[硕士论文精品]轻型接入点协议lwapp研究及在ap上的实现

摘要目前，MAN已经成为宽带接入的重要技术手段之一。但是，随着网络规模的不断扩大，以FATAP为核心的传统MAN网络架构暴露出诸多问题；另外，由于受3G带动1WLAN商用模式出现了新的趋势，集中化网络架构正在成为运营布网的主流，智能化网络配置管理以及集中式用户接入管理成为其发展过程中急需解决的问题。以无线交换机AC为核心并配以FITAP的新型WLAN网络架构正是在这种情况下出现的。本文以H3C公司CO姗AREV5数通软件开发平台为基础，以IETF下属的CAPWAP工作组于2005年提出的LWAPP协议草案以及相关标准为参考，深入分析WLAN功能与集中式网络架构模型，重点关注集中式架构下WLAN子系统设计项目中AP与AC间通信接口的设计与实现。论文针对当前企业普遍采用分离MAC，即FITAP方案的环境下，提出了相应的LWAPP客户端设计与实现方案，最终使AP能够支持集中式的数据转发，并且接受来自AC的集中控制或管理。目前该产品商用型己经推向市场。关键词无线局域网；IEEE80211；无线接入点；无线控制器；轻型接入点协议哈尔滨工程大学硕士学位论文ABSTRACTNOWADAYSWLANHASBECOMEONEOFTHEIMPORTANTMEANSTHATBROADBANDACCESSESALLOVERTHEWORLDBUTWITHTHECONTINUOUSEXPANSIONOFTHESCALEOFNETWORK,TRADITIONALF呢ANNETWORKARCHITECTURETOTHECOREOFFATAPHASEXPOSEDMANYPROBLEMS；BESIDES，WITHTHEDEVELOPMENTOF3GTECHNOLOGY,NEWCOMMERCIALMODEOFWLANHASEMERGEDTHECENTRALIZEDARCHITECTUREISCOMINGINTOTHEMAINSTREAMOFTHEOPERATIONANDDEVELOPMENTOFWLANUNDERTHISTRENDINTELLIGENTIZEDNETWORKCONFIGURATIONANDMANAGEMENTANDCENTRALIZEDUSERACCESSMANAGEMENTBECOMETHEURGENTPROBLEMSINTHEDEVELOPMENTOFWLANNEWSTYLEWLANNETWORKARCHITECTUREWHICHTAKESWTRELESSSWITCHESASTHECOREANDWITHFITAPPRECISELYAPPEARESINTHISCASETHISPAPERISBASEDONH3CCOMPANYCOMWAREV5DATACOMMUNICATIONSORWAREDEVELOPMENTPLATFORM,TAKESLWAPPPROTOCOLDRAFTPROPOSEDBY匝TFSUBORDINATECAPWAPWORKINGGROUPIN2005ANDRELATEDPROTOCOLSASTHEREFERENCE，DEEPLYANALYZESWLANFUNCTIONANDCENTRALIZEDNETWORKARCHITECTUREMODEL，ANDFOCUSESONTHEDESIGNANDIMPLEMENTATIONOFCOMMUNICATIONINTERFACEBETWEENFITAPANDACINWLANSUBSYSTEMDESIGNPROJECTUNDERTHECENTRALIZEDFIAMEWORKBASEDTHATMANYCURRENTCOMPANIESUSLLALLYUSESPILICMAC，NAMELYFITAPSCHEME，THISPAPERPUTSFORWARDCORRESPONDINGDESIGNANDREALIZATIONSCHEMEABOUTLWAPPCLIENT,FINALLYCOULDMAKESAPSUPPORTCENTRALIZEDDATAFORWARDING，ANDACCEPTSTHECENTRALIZEDCONTROLORMANAGEMENTFROMACBUSINESSTYPEOFTHEPRODUCTSCURRENTLYHASBEENTOTHEMARKETKEYWORDSWIRELESSLOCALAREANETWORK；IEEE80211；ACCESSPOINTS；ACCESSCONTROLLERS；LIGHTWEIGHTACCESSPOINTPROTOCOL哈尔滨工程大学学位论文原创性声明本人郑重声明本论文的所有工作，是在导师的指导下，由作者本人独立完成的。有关观点、方法、数据和文献的引用已在文中指出，并与参考文献相对应。除文中己注明引用的内容外，本论文不包含任何其他个人或集体己经公开发表的作品成果。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。作者签字髓喜嘲日期09年孑月勿日哈尔滨工程大学学位论文授权使用声明本人完全了解学校保护知识产权的有关规定，即研究生在校攻读学位期间论文工作的知识产权属于哈尔滨工程大学。哈尔滨工程大学有权保留并向国家有关部门或机构送交论文的复印件。