华为WLAN深度资料CAPWAP隧道.ppt

华为WLAN深度资料 CAPWAP隧道 目录 总体介绍 1 组网场景 2 原理介绍 3 性能对比 4 CAPWAP协议背景 缘何而来 AC 瘦AP组网架构 可以实现 1 集中可视化管控2 降低运维成本3 对用户实现精细化策略管理4 支持认证计费场景 不同层面保证企业数据安全5 增值业务能力 可扩展更多丰富业务 BYOD Bonjour 视频回传 6 适合中大规模组网场景在此应用背景下CAPWAP协议 ControlandProvisioningofWirelessAccessPoints 用于AC与AP通信的协议规范也应运而生 解决方案 企业级用户部署AP的数量会非常庞大 对集中运维管控 安全性提出了更高的要求 传统胖AP组网已经难于满足需求 1 自治管理 安全无法保证 2 实现不了精细化的用户管控 3 大批量部署难度高 4 只适合SOHO级小规模组网 客户痛点 AC 瘦AP的组网架构 CAPWAP协议背景 去粕取精 LWAPP LightweightAccessPointProtocol 提出厂家 Cisco具有完整的协议框架定义了详细的报文结构和TLV元素数据没有加密 提出厂家 Aruba支持桥接DTLS加密是其亮点 CTP WiCoP CAPWAPTunnelingProtocol WirelessLANControlProtocol 提出厂家 Siemens Panasonic实现了集中式WLAN体系结构基本需求安全标准考虑不够全面 CAPWAP SLAPP SecureLightAccessPointProtocol CAPWAP协议介绍 无线接入点控制和规范 AP发现AC 链路建立 配置管理 数据转发 控制 数据通道建立 UDP端口号 5246 5247 多种配置管理业务下发 批量升级AP 控制报文DTLS加密 多种用户业务流量CAPWAP数据隧道转发 协议内容 数据报文DTLS加密 目录 总体介绍 1 组网场景 2 原理介绍 3 性能对比 4 AC直连式组网 流量集中转发 接入侧 汇聚侧 服务器侧 AC eSight PolicyCenter 放装型AP Internet Internet 适用于需要AC承担用户网关 用户策略管理 认证计费网关 DHCP服务器等角色的场景用户数据及认证由AC集中处理AP AC支持跨二 三层组网 AP 用户DHCP服务器AP参数统一配置用户策略统一配置用户认证控制点 PolicyCenterPortal认证服务器Radius服务器MAC认证服务器PPPoE服务器 ACWeb页面网管eSightAC AP网管AP位置拓扑显示 应用场景 AC部署 用户认证 网络管理 接入交换机 室外AP 用户认证 用户数据 CAPWAP控制隧道 CAPWAP数据隧道 配置信息 AC旁挂式组网 流量本地转发 接入侧 汇聚侧 服务器侧 AC eSight 放装型AP 本地网络 接入交换机 室外AP 用户认证 用户数据 本地网络 适用于用户数据可由本地网络直接转发的场景 如分支办公网络 节省AP AC间链路带宽用户网关和DHCP服务器均在本地网络中本地转发用户认证可由AC集中处理AP AC支持跨二 三层组网 APDHCP服务器AP参数统一配置用户策略统一配置用户认证控制点 PolicyCenterPortal认证服务器Radius服务器MAC认证服务器PPPoE服务器 ACWeb页面网管eSightAC AP网管AP位置拓扑显示 应用场景 AC部署 用户认证 网络管理 CAPWAP控制隧道 CAPWAP数据隧道 配置信息 AC灵活组网 混合组网模式 接入侧 汇聚侧 服务器侧 AC eSight 放装型AP 本地网络 接入交换机 室外AP 用户认证 分支用户数据 本地网络 总部网络 总部用户数据 总部网络 适用于用户数据混合组网场景 可实现按AP转发和按SSID转发 如总部使用集中转发模式 分支办公网络使用本地转发模式两种模式下的用户认证均由AC集中处理AP AC支持跨二 三层组网 