概要概要
WLANとは
WLANはWirelessLAN(Wireless Local Area Network)の略で、ワイヤレステクノロジーによって構築されたワイヤレスローカルエリアネットワークを指します。大まかに言えば、WLANは、有線LANの伝送メディアの一部またはすべてを、電波、レーザー、赤外線などの無線信号で置き換えることによって構成されるネットワークを指します。
WLANテクノロジーにより、ユーザーはワイヤレスネットワークに簡単にアクセスし、ワイヤレスネットワークのカバレッジエリア内を自由に移動でき、有線ネットワークの束縛から完全に解放されます。
WLAN与Wi-Fi
-
WLAN:WLANは、コンピューターネットワークとワイヤレス通信テクノロジー(Wi-Fi)を組み合わせたものであり、有線ネットワークのワイヤレス拡張機能です。
-
Wi-Fi:Wi-Fiは、IEEE802.11標準に基づくワイヤレスローカルエリアネットワークテクノロジーです。
日常生活では、Wi-Fiは802.11の同義語としてよく使用されます。
Wi-Fiは、Wi-Fi Allianceの製造元の商標でもあり、Wi-Fi製品のブランド認証として使用されます。Wi-Fiアライアンスは1999年に設立され、ワイヤレスイーサネット互換性アライアンス(WECA)と呼ばれていました。2002年10月に、正式にWi-FiAllianceに名前が変更されました。
基本的なWLANネットワーキングアーキテクチャ
全体的なネットワーキングアーキテクチャ
FAT AP
基本概念
- AP(アクセスポイント、アクセスポイント):STA(ステーション、ワイヤレス端末)の802.1 1標準に基づくワイヤレスアクセスサービスを提供します。これは、有線ネットワークとワイヤレスネットワーク間の接続として機能します。
- FAT AP(Fat AP):独立した自律性と自己管理が可能なAP。FAT APアーキテクチャは、自律ネットワークアーキテクチャとも呼ばれます。
アーキテクチャの特徴
- 単一のAPを展開する場合、FAT APは独立性が高く、集中制御機器を追加で展開する必要がないため、展開が便利で低コストです。
- ただし、企業では、WLANのカバレッジが増加し、アクセスユーザーが増加すると、展開する必要のあるFATAPの数も増加します。各FATAPは独立して動作し、統合された制御デバイスがないため、これらのFATAPの管理と保守は非常に面倒になります。
FIT AP
基本概念
- AC(アクセスコントローラー):AC + FIT APネットワークアーキテクチャでは、ACはワイヤレスLAN内のすべてのFITAPを制御および管理します。
アーキテクチャの特徴
- ACは、WLANアクセス制御、転送と統計、AP構成の監視、ローミング管理、APネットワーク管理エージェント、およびセキュリティ制御を担当します。
- FIT AP(シンAP)は、802.1 1メッセージの暗号化と復号化、80211物理層機能、AC管理、エアインターフェイス統計などの単純な機能を担当します。
- ACとAPの間で使用される通信プロトコルはCAPWAPです。
FAT APアーキテクチャと比較した場合、AC + FITAPアーキテクチャの利点は次のとおりです。
- より簡単な構成と展開
- より高いセキュリティ
- 更新と拡張が簡単
有線側ネットワーキングの概念
AC-APネットワーキングモード
-
レイヤー2ネットワーキング:APとACの間のネットワークは、直接接続またはレイヤー2ネットワークのいずれかです。
第2層ネットワーキングは比較的単純であるため、単純で一時的なネットワーキングに適しており、比較的高速なネットワーキング用に構成できますが、大規模なネットワーキングアーキテクチャには適していません。
-
3層ネットワーク:APとACの間のネットワークは3層ネットワークです。
実際のネットワーキングでは、1つのACで数十または数百のAPを接続できます。ネットワーキングは一般に、より複雑です。大規模なネットワーキングでは、通常、3層のネットワーキングが使用されます。。
AC接続
-
直接接続ネットワーク
