WLAN定义
WLAN即Wireless LAN(无线局域网),是指通过无线技术构建的无线局域网络。WLAN广义上是指以无线电波、激光、红外线等无线信号来代替有线局域网中的部分或全部传输介质所构成的网络。
WLAN与Wi-Fi的区别
WLAN是计算机网络和无线通信技术 (Wi-Fi)相结合的产物,是有线网络的无线化延伸。
Wi-Fi是一种基于IEEE 802.11标准的无线局域网技术。
1.在日常生活中,常会将Wi-Fi当做802.11的同义词。
2.Wi-Fi也是Wi-Fi联盟制造商的商标,并做为Wi-Fi产品的品牌认证。
3.Wi-Fi联盟成立于1999年,当时的名称叫做Wireless Ethernet Compatibility 4.Alliance(WECA),在2002年10月,正式改名为Wi-Fi Alliance。
也就是说wifi是WLAN(无线局域网)中的一种无线技术,也是一种商标。wifi应包含于WLAN中。
IEEE 802.11标准与Wi-Fi的世代
注:在IEEE 802.11ax标准推出之际,Wi-Fi联盟将新Wi-Fi规格的名字简化为Wi-Fi 6,主流的IEEE 802.11ac改称Wi-Fi 5、IEEE 802.11n改称Wi-Fi 4,其他世代以此类推。
WLAN的基本概念
组网结构
WLAN网络架构分有线侧和无线侧两部分,有线侧是指AP上行到Internet的网络使用以太网协议,无线侧是指STA到AP之间的网络使用802.11协议。
FAT AP (胖AP)架构
这种架构不需要专门的设备集中控制就可以完成无线用户的接入、业务数据的加密和业务数据报文的转发等功能,因此又称为自治式网络架构。
适用范围:家庭
特点:AP独立工作,需要单独配置,功能较为单一,成本低。
缺点:随着WLAN覆盖面积增大,接入用户增多,需要部署的FAT AP数量也会增多,但FAT AP是独立工作的,缺少统一的控制设备,因此管理维护这些FAT AP就十分麻烦。
AC+FIT AP (瘦AP)架构
这种架构中,AC负责WLAN的接入控制、转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制;FIT AP负责802.11报文的加解密、802.11的物理层功能、接受AC的管理等简单功能。
适用范围:大中型企业
特点:AP需要配合AC使用,由AC统一管理和配置,功能丰富,对网络运维人员的技能要求高。
敏捷分布式AP
AP的一种特殊架构,将AP拆分为中心AP和敏分AP两部分,中心AP可管理多台敏分AP,在适用的场景下,成本低,覆盖好。敏捷分布式AP可以用于FAT AP、AC+FIT AP、云管理架构。
适用范围:房间分布密集,墙体结构复杂的场景。
WLAN基本概念
工作站STA (Station):
支持802.11标准的终端设备。例如带无线网卡的电脑、支持WLAN的手机等。
无线接入控制器AC (Access Controller):
在AC+FIT AP网络架构中,AC对无线局域网中的所有FIT AP进行控制和管理。例如,AC可以通过与认证服务器交互信息来为WLAN用户提供认证服务。一般位于整个网络的汇聚层,提供高速、安全、可靠的WLAN业务,相当于交换机。
无线接入点AP (Access Point):
为STA提供基于802.11标准的无线接入服务,起到有线网络和无线网络的桥接作用。
无线接入点控制与规范CAPWAP (Control And Provisioning of Wireless Access Points):
由RFC5415协议定义的,实现AP和AC之间的互通的一个通用封装和传输机制。
射频信号 (无线电磁波):
提供基于802.11标准的WLAN技术的传输介质,是具有远距离传输能力的高频电磁波。在WLAN中指的射频信号是2.4G或5G频段的无线电磁波。
PoE与PoE交换机
PoE(Power over Ethernet,以太网供电)是指通过以太网网络进行供电,也被称为基于局域网的供电系统PoL(Power over LAN)或有源以太网(Active Ethernet)。
