学习华为企业无线网络,有这篇文章就够了(一)
华为HCIA视频教程:网络工程师的基本功:网络地址转换NAT
?以有线电缆或光纤作为传输介质的有线局域网应用广泛,但有线传输介质的铺设成本高,位置固定,移动性差。随着人们对网络的便携性和移动性的要求日益增强,传统的有线网络已经无法满足需求,WLAN (Wireless Local Area Network,无线局域网)技术应运而生。
?目前,WLAN已经成为一种经济、高效的网络接入方式。
?本课程介绍了WLAN在不同阶段的发展历程,其次介绍了WLAN技术相关的概念以及常见组网架构的工作原理,最后介绍WLAN常见组网架构的基本配置和WLAN技术的未来发展趋势。
什么是WLAN
?WLAN即Wireless LAN(无线局域网),是指通过无线技术构建的无线局域网络。WLAN广义上是指以无线电波、激光、红外线等无线信号来代替有线局域网中的部分或全部传输介质所构成的网络。
?通过WLAN技术,用户可以方便地接入到无线网络,并在无线网络覆盖区域内自由移动,彻底摆脱有线网络的束缚。
?WLAN即Wireless LAN(无线局域网),是指通过无线技术构建的无线局域网络。
?这里指的无线技术不仅仅包含Wi-Fi,还有红外、蓝牙、ZigBee等等。
?通过WLAN技术,用户可以方便地接入到无线网络,并在无线网络覆盖区域内自由移动,摆脱有线网络的束缚。
?无线网络根据应用范围可分为WPAN、WLAN、WMAN、WWAN。
?WPAN (Wireless Personal Area Network):个人无线网络,常用技术有:Bluetooth、Zigbee、NFC、HomeRF、UWB。
?WLAN (Wireless Local Area Network):无线局域网,常用技术有:Wi-Fi。(WLAN中也会使用WPAN的相关技术。)
?WMAN (Wireless Metropolitan Area Network):无线城域网,常用技术有:WiMax。
?WWAN (Wireless Wide Area Network):无线广域网,常用技术有:GSM、CDMA、WCDMA、TD-SCDMA、LTE、5G。
?WLAN的优点:
?网络使用自由:凡是自由空间均可连接网络,不受限于线缆和端口位置。在办公大楼、机场候机厅、度假村、商务酒店、体育场馆、咖啡店等场所尤为适用。
?网络部署灵活:对于地铁、公路交通监控等难于布线的场所,采用WLAN进行无线网络覆盖,免去或减少了繁杂的网络布线,实施简单,成本低,扩展性好。
WLAN与Wi-Fi
?WLAN:
?WLAN是计算机网络和无线通信技术 (Wi-Fi)相结合的产物,是有线网络的无线化延伸。
?Wi-Fi:
?Wi-Fi是一种基于IEEE 802.11标准的无线局域网技术。
?在日常生活中,常会将Wi-Fi当做802.11的同义词。
?Wi-Fi也是Wi-Fi联盟制造商的商标,并做为Wi-Fi产品的品牌认证。
?Wi-Fi联盟成立于1999年,当时的名称叫做Wireless Ethernet Compatibility Alliance(WECA)。在2002年10月,正式改名为Wi-Fi Alliance。
?WLAN广义上是指以无线电波、激光、红外线等来代替有线局域网中的部分或全部传输介质所构成的网络。
?本课程介绍的WLAN特指通过Wi-Fi技术基于802.11标准系列,利用高频信号(例如2.4GHz或5GHz)作为传输介质的无线局域网。
Wi-Fi的起源及发展历程
Wi-Fi在办公场景的发展趋势
?第一阶段:初级移动办公时代,无线作为有线的补充
?WaveLAN技术的应用可以被认为是最早的企业WLAN雏形。早期的Wi-Fi技术主要应用在类似“无线收音机”这样的物联设备上,但是随着802.11a/b/g标准的推出,无线连接的优势越来越明显。企业和消费者开始认识到Wi-Fi技术的应用潜力,无线热点开始出现在咖啡店、机场和酒店。
?Wi-Fi也在这一时期诞生,它是Wi-Fi联盟的商标,该联盟最初的目的是为了推动802.11b标准的制定,并在全球范围内推行Wi-Fi产品的兼容认证。随着标准的演进和遵从标准产品的普及,人们往往将Wi-Fi等同于802.11标准。
?802.11标准是众多WLAN技术中的一种,只是802.11标准已成为业界的主流技术,所以人们提到WLAN时,通常是指使用Wi-Fi技术的WLAN。
?这是WLAN应用的第一阶段,主要是解决“无线接入”的问题,核心价值是摆脱有线的束缚,设备在一定范围内可以自用移动,用无线网络延伸了有线网络。但是这一阶段的WLAN对安全、容量和漫游等方面没有明确的诉求,接入点(Access Point,AP)的形态还是单个接入点,用于单点组网覆盖。通常称单个接入点架构的AP为FAT AP。
