淺析WLAN——無線局域網

概述

什麼是WLAN

WLAN即Wireless LAN (無線局域網)，是指通過無線技術構建的無線局域網絡。WLAN廣義上是指以無線電波、激光、紅外線等無線信號來代替有線局域網中的部分或全部傳輸介質所構成的網絡。

通過WLAN技術，用戶可以方便地接入到無線網絡，並在無線網絡覆蓋區域內自由移動，徹底擺脫有線網絡的束縛。

WLAN與Wi-Fi

WLAN：WLAN是計算機網絡和無線通信技術(Wi-Fi)相結合的產物，是有線網絡的無線化延伸。
Wi-Fi：Wi-Fi是一種基於IEEE 802.11標準的無線局域網技術。

在日常生活中，常會將Wi-Fi當做802.11的同義詞。
Wi-Fi也是Wi-Fi聯盟製造商的商標，並做爲Wi-Fi產品的品牌認證。Wi-Fi聯盟成立於1999年，當時的名稱叫做Wireless Ethernet Compatibility Alliance (WECA)。在2002年10月，正式改名爲Wi-Fi Alliance。

基本的WLAN組網架構

總體組網架構

FAT AP

基本概念

AP (Access Point,接入點)：爲STA ( Station，無線終端)提供基於802.1 1標準的無線接入服務，起到有線網絡和無線網絡的連接作用。
FAT AP (胖AP)：能夠獨立自治、自我管理的AP。FAT AP架構又稱爲自治式網絡架構。

架構特點

當部署單個AP時，FAT AP具備較好的獨立性，不需要另外部署集中控制設備，部署起來很方便，成本較低廉。
但是，在企業中，隨着WLAN覆蓋面積增大，接入用戶增多，需要部署的FAT AP數量也會增多。而每個FAT AP又是獨立工作的，缺少統一的控制設備，因此管理、維護這些FAT AP就變得十分麻煩。

FIT AP

基本概念

AC (Access Controller, 接入控制器)：在AC+FIT AP網絡架構中，AC對無線局域網中的所有FIT AP進行控制和管理。

架構特點

AC負責WLAN的接入控制、轉發和統計、AP的配置監控、漫遊管理、AP的網管代理、安全控制。
FIT AP (瘦AP )負責802.1 1報文的加解密、80211的物理層功能、接受AC的管理、空口的統計等簡單功能。
AC和AP之間使用的通信協議是CAPWAP。

相比於FAT AP架構，AC+FIT AP架構的優點如下

配置與部署更容易
安全性更高
更新與擴展容易

有線側組網概念

AC-AP組網方式

二層組網: AP與AC之間的網絡爲直連或者是二層網絡。

由於二層組網比較簡單，適用於簡單臨時的組網，能夠進行比較快速的組網配置,但不適用於大型組網架構。
三層組網: AP與AC之間的網絡爲三層網絡。

在實際組網中，一臺AC可以連接幾十甚至幾百臺AP，組網一般比較複雜，在大型組網中一般採用三層組網。.

AC連接方式

直連式組網

直連式組網可以認爲AP、AC與上層網絡串聯在一起，所有數據必須通過AC到達上層網絡。

直連式組網中AC同時扮演AC和匯聚交換機的功能，AP的數據業務和管理業務都由AC集中轉發和處理。

旁掛式組網

旁掛式組網，AC旁掛在AP與上行網絡的直連網絡中，不再直接連接AP。

旁掛式組網，AC旁掛在AP與上行網絡的直連網絡上，只起到控制管理的作用，並不參與數據的轉發。AP的業務數據可以不經AC而直接到達上行網絡。

CAPWAP

CAPWAP（Control And Provisioning of Wireless Access Points Protocol Specification,無線接入點控制和配置協議）：該協議定義瞭如何對AP進行管理、業務配置，即AC通過CAPWAP隧道來實現對AP的集中管理和控制。

CAPWAP隧道的功能

AP與AC間的狀態維護。
AC通過CAPWAP隧道對AP進行管理、業務配置下發。
當採用隧道轉發模式時，AP將STA發出的數據通過CAPWAP隧道實現與AC之間的交互。

無線側組網概念

無線通信系統

無線通信系統中，信息可以是圖像、文字、聲音等。信息需要先經過信源編碼轉換爲方便於電路計算和處理的數字信號，再經過信道編碼和調製，轉換爲無線電波發射出去。

BSS/BSSID/SSID

基本服務集BSS (Basic Service Set)

是一個AP所覆蓋的範圍，在一個BSS的服務區域內，STA可以相互通信。
基本服務集標識符BSSID (Basic Service Setldentifier)

是無線網絡的一個身份標識，用AP的MAC地址表示。
服務集標識符SSID (Service Set Identifier)

是無線網絡的一個身份標識，用字符串表示。爲了便於用戶辨識不同的無線網絡，用SSID代替BSSID 。

VAP

早期的AP只支持1個BSS，如果要在同一空間內部署多個BSS，則需要安放多個AP，這不但增加了成本，還佔用了信道資源。爲了改善這種狀況，現在的AP通常支持創建出多個虛擬AP (Virtual Access Point, VAP)。

