无线基础知识
无线的特点
1、共享的网络
2、类似集线器
3、半双工
4、通过电波传输
无线模式
| 模式 | 工作频段 | 速率 | 特点 |
|---|---|---|---|
| 802.11b | 2.4G | 11M | |
| 802.11a | 5G | 54M | |
| 802.11g | 2.4G | 54M | |
| 802.11n | 2.4G and 5G | 600M | 空间流 |
| 802.11ac | 5G | 1G以上 | Wave 1单用户多进多出 MIMOWave 2多用户多进多出 MIMO |
| 802.11ad | 2.4G and 5G | 6G以上 |
有线无线对比
无线接口
| 接口名称 | 用途 | 备注 |
|---|---|---|
| SP | 带外管理口 | 带外管理使用 |
| DP | 数据接口 | 用于带内管理,AP注册,WLAN映射。如果激活ALG所有端口都会捆绑在一起,交换机模式必须为ON。 |
| RP | HA接口 | 两台物理设备做冗余使用。 |
| VP | 虚拟接口 | web认证,DHCP隐藏服务器IP。 |
AP配置SSH,telnet本地账号密码:
config ap mgmtuser add username admin password **** secret *** all
AP注册方式
DHCP
DNS
address=/CISCO-LWAPP-CONTROLLER.cisco.com/10.16.81.8
address=/CISCO-CAPWAP-CONTROLLER.lan/10.16.81.8
ACS限制用户认证的SSID
WLC定义web认证采用可信任证书
第一步下载软件
安装完软件后执行下列命令
openssl pkcs12 -export -in 214261477090313.pem -inkey 214261477090313.key -out newcert.p12
openssl pkcs12 -in newcert.p12 -out workingnewcert.pem -passin pass:***** -passout pass:*****
注意事项
You need to verify the certificate format and chaining then. Remember that WLCs later than version 7.6 require the whole chain to be present, so you cannot only upload your WLC certificate alone. The chain up to the root CA must be present in the file.
Here is an example of debugs when the intermediate CA is incorrect :
您需要验证证书格式和链接。 请记住,晚于7.6版的WLC需要整个链条出现,因此您不仅可以单独上载WLC证书。 直到根CA的链必须存在于文件中。
在7.6以后的版本必须包含 设备证书、链文件、ROOT证书。
Some OpenSSL APIs require a certificate chain file. This file contains certificates that form the certificate chain (from the client/server certificate to the root CA certificate).
To create a certificate chain file, append the certificates of intermediate CA(s) and the root CA to the client/server certificate. The order in the file can be expressed as follows:
client/server cert >>> intermediate CA1 >>> intermediate CA2 >>> root CA
Enter the following command to create a certificate chain file:
某些OpenSSL API需要证书链文件。 该文件包含构成证书链的证书(从客户端/服务器证书到根CA证书)。
要创建证书链文件,请将中间CA的证书和根CA附加到客户端/服务器证书。 文件中的顺序可以表示为:
客户端/服务器证书>>>中间CA1 >>>中间CA2 >>>根CA
视频教程
相关文档
AP不能加入虚拟控制器
1、禁用VWLC的SSC证书
config certificate ssc hash validation disable
config auth-list ap-policy lsc enable
config auth-list ap-policy ssc enable
2、清除AP配置并重启
clear capwap private-config
如果多台VWLC做冗余需要配置mobility group推送另一台设备的HASH key给AP,否则第一台VWLC出现故障后AP不会切换至第二台VWLC.
the AP associates with any virtual controller without hash validation.
The hash key of the virtual controller can be configured for a mobility group member.
This hash key gets pushed to the APs, so that the APs can validate the hash key of the controller.
获取hashkey
配置Mobility Group
通过HTTP而非HTTPS进行Web身份验证
您可以使用HTTP而不是HTTPS登录Web身份验证。如果您登录HTTP,则不会收到证书警报。
对于早于WLC版本7.2的代码,必须禁用WLC的HTTPS管理,并保留HTTP管理。但是,这仅允许通过HTTP对WLC进行Web管理。
对于WLC 7.2版代码,请使用config network web-auth secureweb disable命令禁用。这仅禁用HTTPS进行Web身份验证,而不禁用管理。请注意,这需要重新启动控制器!
