无线城域网得网络体系架构 无线城域网包括

WLAN概述

WLAN即Wireless LAN(无线局域网)，是指通过无线技术构建的无线局域网。

WLAN广义上是指以无线电波、激光、红外线等无线信号来代替有线局域网中的部分或全部传输介质所构成的网络

无线网络根据应用范围可以分为：

• WPAN(Wireless Personal Area Network)：个人无线网络，常用技术有：Bluetooth、ZigBee、NFC、HomeRF、UWB
• WLAN(Wireless Local Area Network)：无线局域网，常用技术有：Wi-Fi
• WMAN(Wireless Metropolitan Area Network)：无线城域网，常用技术有：WiMax
• WWAN(Wireless Wide Area Net)：无线广域网，常用技术有：GSM、CDMA、WCDMA、TD-SCDMA、LTE、5G

IEEE802.11、WLAN与Wi-Fi

• IEEE802.11是现今无线局域网通用的标准。它是由国际电机电子工程学会(IEEE)定义的无线网络通信的标准
• Wi-Fi联盟制造商的商标，并作为产品的品牌认证，是一种创建于IEEE802.11标准上的无线局域网技术。在大多数场景下，Wi-Fi可等同于802.11.

IEEE802.11标准与Wi-Fi的世代

IEEE802.11标准聚焦在TCP/IP对等模型的下两层：

• 数据链路层：主要负责信道接入、寻址、数据帧校验、错误检测、安全机制等内容
• 物理层：主要负责在空口(空中接口)中传输比特流，例如规定所使用的频段等

WLAN的基本概念

WLAN设备介绍

• 家庭WLAN产品

• 家庭Wi-Fi路由器：通过把有线网络信号转换成无线信号，供家庭电脑、手机等设备接收，实现无线上网功能

• 企业WLAN产品

• 无线接入点(AP，Access Point)

• FAT AP：适用家庭，独立工作，需单独配置，功能较为单一，成本低。独立完成用户接入、认证、数据安全、业务转发和QoS等功能
• FIT AP：适用于大中型企业，需要配置AC使用，由AC统一管理和配置，功能丰富，对网络维护人员技能要求高
• 云管理：适用于中小企业，需要配置云管理平台使用，由云管理平台统一管理和配置，功能丰富，即插即用，对网络维护人员的技能要求低

• 无线接入控制器(AC，Access Controller)

• 一般位于整个网络的汇聚层，提供高速、安全、可靠的WLAN业务

• PoE交换机

• PoE(Power over Ethernet，以太网供电)是指通过以太网网络进行供电，也称为基于局域网的供电系统PoL(Power over LAN)或有源以太网(Active Ethernet)
• PoE允许电功率通过传输数据的线路或空闲线路传输到终端设备
• 在WLAN网络中，可以通过PoE交换机对AP设备进行供电

基本的WLAN组网架构

WLAN网络架构分为有线侧和无线侧两部分

• 有线侧：指AP上行到Internet的网络使用以太网协议
• 无线侧：指STA到AP之间的网络使用802.11协议

无线侧接入的WLAN网络架构为集中式架构

• FAT AP(胖AP)架构

• 这种架构不需要专门的设备集中控制就可以完成无线用户的接入、业务数据的加密和业务数据报文的转发等功能，因此又称为自治式网络架构
• 适用范围：家庭
• 特点：AP独立工作，需要单独配置，功能较为单一，成本低

• AC + Fit AP(瘦AP)架构

• 这种架构中，AC负责WLAN的接入控制、转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制；FIT AP负责802.11报文的加解密、802.11的物理层功能、接受AC的管理等简单功能
• 适用范围：大中型企业
• 特点：AP需要配合AC使用，由AC统一管理和配置，功能丰富，对网络运维人员的技能要求高

• 敏捷分布式AP架构

• AP的一种特殊架构，将AP拆分为中心AP和敏分AP两部分，中心AP可管理多台敏分AP，在适用的场景下，成本低，覆盖好
• 适用范围：房间分布密集的场景
• 敏捷分布式AP可以用于FAT AP、AC+Fit AP、云管理架构

有线侧组网概念

CAPWAP

CAPWAP(Control And Provisioning of Wireless Access Point Protocol，无线接入点控制和配置协议)，定义了如何对AP进行管理、业务配置、即AC通过CAPWAP隧道来实现对AP的集中管理和控制