直接接続されたネットワークでは、APとACは上位ネットワークと直列に接続されており、すべてのデータは上位ネットワークに到達するためにACを通過する必要があります。
直接接続されたネットワークでは、ACはACと集約スイッチの両方として機能し、APのデータサービスと管理サービスはACによって転送および処理されます。
-
ネットワーキングをバイパスする
バイパスネットワーキングでは、ACはAPとアップリンクネットワーク間の直接接続ネットワークに接続され、APに直接接続しなくなります。
バイパスネットワーキングでは、ACはAPとアップリンクネットワークの間に直接接続されたネットワークに接続されます。アップリンクネットワークは、制御と管理の役割を果たすだけで、データ転送には関与しません。APのサービスデータは、ACを経由せずにアップリンクネットワークに直接到達できます。
CAPWAP
CAPWAP(ワイヤレスアクセスポイントの制御とプロビジョニングプロトコル仕様、ワイヤレスアクセスポイントの制御と構成プロトコル):このプロトコルは、APの管理と構成の方法を定義します。つまり、ACはCAPWAPトンネルを介してAPの集中管理と制御を実現します。
CAPWAPトンネル機能
- APとAC間の状態の維持。
- ACは、CAPWAPトンネルを介してAPを管理し、サービス構成を提供します。
- トンネル転送モードを採用すると、APはSTAから送信されたデータをCAPWAPトンネルを介して送信し、ACとの相互作用を実現します。
ワイヤレスサイドネットワーキングの概念
無線通信システム
ワイヤレス通信システムでは、情報は画像、テキスト、音声などになります。情報は、ソースコーディングによる回路の計算と処理に便利なデジタル信号に変換し、チャネルコーディングと変調の後に電波に変換する必要があります。
BSS / BSSID / SSID
-
BSS(基本サービスセット)
APがカバーするエリアです。BSSのサービスエリアでは、STAは相互に通信できます。
-
BSSID(Basic Service Setldentifier)
これは、APのMACアドレスで表されるワイヤレスネットワークのIDです。
-
サービスセット識別子SSID(サービスセット識別子)
これは、文字列で表されるワイヤレスネットワークのIDです。ユーザーがさまざまなワイヤレスネットワークを識別しやすくするために、BSSIDの代わりにSSIDを使用してください。
VAP
初期のAPは1つのBSSしかサポートしていませんでした。同じスペースに複数のBSSを配置する場合は、複数のAPを配置する必要があります。これにより、コストが増加するだけでなく、チャネルリソースも消費されます。この状況を改善するために、現在のAPは通常、複数の仮想AP(仮想アクセスポイント、VAP)の作成をサポートしています。
-
仮想アクセスポイントVAP
VAPは、1つの物理エンティティAP上で仮想化された複数のAPです。仮想化された各APはVAPです。各VAPは、物理的な物理APと同じ機能を提供します。すべてのVAPは、APの帯域幅と計算能力を共有しています。
各VAPは1つのBSSに対応します。このようにして、1つのAPが複数のBSSを提供でき、これらのBSSに異なるSSIDを設定できます。
ESS
実際のビジネスのニーズを満たすためには、BSSの対象範囲を拡大する必要があります。同時に、ユーザーが1つのBSSから別のBSSに移動し、SSIDの変更を認識できない場合、拡張サービスセットESSを介してそれを実現できます
。
-
ESS(サービスセットの拡張)
これは、同じSSIDを使用する複数のBSSで構成されます。つまり、すべてのAPのSSIDは同じです。これは、同じSSIDを使用する複数のBSSで構成される大規模な仮想BSSです。
上の図では、AP1からAP2への移行でローミングプロセスが発生します。(ローミングとは、モバイル通信システムが登録されているサービスエリアを離れて別のサービスエリアに移動した後も、モバイル端末にサービスを提供できる機能を指します)
WLANワークフロー
APがオンラインになります
APはIPアドレスを取得します