在WLAN网络中,可以通过PoE交换机对AP设备进行供电。
通过PoE供电方式,可以有效的解决IP电话、AP、便携设备充电器、刷卡机、摄像头、数据采集等终端的集中式电源供电问题。对于这些终端而言,有了PoE后不再需要考虑其室内电源系统布线的问题,在接入网络的同时就可以实现对设备的供电。
AP-AC组网方式
AP和AC间的组网分为:二层组网和三层组网。
二层组网
AP与AC之间的网络为直连或者二层网络。由于二层组网比较简单,适用于简单临时的组网,能够进行比较快速的组网配置,但不适用于大型组网架构。
三层组网
AP与AC之间的网络为三层网络。在实际组网中,一台AC可以连接几十甚至几百台AP,组网一般比较复杂,在大型组网中一般采用三层组网。
AC连接方式
AC的连接方式分为:直连式组网和旁挂式组网。
直连式组网
直连式组网可以认为AP、AC与上层网络串联在一起,所有数据必须通过AC到达上层网络。直连式组网中AC同时扮演AC和汇聚交换机的功能,AP的数据业务和管理业务都由AC集中转发和处理。
采用这种组网方式,对AC的吞吐量以及处理数据能力比较高。
旁挂式组网
旁挂式组网,AC旁挂在AP与上行网络的直连网络中,不再直接连接AP,AP的业务数据可以不经AC而直接到达上行网络 。
而采用旁挂式组网就比较容易进行扩展,只需将AC旁挂在现有网络中,比如旁挂在汇聚交换机上,就可以对终端AP进行管理。
CAPWAP协议
定义:CAPWAP(Control And Provisioning of Wireless Access Points Protocol Specification,无线接入点控制和配置协议):该协议定义了如何对AP进行管理、业务配置,即AC通过CAPWAP隧道来实现对AP的集中管理和控制。
功能:
AP与AC间的状态维护。
AC通过CAPWAP隧道对AP进行管理、业务配置下发。
当采用隧道转发模式时,AP将STA发出的数据通过CAPWAP隧道实现与AC之间的交互。
CAPWAP是基于UDP进行传输的应用层协议。
CAPWAP协议在传输层运输两种类型的消息:
业务数据流量,封装转发无线数据帧 。——通过CAPWAP数据隧道。
管理流量,管理AP和AC之间交换的管理消息 。——通过CAPWAP控制隧道。
CAPWAP数据和控制报文基于不同的UDP端口发送:
管理流量端口为UDP端口5246。
业务数据流量端口为UDP端口5247。
无线电磁波
WLAN技术就是通过无线电磁波在空间中传输信息。当前我们使用的频段是:
2.4GHz频段 (2.4GHz~2.4835GHz);
5GHz频段(5.15GHz~5.35GHz,5.725GHz~5.85GHz)。
无线信道
信道是传输信息的通道,无线信道就是空间中的无线电磁波。无线电磁波无处不在,如果随意使用频谱资源,那将带来无穷无尽的干扰问题,所以无线通信协议除了要定义出允许使用的频段,还要精确划分出频率范围,每个频率范围就是信道。
BSS/SSID/BSSID
基本服务集BSS (Basic Service Set):
一个AP所覆盖的范围。
在一个BSS的服务区域内,STA可以相互通信。
基本服务集标识符BSSID (Basic Service SetIdentifier):
是无线网络的一个身份标识,用AP的MAC地址表示。
服务集标识符SSID (Service Set Identifier):
是无线网络的一个身份标识,用字符串表示。
为了便于用户辨识不同的无线网络,用SSID代替BSSID
VAP
早期的AP只支持1个BSS,如果要在同一空间内部署多个BSS,则需要安放多个AP,这不但增加了成本,还占用了信道资源。为了改善这种状况,现在的AP通常支持创建出多个虚拟AP (Virtual Access Point, VAP)。
虚拟接入点VAP:
VAP就是在一个物理实体AP上虚拟出的多个AP。每一个被虚拟出的AP就是一个VAP。每个VAP提供和物理实体AP一样的功能。
每个VAP对应1个BSS。这样1个AP,就可以提供多个BSS,可以再为这些BSS,设置不同的SSID。
ESS