CAPWAP隧道的功能

• AP与AC间的状态维护
• AC通过CAPWAP隧道对AP进行管理、业务配置下发
• 当采用隧道转发模式时，AP将STA发出的数据通过CAPWAP隧道实现与AC之间的交互

CAPWAP是基于UDP进行传输的应用层协议

• CAPWAP协议在传输层运输两种类型的消息

• 业务数据流量，封装转发无线数据帧(通过CAPWAP数据隧道，UDP：5247)
• 管理流量，管理AP和AC之间交换的管理消息(通过CAPWAP控制隧道，UDP：5246)

AP-AC组网方式

AC的连接方式

• 直连式组网

• 采用这种组网方式，对AC的吞吐量以及处理数据能力要求比较高，否则AC会是整个无线网络带宽的瓶颈
• 但用此种组网，组网架构清晰，组网实施起来简单

• 旁挂式组网

• 由于实际组网中，大部分不是早期就规划好无线网络，无线网络的覆盖假设大部分是后期在现有网络中扩展而来。而采用旁挂式组网就比较容易进行扩展，只需将AC旁挂在现有网络中，比如旁挂在汇聚交换机上，就可以对终端AP进行管理。所以此种组网方式使用率较高
• 在旁挂式组网中，AC只承载对AP的管理功能，管理流封装在CAPWAP隧道中传输。数据业务流可以通过CAPWAP数据隧道经AC转发，也可以不经过AC转发直接转发，后者无线用户业务流经汇聚交换机由汇聚交换机传输只上层网络

无线侧组网概念

无线通信系统

无线通信系统中，信息可以是图像、文字、声音等。信息需要先经过信源编码转换为方便与电路计算和处理的数字信号，在经过信道编码和调制，转换为无线电波发送出去

无线电磁波

无线电磁波是频率介于3赫兹和约300赫兹之间的电磁波，也叫做射频电波，或简称射频、射电。无线电技术将声音讯号或其他信号经过转换，利用无限电磁波传播

WLAN技术就是通过无线电磁波在空间中传输信息。当前我们适用的频段是：

• 2.4GHz频段(2.4GHz~2.4835GHz)
• 5GHz频段(5.15GHz~5.35GHz，5.725GHz~5.85GHz)

无线信道

信道是传输信息的通道，无线信道就是空间中的无线电磁波。

无线电磁波无处不在，如果随意适用频谱资源，那将带来无穷无尽的干扰问题，所以无线通信协议处理要定义处允许使用的频段，还要精确划分出频率范围，每个频率范围就是信道

BSS/SSID/BSSID

BSS(Basic Service Set)：基本服务集BSS，一个AP所覆盖的范围，在一个BSS的服务区域内，STA可以相互通信

BSS(Basic Service Set)

• 无线网络的基本服务单元，通常由一个AP和若干STA组成，BSS是802.11网络的基本结构。由于无线介质共享性，BSS中报文收发需携带BSSID

BSSID(Basic Service Set Identifier)：基本服务集标识符BSSID，是无线网络的一个身份标识，用AP的MAC地址表示

BSSID(Basic Service Set Identifier)

• AP上的数据链路层MAC地址
• 终端要发现和找到AP，需要通过AP的一个身份标识，这个身份标识就是BSSID
• 为了区分BSS，要求每个BSS都有唯一的BSSID，因此使用AP的MAC地址来保证其唯一性

SSID(Service Set Identifier)：服务集标识符SSID，是无线网络的一个身份标识，用字符串表示，为了便于用户辨识不同的无线网络，用SSID代替BSSID

SSID(Service Set Identifier)

• 表示无线网络的标识，用来区分不同的无线网络
• 如果一个空间部署了多个BSS，终端就会发现多个BSSID，只要选择加入的BSSID就行。但是做选择的是用户，为了使得AP的身份更容易辨识，则用一个字符串来作为AP的名字。这个字符串就是SSID

VAP

虚拟接入点VAP(Virtual Access Point)：是AP设备上虚拟出来的业务功能实体。用户可以在一个AP上创建不同的VAP来为不同的用户群体提供无线接入服务。

虚拟接入点VAP(Virtual Access Point)

