WLAN
概述
什么是WLAN
WLAN即Wireless LAN (无线局域网),是指通过无线技术构建的无线局域网络。WLAN广义上是指以无线电波、激光、红外线等无线信号来代替有线局域网中的部分或全部传输介质所构成的网络。
通过WLAN技术,用户可以方便地接入到无线网络,并在无线网络覆盖区域内自由移动,彻底摆脱有线网络的束缚。
WLAN与Wi-Fi
-
WLAN:WLAN是计算机网络和无线通信技术(Wi-Fi)相结合的产物, 是有线网络的无线化延伸。
-
Wi-Fi:Wi-Fi是一种基于IEEE 802.11标准的无线局域网技术。
在日常生活中,常会将Wi-Fi当做802.11的同义词。
Wi-Fi也是Wi-Fi联盟制造商的商标, 并做为Wi-Fi产品的品牌认证。Wi-Fi联盟成立于1999年, 当时的名称叫做Wireless Ethernet Compatibility Alliance (WECA)。在2002年10月,正式改名为Wi-Fi Alliance。
基本的WLAN组网架构
总体组网架构
FAT AP
基本概念
- AP (Access Point,接入点):为STA ( Station,无线终端)提供基于802.1 1标准的无线接入服务,起到有线网络和无线网络的连接作用。
- FAT AP (胖AP):能够独立自治、自我管理的AP。FAT AP架构又称为自治式网络架构。
架构特点
- 当部署单个AP时,FAT AP具备较好的独立性,不需要另外部署集中控制设备,部署起来很方便,成本较低廉。
- 但是,在企业中,随着WLAN覆盖面积增大,接入用户增多,需要部署的FAT AP数量也会增多。而每个FAT AP又是独立工作的,缺少统一的控制设备,因此管理、维护这些FAT AP就变得十分麻烦。
FIT AP
基本概念
- AC (Access Controller, 接入控制器):在AC+FIT AP网络架构中,AC对无线局域网中的所有FIT AP进行控制和管理。
架构特点
- AC负责WLAN的接入控制、转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制。
- FIT AP (瘦AP )负责802.1 1报文的加解密、80211的物理层功能、接受AC的管理、空口的统计等简单功能。
- AC和AP之间使用的通信协议是CAPWAP。
相比于FAT AP架构,AC+FIT AP架构的优点如下
- 配置与部署更容易
- 安全性更高
- 更新与扩展容易
有线侧组网概念
AC-AP组网方式
-
二层组网: AP与AC之间的网络为直连或者是二层网络。
由于二层组网比较简单,适用于简单临时的组网,能够进行比较快速的组网配置,但不适用于大型组网架构。
-
三层组网: AP与AC之间的网络为三层网络。
在实际组网中,一台AC可以连接几十甚至几百台AP,组网一般比较复杂,在大型组网中一般采用三层组网。.
AC连接方式
-
直连式组网
直连式组网可以认为AP、AC与上层网络串联在一起,所有数据必须通过AC到达上层网络。
直连式组网中AC同时扮演AC和汇聚交换机的功能,AP的数据业务和管理业务都由AC集中转发和处理。
-
旁挂式组网
旁挂式组网,AC旁挂在AP与上行网络的直连网络中,不再直接连接AP。
旁挂式组网,AC旁挂在AP与上行网络的直连网络上,只起到控制管理的作用,并不参与数据的转发。AP的业务数据可以不经AC而直接到达上行网络。
CAPWAP
CAPWAP(Control And Provisioning of Wireless Access Points Protocol Specification,无线接入点控制和配置协议):该协议定义了如何对AP进行管理、业务配置,即AC通过CAPWAP隧道来实现对AP的集中管理和控制。
CAPWAP隧道的功能
- AP与AC间的状态维护。
- AC通过CAPWAP隧道对AP进行管理、业务配置下发。
- 当采用隧道转发模式时,AP将STA发出的数据通过CAPWAP隧道实现与AC之间的交互。
无线侧组网概念
无线通信系统
无线通信系统中,信息可以是图像、文字、声音等。信息需要先经过信源编码转换为方便于电路计算和处理的数字信号,再经过信道编码和调制,转换为无线电波发射出去。
BSS/BSSID/SSID
-
基本服务集BSS (Basic Service Set)
是一个AP所覆盖的范围,在一个BSS的服务区域内,STA可以相互通信。
-
基本服务集标识符BSSID (Basic Service Setldentifier)
是无线网络的一个身份标识,用AP的MAC地址表示。
-
服务集标识符SSID (Service Set Identifier)
是无线网络的一个身份标识,用字符串表示。为了便于用户辨识不同的无线网络,用SSID代替BSSID 。
VAP
