項目2校園WLAN組建無線無形信息隨身無線局域網技術與實踐項目教程（中職）目錄FITAP+AC組網技術12CAPWAP協議無線局域網技術與實踐項目教程01FIT

AP+AC組網技術胖AP除無線接入功能外，一般具備WAN、LAN兩個接口，多支持DHCP服務器、DNS和MAC地址克隆，以及VPN接入、防火墻等安全功能FATAPSTASTAFATAP天線802.11a/b/g/n/ac加密802.1X認證，802.11eQos網管，二層漫游，安全胖AP1FIT

AP+AC連接方式瘦AP是“代表自身不能單獨配置或者使用的無線AP產品，這種產品僅僅是一個WLAN系統的一部分，負責管理安裝和操作”瘦AP1FIT

AP+AC連接方式FITAPACFITAPIP網絡天線802.11a/b/g/n/ac加密無線欺騙防護用戶防火墻AP點監測RF管理無線客戶端管理802.1X認證，802.11eQos網管，二層漫游，安全FATAP和FITAP+AC的比較比較項FATAPFITAP+AC應用場景覆蓋面積小、用戶數不多，家庭或小型企業覆蓋面積大、用戶數多，中大型企業組網成本AP成本較低有AC成本安全性AP獨立認證和加密，安全性不高AC集中認證，統一安全策略，安全性較高兼容性不存在兼容性問題AC和AP間為私有協議，存在廠商兼容性問題網絡管理AP獨立組網，承擔網絡管理功能AP零配置，AC對AP下發配置業務能力僅支持簡單數據接入，支持二層漫游可擴展語音等業務，通過AC增強業務QoS、安全等功能，支持二層和三層漫游1FIT

AP+AC連接方式1FIT

AP+AC連接方式二層網絡連接模式AP和AC同屬于一個二層廣播域，AP和AC之間通過二層交換機互聯。這種組網方式配置和管理方便，適用于網絡規模小、結構簡單的小型企業組網場景，但不適用于中大型企業復雜的網絡架構三層網絡連接模式當FITAP與AC之間通過三層網絡互連時，稱為三層組網。采用三層組網方式時，FITAP與AC分屬于不同的IP網段，需要使用路由器或三層交換機才能完成通信1FIT

AP+AC連接方式直連式組網在直連式組網拓撲中，AC同時承擔AP管理功能和匯聚交換機數據轉發功能。AC與原有的有線網絡串聯在一起，無線網絡中的所有管理報文和業務報文都要經過AC轉發和處理1FIT

AP+AC連接方式旁掛式組網旁掛式組網是指AC旁掛在AP的上行網絡上，一般是旁掛在上行網絡的匯聚層交換機上。在實際組網中，無線網絡往往是在有線網絡部署完成之后組建的。采用旁掛式組網方式可以較少地改動有線網絡結構1FIT

AP+AC連接方式云管理架構2云管理架構傳統的網絡解決方案存在部署成本高，運維困難等問題。對于無線站點數量多、地域分散的大型企業，這些問題尤為明顯采用云管理架構時，當云AP安裝完成并上電后，會自動連接到云管理平臺并下載指定的配置文件、軟件包和補丁文件等系統文件引入云管理平臺，能夠實現在任意地點對設備進行集中管理和維護，大大降低網絡部署和運維成本LeaderAP架構3LeaderAP架構LeaderAP架構中只包含AP，其中有一臺AP是LeaderAP，負責管理其他AP，在功能上和AC非常類似，提供基于CAPWAP隧道的統一管理LeaderAP在網絡中廣播自己的角色，其他AP發現該LeaderAP后以FITAP模式與其建立連接以實現二層互通網絡管理員只要登錄LeaderAP，在LeaderAP上配置無線網絡02CAPWAP協議CAPWAP背景1CAPWAP概述在傳統的FATAP組網模式中，AP獨立工作，集成了射頻信號收發、網絡管理等功能。在FITAP+AC組網模式中，AP和AC配合工作，因此需要制定配套的通信協議規范雙方的通信行為IETF成立了CAPWAP（ControlAndProvisioningofWirelessAccessPoints）工作組，研究大規模WLAN的解決方案，以實現各個廠家控制器與AP間的互通CAPWAP起源1CAPWAP概述SLAPPCTPWiCoPCAPWAPLWAPPLWAPP具有完整的協議框架，定義了詳細的報文結構及多方面的控制消息元素，但全新制定的安全機制還需實踐驗證SLAPP使用業界認可的DTLS技術是其亮點CTP和WiCoP實現了集中式WLAN體系結構的基本要求，但考慮不夠全面，特別是安全性方面有所欠缺CAPWAP起源1CAPWAP概述協議名稱LWAPPSLAPPCTPWiCoP標準RFC5412RFC5413draft-singh-capwap-ctpRFC5414協議全稱LightWeightAccessPointProtocolSecureLightAccessPointProtocolCAPWAPTunnelingProtocolWirelessLANControlProtocol提出廠家Cisco-AirSpaceArubaSiemens

