AP+AC组网——STA接入

扫描

主动扫描：STA发送Probe Request帧，AP收到回复Probe Response

可以带着SSID扫描寻找指定WIFI，也可以带着空SSID扫描进入周围可用WLAN

被动扫描： 客户端通过侦听AP定期发送的Beacon帧（100TUs，1TU=1024us）

链路认证

安全性

接入安全协议为WLAN提供链路认证和接入认证，常见有WEP，WPA/WPA2-802.1X,WPA/WPA2-PSK

WEP：采用RC4算法，加密密钥有64b，128b，152b，其中有24b系统产生的IV（初始向量）所以用户可配密钥是40b，104b，128b，采用静态密钥加密，同一SSID下用户采用同一个密钥进行访问网络（现已被破解）

WPA/WPA2：对WEP的改良，在WEP基础上提出了临时密钥完整性协议TKIP加密算法，采用了802.1X的身份验证框架，支持EAP-PEAP、EAP-TLS等认证方式，而WPA2采用信息真实性检查码协议CCMP加密算法

链路认证

开放性认证：不做认证，任何STA都可连接，STA发请求，AP发回复允许接入

共享密钥认证：STA与AP预先配置好密钥，STA接入时向AP发送挑战请求（Authentication Request）AP收到后发出一个挑战报文（Challenge）给STA,STA用自己预配置的密钥进行加密挑战报文（EncryptedChallenge）并发送给AP，AP用自己的密钥进行解密比对，回复（Authentication Respond）一致则认证成功，不一致则认证失败。

关联

与AC沟通（有点像代理）

STA发送Association Request，AP上报给AC然后AC回复Association Respond给AP，AP再发回STA，完成协商，协商内容包括：支持的速率、信道等

接入认证

PSK认证：共享密钥认证

802.1X认证：一种C/S架构认证（客户端验证例如INODE）

DHCP

不过多叙述正常DHCP活动前去回顾一下DHCP

用户认证

端到端认证方式：802.1X认证、MAC认证和Portal认证

802.1X认证

MAC认证：一般服务于亚终端（比如打印机，监控等）

Portal认证：俗称web认证（例如校园网接入二次认证）

数据转发方式

隧道转发模式：数据必须经过CAPWAP隧道传给AC然后再发送至上层网络

优点：数据集中管理，安全性高

缺点：对AC设备性能要求较高，转发效率低

直接转发模式：数据不必经过AC，直接向上层发出

优点：转发效率高，AC压力小

缺点：数据管理不便

实验

实验拓扑

实验要求

实验配置

1.创建对应VLAN划分接口

SW1

<Huawei>

<Huawei>sys

Enter system view, return user view with Ctrl+Z.

[Huawei]sys SW1

[SW1]vlan batch 100 101

[SW1]int g0/0/1

[SW1-GigabitEthernet0/0/1]p l t   

[SW1-GigabitEthernet0/0/1]p t a v 100 101

[SW1-GigabitEthernet0/0/1]int g0/0/2

[SW1-GigabitEthernet0/0/2]p

[SW1-GigabitEthernet0/0/2]p l t  

[SW1-GigabitEthernet0/0/2]p t a v 100 101

SW2

[Huawei]sys SW2

[SW2]vlan batch 100 101

[SW2]int g0/0/1

[SW2-GigabitEthernet0/0/1]p l a

[SW2-GigabitEthernet0/0/1]p d v 100 //为给AP分配地址改为access口

[SW2-GigabitEthernet0/0/2]p l t

[SW2-GigabitEthernet0/0/2]p t a v 100 101

AC

[AC6005]sysname AC

[AC]vlan b 100 101

[AC]int g0/0/1

[AC-GigabitEthernet0/0/1]p l t

[AC-GigabitEthernet0/0/1]p t a v 100 102

2.DHCP服务器配置

AC

[AC]dhcp enable

[AC]int vlan100

[AC-Vlanif100]ip address 192.168.100.1 24

[AC-Vlanif100]dhcp select interface

SW1

[SW1]dhcp enable

[SW1]interface vlan101

[SW1-Vlanif101]ip add 192.168.101.1 24

[SW1-Vlanif101]dhcp select interface

3.配置AP

AC

创建AP组

[AC]wlan

[AC-wlan-view]ap-group name HW

配置国家模块

[AC-wlan-view]regulatory-domain-profile name HW

[AC-wlan-regulate-domain-HW]country-code CN

Info: The current country code is same with the input country code.

[AC-wlan-regulate-domain-HW]q

[AC-wlan-view]ap-group name HW

[AC-wlan-ap-group-HW]regulatory-domain-profile HW

Warning: Modifying the country code will clear channel, power and antenna gain c

onfigurations of the radio and reset the AP. Continue?[Y/N]:y

配置隧道连接接口

[AC]capwap source interface vlanif 100

离线导入AP，在交换机上找到AP的MAC

[AC-wlan-view]ap auth-mode mac-auth

[AC-wlan-view]ap-id 0 ap-mac 00e0-fcf5-58f0

[AC-wlan-ap-0]ap-name HW

[AC-wlan-ap-0]ap-group HW

AP状态为NOR成功上线

4.配置WLAN业务:SSID,安全模块，VAP模块，射频模块

[AC-wlan-view]security-profile name HW

[AC-wlan-sec-prof-HW]security wpa-wpa2 psk pass-phrase admin123 aes

[AC-wlan-sec-prof-HW]q

[AC-wlan-view]ssid-profile name HW

[AC-wlan-ssid-prof-HW]ssid HW

Info: This operation may take a few seconds, please wait.done.

[AC-wlan-ssid-prof-HW]q

[AC-wlan-view]vap-profile name HW

[AC-wlan-vap-prof-HW]forward-mode tunnel

Info: This operation may take a few seconds, please wait.done.

[AC-wlan-vap-prof-HW]service-vlan vlan-id 101

Info: This operation may take a few seconds, please wait.done.

[AC-wlan-vap-prof-HW]security-profile HW

Info: This operation may take a few seconds, please wait.done.

[AC-wlan-vap-prof-HW]ssid-profile HW

Info: This operation may take a few seconds, please wait.done.

[AC-wlan-vap-prof-HW]q

[AC-wlan-view]ap-group name HW

[AC-wlan-ap-group-HW]vap-profile HW wlan 1 radio 0

Info: This operation may take a few seconds, please wait...done.

[AC-wlan-ap-group-HW]q

实验效果

成功后会看到一个大圆圈

我们拿一台电脑试试，输入我们设置的密码

OK，已经完成了STA接入，实验的最后我们的STA是没办法ping通AC的，但是可以正常上网