文章目录
-
目录
[一.WLAN 基本概念](#一.WLAN 基本概念)
[AP-AC 组网方式](#AP-AC 组网方式)
[AC 连接方式](#AC 连接方式)
[CAPWAP 协议](#CAPWAP 协议)
[编辑 VAP](#编辑 VAP)
[二.WLAN 组网架构](#二.WLAN 组网架构)
[基本的 WLAN 组网架构](#基本的 WLAN 组网架构)
[四.WLAN 工作原理](#四.WLAN 工作原理)
[AP 上线](#AP 上线)
[AP 获取 IP 地址阶段](#AP 获取 IP 地址阶段)
[CAPWAP 隧道建立阶段](#CAPWAP 隧道建立阶段)
[AP 接入控制阶段](#AP 接入控制阶段)
[WLAN 业务配置下发](#WLAN 业务配置下发)
[配置 VAP](#配置 VAP)
[编辑 STA 接入](#编辑 STA 接入)
前言
一.WLAN 基本概念
有线侧组网概念
AP-AC 组网方式
AC 连接方式
CAPWAP 协议
无线侧组网概念
无线信道
BSS/SSID/BSSID
VAP
ESS
二.WLAN 组网架构
基本的 WLAN 组网架构
| 概念 | 全称 | 核心功能 / 作用 | 典型场景 / 特点 | 关联协议 / 架构(结合图中逻辑) |
|---|---|---|---|---|
| AP | Access Point(无线接入点) | 把有线网络信号转为无线 Wi-Fi,让手机 / 电脑等无线设备连网 | 是无线覆盖的 "基础单元",单台可独立工作(如家用无线路由器) | 无线侧依赖 802.11 协议(图中 "无线侧组网 802.11 协议" ) |
| AC | Access Controller(无线控制器) | 统一管理多个 AP,包括配置下发、信号调优、漫游切换、安全策略管控等 "指挥调度" 工作 | 多 AP 场景必备(几十 / 上百个 AP 时),让无线网络更稳定、易维护 | 图右侧架构:作为核心管理节点,通过 CAPWAP 协议对接瘦 AP |
| 胖 AP(FAT AP) | 同 AP,强调 "功能全" | 除基础无线接入外,自带路由、DHCP、安全策略等功能,无需 AC 即可独立运行 | 适合小场景(家庭、小办公室),但多台部署时需逐台配置(改 Wi-Fi 名 / 密码要单独操作 ) | 图左侧架构:直接接入园区网络,独立承载无线业务 |
| 瘦 AP(FIT AP) | 同 AP,强调 "功能精简" | 仅负责无线信号发射、数据转发,配置 / 管理完全依赖 AC,自身无复杂网络功能 | 适合大场景(商场、企业园区),靠 AC 统一调度,支持大规模部署 + 无缝漫游(设备移动时 Wi-Fi 不断线 | 图右侧架构:通过 CAPWAP 协议连 AC,由 AC 集中管控 |
四.WLAN 工作原理
AP 上线
FIT AP 需要完成上线过程,AC才能实现对AP的集中管理和控制,以及业务下发。AP的上线过程包括如下步骤:
- AP 获取IP地址
- AP 发现AC并与之建立CAPWAP隧道
- AP接入控制
- CAPWAP隧道维持
AP 获取 IP 地址阶段
CAPWAP 隧道建立阶段
AC通过CAPWAP隧道来实现对AP的集中管理和控制。CAPWAP隧道可以实现:
- AP与AC间的状态维护;
- AC对AP进行管理和业务配置下发;
- 业务数据经过CAPWAP隧道集中到AC上转发。
-
Discovery阶段(AP发现AC阶段):通过发送Discovery Request报文,找到可用的AC。AC判断是否允许该AP接入,判断流程和AP接入控制阶段相同,可参见图2,对于不允许接入的AP发送的Discovery Request报文,AC不会回应。
AP发现AC有静态和动态两种方式:
-
静态方式
AP上预先配置了AC的静态IP地址列表。AP上线时,AP分别发送Discovery Request单播报文到所有预配置列表对应IP地址的AC。然后AP通过接收到AC返回的Discovery Response报文,选择一个AC开始建立CAPWAP隧道。
-
动态方式
动态发现AC又分为:DHCP方式、DNS方式和广播方式。
-
DHCP方式:AP通过DHCP服务获取AC的IP地址(),然后向AC发送Discovery Request单播报文。AC收到后,向AP回应Discovery Response报文
-
广播方式:在如下情况,AP会发送Discovery Request广播报文自动发现同一网段中的AC,然后通过AC响应的Discovery Response报文选择一个待关联的AC开始建立CAPWAP隧道。
- AP未获取到AC的IP地址,则发送广播报文。如果发送2次广播报文无AC响应,则认为发现AC失败。发现AC失败的情况下,每等待一段时间后,AP就会重新执行上述过程。
- AP获取到了AC的IP地址,先向AC发送单播报文,如果重复发送3次单播报文AC均无响应,再发送1次广播报文。如果仍无AC响应,则再重复一遍发送单播报文和广播的过程。2次均无AC响应,则认为发现AC失败。发现AC失败的情况下,每等待一段时间后,AP就会重新执行上述过程。
-
-
-
建立CAPWAP隧道阶段:
完成CAPWAP隧道建立,包括数据隧道和控制隧道:
- 数据隧道:AP接收的业务数据报文经过CAPWAP数据隧道集中到AC上转发。
- 控制隧道:通过CAPWAP控制隧道实现AP与AC之间的控制报文的交互。同时还可以选择对控制隧道进行数据传输层安全DTLS(Datagram Transport Layer Security)加密,使能DTLS加密功能后,CAPWAP控制报文都会经过DTLS加解密。
AP 接入控制阶段
AP的版本升级阶段
