资源简介

(共46张PPT)
项目2 校园WLAN组建
无线无形 信息随身
无线局域网技术与实践项目教程（中职）
目录
FIT AP+AC组网技术
1
2
CAPWAP协议
无线局域网技术与实践项目教程
01
FIT AP+AC组网技术
胖AP除无线接入功能外，一般具备WAN、LAN两个接口，多支持DHCP服务器、DNS和MAC地址克隆，以及VPN接入、防火墙等安全功能
FAT AP
STA
STA
FAT AP
天线
802.11a/b/g/n/ac
加密
802.1X认证，802.11e Qos
网管，二层漫游，安全
胖AP
1
FIT AP+AC连接方式
瘦AP是“代表自身不能单独配置或者使用的无线AP产品，这种产品仅仅是一个WLAN系统的一部分，负责管理安装和操作”
瘦AP
1
FIT AP+AC连接方式
FIT AP
AC
FIT AP
IP网络
天线
802.11a/b/g/n/ac
加密
无线欺骗防护 用户防火墙
AP点监测 RF管理
无线客户端管理
802.1X认证，802.11e Qos
网管，二层漫游，安全
FAT AP和FIT AP+AC的比较
比较项 FAT AP FIT AP+AC
应用场景 覆盖面积小、用户数不多，家庭或小型企业 覆盖面积大、用户数多，中大型企业
组网成本 AP成本较低 有AC成本
安全性 AP独立认证和加密，安全性不高 AC集中认证，统一安全策略，安全性较高
兼容性 不存在兼容性问题 AC和AP间为私有协议，存在厂商兼容性问题
网络管理 AP独立组网，承担网络管理功能 AP零配置，AC对AP下发配置
业务能力 仅支持简单数据接入，支持二层漫游 可扩展语音等业务，通过AC增强业务QoS、安全等功能，支持二层和三层漫游
1
FIT AP+AC连接方式
1
FIT AP+AC连接方式
二层网络连接模式
AP和AC同属于一个二层广播域，AP和AC之间通过二层交换机互联。这种组网方式配置和管理方便，适用于网络规模小、结构简单的小型企业组网场景，但不适用于中大型企业复杂的网络架构
三层网络连接模式
当FIT AP与AC之间通过三层网络互连时，称为三层组网。采用三层组网方式时，FIT AP与AC分属于不同的IP网段，需要使用路由器或三层交换机才能完成通信
1
FIT AP+AC连接方式
直连式组网
在直连式组网拓扑中，AC同时承担AP管理功能和汇聚交换机数据转发功能。AC与原有的有线网络串联在一起，无线网络中的所有管理报文和业务报文都要经过AC转发和处理
1
FIT AP+AC连接方式
旁挂式组网
旁挂式组网是指AC旁挂在AP的上行网络上，一般是旁挂在上行网络的汇聚层交换机上。在实际组网中，无线网络往往是在有线网络部署完成之后组建的。采用旁挂式组网方式可以较少地改动有线网络结构
1
FIT AP+AC连接方式
云管理架构
2
云管理架构
传统的网络解决方案存在部署成本高，运维困难等问题。对于无线站点数量多、地域分散的大型企业，这些问题尤为明显
采用云管理架构时，当云AP安装完成并上电后，会自动连接到云管理平台并下载指定的配置文件、软件包和补丁文件等系统文件
引入云管理平台，能够实现在任意地点对设备进行集中管理和维护，大大降低网络部署和运维成本
Leader AP架构
3
Leader AP架构
Leader AP架构中只包含AP，其中有一台AP是Leader AP，负责管理其他AP，在功能上和AC非常类似，提供基于CAPWAP隧道的统一管理
Leader AP在网络中广播自己的角色，其他AP发现该Leader AP后以FIT AP模式与其建立连接以实现二层互通
网络管理员只要登录Leader AP，在Leader AP上配置无线网络
02
CAPWAP协议
CAPWAP背景
1
CAPWAP概述
在传统的FAT AP组网模式中，AP独立工作，集成了射频信号收发、网络管理等功能。在FIT AP+AC组网模式中，AP和AC配合工作，因此需要制定配套的通信协议规范双方的通信行为
IETF成立了CAPWAP（Control And Provisioning of Wireless Access Points）工作组，研究大规模WLAN的解决方案，以实现各个厂家控制器与AP间的互通
CAPWAP起源
1
CAPWAP概述
SLAPP
CTP
WiCoP
CAPWAP
LWAPP
LWAPP具有完整的协议框架，定义了详细的报文结构及多方面的控制消息元素，但全新制定的安全机制还需实践验证
SLAPP使用业界认可的DTLS技术是其亮点
CTP和WiCoP实现了集中式WLAN体系结构的基本要求，但考虑不够全面，特别是安全性方面有所欠缺
CAPWAP起源
1
CAPWAP概述
协议名称 LWAPP SLAPP CTP WiCoP
标准 RFC5412 RFC5413 draft-singh-capwap-ctp RFC5414
