初识WLAN
WLAN简介
WLAN即 Wireless LAN,无线局域网,广义上是指以无线电波、激光、红外线等无线信号来代替有线局域网中的部分或全部传输介质所构成的网络;狭义上一般指使用 WIFI 技术基于802.11标准系列,利用高频信号(2.4GHz或5GHz)作为传输介质的无线局域网,也是这篇笔记的主要探讨点。
电磁波频谱
信号损耗 金属对无线信号的损耗最强,能量损耗最多,开阔、空旷区域对无线信号损耗最小;对于路由器的“穿墙功能”,实际上仅仅加大了发射端的发射功率,一定程度上确实可以实现信号“穿透”能力,但通信是一个交互过程,接收端(如个人PC、移动终端等)的无线发射功率并无提升,因此返回路由器/AP的电磁波信号“穿墙”能力并没有提升,因此总体通信过程中的体验实际上相差无几。
WIFI
作为广义 WLAN 的一种实现技术,其实现相对简单、通信可靠、灵活性高和实现成本相对较低等特点,成为了WLAN的主流技术标准,Wi-Fi技术也逐渐成为了WLAN技术标准的代名词。这篇笔记主要也是记录以 WI-FI 为实现技术的 WLAN 。
IEEE 802.11 标准聚焦在 TCP/IP 对等模型的下两层:
- 数据链路层:主要负责信道接入、寻址、数据帧校验、错误检测、安全机制等内容。
- 物理层:主要负责在空口(空中接口)中传输比特流,例如规定所使用的频段等。
WLAN 基本概念
- STA(Station):支持802.11标准的终端设备,例如带无线网卡的电脑、支持 WLAN 的手机等。
- AP(Access Point):为STA提供无线接入服务,起到有线网络和无线网络的桥接作用。一般支持 FAT AP、FIT AP 和云管理 AP三种
- FAT AP:适用于家庭,独立工作,需单独配置,功能较为单一,成本低。独立完成用户接入、认证、数据安全、业务转发和QoS等功能。
- FIT AP:适用于大中型企业,需要配合AC使用,由AC统一管理和配置,功能丰富,对网络维护人员的技能要求高。用户接入、AP上线、认证、路由、AP管理、安全协议、QoS等功能需要同AC配合完成。高密AP指的是在原有2.4G和5G射频基础上再增加一个5G射频。
- 云管理AP:适用于中小型企业,需要配合云管理平台使用,由云管理平台统一管理和配置,功能丰富,即插即用,对网络维护人员的技能要求低。
- AC(Access Controller):一般位于网络的汇聚层,对 WLAN 中所有的 FIT AP 进行控制和管理。
- CAPWAP(Control And Provisioning of Wireless Access Points):实现 AP 和 AC 之间互通的一个通用 封装和传输机制 。
- PoE(Power over Ethernet):通过以太网进行供电,也被称为基于局域网的供电系统 PoL(Power over LAN)。它允许电功率通过传输数据的线路或空闲线路传输到终端设备,在 WLAN 中,可以通过 PoE对 AP 设备进行供电。
title: 功率计算单位
collapse: close
![image.png](https://picgo-1304285457.cos.ap-guangzhou.myqcloud.com/images/20240108150242.png)
![image.png](https://picgo-1304285457.cos.ap-guangzhou.myqcloud.com/images/20240108150254.png)
WLAN一般使用dbm,倍数3的简单推导,由于默认x不为0,则有:
$10\times\lg 2x - 10\times\lg x=10\times(\lg 2x-\lg x)=10\times(\lg \frac{2x}{x})=10\times(\lg 2)\approx10\times0.3\approx3$
title: 带宽
collapse: close
![image.png](https://picgo-1304285457.cos.ap-guangzhou.myqcloud.com/images/20240108152758.png)
![image.png](https://picgo-1304285457.cos.ap-guangzhou.myqcloud.com/images/20240108152745.png)
