AP与AC知识介绍,SignalSky,2010,年,12,月,11,号,提纲,基本概念,WLAN,演进,AP,与,AC,通讯,CAPWAP,协议,基本概念,:,AP,无线接入点(,AP,):,电信级无线覆盖设备,相当于一个连接有线网和无线网的桥梁,其主要作用是将各个无线网络客户端连接到一起,实现大范围、多用户的无线接入,根据应用场景不同,,AP,通常可分为室内型和室外型,室内环境下覆盖范围通常在,30,米,100,米,室外环境最大覆盖范围可达到,800,米,基本概念,:,AC,接入控制器(,AC,):,无线局域网接入控制设备,负责将来自不同,AP,的数据进行汇聚并接入,Internet,同时完成,AP,设备的配置管理和无线用户的认证、管理,以及带宽、访问、切换、安全等控制功能AC,强大的管理和控制功能,能够构建出个性化、专业化的,WLAN,解决方案,基本概念,:,瘦,AP,“瘦”,AP,:无线接入点也称无线网桥、无线网关此无线设备的传输机制相当于有线网络中的集线器,在无线局 域网中不停地接收和传送数据,;,任何一台装有无线网卡的,PC,均可通过,AP,来分享有线局域网络甚至广域网络的资源。
理论上,当网络中增加一个无线,AP,之后,即 可成倍地扩展网络覆盖直径,;,还可使网络中容纳更多的网络设备每个无线,AP,基本上都拥有一个以太网接口,用于实现无线与有线的连接基本概念,:,胖,AP,胖,AP,:其学名应该称之为无线路由器一般具备,WAN,、,LAN,两个接口,多支持,DHCP,服务器、,DNS,和,MAC,地址克隆,以及,VPN,接入、防火墙等安全功能基本概念,:,胖瘦,AP,比较,有些生产商用瘦,AP,代表只有少数先进功能的入门级,/,住宅级别产品与之相对,,胖,AP,拥有很多企业网络功能,,如标识和基于,SNMP,管理等有些生产商使用瘦,AP,代表自身不能单独配置或者使用的,AP,产品,这种产品仅仅是一个,WLAN,交换系统的一部分,负责管理安装和操作在这种情况下,,胖,AP,就是任意的独立,AP,,无论这个,AP,的功能集是什么样的有些生产商则使用瘦,AP,代表那些将一些选定的任务交托给上层服务器的产品,这些任务例如与一个,802.1X,认证服务器通讯,产生一个加密密钥,作为一个,VPN,的网关,或者针对跨网络移动性进行重新路由,,这些功能都可以由一个胖,AP,执行,而不需要交托给上层的服务器,。
WLAN,演进:胖,AP,到瘦,AP,最早的,WLAN,设备,,将多种功能集为一身,,如:物理层、链路层、用户数据加密、用户的认证、,QoS,、安全策略、用户 的管理及其他应用层功能集为一体,,传统将这类,WLAN,设备俗称为“胖”,AP,胖”,AP,的特点是配置灵活、安装简单、性价比高,但,AP,之间相互独立,无法适合用户密度高、多个,AP,连续覆盖等环境复杂的场所为此产生集中控制型,AC+AP,设备,通过集中控制器,AC,和轻量级,AP,配合,实现“胖”,AP,设备的功能其中,轻量级,AP,只保留物理链路层和,MAC,功能,提供可靠、高性能的射频管理,包括,802.11,协议的无线连接;集中控制器,AC,集中所有的上层功能,包括安全、控制和管理等功能,与传统的,AP,相比,,轻量级,AP,实现的功能大大减弱,故俗称为“瘦”,AP,WLAN,演进:协议与分类,轻量级,AP,与集中控制器,AC,之间是通过隧道来传输控制信令和用户业务数据由于集中控制型,AC+AP,架构的国际标准,(CAPWAP,协议,),出现的比较迟,因此 各厂家的隧道均是私有协议,不同厂家设备之间不能互通在实际应用中,建议一个区域只用一个厂家的集中控制型,AC+AP,设备。
从,WLAN,设备的实现方式来看,,WLAN,设备可分为三类:,桥接型,WLAN,设备、路由型,WLAN,设备、集中控制型,WLAN,设备从,WLAN,设备的应用环境来看,,WLAN,设备可分为室内型,WLAN,设备和室外型,WLAN,设备,,依据应用方式和发射功率又可将这室内型和室外型,WLAN,设备进一步作如下细分:,WLAN,演进:,AC+AP,架构优势,总体而言,集中控制型,AC+AP,架构,其最大的优点在于管理简单化,WLAN,设备的网管平台只需管理集中控制器,AC,,就可间接地管理到轻量级,AP,,这大大 减轻后台,(,如网管平台,),的压力当使用基于,WAPI,技术的,WLAN,网络安全策略,当数字证书安装在“胖”,AP,上,由于“胖”,AP,数量众多,所发起的众多的 认证报文,Session,数会对认证服务器产生很大压力;而采用“瘦”,AP,时,数字证书安装在,AC,上,由于,AC,数量较少,因此,AC,发起的认证报文,Session,数大大少于“胖”,AP,发起的认证报文,Session,数,因此大大减轻,WAPI,认证服务器的压力;,同时,“胖”,AP,是部署在公共场所,一般用 户都有可能接触到,AP,设备,而,AC,设备是部署在机房,一般用户不可能接触到,AC,设备,,AC,作为统一的认证点,将安全的管理和控制集中,因此安装在,AC,上的 设备证书比安装在“胖”,AP,设备上的数字证书更安全。
