集中控制式WLAN

1、110849_Icons_Apr2008Enabling Performance-FreeTM Wireless LANs集中控制式WLAN2 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANs引子引子n 传统传统WLANWLAN中的自主接入点（通常称为中的自主接入点（通常称为Fat APFat AP），按照一个静态），按照一个静态RFRF规划（通常为预测的规划（通常为预测的RFRF）独立配置信道和功率，导致胖

2、）独立配置信道和功率，导致胖APAP无无法得知相邻接入点与其是否属于同一个网络或者是相邻网络，法得知相邻接入点与其是否属于同一个网络或者是相邻网络，也很难扩展到大型、连续、协调的无线局域网和添加高级应用。也很难扩展到大型、连续、协调的无线局域网和添加高级应用。n 随着技术需求不断发生变化，企业需要他们的随着技术需求不断发生变化，企业需要他们的WLANWLAN能提供语音、能提供语音、视频、漫游、增强的无线入侵防御系统（视频、漫游、增强的无线入侵防御系统（WIPSWIPS）等多种移动服等多种移动服务，同时还要简化部署和管理。务，同时还要简化部署和管理。n 解决上述问题，需要一个基于解决上述问题，需

3、要一个基于CAPWAPCAPWAP协议，利用协议，利用ACAC和和Thin APThin AP组成的集中控制式组成的集中控制式WLANWLAN。3 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANsn Fat AP vs Thin AP n CAPWAP协议概述协议概述n 集中控制式拓扑架构集中控制式拓扑架构n 集中控制式集中控制式WLAN案例案例目录目录4 2008 Autelan Technologies,

4、 Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANsFat AP vs Thin APFat AP 架构架构Thin AP架构架构管理管理AP的管理AP独立管理AC集中管理AP零配置不支持支持安全安全WIDS监控范围小，一个AP覆盖范围监控范围大，AC管理的所有AP覆盖范围认证独立认证集中认证加密不能同时支持802.11i和WAPI同时支持802.11i和WAPI策略控制独立控制，控制策略容量小集中控制，控制策略容量大配置信息防盗不防盗防盗RFRF管理管理自动部署

5、时间长,有震荡时间短,无震荡自动调整时间长,有震荡时间短,无震荡高级功能高级功能漫游效果差,漫游隧道复杂效果好,漫游隧道简单负载均衡不支持支持无线定位必须借助定位服务器,效果较差结合定位服务器后效果更好QoS与有线QOS结合能力较弱与有线QOS结合能力较强5 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANs管理-AP的管理802.11 a/b/g/n天线加密网管、三层漫游, 安全802.1x认证,802.11

6、e QOSAP点监测点监测用户防火墙用户防火墙网络自愈网络自愈RF 管理管理无线欺骗防护无线欺骗防护802.11a/b/g网管、二层漫游, 安全802.1x认证,802.11e QOS天线加密Fat APThin AP更易管理的无线解决方案 1 FAT AP具备802.11物理层、安全、网管和QOS等全部功能，独自管理自己。 2 Thin AP只保留802.11物理层、天线等基本功能，而将网管、认证等主要功能转移到AC上，由AC统一管理。AC6 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Aut

7、elan PublicPerformance-FreeTM Wireless LANs管理-AP零配置Fat APThin APACCAPWAPCAPWAP隧道隧道下载下载/ /下发配置下发配置单独配置单独配置 1 FAT AP需要逐个单独配置，配置复杂，工作量大。 2 Thin AP零配置管理，由AC基于CAPMAP隧道集中统一配置。7 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANs安全-WIDS 1 F

8、AT AP监控范围小，只有一个AP覆盖范围。 2 Thin AP架构下，由AC统一控制，可监控所有AP覆盖范围，可及时发现非法客户端和流氓AP。 ACRouge clientRouge AP8 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANs802.1x认证,802.11e QOS加密802.11a/b/g安全-认证 1 FAT AP自身具备认证功能，客户端在Fat AP上进行认证。 2 Thin AP架构下

9、，认证功能转移到AC上，所有客户端的认证需要通过AC。 AC认证认证认证认证网管、二层漫游, 安全天线Fat AP网管、三层漫游, 安全802.1x认证,802.11e QOS802.11 a/b/g/n天线加密9 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANs加密（802.11i或者WAPI）安全-加密 1 FAT AP在AP上加密，只支持802.11i和WAPI中的一种。 2 Thin AP架构下，加密