AP根据收到的Join Response报文中的参数判断当前的系统软件版本是否与AC上指定的一致。如果不一致,则AP开始更新软件版本,升级方式包括AC模式、FTP模式和SFTP模式。FTP模式存在安全风险,建议使用AC模式或SFTP模式。
AP在软件版本更新完成后重新启动,重复进行前面三个步骤。
CAPWAP隧道维持阶段
AP与AC之间交互Keepalive(UDP端口号为5247)报文来检测数据隧道的连通状态。
AP与AC交互Echo(UDP端口号为5246)报文来检测控制隧道的连通状态。
AC业务配置下发阶段
AC向AP发送Configuration Update Request请求消息,AP回应Configuration Update Response消息,AC再将AP的业务配置信息下发给AP。
WLAN 业务配置下发
AC 向 AP 发送 Configuration Update Request 请求消息,AP 回应 Configuration Update Response 消息,AC 再将 AP 的业务配置信息下发给 AP。
配置射频
配置 VAP
STA 接入
CAPWAP隧道建立完成后,用户就可以接入无线网络。STA接入过程分为三个阶段:
- 扫描阶段
- 链路认证阶段
- 关联阶段
STA支持以IPv4和IPv6两种方式接入,优先选择以IPv4的方式接入。
STA最终能否接入无线网络受AC接入用户数和单个AP接入用户数规格限制。
- 如果STA关联的AP已经达到AP的接入用户数规格,但并未达到AC接入用户数的规格,则STA无法在这台AP上线,但可以通过关联其他AP接入无线网络。
- 如果STA关联的AP未达到AP的接入用户数规格,但是AC上在线的STA个数已经达到AC的接入用户数规格,则该STA无法接入到无线网络中。
- 如果STA关联的AP未达到AP的接入用户数规格,同时AC上在线的STA个数也未达到AC的接入用户数规格,则该STA可以接入到无线网络中。
扫描阶段
STA可以通过主动扫描和被动扫描获取到周围的无线网络信息:
主动扫描
STA工作过程中,会定期地搜索周围的无线网络,也就是主动扫描周围的无线网络。根据Probe Request帧(探测请求帧)是否携带SSID,可以将主动扫描分为两种:
-
客户端发送携带有指定SSID的Probe Request:STA依次在每个信道发出Probe Request帧,寻找与STA有相同SSID的AP,只有能够提供指定SSID无线服务的AP接收到该探测请求后才回复探查响应,如图1所示,STA发送Probe Request帧寻找SSID为wlan的AP。
这种方法适用于STA通过主动扫描接入指定的无线网络。
图1携带有指定SSID的主动扫描过程
-
客户端发送广播Probe Request:如图2所示,客户端会定期地在其支持的信道列表中,发送Probe Request帧扫描无线网络。当AP收到Probe Request帧后,会回应Probe Response帧通告可以提供的无线网络信息。
这种方法适用于STA通过主动扫描可以获知是否存在可使用的无线服务。
图2 携带空SSID的主动扫描过程
被动扫描
如图3所示,STA在每个信道上侦听AP定期发送的Beacon信标帧(信标帧中包含SSID、支持速率等信息),以获取AP的相关信息。
当用户需要节省电量时,可以使用被动扫描。一般VoIP语音终端通常使用被动扫描方式。
图3 被动扫描过程
链路认证阶段
为了保证无线链路的安全,接入过程中AP需要完成对STA的认证。802.11链路定义了两种认证机制:开放系统认证和共享密钥认证。
-
开放系统认证(Open System Authentication):即不认证,任意STA都可以认证成功,如图4所示。
图4 开放系统认证过程
-
共享密钥认证(Shared-key Authentication):STA和AP预先配置相同的共享密钥,AP在链路认证过程验证两边的密钥配置是否相同。如果一致,则认证成功;否则,认证失败。 图5 共享密钥认证过程
如图5所示,共享密钥的认证过程为:- STA向AP发送认证请求(Authentication Request)。
- AP随即生成一个"挑战短语(Challenge)"发给STA。
- STA使用预先设置好的密钥加密"挑战短语"(EncryptedChallenge)并发给AP。
- AP接收到经过加密的"挑战短语",用预先设置好的密钥解密该消息,然后将解密后的"挑战短语"与之前发送给STA的进行比较。如果相同,认证成功;否则,认证失败。
关联阶段
终端关联过程实质上是链路服务协商的过程。完成链路认证后,STA会继续发起链路服务协商,具体的协商通过Association报文实现,敏捷分布Wi-Fi方案架构中关联阶段如图6和图7所示。
图6敏捷分布Wi-Fi方案架构中STA关联过程(中心AP内漫游)
图7敏捷分布Wi-Fi方案架构中STA关联过程(非中心AP内漫游)
- 敏捷分布Wi-Fi方案架构中关联阶段处理过程
- STA向RU发送Association Request请求,请求帧中会携带STA自身的各种参数以及根据服务配置选择的各种参数(主要包括支持的速率、支持的信道、支持的QoS的能力以及选择的接入认证和加密算法)。
- RU收到Association Request请求帧后将其进行CAPWAP封装,并上报中心AP。
- 中心AP检查本地是否有用户表项。
- 如果中心AP本地有用户表项,说明是中心AP内漫游,中心AP进行本地漫游处理,并向RU回应Association Response。
- 如果中心AP本地没有用户表项,说明不是中心AP内漫游,中心AP向AC转发Association Request请求,AC收到关联请求后判断是否需要进行用户的接入认证,并向中心AP回应Association Response。