?第二阶段:无线办公时代,有线无线一体化
?随着无线设备的进一步普及,WLAN从起初仅仅作为有线网络的补充,发展到和有线网络一样不可或缺,由此进入第二阶段。
?在这个阶段,WLAN作为网络的一部分,还需要为企业访客提供网络接入。
?在办公场景下,存在大量视频、语音等大带宽业务,对WLAN的带宽有更大的需求。从2012年开始,802.11ac标准趋于成熟,对工作频段、信道带宽、调制与编码方式等做出了诸多改进,与以往的Wi-Fi标准相比,其具有更高的吞吐率、更少的干扰,能够允许更多的用户接入。
?第三阶段:全无线办公时代,以无线为中心
?目前,WLAN已经进入第三阶段,在办公环境中,使用无线网络彻底替代有线网络。办公区采用全Wi-Fi覆盖,办公位不再提供有线网口,办公环境更为开放和智能。
?未来,云桌面办公、智真会议、4K视频等大带宽业务将从有线网络迁移至无线网络,而VR/AR等新技术将直接基于无线网络部署。新的应用场景对WLAN的设计与规划提出更高的要求。
?2018年,新一代Wi-Fi标准Wi-Fi 6 (IEEE命名为802.11ax,Wi-Fi 6是Wi-Fi联盟的命名)发布,这是Wi-Fi发展史上的又一重大里程碑,Wi-Fi 6的核心价值是容量的进一步提升,引领无线通信进入10Gbit/s时代;多用户并发性能提升4倍,让网络在高密度接入、业务重载的情况下,依然保持优秀的服务能力。
IEEE 802与TCP/IP对等模型
?WLAN是一种基于IEEE 802.11标准的无线局域网技术。
?802.11标准聚焦在TCP/IP对等模型的下两层:
?数据链路层:主要负责信道接入、寻址、数据帧校验、错误检测、安全机制等内容。
?物理层:主要负责在空口(空中接口)中传输比特流,例如规定所使用的频段等。
IEEE 802.11标准与Wi-Fi的世代
?IEEE 802.11第一个版本发表于1997年,其中定义了介质访问接入控制层和物理层。
?此后,更多的基于802.11的补充标准逐渐被定义,最为熟知的是影响Wi-Fi代际演进的标准:802.11b、802.11a、802.11g、802.11n、802.11ac等。
?在IEEE 802.11ax标准推出之际,Wi-Fi联盟将新Wi-Fi规格的名字简化为Wi-Fi 6,主流的IEEE 802.11ac改称Wi-Fi 5、IEEE 802.11n改称Wi-Fi 4,其他世代以此类推。
基本的WLAN组网架构
?WLAN网络架构分有线侧和无线侧两部分,有线侧是指AP上行到Internet的网络使用以太网协议,无线侧是指STA到AP之间的网络使用802.11协议。
?无线侧接入的WLAN网络架构为集中式架构。从最初的FAT AP架构,演进为AC+FIT AP架构。
?FAT AP (胖AP)架构
?这种架构不需要专门的设备集中控制就可以完成无线用户的接入、业务数据的加密和业务数据报文的转发等功能,因此又称为自治式网络架构。
?适用范围:家庭
?特点:AP独立工作,需要单独配置,功能较为单一,成本低。
?缺点:随着WLAN覆盖面积增大,接入用户增多,需要部署的FAT AP数量也会增多,但FAT AP是独立工作的,缺少统一的控制设备,因此管理维护这些FAT AP就十分麻烦。
?AC+FIT AP (瘦AP)架构
?这种架构中,AC负责WLAN的接入控制、转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制;FIT AP负责802.11报文的加解密、802.11的物理层功能、接受AC的管理等简单功能。
?适用范围:大中型企业
?特点:AP需要配合AC使用,由AC统一管理和配置,功能丰富,对网络运维人员的技能要求高。
?注:在本课程中,我们主要以AC+FIT AP架构为例进行课程的讲解。
?WLAN基本概念:
?工作站STA (Station):
?支持802.11标准的终端设备。例如带无线网卡的电脑、支持WLAN的手机等。
?无线接入控制器AC (Access Controller):
?在AC+FIT AP网络架构中,AC对无线局域网中的所有FIT AP进行控制和管理。例如,AC可以通过与认证服务器交互信息来为WLAN用户提供认证服务。
?无线接入点AP (Access Point):
?为STA提供基于802.11标准的无线接入服务,起到有线网络和无线网络的桥接作用。
?无线接入点控制与规范CAPWAP (Control And Provisioning of Wireless Access Points):
?由RFC5415协议定义的,实现AP和AC之间的互通的一个通用封装和传输机制。
?射频信号 (无线电磁波):