本人允许哈尔滨工程大学将论文的部分或全部内容编入有关数据库进行检索，可采用影印、缩印或扫描等复制手段保存和汇编本学位论文，可以公布论文的全部内容。同时本人保证毕业后结合学位论文研究课题再撰写的论文一律注明作者第一署名单位为哈尔滨工程大学。陟密学位论文待解密后适用本声明。本论文G在授予学位后即可口在授予学位12个月后口解密后由哈尔滨工程大学送交有关部门进行保存、汇编等。作者签字晦裳舅日期D9年月D日导师签字杏幽钵OY年月IO日哈尔滨工程大学硕士学位论文11无线局域网概述第1章绪论无线局域网见AN是以无线方式构建的局域网，或者说是利用电磁波在空气中发送与接收数据，而无需线缆介质相连的局域网络。目前，WLAN的数据传输速率已能够达到54MBPS，传输距离远至20公里以上；利用它能够对有线联网方式进行必要的补充与扩展，使网上的计算机具有可移动性，并且能够快速方便的解决使用有线方式不易实现的网络互联U。WLAN定位为25G或3G以及城域网的有效补充与延伸，它将作为移动宽带数据业务引领者，同时为3G业务作铺垫，并在以后成为3G数据业务的重要补充形式，已经得到世界广大运营商的认可和推动。目前，WLAN中常用的实现技术有HOMERF，BLUETOOTH蓝牙以及美国的802II协议和欧洲的HIPERLAN2协议等，其中以IEEE80211协议为基础的无线局域网在标准之争中脱颖而出，已经成为当前在企业网领域占主导地位的WLAN标准。IEEE80211协议族如图11所示。图11IEEE80211协议族无线IEEE80211标准的制定是无线接入技术发展的一个里程碑，它规定了WLAN的网络形式、使用方式等，特别是对物理层PHL以及媒质访问控制子层MAC做出了详细的规定，这使得不同厂商的WLAN产品得以兼容与互联，同时也使WLAN在各种有移动要求的环境中被广泛接受，无线网从此充满啥尔滨工程大学硕士学位论文了蓬勃发展的无限生机。但是2艟的最高传输速率却成为WLA发展的瓶颈，因此，为了提高传输速率，IEEE标准化委员会对802II标准的物理层进行了高速率扩展。当前市场上广泛使用的比较成熟的高速率扩展有三个版本即802ILA，8021LB与802LLG标准，它们的主要区别在于物理层采用的工作频段以及具体实现方式的不同“1。12传统WLAN组网方式及其局限性传统的ILAN网络都是为企业，或者家庭内少量移动用户的接入而组建的，这类网络典型组网方式是采用“胖”AP外加有线交换机的分布式MAN组网模式，即由无线接入点ACCESSPOINTS，AP来完成用户的无线接入、用户权限认证及用户的安全策略实撼，同时，对WLAN网络设备的管理也同样是分布式的。这样，AP将MAN物理层、用户数据加密、QOS、用户认证、网络管理、漫游技术及其它应用层的功能集于一身。由“胖”AP特性可知，传统的WLAN是通过无线接入点来实现无线局域网络与有线网络之问的桥接工作，整个网络的无线部分，是以AP为中心的一片片覆盖区域组合而成的，这些区域各自独立的工作，而AP作为该区域的中心节点承担着几乎所有WLAN任务，如图12所示。弹一，、一一一。、幡，一、一一5T7、J广71J。涮鸯”A。；1，。星二1，、1三二一，7、兰一一一一7图LZ传统WLI组两方式随着WLAN技术的成熟与应用的普及，越来越多的企业开始大规模部署叽AN网络，接入的用户数以及无线设备的规模都在成倍增长，网络维护人员在建设与维护礼州网络时发现，采用传统的WLAN组网和管理模式已经很难适应现有的网络规模。目前，在大中型口LAN网络的建设与维护中遇到的主要问题有哈尔演工程大学硕士学位论文1由于每个AP都是一个单独的网络设备，需要被管理或控翩。网络规模的扩大将成倍增加需要管理的网络基础设施数量，这对于网络资源管理来说将是极大的额外负担，并成为无线技术发展与应用的障碍。2在ILAN中所有的AP上分发，并保持配置一致性是很难完成的。通常大型WLAN网络的部署必须更新网络内所有AP的动态配置信息，而这将是一个相当耗时的工作。3高效地处理孔AN媒质本身的动态特性也是个问题。由于空中接口的开放性，WLAN接入点或客户端将受其它相邻基站及在同一无许可限制频带中运行的非80211设备的干扰从而影响无线局域网的数据吞吐性能。4安全访问网络及阻止安装未经认证的AP成为一个挑战。使用盗取到的AP内建的密钥信息，则可以获得由这些密钥信息加密的信息资源，这在一定程度上对_FIAN的安全性构成了潜在威胁。总体而言，主要是网络管理、网络配置、射频RF资源管理以及网络安全等蹈方面存在的问题训。13集中式WL州架构解决方案面对以上问题，WLAN网络架构与功能分配出现了新的变化，并衍生出新的解决方案，用来解决部分或者全部的上述问题。例如为适应能够在网络级别对整个WLAN中的AP进行管理与配置，各大厂商纷纷推出了集中化架构下的WLAN解决方案。其中，ARUBA、AIRESPACE及SYMBOL等公司联合提出了无线交换机AC，ACCESSCONTROLLER的概念，同时给出了“瘦”AP与AC共同组网的集中式礼AN网络结构，如图L_3所示。翻、满蕾互口7，、一，图13集中式孔州架构组网方式3，、一、一一_D、一哈尔滨工程大学硕士学位论文这一网络架构属于集中式WLAN管理模式，并且利用AC与AP共同实现WEAN功能服务。