集中控制式WLAN

1、110849_Icons_Apr2008Enabling Performance-FreeTM Wireless LANs集中控制式WLAN2 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANs引子引子n 傳統(tǒng)傳統(tǒng)WLANWLAN中的自主接入點(diǎn)（通常稱為中的自主接入點(diǎn)（通常稱為Fat APFat AP），按照一個靜態(tài)），按照一個靜態(tài)RFRF規(guī)劃（通常為預(yù)測的規(guī)劃（通常為預(yù)測的RFRF）獨(dú)立配置信道和功率，導(dǎo)致胖

2、）獨(dú)立配置信道和功率，導(dǎo)致胖APAP無無法得知相鄰接入點(diǎn)與其是否屬于同一個網(wǎng)絡(luò)或者是相鄰網(wǎng)絡(luò)，法得知相鄰接入點(diǎn)與其是否屬于同一個網(wǎng)絡(luò)或者是相鄰網(wǎng)絡(luò)，也很難擴(kuò)展到大型、連續(xù)、協(xié)調(diào)的無線局域網(wǎng)和添加高級應(yīng)用。也很難擴(kuò)展到大型、連續(xù)、協(xié)調(diào)的無線局域網(wǎng)和添加高級應(yīng)用。n 隨著技術(shù)需求不斷發(fā)生變化，企業(yè)需要他們的隨著技術(shù)需求不斷發(fā)生變化，企業(yè)需要他們的WLANWLAN能提供語音、能提供語音、視頻、漫游、增強(qiáng)的無線入侵防御系統(tǒng)（視頻、漫游、增強(qiáng)的無線入侵防御系統(tǒng)（WIPSWIPS）等多種移動服等多種移動服務(wù)，同時還要簡化部署和管理。務(wù)，同時還要簡化部署和管理。n 解決上述問題，需要一個基于解決上述問題，需

3、要一個基于CAPWAPCAPWAP協(xié)議，利用協(xié)議，利用ACAC和和Thin APThin AP組成的集中控制式組成的集中控制式WLANWLAN。3 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANsn Fat AP vs Thin AP n CAPWAP協(xié)議概述協(xié)議概述n 集中控制式拓?fù)浼軜?gòu)集中控制式拓?fù)浼軜?gòu)n 集中控制式集中控制式WLAN案例案例目錄目錄4 2008 Autelan Technologies,

4、 Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANsFat AP vs Thin APFat AP 架構(gòu)架構(gòu)Thin AP架構(gòu)架構(gòu)管理管理AP的管理AP獨(dú)立管理AC集中管理AP零配置不支持支持安全安全WIDS監(jiān)控范圍小，一個AP覆蓋范圍監(jiān)控范圍大，AC管理的所有AP覆蓋范圍認(rèn)證獨(dú)立認(rèn)證集中認(rèn)證加密不能同時支持802.11i和WAPI同時支持802.11i和WAPI策略控制獨(dú)立控制，控制策略容量小集中控制，控制策略容量大配置信息防盜不防盜防盜RFRF管理管理自動部署

5、時間長,有震蕩時間短,無震蕩自動調(diào)整時間長,有震蕩時間短,無震蕩高級功能高級功能漫游效果差,漫游隧道復(fù)雜效果好,漫游隧道簡單負(fù)載均衡不支持支持無線定位必須借助定位服務(wù)器,效果較差結(jié)合定位服務(wù)器后效果更好QoS與有線QOS結(jié)合能力較弱與有線QOS結(jié)合能力較強(qiáng)5 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANs管理-AP的管理802.11 a/b/g/n天線加密網(wǎng)管、三層漫游, 安全802.1x認(rèn)證,802.11

6、e QOSAP點(diǎn)監(jiān)測點(diǎn)監(jiān)測用戶防火墻用戶防火墻網(wǎng)絡(luò)自愈網(wǎng)絡(luò)自愈RF 管理管理無線欺騙防護(hù)無線欺騙防護(hù)802.11a/b/g網(wǎng)管、二層漫游, 安全802.1x認(rèn)證,802.11e QOS天線加密Fat APThin AP更易管理的無線解決方案 1 FAT AP具備802.11物理層、安全、網(wǎng)管和QOS等全部功能，獨(dú)自管理自己。 2 Thin AP只保留802.11物理層、天線等基本功能，而將網(wǎng)管、認(rèn)證等主要功能轉(zhuǎn)移到AC上，由AC統(tǒng)一管理。AC6 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Aut