• 每一个被虚拟出的AP就是一个VAP
• 每个VAP提供和物理实体AP一样的功能
• 每个VAP对应一个BSS，这样一个AP，就能提供多个BSS，可以再为这些BSS设置不同的SSID
• VAP不等同于真正的AP，所有的VAP都共享这个AP的软件和硬件资源，所有VAP的用户都共享相同的信道资源，所以AP的容量是不变的，并不会随着VAP数目的增加而成倍的增加

ESS

ESS(Extend Service Set)：为了满足实际业务的需求，需要对BSS的覆盖范围进行扩展。同时用户从一个BSS移动到另一个BSS时，不能感知到SSID的变化，则可以通过扩展服务集ESS实现

ESS(Extend Service Set)

• 采用相同的SSID的多个BSS组成的更大规模的虚拟BSS
• 用户可以带着终端在ESS内自由移动和漫游，不管用户移动到哪里，都可以认为使用的同一个WLAN

WLAN漫游：指STA在同属一个ESS的不同AP的覆盖范围之间移动且保持用户业务不中断的行为

WLAN工作流程概述

WLAN工作流程

1. AP上线：AP获取IP地址并发现AC，与AC建立连接

1. AP获取IP地址
2. AP发现AC并与之建立CAPWAP隧道
3. AP接入控制
4. AP版本升级
5. CAPWAP隧道维持

2. WLAN业务配置下发：AC将WLAN业务配置下发到AP生效

1. AC向AP发送Configuration Update Request请求消息
2. AP回应Configuration Update Request消息
3. AC再将AP的业务配置信息下发给AP

3. STA接入：STA搜索到AP发射的SSID并连接、上线、接入网络

STA接入过程分为六个阶段：扫描阶段、链路认证阶段、关联阶段、接入认证阶段、DHCP、用户认证

1. WLAN业务数据转发：WLAN网络开始转发业务数据

步骤1：AP上线

AP获取IP地址

AP必须获得IP地址才能与AC通信，WLAN网络才能正常工作

AP获取IP地址的方式：

• 静态方式：登录到AP设备上手工配置IP地址
• DHCP方式：通过配置DHCP服务器，使AP作为DHCP客户端向DHCP服务器请求IP地址

典型方案：

• 部署专门的DHCP Server为AP分配IP地址
• 使用AC的DHCP服务为AP分配IP地址
• 使用网络中的设备，例如核心交换机为AP分配IP地址

DHCP方式：

CAPWAP隧道建立

AC通过CAPWAP隧道来实现对AP的集中管理和控制

建立CAPWAP隧道的步骤：

1. Discovery阶段(AP发现AC阶段)：AP通过发送Discovery Request报文，找到可用的AC

AP发现AC的两种方式：

• 静态方式：AP上预先配置AC的静态IP地址列表
• 动态方式：DHCP方式、DNS方式和广播方式

1. 建立CAPWAP隧道阶段：AP与AC关联，完成CAPWAP隧道建立，包括数据隧道和控制隧道

AP接入控制

AP发现AC后，会发送Join Request报文。AC收到后会判断是否允许该AP接入，并响应Join Response报文

AC上支持对AP的认证方式：

• MAC认证
• 序列号(SN)认证
• 不认证

AC上添加AP的方式：

• 离线导入AP：预先配置AP的MAC地址和SN，当AP与AC连接时，如果AC发现AP和预先增加的AP的MAC地址和SN匹配，则AC开始与AP建立连接
• 自动发现AP：当配置AP的认证模式为不认证或配置AP的认证模式为MAC或SN认证且将AP加入AP白名单中，则当AP与AC连接时，AP将被AC自动发现并正常上线
• 手工确认未认证列表中的AP：当配置AP的认证模式为MAC或SN认证，但AP没有离线导入且不在已设置的AP白名单中，则该AP会被记录到未授权的AP列表中，需要用户手工确认后，此AP才能正常上线

AP的版本升级

AP根据收到的Join Request报文中的参数判断当前的系统软件版本是否与AC上指定一致。如果不一致，则AP通过发送Image Data Request报文请求软件版本，然后进行版本升级，升级方式包括AC模式、FTP模式和SFTP模式

