華為 huawei 無線網 AP WLAN從入門到精通

2015年01月17日

 華為 huawei 無線網  ap  【WLAN從入門到精通-基礎篇】AP上線過程

 話說AP家有兄弟倆,哥哥胖APFAT AP)身強體健,單打獨斗,無人能出其右,弟弟瘦APFIT AP)天生體質薄弱,獨自一人無法支撐大梁。有天弟弟對哥哥說:“大哥,我真是羨慕你,一個人就能輕松承擔無線用戶接入、用戶數據加密和轉發等功能,而我自己一人,卻什么都干不了啊。”哥哥說到:“弟弟莫要灰心,俗話說,天生我材必有用,雖說單打獨斗你不是我對手,可是我的能力也僅限于小型企業、商店、SOHO辦公、家庭等這類的小型WLAN網絡應用場景,對于更大的WLAN網絡場景,卻是心有余而力不足了。反觀弟弟你,若是能找到一個好的師傅(AC),在師傅的帶領下,和眾多師兄弟(其它的FIT AP)一起,應對各類大中小型企業總部、分支機構、高校、機場、體育場等等大中型WLAN網絡應用場景,還不是手到擒來。”聽完此話,弟弟恍然大悟:“大哥言之有理,小弟這就準備準備,尋找名師拜入門下。”

于是FIT AP就開始了他的拜師之旅-這就是我們本次分享的內容:AP上線過程。

從前面的WLAN技術貼中,我們了解到了AP分胖瘦,FAT AP能夠獨自承擔無線用戶接入、用戶數據加密和轉發等功能,而FIT AP必須依賴于AC才能共同完成這些功能。AC在協同FIT AP共同工作之前,必先要實現FIT APAC中上線的過程。

拜師之前,FIT AP心想,出門在外,得先有個聯系方式(IP地址)才行,不然要是有師傅愿意接收自己,卻沒有聯系方式找到自己,豈不是錯過了機會。于是FIT AP來到了DHCP Server營業廳辦理IP地址業務。

AP獲取IP地址

一進營業廳,FIT AP就大喊一聲(廣播方式):“我要辦理一個IP地址。”這時有多位DHCP Server的工作人員熱情回復,“您好,來看看我這的IP地址,是否滿意。”FIT AP毫不猶豫,直接走向第一個回復的工作人員,“好,就要你給的IP地址了。”工作人員打包好IP地址、租期日期、網關地址、DNS ServerIP地址等等信息,一起交給FIT AP,道:“請拿好,這就是您要的貨物了。”收好自己的IP地址,FIT AP滿意的走出了營業廳大門。

 

APIP地址可以是靜態配置的,也可以是通過DHCP動態獲取的。

如果是靜態配置的,APIP地址立即就確定了,這一步也就結束了。

如果是通過DHCP動態獲取,AP不知道誰是DHCP Server,會以廣播discovery報文的方式去發現DHCP Server,所有收到這個廣播信息的DHCP Server都會單播offer回應AP。AP只接收第一個到達的offer,并廣播request告訴所有人,我已經選擇好了一個DHCP Server了,其他人不需要再準備為我提供DHCP Server服務了。AP選擇的DHCP Server會把APIP地址、租期日期、網關地址、DNS ServerIP地址等信息用ACK報文反饋給AP。值得注意的是這個ACK報文里面有個option43字段,里面可以用來填充ACIP地址。作用就是直接告訴APACIP地址可用。具體在后面的AP發現AC階段中描述其作用。

有的時候APDHCP Server不在同一個VLAN中,AP通過廣播discovery報文不能直接發現DHCP Server,這個時候,可以通過DHCP Relay來發現DHCP Server。AP獲取IP地址的流程就變成了下面的樣子:

 

 

AP原來只需要直接和DHCP Server交流,現在變成了和DHCP Relay直接交流,由DHCP RelayAP的請求單播給DHCP Server,DHCP Server回復給AP的消息也要通過DHCP Relay來轉達。

Ps:具體的DHCP客戶端和服務器的交互過程本帖不做過多的介紹,本帖僅關注AP上線的關鍵過程?梢詤⒖DHCP特性的原理描述來了解詳細過程。

聯系方式既然已經獲取到,下一步就是要尋找師傅了。

AP發現AC

這個時候AP突然想起,DHCP Server營業廳的工作人員給過自己一份廣告傳單。上書“你想升職加薪,當上總經理,出任CEO,贏取白富美,走上人生巔峰嗎!趕緊撥打我們的電話,成為我們大企業WLAN的一份子吧,圓你美夢。機不可失,時不再來,名師在向您招手”。原來是一份招聘廣告,上面還有一位AC師傅的號碼(Option43)。AP深吸一口氣,平復一下略微緊張的心情,撥通了傳單上的師傅電話。 