?提供基于802.11标准的WLAN技术的传输介质,是具有远距离传输能力的高频电磁波。本课程指的射频信号是2.4G或5G频段的无线电磁波。
WLAN在家庭网络中的应用
WLAN在园区网络中的应用 (1)
?企业WLAN产品:
?无线接入点 (AP, Access Point)
?一般支持FAT AP(胖AP)、FIT AP(瘦AP)和云管理AP三种工作模式,根据网络规划的需求,可以灵活地在多种模式下切换。
?FAT AP:适用于家庭,独立工作,需单独配置,功能较为单一,成本低。独立完成用户接入、认证、数据安全、业务转发和QoS等功能。
?FIT AP:适用于大中型企业,需要配合AC使用,由AC统一管理和配置,功能丰富,对网络维护人员的技能要求高。用户接入、AP上线、认证、路由、AP管理、安全协议、QoS等功能需要同AC配合完成。
?云管理:适用于中小型企业,需要配合云管理平台使用,由云管理平台统一管理和配置,功能丰富,即插即用,对网络维护人员的技能要求低。
?无线接入控制器 (AC, Access Controller)
?一般位于整个网络的汇聚层,提供高速、安全、可靠的WLAN业务。
?提供大容量、高性能、高可靠性、易安装、易维护的无线数据控制业务,具有组网灵活、绿色节能等优势。
WLAN在园区网络中的应用 (2)
?通过PoE供电方式,可以有效的解决IP电话、AP、便携设备充电器、刷卡机、摄像头、数据采集等终端的集中式电源供电问题。对于这些终端而言,有了PoE后不再需要考虑其室内电源系统布线的问题,在接入网络的同时就可以实现对设备的供电。
有线侧组网概念:AP-AC组网方式
?AP-AC组网:二层是指AP和AC之间是二层组网,三层是指AC和AP之间是三层组网;二层组网AP可以通过二层广播,或者DHCP过程,即插即用上线;三层网络下,AP无法直接发现AC,需要通过DHCP或DNS方式动态发现,或者配置静态IP。
?在实际组网中,一台AC可以连接几十甚至几百台AP,组网一般比较复杂。比如在企业网络中,AP可以布放在办公室,会议室,会客间等场所,而AC可以安放在公司机房。这样,AP和AC之间的网络就是比较复杂的三层网络。因此,在大型组网中一般采用三层组网。
有线侧组网概念:AC连接方式
?AC连接方式:直连模式下AC部署在用户的转发路径上,旁挂则相反;直连模式用户流量要经过AC,会消耗AC转发能力,旁挂一般流量不会经过AC。
?直连式组网:
?采用这种组网方式,对AC的吞吐量以及处理数据能力比较高,否则AC会是整个无线网络带宽的瓶颈。
?但用此种组网,组网架构清晰,组网实施起来简单。
?旁挂式组网:
?由于实际组网中,大部分不是早期就规划好无线网络,无线网络的覆盖架设大部分是后期在现有网络中扩展而来。而采用旁挂式组网就比较容易进行扩展,只需将AC旁挂在现有网络中,比如旁挂在汇聚交换机上,就可以对终端AP进行管理。所以此种组网方式使用率比较高。
?在旁挂式组网中,AC只承载对AP的管理功能,管理流封装在CAPWAP隧道中传输。数据业务流可以通过CAPWAP数据隧道经AC转发,也可以不经过AC转发直接转发,后者无线用户业务流经汇聚交换机由汇聚交换机传输至上层网络。
有线侧组网概念:CAPWAP协议
?为满足大规模组网的要求,需要对网络中的多个AP进行统一管理,IETF成立了CAPWAP工作组,最终制定CAPWAP协议。该协议定义了AC如何对AP进行管理、业务配置,即AC与AP间首先会建立CAPWAP隧道,然后AC通过CAPWAP隧道来实现对AP的集中管理和控制。
?CAPWAP是基于UDP进行传输的应用层协议。
?CAPWAP协议在传输层运输两种类型的消息:
?业务数据流量,封装转发无线数据帧 。——通过CAPWAP数据隧道。
?管理流量,管理AP和AC之间交换的管理消息 。——通过CAPWAP控制隧道。
?CAPWAP数据和控制报文基于不同的UDP端口发送:
?管理流量端口为UDP端口5246。
?业务数据流量端口为UDP端口5247。
?注:国际互联网工程任务组(The Internet Engineering Task Force,简称 IETF)。
无线侧组网概念:无线通信系统
?信源编码:将最原始的信息,经过对应的编码,转换为数字信号的过程。
?信道编码:是一种对信息纠错、检错的技术,可以提升信道传输的可靠性。信息在无线传输过程中容易受到噪声的干扰,导致接收信息出错,引入信道编码能够在接收设备上最大程度地回复信息,降低误码率。
?调制:将数字信号叠加到高频振荡电路产生的高频信号上,才能通过天线转换成无线电波发射出去。叠加动作就是调制的过程。
?信道:传输信息的通道,无线信道就是空间中的无线电波。
?空中接口:简称空口,无线信道使用的接口。发送设备和接收设备使用接口和信道连接,对于无线通信,接口是不可见的,连接着不可见的空间。
