【网络工程】WLAN服务技术介绍

技术介绍WLAN目录i目录WLAN服务.................................................................................................................................1WLAN服务简介...........................................................................................................................1常用术语..............................................................................................................................1用户接入过程.......................................................................................................................2CAPWAP协议概述..............................................................................................................4用户接入控制方式................................................................................................................6802.11n协议........................................................................................................................8技术介绍WLANWLAN服务1WLAN服务WLAN服务简介WLAN（WirelessLocalAreaNetwork，无线局域网）技术是当今通信领域的热点之一，和有线相比，无线局域网的启动和实施相对简单，维护的成本低廉，一般只要安放一个或多个接入点设备就可建立覆盖整个建筑或地区的局域网络。然而，WLAN系统不是完全的无线系统，它的服务器和骨干网仍然安置在固定网络，只是用户可以通过无线方式接入网络。使用WLAN解决方案，网络运营商和企业能够为用户提供无线局域网服务，服务内容包括：z应用具有无线局域网功能的设备建立无线网络，通过该网络，用户可以连接到固定网络或因特网。z无线用户可以访问传统802.3局域网。z使用不同认证和加密方式，安全地访问WLAN。z为无线用户提供安全的网络接入和移动区域内的无缝漫游。常用术语(1)客户端带有无线网卡的PC或便携式笔记本电脑等终端。(2)AP（AccessPoint，接入点）AP提供无线客户端到局域网的桥接功能，在无线客户端与无线局域网之间进行无线到有线和有线到无线的帧转换。(3)AC（AccessController，无线控制器）无线控制器对无线局域网中的所有AP进行控制和管理。无线控制器还可以通过同认证服务器交互信息，来为WLAN用户提供认证服务。(4)FATAP一种控制和管理无线客户端的无线设备。帧在客户端和LAN之间传输需要经过无线到有线以及有线到无线的转换，而FATAP在这个过程中起到了桥梁的作用。(5)无线介质无线介质是用于在无线用户间传输帧的介质。WLAN系统使用无线射频作为传输介质。技术介绍WLANWLAN服务2用户接入过程用户接入过程首先需要通过主动/被动扫描，在通过认证和关联两个过程后才能和AP建立连接。APClientAuthenticationRequestAuthenticationResponseAssociationRequestAssociationResponse主动扫描/被动扫描图1建立无线连接过程1.无线扫描(1)主动扫描用户试图主动寻找网络时，可用主动扫描对周围的无线网络进行扫描。根据是否携带指定SSID，主动扫描可以分为两种：z客户端发送ProbeRequest（SSID为null）：用户预先配有一个信道列表，客户端在信道列表中的信道上广播探查请求帧（ProbeRequest）。AP收到探查请求帧后，回应探查响应帧（ProbeResponse）。客户端会选择信号最强的AP进行关联。这种方法适用于无线客户端通过主动扫描可以获知是否存在可使用的无线服务。图2主动扫描过程（ProbeRequest中SSID为NULL）z客户端发送ProbeRequest（ProbeRequest携带指定的SSID）：这种情况下，因为客户端携带指定的SSID，只会单播发送探查请求帧（ProbeRequest），技术介绍WLANWLAN服务3相应的AP接受到后回复请求。这种方法适用于无线客户端通过主动扫描接入指定的无线网络。图3主动扫描过程（ProbeRequest携带指定的SSID）(2)被动扫描被动扫描是指客户端通过侦听AP定期发送的Beacon帧来发现网络。用户预先配有用于扫描的信道列表，在每个信道上监听信标。被动扫描要求AP周期性发送Beacon帧。当用户需要节省电量时，可以使用被动扫描。一般VoIP语音终端通常使用被动扫描方式。图4被动扫描过程2.认证过程为防止非法用户接入，首先需要在用户和AC/FATAP之间建立认证，认证机制包括两种。只有通过认证后才能进入关联阶段。z开放系统认证z共享密钥认证关于两种认证的详细介绍请参见“WLAN安全技术介绍”。3.关联过程如果用户想通过AP接入无线网络，用户必须同特定的AP关联。