 

想象中的場景沒有出現,而是 

對方的電話一直沒有人接聽,AP感到一陣失望,但并未氣餒。既然此路不通,只好找其它方法了。有了,AP腦中靈光一閃,迅速坐到電腦前,打開AC師傅招收學徒的網頁,注冊了個賬號,填寫一份簡歷,然后群發了出去。很快AP就收到了來自多個AC的回復,AP根據各個AC師傅的特點,仔細對比,選擇出了一個最適合自己的AC,準備拜師。

靜態方式

AP上是支持靜態配置ACIP地址的,如果靜態配置了ACIP地址,AP就會向所有配置的AC單播發送發現請求報文,然后根據AC的回復,根據優先級,選擇一個AC,準備進行下一個階段的建立CAPWAP隧道。

動態方式

如果AP上沒有配置ACIP地址,AP會根據當前的情況來決定是使用單播方式還是廣播方式來發現AC。

首先,AP會查看AP獲取IP地址階段中DHCP Server回復的ACK報文中的option43字段是否存在ACIP地址,這個字段是可選擇配置的,如果有ACIP地址,AP就會向這個地址單播發送發現請求報文。在AC和網絡都正常的情況下,AC會回應AP的請求,至此,AP就完成了發現AC的過程。我們可以把這種發現AC的方式稱為DHCP方式。

DHCP方式類似的還有DNS方式,與DHCP方式不同的是,DNS方式中,DHCP Server回復的ACK報文中存放的不是ACIP地址,而是AC的域名和DNS服務器的IP地址,并且報文中攜帶的option15字段用來存放AC的域名,AP先通過獲取的域名和DNS服務器進行域名解析,獲取AC IP地址,然后向AC單播發送發現請求。之后的過程就和DHCP方式一致了。

無論是DHCP方式還是DNS方式,都是屬于單播方式,AP都是發送的單播報文給AC。

如果AP上沒有配置靜態的AC IP地址、DHCP Server回復的ACK報文中沒有AC的信息、或者AP單播發送的發現請求報文都沒有響應,此時AP就會通過廣播報文來發現AC。和AP處于同一個網段的所有AC都會響應AP的請求,AP會選擇優先級最高的AC來作為待關聯的AC,如果優先級相同,則繼續比較AC的負載,負載輕的作為待關聯AC,如果負載也相同,則選擇IP地址小的作為待關聯AC。然后準備進行下一階段的CAPWAP隧道建立。

 

 

PsOption 43ACAP間的網絡是二層的場景下,存在的作用不明顯,因為通過單播發現不了AC,可以再次通過廣播來發現,但是如果ACAP間的網絡是三層的,廣播報文是無法直接傳遞到AC的,所以必須要通過Option43來告知AP要找的AC是哪個。

CAPWAP隧道建鏈

雖然有點小困難,但最終還是找到了師傅,AC師傅看到AP后,直言道:“當今的社會,大家都非常注意信息安全,你我之間的談話內容和下發的工作信息,我不希望被其他有心人聽取到,所以今后我們之間的交流方式要加一套保險措施。”AP略一思索,覺得也有道理,便問道:“什么保險措施能夠起到有效的保障呢?”。師傅捋了捋自己的長須,得意的道:“CAPWAP隧道”

CAPWAP全稱是Control And Provisioning of Wireless Access Points,中文名叫無線接入點控制與規范,CAPWAP是由RFC5415協議定義的實現APAC之間的互通的通用封裝和傳輸機制。CAPWAP隧道又細分為控制隧道和數據隧道?刂扑淼朗怯脕韨鬏AC管理控制AP的報文、業務配置以及ACAP間的狀態維護報文;數據隧道則只有在隧道轉發(又稱集中轉發)方式下才用來傳輸業務數據。

AP發現了AC后,就可以開始CAPWAP隧道的建立了。

AP接入控制

接下來,到了考驗AP入門資格的時候了,不是每一個AP都是符合入門要求的AP。在AP提出要拜師的想法后,為了保證入門AP的合法性,防止有外人或間諜(非法AP)混入,AC師傅設置了一系列的考核要求進行檢驗,AP必須過五關斬六將,才能最終通過考驗,拜入AC門下。鑒于AP是帶藝投師,AC還要驗證AP的內功(AP版本)是否與本門是一個路數,是否和本門武功相沖。

