ap與ac知識詳解

1、AP與AC知識介紹,SignalSky2010年12月11號,提綱,基本概念WLAN演進(jìn)AP與AC通訊CAPWAP協(xié)議,基本概念: AP,無線接入點(diǎn)（AP）：電信級無線覆蓋設(shè)備相當(dāng)于一個連接有線網(wǎng)和無線網(wǎng)的橋梁其主要作用是將各個無線網(wǎng)絡(luò)客戶端連接到一起，實(shí)現(xiàn)大范圍、多用戶的無線接入根據(jù)應(yīng)用場景不同，AP通常可分為室內(nèi)型和室外型室內(nèi)環(huán)境下覆蓋范圍通常在30米~100米，室外環(huán)境最大覆蓋范圍可達(dá)到800米,基本概念: AC

2、,接入控制器（AC）：無線局域網(wǎng)接入控制設(shè)備負(fù)責(zé)將來自不同AP的數(shù)據(jù)進(jìn)行匯聚并接入Internet同時完成AP設(shè)備的配置管理和無線用戶的認(rèn)證、管理，以及帶寬、訪問、切換、安全等控制功能。AC強(qiáng)大的管理和控制功能，能夠構(gòu)建出個性化、專業(yè)化的WLAN解決方案。,基本概念:瘦AP,“瘦”AP：無線接入點(diǎn)也稱無線網(wǎng)橋、無線網(wǎng)關(guān)。此無線設(shè)備的傳輸機(jī)制相當(dāng)于有線網(wǎng)絡(luò)中的集線器在無線局 域網(wǎng)中不停地接收和傳送數(shù)據(jù);任何一臺裝有無線網(wǎng)卡的

3、PC均可通過AP來分享有線局域網(wǎng)絡(luò)甚至廣域網(wǎng)絡(luò)的資源。理論上，當(dāng)網(wǎng)絡(luò)中增加一個無線AP之后，即 可成倍地?cái)U(kuò)展網(wǎng)絡(luò)覆蓋直徑;還可使網(wǎng)絡(luò)中容納更多的網(wǎng)絡(luò)設(shè)備。每個無線AP基本上都擁有一個以太網(wǎng)接口，用于實(shí)現(xiàn)無線與有線的連接。,基本概念:胖AP,胖AP：其學(xué)名應(yīng)該稱之為無線路由器。一般具備WAN、LAN兩個接口，多支持DHCP服務(wù)器、DNS和MAC地址克隆，以及VPN接入、防火墻等安全功能。,基本概念:胖瘦AP比較,有些生產(chǎn)商用瘦AP代

4、表只有少數(shù)先進(jìn)功能的入門級/住宅級別產(chǎn)品。與之相對，胖AP擁有很多企業(yè)網(wǎng)絡(luò)功能，如標(biāo)識和基于SNMP管理等。 有些生產(chǎn)商使用瘦AP代表自身不能單獨(dú)配置或者使用的AP產(chǎn)品，這種產(chǎn)品僅僅是一個WLAN交換系統(tǒng)的一部分，負(fù)責(zé)管理安裝和操作。在這種情況下，胖AP就是任意的獨(dú)立AP，無論這個AP的功能集是什么樣的。 有些生產(chǎn)商則使用瘦AP代表那些將一些選定的任務(wù)交托給上層服務(wù)器的產(chǎn)品，這些任務(wù)例如與一個802.1X認(rèn)證服務(wù)器通訊，產(chǎn)生一個加密

5、密鑰，作為一個VPN的網(wǎng)關(guān)，或者針對跨網(wǎng)絡(luò)移動性進(jìn)行重新路由，這些功能都可以由一個胖AP執(zhí)行，而不需要交托給上層的服務(wù)器。,WLAN演進(jìn)：胖AP到瘦AP,最早的WLAN設(shè)備，將多種功能集為一身，如：物理層、鏈路層、用戶數(shù)據(jù)加密、用戶的認(rèn)證、QoS、安全策略、用戶 的管理及其他應(yīng)用層功能集為一體，傳統(tǒng)將這類WLAN設(shè)備俗稱為“胖”AP?！芭帧盇P的特點(diǎn)是配置靈活、安裝簡單、性價比高，但AP之間相互獨(dú)立，無法適合用戶密度高、多個AP連續(xù)覆