CAPWAP隧道维持

数据隧道维持：AP与AC之间交互Keepalive(UDP：5247)报文来检测数据隧道的连通状态

控制隧道维持：AP与AC交互Echo(UDP：5246)报文来检测控制隧道的连通状态

步骤2：WLAN业务配置下发

AP上线后，会主动向AC发送Configuration Status Request报文，该信息中包含了现有AP的配置，为了做AP的现有配置和AC设定配置的匹配检查。当AP的当前配置与AC要求的不符合时，AC会通过Configuration Status Response通知AP

AP上线后，首先会主动向AC获取当前配置，而后统一由AC对AP进行集中管理和业务配置下发

配置模板

为了方便用户配置和维护WLAN的各个功能，针对WLAN的不同功能和特性设计了各种类型的模板，这些模板统称为WLAN模板

VAP模板

步骤3：STA接入

扫描

STA可以通过主动扫描，定期搜索周围的无线网络，获取到周围的无线网络信息

根据Probe Request帧(探测请求帧)是否携带SSID，可以将主动扫描分为两种

• 携带由指定SSID的主动扫描方式：适用于STA通过主动扫描接入指定的无线网络
• 携带空SSID的主动扫描方式：适用于STA通过主动扫描可以获知是否存在可使用的无线服务

被动扫描：客户端通过侦听AP定期发送的Beacon帧(信号帧，包含：SSID、支持速率等信息)发现周围的无线网络，缺省状态下AP发送Beacon帧的周期为100TUs(1TU=1024us)

链路认证

为了保证无线链路的安全，接入过程中AP需要完成对STA的认证

802.11链路定义了两种认证机制：

• 开放系统认证
• 共享密钥认证

共享密钥认证

• STA和AP预先配置相同的共享密钥，AP在链路认证过程验证两边的密钥配置是否相同。如果一致，则认证成功；否则，认证失败
• 认证过程：

• STA向AP发送认证请求(Authtentication Request)
• AP随机生成一个"挑战短语(Challenge)"发送给STA
• STA使用预先设置好的密钥加密"挑战短语"(EncryptedChallenge)并发给AP
• AP接收到经过加密的"挑战短语"，用预先设置好的密钥解密该消息，然后将解密后的"挑战短语"与之前发送给STA的进行比较。如果相同，认证成功；否则，认证失败。

关联

完成链路认证后，STA会继续发起链路服务协商，具体的协商通过Association报文实现

终端关联过程实质上就是链路服务协商的过程，协商内容包括：支持的速率、信道等

瘦接入点(Fit AP)架构中关联阶段处理过程：

1. STA向AP发送Association Request请求，请求帧中会携带STA自身的各种参数以及根据服务配置选择的各种参数(主要包括支持的速率、支持的信道、支持的QoS的能力等)
2. AP收到Association Request请求帧后将其进行CAPWAP封装，并上报AC
3. AC收到关联请求后判断是否需要进行用户的接入认证，并回应Association Response
4. AP收到Association Response后将其进行CAPWAP解封装，并发给STA

接入认证

接入认证即对用户进行区分，并在用户访问网络之前限制其访问权限。相对于链路认证，接入认证安全性更高

主要包含：PSK认证和802.1X认证

数据加密：除了用户接入认证外，对数据报文还需要使用加密的方式来保证数据安全，也是在接入认证阶段完成的。数据报文经过加密后，只有持有密钥的特定设备才可以对收到的报文进行解密，其他设备即使收到了报文，也因没有对应的密钥，无法对数据报文进行解密

STA地址分配

STA获取到自身的IP地址，是STA正常上线的前提条件。

如果STA是通过DHCP方式获取IP地址，可以用AC设备或汇聚交换机作为DHCP服务器为STA分配IP地址。一般情况使用汇聚交换机作为DHCP服务器

用户认证

用户认证是一种"端到端"的安全结构，包括802.1X认证，MAC认证和Portal认证

步骤4：WLAN业务数据转发

数据转发方式

隧道转发方式：

• 优点：AC集中转发数据报文，安全性好，方便集中管理和控制
• 缺点：业务数据必须经过AC转发，报文转发效率比直接转发方式低，AC所受压力大

直接转发方式：

• 优点：数据报文不需要经过AC转发，报文转发效率高，AC所受压力小
• 缺点：业务数据不便于集中管理和控制