在WLC 7.3版和更高版本的代码上,您只能通过GUI和CLI为WebAuth启用/禁用HTTPS。
WLC漫游最佳实践
漫游协议
802.11k
通过创建优化的频道列表,802.11k 标准可帮助设备快速搜索附近可作为漫游目标的接入点。如果当前接入点的信号强度变弱,您的设备将进行扫描来确定是否有此列表中的目标接入点。
802.11r
当您的设备从一个接入点漫游至同一网络上的另一个接入点时,802.11r 可使用一种名为“快速基本服务集转换 (FT)”的功能更快地进行认证。FT 适用于预共享密钥 (PSK) 和 802.1X 认证方法。
802.11v
- 基本服务集 (BSS) 转换管理
- 紧急解除关联
- 定向多播服务 (DMS)
- BSS 最大空闲服务
具备“紧急解除关联”功能的 BSS 转换管理可向网络的控制层提供附近接入点的负载信息,从而影响客户端漫游行为。设备在确定可能的漫游目标时会考量这些信息。
DMS 可优化无线网络上的多播流量传输。设备会利用这些信息来增强多播通信,并保持电池续航能力。
“BSS 最大空闲服务”有助于客户端和接入点在没有流量传输时,高效地决定保持关联的时长。设备会利用这些信息来保持电池续航能力。
快速漫游802.11r
802.11r协议定义了在同一MD(Mobility Domain)中,通过FT(Fast BSS Transition)功能省略了用户漫游过程中的802.1X认证和密钥协商,减少信息交互次数,从而实现漫游过程中业务数据流低延时,用户不会感知业务中断,提高用户上网体验。
802.11r快速漫游支持如下两种方式:
- Over-the-air:STA直接与FAP进行FT认证。
- Over-the-ds:STA通过HAP与FAP进行FT认证。
AC内802.11r快速漫游
如图所示,AC内802.11r快速漫游过程如下:
AC内802.11r快速漫游过程示意图
1.STA首次通过AP_1接入网络时,STA与AC认证成功并生成PMK。
- AC根据PMK生成PMK-R0(由SSID、MDID、AC的MAC地址和STA的MAC地址计算得来)和每个AP对应的PMK-R1(由PMK-R0、AP的MAC地址和STA的MAC地址计算得来),并将PMK-R1下发给AP_1。
- STA和AC通过密钥协商的四次握手和二次握手分别生成并安装PTK和GTK。
2.STA在漫游过程中向AP_2发起FT认证请求,并将PMK-R1下发给AP_2。
3.AP_2收到请求后,根据其中包含的信息和PMK-R1生成并安装PTK,同时启动重关联定时器,向STA发送802.11 FT认证应答。
4.STA收到应答后,根据其中包含的信息生成并安装PTK。STA向AP_2发起重关联请求。
5.AP_2收到重关联请求后,关闭重关联定时器,并向STA发送重关联应答。
6.STA收到应答后,完成漫游。
同一业务VLAN的AP间漫游
同一业务VLAN的AP间漫游是针对同一AC下对应同一业务VLAN的AP,STA从一个AP的覆盖范围移动到另一个AP的覆盖范围时保持业务不中断,如图所示。
图同一业务VLAN的AP间漫游组网图
根据用户是否支持PMK快速漫游,可以将同一业务VLAN的AP间漫游分为PMK快速漫游和非快速漫游两种方式。
当用户使用的安全策略不是WPA2-802.1X时,用户的漫游都属于非快速漫游。此外,如果用户使用的是WPA2-802.1X的安全策略,但STA不支持PMK快速漫游,则该漫游仍然不属于快速漫游,用户仍需要完成802.1X认证过程才能完成漫游。
如图所示,STA已经通过AP_1接入Internet。此时,STA需要从AP_1的覆盖范围移动到AP_2的覆盖范围,按照如下的流程实现漫游功能:
- STA在各个信道中发送探测请求帧,周围AP收到该请求帧后发送回应帧进行响应。例如,AP_2在信道6(AP_2使用的信道)中收到请求后,通过在信道6中发送应答帧来进行响应。STA收到周围各AP的应答帧后,根据信号强度、信号质量等信息进行评估,确定与哪个AP关联最合适。假设如图所示的,STA最终确定跟AP_2关联。
- STA通过信道6向AP_2发送重认证请求,认证成功后,AP_2向STA返回重认证响应。
- STA向AP_2发送重关联请求,AP_2收到后上报AC,AC使用重关联响应做出应答,建立STA与AP_2间的关联。