10、功能转移到AC上，同时支持802.11i和WAPI 。 AC认证认证认证认证Fat AP加密（802.11i或者WAPI）加密(802.11i和WAPI) 10 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANs802.1x认证,802.11e QOS加密802.11a/b/g安全-策略控制 1 FAT AP自身具备策略控制功能，Fat AP直接进行策略控制，但控制策略容量小。 2 Thin AP架构下，策略控

11、制功能转移到AC上，AC对所有 AP和客户端进行策略控制，控制策略容量大。 AC策略策略策略策略网管、二层漫游, 安全天线Fat AP网管、三层漫游, 安全802.1x认证,802.11e QOS802.11 a/b/g/n天线加密11 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANs安全-配置信息防盗 1 Fat AP配置齐全，被盗后会泄露信息。 2 Thin AP零配置，被盗后不会泄露任何信息。Fat A

12、PThin AP呵呵#搞到了配置！知道了他们的秘密！哎呀#好失望啊！怎么啥都没有？12 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANsRF管理-自动部署Fat APThin AP 1 FAT AP的自动部署是通过相邻AP相互影响来实现。整个无线网络的信道和功率的稳定需要一段时间，且容易震荡。 2 Thin AP由AC统一控制，基于TPC和DFS自动调整射频及其功率，一次性部署成功，没有震荡。13 2008

13、Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANsRF管理-自动调整Fat APThin AP 1 FAT AP的自动调整是通过相邻AP相互影响来实现，整个网络的重新稳定需要一段时间，且容易震荡。 2 Thin AP架构下，故障AP附近的AP在AC的统一控制下，通过TPC和DFS自动调整射频及其功率，可以一次性完成调整，没有震荡。14 2008 Autelan Technologies, Inc. All rights

14、reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANs高级功能-二层漫游Fat APThin AP 1 FAT AP架构下，下行数据先到原AP，再从原AP经交换机绕道返回客户终端，漫游后的下行路径较为复杂。 2 Thin AP架构下，二层漫游后，下行路径与漫游后的上行路径一致。移动ESS移动15 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeT

15、M Wireless LANs高级功能-三层漫游Fat APThin AP 1 FAT AP架构下，无法进行三层漫游。 2 Thin AP架构下，三层漫游后，下行路径经过原AC再返回到客户端。移动移动16 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANs高级功能-负载均衡Fat APThin AP 1 FAT AP架构下，不支持负载均衡。 2 Thin AP架构下，AP周期性地向AC发送与其相连的无线客户端的

16、信息，AC把这些邻居信息用于负载均衡。AC检查客户端要连接的AP是否处超过设定负载。如果不是的话，那么当前请求的连接将被接受；否则，将基于负载均衡的配置，决定当前连接是被接受还是被拒绝。ESS17 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANs高级功能-无线定位 1 FAT AP架构下，无线定位服务 器通过综合AP发过来的RSSI数据，对无线客户端进行定位。 2 Thin AP架构下，通过AC控制AP发送R

17、SSI数据到无线定位服务器，可更主动更精确的定位无线客户端。AP-AAP-CAP-B无线控制器AuteX7605无线定位服务器AP-A RSSI=XAP-B RSSI=YAP-C RSSI=Z18 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANs高级功能-QOS 1 FAT AP架构下，无线QOS与有线QOS的结合较弱。 2 Thin AP架构下，基于802.11e，支持8个业务优先级的报文标记和4个影射输出

18、队列，通过AC与有线QOS结合更紧密。优先级队列1优先级队列2优先级队列3优先级队列4BusyFrameTimeIFS4CW4IFS3CW3FrameIFS2CW2FrameIFS1CW1Frame19 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANsn Fat AP vs Thin AP n CAPWAP协议概述协议概述n 集中控制式拓扑架构集中控制式拓扑架构n 集中控制式集中控制式WLAN案例案例目录目录

19、20 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANsCAPWAP目标 为了在Thin AP和AC之间传输数据和实现通信，需要CAPWAP满足下列要求： APAP零配置零配置:必须通过该协议实现AP的零配置功能，从而大大减少WLAN部署的工作量 适应多种部署方式适应多种部署方式:该协议必须能够跨越三层网络边界，而不是仅仅将多个WLAN连接到AC。 部署安全部署安全:将一个接入点加入网络并不意味着它应当具有完全