虛擬接入點VAP

VAP就是在一個物理實體AP上虛擬出的多個AP。每一個被虛擬出的AP就是一個VAP。每個VAP提供和物理實體AP一樣的功能。所有的VAP都在共用一個AP的帶寬和運算能力。
每個VAP對應1個BSS。這樣1個AP，就可以提供多個BSS,可以再爲這些BSS，設置不同的SSID。

ESS

爲了滿足實際業務的需求，需要對BSS的覆蓋範圍進行擴展。同時用戶從一個BSS移動到另一個BSS時，不能感知到SSID的變化，則可以通過擴展服務集ESS
實現。

擴展服務集ESS (Extend Service Set)

由多個使用相同SSID的BSS組成，即所有AP的SSID是一致的。是採用相同的SSID的多個BSS組成的更大規模的虛擬BSS。

上圖中由AP1過渡到AP2會經歷一個漫遊的過程。（漫遊指移動終端離開自己註冊登記的服務區域，移動到另一服務區後，移動通信系統仍可向其提供服務的功能）

WLAN的工作流程

AP上線

AP獲取IP地址

AP必須獲得IP地址才能夠與AC通信，WLAN網絡才能夠正常工作。

AP獲取IP地址的方式包括以下

靜態方式：登錄到AP設備上手工配置IP地址。
DHCP方式：通過配置DHCP服務器，使AP作爲DHCP客戶端向DHCP服務器請求IP地址。

典型方案

使用AC的DHCP服務爲AP分配IP地址。
使用網絡中的設備，例如核心交換機或者專門的DHCP服務器爲AP分配IP地址。

CAPWAP隧道的建立

AC通過CAPWAP隧道來實現對AP的集中管理和控制。

Discovery階段 ( AP發現AC階段）
AP通過發送Discovery Request報文，找到可用的AC

AP發現AC有兩種方式
- 靜態方式：AP上預先配置AC的靜態IP地址列表。
- 動態方式:：
  DHCP方式：通過DHCP獲取IP地址的過程中，獲取AC的IP
  廣播方式：AP會發送Discovery Request消息廣播請求AC的IP地址，AC收到後會迴應Discovery Response消息。
建立CAPWAP隧道階段
AP與AC關聯，完成CAPWAP隧道建立。包括數據隧道和控制隧道。
- 數據隧道：AP接收的業務數據報文經過CAPWAP數據隧道集中到AC上轉發。同時還可以選擇對數據隧道進行數據傳輸層安全DTLS ( Datagram Transport Layer Security)加
  密，使能DTLS加密功能後。CAPWAP數據報文都會經過DTLS加解密。
- 控制隧道：通過CAPWAP控制隧道實現AP與AC之間的管理報文的交互。同時還可以選擇對控制隧道進行數據傳輸層安全DTLS加密，使能DTLS加密功能後，CAPWAP控制報文都會經過DTLS加解密。

AP接入控制

AP發現AC後，會發送Join Request報文。AC收到後會判斷是否允許該AP接入，並響應Join Response報文。

AC上支持三種對AP的認證方式: MAC認證、序列號(每臺AP的標識符—— SN ，是唯一的)認證和不認證。

AP的版本升級（可選項）

AP根據收到的Join Response報文中的參數判斷當前的系統軟件版本是否與AC上指定的一致。如果不一致，則AP通過發送Image Data Request報文請求軟件版本，然後進行版本升級，升級方式包括AC模式、FTP模式（不安全）和SFTP模式（安全的FTP模式）。

AP在軟件版本更新完成後重新啓動，重複進行前面三個步驟。

CAPWAP隧道維持

隧道AP方的端口號隨機產生，AC方目的端口號5246。

數據隧道維持：AP與AC之間交互Keepalive報文來檢測數據隧道的連通狀態。
控制隧道維持：AP與AC交互Echo報文來檢測控制隧道的連通狀態。

AP上線過程圖

爲確保AP能夠上線，AC需預先配置如下內容

創建AP組

每個AP都會加入並且只能加入到一個AP組中，AP組通常用於多個AP的通用配置。
配置網絡互通

配置DHCP服務器，爲AP和STA分配IP地址，也可將AC設備配置爲DHCP服務器。

配置AP到DHCP服務器間的網絡互通;配置AP到AC之間的網絡互通。
配置AC的國家碼國家碼(域管理模板)

用來標識AP射頻所在的國家，不同國家碼規定了不同的AP射頻特性，包括AP的發送功率、支持的信道等。
配置源接口或源地址（與AP建隧道）

每臺AC都必須唯一指定一個IP地址或接口，該AC設備下掛接的AP學習到此IP地址或者此接口下配置的IP地址，用於AC和AP間的通信，以及CAPWAP隧道的建立。
配置AC的網元名稱（可選）