- STA与AP_2关联成功后,删除STA与AP_1的连接。STA通过信道1(AP_1使用的信道)向AP_1发送802.11解除关联信息,解除STA与AP_1间的关联。
- 如果用户使用的安全策略是WEP,此时,漫游过程已经完成。
- 如果用户使用的安全策略是WPA/WPA2-PSK或WPA/WPA2-802.1X,STA还需要重新进行接入认证和密钥协商。
PMK快速漫游原理
当用户使用WPA2-802.1X安全策略,且STA支持PMK快速漫游技术时,用户在漫游过程中不需要重新完成802.1X认证过程,只需要完成密钥协商过程即可。这样,通过PMK快速漫游,可以缩短802.1X用户的漫游延时,提升用户上网体验。
快速漫游是通过成对主密钥PMK(Pairwise Master Key)缓存技术实现的。如图所示,快速漫游的实现原理如下:
- STA首次通过AP_1接入Internet时,当STA与AC认证成功生成PMK后,STA和AC分别保存PMK信息,每个PMK信息对应一个PMK-ID,PMK-ID是由PMK、SSID、STA的MAC地址和BSSID计算出来的。
- 当STA在漫游过程中向AP_2发起重关联请求时,重关联请求帧中包含了PMK-ID信息。
- AP_2收到请求后及时向AC通报用户切换消息。
- AC根据STA携带的PMK-ID信息查找PMK缓存表中STA对应的PMK,如果查找到,就认为STA已经进行过802.1X认证,直接跳过认证过程,利用缓存的PMK开始进行密钥协商。
Cisco WLC配置方式
开启802.11r
开启AP邻居探测
Cisco 802.11r/FT 设置和自适应模式说明
- Adaptive Mode ONLY applies to iOS devices.
自适应模式仅适用于 iOS 设备。没有其他供应商可以支持自适应模式,它是思科和苹果专有的。
- Enable 模式
If you need the SSID to support both FT and non-FT clients then you need to set Fast Transition mode of Enabled and tick both an FT and non-FT AKM (e.g. PSK and FT-PSK). This will allow non-FT devices to connect without FT and FT compatible devices to use FT.
SSID 支持 FT 和非 FT 客户端,则需要将快速转换模式设置为enable,并勾选 FT 和非 FT AKM(例如 PSK 和 FT-PSK)。这将允许非 FT 设备在没有 FT 的情况下进行连接,并且允许 FT 兼容设备使用 FT。
WLC配置
WLC状态查看
速率调优
禁止低速率的客户端接入
802.11a/n/ac 802.11b/g/n 都需要进行调整。
调整客户端漫游RSSI检查参数
避免不同监管区域的AP混用
WLC默认发射级别
show ap config 802.11b CD2-AP2702I-04
Tx Power
Num Of Supported Power Levels ............. 8
Tx Power Level 1 .......................... 20 dBm
Tx Power Level 2 .......................... 17 dBm
Tx Power Level 3 .......................... 14 dBm
Tx Power Level 4 .......................... 11 dBm
Tx Power Level 5 .......................... 8 dBm
Tx Power Level 6 .......................... 5 dBm
Tx Power Level 7 .......................... 2 dBm
Tx Power Level 8 .......................... -1 dBm
客户端检查网卡信号强度
Windows
netsh wlan show interface
MAC
airport -I
计算公式
dBm = (quality / 2) – 100
评论抢沙发