![image.png](https://picgo-1304285457.cos.ap-guangzhou.myqcloud.com/images/20240108152822.png)
WLAN 架构
WLAN 网络架构分为 有线侧 和 无线侧 ,有线侧是指 AP 上行到 Internet的网络使用以太网协议,无线侧是指 STA 到 AP 之间的网络使用802.11协议。
有线侧
- FAT AP 架构:不需要专门设备进行集中控制,独立完成无线用户的接入、业务数据的加密和业务数据报文的转发功能,缺点是随着接入用户的增多,FAT AP 的数量也会增多,因此维护这些独立工作的设备就比较麻烦。
- AC + FIT AP 架构:AC 负责 WLAN 的接入控制、转发和统计、AP 的配置监控、漫游管理、AP的网管代理、安全控制;FIT AP负责802.11报文的加解密、802.11的物理层功能、接受 AC 的管理等简单功能。公司组网一般以这种方式为主。
- 敏捷分布式 AP 架构:将 AP 拆分为中心 AP 和敏分 AP 两部分,中心 AP 可管理多台敏分 AP,FAT、FIT AP 和云管理 AP都能适用。
AC与AP的交互
以 AC + FIT AP 为例子,讨论 AP 与 AC 之间交互的细节
交互方式
AC 与 AP 之间通过 CAPWAP 隧道进行状态的维护。AC 和 AP 之间首先建立 CAPWAP 隧道,接着 AC 通过 CAPWAP协议对 AP 进行管理、业务配置下发,AP 将 STA 发出的数据通过 CAPWAP 隧道实现与 AP 之间的交互。 CAPWAP 协议是基于 UDP 进行传输的应用层协议,它在运输层主要传输两种消息:
- 通过 CAPWAP 数据 隧道传输业务数据流量,封装转发数据帧,端口号为 5247
- 通过 CAPWAP 控制 隧道传输管理流量,管理 AP 和 AC 之间的管理消息,端口号为5246
组网方式
包括 二层组网 和 三层组网 。二层组网 AP 可以通过二层广播或者 DHCP 过程实现即插即用;三层组网下 AP 无法直接发现 AC,需要通过 DHCP 或 DNS 动态发现 AC ,或者配置静态 IP。大型组网中一般使用三层组网。
AC 连接方式
包括 直连式 和 旁挂式 。直连式 AC 部署在用户的转发路径上,用户流量要经过 AC ,会消耗 AC 的转发能力,旁挂则相反,流量一般不会经过 AC。
直连式的组网架构清晰,实施简单,但对 AC 的吞吐量和数据处理能力要求较高,否则 AC 会成为网络带宽的瓶颈。 旁挂式的扩展性较强,可旁挂在汇聚交换机上,即可对 AP 进行管理,这种连接方式可以使得数据业务流直接流向汇聚交换机再向上传输,AP 和 AC 之间的 CAPWAP 隧道只传输管理流。
无线侧
无线通信系统中,首先将信息(例如声音、图片、文字等)通过信源编码转换为数字信号,再经过信道编码和调制,转换为无线电波发射出去。
- 信源编码:将最原始的信息,经过对应的编码,转换为数字信号的过程。
- 信道编码:是一种对信息纠错、检错的技术,可以提升信道传输的可靠性。信息在无 线传输过程中容易受到噪声的干扰,导致接收信息出错,引入信道编码能够在接收设 备上最大程度地恢复信息,降低误码率。
- 调制:将数字信号叠加到高频振荡电路产生的高频信号上,才能通过天线转换成无线电波 发射出去。叠加动作就是调制的过程。
- 信道:传输信息的通道,无线信道就是空间中的无线电波。
- 空中接口:简称空口,无线信道使用的接口。发送设备和接收设备使用接口和信道连接, 对于无线通信,接口是不可见的,连接着不可见的空间。
涉及的一些无线协议和其报文格式,可见
802.11物理层标准
和
802.11MAC层技术
更多的无线通信概念以及原理可以去查看一下通信原理相关书籍,例如让我痛不欲生的教材🥲:
通信原理-第七版
- BSS(Basic Service Set):无线网络的基本服务单元,通常由一个 AP 和若干个 STA 组成,在一个 BSS 的服务范围内,STA 可以互相通信。
- BSSID(Basic Service Set Identifier):终端要找到 AP,需要通过 AP 的一个身份标识,也就是 BSSID ,它是 AP 上的数据链路层 MAC 地址,它确保了每个 BSS 的唯一性。
- SSID(Service Set Identifier):用来区分不同的无线网络,也就是我们常见的 WIFI 名字。