APDHCP服务器集中转发用户DHCP服务器AP参数统一配置用户策略统一配置用户认证控制点 PolicyCenterPortal认证服务器Radius服务器MAC认证服务器PPPoE服务器 ACWeb页面网管eSightAC AP网管AP位置拓扑显示 应用场景 AC部署 用户认证 网络管理 CAPWAP控制隧道 CAPWAP数据隧道 配置信息 目录 总体介绍 1 组网场景 2 原理介绍 3 性能对比 4 CAPWAP隧道 帧结构 CAPWAP头结构 CAPWAP报文结构 未DTLS加密 IP头 UDP头 CAPWAP头 无线数据CAPWAP报文结构 DTLS加密 IP头 UDP头 DTLS头 CAPWAP头 无线数据 DTLS尾 CAPWAP隧道建立 总体视图 CAPWAP隧道建立 DHCP阶段 在DHCPack报文中携带 APIP地址租期时间 可选 通过option43携带ACIPlist 用于APCAPWAP单播发现AC 可选 通过option15携带DNS服务器域名 CAPWAP隧道建立 Discovery阶段 APCAPWAP发现AC单播发现 根据DHCPACK回的ACIPlist或从DNS服务器获取的ACIP地址发送单播报文 L2 L3网络广播发现 当没有ACIPlist或单播没有回应时发送广播报文 L2网络AC收到discoverrequest分配链路号 LinkID APIP APUDPPort唯一标示该链路迁移状态机状态AP决策选择AC的因素 当收到多个AC回应的discoverresponse时 AC的优先级AC上当前AP个数 CAPWAP隧道建立 DTLS阶段 可选 DTLS建链DTLS加解密 控制报文 加密若开启 从join开始的CAPWAP控制报文都会经过DTLS加解密DTLS数据报文加解密 当前不支持 CAPWAP隧道建立 Join阶段 AP发送joinrequest当AP决策选择AC后 有DTLS时先建立DTLS链路 开始join阶段携带AP版本信息 MAC信息 胖瘦模式信息等AC收到joinrequest黑白名单校验迁移状态并回应joinresponse 携带期望AP使用的版本信息 AP收到joinresponse根据AP版本信息看是否需要在线加载AP版本 并迁移到对应状态 CAPWAP隧道建立 Imagedata 可选 AP根据joinresponse中携带的AP版本在APflash中不存在 则开始升级升级方式 FTP升级 推荐 和AC升级升级粒度 基于AP域 AP类型 单个AP三种粒度升级AP升级成功后 重新启动 重新建立CAPWAP链路 CAPWAP隧道建立 Configure阶段 对AP现有配置和AC设定的配置做匹配检查目前此阶段没有下发配置 都是在run状态之后统一下发 CAPWAP隧道建立 DataCheck阶段 Datacheck阶段发送changestateeventrequest 携带错误码等信息 Datacheck后 标志管理隧道已经建立完毕 进入Run状态 CAPWAP隧道维护 Run阶段 AP发送数据心跳报文 AC收到后标志数据隧道建立 AP进入normal状态数据心跳报文 定期发送 默认25s 用于检测数据链路是否正常 AP控制心跳报文 定期发送 默认25s 用于检测控制链路是否正常 CAPWAP隧道 支持静态多级NAT穿越 PAT 多对1转换 例如192 168 0 2 4444 202 116 100 5 50003192 168 0 3 5555 202 116 100 5 50004192 168 0 7 1233 202 116 100 5 50005 NAT 1对1转换 例如192 168 0 2 4444 202 116 100 5 4444192 168 0 3 5555 202 116 100 6 5555192 168 0 7 1233 202 116 100 5 1233 CAPWAP备份 1 1热备 HSB VRRP 主AC eSight 备AC HSB备份通道 接入交换机 