中级培训--WLAN产品设计原理和关键技术.ppt

WLAN产品设计和关键技术,中国自主知识产权,寰创通信WLAN中级培训教材,AC系统结构设计主备通信机制业务认证流程AC-AP间协议和接口,交流提纲,盒式AC设备描述,盒式AC采用集成的软硬件一体化设计，主要用于中低密度的AP接入，最多支持32K用户接入，最大支持4G数据吞吐量。硬件平台CPU采用双颗IntelXeonE53xx四核处理器，Intel5000P芯片组，前端总线速率为1333/1066MHz，最多10个千兆网口，支持双直流或者双交流冗余电源供电。,盒式AC硬件架构,盒式AC的硬件具有如下特性：采用双IntelXeon至强四核处理器。北桥芯片组采用Intel5000MCH，通过双PCI-E4x接口提供10GE网络接口。5000P提供最大8G的内存容量和双SATA接口。通过I/O扩展芯片提供电源管理和PCI总线扩展。,框式AC设备描述,机框式AC采用在电信领域应用广泛的新一代主流工业计算技术-先进电信计算平台（ATCA），基于模块化、高兼容性、可扩展的硬件构架，为业务扩展和硬件升级提供了极大便利。机框式AC最多可支持六片符合ATCA规范的处理板，包括四片业务板和两片交换接口板。最大可接纳128K的用户接入，以及160G数据交换能力。其业务板类型包括WLAN控制面处理引擎板、WLAN业务面处理板两种。其中业务处理采用基于MIPS的多核网络处理器，具有强大的网络IO处理能力。,框式AC硬件架构,业务处理板硬件具有如下特性：内含双路MIPS多核处理器，最多12核，每核800MHz板内交换芯片提供40G的交换能力。16路GE连接至Zone3，通过后插板接入网络，2路10GE连接至Fabric。背板支持PICMG3.1规范中的Option2和Option9,框式AC硬件架构,控制面处理引擎板具有如下特性：双Intel至强L5408处理器,1066MHz前端总线，12MCache通过Intel5100/ICH9R芯片组，提供最高32G内存容量。双10GEfabric接口，双GEbase接口双AMC接口，可进行4GE口或者SAS/SATA硬盘扩展面板提供双USB核VGA输出,软件平台架构,AC的软件可以分为：操作系统、平台支撑系统，无线业务管理，数据交换模块，网管接口五个大部分。其内部关系如下图所示：,软件平台架构,操作系统/驱动模块负责为AC提供软件基础运行环境，以及硬件管理维护接口，是整个AC的运行基础。软件平台支撑负责为业务软件提供系统接口封装，为业务软件屏蔽底层系统差异，提供统一的功能调度接口，以及业务层面的数据库管理，设备管理等。无线业务管理模块，负责实现AC的核心业务逻辑，比如CAPWAP协议、DHCP协议等。通过该模块实现AP的发现和接入管理、用户接入认证等核心功能。数据交换模块，负责实现AC数据业务的二层、三层转发，路由协议处理、NAT协议处理、用户流量控制等功能。是AC网络数据业务的核心组件。网管接口提供AC设备的远程配置管理，AC运行状态统计。网管接口提供2中访问方式，一是WEB方式，通过网络浏览器访问；一是通过SNMP协议实现标准化的远程访问控制。,AC系统结构设计主备通信机制业务认证流程AC-AP间协议和接口,交流提纲,主备基本原理,AC支持1+1备份和N+1备份（N=3）AC主备基本原理：a.主备AC间通过主备通道进行心跳检测b.主备AC间通过VRRP技术实现外部接口IP地址（浮动IP）共享c.主备AC间配置数据进行实时备份，主AC的配置修改后，通过主备通道实时备份到备AC,1+1主备典型组网,以AP-AC三层组网，用户数据集中转发的组网模式为例，典型组网图如右：组网说明：主AC和备AC的下联口同时接到下行WLAN汇聚交换机，用于跟AP通信主AC和备AC的上联口同时接到上行WLAN汇聚交换机，用于接入城域网,3+1主备典型组网,组网说明：主AC1、主AC2、主AC3和备AC的下联口同时接到下行WLAN汇聚交换机，用于跟AP通信主AC1、主AC2、主AC3和备AC的上联口同时接到上行WLAN汇聚交换机，用于接入城域网,主备AC典型处理流程,主备AC间配置同步过程：用户通过AC-WEB或网管修改主AC配置后，主AC的配置数据版本号会发生变化主AC向备AC发送的主备保活消息中携带主AC当前的配置数据版本号备AC与主AC第一次建链时，通过FTP从主AC下载该主AC的配置数据，保存在备AC上备AC收到主AC发来的主备保活消息，比较备AC上保存的该主AC配置数据版本号与保活消息中的配置数据版本号，如果不相同，则备AC发起FTP过程，从主AC下载新的数据文件主AC故障处理过程：备AC通过心跳检测机制检测到主AC故障，且备AC当前没有接管其它主AC，则备AC的工作状态立即由备用转为主用状态，同时在接口上启用浮动IPAP自动接入到备AC无线客户端通过备AC获取服务主AC故障恢复处理过程：备AC通过心跳检测机制检测到主AC故障恢复，备AC的工作状态立即由主用转为备用状态，同时在接口上禁用浮动IPAP自动切换连接到主AC无线客户端通过主AC获取服务,AC系统结构设计主备通信机制业务认证流程AC-AP间协议和接口,交流提纲,当AC作为认证点，网络一般为集中转发，这里也针对集中转发，作组网说明：控制流：终端用户无线接入过程在AP上终结，DHCP过程一般在AC上终结，PORTAL认证过程则需要PortalServer及RadiusServer配合在AC上完成认证过程。