- VAP(Virtual Access Point):AP 设备上虚拟出来的业务功能实体,每个 VAP 提供和物理实体 AP 一样的功能,通过在一个 AP 上创建不同的 VAP 来为不同的用户群体提供无线接入服务。 早期一个 AP 只支持一个 BSS ,因此多个 BSS 则需要部署多个 AP ,增加成本并占用信道资源。每个 VAP 共享当前 AP 的软件和硬件资源,共享信道资源,因此要根据具体场景合理分配。
- ESS(Extend Service Set):采用相同的 SSID 的多个 BSS 组成更大规模的虚拟 BSS ,同时用户从一个 BSS 移动到另一个 BSS 时,不能感知 SSID 的变化。搭配 WLAN 漫游技术,实现 STA 在同属于一个 ESS 的不同 AP 的覆盖范围之间移动时保持业务不中断。
WLAN工作原理
工作流程如下:
- AP 上线,获取 IP 地址并发现 AC,与 AC 建立连接
- AC 将 WLAN 业务配置下发到 AP 生效
- STA 搜索到 AP 发射的 SSID 并连接、上线,接入网络
- WLAN 网络开始转发业务数据
1. AP 上线
在 AC + FIT AP 架构中,FIT AP 上线需要完成以下工作: 1.1 AP 获取 IP 地址 1.2 AP 发现 AC 并与之建立 CAPWAP 隧道 1.3 AP 接入控制 1.4 AP 版本升级 1.5 CAPWAP 隧道维持
1.1 AP 获取 IP 地址
- 静态方式:登录到 AP 设备上手动配置 IP 地址
- DHCP 方式:通过配置 DHCP 服务器,AP 作为 DHCP 客户端向 DHCP 服务器请求 IP 地址。可以使用专门的 DHCP server 或使用 AC 的 DHCP 服务,或者使用核心交换机为 AP 分配 IP 地址。
1.2 建立CAPWAP隧道
AP 通过发送 Discovery Request 报文,找到可用的 AC,接着建立 CAPWAP 隧道,包括数据隧道和控制隧道。
AP 可以通过静态和动态两种方式找到 AC。静态方式是在 AP 上预先配置 AC 的静态 IP 地址列表;动态方式则是通过 DHCP、DNS 或广播的方式找到 AC
动态发现 AC
DHCP 方式:
- 四步获取 AC IP地址:
- 在 DHCP 服务器上配置 DHCP 响应报文中携带 Option 43,且 Option 43 携带 AC 的 IP 地址列表
- AP 发送 DHCP Discovery 广播报文,请求 DHCP Server 响应,在 DHCP服务器侦听到 DHCP Discover 报文后,它会从没有租约的地址范围中,选择最前面的闲置 IP,连通其他 TCP/IP 设定,响应 AP 一个 DHCP Offer 报文,该报文包含一个租约期限的信息
- 由于 DHCP Offer 报文既可以是单播报文,也可以是广播报文,当AP端收到多台 DHCP Server 的响应时,只会挑选其中一个 Offer (通常是最先抵达的那个),然后向网络中发送一个 DHCP Request 广播报文,告诉所有的 Offer,并重新发送 DHCP,将指定接收哪一台服务器提供的IP地址
- 当 DHCP Server 接收到 AP 的 Request 报文之后,会向 AP 发送一个 DHCP Ack 响应, 该报文中携带的信息包括了 AP 的 IP 地址,租约期限,网关信息,以及 DNS Server IP 等,以此确定租约的正式生效,就此完成DHCP的四步交互工作。
- 与 AC 关联:
- AP 通过 DHCP 服务获取 AC 的 IP 地址后,使用 AC 发现机制来获知哪些 AC 是可用的, 决定与最佳 AC 来建立 CAPWAP 的连接。
- AP 启动 CAPWAP 协议的发现机制,以单播或广播的形式发送发现请求报文试图关联 AC,AC 收到 AP 的 Discovery Request 以后,会发送一个单播 Discovery Response 给 AP,AP 可以通过 Discover Response 中所带的 AC 优先级或者 AC 上当前 AP 的个数等,确定与哪个 AC 建立会话。
- 四步获取 AC IP地址:
DNS 方式:
- AP 通过 DHCP 服务获取 AC 的域名和 DNS 服务器的 IP 地址(IPv4报文通过在 DHCP 服务器上配置 DHCP 响应报文中携带 Option 15,且 Option 15携带 AC 的域名;IPv6 报文通过在 DHCP 服务器上配置 DHCP 响应报文中携带 Option 24,且 Option 24携带 AC 的域名。),然后向 DNS 服务器发送请求获取 AC 域名对应的 IP 地址。最后 AP 向 AC 发送 Discovery Request 单播报文。AC 收到后,向 AP 回应 Discovery Response 报文。