早期的AP只支持1个BSS,如果要在同一空间内部署多个BSS,则需要安放多个AP,这不但增加了成本,还占用了信道资源。为了改善这种状况,现在的AP通常支持创建出多个虚拟AP (Virtual Access Point, VAP)。
-
虚拟接入点VAP
VAP就是在一个物理实体AP上虚拟出的多个AP。每一个被虚拟出的AP就是一个VAP。每个VAP提供和物理实体AP一样的功能。所有的VAP都在共用一个AP的带宽和运算能力。
每个VAP对应1个BSS。 这样1个AP,就可以提供多个BSS,可以再为这些BSS,设置不同的SSID。
ESS
为了满足实际业务的需求,需要对BSS的覆盖范围进行扩展。同时用户从一个BSS移动到另一个BSS时,不能感知到SSID的变化,则可以通过扩展服务集ESS
实现。
-
扩展服务集ESS (Extend Service Set)
由多个使用相同SSID的BSS组成,即所有AP的SSID是一致的。是采用相同的SSID的多个BSS组成的更大规模的虚拟BSS。
上图中由AP1过渡到AP2会经历一个漫游的过程。(漫游指移动终端离开自己注册登记的服务区域,移动到另一服务区后,移动通信系统仍可向其提供服务的功能)
WLAN的工作流程
AP上线
AP获取IP地址
AP必须获得IP地址才能够与AC通信,WLAN网络才能够正常工作。
AP获取IP地址的方式包括以下
- 静态方式:登录到AP设备上手工配置IP地址。
- DHCP方式:通过配置DHCP服务器,使AP作为DHCP客户端向DHCP服务器请求IP地址。
典型方案
- 使用AC的DHCP服务为AP分配IP地址。
- 使用网络中的设备,例如核心交换机或者专门的DHCP服务器为AP分配IP地址。
CAPWAP隧道的建立
AC通过CAPWAP隧道来实现对AP的集中管理和控制。
-
Discovery阶段 ( AP发现AC阶段)
AP通过发送Discovery Request报文,找到可用的ACAP发现AC有两种方式
-
静态方式:AP上预先配置AC的静态IP地址列表。
-
动态方式::
DHCP方式:通过DHCP获取IP地址的过程中,获取AC的IP
广播方式:AP会发送Discovery Request消息广播请求AC的IP地址,AC收到后会回应Discovery Response消息。
-
-
建立CAPWAP隧道阶段
AP与AC关联,完成CAPWAP隧道建立。包括数据隧道和控制隧道。- 数据隧道:AP接收的业务数据报文经过CAPWAP数据隧道集中到AC上转发。同时还可以选择对数据隧道进行数据传输层安全DTLS ( Datagram Transport Layer Security)加
密,使能DTLS加密功能后。CAPWAP数据报文都会经过DTLS加解密。 - 控制隧道:通过CAPWAP控制隧道实现AP与AC之间的管理报文的交互。同时还可以选择对控制隧道进行数据传输层安全DTLS加密,使能DTLS加密功能后,CAPWAP控制报文都会经过DTLS加解密。
- 数据隧道:AP接收的业务数据报文经过CAPWAP数据隧道集中到AC上转发。同时还可以选择对数据隧道进行数据传输层安全DTLS ( Datagram Transport Layer Security)加
AP接入控制
AP发现AC后,会发送Join Request报文。AC收到后会判断是否允许该AP接入,并响应Join Response报文。
AC上支持三种对AP的认证方式: MAC认证、序列号(每台AP的标识符—— SN ,是唯一的)认证和不认证。
AP的版本升级(可选项)
AP根据收到的Join Response报文中的参数判断当前的系统软件版本是否与AC上指定的一致。如果不一致,则AP通过发送Image Data Request报文请求软件版本,然后进行版本升级,升级方式包括AC模式、FTP模式(不安全)和SFTP模式(安全的FTP模式)。
AP在软件版本更新完成后重新启动,重复进行前面三个步骤。
CAPWAP隧道维持
隧道AP方的端口号随机产生,AC方目的端口号5246。
-
数据隧道维持:AP与AC之间交互Keepalive报文来检测数据隧道的连通状态。
-
控制隧道维持:AP与AC交互Echo报文来检测控制隧道的连通状态。
AP上线过程图
为确保AP能够上线,AC需预先配置如下内容
-
创建AP组
每个AP都会加入并且只能加入到一 个AP组中,AP组通常用于多个AP的通用配置。
-
配置网络互通
配置DHCP服务器,为AP和STA分配IP地址,也可将AC设备配置为DHCP服务器。
配置AP到DHCP服务器间的网络互通;配置AP到AC之间的网络互通。
-
配置AC的国家码国家码(域管理模板)
用来标识AP射频所在的国家, 不同国家码规定了不同的AP射频特性,包括AP的发送功率、支持的信道等。
-
配置源接口或源地址(与AP建隧道)
