WLAN 技术指南:从入门到原理
文章目录
-
目录
文章目录
前言
一.WLAN 基本概念
有线侧组网概念
AP-AC 组网方式
AC 连接方式
CAPWAP 协议
无线侧组网概念
无线信道
编辑
BSS/SSID/BSSID
编辑 VAP
ESS
二.WLAN 组网架构
基本的 WLAN 组网架构
四.WLAN 工作原理
AP 上线
AP 获取 IP 地址阶段
CAPWAP 隧道建立阶段
AP 接入控制阶段
AP的版本升级阶段
CAPWAP隧道维持阶段
AC业务配置下发阶段
WLAN 业务配置下发
配置射频
配置 VAP
编辑 STA 接入
扫描阶段
链路认证阶段
关联阶段
前言
一.WLAN 基本概念
有线侧组网概念
AP-AC 组网方式
AC 连接方式
CAPWAP 协议
无线侧组网概念
无线信道
BSS/SSID/BSSID
VAP
ESS
二.WLAN 组网架构
基本的 WLAN 组网架构
| 概念 | 全称 | 核心功能 / 作用 | 典型场景 / 特点 | 关联协议 / 架构(结合图中逻辑) |
|---|---|---|---|---|
| AP | Access Point(无线接入点) | 把有线网络信号转为无线 Wi-Fi,让手机 / 电脑等无线设备连网 | 是无线覆盖的 “基础单元”,单台可独立工作(如家用无线路由器) | 无线侧依赖 802.11 协议(图中 “无线侧组网 802.11 协议” ) |
| AC | Access Controller(无线控制器) | 统一管理多个 AP,包括配置下发、信号调优、漫游切换、安全策略管控等 “指挥调度” 工作 | 多 AP 场景必备(几十 / 上百个 AP 时),让无线网络更稳定、易维护 | 图右侧架构:作为核心管理节点,通过 CAPWAP 协议对接瘦 AP |
| 胖 AP(FAT AP) | 同 AP,强调 “功能全” | 除基础无线接入外,自带路由、DHCP、安全策略等功能,无需 AC 即可独立运行 | 适合小场景(家庭、小办公室),但多台部署时需逐台配置(改 Wi-Fi 名 / 密码要单独操作 ) | 图左侧架构:直接接入园区网络,独立承载无线业务 |
| 瘦 AP(FIT AP) | 同 AP,强调 “功能精简” | 仅负责无线信号发射、数据转发,配置 / 管理完全依赖 AC,自身无复杂网络功能 | 适合大场景(商场、企业园区),靠 AC 统一调度,支持大规模部署 + 无缝漫游(设备移动时 Wi-Fi 不断线 | 图右侧架构:通过 CAPWAP 协议连 AC,由 AC 集中管控 |
四.WLAN 工作原理
AP 上线
FIT AP 需要完成上线过程,AC才能实现对AP的集中管理和控制,以及业务下发。AP的上线过程包括如下步骤:
- AP 获取IP地址
- AP 发现AC并与之建立CAPWAP隧道
- AP接入控制
- CAPWAP隧道维持
AP 获取 IP 地址阶段
CAPWAP 隧道建立阶段
AC通过CAPWAP隧道来实现对AP的集中管理和控制。CAPWAP隧道可以实现:
- AP与AC间的状态维护;
- AC对AP进行管理和业务配置下发;
- 业务数据经过CAPWAP隧道集中到AC上转发。
-
Discovery阶段(AP发现AC阶段):通过发送Discovery Request报文,找到可用的AC。AC判断是否允许该AP接入,判断流程和AP接入控制阶段相同,可参见图2,对于不允许接入的AP发送的Discovery Request报文,AC不会回应。
AP发现AC有静态和动态两种方式:-
静态方式
AP上预先配置了AC的静态IP地址列表。AP上线时,AP分别发送Discovery Request单播报文到所有预配置列表对应IP地址的AC。然后AP通过接收到AC返回的Discovery Response报文,选择一个AC开始建立CAPWAP隧道。
-
动态方式
动态发现AC又分为:DHCP方式、DNS方式和广播方式。
-
DHCP方式:AP通过DHCP服务获取AC的IP地址(),然后向AC发送Discovery Request单播报文。AC收到后,向AP回应Discovery Response报文
- 广播方式:在如下情况,AP会发送Discovery Request广播报文自动发现同一网段中的AC,然后通过AC响应的Discovery Response报文选择一个待关联的AC开始建立CAPWAP隧道。
- AP未获取到AC的IP地址,则发送广播报文。如果发送2次广播报文无AC响应,则认为发现AC失败。发现AC失败的情况下,每等待一段时间后,AP就会重新执行上述过程。
- AP获取到了AC的IP地址,先向AC发送单播报文,如果重复发送3次单播报文AC均无响应,再发送1次广播报文。如果仍无AC响应,则再重复一遍发送单播报文和广播的过程。2次均无AC响应,则认为发现AC失败。发现AC失败的情况下,每等待一段时间后,AP就会重新执行上述过程。
-
-
-
建立CAPWAP隧道阶段:
完成CAPWAP隧道建立,包括数据隧道和控制隧道:- 数据隧道:AP接收的业务数据报文经过CAPWAP数据隧道集中到AC上转发。
- 控制隧道:通过CAPWAP控制隧道实现AP与AC之间的控制报文的交互。同时还可以选择对控制隧道进行数据传输层安全DTLS(Datagram Transport Layer Security)加密,使能DTLS加密功能后,CAPWAP控制报文都会经过DTLS加解密。
AP 接入控制阶段
AP的版本升级阶段
