基本服务集标识符BSSID(Basic Service Set Identifier),表示AP上每个VAP的数据链路层MAC地址。VAP与BSSID的关系如下图所示:
扩展服务集标识符ESSID(Extended Service Set Identifier),是一个或一组无线网络的标识,例如 图7-2所示的“guest”或“internal”。STA可以先扫描所有网络,然后选择特定的SSID接入某个指定无线网络。通常,我们所指的SSID即为ESSID。
多个AP可以拥有同一个ESSID以对用户提供漫游能力,但是BSSID必须唯一,因为数据链路层的MAC地址是唯一的。
总结起来,VAP是业务实体,可以由多个AP为用户提供这个业务。一个AP也可以同时提供多个业务。
每个AP都有一个唯一的BSSID,简单理解为MAC地址,每个AP可以共享一个或多个ESSID,ESSID可以简单理解为VAP的代号,我们所指的SSID一般是ESSID,也就是我们连接WLAN时看到的WLAN名称。
8.基本服务集BSS(Basic Service Set):一个AP所覆盖的范围。在一个BSS的服务区域内,STA(station,站点,可以简单理解为客户端)可以相互通信。
9.扩展服务集ESS(Extend Service Set):由多个使用相同SSID的BSS组成。
WLAN网络架构分有线侧和无线侧两部分,有线侧是指AP上行到Internet的网络使用以太网协议。无线侧是指STA到AP之间的网络使用802.11协议。无线侧接入的WLAN网络架构为集中式架构。
集中式架构又分为瘦接入点(FIT AP)架构和敏捷分布Wi-Fi方案架构。
所有无线接入功能由AP和AC共同完成:
(1)AC集中处理所有的安全、控制和管理功能,例如移动管理、身份验证、VLAN划分、射频资源管理和数据包转发等。
(2)FIT AP完成无线射频接入功能,例如无线信号发射与探测响应、数据加密解密、数据传输确认等。
(3)AP和AC之间采用CAPWAP协议进行通讯,AP与AC间可以跨越二层网络或三层网络。
敏捷分布 Wi-Fi方案架构:在该架构下,通过AC集中管理和控制多个中心AP,每个中心AP集中管理和控制多个RU。
所有无线接入功能由RU、中心AP和AC共同完成:
(1)RU作为中心AP的远端射频模块,负责空口802.11报文的收发。
(2)中心AP代理AC分担对RU的集中管理和协同功能,如STA上线、配置下发、RU之
间的STA漫游。
(3)AC集中处理所有的安全、控制和管理功能,例如移动管理、身份验证、VLAN划
分、射频资源管理和数据包转发等。
(4)中心AP与AC间可以是二层网络或三层网络,RU和中心AP之间需要二层可达。
在集中式网络架构中,FIT AP需要完成上线过程,AC才能实现对AP的集中管理和控
制。AP的上线过程包括:
(1)AP 获取IP地址:一般通过DHCP方式,为AP自动分配IP地址;
(2)CAPWAP 隧道建立阶段:AC通过CAPWAP隧道来实现对AP的集中管理和控制。CAPWAP隧道可以实现:AP与AC间的状态维护;AC对AP进行管理和业务配置下发;业务数据经过CAPWAP隧道集中到AC上转发。
CAPWAP隧道建立,包括数据隧道和控制隧道。数据隧道:AP接收的业务数据报文经过CAPWAP数据隧道集中到AC上转发。控制隧道:通过CAPWAP控制隧道实现AP与AC之间的控制报文的交互。
(3)AP 接入控制阶段:AP发送Join Request请求,AC收到后会判断是否允许该AP接入,并响应Join Response报文。其中,Join Response报文携带了AC上配置的关于AP的版本升级方式及指定的AP版本信息。
(4) AP 的版本升级阶段:AP根据收到的Join Response报文中的参数判断当前的系统软件版本是否与AC上指定的一致。如果不一致,则AP开始更新软件版本。
(5) CAPWAP 隧道维持阶段:AP与AC之间交互Keepalive(UDP端口号为5247)报文来检测数据隧道的连通状态。AP与AC交互Echo(UDP端口号为5246)报文来检测控制隧道的连通状态。