广播方式:
- 当 AP 启动后,如果 DHCP 方式和 DNS 方式均未获得 AC 的 IP 或AP 发出发现请求报文后未收到响应,则 AP 启动广播发现流程,以广播包方式发出发现请求报文。
- 接收到发现请求报文的 AC 检查该 AP 是否有接入本机的权限(已经授权的 MAC 地址或者序列号),如果有则发回响应。如果该 AP 没有接入权限,AC 则拒绝请求。
- 广播发现方式只适用于 AC/AP 间为二层可达的网络场景。
建立隧道
- 数据隧道:AP 接收的业务数据报文经过 CAPWAP 数据隧道集中到 AC 上转发,同时还可以对数据隧道进行数据传输层安全 DTLS (Datagram Transport Layer Security) 加密,对数据报文加密
- 控制隧道:实现 AP 与 AC 之间的管理报文的交互,同时也可以选择 DTLS 加密,对控制报文进行加密
1.3 AP 接入控制
AP 发现 AC 且与 AC 关联后,会发送一个 Join Request 报文请求加入 AC 的控制,AC 收到后会进行认证,判断是否允许该 AP 接入,并响应 Join Response 报文。 AC 有三种认证方式:MAC 认证、序列号(SN)认证和不认证 AC 添加 AP 的方式:
- 离线导入AP:预先配置 AP 的 MAC 地址和 SN,当 AP 与 AC 连接时,如果 AC 发现 AP 和预先增加的 AP 的 MAC 地址和 SN 匹配,则 AC 开始与 AP 建立连接。
- 自动发现 AP:当配置 AP 的认证模式为 不认证 或配置 AP 的认证模式为 MAC 或 SN 认证且 将 AP 加入 AP 白名单 中,则当 AP 与 AC 连接时,AP 将被 AC 自动发现并正常上线。
- 手工确认未认证列表中的 AP:当配置 AP 的认证模式为 MAC 或 SN 认证,但 AP 没有离线导入且 不在已设置的 AP 白名单 中,则该 AP 会被记录到未授权的 AP 列表中。需要用户手工确认后,此 AP 才能正常上线。
1.4 AP 版本升级(可选)
AP 根据收到的 Join Response 报文中的参数判断当前的系统软件版本是否与 AC 上一致,如果不一致,AP 通过发送 Image Data Request 报文请求软件版本,然后进行版本升级,方式包括 AC 模式、FTP 和 SFTP 模式(各模式对应从何处下载升级版本)。AP 更新完后重启并重复前三个步骤。
1.5 CAPWAP 隧道维持
数据 隧道维持通过交互 Keepalive 报文维持;控制 隧道通过交互 Echo 报文维持。
附
- 为了确保 AP 能上线,AC 上也要预先配置
- AP 上线过程的报文交互:
2. WLAN业务配置下发
AP 上线后,会主动向 AC 发送 Configuration Update Request 报文以告知自己的当前配置,AC 回应 Configuration Update Response 报文,AC 再将业务配置信息下发。
不同的 WLAN 功能有对应不同的配置模板
域管理模板:
- 国家码用来标识AP射频所在的国家,不同国家码规定了不同的AP射频特性,包括AP的发送功率、支持的信道等。配置国家码是为了使AP的射频特性符合不同国家或区域的法律法规要求。
- 通过配置调优信道集合,可以在配置射频调优功能时指定AP信道动态调整的范围,同时避开雷达信道和终端不支持信道。
射频模板:
- 根据实际的网络环境对射频的各项参数进行调整和优化,使AP具备满足实际需求的射频能力,提高WLAN网络的信号质量。射频模板中各项参数下发到AP后, 只有AP支持的参数才会在AP上生效。
- 可配置的参数包括:射频的类型、射频的速率、射频的无线报文组播发送速率、 AP发送Beacon帧的周期等。
射频参数配置:
- AP射频需要根据实际的WLAN网络环境来配置不同的基本射频参数,以使AP射频的性能达到更优。
- WLAN网络中,相邻AP的工作信道存在重叠频段时,容易产生信号干扰,对 AP 的工作状态产生影响。为避免信号干扰,使AP工作在更佳状态,提高WLAN网络质量,可以手动配置相邻AP工作在非重叠信道上。
- 根据实际网络环境的需求,配置射频的发射功率和天线增益,使射频信号强度 满足实际网络需求,提高WLAN网络的信号质量。