6、蓋等環(huán)境復(fù)雜的場所。為此產(chǎn)生集中控制型AC+AP設(shè)備，通過集中控制器AC和輕量級AP配合，實(shí)現(xiàn)“胖”AP設(shè)備的功能。其中，輕量級AP只保留物理鏈路層和 MAC功能，提供可靠、高性能的射頻管理，包括802.11協(xié)議的無線連接；集中控制器AC集中所有的上層功能，包括安全、控制和管理等功能，與傳統(tǒng)的 AP相比，輕量級AP實(shí)現(xiàn)的功能大大減弱，故俗稱為“瘦”AP。,WLAN演進(jìn)：協(xié)議與分類,輕量級AP與集中控制器AC之間是通過隧道來傳輸控制信令

7、和用戶業(yè)務(wù)數(shù)據(jù)。由于集中控制型AC+AP架構(gòu)的國際標(biāo)準(zhǔn)(CAPWAP協(xié)議)出現(xiàn)的比較遲，因此 各廠家的隧道均是私有協(xié)議，不同廠家設(shè)備之間不能互通。在實(shí)際應(yīng)用中，建議一個區(qū)域只用一個廠家的集中控制型AC+AP設(shè)備。 從WLAN設(shè)備的實(shí)現(xiàn)方式來看，WLAN設(shè)備可分為三類：橋接型WLAN設(shè)備、路由型WLAN設(shè)備、集中控制型WLAN設(shè)備。從WLAN設(shè)備的應(yīng)用環(huán)境來看，WLAN設(shè)備可分為室內(nèi)型WLAN設(shè)備和室外型WLAN設(shè)備，依據(jù)應(yīng)用方式和發(fā)

8、射功率又可將這室內(nèi)型和室外型WLAN設(shè)備進(jìn)一步作如下細(xì)分：,WLAN演進(jìn)： AC+AP架構(gòu)優(yōu)勢,總體而言，集中控制型AC+AP架構(gòu)，其最大的優(yōu)點(diǎn)在于管理簡單化WLAN設(shè)備的網(wǎng)管平臺只需管理集中控制器AC，就可間接地管理到輕量級AP，這大大 減輕后臺(如網(wǎng)管平臺)的壓力。當(dāng)使用基于WAPI技術(shù)的WLAN網(wǎng)絡(luò)安全策略，當(dāng)數(shù)字證書安裝在“胖”AP上，由于“胖”AP數(shù)量眾多，所發(fā)起的眾多的 認(rèn)證報文Session數(shù)會對認(rèn)證服務(wù)器產(chǎn)生很大壓力

9、；而采用“瘦”AP時，數(shù)字證書安裝在AC上，由于AC數(shù)量較少，因此AC發(fā)起的認(rèn)證報文 Session數(shù)大大少于“胖”AP發(fā)起的認(rèn)證報文Session數(shù)，因此大大減輕WAPI認(rèn)證服務(wù)器的壓力；同時，“胖”AP是部署在公共場所，一般用 戶都有可能接觸到AP設(shè)備，而AC設(shè)備是部署在機(jī)房，一般用戶不可能接觸到AC設(shè)備，AC作為統(tǒng)一的認(rèn)證點(diǎn)，將安全的管理和控制集中，因此安裝在AC上的 設(shè)備證書比安裝在“胖”AP設(shè)備上的數(shù)字證書更安全。,AP與A

