admin管理员组文章数量:1130349
一、基础知识
1.1、什么是WLAN?
- WLAN(Wireless Local Area Network)即无线局域网,是通过无线技术构建的局域网络。
- 使用的技术包括:Wi-Fi、红外、蓝牙、ZigBee等。
- 用户可在覆盖区域内自由移动,摆脱有线束缚。
- 按传输距离分类:
- WPAN(个域网,如蓝牙、ZigBee)
- WLAN(局域网,如Wi-Fi)
- WMAN(城域网,如WiMax)
- WWAN(广域网,如4G/5G)
1.2、IEEE 802.11标准与Wi-Fi世代
| 协议 | 年份 | 速率 | 频段 | Wi-Fi代号 |
|---|---|---|---|---|
| 802.11 | 1997 | 2 Mbps | 2.4 GHz | Wi-Fi 1 |
| 802.11b | 1999 | 11 Mbps | 2.4 GHz | Wi-Fi 2 |
| 802.11a/g | 2003 | 54 Mbps | 5 GHz / 2.4 GHz | Wi-Fi 3 |
| 802.11n | 2009 | 300 Mbps | 2.4 & 5 GHz | Wi-Fi 4 |
| 802.11ac wave1 | 2013 | 1.3 Gbps | 5 GHz | Wi-Fi 5 |
| 802.11ac wave2 | 2015 | 6.9 Gbps | 5 GHz | Wi-Fi 5 |
| 802.11ax | 2018 | 9.6 Gbps | 2.4 & 5 GHz | Wi-Fi 6 |
| 802.11be | —— | 更高 | 2.4 & 5 GHz & 6GHz(国内未应用) | Wi-Fi 7 |
✅ Wi-Fi ≈ IEEE 802.11,Wi-Fi联盟基于802.11标准制定认证规范。
1.3、WLAN设备与组网架构
1. 基本的WLAN组网架构
2. 敏捷分布式AP架构
- 将AP拆分为:
- 中心AP:集中管理
- 敏分AP:部署在房间内,扩展覆盖
- 特点:
- 成本低、覆盖好
- 适用于酒店、宿舍、病房等密集房间场景
- 支持多种管理模式:FAT AP、AC+FIT AP、云管理
3. CAPWAP协议
- 全称:Control and Provisioning of Wireless Access Points
- 功能:
- AC通过CAPWAP隧道对AP进行集中管理
- 下发配置、控制信息
- 在隧道转发模式下,用户数据也经此隧道传输
- 是AC与AP通信的核心协议
4. AP-AC组网方式
| 类型 | 描述 | 适用场景 |
|---|---|---|
| 二层组网 | AP与AC在同一子网(直连或二层交换) | 小型网络,快速部署 |
| 三层组网 | AP与AC跨路由(三层互通) | 大型网络,灵活扩展 |
5. AC连接方式
- 直连式组网:AC串联在网络中,所有流量经过AC
- 旁挂式组网:AC旁挂在核心交换机上,便于叠加建设与热备
5. 数据转发方式
| 组网结构 | 转发方式 | 特点 |
|---|---|---|
| 直连 + 二层 + 直接转发 | 数据不经过AC | 效率高,无迂回 |
| 旁挂 + 二层/三层 + 隧道转发 | 数据经CAPWAP隧道到AC | 安全性好,支持集中认证(如802.1X) |
| 旁挂 + 三层 + 直接转发 | 数据本地转发 | 高效,适合大规模部署 |
🔁 直接转发:数据由AP直接发往有线网络
🚇 隧道转发:数据通过CAPWAP隧道送至AC再转发
1.4、无线侧基础概念
1.WLAN使用频段
- 2.4 GHz:2.4 – 2.4835 GHz(共14个信道,常用1-11)
- 优点:穿墙好,覆盖远
- 缺点:干扰多,带宽小
- 5 GHz:5.15–5.35 GHz 和 5.725–5.85 GHz
- 优点:干扰少,速率高
- 缺点:穿墙差,覆盖近
2.无线网络标识与结构
| 概念 | 全称 | 含义 | 示例 |
|---|---|---|---|
| SSID | Service Set Identifier | 用户可见的无线网络名称 | “guestt” |
| BSSID | Basic Service Set Identifier | 标识具体接入点,用AP的MAC地址表示 | 00:e0:fc:45:24:a0 |
| BSS | Basic Service Set | 一个AP及其连接设备组成的网络单元 | 单个房间的Wi-Fi覆盖区 |
| ESS | Extended Service Set | 多个同SSID的BSS组成的大范围网络 | 整栋楼统一SSID“Office” |
| ESSID | Extended SSID | 等同于SSID,用于标识整个扩展网络 | 同上 |
| VAP | Virtual Access Point | 在物理AP上虚拟出的多个逻辑AP | 一个AP提供“guest”和“internal”两个SSID |
💡 VAP作用:一台AP可提供多个独立网络服务(如访客网、办公网),提升资源利用率。
二、无线漫游与双机热备
2.1、无线漫游(WLAN Roaming)
1. 什么是无线漫游?
WLAN漫游是指 STA(无线终端,比如手机、笔记本)在不同 AP(无线接入点)覆盖范围之间移动时,保持业务不中断的行为。
2. 实现漫游的前提条件(必须满足!)
- 所有参与漫游的 AP 必须使用:
- ✅ 相同的 SSID(Wi-Fi名称)
- ✅ 相同的安全模板配置(即使模板名字不同,里面的加密方式、密码等必须一样)
- ✅ 相同的认证方式和参数(如都用Portal认证或都用802.1X)
📌 只有这样,用户切换AP时才能“无缝”连接,不用重新输入密码或重新登录。
3. 漫游解决的问题
- ❌ 避免漫游时重新认证太慢 → 导致卡顿或断线
- ✅ 保证用户的权限不变(比如你是VIP用户,漫游后还是VIP)
- ✅ 保证用户的 IP 地址不变(避免应用中断,如视频通话)
4. 漫游的类型
| 类型 | 特点 |
|---|---|
| 二层漫游 | STA 漫游前后处于同一个子网(IP网段不变),速度快,延迟低。 |
| 三层漫游 | STA 漫游前后处于不同子网(跨IP网段),需要“家乡代理”机制来维持IP不变。 |
⚠️ 判断是二层还是三层漫游,关键是看IP地址是否属于同一网段。
5. 流量转发模型对比
| 转发方式 | 特点 |
|---|---|
| 二层漫游 + 直接/隧道转发 | 漫游后仍在原子网,流量直接由当前AP所在AC转发,无需“回家”。 |
| 三层漫游 + 直接转发 | 报文需返回到“家乡AP”(HAP)再发出去,路径绕远。 |
| 三层漫游 + 隧道转发 | 使用CAPWAP隧道封装,报文可直接通过“家乡AC”(HAC)转发,效率更高。 |
📌 “家乡代理”是谁?