- 实际应用场景中,两个AP之间的距离可能为几十米到几十公里,因为AP间的距离不同,所以AP之间传输数据时等待ACK报文的时间也不相同。通过调整合适的超时时间参数,可以提高AP间的数据传输效率。
- SSID模板:主要用于配置WLAN网络的SSID名称,还可以配置其他功能,主要包括如下功能:
- 隐藏SSID功能:用户在创建无线网络时,为了保护无线网络的安全,可以对无线网络名称进行隐藏设置。这样,只有知道网络名称的无线用户才能连接到这个无线网络中。
- 单个VAP下能够关联成功的最大用户数:单个VAP下接入的用户数越多,每个用户能够使用的平均网络资源就越少,为了保证用户的上网体验,可以根据实际的网络状况配置合理的最大用户接入数。
- 用户数达到最大时自动隐藏SSID的功能:使能用户数达到最大时自动隐藏SSID的功能后,当WLAN网络下接入的用户数达到最大时,SSID会被隐藏,新用户将无法搜索到 SSID。
- 安全模板:配置WLAN安全策略,可以对无线终端进行身份验证,对用户的报文进行加密,保护WLAN网络和用户的安全。
- WLAN安全策略支持开放认证、WEP、WPA/WPA2-PSK、WPA/WPA2-802.1X等,在安全模板中选择其中一种进行配置。
- 数据转发方式: 控制报文是通过CAPWAP的控制隧道转发的,用户的数据报文分为隧道转发(又称为 “集中转发”)方式、直接转发(又称为“本地转发”)方式。
- 业务VLAN:由于WLAN无线网络灵活的接入方式,STA可能会在某个地点(例如办公区入口或体育场馆入口)集中接入到同一个WLAN无线网络中,然后漫游到其它AP覆盖的无线网络环境下。
- 业务VLAN配置为单个VLAN时,在接入STA数众多的区域容易出现IP地址资源不足、而其它区域IP地址资源浪费的情况。
- 业务VLAN配置为 VLAN pool 时,可以在 VLAN pool 中加入多个VLAN,然后通 过将 VLAN pool 配置为 VAP 的业务 VLAN,实现一个 SSID 能够同时支持多个业务 VLAN。新接入的 STA 会被动态的分配到 VLAN pool 中的各个 VLAN 中,减少了单个 VLAN 下的 STA数目,缩小了广播域;同时每个 VLAN 尽量均匀的分配 IP 地址,减少了 IP 地址的浪费。
3. STA接入
CAPWAP 隧道建立完成后,用户就可以接入无线网络。接入过程分为:扫描、链路认证、关联、接入认证和获取地址五个步骤
以WPA-PSK为例,流程图如下:
3.1 扫描
STA 使用主动扫描,定期搜索周围的无线网络。可以使用广播携带 空SSID 的 Probe Request 帧 ,用于扫描无线网络,当 AP 收到 Request 帧后,会回应 Response 帧通告可以提供的无线网络信息;也可以在每个信道上发送携带 指定SSID 的 Request 帧,只有与该 SSID 相同的 AP 会回复响应。
STA 也支持被动扫描,即客户端通过侦听 AP 定期发送的 Beacon 帧(包含 SSID、支持速率等信息)来发现周围的无线网络,缺省状态下 AP 发送 Beacon 帧的周期为100TUs(1TU=1024us)
3.2 链路认证
为了保障用户接入安全,需要对 STA 的身份进行认证。WLAN 提供了几种安全策略,每一种策略都有各自的链路验证方式,总的来说分为两种:802.11 链路定义了 开放系统认证 和 共享密钥认证 开放系统认证即不认证,任意 STA 都可以认证成功;共享密钥认证则是在 STA 和 AP 上预先配置相同的共享密钥,AP 在链路认证过程验证两边的密钥是否相同,一致则认证通过。 共享密钥过程:
- STA 向 AP 发送认证请求
- AP 随机生成一个 ”Challenge“(挑战短语) 发送给 STA
- STA 使用预先配置的密钥加密 “Challenge" 并发送给 AP
- AP 使用预先配置的密钥解密消息,比对步骤二中的 ”Challenge“ 明文,相同则认证成功
安全策略不仅包括链路验证方式,还有后续的用户接入认证方式和数据加密方式,下面是几种常用的安全策略:
安全策略 | 链路认证方式 | 接入认证方式 | 数据加密方式 | 说明 |
---|---|---|---|---|
WEP | Open | 不涉及 | 不加密或WEP加密 | 不安全的安全策略 |
Shared-key Authentication | 不涉及 | WEP加密 | 仍然是不安全的安全策略 | |