它对传统的80211网络实现的一些逻辑功能进行了重新划分；其中，AC通常负责无线网络接入控制，数据转发与统计，漫游管理，网管代理以及安全控制等；而AP通常负责实现物理层，报文加解密，接受AC的管理及射频空口的统计等简单功能H。集中式网络架构使WLAN在管理性、安全性、移动性及扩展性等方面都有很大提高，弥补了传统结构中存在的缺陷，解决了上面提到的诸多问题。例如在管理方面，它能够在全系统范围内对所有AP的状态实现动态管理，并为支持无缝隙无线通信功能提供了可能，对全企业范围内管理策略实现了单一图形界面管理方式在安全方面，通过MAC层可以将全企业安全策略应用于无线网络从无线层到网络层的所有层面，从而提供更强的安全、服务质量或用户服务功能，发现并解除拒绝服务攻击的侵扰，同时检测并禁止非法接入点的进入；在移动性方面，各种应用将实现类似蜂窝通信的快速切换，能够支持WLAN语音一类的实时移动应用。正是由于这些优点，集中式WIAN网络架构即将成为1LAN发展的主流网络架构。但这是一门新兴技术，而且许多方面尚处于发展初期，再加上不同制造商所面临的需求也不尽相同，因此，目前业界还没有关于AC产品及轻型接入点即“瘦“AP产品通用的功能与实现模型。14轻型接入点协议LWAPP141LWAPP协议的提出无线网络中主要的连接与有线网络不同，无线网络需要动态的管理和控制功能为无线终端提供从无线介质到有线介质的连接，现今最常用的对无线网络的管理手段，还是依靠手工管理，但是随着无线网络特别是遵循80211标准的无线网络的迅速发展，仅仅依靠手工管理已经不能满足无线网络管理的需求，同时设备厂商各自的管理标准互不兼容，也为无线网络的普及造成了一定的障碍。此外，伴随更多WLAN厂商迁移到层次化设计，并且使用轻型接入点构建更大型的网络，市场上也需要一种管理轻型接入点如何与WLAN系统通信的标准化协议，从本质上简化无线网络的部署与管理，但目前大多4哈尔滨工程大学硕士学位论文数WLAN制造商的AC与AP间通信采用的都是私有协议。这种情况下，互联网工程任务组IETF下属的无线接入点控制与提供工作组CAPWAP除了在分析当前1LAN网络结构基础上提出些新的功能与定义之外，同时也对在轻型接入点与AC间80211业务的分配提出了建议，并且提出了如何实现轻量级AP与AC间交互的轻型接入点协议LIGHTWEIGHTACCESSPOINTPROTOCOL，LWAPP，目的是使不同制造商生产的支持LWAPP协议的AP都能够与支持该协议的AC进行通信。因此，标准化LWAPP的制定能够保证不同制造商间WLAN设备的互通，从而凭借LWAPP，能够部署最多功能更高灵活性的大型多厂商无线网络。广泛采用此协议使企业客户可从多种能互操作的接入点及无线系统设备中进行选择，由此不再需要根据哪些设备能配合工作而做出购买决策，而是根据它们的具体功能制订决策。同时，由于LWAPP协议的实现与硬件平台无关，能够通过对现有的AP或AC设备进行固件升级以完成对协议的支持，因此可以说LWAPP的出现为WLAN的发展带来了新的机遇哺1。142LWAPP协议运行概述轻型接入点协议为AP与AC间的交互提供了统一标准化的接口，同时能够用于无线网络中对轻量型AP的简单管理。这样，在AP与AC之间交互的所有数据或控制帧都将使用该协议定义的数据或控制通道进行传输；最终通过使用LWAPP协议，AP能够加入到WLAN网络，建立基本服务集BASICSERVICESET，BSS，同时与AC建立可靠连接。该协议将WLAN分成了前端的轻型接入点AP与接入控制器或称无线交换机AC两部分。对于分离MAC模式，我们能够将远端AP看作AC的远程射频接口，并且接受它的控制，而不再包含所有强制性的无线处理能力。具体来说，实时帧交换与MAC管理的某些实时部分将在接入点中完成，而认证、安全管理以及移动功能则由AC设备处理，即当AP接收到来自前端用户的某些数据后，它将通过LWAPP隧道对其进行数据封装，并将其传输至AC上，此外AC通过LWAPP的控制通道也同时能够实现对AP的集中控制与管理。最终基于LWAPP的WLAN架构如图14所示P。堕至鎏苫堡銮兰罂圭兰竺兰兰圈I4基于LWAPP协议的IEAN架构另外，LWAPP是独立于二层网络技术的协议，其控制与管理功能能够应用于任何无线网络的二层技术之上，这使得它具有良好的扩展性，而能够平滑的应用于多种无线网络之上。最终，LWAPP将使AP与具备AC功能的WLLN系统装置之间的通信协议标准化，其目标是“。1减少接入点内的业务量过滤与策略处理，使其实现集中化控制，业务量的任何变化都将对接入点广播，从而减少AP内处理的业务量，使接入点内有限的计算资源能够集中用于无线接入2能够对整个再LAN系统采用一种集中式的管理模式，处理业务量的管理，从而实施业务量控制、认证、加密与执行策略，保证。0S与安全；3通过网络基础设施或者IP路由网络，对于多用户的AP互通，提供通用封装与传送机制，使企业用户的LIFAPP控制台能够与多个执行LWAPP客户端功能的接入点沟通联络。143应用现状轻型接入点协议的发起者是AIRESPACE公司，并得到PROXIM与SYMBOL科技等厂商的支持。