中級的培訓--WLAN產品設計原理和關鍵技術AC系統結構設計主備通信機制業務認證流程AC-AP間協議和接口交流提綱盒式AC設備描述盒式AC采用集成的軟硬件一體化設計，主要用于中低密度的AP接入，最多支持32K用戶接入，最大支持4G數據吞吐量。

硬件平臺CPU采用雙顆IntelXeonE53xx四核處理器，Intel5000P芯片組，前端總線速率為1333/1066MHz，最多10個千兆網口，支持雙直流或者雙交流冗余電源供電。盒式AC硬件架構盒式AC的硬件具有如下特性：

采用雙IntelXeon至強四核處理器。

北橋芯片組采用Intel5000MCH，通過雙PCI-E4x接口提供10GE網絡接口。

5000P提供最大8G的內存容量和雙SATA接口。

通過I/O擴展芯片提供電源管理和PCI總線擴展。框式AC設備描述機框式AC采用在電信領域應用廣泛的新一代主流工業計算技術--先進電信計算平臺（ATCA），基于模塊化、高兼容性、可擴展的硬件構架，為業務擴展和硬件升級提供了極大便利。

機框式AC最多可支持六片符合ATCA規范的處理板，包括四片業務板和兩片交換接口板。最大可接納128K的用戶接入，以及160G數據交換能力。其業務板類型包括WLAN控制面處理引擎板、WLAN業務面處理板兩種。其中業務處理采用基于MIPS的多核網絡處理器，具有強大的網絡IO處理能力。框式AC硬件架構業務處理板硬件具有如下特性：

內含雙路MIPS多核處理器，最多12核，每核800MHz

板內交換芯片提供40G的交換能力。

16路GE連接至Zone3，通過后插板接入網絡，2路10GE連接至Fabric。

背板支持PICMG3.1規范中的Option2和Option9框式AC硬件架構控制面處理引擎板具有如下特性：

雙Intel至強L5408處理器,1066MHz前端總線，12MCache

通過Intel5100/ICH9R芯片組，提供最高32G內存容量。

雙10GEfabric接口，雙GEbase接口

雙AMC接口，可進行4GE口或者SAS/SATA硬盤擴展

面板提供雙USB核VGA輸出軟件平臺架構AC的軟件可以分為：操作系統、平臺支撐系統，無線業務管理，數據交換模塊，網管接口五個大部分。其內部關系如下圖所示：軟件平臺架構操作系統/驅動模塊負責為AC提供軟件基礎運行環境，以及硬件管理維護接口，是整個AC的運行基礎。

軟件平臺支撐負責為業務軟件提供系統接口封裝，為業務軟件屏蔽底層系統差異，提供統一的功能調度接口，以及業務層面的數據庫管理，設備管理等。

無線業務管理模塊，負責實現AC的核心業務邏輯，比如CAPWAP協議、DHCP協議等。通過該模塊實現AP的發現和接入管理、用戶接入認證等核心功能。

數據交換模塊，負責實現AC數據業務的二層、三層轉發，路由協議處理、NAT協議處理、用戶流量控制等功能。是AC網絡數據業務的核心組件。

網管接口提供AC設備的遠程配置管理，AC運行狀態統計。網管接口提供2中訪問方式，一是WEB方式，通過網絡瀏覽器訪問；一是通過SNMP協議實現標準化的遠程訪問控制。AC系統結構設計主備通信機制業務認證流程AC-AP間協議和接口交流提綱主備基本原理AC支持1+1備份和N+1備份（N<=3）

AC主備基本原理：

a.主備AC間通過主備通道進行心跳檢測

b.主備AC間通過VRRP技術實現外部接口IP地址（浮動IP）共享

c.主備AC間配置數據進行實時備份，主AC的配置修改后，通過主備通道實時備份到備AC1+1主備典型組網

以AP-AC三層組網，用戶數據集中轉發的組網模式為例，典型組網圖如右：

組網說明：

主AC和備AC的下聯口同時接到下行WLAN匯聚交換機，用于跟AP通信

主AC和備AC的上聯口同時接到上行WLAN匯聚交換機，用于接入城域網3+1主備典型組網

組網說明：

主AC1、主AC2、主AC3和備AC的下聯口同時接到下行WLAN匯聚交換機，用于跟AP通信

主AC1、主AC2、主AC3和備AC的上聯口同時接到上行WLAN匯聚交換機，用于接入城域網主備AC典型處理流程

主備AC間配置同步過程：

用戶通過AC-WEB或網管修改主AC配置后，主AC的配置數據版本號會發生變化

主AC向備AC發送的主備保活消息中攜帶主AC當前的配置數據版本號

備AC與主AC第一次建鏈時，通過FTP從主AC下載該主AC的配置數據，保存在備AC上

備AC收到主AC發來的主備保活消息，比較備AC上保存的該主AC配置數據版本號與保活消息中的配置數據版本號，如果不相同，則備AC發起FTP過程，從主AC下載新的數據文件

