华为设备配置WLAN及配置

举报
tea_year 发表于 2025/10/30 22:25:18 2025/10/30
【摘要】 无线局域网WLAN(Wireless Local Area Network)是一种无线计算机网络,使用无线信道代替有线传输介质连接两个或多个设备形成一个局域网LAN(Local Area Network),典型部署场景如家庭、学校、校园或企业办公楼等。WLAN是一个网络系统,而我们常见的Wi-Fi是这个网络系统中的一种技术。所以,WLAN和Wi-Fi之间是包含关系,WLAN包含了Wi-Fi。...

无线局域网WLAN(Wireless Local Area Network)是一种无线计算机网络,使用无线信道代替有线传输介质连接两个或多个设备形成一个局域网LAN(Local Area Network),典型部署场景如家庭、学校、校园或企业办公楼等。WLAN是一个网络系统,而我们常见的Wi-Fi是这个网络系统中的一种技术。所以,WLAN和Wi-Fi之间是包含关系,WLAN包含了Wi-Fi。

WLAN的优势

WLAN技术最早出现在美国,主要应用于最后一段网线的无线延伸,最主要的运用就是在家庭中使用,由于美国居住环境里铺放线路的困难(独立别墅、小院),加上经济发达,便携机、PDA等设备的普及率很高,人们对无线上网需求很强烈。从而导致WLAN技术普及加快。

和有线接入技术相比,WLAN的优势如下:

  • 网络使用自由:凡是自由空间均可连接网络,不受限于线缆和端口位置。在办公大楼、机场候机厅、度假村、商务酒店、体育场馆、咖啡店等场所尤为适用。
  • 网络部署灵活:对于地铁、公路交通监控等难于布线的场所,采用WLAN进行无线网络覆盖,免去或减少了繁杂的网络布线,实施简单,成本低,扩展性好。

WLAN安全吗?

WLAN技术具有安装便捷、使用灵活、经济节约、易于扩展等优点。但是WLAN技术是以无线射频信号作为业务数据的传输介质,这种开放的信道使攻击者很容易对无线信道中传输的业务数据进行窃听和篡改。

WLAN常见安全威胁如下:

  • Wi-Fi无认证:攻击者可随意连接无线网络,进而对整个网络进行攻击。
  • 无线数据无加密:攻击者可以通过空口抓包对在无线信道中传输的业务数据进行窃听和篡改。
  • 边界威胁:非法AP与合法AP放出相同SSID,导致用户连接非法AP,数据被攻击者截获。

针对以上这些安全威胁,设计了对应的安全防护措施,以保护客户网络能防御攻击。

  • 防止未经授权使用网络服务的措施是链路认证和用户接入认证,通过部署企业级用户认证方案,对用户身份进行集中的认证和管理。
  • 提高数据安全的措施是数据加密,通过部署更高加密强度的WPA3保护空口传输的用户数据无法被破解。WPA3的密钥长度达到256 bit,是目前强度最高的加密算法。
  • 针对非法AP的措施是无线攻击检测和反制,通过部署无线入侵检测系统(Wireless Intrusion Detection System,WIDS)/无线入侵防御系统(Wireless Intrusion Prevention System,WIPS),实时发现空口威胁和钓鱼AP,并进行反制,保护客户网络不被非法入侵。

WLAN的网络类型

在企业场景下,通常有以下几种WLAN的网络类型。

  • AC+FIT AP集中式部署

    “AC+FIT AP”的模式目前广泛应用于大中型园区的Wi-Fi网络部署,如商场、超市、酒店、企业办公等。AC的主要功能是通过CAPWAP隧道对所有FIT AP进行管理和控制。AC统一给FIT AP批量下发配置,因此不需要对AP逐个进行配置,大大降低了WLAN的管控和维护成本。同时,因为用户的接入认证可以由AC统一管理,所以用户可以在AP间实现无线漫游。

    对于小范围Wi-Fi覆盖的场景,本身所需AP数量较少,如果额外部署一台AC的话,会导致整体无线网络成本较高。这种场景下,如果没有用户无线漫游的需求,建议部署FAT AP;如果希望同时满足用户无线漫游的需求,建议部署云AP。

  • FAT AP独立部署

    FAT AP,又称为胖AP,独立完成Wi-Fi覆盖,不需要另外部署管控设备。但是,由于FAT AP独自控制用户的接入,用户无法在FAT AP之间实现无线漫游,只有在FAT AP覆盖范围内才能使用Wi-Fi网络。

    因此,FAT AP通常用于家庭或SOHO环境的小范围Wi-Fi覆盖,在企业场景已经逐步被“AC+FIT AP”和“云管理平台+云AP”的模式所取代。

  • Leader AP+FIT AP集中式部署

    Leader AP是FAT AP的一个扩展功能,是指FAT AP能够像AC一样,可以和多个FIT AP一起组建WLAN,由FAT AP统一管理和配置FIT AP,为用户提供一个可漫游的无线网络。“Leader AP+FIT AP”的组网架构继承了“AC+FIT AP”的组网架构,FAT AP本身可以看做是AC+FIT AP两个模块的组合,支持Leader AP功能前,仅支持管理自身的FIT AP模块;支持Leader AP功能后,管理自身FIT AP模块的同时,还能够扩展管理更多的FIT AP。