由于它被认为是企业无线网络的基本标准件，也是大规模多机种WLAN赖以构建的基础，并能优化网络组网方式，因此，在最终标准出台前，部分企业用户已经开始行动，例如AIRESPACE公司的商用WLAN解决方案中已率先应用L骱PP，将其作为在WLAN分系统问剥离MAC功能的使用手段。通过将LWAPP引入WLAN，意味着企业用户可接入一系列可互通的接入点或交换机，无线交换企业将抛弃其传统的服务方式，而将在更广阔的服务空间支持更多的应用。哈尔滨工程大学硕士学位论文但是，当前市场上真正完全支持LWAPP协议的接入点或无线交换设备并不多。出于自身利益考虑，大部分制造商并不采用LWAPP协议或在协议中添加了自己的私有属性，使得不同制造商的无线交换设备与AP间依然无法通信，这种情况并不是协议制定者的初衷。最早提出轻量级AP草案，并拥有独立的轻量级AP的AIRSPACE公司已被CISCO并购，因而CISEO推出了几款支持LWAPP的网络交换机，但目前市场上的轻量级AP产品仍不多见。此外，当前版本LWAPP草案中的已有可用方案仅能够支持远程MAC架构，而对于分离MAC及本地MAC架构则不能够很好的支持。面对这一形势，H3C公司根据当前用户需求，并且参照现有LWAPP草案及相关标准，推出了自己的集中式WLAN架构解决方案，同时配以相关无线产品，如FITAP、AC及相应WLAN管理软件等的设计与实现。目前，该产品的商用型己经推向市场，并已广泛应用于大型企业、校园、机场等无线热点覆盖场所，提供集中式的无线接入服务。15本文工作本文是基于CAPWAP提出的网络架构第十一版本与LWAPP草案的第四版本进行研究。课题研究来源于H3C通信技术有限公司集中式网络架构下WLAN子系统项目的研究与开发。本文针对分离MAC架构即FITAP组网方式，对现有LWAPP草案作出部分修订，并重点关注协议运行设计及在FITAP上的实现过程。首先，将集中式WLAN网络结构与传统组网方式下的网络结构进行了比较，论述了前者的优势与意义；其次，针对WLAN子系统的相关需求，结合现有产品及平台、已实现技术，参照CAPWAP提供的LWAPP草案，提出了一套切实可行的AC与FITAP间通信接口设计方案；最后，给出了LWAPP客户端在FITAP上的详细实现过程。本文基于LWAPP隧道协议的“双重通信“模型，具体实现中将控制信息与数据信息的处理相分离，即在功能上分为两个不同的模块而分别从属于平台的控制平面与数据平面，并以此为基础最终实现LWAPP的控制通道与数据通道，实现对FITAP集中控制与管理的支持。7哈尔滨T程大学硕十学位论文本人负责设计与开发的部分1、LWAPP控制通道，用于实现对FITAP的集中控制与管理。根据用户需求添加协议属性，对其进行扩展，并实现AC与AP间控制消息的交互，为自身及其它相关模块的开发提供通信接口；最终，实现了AC发现，控制通道管理，配置管理，设备管理及移动台会话管理等操作。2、LWAPP数据通道，用于承载被转发的无线80211帧。当进行无线帧转发时，发送者通过LWAPP定义的适当传输规则，将其简单封装成LWAPP隧道数据报文；而当接收到某一LWAPP封装的无线帧时，接收者也将通过这一传输规则对其进行解封装处理，最终得到8021L帧结构。16本文结构本文的结构是这样安排的第1章是绪论，介绍了传统WEAN组网方式及其局限性，集中式WLAN架构解决方案以及LWAPP协议，并给出了本文工作。第2章是相关概念与技术，分别介绍了与LWAPP协议相关的一些概念及实现中用到的技术，包括术语定义，WLAN功能服务，集中式WLAN架构，认证与加密技术及LWAPP隧道技术等。第3章是协议的运行设计，给出了集中式WLAN架构下WLAN子系统的整体架构与模块构成，并对LWAPP协议的运行给予了总体分析，最后对协议运行及其安全性设计进行了详细论述。第4章是LWAPP协议在无线接入点AP上的实现，首先，介绍了协议的开发环境COMWAREV5平台，然后，分别详细论述了LWAPP控制通道与数据通道在该平台下的具体实现方案。第5章是系统测试，分别给出了系统测试中使用的测试组网图、测试需求、测试环境、测试项目以及测试结果。最后是全文总结，对LWAPP客户端模块的设计与实现进行总结，并提出当前系统中存在的问题与今后的工作。8哈尔滨工程大学硕士学位论文21术语定义第2章相关概念与技术本文重新定义这些新的术语的目的，主要是用于区分一些经常易于混淆的概念。例如“AP“，通常人们谈到“AP“是指一个具有天线并实现了WLAN物理层及具有通过空中接口传输STA数据功能的物理实体；但是，802II标准中描述的“AP”是指实现了一套逻辑功能，并能为STA提供接入服务的逻辑实体。当人们谈到“AP功能“时，言下之意是指整个WLAN接入网提供的逻辑功能，而不是STA与之通信的物理实体提供的部分功能。特别是当某些功能是在整个网络中实现，而不是在特定的物理设备上实现时，这样的概念混淆很容易引起问题。为了避免进一步的混淆，我们对部分关键术语做出约定，约定以外的术语都将采用802II标准中的定义。IEEE80211礼AN功能无线局域网80211工作组定义的一套逻辑功能，其中包括站点服务，分布式服务以及其它MAC服务，这些逻辑功能是实现80211无线接入网必需的逻辑服务。