若用户认证成功，则在AC上为该用户打开逻辑开关，允许用户后续数据流通过。若用户逻辑通道未打开，则只允许用户的控制面数据通过，及访问白名单地址。数据流：终端用户的数据流，经AP后，再通过APAC隧道最终都汇聚到AC，再转发至目的地址。,AC作为认证点,BRAS作为认证点,BRAS作为认证点,组网说明：一、本地转发（不管控制流还是数据流，都无需汇聚至AC）：控制流：终端用户无线接入过程在AP上终结，DHCP过程可经AP经交换机直接到BRAS上终结，即由BRAS分配终端IP地址，PORTAL认证过程则需要PortalServer及RadiusServer配合在BRAS上完成认证过程。数据流：终端用户的数据流，经AP后，不经过AC而直接经过交换机汇聚到BRAS，再转发至目的地址。二、集中转发（控制流或数据流，都需汇聚至AC，此时，AC可作为二层交换机使用）：控制流：终端用户无线接入过程在AP上终结，DHCP过程可经APAC隧道经交换机最后到BRAS上终结，即由BRAS分配终端IP地址，PORTAL认证过程则需要PortalServer及RadiusServer配合在BRAS上完成认证过程。数据流：终端用户的数据流，经AP后，先汇聚至AC，再经过交换机最终汇聚到BRAS上，最后转发至目的地址。,认证流程,认证流程,认证流程描述,用户正常接入流程描述如下：1建立无线连接：1.1终端发送开放式鉴权请求至AP；1.2AP发送开放式鉴权响应至终端1.3终端发送关联请求至AP，携带了终端的无线支持能力，如速率等；1.4AP发送关联请响应至终端，携带了分配给终端的关联ID号等；至此，终端在AP上的无线链路建立成功；2注册终端：2.1AP发送注册终端消息至AC，含终端MAC地址；2.2AC发送ACK消息至AP；3DHCP自动获取IP地址：3.1终端广播发送DHCPDiscover至网络，查找DHCP服务器。3.2AC（配置了DHCP服务功能）发送DHCPOffer至终端；3.3终端发送DHCPRequest至AC，请求IP地址；3.4AC发送DHCPAck至终端；至此，终端成功自动获取到IP地址；,认证流程描述,4强制到PortalServer：4.1终端访问网页，如，即发送HTTPRequest至AC4.2AC检测到该终端用户未通过认证，则发送HTTP重定向消息至终端，重定向地址为配置的PortalServer地址；4.3终端访问重定向地址4.4由于PortalServer地址是在AC的白名单地址集中，故允许终端访问，AC发送HTTPResponse消息至终端；至此，未通过认证的终端访问任意网页，都将被强制到PortalServer上；5Portal认证：5.1终端在强制网页上，填写用户名及密码提交，则将采用HTTPs经AC递交用户名及密码至PortalServer。虽然用户名及密码数据流，经过AC，但被HTTPs加密，故只有PortalServer知道用户名及密码。5.2PortalServer发送UserInfoRequest至RadiusServer，消息中携带用户名及密码；5.3RadiusServer检查用户名及密码，发送UserInfoResponse至PortalServer，携带了检查结果；5.4CHAP认证PortalServer发送REQ_CHALLENGE至AC，请求挑战数；携带了用户IP地址；,认证流程描述,5.5CHAP认证AC发送ACK_CHALLENGE至PortalServer，含挑战数及ReqID；5.6PortalServer发送REQ_AUTH至AC，请求认证；携带了用户名及CHAP计算后的密码；5.7AC发送Access-Request消息至RadiusServer，携带了用户名及CHAP计算后的密码；5.8RadiusServer发送Access-Accept消息至AC；可携带用户的允许上线时长，及计费间隔；5.9AC发送ACK_AUTH至PortalServer，携带了认证结果；5.10PortalServer发送HTTPResponse消息至终端，推送认证成功网页；5.11PortalServer发送AFF_ACK_AUTH消息至AC；至此，终端Portal认证成功，可上网；6开始计费：6.1AC发送Accounting-Request/Start消息至RadiusServer，携带了用户名及用户IP地址等信息；6.2RadiusServer发送Accounting-Response消息至AC；至此，用户面的控制流基本结束。