WPA/WPA2-802.1X | Open | 802.1X(EAP) | TKIP或CCMP | 安全性高的安全策略,适用于大型企业。 |
WPA/WPA2-PSK | Open | PSK | TKIP或CCMP | 安全性高的安全策略,适用于中小型企业或家庭用户。 |
WAPI-CERT | Open | 预共享密钥鉴别 | SMS4 | 国产货,应用的少,适用于大型企业和运营商。 |
WAPI-PSK | Open | WAPI证书鉴别 | SMS4 | 国产货,应用的少,适用于小型企业和家庭用户 |
3.3 关联
完成链路认证后,STA 继续发起 链路服务协商 ,协商支持的速率、信道等内容,也就是终端关联的过程 以 FIT AP + AC 架构为例,关联过程如下:
- STA向AP发送Association Request请求,请求帧中会携带STA自身的各种参数以及根 据服务配置选择的各种参数(主要包括支持的速率、支持的信道、支持的QoS的能力 等)。
- AP收到Association Request请求帧后将其进行CAPWAP封装,并上报AC。
- AC收到关联请求后判断是否需要进行用户的接入认证,并回应Association Response。
- AP收到Association Response后将其进行CAPWAP解封装,并发给STA。
3.4 接入认证
这个步骤其实要看具体的安全策略,例如 WEP 策略,后续获取了 IP 地址后,STA 就可以上网了,但如果选择了 WPA 策略,就需要进行 PSK(Pre-shared key Authentication,预共享密钥认证,跟链路认证中的共享密钥认证过程大概类似,只是用的地方不一样) 或 802.1X 认证,同时还要完成密钥协商(为用户数据安全提供保障) 接入认证包括 802.1X 认证、PSK 认证、MAC 认证以及 Portal 认证,具体见 WLAN 安全策略
3.5 DHCP
STA 获取自身的 IP 地址,一般使用 DHCP 方式获取 IP 地址,把汇聚交换机或 AC 设备当作 DHCP 服务器都可以。
4. WLAN 业务数据转发
数据包括控制报文和数据报文,控制报文通过控制隧道转发,数据报文可以使用数据隧道转发(又称”集中转发“)或直接转发(又称”本地转发“)
控制报文转发:
- 封装:payload可以理解为有效信息,即 AC 想要发给 AP 的管理信息,AC 要通过 CAPWAP 隧道发送报文,就是在信息外加上 CAPWAP 字段,再增加 UDP/IP 字段 以及 802.3 字段(表示用有线以太网进行传输),最后再加上 VLAN 字段,在 AC 和 AP 之间的网络,VLAN 字段会一直存在。
- 传输:AC 和 AP 之间的网络需要支持 管理VLAN 的通过,如果是三层网络,则 VLAN 字段会变化,如果是二层则不会变化。
- 解除封装 :默认情况下,AP 无法识别带 VLAN Tag 的报文,因此在发送给 AP 终端时,需要将 VLAN Tag 剥离,因此根据 VLAN 接口的特性,一般都会将连接 AP 的接口 PVID 设为管理 VLAN 。当然,如果不这样设置的话也可以,就需要在 AP 上配置 management vlan 为 管理 VLAN ,这样也能接收并识别带管理 VLAN 的报文,解析出 Payload。
以上是 AC 发送管理报文给 AP 的过程,反过来的步骤也一样,只需要注意管理 VLAN 的添加和剥离即可(配置接口 PVID 后,添加 VLAN 由交换机完成)。
业务报文转发
业务数据转发分为直接转发和隧道转发两种方式
直接转发方式
图中的中转站和酱油党分别对应直连式和旁挂式,两种连接方式在直接转发方式中,业务报文都不会通过 CAPWAP 隧道,STA访问的设备(Internet中) 将报文 发送给 STA 的过程如下:
- 封装 :发送给 STA 的 Payload 在进入网络的时候就会进行一次封装,这个封装不是指 CAPWAP 封装,而是在 Payload 报文外面增加一段 802.3 字段和添加业务 VLAN(在图中未体现 UDP/IP 字段,可以理解为已经包含在了 Payload 中)。业务 VLAN 即是指业务报文外层的 VLAN 。直接转发方式下,业务报文不会进行 CAPWAP 封装。
- 传输 : AC 直连式下,收到 payload 报文后,会像其他交换机一样,只进行报文转发,将报文转发给下一个网络设备 AC 旁挂式下,数据报文则根本不会通过 AC 设备,直接交付给下一个网络设备