-

ChantryPanasonic協議特點全面的描述了AC發現、安全和系統管理方法，支持本地MAC和分離MAC機制。兩者連接采用2層或3層連接，2層連接使用以太網幀傳輸，3層連接使用UDP傳輸LWAPP報文支持橋接和隧道兩種本地MAC機制。支持直連、2層和3層三種連接方式。使用成熟的技術標準來建立通信隧道，數據信道使用GRE技術利用擴展的SNMP對WTP進行配置和管理。CTP的控制消息著重于STA連接狀態、WTP配置和狀態幾方面定義了包括無線終端-AC性能協商功能在內的AC發現機制，定義了QoS參數加密情況信令–AES-CCM

數據–沒有加密信令–DTLS數據–DTLS建立了AP與無線終端互相認證及一套基于AES-CCM的加密規則，但是并不完善協議建議使用IPsec和EAP安全標準，卻并未詳細說明實現方法CAPWAP作用1CAPWAP概述CAPWAP（無線接入點控制和配置協議），用于AP和AC之間的通信交互，實現AC對其所關聯的AP的集中管理和控制CAPWAP協議包含的主要內容有：AP對AC的自動發現及AP&AC的狀態機運行、維護AC對AP進行管理、業務配置下發STA數據封裝CAPWAP隧道進行轉發管理報文和業務報文2CAPWAP報文

報文類型用于UDP端口加密管理報文管理AP5246大部分是密文業務報文轉發用戶業務數據5247大部分是明文控制通道和數據通道3CAPWAP隧道所謂的CAPWAP隧道，其實就是為報文添加一個CAPWAP協議定義的報文頭，或者說使用CAPWAP協議對報文進行封裝傳輸管理報文的通道稱為控制通道或管理通道，傳輸業務報文的通道稱為數據通道或業務通道CAPWAP

隧道建立過程4建立CAPWAP隧道DiscoveryOfferRequestAckDiscoverRequestDiscoverResponseDTLSJoinRequestJoinResponseImageDataConfigurationStatusRequestConfigurationStatusResponseChangeStateEventRequestChangeStateEventResponseKeepaliveKeepaliveEchoRequestEchoResponseDHCPDiscoveryDTLSConnectJoinImageDataConfigureDataCheckRunRunDiscoveryDTLSConnectJoinImageDataConfigureDataCheckRunRunAPDHCPServerACCAPWAP隧道建立－DHCP4建立CAPWAP隧道APDHCPServerACDiscoveryOfferRequestAck在FITAP+AC組網模式中，AP一般都是零配置啟動。通常的做法是使用DHCP服務器為AP動態分配IP地址。可以在AC或核心交換機上配置DHCP服務DHCPCAPWAP隧道建立-Discovery4建立CAPWAP隧道AP以單播或廣播的形式發送一個發現請求報文嘗試關聯AC。AC收到AP的發現請求報文后，發送一個單播發現響應報文給AP。播發現響應報文攜帶了AC的優先級或AC當前關聯的AP的數量等信息，AP根據這些信息決定與哪個AC建立連接APDHCPServerACDiscoveryRequestDiscoveryResponseDiscoveryCAPWAP隧道建立-DTLS(可選)4建立CAPWAP隧道DiscoveryResponse報文還指示是否需要采用DTLS加密傳輸CAPWAP隧道中的UDP報文。如果需要加密的話，AP與AC會協商DTLS加密參數APDHCPServerACDTLSDTLSDTLSCAPWAP隧道建立-Join4建立CAPWAP隧道在AC與AP完成DTLS握手后，AP發送JoinRequest報文請求與AC建立控制通道，AC判斷是否允許AP接入，然后發送JoinResponse報文予以響應JoinRequestJoinResponseAPDHCPServerACJoinCAPWAP隧道建立-ImageData(可選)4建立CAPWAP隧道AP根據JoinResponse報文中指定的AP版本檢查自身的版本。如果AP當前的版本無法滿足AC的版本要求，AP直接進入ImageData狀態準備進行版本升級ImageDataRequestImageDataResponseImageDataAPDHCPServerACCAPWAP隧道建立-Configure4建立CAPWAP隧道如果AP當前的版本與AC指定的版本一致，AP直接進入Configuration狀態，這是AC檢查AP配置和下發配置的過程ConfigurationStatusRequestConfigurationStatusResponseAPDHCPServerACConfigureCAPWAP隧道建立-DataCheck4建立CAPWAP隧道Configuration階段完成后，AP發送ChangeStateEventRequest信息，其中包含了射頻，錯誤碼、配置信息等，當AC接收到該信息后，開始回應changestateeventresponse。DataCheck完成后，標志控制隧道建立完成，開始進入Run狀態ChangeStateEventRequestChangeStateEventResponseAPDHCPServerACDataCheckCAPWAP隧道建立--Run(Data)4建立CAPWAP隧道AP向AC發送數據心跳報文keepalive，AC收到Keepalive報文后表示數據隧道已建立。AC回應Keepalive報文，AP進入normal狀態，開始正常工作KeepaliveKeepaliveAPACRunCAPWAP隧道建立--Run(Control)4建立CAPWAP隧道AP進入Run狀態后，同時向AC發送控制心跳報文EchoRequest，表示已建立好CAPWAP控制隧道并啟動隧道超時定時器以檢測控制隧道的狀態。AC收到EchoRequest后，向AP回應EchoResponse報文，同時也啟動隧道超時定時器EchoRequestEchoResponseAPDHCPServerACControl管理報文傳輸路徑5CAPWAP轉發方式管理報文只在AC與AP之間交換，而且必須封裝在CAPWAP控制通道中傳輸，到達AC即終止業務報文－直接轉發5CAPWAP轉發方式業務報文到達AP后不經過CAPWAP封裝直接轉發到上行網絡。業務報文在AP上完成從無線報文到有線報文的轉換，然后通過AP的上行交換機轉發到上行網絡業務報文－隧道轉發5CAPWAP轉發方式業務報文在AP上進行CAPWAP封裝，然后經CAPWAP數據通道傳輸到AC。AC對其解封裝后轉發至上行網絡。AC不但對AP進行管理，還作為用戶數據流量的轉發中樞兩種轉發方式對比5CAPWAP轉發方式