每個AC是一個網元，通過將AC的網元名稱設置爲具有實際意義的值，來區分不同的AC設備，方便用戶對AC設備進行管理。
配置AP上線時自動升級（可選）

自動升級是指AP在上線過程中自動對比自身版本與AC或SFTP或FTP服務器上配置的AP版本是否一致，如果版本不一致，則進行升級，然後AP自動重啓再重新上線。
添加AP設備（配置AP認證模式）

添加AP有三種方式: 離線導入AP、自動發現AP以及手工確認未認證列表中的AP。

WLAN業務配置下發

AC向AP發送Configuration Update Request請求消息，AP迴應
Configuration Update Response消息，AC再將AP的業務配置信
息下發給AP。

配置射頻

配置基本射頻參數

配置指定射頻的工作帶寬和信道、天線增益、發射功率、覆蓋距離參數、工作頻段等。
創建射頻模板

基本的射頻參數直接在射頻接口下配置，其它射頻參數在射頻模板下配置。

射頻模板分爲2G射頻模板和5G射頻模板，分別對2.4GHz射頻和5GHz射頻生效。
AP或AP組

將射頻模板引用到AP組、AP、AP射頻或AP組射頻中，射頻模板下的配置才能夠自動下發到指定AP上並生效。

配置VAP

創建SSID模板

SSID用來指定不同的無線網絡。在STA上搜索可接入的無線網絡時，顯示出來的網絡名稱就是SSID。

SSID模板主要用於配置WLAN網絡的SSID名稱。
創建安全模板

配置WLAN安全策略，可以對無線終端( STA)進行身份驗證，對用戶的報文進行加密，保護WLAN網絡和用戶的安全。
創建VAP模板

在VAP模板下配置各項參數，然後在AP組或AP中引用VAP模板，AP上就會生成VAP，VAP用來爲STA提供無線接入服務。
配置數據轉發方式

WLAN網絡中的數據包括控制報文(管理報文)和數據報文。例如在旁掛式組網中，配置數據報文直接通過交換路由設備轉發；在直連式組網中，數據報文通過AC轉發。
配置業務VLAN

VAP下發給AP的二層業務數據報文中都會帶有業務VLAN的VLAN-ID。
AP或AP組

將VAP模板綁定進AP或AP組，即爲AP下發WLAN業務。

整體過程圖如下

STA接入

CAPWAP隧道建立完成後，用戶就可以接入無線網絡。

STA接入過程分爲六個階段：掃描階段、鏈路認證階段、關聯階
段、接入認證階段、DHCP、用戶認證。

掃描

STA可以通過主動掃描，定期搜索周圍的無線網絡，獲取到周圍的無線網絡信息。

根據Probe Request幀(探測請求幀)是否攜帶SSID,可以將主動掃描分爲兩種：

攜帶有指定SSID的主動掃描方式

客戶端發送攜帶有指定SSID的Probe Request ;STA依次在每個信道發出Probe Request幀，尋找與STA有相同SSID的AP，只有能夠提供指
定SSID無線服務的AP接收到該探測請求後纔回復探查響應。

攜帶空SSID的主動掃描方式

客戶端發送廣播Probe Request，客戶端會定期地在其支持的信道列表中，發送Probe Request幀掃描無線網絡。當AP收到Probe Request幀後，會迴應Probe Response幀通告可以提供的無線網絡信息。

鏈路認證

爲了保證無線鏈路的安全，接入過程中AP需要完成對STA的認證。

802.11鏈路定義了兩種認證機制：開放系統認證和共享密鑰認證。

開放系統認證：即不認證，任何STA都可以接入成功。
共享密鑰認證：STA和AP預先配置相同的共享密鑰，驗證兩邊的密鑰配置是否相同。如果一致，則認證成功；否則，認證失敗。

關聯

完成鏈路認證後，STA會繼續發起鏈路服務協商，具體的協商通過Association報文實現。

終端關聯過程實質上就是鏈路服務協商的過程，協商內容包括：支持的速率、信道等。

接入認證

接入認證即對用戶進行區分，並在用戶訪問網絡之前限制其訪問權限。相對於鏈路認證，接入認證安全性更高。

主要包含：PSK認證和802.1X認證。

DHCP

STA獲取到自身的IP地址，是STA正常上線的前提條件。

如果STA是通過DHCP方式獲取IP地址，可以用AC設備或匯聚交換機作爲DHCP服務器爲STA分配IP地址。一般情況下使用匯聚交換機作爲DHCP服務器。

用戶認證

用戶認證是一種“端到端”的安全結構，包括: 802.1X認證、MAC認證和PoR1l認證。

WLAN業務數據轉發

CAPWAP中的數據包括控制報文(管理報文)和數據報文。

控制報文是通過CAPWAP的控制隧道轉發的，用戶的數據報文分爲隧道轉發(又稱爲“集中轉發" )方式和直接轉發(又稱爲“本地轉發")方式。