协议全称 Light Weight Access Point Protocol Secure Light Access Point Protocol CAPWAP Tunneling Protocol Wireless LAN Control Protocol
提出厂家 Cisco - AirSpace Aruba Siemens - Chantry Panasonic
协议特点 全面的描述了AC发现、安全和系统管理方法，支持本地MAC和分离MAC机制。两者连接采用2层或3层连接，2层连接使用以太网帧传输，3层连接使用UDP传输LWAPP报文 支持桥接和隧道两种本地MAC机制。支持直连、2层和3层三种连接方式。使用成熟的技术标准来建立通信隧道，数据信道使用GRE技术 利用扩展的SNMP对WTP进行配置和管理。CTP的控制消息着重于STA连接状态、WTP配置和状态几方面 定义了包括无线终端-AC性能协商功能在内的AC发现机制，定义了QoS参数
加密情况 信令 – AES-CCM
数据 – 没有加密 信令 – DTLS 数据 – DTLS 建立了AP与无线终端互相认证及一套基于AES-CCM的加密规则，但是并不完善 协议建议使用IPsec和EAP安全标准，却并未详细说明实现方法
CAPWAP作用
1
CAPWAP概述
CAPWAP（无线接入点控制和配置协议），用于AP和AC之间的通信交互，实现AC对其所关联的AP的集中管理和控制
CAPWAP协议包含的主要内容有：
AP对AC的自动发现及AP&AC的状态机运行、维护
AC对AP进行管理、业务配置下发
STA数据封装CAPWAP隧道进行转发
管理报文和业务报文
2
CAPWAP报文
报文类型 用于 UDP端口 加密
管理报文 管理AP 5246 大部分是密文
业务报文 转发用户业务数据 5247 大部分是明文
控制通道和数据通道
3
CAPWAP隧道
所谓的CAPWAP隧道，其实就是为报文添加一个CAPWAP协议定义的报文头，或者说使用CAPWAP协议对报文进行封装
传输管理报文的通道称为控制通道或管理通道，传输业务报文的通道称为数据通道或业务通道
CAPWAP
隧道建立过程
4
建立CAPWAP隧道
Discovery
Offer
Request
Ack
Discover Request
Discover Response
DTLS
Join Request
Join Response
Image Data
Configuration Status Request
Configuration Status Response
Change State Event Request
Change State Event Response
Keepalive
Keepalive
Echo Request
Echo Response
DHCP
Discovery
DTLS Connect
Join
Image Data
Configure
Data Check
Run
Run
Discovery
DTLS Connect
Join
Image Data
Configure
Data Check
Run
Run
AP
DHCP Server
AC
CAPWAP隧道建立－DHCP
4
建立CAPWAP隧道
AP
DHCP Server
AC
Discovery
Offer
Request
Ack
在FIT AP+AC组网模式中，AP一般都是零配置启动。通常的做法是使用DHCP服务器为AP动态分配IP地址。可以在AC或核心交换机上配置DHCP服务
DHCP
CAPWAP隧道建立 - Discovery
4
建立CAPWAP隧道
AP以单播或广播的形式发送一个发现请求报文尝试关联AC。AC收到AP的发现请求报文后，发送一个单播发现响应报文给AP。播发现响应报文携带了AC的优先级或AC当前关联的AP的数量等信息，AP根据这些信息决定与哪个AC建立连接
AP
DHCP Server
AC
Discovery Request
Discovery Response
Discovery
CAPWAP隧道建立 - DTLS (可选)
4
建立CAPWAP隧道
Discovery Response报文还指示是否需要采用DTLS加密传输CAPWAP隧道中的UDP报文。如果需要加密的话，AP与AC会协商DTLS加密参数
AP
DHCP Server
AC
DTLS
DTLS
DTLS
CAPWAP隧道建立 - Join
4
建立CAPWAP隧道
在AC与AP完成DTLS握手后，AP发送Join Request报文请求与AC建立控制通道，AC判断是否允许AP接入，然后发送Join Response报文予以响应
Join Request
Join Response
AP
DHCP Server
AC
Join
