文章目錄
-
目錄
文章目錄
前言
一.WLAN 基本概念
?有線側組網概念
AP-AC 組網方式
AC 連接方式
CAPWAP 協議
?無線側組網概念
無線信道
?編輯
?BSS/SSID/BSSID
?編輯?VAP?
?ESS
?二.WLAN 組網架構
?基本的 WLAN 組網架構
?四.WLAN 工作原理
?AP 上線
AP 獲取 IP 地址階段
?CAPWAP 隧道建立階段
AP 接入控制階段
AP的版本升級階段
CAPWAP隧道維持階段
AC業務配置下發階段
?WLAN 業務配置下發
配置射頻
配置 VAP?
?編輯?STA? 接入
掃描階段
鏈路認證階段
關聯階段
前言
一.WLAN 基本概念
?有線側組網概念
AP-AC 組網方式
AC 連接方式
CAPWAP 協議
?無線側組網概念
無線信道
?BSS/SSID/BSSID
?VAP?
?ESS
?二.WLAN 組網架構
?基本的 WLAN 組網架構
| 概念 | 全稱 | 核心功能 / 作用 | 典型場景 / 特點 | 關聯協議 / 架構(結合圖中邏輯) |
|---|---|---|---|---|
| AP | Access Point(無線接入點) | 把有線網絡信號轉為無線 Wi-Fi,讓手機 / 電腦等無線設備連網 | 是無線覆蓋的 “基礎單元”,單臺可獨立工作(如家用無線路由器) | 無線側依賴 802.11 協議(圖中 “無線側組網 802.11 協議” ) |
| AC | Access Controller(無線控制器) | 統一管理多個 AP,包括配置下發、信號調優、漫游切換、安全策略管控等 “指揮調度” 工作 | 多 AP 場景必備(幾十 / 上百個 AP 時),讓無線網絡更穩定、易維護 | 圖右側架構:作為核心管理節點,通過 CAPWAP 協議對接瘦 AP |
| 胖 AP(FAT AP) | 同 AP,強調 “功能全” | 除基礎無線接入外,自帶路由、DHCP、安全策略等功能,無需 AC 即可獨立運行 | 適合小場景(家庭、小辦公室),但多臺部署時需逐臺配置(改 Wi-Fi 名 / 密碼要單獨操作 ) | 圖左側架構:直接接入園區網絡,獨立承載無線業務 |
| 瘦 AP(FIT AP) | 同 AP,強調 “功能精簡” | 僅負責無線信號發射、數據轉發,配置 / 管理完全依賴 AC,自身無復雜網絡功能 | 適合大場景(商場、企業園區),靠 AC 統一調度,支持大規模部署 + 無縫漫游(設備移動時 Wi-Fi 不斷線? | 圖右側架構:通過 CAPWAP 協議連 AC,由 AC 集中管控 |
?四.WLAN 工作原理
?AP 上線
????????FIT AP 需要完成上線過程,AC才能實現對AP的集中管理和控制,以及業務下發。AP的上線過程包括如下步驟:
- AP 獲取IP地址
- AP 發現AC并與之建立CAPWAP隧道
- AP接入控制
- CAPWAP隧道維持
AP 獲取 IP 地址階段
?CAPWAP 隧道建立階段
AC通過CAPWAP隧道來實現對AP的集中管理和控制。CAPWAP隧道可以實現:
- AP與AC間的狀態維護;
- AC對AP進行管理和業務配置下發;
- 業務數據經過CAPWAP隧道集中到AC上轉發。
-
Discovery階段(AP發現AC階段):通過發送Discovery Request報文,找到可用的AC。AC判斷是否允許該AP接入,判斷流程和AP接入控制階段相同,可參見圖2,對于不允許接入的AP發送的Discovery Request報文,AC不會回應。
AP發現AC有靜態和動態兩種方式:-
靜態方式
AP上預先配置了AC的靜態IP地址列表。AP上線時,AP分別發送Discovery Request單播報文到所有預配置列表對應IP地址的AC。然后AP通過接收到AC返回的Discovery Response報文,選擇一個AC開始建立CAPWAP隧道。
-
動態方式
動態發現AC又分為:DHCP方式、DNS方式和廣播方式。
-
DHCP方式:AP通過DHCP服務獲取AC的IP地址(),然后向AC發送Discovery Request單播報文。AC收到后,向AP回應Discovery Response報文
- 廣播方式:在如下情況,AP會發送Discovery Request廣播報文自動發現同一網段中的AC,然后通過AC響應的Discovery Response報文選擇一個待關聯的AC開始建立CAPWAP隧道。
- AP未獲取到AC的IP地址,則發送廣播報文。如果發送2次廣播報文無AC響應,則認為發現AC失敗。發現AC失敗的情況下,每等待一段時間后,AP就會重新執行上述過程。
- AP獲取到了AC的IP地址,先向AC發送單播報文,如果重復發送3次單播報文AC均無響應,再發送1次廣播報文。如果仍無AC響應,則再重復一遍發送單播報文和廣播的過程。2次均無AC響應,則認為發現AC失敗。發現AC失敗的情況下,每等待一段時間后,AP就會重新執行上述過程。
-
-
-
建立CAPWAP隧道階段:
完成CAPWAP隧道建立,包括數據隧道和控制隧道:- 數據隧道:AP接收的業務數據報文經過CAPWAP數據隧道集中到AC上轉發。
- 控制隧道:通過CAPWAP控制隧道實現AP與AC之間的控制報文的交互。同時還可以選擇對控制隧道進行數據傳輸層安全DTLS(Datagram Transport Layer Security)加密,使能DTLS加密功能后,CAPWAP控制報文都會經過DTLS加解密。
AP 接入控制階段
AP的版本升級階段
AP根據收到的Join Response報文中的參數判斷當前的系統軟件版本是否與AC上指定的一致。如果不一致,則AP開始更新軟件版本,升級方式包括AC模式、FTP模式和SFTP模式。FTP模式存在安全風險,建議使用AC模式或SFTP模式。
AP在軟件版本更新完成后重新啟動,重復進行前面三個步驟。
CAPWAP隧道維持階段
AP與AC之間交互Keepalive(UDP端口號為5247)報文來檢測數據隧道的連通狀態。
AP與AC交互Echo(UDP端口號為5246)報文來檢測控制隧道的連通狀態。
AC業務配置下發階段
AC向AP發送Configuration Update Request請求消息,AP回應Configuration Update Response消息,AC再將AP的業務配置信息下發給AP。
?WLAN 業務配置下發
? ? ? ? AC 向 AP 發送 Configuration Update Request 請求消息,AP 回應 Configuration Update Response 消息,AC 再將 AP 的業務配置信息下發給 AP。
配置射頻
配置 VAP?