10、C通訊,無線交換機(jī)系統(tǒng)由無線交換機(jī)與瘦AP組成，用戶只要通過配置無線交換機(jī)就可以達(dá)到配置所有AP的目的。把無線交換機(jī)比作一個AP，那么瘦AP就像他的天線一樣分布在各個位置。無線交換機(jī)與瘦AP的數(shù)據(jù)交互類型有兩種：1）控制報文數(shù)據(jù)，目前有LWAPP、SLAPP、CAPWAP、WiCoP 等協(xié)議，一般分為client與server兩個進(jìn)程來傳， 采用TCP連接，用來配置AP的參數(shù)與獲得瘦AP的信息。2）數(shù)據(jù)報文數(shù)據(jù)，由內(nèi)核隧道模塊

11、發(fā)送，采用UDP連接，用來轉(zhuǎn)發(fā)從無線交換機(jī)WAN端進(jìn)來的報文與從瘦AP無線端進(jìn)來的報文,AP與AC通訊：數(shù)據(jù)傳輸過程,有STA連上瘦AP要訪問外網(wǎng)時：STA發(fā)送出的數(shù)據(jù)報文首先會到達(dá)瘦AP的無線端口瘦AP會將報文進(jìn)行重新封裝然后發(fā)送到無線交換機(jī)的接受線程中去無線交換機(jī)收到的數(shù)據(jù)報文進(jìn)行解封裝然后發(fā)送到AC所連接的外網(wǎng)中去在AC從外網(wǎng)收到數(shù)據(jù)時，也會經(jīng)過上面一樣的過程。,AP與AC通訊：瘦AP啟動過程,第一步. AP

12、從AC或者DHCP Server那里獲取一個IP地址。既然AP是一個無線信號接入點(diǎn)，是一個網(wǎng)絡(luò)設(shè)備，要在LAN中進(jìn)行正常的數(shù)據(jù)傳送，比如需要一個合法的IP地址。為此在啟動的時候，瘦AP需要從DHCP服務(wù)器中獲得一個合法的IP地址。第二步. 與AC建立聯(lián)系。瘦AP啟動的過程中，會通過廣播的方式獲取AC下發(fā)的IP地址，從此把AP與AC綁定在一起。第三步. 策略代碼的比較與更新。AP在綁定了AC之后，就會把其代碼印象版本與本地版本進(jìn)行比較

13、。如果在連接之前，AC中的某些策略發(fā)生了變更，則AP將會從AC中下載并啟用最新的印象代碼，也就是我們說的模板。不過要生效的話，瘦AP必須重啟。第四步. 隧道的建立。當(dāng)以上三個步驟完成之后，瘦AP與無線控制器之間會建立起兩條隧道，分別為傳送管理信息的控制報文隧道與傳送用戶數(shù)據(jù)的數(shù)據(jù)報文隧道。這兩個隧道并不能夠用來實(shí)現(xiàn)數(shù)據(jù)負(fù)載均衡，而是各有各的用途。即使在客戶端數(shù)據(jù)交換頻繁的時候，用來傳輸控制報文的隧道也不能用來數(shù)據(jù)報文傳遞。,AP與AC

14、通訊：MAC認(rèn)證流程,（1）用戶與接入點(diǎn)AP實(shí)現(xiàn)關(guān)聯(lián)；（2）控制器通過隧道協(xié)議獲取用戶的MAC地址信息（3）將用戶的MAC地址信息作為Radius Access_Request的用戶名和Password字段發(fā)往Radius；（4）Radius服務(wù)器對該用戶名和Password進(jìn)行驗(yàn)證，如果成功則發(fā)送RadiusAccess-Accept 消息，如果失敗則發(fā)送Radius Access-Reject消息，如果用戶數(shù)次嘗試失敗無線控制

15、器會通知AP發(fā)送 Dis-Association消息，與用戶斷開空口連接；（5）控制器收到Radius Access-Accept消息后用戶就可以根據(jù)賦予的權(quán)限訪問網(wǎng)絡(luò)資源，同時會發(fā)送出Radius Accounting-start消息開始計(jì)費(fèi)流程；（6）當(dāng)用戶與AP無線關(guān)聯(lián)中斷后，無線控制器會檢測到該用戶狀態(tài)并發(fā)送Radius Accounting-Stop消息，結(jié)束流程。,CAPWAP協(xié)議：簡介,英文全稱：Control and