为了满足实际业务的需求,需要对BSS的覆盖范围进行扩展。同时用户从一个BSS移动到另一个BSS时,不能感知到SSID的变化,则可以通过扩展服务集ESS实现。
扩展服务集ESS (Extend Service Set):
由多个使用相同SSID的BSS组成,是采用相同的SSID的多个BSS组成的更大规模的虚拟BSS。
WLAN漫游:
指STA在同属一个ESS的不同AP的覆盖范围之间移动且保持用户业务不中断的行为。
WLAN网络的最大优势就是STA不受物理介质的影响,可以在WLAN覆盖范围内四处移动并且能够保持业务不中断。同一个ESS内包含多个AP设备,当STA从一个AP覆盖区域移动到另
外一个AP覆盖区域时,利用WLAN漫游技术可以实现STA用户业务的平滑切换。
WLAN工作原理
WLAN工作流程
AP上线
FIT AP需完成上线过程,AC才能实现对AP的集中管理和控制,以及业务下发。AP的上线过程包括如下步骤:
1.AP获取IP地址
AP必须获得IP地址才能够与AC通信,WLAN网络才能够正常工作。
AP获取IP地址的方式包括以下:
静态方式:登录到AP设备上手工配置IP地址。
DHCP方式:通过配置DHCP服务器,使AP作为DHCP客户端向DHCP服务器请求IP地址。
典型方案:
部署专门的DHCP Server为AP分配IP地址。
使用AC的DHCP服务为AP分配IP地址。
使用网络中的设备,例如核心交换机为AP分配IP地址。
2.CAPWAP隧道建立
AC通过CAPWAP隧道来实现对AP的集中管理和控制。
Step1:Discovery阶段(AP发现AC阶段)
AP通过发送Discovery Request报文,找到可用的AC。
AP发现AC有两种方式:
静态方式:AP上预先配置AC的静态IP地址列表。
动态方式:DHCP方式、DNS方式和广播方式。
AP动态发现AC
DHCP方式:
通过DHCP的四步交互过程,获取AC的IP地址:
在没有预配置AC的IP列表时,则启动AP动态AC发现机制。通过DHCP获取IP地址,并通过DHCP协议中的Option返回AC地址列表(在DHCP服务器上配置DHCP响应报文中携带Option 43,且Option 43携带AC的IP地址列表)。
首先是AP发送DHCP Discover广播报文,请求DHCP Server响应,在DHCP服务器侦听到DHCP Discover报文后,它会从没有租约的地址范围中,选择最前面的闲置IP,连同其他TCP/IP设定,响应AP一个DHCP Offer报文,该报文中会包含一个租约期限的信息。
由于DHCP Offer报文既可以是单播报文,也可以是广播报文,当AP端收到多台DHCP Server的响应时,只会挑选其中一个Offer(通常是最先抵达的那个),然后向网络中发送一个DHCP Request广播报文,告诉所有的Offer,并重新发送DHCP,将指定接收哪一台服务器提供的IP地址。
当DHCP Server接收到AP的Request报文之后,会向AP发送一个DHCP Ack响应,该报文中携带的信息包括了AP的IP地址,租约期限,网关信息,以及DNS Server IP等,以此确定租约的正式生效,就此完成DHCP的四步交互工作。
通过AC发现机制,与AC关联:
AP通过DHCP服务获取AC的IP地址后,使用AC发现机制来获知哪些AC是可用的,决定与最佳AC来建立CAPWAP的连接。
AP启动CAPWAP协议的发现机制,以单播或广播的形式发送发现请求报文试图关联AC,AC收到AP的Discovery Request以后,会发送一个单播Discover Response 给AP,AP可以通过Discover Response中所带的AC优先级或者AC上当前AP的个数等,确定与哪个AC建立会话。
广播方式:
当AP启动后,如果DHCP方式和DNS方式均未获得AC的IP或AP发出发现请求报文后未收到响应,则AP启动广播发现流程,以广播包方式发出发现请求报文。
接收到发现请求报文的AC检查该AP是否有接入本机的权限(已经授权的MAC地址或者序列号),如果有则发回响应。如果该AP没有接入权限,AC则拒绝请求。广播发现方式只适用于AC/AP间为二层可达的网络场景。
