「WLAN」- AP 上线流程

  CREATED BY JENKINSBOT

流程概述

0)预先 AC 配置:为确保 AP 能够上线,AC 需预先配置;
1)AP 上线:AP 获取IP地址并发现AC,与AC建立连接
2)WLAN 业务配置下发:AC将WLAN业务配置下发到AP生效
3)STA 接入:STA搜索到AP发射的SSID并连接、上线,接入网络
4)WLAN 业务数据转发:WLAN网络开始转发业务数据

第零步、预先 AC 配置(命令)

为确保AP能够上线,AC需预先配置

创建 AP Group 实例

每个 AP 都会加入并且只能加入到一个 AP Group 中,AP Group 通常用于多个 AP 的通用配置;

配置网络互通(DHCP,Layer 3)

配置 DHCP 服务器,为 AP 和 STA 分配 IP 地址,也可将 AC 配置为 DHCP 服务器;

配置 AP 到 DHCP 服务器间的网络互通;配置 AP 到 AC 间的网络互通;

配置 AC 国家码(域管理模板)

国家码用来标识AP射频所在的国家,不同国家码规定了不同的AP射频特性,包括AP的发送功率、支持的信道等;

配置源接口或源地址(与 AP 建隧道)

每台 AC 都必须唯一指定一个 IP 地址或接口,该 AC 挂接的 AP 学习到此IP地址或者此接口下配置的IP地址,用于AC和AP间的通信,以及CAPWAP 隧道的建立;

配置 AC 网元名称(可选)

每个AC是一个网元,通过将AC的网元名称设置为具有实际意义的值,来区分不同的AC设备,方便用户对AC设备进行管理;

配置 AP 上线自动升级(可选)

自动升级是指AP在上线过程中自动对比自身版本与AC或SFTP或FTP服务器上配置的AP版本是否一致,如果版本不一致,则进行升级,然后AP自动重启再重新上线;

添加 AP 设备(配置认证模式)

添加 AP 有三种方式:离线导入 AP、自动发现 AP、手工确认在未认证列表中的AP;

补充说明:当 AC 认证 AP 时,检查 MAC SN 序列号等等以认证 AP 设备,需要提前在 AC 中手动添加;

第一步、加入 AP 节点(自动)

概述:AP 上线,AP 获取 IP 地址并发现 AC,与 AC 建立连接;FIT AP 需完成上线过程,AC才能实现对AP的集中管理和控制,以及业务下发;

如果为 AP 上线过程的报文交互简单视图(未包含所有过程):

AP 获取 IP 地址

解释:AP 必须获得 IP Address 才能够与 AC 通信,WLAN 网络才能够正常工作;

AP 获取 IP Address 的方式包括以下:
1)静态:手动绑定地址,登录到 AP 并手工配置 IP Address;
2)动态:通过 DHCP Server 获取,使 AP 作为 DHCP Client 向 DHCP Server 请求 IP Address;

典型方案:
1)配置 DHCP Server 来处理请求;
2)配置 AC 为 DHCP Server 来分配地址;
3)使用其他网络设备,例如核心交换机为 AP 分配 IP Address;

建立 CAPWAP 隧道

解释:AC 通过 CAPWAP 隧道来实现对 AP 的集中管理和控制;

首先,AP 获知 AC:
1)静态方式,AP 上预先配置 AC 的静态 IP 地址列表;
2)动态方式:DHCP(Option 43 返回 AC 网络地址,三层)、DNS、广播(Discovery Response,二层)

然后,AP 联系 AC:
1)AP 通过发送 Discovery Request 报文,找到可用的 AC 设备;
2)然后 AC 响应 Discovery Response 报文;

最后,建立 CAPWAP 隧道:
1)AP 与 AC关联,完成 CAPWAP 隧道建立,包括数据隧道和控制隧道;
2)并且,当关联完成后,AP 会看到 CAPWAP UP 提示;

数据隧道:
1)AP 接收的业务数据报文,经过 CAPWAP 数据隧道,集中到AC上转发;
2)能够选择对数据隧道进行DTLS(数据传输层安全,Datagram Transport Layer Security)加密;当开启 DTLS 功能后,CAPWAP 数据报文都会经过 DTLS 加解密;

控制隧道:
1)通过 CAPWAP 控制隧道实现 AP 与 AC 之间的管理报文的交互;
2)能够选择对控制隧道进行数据传输层安全 DTLS 加密;使能 DTLS 加密功能后,CAPWAP 控制报文都会经过 DTLS 加解密;

控制 AP 接入

1)AP 发现 AC 后,会发送 Join Request 报文;
2)AC 收到后,将检查是否允许该 AP 接入,并响应 Join Response 报文;