APはACと通信できるようにIPアドレスを取得する必要があり、WLANネットワークは正常に機能します。
APがIPアドレスを取得する方法は次のとおりです。
- 静的モード:APデバイスにログインして、IPアドレスを手動で構成します。
- DHCPモード:DHCPサーバーを構成することにより、APはDHCPクライアントとして機能し、DHCPサーバーにIPアドレスを要求します。
典型的な解決策
- ACのDHCPサービスを使用して、APにIPアドレスを割り当てます。
- コアスイッチや専用DHCPサーバーなどのネットワーク内の機器を使用して、APにIPアドレスを割り当てます。
CAPWAPトンネルの確立
ACは、CAPWAPトンネルを介してAPの集中管理と制御を実装します。
-
検出フェーズ(APはACフェーズを
検出します)APは、検出要求メッセージを送信して、使用可能なACを検出します。APは2つの方法でACを見つけます
-
静的モード:ACの静的IPアドレスリストはAPで事前設定されています。
-
動的モード:
DHCPモード:DHCPを介してIPアドレスを取得するプロセス中に、ACのIP
ブロードキャストモードが取得されます。APはACのIPアドレスを要求するためにディスカバリー要求メッセージブロードキャストを送信し、ACはそれを受信した後にディスカバリー応答メッセージで応答します。
-
-
CAPWAPトンネルの確立中に、
APはACに関連付けられ、CAPWAPトンネルの確立を完了します。データトンネルと制御トンネルを含みます。- データトンネル:APが受信したサービスデータパケットは、CAPWAPデータトンネルを介してACに転送されます。同時に、Datagram Transport Layer Security(DTLS)を使用してデータトンネルを
暗号化し、DTLS暗号化機能を有効にすることもできます。CAPWAPデータメッセージは、DTLSによって暗号化および復号化されます。 - 制御トンネル:CAPWAP制御トンネルを介したAPとAC間の管理メッセージの相互作用を実現します。同時に、制御トンネルでDTLS暗号化を実行することもできます。DTLS暗号化機能を有効にすると、CAPWAP制御メッセージはDTLSによって暗号化および復号化されます。
- データトンネル:APが受信したサービスデータパケットは、CAPWAPデータトンネルを介してACに転送されます。同時に、Datagram Transport Layer Security(DTLS)を使用してデータトンネルを
APアクセス制御
APはACを検出すると、参加要求メッセージを送信します。それを受信した後、ACはAPにアクセスを許可するかどうかを決定し、JoinResponseメッセージに応答します。
ACは、APに対して、MAC認証、シリアル番号(一意の各AP-SNの識別子)認証、および非認証の3つの認証方法をサポートしています。
APバージョンのアップグレード(オプション)
APは、受信した参加応答メッセージのパラメーターに従って、現在のシステムソフトウェアバージョンがACで指定されたバージョンと一致しているかどうかを判断します。不整合がある場合、APはImage Data Requestメッセージを送信してソフトウェアバージョンを要求し、バージョンアップグレードを実行します。アップグレード方法には、ACモード、FTPモード(安全でない)、およびSFTPモード(安全なFTPモード)があります。
APは、ソフトウェアバージョンが更新された後に再起動し、前の3つの手順を繰り返します。
CAPWAPトンネルのメンテナンス
トンネルのAP側のポート番号はランダムに生成され、AC側の宛先ポート番号は5246です。
-
データトンネルのメンテナンス:データトンネルの接続ステータスを検出するために、APとACの間でキープアライブメッセージが交換されます。
-
制御トンネルの保守:APとACはエコーメッセージを交換して、制御トンネルの接続ステータスを検出します。
APオンラインプロセス図
APをオンラインにできるようにするには、ACを次のコンテンツで事前構成する必要があります。
-
APグループを作成する