7、elan PublicPerformance-FreeTM Wireless LANs管理-AP零配置Fat APThin APACCAPWAPCAPWAP隧道隧道下載下載/ /下發(fā)配置下發(fā)配置單獨(dú)配置單獨(dú)配置 1 FAT AP需要逐個單獨(dú)配置，配置復(fù)雜，工作量大。 2 Thin AP零配置管理，由AC基于CAPMAP隧道集中統(tǒng)一配置。7 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANs安全-WIDS 1 F

8、AT AP監(jiān)控范圍小，只有一個AP覆蓋范圍。 2 Thin AP架構(gòu)下，由AC統(tǒng)一控制，可監(jiān)控所有AP覆蓋范圍，可及時發(fā)現(xiàn)非法客戶端和流氓AP。 ACRouge clientRouge AP8 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANs802.1x認(rèn)證,802.11e QOS加密802.11a/b/g安全-認(rèn)證 1 FAT AP自身具備認(rèn)證功能，客戶端在Fat AP上進(jìn)行認(rèn)證。 2 Thin AP架構(gòu)下

9、，認(rèn)證功能轉(zhuǎn)移到AC上，所有客戶端的認(rèn)證需要通過AC。 AC認(rèn)證認(rèn)證認(rèn)證認(rèn)證網(wǎng)管、二層漫游, 安全天線Fat AP網(wǎng)管、三層漫游, 安全802.1x認(rèn)證,802.11e QOS802.11 a/b/g/n天線加密9 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANs加密（802.11i或者WAPI）安全-加密 1 FAT AP在AP上加密，只支持802.11i和WAPI中的一種。 2 Thin AP架構(gòu)下，加密

10、功能轉(zhuǎn)移到AC上，同時支持802.11i和WAPI 。 AC認(rèn)證認(rèn)證認(rèn)證認(rèn)證Fat AP加密（802.11i或者WAPI）加密(802.11i和WAPI) 10 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANs802.1x認(rèn)證,802.11e QOS加密802.11a/b/g安全-策略控制 1 FAT AP自身具備策略控制功能，F(xiàn)at AP直接進(jìn)行策略控制，但控制策略容量小。 2 Thin AP架構(gòu)下，策略控

11、制功能轉(zhuǎn)移到AC上，AC對所有 AP和客戶端進(jìn)行策略控制，控制策略容量大。 AC策略策略策略策略網(wǎng)管、二層漫游, 安全天線Fat AP網(wǎng)管、三層漫游, 安全802.1x認(rèn)證,802.11e QOS802.11 a/b/g/n天線加密11 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANs安全-配置信息防盜 1 Fat AP配置齊全，被盜后會泄露信息。 2 Thin AP零配置，被盜后不會泄露任何信息。Fat A

12、PThin AP呵呵#搞到了配置！知道了他們的秘密！哎呀#好失望?。≡趺瓷抖紱]有？12 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANsRF管理-自動部署Fat APThin AP 1 FAT AP的自動部署是通過相鄰AP相互影響來實(shí)現(xiàn)。整個無線網(wǎng)絡(luò)的信道和功率的穩(wěn)定需要一段時間，且容易震蕩。 2 Thin AP由AC統(tǒng)一控制，基于TPC和DFS自動調(diào)整射頻及其功率，一次性部署成功，沒有震蕩。13 2008

13、Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANsRF管理-自動調(diào)整Fat APThin AP 1 FAT AP的自動調(diào)整是通過相鄰AP相互影響來實(shí)現(xiàn)，整個網(wǎng)絡(luò)的重新穩(wěn)定需要一段時間，且容易震蕩。 2 Thin AP架構(gòu)下，故障AP附近的AP在AC的統(tǒng)一控制下，通過TPC和DFS自動調(diào)整射頻及其功率，可以一次性完成調(diào)整，沒有震蕩。14 2008 Autelan Technologies, Inc. All rights

14、reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANs高級功能-二層漫游Fat APThin AP 1 FAT AP架構(gòu)下，下行數(shù)據(jù)先到原AP，再從原AP經(jīng)交換機(jī)繞道返回客戶終端，漫游后的下行路徑較為復(fù)雜。 2 Thin AP架構(gòu)下，二層漫游后，下行路徑與漫游后的上行路徑一致。移動ESS移動15 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeT

15、M Wireless LANs高級功能-三層漫游Fat APThin AP 1 FAT AP架構(gòu)下，無法進(jìn)行三層漫游。 2 Thin AP架構(gòu)下，三層漫游后，下行路徑經(jīng)過原AC再返回到客戶端。移動移動16 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANs高級功能-負(fù)載均衡Fat APThin AP 1 FAT AP架構(gòu)下，不支持負(fù)載均衡。 2 Thin AP架構(gòu)下，AP周期性地向AC發(fā)送與其相連的無線客戶端的