- 如果是 HAP为家乡代理:数据要绕回原来的AP转发。
- 如果是 HAC为家乡代理:数据由原来的AC直接转发,更快捷(推荐配置)。
2.2 AC可靠性技术(防止单点故障)
当AC(无线控制器)坏了,AP就没法工作了。为了提高稳定性,有以下三种备份方案:
1. VRRP双机热备(主备AC同城部署)
✅ 核心思想:
- 两台AC组成一个 VRRP组,对外表现为一台“虚拟AC”(有一个虚拟IP)。
- 正常时:主AC工作,备AC待命。
- 故障时:备AC自动接管,继续服务。
✅ 特点:
- AP只认这个“虚拟AC”,不知道背后有两台。
- 主备之间通过 HSB通道 实时同步信息(用户数据、隧道状态、DHCP地址等)。
- 切换速度快,业务影响小。
❌ 缺点:
- VRRP是二层协议,所以主备AC必须在同一个局域网内(不能异地部署)。
📌 适用场景:对可靠性要求高,且主备AC能放在一起的环境。
2. 双链路双机热备(支持异地部署)
✅ 核心思想:
- AP同时与主AC和备AC分别建立CAPWAP隧道。
- 主AC通过HSB通道把业务信息同步给备AC。
✅ 特点:
- 支持主备AC在不同地点(异地部署)。
- 当主AC断开,AP检测到超时后会切换到备AC。
- 切换后终端不需要重新上线(用户体验好)。
❌ 缺点:
- 切换速度比VRRP慢(要等超时检测)。
- AP要维护两条链路,资源消耗略高。
📌 适用场景:需要异地容灾、高可靠性的网络。
3. N+1备份(经济型方案)
✅ 核心思想:
- 一台备AC为多台主AC提供备份服务。
- 正常时:AP只连自己的主AC。
- 主AC故障时:AP连到备AC,由它接管。
✅ 特点:
- 成本低,节省设备。
- 支持主备倒换和回切。
❌ 缺点:
- 切换时AP和终端都要重新上线,会有短暂中断。
- 备AC压力大,适合对可靠性要求不高的场景。
📌 适用场景:预算有限、对中断容忍度较高的中小型企业。
2.3 三种可靠性方案对比总结
| 对比项 | VRRP双机热备 | 双链路双机热备 | N+1备份 |
|---|---|---|---|
| 切换速度 | ⚡ 快(毫秒级) | 中等(需超时检测) | 慢(需重连) |
| 是否支持异地部署 | ❌ 不支持(二层限制) | ✅ 支持 | ✅ 支持 |
| 业务中断情况 | 基本无感 | 终端不重连 | AP和终端都要重连 |
| 适用场景 | 高可靠、同城部署 | 高可靠、异地容灾 | 成本敏感、可靠性要求不高 |
✅ 总结一句话:
要实现无缝漫游,就要统一SSID和安全策略;
要保障网络高可用,就要部署AC备份方案——
- 要快选 VRRP(同城)
- 要远选 双链路(异地)
- 要省钱选 N+1
三、WLAN网络规划
3.1 无线信号基础:功率单位(mW、dBm、dB)
1. 常见功率单位对比
| 单位 | 含义 | 应用场景 |
|---|---|---|
| mW(毫瓦) | 表示设备的实际发射功率 | 设备标称值,比如“AP发射功率100mW” |
| dBm | 表示信号强度的绝对值,是相对于1mW的对数单位 | 用于无线链路计算,如信号强度-65dBm |
| dB | 表示两个功率之间的相对差值(增益或衰减) | 比如天线增益+3dBi,表示信号增强了3dB |
📌 换算公式:
- dBm = 10lg(功率值 / 1mW)
👉 例如:100mW → 10lg(100) = 20 dBm - +3dBm ≈ 功率翻倍
👉 20dBm(100mW)+3dBm = 23dBm ≈ 200mW - +10dBm = 功率×10倍
👉 20dBm +10dBm = 30dBm = 1000mW(1W)
2. 为什么接收信号强度(RSSI)都是负数?
因为无线信号在传播过程中会不断衰减,接收到的功率通常比1mW还小,所以 dBm 是负数。
✅ RSSI 计算公式:
接收信号强度 = 发射功率 + 天线增益 – 路径损耗 – 障碍物衰减 + 接收端天线增益
📌 举例说明:
- AP发射功率:100mW = 20 dBm
- AP天线增益:+6 dBi
- 传输距离10米(5G频段)→ 路径损耗:L = 53 + 30lg(10) = 83 dB
- 穿过一堵砖墙 → 障碍物衰减:-20 dB
- 手机天线增益:≈ 0 dBi
👉 计算:
RSSI = 20 + 6 - 83 - 20 + 0 = -77 dBm
→ 信号较弱,可能连接不稳定!
3.2 信号覆盖设计原则
1. 覆盖目标区域的信号强度标准
| 区域类型 | 推荐 RSSI 值 |
|---|---|
| 重点覆盖区(会议室、前台) | ≥ -65 dBm ~ -40 dBm |
| 一般覆盖区(走廊、楼梯) | > -75 dBm |
| 不可低于 | -85 dBm(否则基本无法使用) |
✅ 数字越接近0,信号越强;越负,信号越差。
2. AP布放设计要点
- ✅ 尽量减少信号穿墙数量:每多穿一堵墙,信号就大幅下降。
- ✅ AP正面正对覆盖区域:全向天线AP要“面向人群”。
- ✅ 远离干扰源:如微波炉、蓝牙设备、电梯机房等。
- ✅ 供电距离限制:
- PoE供电:AP到交换机 ≤ 80米
- PoE++供电:≤ 200米
- 光电混合缆也可支持长距离
🚫 不建议使用超过 15米的馈线(连接天线的线),太长会导致信号衰减严重。
3. 常见障碍物信号衰减表
| 障碍物 | 2.4G衰减(dB) | 5G衰减(dB) | 说明 |
|---|---|---|---|
| 砖墙(120mm) | 10 | 20 | 5G穿透力更差 |
| 混凝土墙(240mm) | 25 | 30 | 很难穿透 |
| 玻璃窗 | 4 | 7 | 中等影响 |
| 有色厚玻璃 | 8 | 10 | 影响较大 |
| 金属 | 30 | 35 | 几乎完全阻挡 |
📌 结论:
- 5GHz信号速度更快,但穿墙能力远不如2.4GHz
- 规划时优先考虑5G覆盖是否到位
3.3 信道设计(避免干扰)
1. 先确认当地可用信道
不同国家开放的Wi-Fi信道不同。以中国为例:
- 2.4G频段:信道1~13(常用1、6、11)
- 5G频段(非DFS):149、153、157、161、165(常用于网桥回传)
⚠️ 规划前必须查清楚本地法规允许使用的信道!
2. 如何避免同频干扰?
多个AP如果用同一个信道,就会“抢道”,导致网速变慢。
✅ 解决方案:
- 错开信道:相邻AP使用不重叠的信道
- 降低发射功率:如果信道实在不够用,可适当调低功率,减少信号重叠范围
3. 信道规划原则
(1)2.4G频段(只有3个不重叠信道)
使用 1、6、11 这三个互不干扰的信道进行交替部署。
🟢 正确示例:
🔴 错误做法:使用1和3 → 有重叠 → 干扰大!
