《ap与ac知识介绍》由会员分享,可在线阅读,更多相关《ap与ac知识介绍(16页珍藏版)》请在金锄头文库上搜索。
1、AP与AC知识介绍,SignalSky 2010年12月11号,提纲,基本概念 WLAN演进 AP与AC通讯 CAPWAP协议,基本概念: AP,无线接入点(AP): 电信级无线覆盖设备 相当于一个连接有线网和无线网的桥梁 其主要作用是将各个无线网络客户端连接到一起,实现大范围、多用户的无线接入 根据应用场景不同,AP通常可分为室内型和室外型 室内环境下覆盖范围通常在30米100米,室外环境最大覆盖范围可达到800米,基本概念: AC,接入控制器(AC): 无线局域网接入控制设备 负责将来自不同AP的数据进行汇聚并接入Internet 同时完成AP设备的配置管理和无线用户的认证、管理,以及带宽
2、、访问、切换、安全等控制功能。 AC强大的管理和控制功能,能够构建出个性化、专业化的WLAN解决方案。,基本概念:瘦AP,“瘦”AP:无线接入点也称无线网桥、无线网关。 此无线设备的传输机制相当于有线网络中的集线器 在无线局 域网中不停地接收和传送数据; 任何一台装有无线网卡的PC均可通过AP来分享有线局域网络甚至广域网络的资源。 理论上,当网络中增加一个无线AP之后,即 可成倍地扩展网络覆盖直径;还可使网络中容纳更多的网络设备。 每个无线AP基本上都拥有一个以太网接口,用于实现无线与有线的连接。,基本概念:胖AP,胖AP:其学名应该称之为无线路由器。 一般具备WAN、LAN两个接口,多支持D
3、HCP服务器、DNS和MAC地址克隆,以及VPN接入、防火墙等安全功能。,基本概念:胖瘦AP比较,有些生产商用瘦AP代表只有少数先进功能的入门级/住宅级别产品。与之相对,胖AP拥有很多企业网络功能,如标识和基于SNMP管理等。 有些生产商使用瘦AP代表自身不能单独配置或者使用的AP产品,这种产品仅仅是一个WLAN交换系统的一部分,负责管理安装和操作。在这种情况下,胖AP就是任意的独立AP,无论这个AP的功能集是什么样的。 有些生产商则使用瘦AP代表那些将一些选定的任务交托给上层服务器的产品,这些任务例如与一个802.1X认证服务器通讯,产生一个加密密钥,作为一个VPN的网关,或者针对跨网络移动
4、性进行重新路由,这些功能都可以由一个胖AP执行,而不需要交托给上层的服务器。,WLAN演进:胖AP到瘦AP,最早的WLAN设备,将多种功能集为一身,如:物理层、链路层、用户数据加密、用户的认证、QoS、安全策略、用户 的管理及其他应用层功能集为一体,传统将这类WLAN设备俗称为“胖”AP。 “胖”AP的特点是配置灵活、安装简单、性价比高,但AP之间相互独立,无法适合用户密度高、多个AP连续覆盖等环境复杂的场所。 为此产生集中控制型AC+AP设备,通过集中控制器AC和轻量级AP配合,实现“胖”AP设备的功能。其中,轻量级AP只保留物理链路层和 MAC功能,提供可靠、高性能的射频管理,包括802.