  • 云化部署

    云AP自身功能和FAT AP类似,所以可以应用于家庭WLAN或SOHO环境的小型组网;同时,“云管理平台+云AP”的组网结构和“AC+FIT AP”的组网结构类似,云AP由云管理平台统一管理和控制,所以又可以应用于大中型组网。

    云AP支持即插即用,部署简单,并且不受部署空间的限制,能灵活的扩展,目前比较多的应用于分支较多的场景。

在交换机上查看ap mac地址:lldp enable(开启lldp)dis lldp neighbor interface g0/0/2(查看这个端口的信息)

capwap source interface Vlanif 100(capwap协议端口为vlan100)

基于vlan端口的dhcp配置

  • 基于接口地址池的DHCP服务器的配置示例如下:
    • 开启DHCP功能。
    • <AC> system-view [AC] dhcp enable
    • 使能接口VLANIF100接口采用接口地址池的DHCP服务器功能。
    • [AC] interface vlanif 100 [AC-Vlanif10] ip address 10.23.100.1 255.255.255.0 //配置接口IP地址 [AC-Vlanif10] dhcp select interface //配置基于接口地址池的DHCP服务器功能 [AC-Vlanif10] quit

ap模板

  • 配置AP的认证模式为不认证
  • <AC> system-view [AC] wlan [AC-wlan-view] ap auth-mode no-auth
  • 配置AP的认证模式为MAC认证且将AP加入AP白名单中
  • <AC> system-view [AC] wlan [AC-wlan-view] ap auth-mode mac-auth //配置认证模式为MAC认证 [AC-wlan-view] ap whitelist mac 0025-9e07-8270 //将AP添加到白名单中
  • 配置AP的认证模式为SN认证且将AP加入AP白名单中
  • <AC> system-view [AC] wlan [AC-wlan-view] ap auth-mode sn-auth //配置认证模式为SN认证 [AC-wlan-view] ap whitelist sn 08PE56430071 //将AP添加到白名单中
  • 手工确认未认证列表中的AP:当配置AP的认证模式为MAC或SN认证但AP没有离线导入且不在已设置的AP白名单中,则该AP会被记录到未授权的AP列表中。需要用户手工确认后,此AP才能正常上线。
  • <AC> system-view [AC] wlan [AC-wlan-view] ap auth-mode mac-auth //配置认证模式为MAC认证 [AC-wlan-view] display ap unauthorized record [AC-wlan-view] ap-confirm mac 0025-9e07-8270 //手工确认认证未通过的AP,允许其上线

配置ssid

[AC1-wlan-view]security-profile name Internet ##创建安全模板
[AC1-wlan-sec-prof-Internet]security wpa-wpa2 psk pass-phrase a1234567 aes ##设置认证方式和密码并进行加密
[AC1-wlan-sec-prof-Internet]quit
[AC1-wlan-view]ssid-profile name Internet ##创建ssid模板
[AC1-wlan-ssid-prof-Internet]ssid Internet
Info: This operation may take a few seconds, please wait.done.
[AC1-wlan-ssid-prof-Internet]quit
[AC1-wlan-view]vap-profile name Internet ##创建vap模板
[AC1-wlan-vap-prof-Internet]forward-mode direct-forward ##配置vap模板下数据转发方式
[AC1-wlan-vap-prof-Internet]service-vlan vlan-id 100 ##设置服务vlan id
Info: This operation may take a few seconds, please wait.done.
[AC1-wlan-vap-prof-Internet]security-profile Internet ##绑定安全模板
Info: This operation may take a few seconds, please wait.done.
[AC1-wlan-vap-prof-Internet]ssid-profile Internet ##绑定ssid模板
Info: This operation may take a few seconds, please wait.done.
[AC1-wlan-vap-prof-Internet]quit
[AC1-wlan-view]ap-group name ap-group1 ##进入ap-group1组

//不同ap组调用vap模板使用同一个ssid的话,wlan id可以一致
//如果是使用不同ssid,wlan id 绝对不能一致
[AC1-wlan-ap-group-ap-group1]vap-profile Internet wlan 1 radio 0 ##启动2.4G信号(0)
Info: This operation may take a few seconds, please wait...done.
[AC1-wlan-ap-group-ap-group1]vap-profile Internet wlan 1 radio 1 ##启动5G信号(1)
Info: This operation may take a few seconds, please wait...done.
[AC1-wlan-ap-group-ap-group1]quit
[AC1-wlan-view]display arp all
IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE
VLAN/CEVLAN PVC
172.16.101.1 00e0-fcb3-31e4 I - Vlanif101
172.16.101.106 00e0-fc9a-5350 12 D-0 GE0/0/1
101/-
172.16.101.54 00e0-fc46-1bf0 11 D-0 GE0/0/1
101/-
Total:3 Dynamic:2 Static:0 Interface:1
[AC1-wlan-view]

Please check whether system data has been changed, and save data in time

Configuration console time out, please press any key to log on

【声明】本内容来自华为云开发者社区博主,不代表华为云及华为云开发者社区的观点和立场。转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
网络
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

确认 取消

加入云驻计划,成为创作者

  • 华为云周边好礼
  • 免费体验产品
  • 特殊身份标识
  • 线下官方门票
  • 内部专家零距离
  • 与10000+优质创作者共同成长
立即加入