CAPWAP服务由CAPWAP工作组而不是由80211标准定义的，但是对于控制、配置与管理8021L网络是很有效的控制功能集。WTPWIRELESSTERMINATIONPOINTS物理或网络实体，包含天线及物理层功能，用于发送或接收STA的数据流量。这种设备以前都被称为“AP“，但由于它有时也指实现8021I服务的逻辑实体，这里使用“WP”明确指向物理实体，从而避免逻辑意义上的混淆。AC集中式WLAN架构下的网络实体，它通常面向WTP或者FITAP设备提供集中控制与管理功能以及数据转发功能，因此，可以将其称为无线交换机，无线网络管理器或控制器等。FATAP考虑到WLAN的安全与管理，而在WTP中实现了诸如安全、服务质量、接入控制及负载均衡等功能，致使WTP实现的功能越来越多，从而显得越来越“胖“，将这种WTP一般称之为FATAP。FITAP通过采用分离MAC方式，将原先FATAP中具有的诸如安全、服9哈尔滨工程大学硕士学位论文务质量、接入控制以及负载均衡等复杂功能的全部或部分集成到交换机中，而仅保留部分简单功能或者实时MAC功能于1，RP之上，这种轻量级的WTP设备通常被称为“瘦“接入点，即FITAP。22WLAN功能服务无线WLAN功能服务不仅包括由80211标准定义的基本功能集合，还包括为解决对WTP进行集中管理与配置的一套扩展功能集合。221LEEE80211功能服务作为WLAN标准，IEEE8021L不仅规定了STA与AP及在多个STA间通信的空中接口，并描述了STA如何与一个BSS相关联。用于在BSS间提供互连的架构组件是分布式系统DISTRIBUTIONSYSTEM，DS。AP除提供站点服务外，还通过分布式服务提供对DS的访问一。由于80211并未明确指出DS实现的细节，标准只定义了能够在网络中两个实体间提供数据链路层LLC所要传输的MAC服务数据单元MSDU的功能服务。这些服务能够被分为两类站点服务与分布式服务。这两类服务都是80211MAC子层使用的服务。1、站点服务认证用于对接入的STA进行认证以建立一个站点标识，并成为已认证站点集合中的一员，其认证方式有多种，而802IXU刚方式最为普遍；解认证解除一个存在的认证关系；加密用于阻止不期望的对象获取消息或内容，常用的加密方式有WEP以及80211I定义的WPA与WPA2；MSDU传输传输站点间的MAC层服务数据单元MSDU。2、分布式服务关联建立AP与站点间的映射关系并使STA能使用分布式服务；解关联解除存在的AP与站点间映射的关联关系；再次关联将已建立的AP与站点关联关系从一个AP转移到另一个；分发服务向与之关联的STA提供转发MSDU的服务，MSDU可向无线终端转发，也可向有线目的点转发；10哈尔滨工程大学硕士学位论文整合服务用于将从分发服务中接收到的非80211格式的MSDU转换成无线80211格式的MSDU，任何从分布式系统接收的MSDU在使用分发服务前都需要调用整合服务。除以上服务，80211也定义了额外的MAC服务必须由AP完全实现，例如BEACON帧的产生，PROBE应答传输，控制帧处理，传输速率控制，同步重传，80211加解密等U“。此外，802117作组还定义一些新的80211扩展协议增加的功能，例如支持QOS的8021LEU引；安全算法8021LIU引；用于STA从一个BSS漫步到另一个时更新AP状态信息的8021LFU利；射频资源控制802ILK等。必须指出，8021L协议中没有指明所有的功能应该如何实现，也没有指明所有这些功能应该在哪一个物理设备上实现。从概念上讲需要AP与DS共同实现所有这些功能。但同时各厂商的解决方案或者产品并不只是实现这些服务，也包括多种增值服务或者功能，例如负载平衡、QOS、站点移动管理或欺诈AP探测等。正因为如此，各个厂商利用80211架构的灵活性，从而在市场上出现了多种WLAN架构与服务的实现。222CAPWAP功能定义为解决12节所提出的网络管理、一致性配置、射频RF管理与安全问题，特别是配置与管理问题，各厂商着重提出了一些用以辅助更好的协调和控制整个扩展服务集EXTENDSERVICESET，ESS网络的解决方案及功能实现如果1LAN为一个跨越大规模多物理实体的网络而不是单一实体时这样的功能尤其重要。目前，CAPWAP工作组将这些功能主要归为以下六类U副1RF监控，如雷达、噪音或干扰的探测与测量；2RF配置，如信道选择、传输功率的调整等功能；31，IP配置，如配置WTP设备的SSID、IP地址等信息；4耵P固件，如为整个网络提供的自动升级与更新WTP固件功能；5网络实体间的相互认证，如集中化WLAN架构中AC与WTP间的认证；6网络级STA状态信息库维护，包括STA的基本信息，及用于支持如移动性或负载均衡等增值服务的信息。以上所列的CAPWAP服务基本上涵盖了网络管理、配置、RF管理与安全哈尔滨工程大学硕士学位论文一|IMF置宣宣置；III葺毒I葺I葺皇I暑暑I宣嗣一等四个方面。不同的厂商对于这些服务部分或者全部有不同的实现。大部分这些功能IEEE80211并未指定，但是，部分功能在80211的扩展协议中定义，例如射频资源测量N与1是在802ILK中定义了相关标准。23集中式WLAN架构分析虽然集中化架构的一个首要动机是为能够动态并且连续对网络进行管理，但为迎合不同配置实例的需求，这种架构的多种类型己经出现。