当用户通过指定SSID选择无线网络，并通过AP认证后，就可以向AP发送关联请求帧。AP将用户信息添加到数据库，向用户回复关联响应。用户每次只可以关联到一个AP上，并且关联总是由用户发起。技术介绍WLANWLAN服务4CAPWAP协议概述1.CAPWAP简介CAPWAP（ControllingandProvisioningofWirelessAccessPoint，无线接入点控制与供应）协议定义了AP与AC之间如何通信，为实现AP和AC之间的互通性提供一个通用封装和传输机制，如图5所示。图5CAPWAP示意图CAPWAP同时运行在AP和AC上，为WLAN系统提供安全的AC与AP之间的通信。AP与AC之间的通信依照标准UDP客户端/服务器端模型来建立。CAPWAP提供数据隧道来封装发往AC的数据包。这些数据包可以是802.11协议的数据包。CAPWAP还支持AC的远程AP配置、WLAN管理和漫游管理。在AC上，CAPWAP提供了AP管理功能。AC可以根据管理员提供的信息动态地配置AP。在IP网络中CAPWAP使用UDP协议作为承载协议，支持IPv4和IPv6协议，接入点可以动态的选择使用IPv4或者IPv6和AC建立链接。因此，CAPWAP支持IPv4和IPv6协议可以更好的支持在后续网络改造中，所有的AP和AC都不需要升级就可以继续提供WLAN接入服务，极大方便了网络建设和维护，保证用户的投资回报。2.CAPWAP支持链路备份(1)双链路连接为了实现无线控制器的备份，AP需要与两个无线控制器分别建立链接。这两台无线控制器之间为主备关系。处于主用状态的无线控制器负责为所有AP提供服务，而备用无线控制器为主用无线控制器提供备份链路。通过心跳检测机制，当主用无线控制器发生故障时，备用无线控制器可立即检测到该主用无线控制器的异常状态并成为新的主用无线控制器，保证无线服务不会中断。技术介绍WLANWLAN服务5AC2AP4AP1AP2AP3AC1图6双链路连接图6中，AC1与AC2为主备热备份的两台无线控制器。AC1工作在主用状态，并为AP1、AP2、AP3及AP4提供服务；AC2工作在备用状态，各AP通过备用链路连接到AC2。通过配置，使两台无线控制器启动主备心跳检测。当检测到AC1出现故障后，AC2的工作状态立即由备用转为主用；通过备用信道连接到AC2的AP将该备用信道转换为主用信道，使用AC2作为主用无线控制器。当AC1恢复连接后，AC1保持在备用状态。(2)PrimaryAC支持双链路连接AC1AC2APPrimaryAC图7PrimaryAC支持双链路连接图7中，作为PrimaryAC的AC1是主AC，与AP建立CAPWAP连接，AC2作为备份AC为AP提供备份链路。当AC1出现故障时，在其恢复CAPWAP连接前，AC2技术介绍WLANWLAN服务6会成为MasterAC。当AC1恢复连接后，作为PrimaryAC的AC1会重新与AP建立连接，成为MasterAC。(3)AC同时支持两种工作状态AC1AC2AP1AP2图8AC同时支持两种工作状态一个AC可以同时提供主备份连接。在图8中，AC1与AP1建立主用链路，同时为AP2提供备份链路。类似的，AC2与AP2建立主用链路，同时为AP1提供备份链路。用户接入控制方式1.基于VLAN的用户接入控制AP普通员工L2switchVoIP终端用户SSID：EmployeeVLAN：101SSID：VoIPVLAN：100SSID：LeaderVLAN：102公司领导RADIUSserverInternet图9基于VLAN的用户接入控制技术介绍WLANWLAN服务7VLAN（VirtualLocalAreaNetwork）可以将一个物理的LAN在逻辑上划分成多个广播域（多个VLAN），VLAN内的主机间可以直接通信，而VLAN间不能直接互通。在WLAN环境中，也可以使用VLAN区分不同的无线客户端。如图9所示，通过配置VLAN，可以把用户群划分到不同VLAN中，各VLAN中采用不同的WLAN安全策略，实现更加灵活、安全的无线接入。2.基于AP的用户接入控制无线接入服务的提供者希望能控制客户端在无线接入网中的接入位置。这里的接入位置目前主要指客户端所接入的AP。如图10所示，Client1、Client2和Client3可以通过AP1～AP3接入到外部网络。基于某些策略考虑（如安全性或者计费等因素），提供无线接入服务的机构希望通过特定的AP接入策略，使Client1和Client2只能通过AP1和AP2访问网络，而Client3只能通过AP3访问网络。AP接入策略可以通过用户在UserProfile下配置客户端关联的AP组，这样就可以确保客户端只能通过授权的AP访问网络资源。ACAP1RADIUSserverInternetAP2Client1Client2Client3AP3图10用户接入控制组网应用3.基于SSID的用户接入控制在有用户临时需要接入网络时，需要临时为用户建立一个来宾账户，通过基于SSID的接入控制可以达到访问限制的目的，即限制来宾用户只能在指定的SSID登录。SSID的接入控制可以通过在UserProfile下设置允许接入的SSID来实现。技术介绍WLANWLAN服务8图11无线用户临时接入组网图802.11n协议1.802.11n协议简介802.11n作为802.11协议族的一个新协议，支持2.4GHz和5GHz两个频段，致力于为WLAN接入用户提供更高的“接入速率”，802.11n主要通过MIMO技术、增加带宽和提高信道利用率两种方式来提高通讯速率。MIMO技术：在室内，电磁环境较为复杂，多径效应、频率选择性衰落和其他干扰源的存在使得实现无线信道的高速数据传输更加困难。但对MIMO系统来说，多径效应却可以作为一个有利因素加以利用。MIMO系统在发射端和接收端均采用多天线（或阵列天线）和多通道，传输信息流S(k)经过空时编码形成N个信息子流Ci(k)，i=1，……，N。这N个子流由N个天线发射出