(6)AC业务配置下发阶段:AC向AP发送Configuration Update Request请求消息,AP回应Configuration Update Response消息,AC再将AP的业务配置信息下发给AP。
CAPWAP隧道建立完成后,用户就可以接入无线网络。STA接入过程分为三个阶段:
扫描阶段、链路认证阶段和关联阶段。
扫描阶段:STA可以通过主动扫描和被动扫描获取到周围的无线网络信息。
链路认证阶段:为了保证无线链路的安全,接入过程中AP需要完成对STA的认证。
关联阶段:终端关联过程实质上是链路服务协商的过程。完成链路认证后,STA会继续发起链路服务协商,具体的协商通过Association报文实现。STA收到Association Response后,判断是否需要进行用户的接入认证:如果不需要,STA可以访问无线网络;如果需要,STA继续发起用户接入认证请求,用户接入认证成功后,STA才可以访问无线网络。
WLAN网络中的数据包括控制报文(管理报文)和数据报文。控制报文是通过CAPWAP的控制隧道转发的,用户的数据报文分为隧道转发(又称为“集中转发”)方式、直接转发(又称为“本地转发”)方式和Soft-GRE转发方式。
1 隧道转发方式
隧道转发方式是指用户的数据报文到达AP后,需要经过CAPWAP数据隧道封装后发送给AC,然后由AC再转发到上层网络:
2 直接转发方式
直接转发方式是指用户的数据报文到达AP后,不经过CAPWAP的隧道封装而直接转发到上层网络,如 图7-22。
直接转发方式下的集中认证
如果采用直接转发方式,业务数据不经过AC转发。当无线用户接入网络需要进行用户接入认证(例如,802.1X认证等)且接入控制点部署在AC上时,用户的认证报文就无法通过AC集中管理,这就给管理员对用户的统一控制造成了不便。AC在直接转发方式下默认支持集中认证功能,可以实现用户的认证报文通过CAPWAP隧道到达AC转发,数据报文不需要经过AC转发,如 图7-23。
3 Soft-GRE转发方式
Soft-GRE转发方式主要应用以下场景:运营商在现有的组网中部署WLAN网络,无线安全策略是open方式,希望无线用户的认证和计费都能在原有的BRAS设备上进行,由BRAS设备进行Portal认证或MAC认证等,实现有线和无线用户的认证计费统一管理。这种场景下,通常AC旁挂组网,只负责管理AP和配置无线业务,无线用户的数据报文到达AP后,经过Soft-GRE隧道封装后发送给BRAS设备,然后由BRAS设备再转发到上层网络。
Soft-GRE转发方式报文示意图如 图7-24。
在AC+FIT AP网络架构中直接转发方式的场景中,STA通过WLAN接入Internet时,AP和AC之间需要先建立CAPWAP隧道,作为AP和AC之间的控制报文的转发通道。当CAPWAP链路故障时,AP无法与外界进行数据通信,AP上原有用户被迫下线,新用户也无法再接入,影响用户体验。
使能CAPWAP断链业务保持功能,在CAPWAP链路中断后,AP能够继续提供数据业务,保证直接转发方式下STA的数据业务不中断,减小断链对用户造成的损失,提高了用户业务的可靠性。CAPWAP断链前和CAPWAP断链后STA的数据业务报文都是经过Switch转发到Internet,不需要经过AC,CAPWAP隧道中断对STA的数据业务并无影响。
使能CAPWAP断链后AP允许新用户接入功能后,在CAPWAP链路中断后,AP能够继续允许新用户上线,继续访问CAPWAP未中断前的所有网络资源。当CAPWAP链路恢复后,AP将所有离线接入的STA强制下线,让STA重新与该AP进行关联,并通过日志上报离线接入的STA信息。但对于Portal和MAC认证的用户,CAPWAP链路恢复后,AP将强制所有Portal和MAC认证的用户下线,并通过日志上报离线接入的Portal和MAC认证的用户信息。使能CAPWAP断链后AP允许新用户接入功能后,STA完成接入过程中的认证、关联以及后期的密钥协商阶段都是发生在AP与STA之间。