- 解封 :当业务报文从上游传输到 AP 时,AP 首先将业务 VLAN 剥离,然后将 802.3 字段改为 802.11 ,表示该报文将使用无线传输的方式。
- 解析 :STA 接收到 payload 后,剥离 802.11 字段即可得到 payload 信息
隧道转发方式
- 封装 :跟直接转发一样,发送给 STA 的 Payload 在进入网络的时候就会进行一次封装,AC 收到报文后将整个报文看作新的 payload ,在外层添加 CAPWAP 字段,增加UDP/IP 字段和 802.3 字段。最后再为业务报文加上 管理 VLAN。
- 传输 : 业务 VLAN 可以看作 payload 的一部分,因此 AC 和 AP 之间的网络只需要允许 管理 VLAN 的通过即可。
- 解封 :跟管理报文的传输一样,在连接 AP 的接口上将 管理 VLAN 剥离后发送给 AP;而 AP 除了将 CAPWAP 剥离,还要将 业务 VLAN 剥离,并将 802.3 替换为 802.11。
- 解析 :STA 接收到 payload 后,剥离 802.11 字段即可得到 payload 信息
二者对比
- 隧道转发方式:
- 优点:AC集中转发数据报文,安全性好,方便集中管理和控制。
- 缺点:业务数据必须经过AC转发,报文转发效率比直接转发方式低,AC所受压力大。
- 直接转发方式:
- 优点:数据报文不需要经过AC转发,报文转发效率高,AC所受压力小。
- 缺点:业务数据不便于集中管理和控制。
一些典型的组网方案
Navi AC
大型企业在部署无线网络后,需要同时为访客和内部员工提供接入服务,而访客数据可能会对网络带来安全威胁。
通过在防火墙的DMZ区域设立Navi AC,将访客流量Navi AC进行集中管理,从而实现员工和访客的隔离。
如上图所示,员工在Local AC上完成认证,其流量在企业内部网络进行转发,员工可以访问内部服务器;访客在Navi AC上完成准入认证,其流量从Local AC通过CAPWAP隧道转发到DMZ进行处理,访客只能访问DMZ区域的服务器和Internet资源。
Navi AC漫游
在Navi AC方案中,仅支持在连接到同一个Navi AC的多个Local AC之间实现无线漫游。
配置思路
在NaviAC上创建并配置VAP模板、开启NaviAC功能、指定Local AC,并将VAP模板绑定到指定Local AC下。
在Local AC上指定NaviAC、创建并配置VAP模板(配置与NaviAC保持一致),并在AP组下引用VAP模板
Leader AP
将其中一台AP设置为Leader AP模式,其他AP以Fit AP模式接入,和Leader AP二层连通。Leader AP在网络中广播自己的角色,其他AP发现Leader AP并与之连接。Leader AP提供基于CAPWAP隧道的统一接入管理和配置运维功能,提供集中的无线资源管理和漫游功能。用户只需要登陆Leader AP进行业务配置,所有AP都会提供相同的业务。
可以理解为将一台AP赋予了AC的身份
用户想要通过Leader AP进行业务管理也很简单,两种方法,一种是通过空口登录进行管理,也可以通过连接Leader AP的管理SSID,该管理SSID无法被删除,只能拿来管理,而不能上网。
Mesh
WMN(Wireless Mesh Network)指的是利用无线链路将多个AP连接起来,并最终通过一个或两个Portal节点接入有线网络的一种星型动态自组织自配置的无线网络。
传统的WLAN网络中,STA与AP之间是以无线信道为传输介质,AP的上行链路则是有线网络。如果组建WLAN网络前没有有线网络基础,大量的时间和成本消耗在构建有线网络过程中,对于组建后的WLAN网络,如果需要对其中某些AP位置进行调整,则需要调整相应的有线网络,操作困难。综上所述,传统WLAN网络的建设周期长、成本高、灵活性差的弊端,使其在应急通信、无线城域网或有线网络薄弱地区等应用场合不适合部署。而Mesh网络只需要安装AP,建网速度非常快
Mesh 角色
邻居发现
Mesh连接
Mesh路由
在Mesh网络中,任何一个源和目的地之间存在多条可用的、质量变化的Mesh链路,需要使用Mesh路由来进行选路。
华为的Mesh组网中,有两种Mesh路由管理帧:
对应的,有两种路由选择模式
一般来说,这两种模式会互相结合,以保证数据帧能始终沿着质量最好的Mesh链路进行传输。