主AC故障處理過程：

備AC通過心跳檢測機制檢測到主AC故障，且備AC當前沒有接管其它主AC，則備AC的工作狀態立即由備用轉為主用狀態，同時在接口上啟用浮動IP

AP自動接入到備AC

無線客戶端通過備AC獲取服務

主AC故障恢復處理過程：

備AC通過心跳檢測機制檢測到主AC故障恢復，備AC的工作狀態立即由主用轉為備用狀態，同時在接口上禁用浮動IP

AP自動切換連接到主AC

無線客戶端通過主AC獲取服務AC系統結構設計主備通信機制業務認證流程AC-AP間協議和接口交流提綱當AC作為認證點，網絡一般為集中轉發，這里也針對集中轉發，作組網說明：

控制流：終端用戶無線接入過程在AP上終結，DHCP過程一般在AC上終結，PORTAL認證過程則需要PortalServer及RadiusServer配合在AC上完成認證過程。若用戶認證成功，則在AC上為該用戶打開邏輯開關，允許用戶后續數據流通過。若用戶邏輯通道未打開，則只允許用戶的控制面數據通過，及訪問白名單地址。

數據流：終端用戶的數據流，經AP后，再通過APAC隧道最終都匯聚到AC，再轉發至目的地址。AC作為認證點

BRAS作為認證點

BRAS作為認證點

組網說明：

一、本地轉發（不管控制流還是數據流，都無需匯聚至AC）：

控制流：終端用戶無線接入過程在AP上終結，DHCP過程可經AP經交換機直接到BRAS上終結，即由BRAS分配終端IP地址，PORTAL認證過程則需要PortalServer及RadiusServer配合在BRAS上完成認證過程。

數據流：終端用戶的數據流，經AP后，不經過AC而直接經過交換機匯聚到BRAS，再轉發至目的地址。

二、集中轉發（控制流或數據流，都需匯聚至AC，此時，AC可作為二層交換機使用）：

控制流：終端用戶無線接入過程在AP上終結，DHCP過程可經APAC隧道經交換機最后到BRAS上終結，即由BRAS分配終端IP地址，PORTAL認證過程則需要PortalServer及RadiusServer配合在BRAS上完成認證過程。

數據流：終端用戶的數據流，經AP后，先匯聚至AC，再經過交換機最終匯聚到BRAS上，最后轉發至目的地址。認證流程

認證流程認證流程描述用戶正常接入流程描述如下：

1建立無線連接：

1.1終端發送開放式鑒權請求至AP；

1.2AP發送開放式鑒權響應至終端

1.3終端發送關聯請求至AP，攜帶了終端的無線支持能力，如速率等；

1.4AP發送關聯請響應至終端，攜帶了分配給終端的關聯ID號等；

至此，終端在AP上的無線鏈路建立成功；

2注冊終端：

2.1AP發送注冊終端消息至AC，含終端MAC地址；

2.2AC發送ACK消息至AP；

3DHCP自動獲取IP地址：

3.1終端廣播發送DHCPDiscover至網絡，查找DHCP服務器。

3.2AC（配置了DHCP服務功能）發送DHCPOffer至終端；

3.3終端發送DHCPRequest至AC，請求IP地址；

3.4AC發送DHCPAck至終端；

至此，終端成功自動獲取到IP地址；認證流程描述認證流程描述5.5[CHAP認證]AC發送ACK_CHALLENGE至PortalServer，含挑戰數及ReqID；

5.6PortalServer發送REQ_AUTH至AC，請求認證；攜帶了用戶名及CHAP計算后的密碼；

5.7AC發送Access-Request消息至RadiusServer，攜帶了用戶名及CHAP計算后的密碼；

5.8RadiusServer發送Access-Accept消息至AC；可攜帶用戶的允許上線時長，及計費間隔；

5.9AC發送ACK_AUTH至PortalServer，攜帶了認證結果；

5.10PortalServer發送HTTPResponse消息至終端，推送認證成功網頁；

5.11PortalServer發送AFF_ACK_AUTH消息至AC；

至此，終端Portal認證成功，可上網；

6開始計費：

6.1AC發送Accounting-Request/Start消息至RadiusServer，攜帶了用戶名及用戶IP地址等信息；

6.2RadiusServer發送Accounting-Response消息至AC；

至此，用戶面的控制流基本結束。認證流程描述7實時計費：

7.1AC定時發送Accounting-Request/Interim-Update消息至RadiusServer，攜帶了用戶名、用戶上線時長及用戶流量等信息；

7.2RadiusServer發送Accounting-Response消息至AC；AC系統結構設計主備通信機制業務認證流程AC-AP間協議和接口交流提綱CAPWAP協議概述CAPWAP的目標ControlAndProvisioningofWirelessAccessPointsAP集中配置和管理AP零配置：即插即用AP—AC之間接口標準化相關RFC規范rfc5415rfc5416rfc5417rfc5418rfc4564rfc4565CAPWAP報文幀結構