无线侧组网概念:无线电磁波
?极低频 (3Hz–30Hz):潜艇通讯或直接转换成声音。
?超低频 (30Hz–300Hz) :直接转换成声音或交流输电系统(50-60赫兹)。
?特低频 (300Hz–3KHz) :矿场通讯或直接转换成声音。
?甚低频 (3KHz–30KHz) :直接转换成声音、超声、地球物理学研究。
?低频 (30KHz–300KHz) :国际广播。
?中频 (300KHz–3MHz) :调幅(AM)广播、海事及航空通讯。
?高频 (3MHz–30MHz) :短波、民用电台。
?甚高频 (30MHz–300MHz) :调频(FM)广播、电视广播、航空通讯。
?特高频 (300MHz–3GHz) :电视广播、无线电话通讯、无线网络、微波炉。
?超高频 (3GHz–30GHz) :无线网络、雷达、人造卫星接收。
?极高频 (30GHz–300GHz) :射电天文学、遥感、人体扫描安检仪。
?300GHz以上:红外线、可见光、紫外线、射线等。
无线侧组网概念:无线信道
?WLAN中,AP的工作状态会受到周围环境的影响。例如,当相邻AP的工作信道存在重叠频段时,某个AP的功率过大会对相邻AP造成信号干扰。
?通过射频调优功能,动态调整AP的信道和功率,可以使同一AC管理的各AP的信道和功率保持相对平衡,保证AP工作在最佳状态。
无线侧组网概念:BSS/SSID/BSSID
?BSS (Basic Service Set):
?无线网络的基本服务单元,通常由一个AP和若干STA组成,BSS是802.11网络的基本结构。由于无线介质共享性,BSS中报文收发需携带BSSID(MAC地址)。
?基本服务集标识符BSSID(Basic Service Set Identifier):
?AP上的数据链路层MAC地址。
?终端要发现和找到AP,需要通过AP的一个身份标识,这个身份标识就是BSSID。
?为了区分BSS,要求每个BSS都有唯一的BSSID,因此使用AP的MAC地址来保证其唯一性。
?服务集标识符SSID(Service Set Identifier):
?表示无线网络的标识,用来区分不同的无线网络。例如,当我们在笔记本电脑上搜索可接入无线网络时,显示出来的网络名称就是SSID。
?如果一个空间部署了多个BSS,终端就会发现多个BSSID,只要选择加入的BSSID就行。但是做选择的是用户,为了使得AP的身份更容易辨识,则用一个字符串来作为AP的名字。这个字符串就是SSID。
无线侧组网概念:VAP
?虚拟接入点VAP(Virtual Access Point):
?是AP设备上虚拟出来的业务功能实体。用户可以在一个AP上创建不同的VAP来为不同的用户群体提供无线接入服务。
?VAP简化了WLAN的部署,但不意味VAP越多越好,要根据实际需求进行规划。一味增加VAP的数量,不仅要让用户花费更多的时间找到SSID,还会增加AP配置的复杂度。而且VAP并不等同于真正的AP,所有的VAP都共享这个AP的软件和硬件资源,所有VAP的用户都共享相同的信道资源,所以AP的容量是不变的,并不会随着VAP数目的增加而成倍的增加。
无线侧组网概念:ESS
?ESS (Extend Service Set):
?采用相同的SSID的多个BSS组成的更大规模的虚拟BSS。
?用户可以带着终端在ESS内自由移动和漫游,不管用户移动到哪里,都可以认为使用的同一个WLAN。
?WLAN漫游:
?指STA在同属一个ESS的不同AP的覆盖范围之间移动且保持用户业务不中断的行为。
?WLAN网络的最大优势就是STA不受物理介质的影响,可以在WLAN覆盖范围内四处移动并且能够保持业务不中断。同一个ESS内包含多个AP设备,当STA从一个AP覆盖区域移动到另外一个AP覆盖区域时,利用WLAN漫游技术可以实现STA用户业务的平滑切换。
FAT AP架构
?FAT AP架构不需要专门的设备集中控制就可以完成无线用户的接入、业务数据的加密和业务数据报文的转发等功能,因此FAT AP架构又称为自治式网络架构。
?当部署单个AP时,由于FAT AP具备较好的独立性,不需要另外部署集中控制设备,部署起来很方便,成本较低廉,所以家庭部署WLAN,FAT AP架构往往是最适合的选择。但是,在企业中,FAT AP的独立自治就变成了缺点。
?随着WLAN覆盖面积增大,接入用户增多,需要部署的FAT AP数量也会增多。而每个FAT AP又是独立工作的,缺少统一的控制设备,因此管理、维护这些FAT AP就变得十分麻烦。例如,如果需要升级软件版本,每一台FAT AP都需要单独升级一次,耗时耗力。FAT AP架构无法满足更大覆盖范围内的用户漫游诉求。另外,对于复杂业务,例如,针对网络用户的不同数据类型进行优先级策略控制,FAT AP架构也无法支持统一控制。