5、11协议的无线连接;集中控制器AC集中所有的上层功能,包括安全、控制和管理等功能,与传统的 AP相比,轻量级AP实现的功能大大减弱,故俗称为“瘦”AP。,WLAN演进:协议与分类,轻量级AP与集中控制器AC之间是通过隧道来传输控制信令和用户业务数据。由于集中控制型AC+AP架构的国际标准(CAPWAP协议)出现的比较迟,因此 各厂家的隧道均是私有协议,不同厂家设备之间不能互通。在实际应用中,建议一个区域只用一个厂家的集中控制型AC+AP设备。 从WLAN设备的实现方式来看,WLAN设备可分为三类:桥接型WLAN设备、路由型WLAN设备、集中控制型WLAN设备。 从WLAN设备的应用环境来看,W
6、LAN设备可分为室内型WLAN设备和室外型WLAN设备,依据应用方式和发射功率又可将这室内型和室外型WLAN设备进一步作如下细分:,WLAN演进: AC+AP架构优势,总体而言,集中控制型AC+AP架构,其最大的优点在于管理简单化 WLAN设备的网管平台只需管理集中控制器AC,就可间接地管理到轻量级AP,这大大 减轻后台(如网管平台)的压力。 当使用基于WAPI技术的WLAN网络安全策略,当数字证书安装在“胖”AP上,由于“胖”AP数量众多,所发起的众多的 认证报文Session数会对认证服务器产生很大压力;而采用“瘦”AP时,数字证书安装在AC上,由于AC数量较少,因此AC发起的认证报文 S
7、ession数大大少于“胖”AP发起的认证报文Session数,因此大大减轻WAPI认证服务器的压力; 同时,“胖”AP是部署在公共场所,一般用 户都有可能接触到AP设备,而AC设备是部署在机房,一般用户不可能接触到AC设备,AC作为统一的认证点,将安全的管理和控制集中,因此安装在AC上的 设备证书比安装在“胖”AP设备上的数字证书更安全。,AP与AC通讯,无线交换机系统由无线交换机与瘦AP组成,用户只要通过配置无线交换机就可以达到配置所有AP的目的。把无线交换机比作一个AP,那么瘦AP就像他的天线一样分布在各个位置。 无线交换机与瘦AP的数据交互类型有两种:1)控制报文数据,目前有LWAPP
8、、SLAPP、CAPWAP、WiCoP 等协议,一般分为client与server两个进程来传, 采用TCP连接,用来配置AP的参数与获得瘦AP的信息。2)数据报文数据,由内核隧道模块发送,采用UDP连接,用来转发从无线交换机WAN端进来的报文与从瘦AP无线端进来的报文,AP与AC通讯:数据传输过程,有STA连上瘦AP要访问外网时:STA发送出的数据报文首先会到达瘦AP的无线端口瘦AP会将报文进行重新封装然后发送到无线交换机的接受线程中去无线交换机收到的数据报文进行解封装然后发送到AC所连接的外网中去 在AC从外网收到数据时,也会经过上面一样的过程。,AP与AC通讯:瘦AP启动过程,第一步.
9、AP从AC或者DHCP Server那里获取一个IP地址。既然AP是一个无线信号接入点,是一个网络设备,要在LAN中进行正常的数据传送,比如需要一个合法的IP地址。为此在启动的时候,瘦AP需要从DHCP服务器中获得一个合法的IP地址。 第二步. 与AC建立联系。瘦AP启动的过程中,会通过广播的方式获取AC下发的IP地址,从此把AP与AC绑定在一起。 第三步. 策略代码的比较与更新。AP在绑定了AC之后,就会把其代码印象版本与本地版本进行比较。如果在连接之前,AC中的某些策略发生了变更,则AP将会从AC中下载并启用最新的印象代码,也就是我们说的模板。不过要生效的话,瘦AP必须重启。 第四步. 隧
10、道的建立。当以上三个步骤完成之后,瘦AP与无线控制器之间会建立起两条隧道,分别为传送管理信息的控制报文隧道与传送用户数据的数据报文隧道。这两个隧道并不能够用来实现数据负载均衡,而是各有各的用途。即使在客户端数据交换频繁的时候,用来传输控制报文的隧道也不能用来数据报文传递。,AP与AC通讯:MAC认证流程,(1)用户与接入点AP实现关联; (2)控制器通过隧道协议获取用户的MAC地址信息 (3)将用户的MAC地址信息作为Radius Access_Request的用户名和Password字段发往Radius; (4)Radius服务器对该用户名和Password进行验证,如果成功则发送Radiu
11、sAccess-Accept 消息,如果失败则发送Radius Access-Reject消息,如果用户数次尝试失败无线控制器会通知AP发送 Dis-Association消息,与用户断开空口连接; (5)控制器收到Radius Access-Accept消息后用户就可以根据赋予的权限访问网络资源,同时会发送出Radius Accounting-start消息开始计费流程; (6)当用户与AP无线关联中断后,无线控制器会检测到该用户状态并发送Radius Accounting-Stop消息,结束流程。,CAPWAP协议:简介,英文全称:Control and provisioning of wireless access points 。 RFC:RFC5415和5416中有描述 作用:通过CAPWAP,有可能是不同厂商的无线控制器和无线AP可以互相通讯,不用再局限于相同厂商。 使用情况: 目前CAPWAP进行的并不顺利,很多厂商都说自己支持,但大多没有转移过去,Thx,
