模板已存在则直接进入模板视图。钉

用户在创建域管理模板后，需要在AP视图或AP组视图下执行命令regulatory-domain-profile引用域管理模板后才能生效。

2️⃣ 配置AC的源接口。

[AC] capwap source interface vlanif 100

capwap source interface命令用来配置AC建立CAPWAP隧道使用的接口，作为AC的源接口。

命令格式：capwap source interface { loopback loopback-number | vlanif vlan-id }

CAPWAP是Control And Provisioning of Wireless Access Points Protocol Specification的缩写，意为无线接入点的控制和配置协议。

3️⃣ 在AC上离线导入AP，并将AP加入AP组ap-group1中

假设AP的MAC地址为60de-4476-e360，并且根据AP的部署位置为AP配置名称，便于从名称上就能够了解AP的部署位置。例如MAC地址为60de-4476-e360的AP部署在1号区域，命名此AP为area_1。

[AC] wlan
[AC-wlan-view] ap auth-mode mac-auth
[AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360
[AC-wlan-ap-0] ap-name area_1
[AC-wlan-ap-0] ap-group ap-group1
Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration s of the radio, Whether to continue? [Y/N]:y  
[AC-wlan-ap-0] quit

ap auth-mode { mac-auth | no-auth | sn-auth } 命令用来配置AP认证模式。

4️⃣ 查看ap状态

将AP上电后，当执行命令display ap all查看到AP的State字段 nor 时，表示AP正常上线。

配置AP射频的信道和功率

射频的信道和功率自动调优功能默认开启，如果不关闭此功能则会导致手动配置不生效。

例如：关闭AP射频0的信道和功率自动调优功能，并配置AP射频0的信道和功率。

[AC-wlan-view] ap-id 0
[AC-wlan-ap-0] radio 0
[AC-wlan-radio-0/0] calibrate auto-channel-select disable
[AC-wlan-radio-0/0] calibrate auto-txpower-select disable
[AC-wlan-radio-0/0] channel 20mhz 6
Warning: This action may cause service interruption. Continue?[Y/N]y 
[AC-wlan-radio-0/0] eirp 127
[AC-wlan-radio-0/0] quit

在AC上配置802.1X认证

1️⃣ 配置RADIUS认证参数。

创建RADIUS服务器模板。

[AC-wlan-view] quit
[AC] radius-server template wlan-net
[AC-radius-wlan-net] radius-server authentication 10.23.103.1 1812
[AC-radius-wlan-net] radius-server shared-key cipher huawei@123
[AC-radius-wlan-net] quit

创建RADIUS方式的认证方案。

[AC] aaa
[AC-aaa] authentication-scheme wlan-net
[AC-aaa-authen-wlan-net] authentication-mode radius
[AC-aaa-authen-wlan-net] quit
[AC-aaa] quit

2️⃣ 配置802.1X接入模板，管理802.1X接入控制参数

3️⃣ 创建名为wlan-net的认证模板，并引用802.1X接入模板、认证方案和RADIUS服务器模板。

4️⃣ 配置WLAN业务参数

部分配置略