CAPWAP控制報文的Discovery幀結構，由于它完成的是查找現有AC的過程，此時控制隧道還未建立，所以它是所有控制報文中唯一非加密數據報文CAPWAP數據報文格式，由于它是非加密的，所以這種數據報文只能應用在wirelesspayload內的無線幀已做過安全加密的基礎之上，如（WEP、802.1X、WPA等等）具體內容請參看WLAN身份驗證和數據加密白皮書。通過CAPWAP數據隧道，上網用戶的無線數據在WTP中被封裝在CAPWAP數據報文里提交AC，AC負責實現用戶的數據轉發。AC-AP接口框架圖AC瘦AP胖APPortalServerRadiusServerOMCBASA接口A’接口O接口P接口B接口R接口STAS接口CAPWAP接口協議（A接口）瘦APACIP廣播AC發現協議IP廣播AC發現協議控制通道(TCP/UDP)AP控制管理協議控制通道(TCP/UDP)AP控制管理協議數據通道(UDP)數據封裝協議數據通道(UDP)數據封裝協議A接口是AC與瘦AP之間的接口，主要接口功能包括：瘦AP零配置：瘦AP發現AC、關聯AC，并自動從AC獲得軟件版本和配置數據。瘦AP管理：AC通過管理通道完成對瘦AP的統一的配置、狀態查詢和管理操作。用戶接入控制：瘦AP和AC協作完成WLAN用戶的接入控制過程。無線資源管理：瘦AP和AC協作完成自動信道規劃，自動功率設置。并完成干擾和非法AP檢測等WIDS功能。數據轉發功能：瘦AP和AC協作完成對上下行業務數據的加解密、轉發和控制。CAPWAP主要流程基于UDP主要流程（我們的實現，與規范稍有出入）發現過程中如果多臺AC回發現響應，由AP選擇一臺AC加入Joinresponse消息攜帶當前該AP相關的配置主要流程AC發現流程加入流程保活流程配置更新流程狀態上報流程版本升級流程發現流程—組播發現方式適用場景：AP—AC之間二層組網APIP地址由AC分配典型組網圖：發現流程—組播發現方式組播發現流程：AP啟動，通過DHCP獲取IP地址AC收到請求，如果允許該AP接入，則發送DiscoveryResponse，報文目的IP地址為AP的IPDiscoveryRequest消息內容AP硬件類型、設備型號、序列號、IP地址、當前軟件版本號DiscoveryResponse消息內容ACID、ACIP、分配的APID、AP目標軟件信息AC判斷AP是否允許接入的準則序列號設備型號發現流程—DHCPOption43發現方式適用場景：AP—AC之間三層組網：AP與AC的IP屬于不同網段匯聚交換機啟用DHCP服務，并配置Option43，AP的IP地址由匯聚交換機分配典型組網圖：發現流程—DHCPOption43發現方式DHCPOption43格式f104********(ACIP)f108********(ACIP1)********(ACIP2)DHCPOption43發現流程AP啟動，通過DHCP獲取IP地址，網關，Option43AP解析Option43，獲取ACIPAP發送DiscoveryRequest，報文目的IP地址為Option43中攜帶的ACIP（單播包）AC收到請求，如果允許該AP接入，則發送DiscoveryResponse，報文目的IP地址為AP的IP發現流程—DNS發現方式適用場景：AP—AC之間三層組網：AP與AC的IP屬于不同網段匯聚交換機啟用DHCP服務，AP的IP地址由匯聚交換機分配域名服務器上配置AC域名與IP地址的映射典型組網圖：發現流程—DNS發現方式DNS發現流程AP配置AC的域名AP啟動，通過DHCP獲取IP地址，網關，域名服務器IPAP發起域名解析流程，獲取AC域名對應的IP地址AP發送DiscoveryRequest，報文目的IP地址為域名解析獲取到的IPAC收到請求，如果允許該AP接入，則發送DiscoveryResponse，報文目的IP地址為AP的IP發現流程—組合發現組合發現商用版本缺省使用組合發現方式發現流程CAPWAP控制隧道建立

AP收到DiscoveryResponse，選擇一臺AC發送joinrequestAC收到joinrequest，AC發送joinresposne，消息中攜帶該AP相關的配置AP收到joinresponse，解析配置，將配置生效狀態上報流程AP接入到AC后，上報AP側的狀態信息，包括：VAPBS