,认证流程描述,7实时计费：7.1AC定时发送Accounting-Request/Interim-Update消息至RadiusServer，携带了用户名、用户上线时长及用户流量等信息；7.2RadiusServer发送Accounting-Response消息至AC；,AC系统结构设计主备通信机制业务认证流程AC-AP间协议和接口,交流提纲,CAPWAP协议概述,CAPWAP的目标ControlAndProvisioningofWirelessAccessPointsAP集中配置和管理AP零配置：即插即用APAC之间接口标准化,相关RFC规范rfc5415rfc5416rfc5417rfc5418rfc4564rfc4565,CAPWAP报文帧结构,CAPWAP控制报文的Discovery帧结构，由于它完成的是查找现有AC的过程，此时控制隧道还未建立，所以它是所有控制报文中唯一非加密数据报文,CAPWAP数据报文格式，由于它是非加密的，所以这种数据报文只能应用在wirelesspayload内的无线帧已做过安全加密的基础之上，如（WEP、802.1X、WPA等等）具体内容请参看WLAN身份验证和数据加密白皮书。通过CAPWAP数据隧道，上网用户的无线数据在WTP中被封装在CAPWAP数据报文里提交AC，AC负责实现用户的数据转发。,AC-AP接口框架图,CAPWAP接口协议（A接口）,A接口是AC与瘦AP之间的接口，主要接口功能包括：瘦AP零配置：瘦AP发现AC、关联AC，并自动从AC获得软件版本和配置数据。瘦AP管理：AC通过管理通道完成对瘦AP的统一的配置、状态查询和管理操作。用户接入控制：瘦AP和AC协作完成WLAN用户的接入控制过程。无线资源管理：瘦AP和AC协作完成自动信道规划，自动功率设置。并完成干扰和非法AP检测等WIDS功能。数据转发功能：瘦AP和AC协作完成对上下行业务数据的加解密、转发和控制。,CAPWAP主要流程,基于UDP主要流程（我们的实现，与规范稍有出入）发现过程中如果多台AC回发现响应，由AP选择一台AC加入Joinresponse消息携带当前该AP相关的配置,主要流程AC发现流程加入流程保活流程配置更新流程状态上报流程版本升级流程,发现流程组播发现方式,适用场景：APAC之间二层组网APIP地址由AC分配典型组网图：,发现流程组播发现方式,组播发现流程：AC启动，加入组播组AP启动，通过DHCP获取IP地址AP发送DiscoveryRequest，报文目的IP地址为组播地址AC收到请求，如果允许该AP接入，则发送DiscoveryResponse，报文目的IP地址为AP的IP,DiscoveryRequest消息内容AP硬件类型、设备型号、序列号、IP地址、当前软件版本号DiscoveryResponse消息内容ACID、ACIP、分配的APID、AP目标软件信息AC判断AP是否允许接入的准则序列号设备型号,发现流程DHCPOption43发现方式,适用场景：APAC之间三层组网：AP与AC的IP属于不同网段汇聚交换机启用DHCP服务，并配置Option43，AP的IP地址由汇聚交换机分配典型组网图：,发现流程DHCPOption43发现方式,DHCPOption43格式f104*(ACIP)f108*(ACIP1)*(ACIP2)DHCPOption43发现流程AP启动，通过DHCP获取IP地址，网关，Option43AP解析Option43，获取ACIPAP发送DiscoveryRequest，报文目的IP地址为Option43中携带的ACIP（单播包）AC收到请求，如果允许该AP接入，则发送DiscoveryResponse，报文目的IP地址为AP的IP,发现流程DNS发现方式,适用场景：APAC之间三层组网：AP与AC的IP属于不同网段汇聚交换机启用DHCP服务，AP的IP地址由汇聚交换机分配域名服务器上配置AC域名与IP地址的映射典型组网图：,发现流程DNS发现方式,DNS发现流程AP配置AC的域名AP启动，通过DHCP获取IP地址，网关，域名服务器IPAP发起域名解析流程，获取AC域名对应的IP地址AP发送DiscoveryRequest，报文目的IP地址为域名解析获取到的IPAC收到请求，如果允许该AP接入，则发送DiscoveryResponse，报文目的IP地址为AP的IP,发现流程组合发现,组合发现商用版本缺省使用组合发现方式发现流程,CAPWAP控制隧道建立,AP收到DiscoveryResponse，选择一台AC发送joinrequestAC收到joinrequest，AC发送joinresposne，消息中携带该AP相关的配置AP收到joinresponse，解析配置，将配置生效,状态上报流程,AP接入到AC后，上报AP侧的状