各APは参加し、1つのAPグループにのみ参加できます。これは通常、複数のAPの一般的な構成に使用されます。
-
ネットワークインターワーキングを構成する
APおよびSTAにIPアドレスを割り当てるようにDHCPサーバーを構成します。ACデバイスをDHCPサーバーとして構成することもできます。
APとDHCPサーバー間のネットワークインターワーキングを構成します。APとAC間のネットワークインターワーキングを構成します。
-
ACの国コードと国コードを設定する(ドメイン管理テンプレート)
AP無線周波数が配置されている国を識別するために使用されます。異なる国コードは、AP送信電力やサポートされているチャネルなど、異なるAP無線周波数特性を指定します。
-
送信元インターフェイスまたは送信元アドレスを構成します(APとのトンネルを確立するため)
各ACは、IPアドレスまたはインターフェイスを一意に指定する必要があります。ACデバイスに接続されたAPは、このIPアドレス、またはこのインターフェイスで構成されたIPアドレスを学習します。これは、ACとAPの間の通信、およびCAPWAPトンネルの確立に使用されます。
-
ACのネットワーク要素名を構成します(オプション)
各ACはネットワーク要素です。ACネットワーク要素の名前を実用的な意味のある値に設定することで、さまざまなACデバイスを区別できます。これは、ユーザーがACデバイスを管理するのに便利です。
-
APがオンラインになったときに自動アップグレードを構成する(オプション)
自動アップグレードとは、APが、オンラインプロセス中にAC、SFTP、またはFTPサーバーで構成されたAPバージョンとバージョンが一致しているかどうかを自動的に比較することを意味します。バージョンが一致しない場合は、アップグレードが実行され、APが自動的に再起動して、再びオンラインになります。
-
APデバイスを追加します(AP認証モードを構成します)
APを追加するには、APをオフラインでインポートする方法、APを自動的に検出する方法、認証されていないリストでAPを手動で確認する方法の3つがあります。
WLANサービス構成の配信
ACは構成更新要求要求メッセージをAPに送信し、APは
構成更新応答メッセージで応答します。次にAC
はAPのサービス構成情報をAPに送信します。
無線を構成する
-
基本的な無線パラメータを設定します
指定された無線周波数の動作帯域幅とチャネル、アンテナゲイン、送信電力、カバレッジ距離パラメータ、動作周波数帯域などを設定します。
-
RFテンプレートを作成する
基本的な無線パラメータは無線インターフェイスの下で直接構成され、その他の無線パラメータは無線テンプレートの下で構成されます。
無線周波数テンプレートは、2G無線周波数テンプレートと5G無線周波数テンプレートに分かれており、それぞれ2.4GHz無線周波数と5GHz無線周波数に有効です。
-
APまたはAPグループ
無線プロファイルがAPグループ、AP、AP無線、またはAPグループ無線を参照している場合、無線プロファイルの下の構成は、指定されたAPに自動的に配信され、有効になります。
VAPを構成する
-
SSIDテンプレートを作成する
SSIDは、さまざまなワイヤレスネットワークを指定するために使用されます。STAでアクセス可能なワイヤレスネットワークを検索する場合、表示されるネットワーク名はSSIDです。
SSIDテンプレートは、主にWLANネットワークのSSID名を構成するために使用されます。
-
セキュリティテンプレートを作成する
ワイヤレス端末(STA)を認証し、ユーザーのメッセージを暗号化してWLANネットワークとユーザーのセキュリティを保護するようにWLANセキュリティポリシーを構成します。
-
VAPテンプレートを作成する
VAPテンプレートでさまざまなパラメータを設定し、APグループまたはAPでVAPテンプレートを参照すると、VAPがAPで生成され、VAPを使用してSTAにワイヤレスアクセスサービスが提供されます。
-
データ転送方法を構成する