每台AC都必须唯一指定一个IP地址或接口, 该AC设备下挂接的AP学习到此IP地址或者此接口下配置的IP地址,用于AC和AP间的通信,以及CAPWAP隧道的建立。
-
配置AC的网元名称(可选)
每个AC是一个网元,通过将AC的网元名称设置为具有实际意义的值,来区分不同的AC设备,方便用户对AC设备进行管理。
-
配置AP上线时自动升级(可选)
自动升级是指AP在 上线过程中自动对比自身版本与AC或SFTP或FTP服务器上配置的AP版本是否一致,如果版本不一致,则进行升级,然后AP自动重启再重新上线。
-
添加AP设备(配置AP认证模式)
添加AP有三种方式: 离线导入AP、自动发现AP以及手工确认未认证列表中的AP。
WLAN业务配置下发
AC向AP发送Configuration Update Request请求消息,AP回应
Configuration Update Response消息,AC再将AP的业务配置信
息下发给AP。
配置射频
-
配置基本射频参数
配置指定射频的工作带宽和信道、天线增益、发射功率、覆盖距离参数、工作频段等。
-
创建射频模板
基本的射频参数直接在射频接口下配置,其它射频参数在射频模板下配置。
射频模板分为2G射频模板和5G射频模板,分别对2.4GHz射频和5GHz射频生效。
-
AP或AP组
将射频模板引用到AP组、AP、AP射频或AP组射频中,射频模板下的配置才能够自动下发到指定AP上并生效。
配置VAP
-
创建SSID模板
SSID用来指定不同的无线网络。在STA上搜索可接入的无线网络时,显示出来的网络名称就是SSID。
SSID模板主要用于配置WLAN网络的SSID名称。
-
创建安全模板
配置WLAN安全策略,可以对无线终端( STA)进行身份验证,对用户的报文进行加密,保护WLAN网络和用户的安全。
-
创建VAP模板
在VAP模板下配置各项参数,然后在AP组或AP中引用VAP模板,AP上就会生成VAP,VAP用来为STA提供无线接入服务。
-
配置数据转发方式
WLAN网络中的数据包括控制报文(管理报文)和数据报文。例如在旁挂式组网中,配置数据报文直接通过交换路由设备转发;在直连式组网中,数据报文通过AC转发。
-
配置业务VLAN
VAP下发给AP的二层业务数据报文中都会带有业务VLAN的VLAN-ID。
-
AP或AP组
将VAP模板绑定进AP或AP组,即为AP下发WLAN业务。
整体过程图如下
STA接入
CAPWAP隧道建立完成后,用户就可以接入无线网络。
STA接入过程分为六个阶段:扫描阶段、链路认证阶段、关联阶
段、接入认证阶段、DHCP、用户认证。
扫描
STA可以通过主动扫描,定期搜索周围的无线网络,获取到周围的无线网络信息。
根据Probe Request帧(探测请求帧)是否携带SSID,可以将主动扫描分为两种:
携带有指定SSID的主动扫描方式
客户端发送携带有指定SSID的Probe Request ;STA依次在每个信道发出Probe Request帧,寻找与STA有相同SSID的AP,只有能够提供指
定SSID无线服务的AP接收到该探测请求后才回复探查响应。
携带空SSID的主动扫描方式
客户端发送广播Probe Request, 客户端会定期地在其支持的信道列表中,发送Probe Request帧扫描无线网络。当AP收到Probe Request帧后,会回应Probe Response帧通告可以提供的无线网络信息。
链路认证
为了保证无线链路的安全,接入过程中AP需要完成对STA的认证。
802.11链路定义了两种认证机制:开放系统认证和共享密钥认证。
-
开放系统认证:即不认证,任何STA都可以接入成功。
-
共享密钥认证:STA和AP预先配置相同的共享密钥,验证两边的密钥配置是否相同。如果一致,则认证成功;否则,认证失败。
关联
完成链路认证后,STA会继续发起链路服务协商,具体的协商通过Association报文实现。
终端关联过程实质上就是链路服务协商的过程,协商内容包括:支持的速率、信道等。
接入认证
接入认证即对用户进行区分,并在用户访问网络之前限制其访问权限。相对于链路认证,接入认证安全性更高。
主要包含:PSK认证和802.1X认证。
DHCP
STA获取到自身的IP地址,是STA正常上线的前提条件。
如果STA是通过DHCP方式获取IP地址,可以用AC设备或汇聚交换机作为DHCP服务器为STA分配IP地址。一般情况下使用汇聚交换机作为DHCP服务器。
用户认证
用户认证是一种“端到端”的安全结构,包括: 802.1X认证、MAC认证和PoR1l认证。
WLAN业务数据转发
CAPWAP中的数据包括控制报文(管理报文)和数据报文。
控制报文是通过CAPWAP的控制隧道转发的,用户的数据报文分为隧道转发(又称为“集中转发" )方式和直接转发(又称为“本地转发")方式。