(2)5G频段(信道多,干扰少)
- 可用信道多(如149、153、157、161…)
- 建议按楼层或区域统一规划,上下层AP信道错开
(3)多楼层部署技巧
- 上下楼AP也要错开信道(垂直方向也有信号穿透)
- 可采用“蜂窝式”布局,像六边形一样循环分配信道
4. 室内放装AP信道规划口诀
✅ 减少跨层干扰
✅ 避免信道冲突
✅ 统一整体规划
3.4 AP供电与走线设计
1. 三种主要供电方式
| 方式 | 说明 | 是否推荐 |
|---|---|---|
| PoE供电(推荐) | 通过网线同时传输数据和电力,由PoE交换机供电 | ✅ 强烈推荐 |
| 本地供电 | AP自带电源适配器,网线只传数据 | ⚠️ 适合无PoE环境 |
| PoE模块供电 | 在非PoE交换机后加一个PoE适配器,实现供电 | ⚠️ 临时方案 |
📌 标准:通常遵循 IEEE 802.3af/at(PoE/PoE+)
2. 走线设计注意事项
- ✅ AP到PoE交换机网线长度 ≤ 80米
- ✅ 光电混合缆最长可达 200米
- ✅ 网线在AP端预留 5米左右,方便后期调整位置
- ✅ 远离强电、强磁场(防止干扰)
- ✅ 提前沟通物业,避免施工受阻
- ✅ 馈线长度 ≤ 15米(太长信号衰减严重)
✅ 总结一句话:
无线网络好不好,规划是关键:
- 功率看 dBm,衰减看 障碍物
- 覆盖靠 合理布放,速度靠 信道不打架
- 供电优选 PoE,走线别超 80米
四、WLAN工作流程
4.1 WLAN三大核心流程
WLAN网络要正常运行,必须完成三个主要阶段:
- AP上线 → AP找到AC,建立连接
- 业务配置下发 → AC把Wi-Fi设置告诉AP
- STA接入 → 用户设备(手机/电脑)连上Wi-Fi上网
第一阶段:AP上线(AP → AC)
FIT AP 必须完成上线过程,AC才能实现对AP的集中管理和控制,以及业务下发。
1. 步骤一:AP获取IP地址
AP必须先有IP地址,才能和AC“打电话”。
✅ 获取IP的方式:
- 静态配置:手动设置IP(不常用)
- DHCP方式(推荐):自动从服务器领取IP
DHCP获取IP过程(四步走):
| 步骤 | 报文 | 说明 |
|---|---|---|
| 1 | DHCP Discover(广播) | AP大喊:“谁是DHCP服务器?” |
| 2 | DHCP Offer(单播) | 服务器回应:“我可以给你这个IP!” |
| 3 | DHCP Request(广播) | AP宣布:“我选这个IP了!” |
| 4 | DHCP Ack(单播) | 服务器确认:“批准!” |
📌 跨三层网络时要注意:
- 如果AP和DHCP服务器不在同一网段 → 需配置 DHCP Relay(中继)
- 如果AP要找AC → 需在DHCP服务器上配置 Option 43,告诉AP“AC在哪”
2. 步骤二:AP发现AC并建立CAPWAP隧道
AP有了IP后,就要找AC建立“专用通信通道”——叫 CAPWAP隧道。
建立过程:
- Discovery阶段:AP广播寻找AC
- DTLS加密连接:建立安全通道(防黑客)
- Join阶段:AP向AC发起加入请求
- Image/配置同步:AC给AP下发软件版本和配置
- Keepalive保持心跳:定期发“我还活着”消息,维持连接
📌 CAPWAP隧道作用:
- 控制信息走“控制隧道”
- 数据可以走“数据隧道”或本地转发
第二阶段:WLAN业务配置下发(AC → AP)
AC通过各种“模板”来统一管理所有AP的Wi-Fi设置。
常见WLAN模板类型:
| 模板 | 作用 | 示例 |
|---|---|---|
| SSID模板 | 定义Wi-Fi名称 | 比如“Office-WiFi” |
| 安全模板 | 设置加密方式和密码 | WPA2-PSK、802.1X等 |
| VAP模板 | 把SSID和安全策略打包,下发给AP | 相当于“完整的Wi-Fi套餐” |
| 转发模式 | 决定数据是否经过AC转发 | 隧道转发 or 直接转发 |
| 业务VLAN | 给无线用户分配VLAN标签 | 实现不同部门隔离 |
📌 VAP = SSID + 安全策略 + VLAN + 转发模式
就像菜单:VAP是整套套餐,SSID是菜名,安全是用餐规则,VLAN是包间号。
第三阶段:STA接入无线网络(用户连接)
用户设备(手机、笔记本)连接Wi-Fi的过程分为六个阶段:
✅ STA接入六步曲:
| 阶段 | 说明 |
|---|---|
| 1. 扫描阶段 | 手机搜索周围有哪些Wi-Fi信号(SSID) |
| 2. 链路认证阶段 | 手机和AP互相“打招呼”,确认身份合法性 |
| 3. 关联阶段 | 手机正式“绑定”这个AP,建立连接 |
| 4. 接入认证阶段 | 即对用户进行区分,并在用户访问网络之前限制其访问权限(主要包含PSK认证和802.1X认证) |
| 5. DHCP地址分配 | 手机获取IP地址,准备上网 |
| 6. 用户认证阶段 | 用户认证是一种“端到端”的安全结构,包括:802.1X认证、MAC认证和Portal认证。 |
🔹 关键报文详解(802.11帧类型)
1. 管理帧(负责“打招呼”和“加群”)
| 帧类型 | 作用 |
|---|---|
| Beacon(信标帧) | AP定期广播:“我在这里!我的名字是XXX!” |
| Probe Request(探测请求) | 手机主动扫描:“附近有哪些Wi-Fi?” |
| Probe Response(探测响应) | AP回应:“我在,你要连吗?” |
| Authentication(认证帧) | AP和手机进行身份验证 |
| Association Request/Response | 手机申请加入,AP同意连接 |
📌 手机看到的Wi-Fi列表,就是靠 Beacon + Probe Response 得来的!
2. 控制帧(负责“交通指挥”)
| 帧类型 | 作用 |
|---|---|
| RTS(请求发送) | AP说:“我要发数据了,请大家安静!” |
| CTS(允许发送) | 接收方回应:“好,我准备好了!” |
| ACK(应答) | 收到数据后回复:“收到!”防止丢包 |
| PS-Poll(省电轮询) | 手机从睡眠中醒来,问AP:“有没有我的消息?” |
📌 就像开车前按喇叭提醒别人:“我要起步了!”
3. 数据帧(真正传输数据)
- 承载用户上网的数据,比如网页、视频、聊天消息
- 是802.11网络的“运输工具”
4.5 接入认证 vs 用户认证
这两个容易混淆,区别如下:
| 类型 | 别名 | 作用 | 常见方式 |
|---|---|---|---|
| 接入认证 | 链路层认证 | 让终端有权限在无线链路上发送数据 | PSK(预共享密钥)、802.1X |
| 用户认证 | “端到端”认证 | 验证用户身份,控制上网权限 | Portal、MAC认证、802.1X |
三种常见用户认证方式对比:
| 方式 | 是否需要客户端 | 适用场景 | 优缺点 |
|---|---|---|---|
| 802.1X认证 | ✅ 需要 | 企业、学校等高安全场景 | 安全性高,但部署复杂 |
| MAC认证 | ❌ 不需要 | 打印机、摄像头等哑终端 | 无需操作,但需登记MAC地址 |
| Portal认证 | ❌ 不需要 | 商场、酒店等公共场所 | 弹出登录页,方便但安全性较低 |
📌 生活场景举例:
- 公司Wi-Fi输账号密码 → 802.1X
- 连星巴克Wi-Fi点“同意协议” → Portal认证
- 打印机自动连Wi-Fi → MAC认证
4.6 真题回顾与考点解析
🔹 真题1(2022.11)
台式机、手机优先用哪种认证?打印机用哪种?