?STA? 接入
CAPWAP隧道建立完成后,用戶就可以接入無線網絡。STA接入過程分為三個階段:
- 掃描階段
- 鏈路認證階段
- 關聯階段
STA支持以IPv4和IPv6兩種方式接入,優先選擇以IPv4的方式接入。
STA最終能否接入無線網絡受AC接入用戶數和單個AP接入用戶數規格限制。
- 如果STA關聯的AP已經達到AP的接入用戶數規格,但并未達到AC接入用戶數的規格,則STA無法在這臺AP上線,但可以通過關聯其他AP接入無線網絡。
- 如果STA關聯的AP未達到AP的接入用戶數規格,但是AC上在線的STA個數已經達到AC的接入用戶數規格,則該STA無法接入到無線網絡中。
- 如果STA關聯的AP未達到AP的接入用戶數規格,同時AC上在線的STA個數也未達到AC的接入用戶數規格,則該STA可以接入到無線網絡中。
掃描階段
STA可以通過主動掃描和被動掃描獲取到周圍的無線網絡信息:
主動掃描
STA工作過程中,會定期地搜索周圍的無線網絡,也就是主動掃描周圍的無線網絡。根據Probe Request幀(探測請求幀)是否攜帶SSID,可以將主動掃描分為兩種:
-
客戶端發送攜帶有指定SSID的Probe Request:STA依次在每個信道發出Probe Request幀,尋找與STA有相同SSID的AP,只有能夠提供指定SSID無線服務的AP接收到該探測請求后才回復探查響應,如圖1所示,STA發送Probe Request幀尋找SSID為wlan的AP。
這種方法適用于STA通過主動掃描接入指定的無線網絡。
-
客戶端發送廣播Probe Request:如圖2所示,客戶端會定期地在其支持的信道列表中,發送Probe Request幀掃描無線網絡。當AP收到Probe Request幀后,會回應Probe Response幀通告可以提供的無線網絡信息。
這種方法適用于STA通過主動掃描可以獲知是否存在可使用的無線服務。
被動掃描
如圖3所示,STA在每個信道上偵聽AP定期發送的Beacon信標幀(信標幀中包含SSID、支持速率等信息),以獲取AP的相關信息。
當用戶需要節省電量時,可以使用被動掃描。一般VoIP語音終端通常使用被動掃描方式。
鏈路認證階段
為了保證無線鏈路的安全,接入過程中AP需要完成對STA的認證。802.11鏈路定義了兩種認證機制:開放系統認證和共享密鑰認證。
- 開放系統認證(Open System Authentication):即不認證,任意STA都可以認證成功,如圖4所示。
- 共享密鑰認證(Shared-key Authentication):STA和AP預先配置相同的共享密鑰,AP在鏈路認證過程驗證兩邊的密鑰配置是否相同。如果一致,則認證成功;否則,認證失敗。
如圖5所示,共享密鑰的認證過程為:
- STA向AP發送認證請求(Authentication Request)。
- AP隨即生成一個“挑戰短語(Challenge)”發給STA。
- STA使用預先設置好的密鑰加密“挑戰短語”(EncryptedChallenge)并發給AP。
- AP接收到經過加密的“挑戰短語”,用預先設置好的密鑰解密該消息,然后將解密后的“挑戰短語”與之前發送給STA的進行比較。如果相同,認證成功;否則,認證失敗。
關聯階段
終端關聯過程實質上是鏈路服務協商的過程。完成鏈路認證后,STA會繼續發起鏈路服務協商,具體的協商通過Association報文實現,敏捷分布Wi-Fi方案架構中關聯階段如圖6和圖7所示。
圖6?敏捷分布Wi-Fi方案架構中STA關聯過程(中心AP內漫游)
圖7?敏捷分布Wi-Fi方案架構中STA關聯過程(非中心AP內漫游)
- 敏捷分布Wi-Fi方案架構中關聯階段處理過程
- STA向RU發送Association Request請求,請求幀中會攜帶STA自身的各種參數以及根據服務配置選擇的各種參數(主要包括支持的速率、支持的信道、支持的QoS的能力以及選擇的接入認證和加密算法)。
- RU收到Association Request請求幀后將其進行CAPWAP封裝,并上報中心AP。
- 中心AP檢查本地是否有用戶表項。
- 如果中心AP本地有用戶表項,說明是中心AP內漫游,中心AP進行本地漫游處理,并向RU回應Association Response。
- 如果中心AP本地沒有用戶表項,說明不是中心AP內漫游,中心AP向AC轉發Association Request請求,AC收到關聯請求后判斷是否需要進行用戶的接入認證,并向中心AP回應Association Response。
)
)
)
)
什么是DockerCompose?它有什么作用?)