?所以对于企业而言,不推荐FAT AP架构,更合适的选择是下面要介绍的AC+FIT AP架构、云管理架构等。
AC+FIT AP架构
?AC和AP之间使用的通信协议是CAPWAP协议,CAPWAP协议定义的主要内容有:AP自动发现AC,AC对AP进行安全认证,AP从AC获取软件,AP从AC获得初始和动态配置等。通过该协议,AP和AC之间建立起CAPWAP隧道。CAPWAP隧道有两种:控制隧道和数据隧道。控制隧道主要传输控制报文(也称管理报文,是AC管理控制AP的报文);数据隧道主要传输数据报文。CAPWAP隧道可以进行数据传输层安全(Datagram Transport Layer Security,DTLS)加密,因此传输的报文更加安全。
?相比于FAT AP架构,AC+FIT AP架构的优点如下。
?配置与部署:通过AC进行集中地网络配置和管理,不再需要对每个AP进行单独配置操作,同时对整网AP进行信道、功率的自动调整,免去了烦琐的人工调整过程。
?安全性:由于FAT AP无法进行统一的升级操作,无法保证所有AP版本都有最新的安全补丁,而AC+FIT AP架构主要的安全能力是在AC上的,软件更新和安全配置仅需在AC上进行,从而可以快速进行全局安全设置;同时,为了防止加载恶意代码,设备会对软件进行数字签名认证,增强了更新过程的安全性。AC也实现了FAT AP架构无法支持的一些安全功能,包括病毒检测、统一资源定位地址(Uniform Resource Locater,URL)过滤、状态检测防火墙等高级安全特性。
?更新与扩展:架构的集中管理模式使得同一AC下的AP有着相同的软件版本。当需要更新时,先由AC获取更新包或补丁,然后由AC统一更新AP版本。AP和AC的功能拆分也减少了对AP版本的频繁更新,有关用户认证、网管和安全等功能的更新只需在AC上进行。
敏捷分布式AP
下一代园区网络:智简园区(中小型园区网络)
?传统方案的弊端:
?在部署网络时,传统网络解决方案会存在部署成本高、后期运维困难等问题,尤其是对于分支站点数量多、站点地域分散的企业,这些问题尤为明显。
?云管理架构:
?云管理架构可以很好的解决以上问题,通过云管理平台,实现任意地点对设备进行集中的管理和维护,大大降低网络部署运维成本。
?当云AP布放完成后,无须网络管理员到安装现场对云AP进行软件调试,云AP上电后即可自动连接到指定的云管理平台加载指定的配置文件、软件包和补丁文件等系统文件,实现云AP零配置上线。网络管理员可以随时随地通过云管理平台统一给AP下发配置,使业务批量配置更快捷。
下一代园区网络:智简园区(大中型园区网络)
WLAN工作流程概述
?AC+FIT AP组网架构中,是通过AC对AP进行统一的管理,因此所有的配置都是在AC上进行的。
WLAN工作流程:步骤1
AP获取IP地址
AP获取IP地址:DHCP方式
CAPWAP隧道建立
?CAPWAP隧道可以实现:
?AP与AC间的状态维护;
?AC对AP进行管理和业务配置下发;
?业务数据经过CAPWAP隧道集中到AC上转发。
?AP发现AC阶段:
?静态方式:AP上预先配置了AC的静态IP地址列表。AP上线时,AP分别发送Discovery Request单播报文到所有预配置列表对应IP地址的AC。然后AP通过接收到AC返回的Discovery Response报文,选择一个AC开始建立CAPWAP隧道。
?动态方式:分为DHCP方式、DNS方式和广播方式,其中本章主要介绍DHCP方式和广播方式。
Step1:AP动态发现AC
?DHCP方式:
?通过DHCP的四步交互过程,获取AC的IP地址:
?在没有预配置AC的IP列表时,则启动AP动态AC发现机制。通过DHCP获取IP地址,并通过DHCP协议中的Option返回AC地址列表(在DHCP服务器上配置DHCP响应报文中携带Option 43,且Option 43携带AC的IP地址列表)。
?首先是AP发送DHCP Discover广播报文,请求DHCP Server响应,在DHCP服务器侦听到DHCP Discover报文后,它会从没有租约的地址范围中,选择最前面的闲置IP,连同其他TCP/IP设定,响应AP一个DHCP Offer报文,该报文中会包含一个租约期限的信息。
?由于DHCP Offer报文既可以是单播报文,也可以是广播报文,当AP端收到多台DHCP Server的响应时,只会挑选其中一个Offer(通常是最先抵达的那个),然后向网络中发送一个DHCP Request广播报文,告诉所有的Offer,并重新发送DHCP,将指定接收哪一台服务器提供的IP地址。