由于在8021L标准中广泛使用术语“AP”来描述逻辑功能的实现，但是没有具体的标准将AP的功能映射到物理网络实体上，因此，各个厂商采用的一些设计选择提供了多样的产品。根据8021L与CAPWAP扩展功能在WTP与AC间分配的不同可将集中化架构再次细分为三类，即本地MAC方式，分离MAC方式与远程MAC方式。其中本地MAC方式将MAC功能完全在WTP上实现；远程MAC方式则将MAC功能从WTP转移到AC上实现；而分离MAC方式则显示MAC功能在AC与WTP上分开实现，其分离的依据是判断该功能是否具有实时性要求。通常，实时功能放在WTP上实现，而非实时的功能则置于AC上。由于8021L并未清晰的指定什么功能是实时的而什么是非实时的，所以在这两者之间也没有清晰明确的界限。通过对这些架构的研究，能够更为深入的对WLAN网络功能实现有更为明确的认识，从而能对所要设计的AC与FITAP间通信接口模型应具有的功能有更为深入的理解。图21显示了这三种方案的区别。LFUNN眦IESAC广II一J际80同211MAC画册三型肥厂司囤倒肛广LJ画册802IIPBIY802哪11LPLLLL哪1一。图21集中式架构的三个方案12哈尔滨工程大学硕士学位论文231本地MAC方案本地MAC架构是不在WTP与AC间分离80211MAC功能的前提下，而在AC上提供访问网络策略与网络管理的功能。全部的80211MAC功能实现位于WTP上，包括所有对STA进行的80211管理或控制帧的处理功能；另一方面，与管理和控制WTP相关的信息则与AC通信获得，用于管理网络并保持整个网络中WTP设备的相容性。此外，本地MAC架构将全部的CAPWAP功能都在AC上实现，这样当AC能够提供全网范围的可视性特点时，就可用于帮助盯P监控ILF信道或收集STA的统计状态信息。这种方案的优点在于能够与目前主流的FATAP设备结合，因为在绝大部分的WTP中，其无线传输芯片都己经实现了80211MAC层的整套服务，对新的功能的支持只需进行软件升级而不是更新现有的硬件物理设备；但是缺点也是显而易见的，由于加解密仍然由WTP完成，所以无法解决WTP设备被窃取导致的系统安全性问题。此外，由于WTP功能较为完全，其前期设备布网价格相对昂贵，但是在实际中由于当前布网的WTP都属于这种本地MAC架构的，因此基于这种架构实现网络级的集中化配置与管理，并实现集中化的用户管理则是技术发展的一个亮点。在这种情况下，对当前现有的网络架构作较为简单的软件升级与购买支持集中化管理功能的AC即可实现智能化网络管理与配置。232分离MAC方案分离MAC与本地MAC的主要区别是，它在AC上实现了部分的80211MAC层功能服务。通常是基于该功能服务对实时性的要求来决定哪些MAC功能应由AC完成或者是由WTP完成。在分离MAC架构中，IYFP实现无线网络连接的基础部分，提供射频相关的管理，同时实现所有实时80211MAC功能，而非实时的管理功能则由集中化的AC设备处理，例如配置、QOS、负载均衡策略、访问控制列表等。本地MAC与分离MAC的细微而又关键的差别是在于非实时LVLAC功能在分离MAC架构中，80211非实时MAC功能由AC实现，而在本地MAC架构中则由WTP实现，并相应的发送适当的报文给AC。13哈尔滨工程大学硕士学位论文|宣III宣暑I暑I皇|萱叠誓|皇宣置置暑暑；宣J暑萱置I萱毒LITI一|置宣鲁宣葺一采用分离MAC方法的主要原因有三点。首先，则是下放AP功能中具体而又只与每个BSS位置相关的功能，以便让AC探测大量的WTP设备。此外，由于实时功能受到的时延限制，其无法容忍在多跳网络中，传输8021L控制帧或其它实时信息的时延，因此分离MAC方案将通过实时性标准限制AC与WTP间可用连接的选择。其次，则是考虑降低WTP的成本以使WTP尽可能的简单与便宜。最后，则是将加密与解密功能由AC实现，由于用户的密钥不再置于WTP上从而降低了WTP的易受攻击性；而且任何在安全协议与算法设计上的改进，都不需要抛弃WTP设备，相应的只需要在AC上实现新的安全方案，因此，管理与更新密钥的任务也就简单化了，这样网络安全信息也能更好的得到保护从而免于被有线网中的设备侦听到U。由于在802II规范中，并没有对哪些802IIMAC功能属于实时功能有一个清晰的定义，所以各厂商各自对其有自己的理解。大部分解诀方案都一致同意以下802IIMAC服务为实时服务并选择在WTP上实现BEACON帧的产生，PROBE应答传输，控制帧处理，同步，重传，传输速率控制；而以下所列的是非实时的MAC功能关联解关联再次关联，认证解认证，分发整合服务，封帧解帧。233远程MAC方案采用远程MAC架构的目的是使WTP尽可能的轻量化，这是通过在WTP上只保留射频接口，并将整套的80211姒C功能转移到AC上实现的，从而所有MAC层功能及CAPWAP控制功能都在AC上实现。此时，WTP只是作为无线客户端与AC通信的中继，尽管在从802II格式转换到另一种以太网，光纤等需要额外的特性。集中式控制器提供网络监控，管理与控制，整套的80211AP服务，安全特性，资源管理，QOS，信道选择功能等。由于MAC功能服务从PHY上分离开，所以称之为远程MAC架构。