WLANネットワークのデータには、制御メッセージ(管理メッセージ)とデータメッセージが含まれます。たとえば、バイパスネットワーキングでは、構成データメッセージはスイッチングおよびルーティング機器を介して直接転送されます。直接接続ネットワーキングでは、データメッセージはACを介して転送されます。
-
サービスVLANを構成する
VAPからAPに送信されるレイヤー2サービスデータパケットは、サービスVLANのVLAN-IDを伝送します。
-
APまたはAPグループ
VAPテンプレートをAPまたはAPグループにバインドすることは、APがWLANサービスを提供することを意味します。
全体的なプロセス図は次のとおりです
STAアクセス
CAPWAPトンネルが確立された後、ユーザーはワイヤレスネットワークにアクセスできます。
STAアクセスプロセスは、スキャンフェーズ、リンク認証フェーズ、アソシエーションフェーズ
、アクセス認証フェーズ、DHCP、およびユーザー認証の6つのフェーズに分かれています。
走査
STAは、アクティブスキャンを通じて定期的に周囲のワイヤレスネットワークを検索し、周囲のワイヤレスネットワーク情報を取得できます。
プローブ要求フレーム(プローブ要求フレーム)がSSIDを持っているかどうかに応じて、アクティブスキャンは2つのタイプに分けることができます。
指定されたSSIDを使用したアクティブスキャン方式
クライアントは、プローブ要求を運ぶ指定されたSSIDを送信します。各チャネルに順番に送信されるSTAプローブ要求フレームは、APを探し、STAは同じSSIDを持ち
、プローブ要求応答プローブを受信した後、ワイヤレスAPおよびサービスの特定のSSIDのみを参照するように提供できます。応答。
空のSSIDを使用したアクティブスキャン方式
クライアントはブロードキャストプローブリクエストを送信し、クライアントはサポートされているチャネルのリストにあるプローブリクエストフレームを定期的に送信して、ワイヤレスネットワークをスキャンします。APは、プローブ要求フレームを受信すると、プローブ応答フレームに応答して、使用可能なワイヤレスネットワーク情報をアナウンスします。
リンク認証
ワイヤレスリンクのセキュリティを確保するために、APはアクセスプロセス中にSTAの認証を完了する必要があります。
802.11リンクは、オープンシステム認証と共有キー認証の2つの認証メカニズムを定義します。
-
オープンシステム認証:つまり、認証なしで、すべてのSTAが正常にアクセスできます。
-
共有キー認証:STAとAPは、同じ共有キーで事前構成されており、両側のキー構成が同じであるかどうかを確認します。それらが一貫している場合、認証は成功します。そうでない場合、認証は失敗します。
関連
リンク認証が完了した後、STAは引き続きリンクサービスネゴシエーションを開始し、特定のネゴシエーションはアソシエーションメッセージを介して実装されます。
端末の関連付けプロセスは、基本的にリンクサービスネゴシエーションのプロセスです。ネゴシエーションの内容には、サポートされているレート、チャネルなどが含まれます。
アクセス認証
アクセス認証は、ユーザーを区別し、ユーザーがネットワークにアクセスする前にアクセス権を制限します。リンク認証と比較して、アクセス認証はより安全です。
主に含まれるもの:PSK認証と802.1X認証。
DHCP
STAは独自のIPアドレスを取得します。これは、STAが正常にオンラインになるための前提条件です。
STAがDHCPを介してIPアドレスを取得する場合、ACデバイスまたは集約スイッチをDHCPサーバーとして使用して、STAにIPアドレスを割り当てることができます。通常、集約スイッチはDHCPサーバーとして使用されます。
ユーザ認証
ユーザー認証は、802.1X認証、MAC認証、PoR1l認証を含む「エンドツーエンド」のセキュリティ構造です。
WLANビジネスデータ転送
CAPWAPのデータには、制御メッセージ(管理メッセージ)とデータメッセージが含まれます。
制御メッセージは、CAPWAPの制御トンネルを介して転送されます。ユーザーデータメッセージは、トンネル転送(「集中転送」とも呼ばれます)と直接転送(「ローカル転送」とも呼ばれます)に分けられます。