AP,与,AC,通讯,无线交换机系统由无线交换机与瘦,AP,组成,用户只要通过配置无线交换机就可以达到配置所有,AP,的目的把无线交换机比作一个,AP,,那么瘦,AP,就像他的天线一样分布在各个位置无线交换机与瘦,AP,的数据交互类型有两种:,1,),控制报文数据,目前有,LWAPP,、,SLAPP,、,CAPWAP,、,WiCoP,等协议,一般分为,client,与,server,两个进程来传,采用,TCP,连接,用来配置,AP,的参数与获得瘦,AP,的信息2,),数据报文数据,由内核隧道模块发送,采用,UDP,连接,用来转发从无线交换机,WAN,端进来的报文与从瘦,AP,无线端进来的报文,AP,与,AC,通讯:数据传输过程,有,STA,连上瘦,AP,要访问外网时:,STA,发送出的数据报文首先会到达瘦,AP,的无线端口,瘦,AP,会将报文进行重新封装,然后发送到无线交换机的接受线程中去,无线交换机收到的数据报文进行解封装,然后发送到,AC,所连接的外网中去,在,AC,从外网收到数据时,也会经过上面一样的过程AP,与,AC,通讯:瘦,AP,启动过程,第一步,.,AP,从,AC,或者,DHCP Server,那里获取一个,IP,地址。
既然,AP,是一个无线信号接入点,是一个网络设备,要在,LAN,中进行正常的数据传送,比如需要一个合法的,IP,地址为此在启动的时候,瘦,AP,需要从,DHCP,服务器中获得一个合法的,IP,地址第二步,.,与,AC,建立联系瘦,AP,启动的过程中,会通过广播的方式获取,AC,下发的,IP,地址,从此把,AP,与,AC,绑定在一起第三步,.,策略代码的比较与更新AP,在绑定了,AC,之后,就会把其代码印象版本与本地版本进行比较如果在连接之前,,AC,中的某些策略发生了变更,则,AP,将会从,AC,中下载并启用最新的印象代码,也就是我们说的模板不过要生效的话,瘦,AP,必须重启第四步,.,隧道的建立当以上三个步骤完成之后,瘦,AP,与无线控制器之间会建立起两条隧道,分别为传送管理信息的控制报文隧道与传送用户数据的数据报文隧道这两个隧道并不能够用来实现数据负载均衡,而是各有各的用途即使在客户端数据交换频繁的时候,用来传输控制报文的隧道也不能用来数据报文传递AP,与,AC,通讯:,MAC,认证流程,(,1,)用户与接入点,AP,实现关联;,(,2,)控制器通过隧道协议获取用户的,MAC,地址信息,(,3,)将用户的,MAC,地址信息作为,Radius Access_Request,的用户名和,Password,字段发往,Radius,;,(,4,),Radius,服务器对该用户名和,Password,进行验证,如果成功则发送,RadiusAccess-Accept,消息,如果失败则发送,Radius Access-Reject,消息,如果用户数次尝试失败无线控制器会通知,AP,发送,Dis-Association,消息,与用户断开空口连接;,(,5,)控制器收到,Radius Access-Accept,消息后用户就可以根据赋予的权限访问网络资源,同时会发送出,Radius Accounting-start,消息开始计费流程;,(,6,)当用户与,AP,无线关联中断后,无线控制器会检测到该用户状态并发送,Radius Accounting-Stop,消息,结束流程。
CAPWAP,协议:简介,英文全称:,Control and provisioning of wireless access points,RFC,:,RFC5415,和,5416,中有描述,作用:通过,CAPWAP,,有可能是不同厂商的无线控制器和无线,AP,可以互相通讯,不用再局限于相同厂商使用情况:,目前,CAPWAP,进行的并不顺利,很多厂商都说自己支持,但大多没有转移过去,Thx,。