16、信息，AC把這些鄰居信息用于負(fù)載均衡。AC檢查客戶端要連接的AP是否處超過設(shè)定負(fù)載。如果不是的話，那么當(dāng)前請求的連接將被接受；否則，將基于負(fù)載均衡的配置，決定當(dāng)前連接是被接受還是被拒絕。ESS17 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANs高級功能-無線定位 1 FAT AP架構(gòu)下，無線定位服務(wù) 器通過綜合AP發(fā)過來的RSSI數(shù)據(jù)，對無線客戶端進(jìn)行定位。 2 Thin AP架構(gòu)下，通過AC控制AP發(fā)送R

17、SSI數(shù)據(jù)到無線定位服務(wù)器，可更主動更精確的定位無線客戶端。AP-AAP-CAP-B無線控制器AuteX7605無線定位服務(wù)器AP-A RSSI=XAP-B RSSI=YAP-C RSSI=Z18 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANs高級功能-QOS 1 FAT AP架構(gòu)下，無線QOS與有線QOS的結(jié)合較弱。 2 Thin AP架構(gòu)下，基于802.11e，支持8個業(yè)務(wù)優(yōu)先級的報文標(biāo)記和4個影射輸出

18、隊列，通過AC與有線QOS結(jié)合更緊密。優(yōu)先級隊列1優(yōu)先級隊列2優(yōu)先級隊列3優(yōu)先級隊列4BusyFrameTimeIFS4CW4IFS3CW3FrameIFS2CW2FrameIFS1CW1Frame19 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANsn Fat AP vs Thin AP n CAPWAP協(xié)議概述協(xié)議概述n 集中控制式拓?fù)浼軜?gòu)集中控制式拓?fù)浼軜?gòu)n 集中控制式集中控制式WLAN案例案例目錄目錄

19、20 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANsCAPWAP目標(biāo) 為了在Thin AP和AC之間傳輸數(shù)據(jù)和實(shí)現(xiàn)通信，需要CAPWAP滿足下列要求： APAP零配置零配置:必須通過該協(xié)議實(shí)現(xiàn)AP的零配置功能，從而大大減少WLAN部署的工作量 適應(yīng)多種部署方式適應(yīng)多種部署方式:該協(xié)議必須能夠跨越三層網(wǎng)絡(luò)邊界，而不是僅僅將多個WLAN連接到AC。 部署安全部署安全:將一個接入點(diǎn)加入網(wǎng)絡(luò)并不意味著它應(yīng)當(dāng)具有完全

20、的網(wǎng)絡(luò)訪問權(quán)限。該協(xié)議需要提供一種對所有連接網(wǎng)絡(luò)的接入點(diǎn)進(jìn)行身份驗(yàn)證的方法。 對接入點(diǎn)和對接入點(diǎn)和StationStation的實(shí)時控制的實(shí)時控制:在部署、認(rèn)證接入點(diǎn)和將其連接到無線交換機(jī)之后，該協(xié)議需要提供對接入點(diǎn)的實(shí)時控制，以便管理和部署移動服務(wù)。 傳輸擴(kuò)展能力傳輸擴(kuò)展能力:盡管大家常用的寬帶網(wǎng)絡(luò)通常運(yùn)行在以太網(wǎng)的基礎(chǔ)上，但是該協(xié)議必須能夠支持低速的WAN連接，甚至無線網(wǎng)絡(luò)（如室外型MESH網(wǎng)絡(luò)透傳）。21 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerfor

21、mance-FreeTM Wireless LANsCAPWAP簡介 CAPWAP協(xié)議全稱：Control And Provisioning of Wireless Access Point Protocol（無線接入點(diǎn)控制與配置協(xié)議），該協(xié)議用于無線接入點(diǎn)（AP）和無線網(wǎng)絡(luò)控制器（AC）之間的通信交互，實(shí)現(xiàn)了對于AC關(guān)聯(lián)的所有AP的控制管理和數(shù)據(jù)轉(zhuǎn)發(fā)。CAPWAP通信數(shù)據(jù)類型總體上可以分為兩類：CAPWAP控制隧道中傳輸?shù)腃APWAP控制報文CAPWAP數(shù)據(jù)隧道中傳輸?shù)腃APWAP數(shù)據(jù)報文 CAPWAP建立控制隧道和數(shù)據(jù)隧道的整體流程： DiscoveryJoin(Image Data)Co

22、nfigurationData checkRun AC與AP在Join狀態(tài)建立控制隧道，在Data check狀態(tài)建立數(shù)據(jù)隧道。22 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANsCAPWAP建立隧道流程Discovery狀態(tài)：狀態(tài)：該狀態(tài)是一個AP發(fā)現(xiàn)可關(guān)聯(lián)AC的過程，在前期AP可以通過1）讀取靜態(tài)配置文件中AC IP列表 2）通過DNS域名解析3） DHCP返回AC IP列表 4）廣播等方式發(fā)送Disc