其配置将更关注于AC与WTP的连接，以便于降低时延。这种架构下，WTP更像是一个智能终端，能够通过二层交换机级联，从而更具规模扩展网络覆盖范围，为更多的终端用户提供无线接入。但是，这种方案对集中化控制器的硬件与软件性能要求很高，必须能够线性处理各个接入WTP传输的数据业务，并能够及时处理相应的管理业务，从而能够保证14哈尔滨工程大学硕士学位论文某些服务的实时性要求。由于该架构下作为智能终端的WTP硬件成本相对较低，从而降低了厂商进入WLAN市场的门槛，此外，不同厂商的设备间具有良好的兼容性。目前，CAPWAP工作组提出的LWAPP协议主要就是针对远程MAC架构，为AC与WTP间提供标准的互操作接口，从而能够为该架构在实际商用中的发展带来更大的发展空间1。24认证与加密技术241AESCCM认证与加密高级加密标准AES，ADVANCEDENCRYPTIONSTANDARDN81朝算法是一种分组加密算法，密钥长度可为128、192或256位，分组长度也可为128、192或256位。而CCMCOUNTERWITHCBCMACMODE嵋叫模式则是基于AES加密算法，提供对数据的加密与认证；同时CCM模式也是一种对称私钥加密模式密钥为多个实体共享，因此其需要很好的密钥管理机制。由于CCM模式使用分组加密算法，在应用前必须先将数据进行分组，因此不适用于流加密。该模式将CTR与CBCMAC有机结合，其中前者用于加密而后者则用于计算消息认证码MESSAGEINTEGRITYCHECK，MIC以进行数据的认证。该模式包括数据加密与解密认证两个过程。在数据加密过程中，CBC将计算明文数据并产生一个消息认证码，然后CTR将明文数据与消息认证码放在一起进行加密，最终得到不可识别的密文数据；在解密认证过程中，CTR对密文数据进行解密，得到明文数据，并恢复消息认证码，然后CBC对得到的明文数据计算消息认证码，并对这两个认证码进行比较，如果相等，表示认证成功，如果不等，则说明数据在传输的过程中发生了改变，需要丢弃该数据。数据的认证校验保证了数据在传输过程中不被更改，同时也保证了通信双方使用相同的密钥，属于已授权的实体。242密钥导出函数KDF在公钥密码学的许多应用中，用户安全性最终取决于一个或多个秘密文本值或口令。口令不是直接可用作任何传统密码系统的密钥，相反，需要对口令进行一些处理才能用它进行密码操作。基于口令的密码术的通用方法是哈尔滨工程大学硕士学位论文把口令与盐结合，并构建相对昂贵的密钥导出技术以产生密钥。这里可以把盐看作是从口令导出的一个大密钥集合的索引而不需要保密，而密钥导出技术是通过引入一个迭代次数，由此增加穷举搜索的代价。盐与迭代次数构成了基于口令加密的基础而为各种密码操作所采用，因此以下定义的基于口令的密钥导出是口令、盐与迭代次数的一个函数，其中后两个量不需要保密。密钥导出函数从一个基础密钥与其它参数产生一个导出密钥，而在基于口令的密钥导出函数中，基础密钥是口令，其它参数将是盐值与迭代次数。最终，密钥导出函数的一个典型应用包括以下几步选择一个盐与一个迭代次数；选择导出密钥的字节长度；将密钥导出函数应用于口令、盐、迭代次数与密钥长度，以生成最后的导出密钥；输出导出的密钥。通过改变盐可从一个口令导出任意数量的密钥。目前，应用比较广泛的密钥导出技术是基于口令的密码系统规范PKCS5定义的PBKDFI与PBIDF2，而由于PBLDFL只为同已有应用兼容，通常推荐新的应用使用PBKDF2。其中的PBKDF2应用一个伪随机函数以导出密钥，导出密钥的长度本质上是没有限制的，但是，导出密钥的最大有效搜索空间将受限于基本伪随机函数的结构，其接口定义如下雎UDKPBKDF2P，S，C，DKLEN21式中尸口令，字节串；S盐，字节串；C迭代次数，正整数脒导出密钥，长度DKLEN字节；DKZEN导出密钥的意定字节长度。当确定了口令P、盐S、迭代次数C、导出密钥长度DKZEN等输入参数后即可调用PBKDF2提供的功能接口，执行其密钥导出过程。而导出密钥的详细产生步骤可以参照参考文献21。以上定义的基于口令的密钥导出函数的主要应用在于基于口令的加密策略与消息验证策略。这里的基于口令的加密方案是基于一个基本的传统加密方案，只是该传统方案的密钥是从口令中导出的；相似地，基于口令的消息16哈尔滨工程大学硕士学位论文鉴别方案也是基于一个基本的传统方案。由于密钥导出函数的独立定义，其它方面的应用也肯定是可能的。25LWAPP隧道技术简介251什么是隧道隧道技术是一种通过使用互连网络的基础设施，而在网络之间传递数据的方式。使用隧道传递的数据或负载可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络进行传递。简单说就是原始报文在A地进行封装，到达B地后去掉封装还原成原始报文，这样就形成了一条由A到B的通信隧道。被封装的数据包在隧道的两个端点问通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。注意，隧道技术是指包括数据封装、传输与解包在内的全过程幽。轻型接入点协议可以看作是一种特殊的隧道协议。这个隧道能够承载并发送另外一种协议的报文，如80211协议。