WLAN的组网架构
FAT AP架构
基本概念
•AP (Access Point,接入点):为STA(Station,无线终端)提供基于802.11标准的无线接入服务,起到有线网络和无线网络的连接作用。
•FAT AP(胖AP):能够独立自治、自我管理的AP。FAT AP架构又称为自治式网络架构。
架构特征
•当部署单个AP时,FAT AP具备较好的独立性,不需要另外部署集中控制设备,部署起来很方便,成本较低廉。
•但是,在企业中,随着WLAN覆盖面积增大,接入用户增多,需要部署的FAT AP数量也会增多。而每个FAT AP又是独立工作的,缺少统一的控制设备,因此管理、维护这些FAT AP就变得十分麻烦。
•所以对于企业而言,不推荐FAT AP架构,更合适的选择是诸如下面要介绍的AC+FIT AP等架构。
AC + FIT AP架构
基本概念
•AC (Access Controller,接入控制器):在AC+FIT AP网络架构中,AC对无线局域网中的所有FIT AP进行控制和管理。
•AC负责WLAN的接入控制、转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制。
•FIT AP(瘦AP)负责802.11报文的加解密、802.11的物理层功能、接受AC的管理、空口的统计等简单功能。
•AC和AP之间使用的通信协议是CAPWAP。
•相比于FAT AP架构,AC+FIT AP架构的优点如下:
•配置与部署更容易
•安全性更高
•更新与扩展容易
敏捷分布式AP
架构特点
•AP的一种特殊架构,将AP拆分为中心AP和敏分AP两部分,中心AP可管理多台敏分AP,在适用的场景下,成本低,覆盖好。敏捷分布式AP可以用于FAT AP、AC+FIT AP、云管理架构。
•适用范围:房间分布密集的场景。
下一代园区网络:智简园区(中小型园区网络)
基本概念
•通过云管理平台,可以实现任意地点对设备进行集中的管理和维护,大大降低网络部署运维成本。
•适用范围:中小型企业。
优势
•即插即用,自动开局,减少网络部署成本。
•统一运维:所有云管理网元统一在云管理平台上进行监控和管理。
•工具化:通常情况下,云解决方案会在云端提供各类工具,有效降低各类开支。
下一代园区网络:智简园区(大中型园区网络)
架构特点
•AP需要配合iMasterNCE使用,由iMasterNCE统一管理和配置,功能丰富,进一步和有线网络融合,结合大数据和AI技术实现园区网络的极简、智慧和安全。
•适用范围:大中型企业。
WLAN工作原理
WLAN工作流程
1.AP上线
AP获取IP地址并发现AC,与AC建立连接。FIT AP需完成上线过程,AC才能实现对AP的集中管理和控制,以及业务下发。AP的上线过程包括如下步骤:
(1)AP获取IP地址;
•AP获取IP地址的方式包括以下:
▫静态方式:登录到AP设备上手工配置IP地址。
▫DHCP方式:通过配置DHCP服务器,使AP作为DHCP客户端向DHCP服务器请求IP地址。
•典型方案:
▫部署专门的DHCPServer为AP分配IP地址。
▫使用AC的DHCP服务为AP分配IP地址。
▫使用网络中的设备,例如核心交换机为AP分配IP地址。
(2)AP发现AC并与之建立CAPWAP隧道;
AC通过CAPWAP隧道来实现对AP的集中管理和控制。
Step 1:Discovery阶段(AP发现AC阶段)
•AP通过发送DiscoveryRequest报文,找到可用的AC。
•AP发现AC有两种方式:
▫静态方式:AP上预先配置AC的静态IP地址列表。
▫动态方式:DHCP方式、DNS方式和广播方式。
Step 2:建立CAPWAP隧道阶段
•AP与AC关联,完成CAPWAP隧道建立。包括数据隧道和控制隧道:
▫数据隧道:AP接收的业务数据报文经过CAPWAP数据隧道集中到AC上转发。同时还可以选择对数据隧道进行数据传输层安全DTLS(DatagramTransportLayerSecurity)加密,使能DTLS加密功能后,CAPWAP数据报文都会经过DTLS加解密。
▫控制隧道:通过CAPWAP控制隧道实现AP与AC之间的管理报文的交互。同时还可以选择对控制隧道进行数据传输层安全DTLS加密,使能DTLS加密功能后,CAPWAP控制报文都会经过DTLS加解密。
(3)AP接入控制;
•AP发现AC后,会发送JoinRequest报文。AC收到后会判断是否允许该AP接入,并响应JoinResponse报文。