✅ 答案:
- 智能终端 → 802.1X(兼容性好、安全)
- 非智能终端(打印机)→ MAC认证
数据走AC隧道 → 隧道转发
数据不走AC → 直接转发
减少2.4G干扰,信道至少间隔?
👉 答案:5个信道(如1和6、6和11)
汇聚交换机上联满载,如何解决?
👉 答案:链路聚合 或 升级万兆接口
🔹 真题2(2021.11)
AC直连部署的问题?
👉 增加AC压力,故障时影响全网通信
AC部署在接入层的问题?
👉 可靠性下降,流量路径不清晰
NAT策略应配置在哪?
👉 Router(路由器)
手机连Wi-Fi后弹网页认证 → Portal认证
✅ 总结一句话:
WLAN工作流程就像一场“接龙游戏”:
- AP先拿IP,找AC报到 ✅
- AC下发Wi-Fi套餐(模板)📋
- 用户扫描→认证→关联→上网 📱
- 中间靠Beacon“吆喝”,ACK“确认”,Portal“登录”
五、WLAN配置实践
5.1 典型组网结构:旁挂二层 + 隧道转发
📌 组网特点:
- AC像“挂件”一样连接在核心交换机上(旁挂)
- AP和AC在同一子网(二层可达)
- 用户数据通过CAPWAP隧道传回AC,再转发到上层网络(隧道转发)
✅ 优点:AC集中管理流量,便于策略控制和安全审计。
5.2 配置流程四大步
✅ 第一步:网络互通(让设备能互相通信)
目标:
- 为AP分配IP地址(用于连接AC)
- 为STA(用户)分配IP地址(用于上网)
配置命令:
[AC] dhcp enable
[AC] interface vlanif 100
[AC-Vlanif100] ip address 10.23.100.1 24
[AC-Vlanif100] dhcp select interface
[S2] dhcp enable
[S2] interface vlanif 101
[S2-Vlanif101] ip address 10.23.101.2 24
[S2-Vlanif101] dhcp select interface
📌 解释:
vlanif 100:给AP用的管理VLAN,AC作为DHCP服务器自动分配IPvlanif 101:给STA用的业务VLAN,由S2(交换机)提供DHCP服务dhcp select interface:DHCP选择接口模式
✅ 第二步:配置AP上线
1. 创建AP组
把相同配置的AP归为一组,方便批量管理。
[AC] wlan
[AC-wlan-view] ap-group name ap-group1
2. 配置国家码(必须!)
不同国家Wi-Fi信道和功率限制不同。
[AC-wlan-view] regulatory-domain-profile name default
[AC-wlan-regulate-domain-default] country-code cn
📌 注意:改国家码会清空射频配置,并可能重启AP,需确认!
然后将该模板绑定到AP组:
[AC-wlan-ap-group-ap-group1] regulatory-domain-profile default
3. 配置AC的源接口
指定AC用哪个接口与AP通信。
[AC] capwap source interface vlanif 100
📌 必须和AP在同一网段(这里是VLAN 100)
4. 离线导入AP(MAC认证方式)
告诉AC:“这个MAC地址的AP是合法的,允许它上线。”
[AC-wlan-view] ap auth-mode mac-auth
[AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360
[AC-wlan-ap-0] ap-name area_1
[AC-wlan-ap-0] ap-group ap-group1
📌 说明:
ap auth-mode mac-auth:启用MAC地址认证ap-id 0:手动指定AP编号ap-mac:输入AP背面的MAC地址ap-name:起个名字方便识别ap-group:加入之前创建的组
✅ 第三步:查看AP是否上线
使用命令查看AP状态:
[AC-wlan-view] display ap all
✅ 正常上线标志:
- State(状态)字段为
nor(normal) - IP地址正确
- STA数量为0(还没用户连接)
📌 如果是fault或idle,说明未成功建立CAPWAP隧道,需排查网络或配置。
✅ 第四步:配置WLAN业务参数
1. 创建安全模板
定义Wi-Fi的加密方式和密码。
[AC-wlan-view] security-profile name wlan-net
[AC-wlan-sec-prof-wlan-net] security wpa-wpa2 psk pass-phrase a1234567 aes
📌 解释:
wpa-wpa2 psk:个人模式,预共享密钥(就是我们常说的“Wi-Fi密码”)pass-phrase a1234567:密码aes:加密算法
2. 创建SSID模板
定义Wi-Fi名称。
[AC-wlan-view] ssid-profile name wlan-net
[AC-wlan-ssid-prof-wlan-net] ssid wlan-net
📌 ssid 就是用户看到的Wi-Fi名字。
3. 创建VAP模板
把安全、SSID、VLAN、转发模式打包成一个“套餐”。
[AC-wlan-view] vap-profile name wlan-net
[AC-wlan-vap-prof-wlan-net] forward-mode tunnel
[AC-wlan-vap-prof-wlan-net] service-vlan vlan-id 101
[AC-wlan-vap-prof-wlan-net] security-profile wlan-net
[AC-wlan-vap-prof-wlan-net] ssid-profile wlan-net
📌 关键参数:
forward-mode tunnel:数据走隧道回ACservice-vlan vlan-id 101:用户属于VLAN 101- 引用前面创建的安全和SSID模板
4. 应用VAP模板到AP组
让所有属于该组的AP都使用这个Wi-Fi套餐。
[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 0
[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 1
📌 说明:
radio 0:通常是2.4G射频radio 1:通常是5G射频wlan 1:WLAN编号
这样,AP的2.4G和5G都会广播同一个SSID。
✅ 第五步:验证VAP是否生效
查看VAP状态:
[AC-wlan-view] display vap ssid wlan-net
✅ 成功标志:
- Status(状态)为
ON - BSSID正常
- STA数量为0(等待用户连接)
5.3 关键概念回顾
- WLAN漫游:是指STA在不同AP覆盖范围之间移动且保持用户业务不中断的行为。
- CAPWAP隧道:FIT AP与AC之间建立的控制和数据通道。
- VAP(Virtual Access Point):虚拟接入点,由AC通过模板下发,用于向用户提供无线网络服务。
- 安全模板:配置WLAN安全策略,如WPA/WPA2加密方式。
- SSID模板:配置WLAN网络的SSID名称。
- VAP模板:配置数据转发方式、业务VLAN,并引用安全和SSID模板。
- AP组:用于对AP进行分组管理,实现配置统一下发。
✅ 总结一句话:
WLAN配置四步走:
- 通网络:配VLAN + DHCP
- 管AP:建组 + 设国家码 + 导入MAC + 指定源接口
- 发业务:安全 + SSID + VAP模板打包下发
- 查状态:
display ap all和display vap ssid看是否正常
一、基础知识
1.1、什么是WLAN?