AC 支持三种对 AP 的认证方式:
1)MAC 认证;
2)序列号(SN)认证;
3)不认证;

升级 AP 版本

AP 版本升级:通过 AC、FTP 等等进行升级;

AP 根据收到的 Join Response 报文的参数:
1)AP 判断当前的系统软件版本是否与 AC 上指定的一致;
2)如果不一致,则AP通过发送 Image Data Request 报文请求软件版本,然后进行版本升级;
3)AP在软件版本更新完成后,重新启动(并重新执行 AP 上线过程);

升级方式包括:AC Mode、FTP Mode、SFTP Mode;

维持 CAPWAP 隧道

数据隧道维持:
1)AP 与 AC 之间交互 Keepalive 报文来检测数据隧道的连通状态;
2)使用 UDP.Port= 5247 报文;

控制隧道维持:
1)AP 与 AC 交互 Echo 报文来检测控制隧道的连通状态,
2)使用 UDP.Port= 5246 报文;

第二步、配置 AP 节点(命令)

WLAN 业务配置下发,AC将WLAN业务配置下发到AP生效:
1)AC 向 AP 发送 Configuration Update Request 请求消息,
2)AP 回应 Configuration Update Response 消息,
3)AC 再将 AP 的业务配置信息下发给AP;

配置 射频 参数

配置 VAP 参数

第三步、终端设备接入

扫描网络

STA可以通过主动扫描,定期搜索周围的无线网络,获取到周围的无线网络信息;

根据 Probe Request 帧(探测请求帧)是否携带SSID,可以将主动扫描分为两种:

1)STA 发送携带有指定 SSID 的Probe Request:STA 依次在每个信道发出 Probe Request 帧,寻找与 STA 有相同 SSID 的 AP,只有能够提供指定 SSID 无线服务的AP接收到该探测请求后才回复 Probe Response 帧;

2)携带空SSID的主动扫描方式:客户端发送广播 Probe Request,客户端会定期地在其支持的信道列表中,发送Probe Request帧扫描无线网络;当AP收到Probe Request帧后,会回应 Probe Response 帧通告可以提供的无线网络信息;

还有种被动模式,即在 STA 中手动指定 SSID 名称;

链路认证(AP,STA,设备认证)

为了保证无线链路的安全,接入过程中 AP 需要完成对 STA 的认证(这属于链路层认证,注意与用户认证区分);
802.11 链路定义两种认证机制:

1)开放系统认证:即不认证,任意STA都可以认证成功;

2)共享密钥认证:STA和AP预先配置相同的共享密钥,验证两边的密钥配置是否相同;如果一致,则认证成功;否则,认证失败;

但是,通常不做链路认证;

关联设备

完成链路认证后,STA 会继续发起链路服务协商,具体的协商通过 Association 报文实现;
终端关联过程的实质:链路服务协商的过程,协商内容包括:支持的速率、信道等;

接入认证(用户认证)

接入认证即对用户进行区分,并在用户访问网络之前限制其访问权限;相对于链路认证,接入认证安全性更高;

接入认证相当于在无线侧的接口做认证,让终端用户有权限在无线链路上发送数据;

主要包含:PSK认证;802.1X认证;

无线接入安全协议:WLAN技术是以无线射频信号作为业务数据的传输介质,这种开放的信道使攻击者很容易对无线信道中传输的业务数据进行窃听和篡改;因此,安全性成为阻碍WLAN技术发展的最重要因素;

常用认证方式:

配置获取(DHCP)

STA获取到自身的IP地址,是STA正常上线的前提条件;
如果STA是通过DHCP方式获取IP地址,可以用AC设备或汇聚交换机作为DHCP服务器为STA分配IP地址;一般情况下使用汇聚交换机作为DHCP服务器;

用户认证(可选)

用户认证是一种“端到端”的安全结构,包括:802.1X认证、MAC认证、PoR1l认证;

PoR1l认证,也称Web认证,一般将PoR1l认证网站称为门户网站;用户上网时,必须在门户网站进行认证;只有认证通过后才可以使用网络资源;

第四步、业务数据转发

在 CAPWAP 中,数据包括:控制报文(管理报文)和数据报文;
1)控制报文:通过CAPWAP的控制隧道转发的;
2)数据报文:分为隧道转发(又称为“集中转发”)方式和直接转发(又称为“本地转发”)方式;

隧道转发:是指用户的数据报文到达AP后,需要经过CAPWAP数据隧道封装后发送给AC,然后由AC再转发到上层网络;

直接转发:是指用户的数据报文到达AP后,不经过CAPWAP的隧道封装而直接转发到上层网络;