AP根据收到的Join Response报文中的参数判断当前的系统软件版本是否与AC上指定的一致。如果不一致,则AP开始更新软件版本,升级方式包括AC模式、FTP模式和SFTP模式。FTP模式存在安全风险,建议使用AC模式或SFTP模式。
AP在软件版本更新完成后重新启动,重复进行前面三个步骤。
CAPWAP隧道维持阶段
AP与AC之间交互Keepalive(UDP端口号为5247)报文来检测数据隧道的连通状态。
AP与AC交互Echo(UDP端口号为5246)报文来检测控制隧道的连通状态。
AC业务配置下发阶段
AC向AP发送Configuration Update Request请求消息,AP回应Configuration Update Response消息,AC再将AP的业务配置信息下发给AP。
WLAN 业务配置下发
AC 向 AP 发送 Configuration Update Request 请求消息,AP 回应 Configuration Update Response 消息,AC 再将 AP 的业务配置信息下发给 AP。
配置射频
配置 VAP
STA 接入
CAPWAP隧道建立完成后,用户就可以接入无线网络。STA接入过程分为三个阶段:
- 扫描阶段
- 链路认证阶段
- 关联阶段
STA支持以IPv4和IPv6两种方式接入,优先选择以IPv4的方式接入。
STA最终能否接入无线网络受AC接入用户数和单个AP接入用户数规格限制。
- 如果STA关联的AP已经达到AP的接入用户数规格,但并未达到AC接入用户数的规格,则STA无法在这台AP上线,但可以通过关联其他AP接入无线网络。
- 如果STA关联的AP未达到AP的接入用户数规格,但是AC上在线的STA个数已经达到AC的接入用户数规格,则该STA无法接入到无线网络中。
- 如果STA关联的AP未达到AP的接入用户数规格,同时AC上在线的STA个数也未达到AC的接入用户数规格,则该STA可以接入到无线网络中。
扫描阶段
STA可以通过主动扫描和被动扫描获取到周围的无线网络信息:
主动扫描
STA工作过程中,会定期地搜索周围的无线网络,也就是主动扫描周围的无线网络。根据Probe Request帧(探测请求帧)是否携带SSID,可以将主动扫描分为两种:
-
客户端发送携带有指定SSID的Probe Request:STA依次在每个信道发出Probe Request帧,寻找与STA有相同SSID的AP,只有能够提供指定SSID无线服务的AP接收到该探测请求后才回复探查响应,如图1所示,STA发送Probe Request帧寻找SSID为wlan的AP。
这种方法适用于STA通过主动扫描接入指定的无线网络。
-
客户端发送广播Probe Request:如图2所示,客户端会定期地在其支持的信道列表中,发送Probe Request帧扫描无线网络。当AP收到Probe Request帧后,会回应Probe Response帧通告可以提供的无线网络信息。
这种方法适用于STA通过主动扫描可以获知是否存在可使用的无线服务。
被动扫描
如图3所示,STA在每个信道上侦听AP定期发送的Beacon信标帧(信标帧中包含SSID、支持速率等信息),以获取AP的相关信息。
当用户需要节省电量时,可以使用被动扫描。一般VoIP语音终端通常使用被动扫描方式。
链路认证阶段
为了保证无线链路的安全,接入过程中AP需要完成对STA的认证。802.11链路定义了两种认证机制:开放系统认证和共享密钥认证。
- 开放系统认证(Open System Authentication):即不认证,任意STA都可以认证成功,如图4所示。
- 共享密钥认证(Shared-key Authentication):STA和AP预先配置相同的共享密钥,AP在链路认证过程验证两边的密钥配置是否相同。如果一致,则认证成功;否则,认证失败。
如图5所示,共享密钥的认证过程为:
- STA向AP发送认证请求(Authentication Request)。
- AP随即生成一个“挑战短语(Challenge)”发给STA。
- STA使用预先设置好的密钥加密“挑战短语”(EncryptedChallenge)并发给AP。
- AP接收到经过加密的“挑战短语”,用预先设置好的密钥解密该消息,然后将解密后的“挑战短语”与之前发送给STA的进行比较。如果相同,认证成功;否则,认证失败。
关联阶段
终端关联过程实质上是链路服务协商的过程。完成链路认证后,STA会继续发起链路服务协商,具体的协商通过Association报文实现,敏捷分布Wi-Fi方案架构中关联阶段如图6和图7所示。
图6 敏捷分布Wi-Fi方案架构中STA关联过程(中心AP内漫游)
图7 敏捷分布Wi-Fi方案架构中STA关联过程(非中心AP内漫游)
- 敏捷分布Wi-Fi方案架构中关联阶段处理过程
- STA向RU发送Association Request请求,请求帧中会携带STA自身的各种参数以及根据服务配置选择的各种参数(主要包括支持的速率、支持的信道、支持的QoS的能力以及选择的接入认证和加密算法)。
- RU收到Association Request请求帧后将其进行CAPWAP封装,并上报中心AP。
- 中心AP检查本地是否有用户表项。
- 如果中心AP本地有用户表项,说明是中心AP内漫游,中心AP进行本地漫游处理,并向RU回应Association Response。
- 如果中心AP本地没有用户表项,说明不是中心AP内漫游,中心AP向AC转发Association Request请求,AC收到关联请求后判断是否需要进行用户的接入认证,并向中心AP回应Association Response。