- WLAN(Wireless Local Area Network)即无线局域网,是通过无线技术构建的局域网络。
- 使用的技术包括:Wi-Fi、红外、蓝牙、ZigBee等。
- 用户可在覆盖区域内自由移动,摆脱有线束缚。
- 按传输距离分类:
- WPAN(个域网,如蓝牙、ZigBee)
- WLAN(局域网,如Wi-Fi)
- WMAN(城域网,如WiMax)
- WWAN(广域网,如4G/5G)
1.2、IEEE 802.11标准与Wi-Fi世代
| 协议 | 年份 | 速率 | 频段 | Wi-Fi代号 |
|---|---|---|---|---|
| 802.11 | 1997 | 2 Mbps | 2.4 GHz | Wi-Fi 1 |
| 802.11b | 1999 | 11 Mbps | 2.4 GHz | Wi-Fi 2 |
| 802.11a/g | 2003 | 54 Mbps | 5 GHz / 2.4 GHz | Wi-Fi 3 |
| 802.11n | 2009 | 300 Mbps | 2.4 & 5 GHz | Wi-Fi 4 |
| 802.11ac wave1 | 2013 | 1.3 Gbps | 5 GHz | Wi-Fi 5 |
| 802.11ac wave2 | 2015 | 6.9 Gbps | 5 GHz | Wi-Fi 5 |
| 802.11ax | 2018 | 9.6 Gbps | 2.4 & 5 GHz | Wi-Fi 6 |
| 802.11be | —— | 更高 | 2.4 & 5 GHz & 6GHz(国内未应用) | Wi-Fi 7 |
✅ Wi-Fi ≈ IEEE 802.11,Wi-Fi联盟基于802.11标准制定认证规范。
1.3、WLAN设备与组网架构
1. 基本的WLAN组网架构
2. 敏捷分布式AP架构
- 将AP拆分为:
- 中心AP:集中管理
- 敏分AP:部署在房间内,扩展覆盖
- 特点:
- 成本低、覆盖好
- 适用于酒店、宿舍、病房等密集房间场景
- 支持多种管理模式:FAT AP、AC+FIT AP、云管理
3. CAPWAP协议
- 全称:Control and Provisioning of Wireless Access Points
- 功能:
- AC通过CAPWAP隧道对AP进行集中管理
- 下发配置、控制信息
- 在隧道转发模式下,用户数据也经此隧道传输
- 是AC与AP通信的核心协议
4. AP-AC组网方式
| 类型 | 描述 | 适用场景 |
|---|---|---|
| 二层组网 | AP与AC在同一子网(直连或二层交换) | 小型网络,快速部署 |
| 三层组网 | AP与AC跨路由(三层互通) | 大型网络,灵活扩展 |
5. AC连接方式
- 直连式组网:AC串联在网络中,所有流量经过AC
- 旁挂式组网:AC旁挂在核心交换机上,便于叠加建设与热备
5. 数据转发方式
| 组网结构 | 转发方式 | 特点 |
|---|---|---|
| 直连 + 二层 + 直接转发 | 数据不经过AC | 效率高,无迂回 |
| 旁挂 + 二层/三层 + 隧道转发 | 数据经CAPWAP隧道到AC | 安全性好,支持集中认证(如802.1X) |
| 旁挂 + 三层 + 直接转发 | 数据本地转发 | 高效,适合大规模部署 |
🔁 直接转发:数据由AP直接发往有线网络
🚇 隧道转发:数据通过CAPWAP隧道送至AC再转发
1.4、无线侧基础概念
1.WLAN使用频段
- 2.4 GHz:2.4 – 2.4835 GHz(共14个信道,常用1-11)
- 优点:穿墙好,覆盖远
- 缺点:干扰多,带宽小
- 5 GHz:5.15–5.35 GHz 和 5.725–5.85 GHz
- 优点:干扰少,速率高
- 缺点:穿墙差,覆盖近
2.无线网络标识与结构
| 概念 | 全称 | 含义 | 示例 |
|---|---|---|---|
| SSID | Service Set Identifier | 用户可见的无线网络名称 | “guestt” |
| BSSID | Basic Service Set Identifier | 标识具体接入点,用AP的MAC地址表示 | 00:e0:fc:45:24:a0 |
| BSS | Basic Service Set | 一个AP及其连接设备组成的网络单元 | 单个房间的Wi-Fi覆盖区 |
| ESS | Extended Service Set | 多个同SSID的BSS组成的大范围网络 | 整栋楼统一SSID“Office” |
| ESSID | Extended SSID | 等同于SSID,用于标识整个扩展网络 | 同上 |
| VAP | Virtual Access Point | 在物理AP上虚拟出的多个逻辑AP | 一个AP提供“guest”和“internal”两个SSID |
💡 VAP作用:一台AP可提供多个独立网络服务(如访客网、办公网),提升资源利用率。
二、无线漫游与双机热备
2.1、无线漫游(WLAN Roaming)
1. 什么是无线漫游?
WLAN漫游是指 STA(无线终端,比如手机、笔记本)在不同 AP(无线接入点)覆盖范围之间移动时,保持业务不中断的行为。
2. 实现漫游的前提条件(必须满足!)
- 所有参与漫游的 AP 必须使用:
- ✅ 相同的 SSID(Wi-Fi名称)
- ✅ 相同的安全模板配置(即使模板名字不同,里面的加密方式、密码等必须一样)
- ✅ 相同的认证方式和参数(如都用Portal认证或都用802.1X)
📌 只有这样,用户切换AP时才能“无缝”连接,不用重新输入密码或重新登录。
3. 漫游解决的问题
- ❌ 避免漫游时重新认证太慢 → 导致卡顿或断线
- ✅ 保证用户的权限不变(比如你是VIP用户,漫游后还是VIP)
- ✅ 保证用户的 IP 地址不变(避免应用中断,如视频通话)
4. 漫游的类型
| 类型 | 特点 |
|---|---|
| 二层漫游 | STA 漫游前后处于同一个子网(IP网段不变),速度快,延迟低。 |
| 三层漫游 | STA 漫游前后处于不同子网(跨IP网段),需要“家乡代理”机制来维持IP不变。 |
⚠️ 判断是二层还是三层漫游,关键是看IP地址是否属于同一网段。
5. 流量转发模型对比
| 转发方式 | 特点 |
|---|---|
| 二层漫游 + 直接/隧道转发 | 漫游后仍在原子网,流量直接由当前AP所在AC转发,无需“回家”。 |
| 三层漫游 + 直接转发 | 报文需返回到“家乡AP”(HAP)再发出去,路径绕远。 |
| 三层漫游 + 隧道转发 | 使用CAPWAP隧道封装,报文可直接通过“家乡AC”(HAC)转发,效率更高。 |
📌 “家乡代理”是谁?