当前实现的特定的隧道协议有多种，LWAPP区别于其它协议的特点是1仅用于AC与1，RP两个设备之间数据的隧道传输；2提供了用于WTP管理的控制通道。252LWAPP协议传输层轻型接入点协议能够运行于二层或三层网络。对于二层网络，它是承载于本地以太网帧中，不具有路由功能，要依赖于AC与WTP间的二层连接；对于三层网络，则是将LWAPP封装于UDP内。无论承载帧的传输形式如何，所有的LWAPP协议报文都将使用相同的传输头格式进行封装，然而某些标志位可能不会应用于给定的传输形式，因此如果要决定哪些标志有效，需要参考当前使用的具体传输形式。轻型接入点协议的传输头格式如图22所示瞄。哈尔滨工程大学硕士学位论文0LZ3A123哇567日90123嘎567日9口L2345678901一一一_一一一一一一一一一一一一一一_一一一一一一一一一一_IVERIRIDLCIFILLFRAGIDLLENGCHI一一一一一一4一一一一一一一一一一一一十一一一4一一一一一一一LS七日乞U暑可LANSIPAYLOADI一一一4一一一一一4一一一一一一一一一一一一一图22LWAPP传输头格式说明VER域报文使用的LWAPP协议版本号，草案中该域为0。RID域三个比特的报文射频编号。由于WTP对多BSSID的支持已经在实际中得到应用，但是，WTP只有一个MAC地址，因此目前使用RID来标识报文所对应的BSSID。C比特在LWAPP定义中，将信道分为控制信道与数据信道，使用该比特加以区分。C为“0表示是数据帧，为“1则表示控制帧。F比特标识该报文是不是一个分段，如果为“1“，则表示其是个分段需要与传输的其它分段重装成完整的在WTP与AC问交互的信息。由于定义LWAPP协议与承载层无关，既可以使用MAC层协议又可以使用UDP作为承载协议传输数据，因此有必要考虑在MAC层传输中的分段问题。该比特只有在MAC层传输的时候才有用，在UDP承载传输时默认为“0。L比特当F比特设定后，该L比特才有效。用于标识该报文是否是帧的最后一个分段。FRAGID帧的ID，对每组分段的帧指定一个值，用于标识这些分段。LENGTHPAYLOAD的长度，无符号整型数。STATUSWLANS与使用无线技术相关的参数。因为LWAPP支持的不仅仅是802II网络，还支持其它的例如IRDA或者BLUETOOTH网络，所以这16个比特是与绑定的网络相关的，并未指定其具体的内容。PAYLOAD该域包含了LWAPP数据报文头或控制报文头，以及与该报文相关的数据。使用IPV4UDP作为承载协议的控制帧格式如图23所示副。在使用UDP承载LWAPP协议时，F、L、FRAGID都置为零。至于数据分段和重装，由于LWAPP是在三层上实现，因此，传输层使用IP分段比4”5。的方18哈尔滨工程大学硕士学位论文置葺薯暑置置昌II宣IJI宣置暑一IIII一式，对大于的报文进行分段和重装。在使用IP传输时，只需要将第一个分段包含于LWAPP头中即可。3一一一一一一IIIIC10】I一一一一一IL一一一一LAYER3LGAPPCONTROLFRAME一一一一一LKACHEADERIIPIUDPILAPPHEADERCI】I一一一一一一一一ICONTRO1HESSAGEIMESSAGEELAMENTSL一一一一一一一一一图23IPV4UDP方式传输LWAPP帧格式253控制报文定义完整的LWAPP报文由传输层报文头以及LWAPP数据构成，传输层细节已由上文说明，而数据部分则被分为两类，即数据载荷与控制载荷。其中，数据载荷为在WTP与AC间转发的无线帧。当需要进行无线帧的转发时，发送者会将无线帧简单的封装成一个LWAPP封装的数据报文。与数据载荷相同，所有的LWAPP控制载荷也都是在封装了传输头后才被发送，但传输头后面还需要紧随一个LWAPP控制头，其格式如图24所示咄副。0I230L234S67日9口1Z。3乓S67日90123辱557日9AI一一一一一4II一一一一一一一4I一一一一一一一一LNESSAGETYPEISEQNUMIHSGELEMENTLENGTHL4一一一一一一一44一一44II一4LSESSIONIDI一一一一一4一一一一一一一一一一I4一一一一一一一4IHEGELEMENC【0N】I一一一一一一一一一一一一十一一一一图24LWAPP控制消息头格式说明MESSAGETYPE标识LWAPP控制报文的类型。LWAPP定义了一整套控制报文类型，图33列出了本WLAN项目中实现的控制报文类型。SEQNUM用于匹配请求与回应报文的标识。当收到一个控制报文后，相19哈尔滨工程大学硕士学位论文应的将该值拷贝到回应报文中。MSGELEMENTLENGTH该长度域显示会话ID后的字节长度。SESSIONID会话ID是一个32位无符号整型数，用于标示在WTP与AC间交互的加密的安全信息。该值在AC与所要通信的WTP间是唯一的。MSGELEMENT0N属性单元包含与每个控制报文相关的信息数据；不同的控制报文，属性单元有不同的定义。对于属性单元，LWAPP也定义了其标准的格式。每个属性单元通过TYPE域区分其类型，属性单元的长度在LENGTH域中，如图25所示。0L230I234567890LZ3嘎567日90123嘎S67日9DL一一一一一一一一一一一一一一一一一一一一一一一一一一一