中级培训--WLAN产品设计原理和关键技术

WLAN产品设计和关键技术中国自主知识产权寰创通信WLAN中级培训教材AC系统结构设计主备通信机制业务认证流程AC-AP间协议和接口交流提纲盒式AC设备描述盒式AC采用集成的软硬件一体化设计，主要用于中低密度的AP接入，最多支持32K用户接入，最大支持4G数据吞吐量。硬件平台CPU采用双颗IntelXeonE53xx四核处理器，Intel5000P芯片组，前端总线速率为1333/1066MHz，最多10个千兆网口，支持双直流或者双交流冗余电源供电。盒式AC硬件架构盒式AC的硬件具有如下特性：采用双IntelXeon至强四核处理器。北桥芯片组采用Intel5000MCH，通过双PCI-E4x接口提供10GE网络接口。5000P提供最大8G的内存容量和双SATA接口。通过I/O扩展芯片提供电源管理和PCI总线扩展。XeonXeonIntel5000PMCH北桥芯片组IntelI/0ControllerHubGE1-4GE2-8GE9-10SATAPowerManagementPCIBusMemory框式AC设备描述机框式AC采用在电信领域应用广泛的新一代主流工业计算技术--先进电信计算平台（ATCA），基于模块化、高兼容性、可扩展的硬件构架，为业务扩展和硬件升级提供了极大便利。机框式AC最多可支持六片符合ATCA规范的处理板，包括四片业务板和两片交换接口板。最大可接纳128K的用户接入，以及160G数据交换能力。其业务板类型包括WLAN控制面处理引擎板、WLAN业务面处理板两种。其中业务处理采用基于MIPS的多核网络处理器，具有强大的网络IO处理能力。框式AC硬件架构业务处理板硬件具有如下特性：内含双路MIPS多核处理器，最多12核，每核800MHz板内交换芯片提供40G的交换能力。16路GE连接至Zone3，通过后插板接入网络，2路10GE连接至Fabric。背板支持PICMG3.1规范中的Option2和Option9框式AC硬件架构控制面处理引擎板具有如下特性：双Intel至强L5408处理器,1066MHz前端总线，12MCache通过Intel5100/ICH9R芯片组，提供最高32G内存容量。双10GEfabric接口，双GEbase接口双AMC接口，可进行4GE口或者SAS/SATA硬盘扩展面板提供双USB核VGA输出软件平台架构AC的软件可以分为：操作系统、平台支撑系统，无线业务管理，数据交换模块，网管接口五个大部分。其内部关系如下图所示：无线业务管理数据交换软件平台支撑操作系统/驱动网管接口软件平台架构操作系统/驱动模块负责为AC提供软件基础运行环境，以及硬件管理维护接口，是整个AC的运行基础。软件平台支撑负责为业务软件提供系统接口封装，为业务软件屏蔽底层系统差异，提供统一的功能调度接口，以及业务层面的数据库管理，设备管理等。无线业务管理模块，负责实现AC的核心业务逻辑，比如CAPWAP协议、DHCP协议等。通过该模块实现AP的发现和接入管理、用户接入认证等核心功能。数据交换模块，负责实现AC数据业务的二层、三层转发，路由协议处理、NAT协议处理、用户流量控制等功能。是AC网络数据业务的核心组件。网管接口提供AC设备的远程配置管理，AC运行状态统计。网管接口提供2中访问方式，一是WEB方式，通过网络浏览器访问；一是通过SNMP协议实现标准化的远程访问控制。AC系统结构设计主备通信机制业务认证流程AC-AP间协议和接口交流提纲主备基本原理AC支持1+1备份和N+1备份（N=3）AC主备基本原理：a.主备AC间通过主备通道进行心跳检测b.主备AC间通过VRRP技术实现外部接口IP地址（浮动IP）共享c.主备AC间配置数据进行实时备份，主AC的配置修改后，通过主备通道实时备份到备AC1+1主备典型组网以AP-AC三层组网，用户数据集中转发的组网模式为例，典型组网图如右：组网说明：主AC和备AC的下联口同时接到下行WLAN汇聚交换机，用于跟AP通信主AC和备AC的上联口同时接到上行WLAN汇聚交换机，用于接入城域网省网接入/城域核心下行WLAN汇聚交换机主AC备AC热点交换机热点交换机上行WLAN汇聚交换机控制流用户业务流3+1主备典型组网组网说明：主AC1、主AC2、主AC3和备AC的下联口同时接到下行WLAN汇聚交换机，用于跟AP通信主AC1、主AC2、主AC3和备AC的上联口同时接到上行WLAN汇聚交换机，用于接入城域网省网接入/城域核心下行WLAN汇聚交换机主AC1备AC热点交换机热点交换机上行WLAN汇聚交换机主AC2控制流用户业务流主AC3主备AC典型处理流程主备AC间配置同步过程：用户通过AC-WEB或网管修改主AC配置后，主AC的配置数据版本号会发生变化主AC向备AC发送的主备保活消息中携带主AC当前的配置数据版本号备AC与主AC第一次建链时，通过FTP从主AC下载该主AC的配置数据，保存在备AC上备AC收到主AC发来的主备保活消息，比较备AC上保存的该主AC配置数据版本号与保活消息中的配置数据版本号，如果不相同，则备AC发起FTP过程，从主AC下载新的数据文件主AC故障处理过程：备AC通过心跳检测机制检测到主AC故障，且备AC当前没有接管其它主AC，则备AC的工作状态立即由备用转为主用状态，同时在接口上启用浮动IPAP自动接入到备AC无线客户端通过备AC获取服务主AC故障恢复处理过程：备AC通过心跳检测机制检测到主AC故障恢复，备AC的工作状态立即由主用转为备用状态，同时在接口上禁用浮动IPAP自动切换连接到主AC无线客户端通过主AC获取服务AC系统结构设计主备通信机制业务认证流程AC-AP间协议和接口交流提纲当AC作为认证点，网络一般为集中转发，这里也针对集中转发，作组网说明：控制流：终端用户无线接入过程在AP上终结，DHCP过程一般在AC上终结，PORTAL认证过程则需要PortalServer及RadiusServer配合在AC上完成认证过程。