?当DHCP Server接收到AP的Request报文之后,会向AP发送一个DHCP Ack响应,该报文中携带的信息包括了AP的IP地址,租约期限,网关信息,以及DNS Server IP等,以此确定租约的正式生效,就此完成DHCP的四步交互工作。
?通过AC发现机制,与AC关联:
?AP通过DHCP服务获取AC的IP地址后,使用AC发现机制来获知哪些AC是可用的,决定与最佳AC来建立CAPWAP的连接。
?AP启动CAPWAP协议的发现机制,以单播或广播的形式发送发现请求报文试图关联AC,AC收到AP的Discovery Request以后,会发送一个单播Discover Response 给AP,AP可以通过Discover Response中所带的AC优先级或者AC上当前AP的个数等,确定与哪个AC建立会话。
?广播方式:
?当AP启动后,如果DHCP方式和DNS方式均未获得AC的IP或AP发出发现请求报文后未收到响应,则AP启动广播发现流程,以广播包方式发出发现请求报文。
?接收到发现请求报文的AC检查该AP是否有接入本机的权限(已经授权的MAC地址或者序列号),如果有则发回响应。如果该AP没有接入权限,AC则拒绝请求。
?广播发现方式只适用于AC/AP间为二层可达的网络场景。
Step2:建立CAPWAP隧道
AP接入控制
?在收到AP发送的Join Request报文之后,AC会进行AP合法性的认证,认证通过则添加相应的AP设备。
?AC上支持三种对AP的认证方式:
?MAC认证
?序列号(SN)认证
?不认证
?AC上添加AP的方式有三种:
?离线导入AP:预先配置AP的MAC地址和SN,当AP与AC连接时,如果AC发现AP和预先增加的AP的MAC地址和SN匹配,则AC开始与AP建立连接。
?自动发现AP:当配置AP的认证模式为不认证或配置AP的认证模式为MAC或SN认证且将AP加入AP白名单中,则当AP与AC连接时,AP将被AC自动发现并正常上线。
?手工确认未认证列表中的AP:当配置AP的认证模式为MAC或SN认证,但AP没有离线导入且不在已设置的AP白名单中,则该AP会被记录到未授权的AP列表中。需要用户手工确认后,此AP才能正常上线。
AP的版本升级
?在AC上给AP升级方式:
?自动升级:主要用于AP还未在AC中上线的场景。通常先配置好AP上线时的自动升级参数,然后再配置AP接入。AP在之后的上线过程中会自动完成升级。如果AP已经上线,配置完自动升级参数后,任意方式触发AP重启,AP也会进行自动升级。但相比于自动升级,使用在线升级方式升级能够减少业务中断的时间。
?AC模式:AP升级时从AC上下载升级版本,适用于AP数量较少时的场景。
?FTP模式:AP升级时从FTP服务器上下载升级版本,适用于网络安全性要求不是很高的文件传输场景中,采用明文传输数据,存在安全隐患。
?SFTP模式:AP升级时从SFTP服务器上下载升级版本,适用于网络安全性要求高的场景,对传输数据进行了严格加密和完整性保护。
?在线升级:主要用于AP已经在AC中上线并已承载了WLAN业务的场景。
?定时升级:主要用于AP已经在AC中上线并已承载了WLAN业务的场景。通常指定在网络访问量少的时间段升级。
CAPWAP隧道维持
?数据隧道维持:
?AP与AC之间交互Keepalive (UDP端口号为5247)报文来检测数据隧道的连通状态。
?控制隧道维持:
?AP与AC交互Echo (UDP端口号为5246)报文来检测控制隧道的连通状态。
为确保AP能够上线,AC需预先配置如下内容
?域管理模板:
?域管理模板提供对AP的国家码、调优信道集合和调优带宽等的配置。
?国家码用来标识AP射频所在的国家,不同国家码规定了不同的AP射频特性,包括AP的发送功率、支持的信道等。配置国家码是为了使AP的射频特性符合不同国家或区域的法律法规要求。
?配置AC的源接口或源地址:
?每台AC都必须唯一指定一个IP地址、VLANIF接口或者Loopback接口,该AC设备下挂接的AP学习到此IP地址或者此接口下配置的IP地址,用于AC和AP间的通信。此IP地址或者接口称为源地址或源接口。
?只有为每台AC指定唯一一个源接口或源地址,AP才能与AC建立CAPWAP隧道。
?设备支持使用VLANIF接口或Loopback接口作为源接口,支持使用VLANIF接口或Loopback接口下的IP地址作为源地址。
?添加AP设备:即配置AP认证模式,AP上线。
?添加AP有三种方式:离线导入AP、自动发现AP以及手工确认未认证列表中的AP。
WLAN工作流程:步骤2
?AP上线后,会主动向AC发送Configuration Status Request报文,该信息中包含了现有AP的配置,为了做AP的现有配置和AC设定配置的匹配检查。当AP的当前配置与AC要求不符合时,AC会通过Configuration Status Response通知AP。