轉發方式優點缺點直接轉發AC所受壓力小轉發效率高方便故障定位業務數據不需要經過AC轉發報文不需要經過多次封裝解封裝安全性不夠中間網絡可以解析出用戶報文中間網絡需要透傳業務VLAN增加了AC與AP間二層網絡的維護工作量業務數據不便于集中管理和控制隧道轉發安全性高AC集中轉發數據報文方便集中管理和控制經過DTLS加密，中間網絡不易解析出用戶報文內容AC和AP之間只需透傳管理VLAN配置簡單不利于故障定位業務數據必須經過AC轉發數據報文需要封裝CAPWAP隧道報頭AC所受壓力大轉發效率較直接轉發低管理VLAN6WLAN中的VLAN應用PC1PC2AP1AP2SwitchAC管理VLAN管理VLAN管理VLAN管理VLAN主要是用來傳送AC與AP之間的管理數據業務VLAN6WLAN中的VLAN應用業務VLAN主要負責傳送WLAN用戶上網時的數據PC1PC2AP1AP2SwitchAC業務VLAN1業務VLAN2業務VLAN1業務VLAN2管理VLAN管理VLAN用戶VLAN6WLAN中的VLAN應用用戶VLAN是指基于用戶權限的VLANPC1PC2AP1AP2SwitchAC授權VLANGuestVLAN授權VLANGuestVLAN管理VLAN管理VLAN管理報文傳輸過程7報文傳輸流程管理報文必須封裝在CAPWAP隧道中傳輸，因此管理報文只有隧道轉發一種方式業務報文直接轉發7報文傳輸流程業務報文隧道轉發7報文傳輸流程直連式組網8報文轉發示例SwitchRouterACMobilePCMobilePCAPAPAPVLAN11IP10.1.11.101SwitchRouterACMobilePCIP10.1.101.51ACIPVLAN1110.1.11.100managementVLANVLAN10110.1.101.100serviceVLANVLAN10210.1.102.100serviceVLANAPVLAN11IP10.1.11.102SSID:HW101ServiceVLAN101MobilePCIP10.1.101.52SwitchIPVLAN10110.1.101.1GatewayVLAN10210.1.102.1Gateway

Dot1q101102Dot1q11101102CAPWAPDASAdot1qSIPDIPDATAFCSGw

MACPc

MACVLAN10110.1.101.5110.1.101.1abcdefgFCS離開AP時的數據幀數據報文控制報文直連式組網-直接轉發8報文轉發示例直連式組網-隧道轉發APVLAN11IP10.1.11.101SwitchRouterACMobilePCIP10.1.101.51ACIPVLAN1110.1.11.100managementVLANVLAN10110.1.101.100serviceVLANVLAN10210.1.102.100serviceVLANAPVLAN11IP10.1.11.102SSID:HW101ServiceVLAN101MobilePCIP10.1.101.52SwitchIPVLAN10110.1.101.1GatewayVLAN10210.1.102.1GatewayDot1q101102AccessVLAN11CAPWAPDASAdot1qSIPDIPDATAFCSACMACAPMACNULL10.1.11.10110.1.11.100CAPWAPuserdataFCS離開AP時的數據幀CAPWAP封裝的數據報文數據報文控制報文8報文轉發示例旁掛式組網APSwitchRouterACAPMobilePCMobilePC8報文轉發示例旁掛式組網-直接轉發RouterACIPVLAN1110.1.11.100managementVLANVLAN10110.1.101.100serviceVLANVLAN1021