AP CAPWAP备份 1 1热备 HSB 双链路 主AC eSight 备AC HSB备份通道 接入交换机 AP CAPWAP主链路 CAPWAP备链路 CAPWAP备份 1 1冷备 双链路 1 AC1工作在主用状态 并为AP1 AP2提供服务 AC2工作在备用状态 各AP通过备用信道链路连接到AC2 2 主备AC之间不存在任何形式的用户状态或数据同步3 当AP检测到AC1故障时 触发主备切换 由主AC1切换到备AC2 AP和AC2之间的CAPWAP隧道立即由备用转为主用 4 当AC1恢复连接后 根据配置 AC1保持在备用状态或者回切到主用状态 AC1 AC2 1 AC1作为AP1的主AC 同时作为AP2的备AC AC2作为AP2的主AC 同时作为AP1的备AC 2 该场景是对 1 1 场景的补充 在 1 1 场景的AC间负载均衡控制中是看AP接入时刻的AC负载情况 决定AC是否能够成为该AP的主AC 是无法控制的 N N 需要实现对AC间的负载均衡进行控制 即能够控制一部分AP使用AC1作为主AC 另外一部分AP使用AC2作为主AC 3 当AC1或者AC2down后 AP能够切换到另外一个AC上 AC AC AP1 AP2 ActiveforAP1 ActiveforAP2 StandbyforAP2 AC1 AC2 StandbyforAP1 CAPWAP备份 N N冷备 双链路 1 AC1作为AP1的主AC AC2作为AP2的主AC AC3既作为AP1的备AC 同时也作为AP2的备AC 2 该场景中需要AC3实现对不同的AP区分不同的主AC 当AC1或者AC2down后 对应的AP能够切换到AC3上 AC AC AP1 AP2 ActiveforAP1 StandbyforAP1 Ap2 AC1 AC2 AC BackupAC3 ActiveforAP2 CAPWAP备份 N 1冷备 双链路 CAPWAP断链业务保持 交换机 AC 新用户上线 用户数据 在线用户业务不中断 目录 总体介绍 1 组网场景 2 原理介绍 3 性能对比 4 6 华为AP领先的本地转发模式 解决安全问题 客户问题 集中转发端口容量限制 由于客户现网环境限制 三层交换机能提供给AC的端口容量有限 无法承载所有的无线数据流量 解决办法是让用户业务报文在AP本地转发 不再集中到AC转发 安全策略集中控制 本地转发安全无法保证 在AP本地转发模式下 数据流不经过AC AC无法进行安全控制 导致客户网络安全难以保证 华为特色方案 整体方案 安全策略在AC上统一配置 在本地转发模式下由AC下发 AP执行 如AP支持DHCPsnooping 动态生成绑定表项 动态下发DAI IPSourceGuard的安全策略 防止ARP 仿冒源IP及私设DHCPserver的攻击 一次配置 自动管理用户Mobility 在AC上配置DHCP安全功能 自动收集绑定表 动态下发安全策略 实现安全策略用户跟随 AP分布控制 AP自动接收AC下发的安全策略 负责其管辖范围内的网络和用户安全策略实施 三层交换机 AC AP 二层交换机 园区网 DHCP 服务器 STA RAIUS服务器 端口容量受限 业务报文AP二层转发 AC下发安全策略 AP实施安全策略 华为AP领先的本地转发模式 性能对比 华为特色方案 VRRP方式 主备AC组成VRRP备份组 主备AC同步备份AP表项 CAPWAP链路信息和用户信息 当主AC侧发生故障时 VRRP机制迅速切换主备AC关系 BFD检测报文最小发送间隔100ms 故障切换用户基本不感知 APIP地址 10 1 1 10 24ACIP1 10 1 1 1 24 高优先级 ACIP2 10 1 1 2 24 低优先级 备份通道 备ACIP10 1 1 2 24 主ACIP10 1 1 1 24 CAPWAP备链路 CAPWAP主链路 APIPadd 10 1 1 10 24ACIPadd 10 1 1 3 24 备份通道 备ACIPadd10 1 1 2 24VRRP虚拟IP1