?说明:AP上线后,首先会主动向AC获取当前配置,而后统一由AC对AP进行集中管理和业务配置下发。
WLAN业务相关配置 - 配置射频
?配置基本射频参数:
?AP射频需要根据实际的WLAN网络环境来配置不同的基本射频参数,以使AP射频的性能达到更优。
?WLAN网络中,相邻AP的工作信道存在重叠频段时,容易产生信号干扰,对AP的工作状态产生影响。为避免信号干扰,使AP工作在更佳状态,提高WLAN网络质量,可以手动配置相邻AP工作在非重叠信道上。
?根据实际网络环境的需求,配置射频的发射功率和天线增益,使射频信号强度满足实际网络需求,提高WLAN网络的信号质量。
?实际应用场景中,两个AP之间的距离可能为几十米到几十公里,因为AP间的距离不同,所以AP之间传输数据时等待ACK报文的时间也不相同。通过调整合适的超时时间参数,可以提高AP间的数据传输效率。
?基本射频参数可以在AP组射频和AP射频下配置。AP组射频下配置的参数对AP组内所有的AP指定射频生效,AP射频下配置的参数只对单个AP指定的射频生效,且AP射频下配置的参数优先级高于AP组射频下配置的参数。
?射频模板:
?根据实际的网络环境对射频的各项参数进行调整和优化,使AP具备满足实际需求的射频能力,提高WLAN网络的信号质量。射频模板中各项参数下发到AP后,只有AP支持的参数才会在AP上生效。
?可配置的参数包括:射频的类型、射频的速率、射频的无线报文组播发送速率、AP发送Beacon帧的周期等。
WLAN业务相关配置 - 配置VAP
?数据转发方式:
?控制报文是通过CAPWAP的控制隧道转发的,用户的数据报文分为隧道转发(又称为“集中转发”)方式、直接转发(又称为“本地转发”)方式。这部分内容在后面的课程中会详细介绍。
?业务VLAN:
?由于WLAN无线网络灵活的接入方式,STA可能会在某个地点(例如办公区入口或体育场馆入口)集中接入到同一个WLAN无线网络中,然后漫游到其它AP覆盖的无线网络环境下。
?业务VLAN配置为单个VLAN时,在接入STA数众多的区域容易出现IP地址资源不足、而其它区域IP地址资源浪费的情况。
?业务VLAN配置为VLAN pool时,可以在VLAN pool中加入多个VLAN,然后通过将VLAN pool配置为VAP的业务VLAN,实现一个SSID能够同时支持多个业务VLAN。新接入的STA会被动态的分配到VLAN pool中的各个VLAN中,减少了单个VLAN下的STA数目,缩小了广播域;同时每个VLAN尽量均匀的分配IP地址,减少了IP地址的浪费。
?SSID模板:主要用于配置WLAN网络的SSID名称,还可以配置其他功能,主要包括如下功能:
?隐藏SSID功能:用户在创建无线网络时,为了保护无线网络的安全,可以对无线网络名称进行隐藏设置。这样,只有知道网络名称的无线用户才能连接到这个无线网络中。
?单个VAP下能够关联成功的最大用户数:单个VAP下接入的用户数越多,每个用户能够使用的平均网络资源就越少,为了保证用户的上网体验,可以根据实际的网络状况配置合理的最大用户接入数。
?用户数达到最大时自动隐藏SSID的功能:使能用户数达到最大时自动隐藏SSID的功能后,当WLAN网络下接入的用户数达到最大时,SSID会被隐藏,新用户将无法搜索到SSID。
?安全模板:配置WLAN安全策略,可以对无线终端进行身份验证,对用户的报文进行加密,保护WLAN网络和用户的安全。
?WLAN安全策略支持开放认证、WEP、WPA/WPA2-PSK、WPA/WPA2-802.1X等,在安全模板中选择其中一种进行配置。
?VAP模板:通过配置VAP模板下的参数,使AP实现为STA提供不同无线业务服务的能力。
?VAP模板能够引用:SSID模板和安全模板。
WLAN工作流程:步骤3
扫描
?主动扫描:
?携带有指定SSID的主动扫描方式:适用于STA通过主动扫描接入指定的无线网络。
?携带空SSID的主动扫描方式:适用于STA通过主动扫描可以获知是否存在可使用的无线服务。
?被动扫描:
?STA也支持被动扫描搜索无线网络。
?被动扫描是指客户端通过侦听AP定期发送的Beacon帧(信标帧,包含:SSID、支持速率等信息)发现周围的无线网络,缺省状态下AP发送Beacon帧的周期为100TUs(1TU=1024us)。
链路认证
?WLAN需要保障用户接入安全,即保障用户接入无线网络的合法性和安全性,STA接入WLAN网络前需要进行终端身份验证,即链路认证。链路认证通常被认为是终端连接AP并访问WLAN的起点。
?共享密钥认证:
?STA和AP预先配置相同的共享密钥,AP在链路认证过程验证两边的密钥配置是否相同。如果一致,则认证成功;否则,认证失败。
?认证过程:
1.STA向AP发送认证请求(Authentication Request)。
2.AP随即生成一个“挑战短语(Challenge)”发给STA。
3.STA使用预先设置好的密钥加密“挑战短语”(EncryptedChallenge)并发给AP。
4.AP接收到经过加密的“挑战短语”,用预先设置好的密钥解密该消息,然后将解密后的“挑战短语”与之前发送给STA的进行比较。如果相同,认证成功;否则,认证失败。
关联
?瘦接入点(FIT AP)架构中关联阶段处理过程:
1.STA向AP发送Association Request请求,请求帧中会携带STA自身的各种参数以及根据服务配置选择的各种参数(主要包括支持的速率、支持的信道、支持的QoS的能力等)。
2.AP收到Association Request请求帧后将其进行CAPWAP封装,并上报AC。
3.AC收到关联请求后判断是否需要进行用户的接入认证,并回应Association Response。
4.AP收到Association Response后将其进行CAPWAP解封装,并发给STA。
接入认证
?数据加密:
?除了用户接入认证外,对数据报文还需要使用加密的方式来保证数据安全,也是在接入认证阶段完成的。数据报文经过加密后,只有持有密钥的特定设备才可以对收到的报文进行解密,其他设备即使收到了报文,也因没有对应的密钥,无法对数据报文进行解密。
无线接入安全协议
?WLAN安全提供了WEP、WPA、WPA2等安全策略机制。每种安全策略体现了一整套安全机制,包括无线链路建立时的链路认证方式,无线用户上线时的用户接入认证方式和无线用户传输数据业务时的数据加密方式。
?WEP(Wired Equivalent Privacy)
?有线等效加密WEP协议是由802.11标准定义的,用来保护无线局域网中的授权用户所传输的数据的安全性,防止这些数据被窃听。WEP的核心是采用RC4算法,加密密钥长度有64位、128位和152位,其中有24bit的IV(初始向量)是由系统产生的,所以WLAN服务端和WLAN客户端上配置的密钥长度是40位、104位或128位。WEP加密采用静态的密钥,接入同一SSID下的所有STA使用相同的密钥访问无线网络。
?WPA/WPA2 (Wi-Fi Protected Access)
?由于WEP共享密钥认证采用的是基于RC4对称流的加密算法,需要预先配置相同的静态密钥,无论从加密机制还是从加密算法本身,都很容易受到安全威胁。为了解决这个问题,在802.11i标准没有正式推出安全性更高的安全策略之前,Wi-Fi联盟推出了针对WEP改良的WPA。WPA的核心加密算法还是采用RC4,在WEP基础上提出了临时密钥完整性协议TKIP(Temporal Key Integrity Protocol)加密算法,采用了802.1X的身份验证框架,支持EAP-PEAP、EAP-TLS等认证方式。随后802.11i安全标准组织又推出WPA2,区别于WPA,WPA2采用安全性更高的区块密码锁链-信息真实性检查码协议CCMP(Counter Mode with CBC-MAC Protocol)加密算法。
?为了实现更好的兼容性,在目前的实现中,WPA和WPA2都可以使用802.1X的接入认证、TKIP或CCMP的加密算法,他们之间的不同主要表现在协议报文格式上,在安全性上几乎没有差别。
?综上所述,WPA/WPA2安全策略涉及了链路认证阶段、接入认证阶段、密钥协商和数据加密阶段。
DHCP
用户认证
?随着企业网络的应用和发展,病毒、木马、间谍软件、网络攻击等各种信息安全威胁也在不断增加。在传统的企业网络建设思路中,一般认为企业内网是安全的,安全威胁主要来自外界。但是研究证明,80%的网络安全漏洞都存在于网络内部。它们对网络的破坏程度和范围持续扩大,经常引起系统崩溃、网络瘫痪。另外,内部员工在浏览某些网站时,一些间谍软件、木马程序等恶意软件也会不知不觉地被下载到电脑中,并且在企业内网传播,产生严重的安全隐患。
?因此,随着安全挑战的不断升级,仅通过传统的安全措施已经远远不够。安全模型需要由被动模式向主动模式转变。从根源(终端)彻底解决网络安全问题,提高整个企业的信息安全水平。
WLAN工作流程:步骤4
数据转发方式
?隧道转发方式:
?优点:AC集中转发数据报文,安全性好,方便集中管理和控制。
?缺点:业务数据必须经过AC转发,报文转发效率比直接转发方式低,AC所受压力大。
?直接转发方式:
?优点:数据报文不需要经过AC转发,报文转发效率高,AC所受压力小。
?缺点:业务数据不便于集中管理和控制。
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:chenni525@qq.com进行投诉反馈,一经查实,立即删除!