MP节点上线
- MP1上电后,通过默认Mesh ID和默认预共享密钥等信息与已成功关联到WAC的邻居MP2进行Mesh Peering Open/Confirm交互,建立临时的非安全的Mesh连接,并建立到MPP节点的路由。
•MP1节点通过建立的Mesh连接与DHCP server交互获取到自己和WAC的IP地址。
•MP1节点通过建立的Mesh连接发现WAC并完成与WAC的关联,建立临时的CAPWAP隧道,并从WAC获取配置信息。
•MP1获取到新配置后,通过Mesh Peering Close消息主动断开临时的非安全的连接。
•MP1用新的mesh配置再次进行Mesh Peering Open/Confirm交互,然后完成密钥协商,协商出MP间通信的最终密钥,最后建立正式的安全的Mesh链路。
•MP1以更新后的配置重新与WAC建立安全的CAPWAP隧道。
•当MP1长时间无法与MP2建立mesh链路,则恢复默认配置,重新从步骤1开始,直到MP1以更新后的配置重新与WAC建立安全的CAPWAP隧道。
MP上线不需要登录到AP上进行配置,只需要在WAC上进行少量离线配置,就可以完成AP的上线。
Mesh中的STP场景
Mesh网络内部允许冗余的Mesh链路存在,Mesh转发路径由Mesh路由决定,Mesh链路不会出现环路。这里的环路主要指的是和有线侧结合形成了环路。
在Mesh组网中,可能会与有线侧形成环路。AP未使能STP时,MP对STP会进行透传,如果使能了STP,AP不会将STP报文传至无线侧,只会对AP有线侧进行破环。
场景一:
Switch和Mesh链路构成了单个环路,此时需要在涉及环路的网元Switch上配置STP功能,而在不涉及环路的网元WAC上要保证连接MPP节点的GE0/0/1接口未使能STP功能,环路网络才能成功破环。
场景二:
WAC、SwitchA、SwitchB和MPP节点构成了单一环路(环路1),SwitchC、SwitchD和MP3节点也构成了单一环路(环路2),如果Mesh链路透传了STP报文,则环路1会将不相关的环路2的网元SwitchC和SwitchD计算在内,造成环路1的STP计算错误。此时需要使能MPP节点和MP3节点的STP功能,让两个环路的STP报文不向无线侧透传。在环路1内MPP节点会参与环路1的STP计算,并根据计算结果阻塞有线侧接口。在环路2内MP3节点会参与环路2的STP计算,并根据计算结果阻塞有线侧接口。
常见的Mesh方案
单MPP节点
网状拓扑Mesh组网可以检测到其他MP,并且形成Mesh链路。该网络拓扑存在空口冗余链路,使用时,可以结合Mesh路由选择性地阻塞冗余链路来消除环路,在Mesh链路故障时还可以启用备份链路,实现可靠性。
多MPP节点
与MPP建立Mesh链路的MP和该MPP的无线信道相同。当覆盖不同区域时,可以配置多个MPP节点,通过将MPP配置在不同的工作信道,减少MP间相互竞争无线信道使用权,影响整体性能。同时,每个MP还能自主选择一个跳数最少的最优MPP节点作为连接有线网络的网关设备。
GRE
GRE(Generic Routing Encapsulation),通用路由封装协议,可以实现对某些网络层协议(例如IPX、IPv6等)的数据报文进行封装,是这些被封装的报文在另一个网络层协议(如IPv4)进行传输。
是不是觉得很眼熟,感觉跟VXLAN的实现思路很像?实际上他们都属于Overlay 技术,类似的技术还有NVGRE、SST、NVO3、EVPN等。
Enternet over GRE
将以太网报文通过GRE进行封装,在网络层协议(如IPv4)上进行传输,从而实现两个网络之间的二层互通。
实际场景
IPSec VPN
企业分支之间经常有通信需求,互联的解决方案也有很多,可以使用广域网或者Internet线路,若从Internet线路进行通信,可能有安全问题。IPSec VPN通过将数据加密,实现数据的安全传输。有关IPSec VPN的内容请看 IPSec
应用场景
GRE over IPSec
IPSec隧道建立的方式有两种:
如下图,WAC为公司分支网关,Router为公司总部网关,分支与总部通过公网建立通信。
公司希望对分支与总部之间的互访流量进行安全保护,因此考虑建立IPSec VPN进行安全保护。
而由于分支较庞大,有大量需要IPSec保护的数据流,因此可以基于虚拟隧道接口的方式建立GRE over IPSec,对Tunnel接口下的流量进行保护,不需要使用ACL定义待保护的流量特征。