若用户认证成功，则在AC上为该用户打开逻辑开关，允许用户后续数据流通过。若用户逻辑通道未打开，则只允许用户的控制面数据通过，及访问白名单地址。数据流：终端用户的数据流，经AP后，再通过APAC隧道最终都汇聚到AC，再转发至目的地址。AC作为认证点APPortalServerACInternetRadiusServerAPSwitchACSwitch控制流数据流BRAS作为认证点AP（本地转发）PortalServerACInternetRadiusServerAP（集中转发）SwitchBRASSwitch控制流数据流ACSwitchBRAS作为认证点组网说明：一、本地转发（不管控制流还是数据流，都无需汇聚至AC）：控制流：终端用户无线接入过程在AP上终结，DHCP过程可经AP经交换机直接到BRAS上终结，即由BRAS分配终端IP地址，PORTAL认证过程则需要PortalServer及RadiusServer配合在BRAS上完成认证过程。数据流：终端用户的数据流，经AP后，不经过AC而直接经过交换机汇聚到BRAS，再转发至目的地址。二、集中转发（控制流或数据流，都需汇聚至AC，此时，AC可作为二层交换机使用）：控制流：终端用户无线接入过程在AP上终结，DHCP过程可经APAC隧道经交换机最后到BRAS上终结，即由BRAS分配终端IP地址，PORTAL认证过程则需要PortalServer及RadiusServer配合在BRAS上完成认证过程。数据流：终端用户的数据流，经AP后，先汇聚至AC，再经过交换机最终汇聚到BRAS上，最后转发至目的地址。认证流程认证流程认证流程描述用户正常接入流程描述如下：1建立无线连接：1.1终端发送开放式鉴权请求至AP；1.2AP发送开放式鉴权响应至终端1.3终端发送关联请求至AP，携带了终端的无线支持能力，如速率等；1.4AP发送关联请响应至终端，携带了分配给终端的关联ID号等；至此，终端在AP上的无线链路建立成功；2注册终端：2.1AP发送注册终端消息至AC，含终端MAC地址；2.2AC发送ACK消息至AP；3DHCP自动获取IP地址：3.1终端广播发送DHCPDiscover至网络，查找DHCP服务器。3.2AC（配置了DHCP服务功能）发送DHCPOffer至终端；3.3终端发送DHCPRequest至AC，请求IP地址；3.4AC发送DHCPAck至终端；至此，终端成功自动获取到IP地址；认证流程描述4强制到PortalServer：4.1终端访问网页，如，即发送HTTPRequest至AC4.2AC检测到该终端用户未通过认证，则发送HTTP重定向消息至终端，重定向地址为配置的PortalServer地址；4.3终端访问重定向地址4.4由于PortalServer地址是在AC的白名单地址集中，故允许终端访问，AC发送HTTPResponse消息至终端；至此，未通过认证的终端访问任意网页，都将被强制到PortalServer上；5Portal认证：5.1终端在强制网页上，填写用户名及密码提交，则将采用HTTPs经AC递交用户名及密码至PortalServer。虽然用户名及密码数据流，经过AC，但被HTTPs加密，故只有PortalServer知道用户名及密码。5.2PortalServer发送UserInfoRequest至RadiusServer，消息中携带用户名及密码；5.3RadiusServer检查用户名及密码，发送UserInfoResponse至PortalServer，携带了检查结果；5.4[CHAP认证]PortalServer发送REQ_CHALLENGE至AC，请求挑战数；携带了用户IP地址；认证流程描述5.5[CHAP认证]AC发送ACK_CHALLENGE至PortalServer，含挑战数及ReqID；5.6PortalServer发送REQ_AUTH至AC，请求认证；携带了用户名及CHAP计算后的密码；5.7AC发送Access-Request消息至RadiusServer，携带了用户名及CHAP计算后的密码；5.8RadiusServer发送Access-Accept消息至AC；可携带用户的允许上线时长，及计费间隔；5.9AC发送ACK_AUTH至PortalServer，携带了认证结果；5.10PortalServer发送HTTPResponse消息至终端，推送认证成功网页；5.11PortalServer发送AFF_ACK_AUTH消息至AC；至此，终端Portal认证成功，可上网；6开始计费：6.1AC发送Accounting-Request/Start消息至RadiusServer，携带了用户名及用户IP地址等信息；6.2RadiusServer发送Accounting-Response消息至AC；至此，用户面的控制流基本结束。认证流程描述7实时计费：7.1AC定时发送Accounting-Request/Interim-Update消息至RadiusServer，携带了用户名、用户上线时长及用户流量等信息；7.2RadiusServer发送Accounting-Response消息至AC；AC系统结构设计主备通信机制业务认证流程AC-AP间协议和接口交流提纲CAPWAP协议概述•CAPWAP的目标–ControlAndProvisioningofWirelessAccessPoints–AP集中配置和管理–AP零配置：即插即用–AP—AC之间接口标准化•相关RFC规范–rfc5415–rfc5416–rfc5417–rfc5418–rfc4564–rfc4565CAPWAP报文帧结构•CAPWAP控制报文的Discovery帧结构，由于它完成的是查找现有AC的过程，此时控制隧道还未建立，所以它是所有控制报文中唯一非加密数据报文•CAPWAP数据报文格式，由于它是非加密的，所以这种数据报文只能应