•AC上支持三种对AP的认证方式:MAC认证、序列号(SN)认证和不认证。
(4)AP版本升级(可选):
•AP根据收到的JoinResponse报文中的参数判断当前的系统软件版本是否与AC上指定的一致。如果不一致,则AP通过发送ImageDataRequest报文请求软件版本,然后进行版本升级,升级方式包括AC模式、FTP模式和SFTP模式。
•AP在软件版本更新完成后重新启动,重复进行前面三个步骤。
(5)CAPWAP隧道维持:
•数据隧道维持:
▫AP与AC之间交互Keepalive报文来检测数据隧道的连通状态。
•控制隧道维持:
▫AP与AC交互Echo报文来检测控制隧道的连通状态。
为确保AP上线,AC需预先配置如下内容
2.WLAN业务配置下发:AC将WLAN业务配置下发到AP生效
AC向AP发送Configuration Update Request请求消息,AP回应Configuration Update Response消息,AC再将AP的业务配置信息下发给AP。
WLAN业务相关配置---配置射频
WLAN业务相关配置---配置VAP
3.STA接入:STA搜索到AP发射的SSID并连接、上线,接入网络
CAPWAP隧道建立完成后,用户就可以接入无线网络。STA接入过程分为六个阶段:扫描阶段、链路认证阶段、关联阶段、接入认证阶段、DHCP、用户认证。
(1)扫描
•STA可以通过主动扫描,定期搜索周围的无线网络,获取到周围的无线网络信息。
•根据ProbeRequest帧(探测请求帧)是否携带SSID,可以将主动扫描分为两种:
携带有指定SSID的主动扫描方式
•客户端发送携带有指定SSID的ProbeRequest:STA依次在每个信道发出ProbeRequest帧,寻找与STA有相同SSID的AP,只有能够提供指定SSID无线服务的AP接收到该探测请求后才回复探查响应。
携带空SSID的主动扫描方式
•客户端发送广播ProbeRequest,客户端会定期地在其支持的信道列表中,发送ProbeRequest帧扫描无线网络。当AP收到ProbeRequest帧后,会回应ProbeResponse帧通告可以提供的无线网络信息。
(2)链路认证
•为了保证无线链路的安全,接入过程中AP需要完成对STA的认证。
•802.11链路定义了两种认证机制:开放系统认证和共享密钥认证。
开放系统认证(Open System Authentication)
不认证,任意STA都可以认证成功。
共享密钥认证(Shared-key Authentication)
STA和AP预先配置相同的共享密钥,验证两边的密钥配置是否相同。如果一致,则认证成功;否则,认证失败。
(3)关联
•完成链路认证后,STA会继续发起链路服务协商,具体的协商通过Association报文实现。
•终端关联过程实质上就是链路服务协商的过程,协商内容包括:支持的速率、信道等。
(4)接入认证阶段
•接入认证即对用户进行区分,并在用户访问网络之前限制其访问权限。相对于链路认证,接入认证安全性更高。
•主要包含:PSK认证和802.1X认证。
无线接入安全协议
•WLAN技术是以无线射频信号作为业务数据的传输介质,这种开放的信道使攻击者很容易对无线信道中传输的业务数据进行窃听和篡改。因此,安全性成为阻碍WLAN技术发展的最重要因素。
•常用认证方式:
(5)DHCP
•STA获取到自身的IP地址,是STA正常上线的前提条件。
•如果STA是通过DHCP方式获取IP地址,可以用AC设备或汇聚交换机作为DHCP服务器为STA分配IP地址。一般情况下使用汇聚交换机作为DHCP服务器。
(6)用户认证
•用户认证是一种“端到端”的安全结构,包括:802.1X认证、MAC认证和PoR1I认证。
PoR1I认证
•也称Web认证,一般将PoR1l认证网站称为门户网站。
•用户上网时,必须在门户网站进行认证。只有认证通过后才可以使用网络资源。
4.WLAN业务数据转发:WLAN网络开始转发业务数据
CAPWAP中的数据包括控制报文(管理报文)和数据报文。控制报文是通过CAPWAP的控制隧道转发的;
用户的数据报文分为隧道转发(又称为“集中转发”)方式和直接转发(又称为“本地转发”)方式。
隧道转发方式
•隧道转发方式是指用户的数据报文到达AP后,需要经过CAPWAP数据隧道封装后发送给AC,然后由AC再转发到上层网络。
直接转发方式
•直接转发方式是指用户的数据报文到达AP后,不经过CAPWAP的隧道封装而直接转发到上层网络。