- 如果是 HAP为家乡代理:数据要绕回原来的AP转发。
- 如果是 HAC为家乡代理:数据由原来的AC直接转发,更快捷(推荐配置)。
2.2 AC可靠性技术(防止单点故障)
当AC(无线控制器)坏了,AP就没法工作了。为了提高稳定性,有以下三种备份方案:
1. VRRP双机热备(主备AC同城部署)
✅ 核心思想:
- 两台AC组成一个 VRRP组,对外表现为一台“虚拟AC”(有一个虚拟IP)。
- 正常时:主AC工作,备AC待命。
- 故障时:备AC自动接管,继续服务。
✅ 特点:
- AP只认这个“虚拟AC”,不知道背后有两台。
- 主备之间通过 HSB通道 实时同步信息(用户数据、隧道状态、DHCP地址等)。
- 切换速度快,业务影响小。
❌ 缺点:
- VRRP是二层协议,所以主备AC必须在同一个局域网内(不能异地部署)。
📌 适用场景:对可靠性要求高,且主备AC能放在一起的环境。
2. 双链路双机热备(支持异地部署)
✅ 核心思想:
- AP同时与主AC和备AC分别建立CAPWAP隧道。
- 主AC通过HSB通道把业务信息同步给备AC。
✅ 特点:
- 支持主备AC在不同地点(异地部署)。
- 当主AC断开,AP检测到超时后会切换到备AC。
- 切换后终端不需要重新上线(用户体验好)。
❌ 缺点:
- 切换速度比VRRP慢(要等超时检测)。
- AP要维护两条链路,资源消耗略高。
📌 适用场景:需要异地容灾、高可靠性的网络。
3. N+1备份(经济型方案)
✅ 核心思想:
- 一台备AC为多台主AC提供备份服务。
- 正常时:AP只连自己的主AC。
- 主AC故障时:AP连到备AC,由它接管。
✅ 特点:
- 成本低,节省设备。
- 支持主备倒换和回切。
❌ 缺点:
- 切换时AP和终端都要重新上线,会有短暂中断。
- 备AC压力大,适合对可靠性要求不高的场景。
📌 适用场景:预算有限、对中断容忍度较高的中小型企业。
2.3 三种可靠性方案对比总结
| 对比项 | VRRP双机热备 | 双链路双机热备 | N+1备份 |
|---|---|---|---|
| 切换速度 | ⚡ 快(毫秒级) | 中等(需超时检测) | 慢(需重连) |
| 是否支持异地部署 | ❌ 不支持(二层限制) | ✅ 支持 | ✅ 支持 |
| 业务中断情况 | 基本无感 | 终端不重连 | AP和终端都要重连 |
| 适用场景 | 高可靠、同城部署 | 高可靠、异地容灾 | 成本敏感、可靠性要求不高 |
✅ 总结一句话:
要实现无缝漫游,就要统一SSID和安全策略;
要保障网络高可用,就要部署AC备份方案——
- 要快选 VRRP(同城)
- 要远选 双链路(异地)
- 要省钱选 N+1
三、WLAN网络规划
3.1 无线信号基础:功率单位(mW、dBm、dB)
1. 常见功率单位对比
| 单位 | 含义 | 应用场景 |
|---|---|---|
| mW(毫瓦) | 表示设备的实际发射功率 | 设备标称值,比如“AP发射功率100mW” |
| dBm | 表示信号强度的绝对值,是相对于1mW的对数单位 | 用于无线链路计算,如信号强度-65dBm |
| dB | 表示两个功率之间的相对差值(增益或衰减) | 比如天线增益+3dBi,表示信号增强了3dB |
📌 换算公式:
- dBm = 10lg(功率值 / 1mW)
👉 例如:100mW → 10lg(100) = 20 dBm - +3dBm ≈ 功率翻倍
👉 20dBm(100mW)+3dBm = 23dBm ≈ 200mW - +10dBm = 功率×10倍
👉 20dBm +10dBm = 30dBm = 1000mW(1W)
2. 为什么接收信号强度(RSSI)都是负数?
因为无线信号在传播过程中会不断衰减,接收到的功率通常比1mW还小,所以 dBm 是负数。
✅ RSSI 计算公式:
接收信号强度 = 发射功率 + 天线增益 – 路径损耗 – 障碍物衰减 + 接收端天线增益
📌 举例说明:
- AP发射功率:100mW = 20 dBm
- AP天线增益:+6 dBi
- 传输距离10米(5G频段)→ 路径损耗:L = 53 + 30lg(10) = 83 dB
- 穿过一堵砖墙 → 障碍物衰减:-20 dB
- 手机天线增益:≈ 0 dBi
👉 计算:
RSSI = 20 + 6 - 83 - 20 + 0 = -77 dBm
→ 信号较弱,可能连接不稳定!
3.2 信号覆盖设计原则
1. 覆盖目标区域的信号强度标准
| 区域类型 | 推荐 RSSI 值 |
|---|---|
| 重点覆盖区(会议室、前台) | ≥ -65 dBm ~ -40 dBm |
| 一般覆盖区(走廊、楼梯) | > -75 dBm |
| 不可低于 | -85 dBm(否则基本无法使用) |
✅ 数字越接近0,信号越强;越负,信号越差。
2. AP布放设计要点
- ✅ 尽量减少信号穿墙数量:每多穿一堵墙,信号就大幅下降。
- ✅ AP正面正对覆盖区域:全向天线AP要“面向人群”。
- ✅ 远离干扰源:如微波炉、蓝牙设备、电梯机房等。
- ✅ 供电距离限制:
- PoE供电:AP到交换机 ≤ 80米
- PoE++供电:≤ 200米
- 光电混合缆也可支持长距离
🚫 不建议使用超过 15米的馈线(连接天线的线),太长会导致信号衰减严重。
3. 常见障碍物信号衰减表
| 障碍物 | 2.4G衰减(dB) | 5G衰减(dB) | 说明 |
|---|---|---|---|
| 砖墙(120mm) | 10 | 20 | 5G穿透力更差 |
| 混凝土墙(240mm) | 25 | 30 | 很难穿透 |
| 玻璃窗 | 4 | 7 | 中等影响 |
| 有色厚玻璃 | 8 | 10 | 影响较大 |
| 金属 | 30 | 35 | 几乎完全阻挡 |
📌 结论:
- 5GHz信号速度更快,但穿墙能力远不如2.4GHz
- 规划时优先考虑5G覆盖是否到位
3.3 信道设计(避免干扰)
1. 先确认当地可用信道
不同国家开放的Wi-Fi信道不同。以中国为例:
- 2.4G频段:信道1~13(常用1、6、11)
- 5G频段(非DFS):149、153、157、161、165(常用于网桥回传)
⚠️ 规划前必须查清楚本地法规允许使用的信道!
2. 如何避免同频干扰?
多个AP如果用同一个信道,就会“抢道”,导致网速变慢。
✅ 解决方案:
- 错开信道:相邻AP使用不重叠的信道
- 降低发射功率:如果信道实在不够用,可适当调低功率,减少信号重叠范围
3. 信道规划原则
(1)2.4G频段(只有3个不重叠信道)
使用 1、6、11 这三个互不干扰的信道进行交替部署。
🟢 正确示例:
🔴 错误做法:使用1和3 → 有重叠 → 干扰大!