Step2:建立CAPWAP隧道阶段
AP与AC关联,完成CAPWAP隧道建立。包括数据隧道和控制隧道:
数据隧道:AP接收的业务数据报文经过CAPWAP数据隧道集中到AC上转发。
控制隧道:通过CAPWAP控制隧道实现AP与AC之间的管理报文的交互。
数据隧道:AP接收的业务数据报文经过CAPWAP数据隧道集中到AC上转发。同时还可以选择对数据隧道进行数据传输层安全DTLS(Datagram Transport Layer Security)加密,使能DTLS加密功能后,CAPWAP数据报文都会经过DTLS加解密。
控制隧道:通过CAPWAP控制隧道实现AP与AC之间的管理报文的交互。同时还可以选择对控制隧道进行数据传输层安全DTLS加密,使能DTLS加密功能后,CAPWAP控制报文都会经过DTLS加解密
AP接入控制
AP发现AC后,会发送Join Request报文。AC收到后会判断是否允许该AP接入,并响应Join
Response报文。
AC上支持三种对AP的认证方式:MAC认证、序列号(SN)认证和不认证。
AC上添加AP的方式有三种:
离线导入AP:预先配置AP的MAC地址和SN,当AP与AC连接时,如果AC发现AP和预先增加的AP的MAC地址和SN匹配,则AC开始与AP建立连接。
自动发现AP:当配置AP的认证模式为不认证或配置AP的认证模式为MAC或SN认证且将AP
加入AP白名单中,则当AP与AC连接时,AP将被AC自动发现并正常上线。
手工确认未认证列表中的AP:当配置AP的认证模式为MAC或SN认证,但AP没有离线导入且不在已设置的AP白名单中,则该AP会被记录到未授权的AP列表中。需要用户手工确认
后,此AP才能正常上线。
AP版本升级
AP根据收到的Join Response报文中的参数判断当前的系统软件版本是否与AC上指定的一致。如果不一致,则AP通过发送Image Data Request报文请求软件版本,然后进行版本升级,升级方式包括AC模式、FTP模式和SFTP模式。
AP在软件版本更新完成后重新启动,重复进行前面三个步骤。
CAPWAP隧道维持
数据隧道维持:
AP与AC之间交互Keepalive报文(UDP端口号为5247)来检测数据隧道的连通状态。
控制隧道维持:
AP与AC交互Echo报文(UDP端口号为5246)来检测控制隧道的连通状态。
为确保AP能够上线,AC需预先配置如下内容
域管理模板:
域管理模板提供对AP的国家码、调优信道集合和调优带宽等的配置。
国家码用来标识AP射频所在的国家,不同国家码规定了不同的AP射频特性,包括AP的发送功率、支持的信道等。配置国家码是为了使AP的射频特性符合不同国家或区域的法律法规要求。
配置AC的源接口或源地址:
每台AC都必须唯一指定一个IP地址、VLANIF接口或者Loopback接口,该AC设备下挂接的AP学习到此IP地址或者此接口下配置的IP地址,用于AC和AP间的通信。此IP地址或者接口称为源地址或源接口。
只有为每台AC指定唯一一个源接口或源地址,AP才能与AC建立CAPWAP隧道。设备支持使用VLANIF接口或Loopback接口作为源接口,支持使用VLANIF接口或Loopback接口下的IP地址作为源地址。
添加AP设备:即配置AP认证模式,AP上线。
添加AP有三种方式:离线导入AP、自动发现AP以及手工确认未认证列表中的AP。
WLAN业务配置下发
AC向AP发送Configuration Update Request请求消息,AP回应Configuration Update Response消息,AC再将AP的业务配置信息下发给AP。
WLAN业务相关配置-配置射频
WLAN业务相关配置-配置射频
STA接入
CAPWAP隧道建立完成后,用户就可以接入无线网络。
STA接入过程分为六个阶段:扫描阶段、链路认证阶段、关联阶段、接入认证阶段、DHCP、用户认证。
1.扫描
STA可以通过主动扫描,定期搜索周围的无线网络,获取到周围的无线网络信息。