CAPWAP隧道建立 - Image Data (可选)
4
建立CAPWAP隧道
AP根据Join Response报文中指定的AP版本检查自身的版本。如果AP当前的版本无法满足AC的版本要求，AP直接进入Image Data状态准备进行版本升级
Image Data Request
Image Data Response
Image Data
AP
DHCP Server
AC
CAPWAP隧道建立 - Configure
4
建立CAPWAP隧道
如果AP当前的版本与AC指定的版本一致，AP直接进入Configuration状态，这是AC检查AP配置和下发配置的过程
Configuration Status Request
Configuration Status Response
AP
DHCP Server
AC
Configure
CAPWAP隧道建立 - Data Check
4
建立CAPWAP隧道
Configuration阶段完成后，AP发送Change State Event Request信息，其中包含了射频，错误码、配置信息等，当AC接收到该信息后，开始回应change state event response 。Data Check完成后，标志控制隧道建立完成，开始进入Run状态
Change State Event Request
Change State Event Response
AP
DHCP Server
AC
Data Check
CAPWAP隧道建立 - - Run (Data)
4
建立CAPWAP隧道
AP向AC发送数据心跳报文keepalive，AC收到Keepalive报文后表示数据隧道已建立。AC回应Keepalive报文，AP进入normal状态，开始正常工作
Keepalive
Keepalive
AP
AC
Run
CAPWAP隧道建立 - - Run (Control)
4
建立CAPWAP隧道
AP进入Run状态后，同时向AC发送控制心跳报文Echo Request，表示已建立好CAPWAP控制隧道并启动隧道超时定时器以检测控制隧道的状态。AC收到Echo Request后，向AP回应Echo Response报文，同时也启动隧道超时定时器
Echo Request
Echo Response
AP
DHCP Server
AC
Control
管理报文传输路径
5
CAPWAP转发方式
管理报文只在AC与AP之间交换，而且必须封装在CAPWAP控制通道中传输，到达AC即终止
业务报文－直接转发
5
CAPWAP转发方式
业务报文到达AP后不经过CAPWAP封装直接转发到上行网络。业务报文在AP上完成从无线报文到有线报文的转换，然后通过AP的上行交换机转发到上行网络
业务报文－隧道转发
5
CAPWAP转发方式
业务报文在AP上进行CAPWAP封装，然后经CAPWAP数据通道传输到AC。AC对其解封装后转发至上行网络。AC不但对AP进行管理，还作为用户数据流量的转发中枢
两种转发方式对比
5
CAPWAP转发方式
转发方式 优点 缺点
直接转发 AC所受压力小 转发效率高 方便故障定位 业务数据不需要经过AC转发 报文不需要经过多次封装解封装 安全性不够
中间网络可以解析出用户报文
中间网络需要透传业务VLAN
增加了AC与AP间二层网络的维护工作量
业务数据不便于集中管理和控制
隧道转发 安全性高 AC集中转发数据报文 方便集中管理和控制 经过DTLS加密，中间网络不易解析出用户报文内容 AC和AP之间只需透传管理VLAN配置简单 不利于故障定位
业务数据必须经过AC转发
数据报文需要封装CAPWAP隧道报头
AC所受压力大
转发效率较直接转发低
管理VLAN
6
WLAN中的VLAN应用
PC1
PC2
AP1
AP2
Switch
AC
管理VLAN
管理VLAN
管理VLAN
管理VLAN主要是用来传送AC与AP之间的管理数据
业务VLAN
6
WLAN中的VLAN应用
业务VLAN主要负责传送WLAN用户上网时的数据
PC1
PC2
AP1
AP2
Switch
AC
业务VLAN1
业务VLAN2
业务VLAN1
业务VLAN2
管理VLAN
管理VLAN
用户VLAN
6
WLAN中的VLAN应用
用户VLAN是指基于用户权限的VLAN
PC1
PC2
AP1
AP2
Switch
AC
授权VLAN
Guest VLAN
授权VLAN
Guest VLAN
管理VLAN
管理VLAN
管理报文传输过程
7
报文传输流程
管理报文必须封装在CAPWAP隧道中传输，因此管理报文只有隧道转发一种方式
业务报文直接转发
7
报文传输流程
业务报文隧道转发
7
报文传输流程
直连式组网
8
报文转发示例
Switch
Router
AC
Mobile PC