(2)5G频段(信道多,干扰少)
- 可用信道多(如149、153、157、161…)
- 建议按楼层或区域统一规划,上下层AP信道错开
(3)多楼层部署技巧
- 上下楼AP也要错开信道(垂直方向也有信号穿透)
- 可采用“蜂窝式”布局,像六边形一样循环分配信道
4. 室内放装AP信道规划口诀
✅ 减少跨层干扰
✅ 避免信道冲突
✅ 统一整体规划
3.4 AP供电与走线设计
1. 三种主要供电方式
| 方式 | 说明 | 是否推荐 |
|---|---|---|
| PoE供电(推荐) | 通过网线同时传输数据和电力,由PoE交换机供电 | ✅ 强烈推荐 |
| 本地供电 | AP自带电源适配器,网线只传数据 | ⚠️ 适合无PoE环境 |
| PoE模块供电 | 在非PoE交换机后加一个PoE适配器,实现供电 | ⚠️ 临时方案 |
📌 标准:通常遵循 IEEE 802.3af/at(PoE/PoE+)
2. 走线设计注意事项
- ✅ AP到PoE交换机网线长度 ≤ 80米
- ✅ 光电混合缆最长可达 200米
- ✅ 网线在AP端预留 5米左右,方便后期调整位置
- ✅ 远离强电、强磁场(防止干扰)
- ✅ 提前沟通物业,避免施工受阻
- ✅ 馈线长度 ≤ 15米(太长信号衰减严重)
✅ 总结一句话:
无线网络好不好,规划是关键:
- 功率看 dBm,衰减看 障碍物
- 覆盖靠 合理布放,速度靠 信道不打架
- 供电优选 PoE,走线别超 80米
四、WLAN工作流程
4.1 WLAN三大核心流程
WLAN网络要正常运行,必须完成三个主要阶段:
- AP上线 → AP找到AC,建立连接
- 业务配置下发 → AC把Wi-Fi设置告诉AP
- STA接入 → 用户设备(手机/电脑)连上Wi-Fi上网
第一阶段:AP上线(AP → AC)
FIT AP 必须完成上线过程,AC才能实现对AP的集中管理和控制,以及业务下发。
1. 步骤一:AP获取IP地址
AP必须先有IP地址,才能和AC“打电话”。
✅ 获取IP的方式:
- 静态配置:手动设置IP(不常用)
- DHCP方式(推荐):自动从服务器领取IP
DHCP获取IP过程(四步走):
| 步骤 | 报文 | 说明 |
|---|---|---|
| 1 | DHCP Discover(广播) | AP大喊:“谁是DHCP服务器?” |
| 2 | DHCP Offer(单播) | 服务器回应:“我可以给你这个IP!” |
| 3 | DHCP Request(广播) | AP宣布:“我选这个IP了!” |
| 4 | DHCP Ack(单播) | 服务器确认:“批准!” |
📌 跨三层网络时要注意:
- 如果AP和DHCP服务器不在同一网段 → 需配置 DHCP Relay(中继)
- 如果AP要找AC → 需在DHCP服务器上配置 Option 43,告诉AP“AC在哪”
2. 步骤二:AP发现AC并建立CAPWAP隧道
AP有了IP后,就要找AC建立“专用通信通道”——叫 CAPWAP隧道。
建立过程:
- Discovery阶段:AP广播寻找AC
- DTLS加密连接:建立安全通道(防黑客)
- Join阶段:AP向AC发起加入请求
- Image/配置同步:AC给AP下发软件版本和配置
- Keepalive保持心跳:定期发“我还活着”消息,维持连接
📌 CAPWAP隧道作用:
- 控制信息走“控制隧道”
- 数据可以走“数据隧道”或本地转发
第二阶段:WLAN业务配置下发(AC → AP)
AC通过各种“模板”来统一管理所有AP的Wi-Fi设置。
常见WLAN模板类型:
| 模板 | 作用 | 示例 |
|---|---|---|
| SSID模板 | 定义Wi-Fi名称 | 比如“Office-WiFi” |
| 安全模板 | 设置加密方式和密码 | WPA2-PSK、802.1X等 |
| VAP模板 | 把SSID和安全策略打包,下发给AP | 相当于“完整的Wi-Fi套餐” |
| 转发模式 | 决定数据是否经过AC转发 | 隧道转发 or 直接转发 |
| 业务VLAN | 给无线用户分配VLAN标签 | 实现不同部门隔离 |
📌 VAP = SSID + 安全策略 + VLAN + 转发模式
就像菜单:VAP是整套套餐,SSID是菜名,安全是用餐规则,VLAN是包间号。
第三阶段:STA接入无线网络(用户连接)
用户设备(手机、笔记本)连接Wi-Fi的过程分为六个阶段:
✅ STA接入六步曲:
| 阶段 | 说明 |
|---|---|
| 1. 扫描阶段 | 手机搜索周围有哪些Wi-Fi信号(SSID) |
| 2. 链路认证阶段 | 手机和AP互相“打招呼”,确认身份合法性 |
| 3. 关联阶段 | 手机正式“绑定”这个AP,建立连接 |
| 4. 接入认证阶段 | 即对用户进行区分,并在用户访问网络之前限制其访问权限(主要包含PSK认证和802.1X认证) |
| 5. DHCP地址分配 | 手机获取IP地址,准备上网 |
| 6. 用户认证阶段 | 用户认证是一种“端到端”的安全结构,包括:802.1X认证、MAC认证和Portal认证。 |
🔹 关键报文详解(802.11帧类型)
1. 管理帧(负责“打招呼”和“加群”)
| 帧类型 | 作用 |
|---|---|
| Beacon(信标帧) | AP定期广播:“我在这里!我的名字是XXX!” |
| Probe Request(探测请求) | 手机主动扫描:“附近有哪些Wi-Fi?” |
| Probe Response(探测响应) | AP回应:“我在,你要连吗?” |
| Authentication(认证帧) | AP和手机进行身份验证 |
| Association Request/Response | 手机申请加入,AP同意连接 |
📌 手机看到的Wi-Fi列表,就是靠 Beacon + Probe Response 得来的!
2. 控制帧(负责“交通指挥”)
| 帧类型 | 作用 |
|---|---|
| RTS(请求发送) | AP说:“我要发数据了,请大家安静!” |
| CTS(允许发送) | 接收方回应:“好,我准备好了!” |
| ACK(应答) | 收到数据后回复:“收到!”防止丢包 |
| PS-Poll(省电轮询) | 手机从睡眠中醒来,问AP:“有没有我的消息?” |
📌 就像开车前按喇叭提醒别人:“我要起步了!”
3. 数据帧(真正传输数据)
- 承载用户上网的数据,比如网页、视频、聊天消息
- 是802.11网络的“运输工具”
4.5 接入认证 vs 用户认证
这两个容易混淆,区别如下:
| 类型 | 别名 | 作用 | 常见方式 |
|---|---|---|---|
| 接入认证 | 链路层认证 | 让终端有权限在无线链路上发送数据 | PSK(预共享密钥)、802.1X |
| 用户认证 | “端到端”认证 | 验证用户身份,控制上网权限 | Portal、MAC认证、802.1X |
三种常见用户认证方式对比:
| 方式 | 是否需要客户端 | 适用场景 | 优缺点 |
|---|---|---|---|
| 802.1X认证 | ✅ 需要 | 企业、学校等高安全场景 | 安全性高,但部署复杂 |
| MAC认证 | ❌ 不需要 | 打印机、摄像头等哑终端 | 无需操作,但需登记MAC地址 |
| Portal认证 | ❌ 不需要 | 商场、酒店等公共场所 | 弹出登录页,方便但安全性较低 |
📌 生活场景举例:
- 公司Wi-Fi输账号密码 → 802.1X
- 连星巴克Wi-Fi点“同意协议” → Portal认证
- 打印机自动连Wi-Fi → MAC认证
4.6 真题回顾与考点解析
🔹 真题1(2022.11)
台式机、手机优先用哪种认证?打印机用哪种?