20、的网络访问权限。该协议需要提供一种对所有连接网络的接入点进行身份验证的方法。 对接入点和对接入点和StationStation的实时控制的实时控制:在部署、认证接入点和将其连接到无线交换机之后，该协议需要提供对接入点的实时控制，以便管理和部署移动服务。 传输扩展能力传输扩展能力:尽管大家常用的宽带网络通常运行在以太网的基础上，但是该协议必须能够支持低速的WAN连接，甚至无线网络（如室外型MESH网络透传）。21 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerfor

21、mance-FreeTM Wireless LANsCAPWAP简介 CAPWAP协议全称：Control And Provisioning of Wireless Access Point Protocol（无线接入点控制与配置协议），该协议用于无线接入点（AP）和无线网络控制器（AC）之间的通信交互，实现了对于AC关联的所有AP的控制管理和数据转发。CAPWAP通信数据类型总体上可以分为两类：CAPWAP控制隧道中传输的CAPWAP控制报文CAPWAP数据隧道中传输的CAPWAP数据报文 CAPWAP建立控制隧道和数据隧道的整体流程： DiscoveryJoin(Image Data)Co

22、nfigurationData checkRun AC与AP在Join状态建立控制隧道，在Data check状态建立数据隧道。22 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANsCAPWAP建立隧道流程Discovery状态：状态：该状态是一个AP发现可关联AC的过程，在前期AP可以通过1）读取静态配置文件中AC IP列表 2）通过DNS域名解析3） DHCP返回AC IP列表 4）广播等方式发送Disc

23、overy request，查找当前可关联的AC，当AC收到Discovery request，会发送Discovery response作为响应。Join状态：状态：该状态是AC与AP建立控制通道的交互过程，并在此交互过程中，AC检查AP当前版本，如果AP的版本无法与AC要求的相匹配，AP和AC会进入Image Data状态做固件升级，来更新AP版本；如果AP版本符合要求，则进入configuration状态Image Data状态：状态：Image Data状态是AC对AP升级的过程，以便AP的版本可正常关联ACConfiguration状态：状态：该状态用于做AP的现有配置和AC设定配置

24、的匹配检查，AP发送configuration request到AC，里面包含现有AP配置，当AP当前配置与AC要求不符实，AC会通过configuration response通知AP，AP根据response内容对自身配置做重新设置。Run状态：状态：当AP进入Run状态，说明AP与AC的控制和数据通道建立已成功，用户可根据需要，对指定的AP做配置设置，如创建WLAN、Channel设置、Txpower设置等等，并可实时监控AP的运行状态。23 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005A

25、utelan PublicPerformance-FreeTM Wireless LANsCAPWAP控制报文帧结构 左图左图为CAPWAP控制报文的Discovery帧结构，由于它完成的是查找现有AC的过程，此时控制隧道还未建立，所以它是所有控制报文中唯一非加密数据报文。 右图右图为CAPWAP控制报文帧格式，由于控制隧道是DTLS链接，所以所有CAPWAP控制报文都会被封装在DTLS中，保证控制隧道的安全，其中Control Header用来描述该报文的作用，Message Element则是实现控制配置目的的参数。24 2008 Autelan Technologies, Inc. Al

26、l rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANsCAPWAP数据报文帧结构 左图左图为非加密的CAPWAP数据报文格式，由于它是非加密的，所以这种数据报文只能应用在wireless payload内的无线帧已做过安全加密的基础之上，如（WEP、802.1X、WPA等等）具体内容请参看WLAN身份验证和数据加密白皮书。 右图右图为加密CAPWAP数据报文帧格式，由于这种数据隧道是建立在DTLS基础之上的，所以安全性和保密性更高。 通过CAPWAP数据隧道，上网用户的无线数据在A

27、P中被封装在CAPWAP数据报文里提交AC，AC负责实现用户的数据转发。25 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANsCAPWAP综述 AC通过使用CAPWAP协议与AP建立控制、数据隧道，可以有效解决公司、企业、工厂、学校、医院等复杂环境下网络难于管理和布置，上网安全性低，对周边网络环境影响抵抗差，预防网络攻击能力不足，接入用户统计管理难等等一系列问题，是当前大中小型企业以及复杂环境下提供上网服务的完美解决方案26 2008 Autelan Technologies, Inc. All rights reserved. 10849_Icons_May2005Autelan PublicPerformance-FreeTM Wireless LANsn Fat AP vs Thin AP n CAPWAP协议概述协议概述n 集中控制式拓扑架构集中控制式拓扑架构n 集中控制式集中控制式WLAN案例案例目录目录27 2008 Autelan Technolo