 

 

AP在找到AC后,會向AC發送加入請求,(如果配置了CAPWAP隧道的DTLS加密功能,會先建立DTLS鏈路,此后CAPWAP控制報文都要進行DTLS加解密。)請求的內容中會包含AP的版本和胖瘦模式信息。AC收到AP的加入請求后,會判斷是否允許AP接入,然后AC進行回應。如果AC上有對應的升級配置,則AC還會在回應的報文中攜帶AP的版本升級信息(升級版本、升級方式等)。

AC判斷AP是否能夠接入的流程:

 

 

第一關,首先查看AP是否被列入了黑名單,如果在黑名單中能匹配上AP,則不允許AP接入,然后就沒有然后了。如果很幸運,沒有匹配上黑名單,那么將進入第二關。

第二關,判斷AP的認證模式,如果AC上對AP上線要求不嚴格,認證方式為不認證,則到這一關的AP都將闖關成功,允許接入。實際使用場景還是建議使用MACSN認證,嚴格控制AP的接入。如果是MACSN認證,還需要繼續闖關。

第三關,本關MACSN認證分別要驗證MACSN對應的AP是否離線添加,如果已添加,則允許AP接入,否則進入下一關。

第四關,查看APMACSN是否能在白名單中匹配上,如果匹配上,則允許接入,否則AP被放入到未認證列表中。

第五關,未認證列表中的AP可以通過手動配置的方式,允許其接入,如果不對其進行手動確認,AP也無法接入。

AP版本升級

AC收下AP為徒后,遞給AP一本本門的內功心法要求,AP打開一看,發現自己所學的內功心法(AP版本)竟然與師傅所要求的相沖,AP一咬牙,不破不立,毅然散去所學內功,重修本門的心法。

AP收到前一階段AC回應的報文后,如果發現里面有指定了AP的版本,并且指定的版本與AP當前的版本不一致,會進行AP版本升級。升級完成后,AP自動重新啟動,并且重復之前的所有上線過程。如果AP發現AC回應的報文里面指定的AP版本和自身的版本一致,或者沒有指定AP的版本,則AP不需要進行版本升級。直接進入下一個階段。

CAPWAP隧道維持

“為了便于關注你的工作狀態,對你進行管理和任務分發,你和為師之間要通過CAPWAP隧道來維持聯系。平時會通過定時收發echo報文來確認控制隧道、keepalive報文來確認數據隧道的連通性,你要記住了,平時別偷懶忘記收發這些報文了。”“徒兒記住了。”

根據CAPWAP協議的要求,APAC間還需要進行一些其它報文的交互,然后APAC間開始通過keepaliveecho報文來檢測數據隧道和控制隧道的連通性。Keepalive報文的出現,標志著數據隧道已經建立起來,echo報文的出現,則標志著控制隧道的已經建立。

配置下發

“師傅,一切都已準備就緒,請下發工作任務給我吧”,AP急不可耐的道。“好,我這就下發。從現在起你就和其他師兄弟一起,共同承擔我分發的任務,一起保障WLAN業務的正常運行吧。”

CAPWAP隧道建立完成后,AC就可以把配置下發給AP了。AP收到AC的配置信息后,就能以AC上配置的業務來展開WLAN業務了。

后記

FIT AP拜師入門已經過去一段時日,這日,FIT AP遇到了哥哥FAT AP,哥哥道:“如何,現在已經拜得名師,大展身手了吧。”弟弟喜笑顏開:“多虧大哥當時指點,前些日子我已經順利拜入師傅名下,習得高深的內功,現在被師傅委以重任,與諸位師兄弟一起,支撐起來大片的WLAN網絡場景。”“好,你我兄弟各有短長,今后我們可以攜手并進,輕松應對各類無線組網場景。在WLAN江湖中闖出自己的一片天地。”

來源:煙臺三和網絡系統有限公司
煙臺三和網絡系統有限公司
王鋼
經營模式 :
經銷批發
所在地區 :
山東省 煙臺市 芝罘區 芝罘屯路12號科技市場115室

地址:山東煙臺科技市場115室

Tel:(86) 0535-6655824

Fax:(86)0535-6666862

http://www.bnbqz.com