根据Probe Request帧(探测请求帧)是否携带SSID,可以将主动扫描分为两种:
主动扫描:
携带有指定SSID的主动扫描方式:适用于STA通过主动扫描接入指定的无线网络。
携带空SSID的主动扫描方式:适用于STA通过主动扫描可以获知是否存在可使用的无线服务。
被动扫描:
STA也支持被动扫描搜索无线网络。
被动扫描是指客户端通过侦听AP定期发送的Beacon帧(信标帧,包含:SSID、支持速率等信息)发现周围的无线网络,缺省状态下AP发送Beacon帧的周期为100TUs(1TU=1024us)。
2.链路认证
为了保证无线链路的安全,接入过程中AP需要完成对STA的认证。
802.11链路定义了两种认证机制:开放系统认证和共享密钥认证。
认证过程:
1.STA向AP发送认证请求(Authentication Request)。
2.AP随即生成一个“挑战短语(Challenge)”发给STA。
3.STA使用预先设置好的密钥加密“挑战短语”(EncryptedChallenge)并发给AP。
4.AP接收到经过加密的“挑战短语”,用预先设置好的密钥解密该消息,然后将解密后的“挑战短语”与之前发送给STA的进行比较。如果相同,认证成功;否则,认证失败。
3.关联
完成链路认证后,STA会继续发起链路服务协商,具体的协商通过Association报文实现。
终端关联过程实质上就是链路服务协商的过程,协商内容包括:支持的速率、信道等。
瘦接入点(FIT AP)架构中关联阶段处理过程:
1.STA向AP发送Association Request请求,请求帧中会携带STA自身的各种参数以及根据服务配置选择的各种参数(主要包括支持的速率、支持的信道、支持的QoS的能力等)。
2.AP收到Association Request请求帧后将其进行CAPWAP封装,并上报AC。
3.AC收到关联请求后判断是否需要进行用户的接入认证,并回应Association Response。
4.AP收到Association Response后将其进行CAPWAP解封装,并发给STA。
4.接入认证
接入认证即对用户进行区分,并在用户访问网络之前限制其访问权限。相对于链路认证,接入认证安全性更高。
主要包含:PSK认证和802.1X认证。
数据加密:
除了用户接入认证外,对数据报文还需要使用加密的方式来保证数据安全,也是在接入认证阶段完成的。数据报文经过加密后,只有持有密钥的特定设备才可以对收到的报文进行解密,其他设备即使收到了报文,也因没有对应的密钥,无法对数据报文进行解密。
无线接入安全协议
WLAN技术是以无线射频信号作为业务数据的传输介质,这种开放的信道使攻击者很容易对无线信道中传输的业务数据进行窃听和篡改。因此,安全性成为阻碍WLAN技术发展的最重要因素。
常用认证方式:
5.DHCP
STA获取到自身的IP地址,是STA正常上线的前提条件。
如果STA是通过DHCP方式获取IP地址,可以用AC设备或汇聚交换机作为DHCP服务器为STA分配IP地址。一般情况下使用汇聚交换机作为DHCP服务器。
6.用户认证
用户认证是一种“端到端”的安全结构,包括:802.1X认证、MAC认证和PoR1l认证。
也称Web认证,一般将PoR1l认证网站称为门户网站。
用户上网时,必须在门户网站进行认证。只有认证通过后才可以使用网络资源。
PoR1l认证
也称Web认证,一般将PoR1l认证网站称为门户网站。
用户上网时,必须在门户网站进行认证。只有认证通过后才可以使用网络资源。
WLAN业务数据转发
CAPWAP中的数据包括控制报文(管理报文)和数据报文。
控制报文是通过CAPWAP的控制隧道转发的;
用户的数据报文分为隧道转发(又称为“集中转发”)方式和直接转发(又称为“本地转发”)方式。
隧道转发方式:
优点:AC集中转发数据报文,安全性好,方便集中管理和控制。
缺点:业务数据必须经过AC转发,报文转发效率比直接转发方式低,AC所受压力大。
直接转发方式:
优点:数据报文不需要经过AC转发,报文转发效率高,AC所受压力小。
缺点:业务数据不便于集中管理和控制。
思维导图