23、overy request，查找當(dāng)前可關(guān)聯(lián)的AC，當(dāng)AC收到Discovery request，會發(fā)送Discovery response作為響應(yīng)。Join狀態(tài)：狀態(tài)：該狀態(tài)是AC與AP建立控制通道的交互過程，并在此交互過程中，AC檢查AP當(dāng)前版本，如果AP的版本無法與AC要求的相匹配，AP和AC會進(jìn)入Image Data狀態(tài)做固件升級，來更新AP版本；如果AP版本符合要求，則進(jìn)入configuration狀態(tài)Image Data狀態(tài)：狀態(tài)：Image Data狀態(tài)是AC對AP升級的過程，以便AP的版本可正常關(guān)聯(lián)ACConfiguration狀態(tài)：狀態(tài)：該狀態(tài)用于做AP的現(xiàn)有配置和AC設(shè)定配置

24、的匹配檢查，AP發(fā)送configuration request到AC，里面包含現(xiàn)有AP配置，當(dāng)AP當(dāng)前配置與AC要求不符實(shí)，AC會通過configuration response通知AP，AP根據(jù)response內(nèi)容對自身配置做重新設(shè)置。Run狀態(tài)：狀態(tài)：當(dāng)AP進(jìn)入Run狀態(tài)，說明AP與AC的控制和數(shù)據(jù)通道建立已成功，用戶可根據(jù)需要，對指定的AP做配置設(shè)置，如創(chuàng)建WLAN、Channel設(shè)置、Txpower設(shè)置等等，并可實(shí)時監(jiān)控AP的運(yùn)行狀態(tài)。23 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005A

25、utelan PublicPerformance-FreeTM Wireless LANsCAPWAP控制報文幀結(jié)構(gòu) 左圖左圖為CAPWAP控制報文的Discovery幀結(jié)構(gòu)，由于它完成的是查找現(xiàn)有AC的過程，此時控制隧道還未建立，所以它是所有控制報文中唯一非加密數(shù)據(jù)報文。 右圖右圖為CAPWAP控制報文幀格式，由于控制隧道是DTLS鏈接，所以所有CAPWAP控制報文都會被封裝在DTLS中，保證控制隧道的安全，其中Control Header用來描述該報文的作用，Message Element則是實(shí)現(xiàn)控制配置目的的參數(shù)。24 2008 Autelan Technologies, Inc. Al

26、l rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANsCAPWAP數(shù)據(jù)報文幀結(jié)構(gòu) 左圖左圖為非加密的CAPWAP數(shù)據(jù)報文格式，由于它是非加密的，所以這種數(shù)據(jù)報文只能應(yīng)用在wireless payload內(nèi)的無線幀已做過安全加密的基礎(chǔ)之上，如（WEP、802.1X、WPA等等）具體內(nèi)容請參看WLAN身份驗(yàn)證和數(shù)據(jù)加密白皮書。 右圖右圖為加密CAPWAP數(shù)據(jù)報文幀格式，由于這種數(shù)據(jù)隧道是建立在DTLS基礎(chǔ)之上的，所以安全性和保密性更高。 通過CAPWAP數(shù)據(jù)隧道，上網(wǎng)用戶的無線數(shù)據(jù)在A

27、P中被封裝在CAPWAP數(shù)據(jù)報文里提交AC，AC負(fù)責(zé)實(shí)現(xiàn)用戶的數(shù)據(jù)轉(zhuǎn)發(fā)。25 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANsCAPWAP綜述 AC通過使用CAPWAP協(xié)議與AP建立控制、數(shù)據(jù)隧道，可以有效解決公司、企業(yè)、工廠、學(xué)校、醫(yī)院等復(fù)雜環(huán)境下網(wǎng)絡(luò)難于管理和布置，上網(wǎng)安全性低，對周邊網(wǎng)絡(luò)環(huán)境影響抵抗差，預(yù)防網(wǎng)絡(luò)攻擊能力不足，接入用戶統(tǒng)計管理難等等一系列問題，是當(dāng)前大中小型企業(yè)以及復(fù)雜環(huán)境下提供上網(wǎng)服務(wù)的完美解決方案26 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANsn Fat AP vs Thin AP n CAPWAP協(xié)議概述協(xié)議概述n 集中控制式拓?fù)浼軜?gòu)集中控制式拓?fù)浼軜?gòu)n 集中控制式集中控制式WLAN案例案例目錄目錄27 2008 Autelan Technolo