✅ 答案:
- 智能终端 → 802.1X(兼容性好、安全)
- 非智能终端(打印机)→ MAC认证
数据走AC隧道 → 隧道转发
数据不走AC → 直接转发
减少2.4G干扰,信道至少间隔?
👉 答案:5个信道(如1和6、6和11)
汇聚交换机上联满载,如何解决?
👉 答案:链路聚合 或 升级万兆接口
🔹 真题2(2021.11)
AC直连部署的问题?
👉 增加AC压力,故障时影响全网通信
AC部署在接入层的问题?
👉 可靠性下降,流量路径不清晰
NAT策略应配置在哪?
👉 Router(路由器)
手机连Wi-Fi后弹网页认证 → Portal认证
✅ 总结一句话:
WLAN工作流程就像一场“接龙游戏”:
- AP先拿IP,找AC报到 ✅
- AC下发Wi-Fi套餐(模板)📋
- 用户扫描→认证→关联→上网 📱
- 中间靠Beacon“吆喝”,ACK“确认”,Portal“登录”
五、WLAN配置实践
5.1 典型组网结构:旁挂二层 + 隧道转发
📌 组网特点:
- AC像“挂件”一样连接在核心交换机上(旁挂)
- AP和AC在同一子网(二层可达)
- 用户数据通过CAPWAP隧道传回AC,再转发到上层网络(隧道转发)
✅ 优点:AC集中管理流量,便于策略控制和安全审计。
5.2 配置流程四大步
✅ 第一步:网络互通(让设备能互相通信)
目标:
- 为AP分配IP地址(用于连接AC)
- 为STA(用户)分配IP地址(用于上网)
配置命令:
[AC] dhcp enable
[AC] interface vlanif 100
[AC-Vlanif100] ip address 10.23.100.1 24
[AC-Vlanif100] dhcp select interface
[S2] dhcp enable
[S2] interface vlanif 101
[S2-Vlanif101] ip address 10.23.101.2 24
[S2-Vlanif101] dhcp select interface
📌 解释:
vlanif 100:给AP用的管理VLAN,AC作为DHCP服务器自动分配IPvlanif 101:给STA用的业务VLAN,由S2(交换机)提供DHCP服务dhcp select interface:DHCP选择接口模式
✅ 第二步:配置AP上线
1. 创建AP组
把相同配置的AP归为一组,方便批量管理。
[AC] wlan
[AC-wlan-view] ap-group name ap-group1
2. 配置国家码(必须!)
不同国家Wi-Fi信道和功率限制不同。
[AC-wlan-view] regulatory-domain-profile name default
[AC-wlan-regulate-domain-default] country-code cn
📌 注意:改国家码会清空射频配置,并可能重启AP,需确认!
然后将该模板绑定到AP组:
[AC-wlan-ap-group-ap-group1] regulatory-domain-profile default
3. 配置AC的源接口
指定AC用哪个接口与AP通信。
[AC] capwap source interface vlanif 100
📌 必须和AP在同一网段(这里是VLAN 100)
4. 离线导入AP(MAC认证方式)
告诉AC:“这个MAC地址的AP是合法的,允许它上线。”
[AC-wlan-view] ap auth-mode mac-auth
[AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360
[AC-wlan-ap-0] ap-name area_1
[AC-wlan-ap-0] ap-group ap-group1
📌 说明:
ap auth-mode mac-auth:启用MAC地址认证ap-id 0:手动指定AP编号ap-mac:输入AP背面的MAC地址ap-name:起个名字方便识别ap-group:加入之前创建的组
✅ 第三步:查看AP是否上线
使用命令查看AP状态:
[AC-wlan-view] display ap all
✅ 正常上线标志:
- State(状态)字段为
nor(normal) - IP地址正确
- STA数量为0(还没用户连接)
📌 如果是fault或idle,说明未成功建立CAPWAP隧道,需排查网络或配置。
✅ 第四步:配置WLAN业务参数
1. 创建安全模板
定义Wi-Fi的加密方式和密码。
[AC-wlan-view] security-profile name wlan-net
[AC-wlan-sec-prof-wlan-net] security wpa-wpa2 psk pass-phrase a1234567 aes
📌 解释:
wpa-wpa2 psk:个人模式,预共享密钥(就是我们常说的“Wi-Fi密码”)pass-phrase a1234567:密码aes:加密算法
2. 创建SSID模板
定义Wi-Fi名称。
[AC-wlan-view] ssid-profile name wlan-net
[AC-wlan-ssid-prof-wlan-net] ssid wlan-net
📌 ssid 就是用户看到的Wi-Fi名字。
3. 创建VAP模板
把安全、SSID、VLAN、转发模式打包成一个“套餐”。
[AC-wlan-view] vap-profile name wlan-net
[AC-wlan-vap-prof-wlan-net] forward-mode tunnel
[AC-wlan-vap-prof-wlan-net] service-vlan vlan-id 101
[AC-wlan-vap-prof-wlan-net] security-profile wlan-net
[AC-wlan-vap-prof-wlan-net] ssid-profile wlan-net
📌 关键参数:
forward-mode tunnel:数据走隧道回ACservice-vlan vlan-id 101:用户属于VLAN 101- 引用前面创建的安全和SSID模板
4. 应用VAP模板到AP组
让所有属于该组的AP都使用这个Wi-Fi套餐。
[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 0
[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 1
📌 说明:
radio 0:通常是2.4G射频radio 1:通常是5G射频wlan 1:WLAN编号
这样,AP的2.4G和5G都会广播同一个SSID。
✅ 第五步:验证VAP是否生效
查看VAP状态:
[AC-wlan-view] display vap ssid wlan-net
✅ 成功标志:
- Status(状态)为
ON - BSSID正常
- STA数量为0(等待用户连接)
5.3 关键概念回顾
- WLAN漫游:是指STA在不同AP覆盖范围之间移动且保持用户业务不中断的行为。
- CAPWAP隧道:FIT AP与AC之间建立的控制和数据通道。
- VAP(Virtual Access Point):虚拟接入点,由AC通过模板下发,用于向用户提供无线网络服务。
- 安全模板:配置WLAN安全策略,如WPA/WPA2加密方式。
- SSID模板:配置WLAN网络的SSID名称。
- VAP模板:配置数据转发方式、业务VLAN,并引用安全和SSID模板。
- AP组:用于对AP进行分组管理,实现配置统一下发。
✅ 总结一句话:
WLAN配置四步走:
- 通网络:配VLAN + DHCP
- 管AP:建组 + 设国家码 + 导入MAC + 指定源接口
- 发业务:安全 + SSID + VAP模板打包下发
- 查状态:
display ap all和display vap ssid看是否正常
本文标签: WLAN
版权声明:本文标题:关于WLAN的总结 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://it.en369.cn/jiaocheng/1763582563a2945479.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论