Mobile PC
AP
AP
AP VLAN 11
IP 10.1.11.101
Switch
Router
AC
Mobile PC
IP 10.1.101.51
AC IP
VLAN 11 10.1.11.100 management VLAN
VLAN 101 10.1.101.100 service VLAN
VLAN 102 10.1.102.1 00 service VLAN
AP VLAN 11
IP 10.1.11.102
SSID: HW101
Service VLAN 101
Mobile PC
IP 10.1.101.52
Switch IP
VLAN 101 10.1.101.1 Gateway
VLAN 102 10.1.102.1 Gateway
Dot1q 101 102
Dot1q 11 101 102
CAPWAP
DA SA dot1q SIP DIP DATA FCS
Gw MAC Pc MAC VLAN 101 10.1.101.51 10.1.101.1 abcdefg FCS
离开AP时的数据帧
数据报文
控制报文
直连式组网 - 直接转发
8
报文转发示例
直连式组网 - 隧道转发
AP VLAN 11
IP 10.1.11.101
Switch
Router
AC
Mobile PC
IP 10.1.101.51
AC IP
VLAN 11 10.1.11.100 management VLAN
VLAN 101 10.1.101.100 service VLAN
VLAN 102 10.1.102.1 00 service VLAN
AP VLAN 11
IP 10.1.11.102
SSID: HW101
Service VLAN 101
Mobile PC
IP 10.1.101.52
Switch IP
VLAN 101 10.1.101.1 Gateway
VLAN 102 10.1.102.1 Gateway
Dot1q 101 102
Access VLAN 11
CAPWAP
DA SA dot1q SIP DIP DATA FCS
AC MAC AP MAC NULL 10.1.11.101 10.1.11.100 CAPWAP user data FCS
离开AP时的数据帧
CAPWAP封装
的数据报文
数据报文
控制报文
8
报文转发示例
旁挂式组网
AP
Switch
Router
AC
AP
Mobile PC
Mobile PC
8
报文转发示例
旁挂式组网 - 直接转发
Router
A C IP
VLAN 11 10.1.11.100 management VLAN
VLAN 101 10.1.101.100 service VLAN
VLAN 102 10.1.102.1 00 service VLAN
Switch IP
VLAN 101 10.1.101.1 Gateway
VLAN 102 10.1.102.1 Gateway
Mobile PC
IP 10.1.101.51
Mobile PC
IP 10.1.101.52
SSID: HW101
Service VLAN 101
AP VLAN 11
IP 10.1.11.101
AP VLAN 11
IP 10.1.11.102
DA SA dot1q SIP DIP DATA FCS
Gw MAC Pc MAC VLAN 101 10.1.101.51 10.1.101.1 abcdefg FCS
离开AP时的数据帧
CAPWAP
数据报文
控制报文
Dot1q 11 101 102
8
报文转发示例
旁挂式组网 - 隧道转发
Router
AC IP
VLAN 11 10.1.11.100 management VLAN
VLAN 101 10.1.101.100 service VLAN
VLAN 102 10.1.102.1 00 service VLAN
Switch IP
VLAN 101 10.1.101.1 Gateway
VLAN 102 10.1.102.1 Gateway
Mobile PC
IP 10.1.101.51
Mobile PC
IP 10.1.101.52
SSID: HW101
Service VLAN 101
AP VLAN 11
IP 10.1.11.101
AP VLAN 11
IP 10.1.11.102
离开AP时的数据帧
DA SA dot1q SIP DIP DATA FCS
AC MAC AP MAC NULL 10.1.11.101 10.1.11.100 CAPWAP user data FCS
CAPWAP
数据报文
控制报文
Access VLAN 11
8
报文转发示例
无线无形 信息随身
谢谢

展开更多......

收起↑