Similar presentations:
Основы WLAN
1.
Основы WLAN2.
ПредисловиеТрадиционными доступными архитектурами WLAN являются Fat AP и AC + Fit AP.
Fat AP объединяет функции управления WLAN, включая аутентификацию
пользователей, шифрование данных и роуминг. Однако при развертывании
крупной WLAN создается большая нагрузка. С ростом количества беспроводных
терминалов широко применяется архитектура AC + Fit AP, которую легко
контролировать и расширять. Связь между контроллером доступа (AC) и Fit AP
осуществляется
с
помощью
протокола
управления
и
предоставления
беспроводных точек доступа (CAPWAP).
В настоящем курсе приводится информация о возникновении и реализации
CAPWAP, ключевых кадров 802.11 и механизме роуминга STA.
2
Конфиденциальная информация
Huawei
3.
ЦелиПо окончании данного курса слушатели получат следующие
знания и навыки:
3
возникновение и реализация CAPWAP;
процесс установления туннеля CAPWAP;
процессы присоединения AP к AC и подключения STA к сети;
механизм роуминга STA.
Конфиденциальная информация
Huawei
4.
Содержание1. Туннель CAPWAP
2. Ключевые кадры 802.11
3. Процесс перехода STA в режим онлайн
4. Роуминг WLAN
4
Конфиденциальная информация
Huawei
5.
Возникновение
Концепци
я
Реализация
Предпосылки разработки CAPWAP
Проблемы традиционной сети Fat AP
Архитектура сети AC + Fit AP
Кампусная
сеть
STA
Предприятию необходимо развернуть большое количество точек доступа,
что предъявляет более высокие требования к централизованным операциям
эксплуатации и обслуживания, контролю и безопасности.
Проблемы традиционной сети Fat AP:
автономное управление, несущее риски безопасности;
отсутствие детального управления пользователями и контроля;
AP1
Сеть уровня 2
или 3
AP2
…
AC
Решение
• Архитектура сети AC + Fit AP применима к средним и крупным сетям и имеет
следующие преимущества по сравнению с архитектурой Fat AP:
APn
STA
STA
сложное крупномасштабное развертывание; применимо только к
небольшим сетям SOHO.
централизованное визуализированное управление и контроль,
снижающие затраты на эксплуатацию и техническое обслуживание;
детальное управление политиками для пользователей;
аутентификация и учет для защиты корпоративных данных на разных
уровнях;
предоставление дополнительных сервисов, расширяющих возможности
обслуживания.
• CAPWAP (англ. Control and Provisioning of Wireless Access Points) — протокол
управления и инициализации беспроводных точек доступа разработан для
связи между AC и AP.
5
Конфиденциальная информация
Huawei
6.
Возникновени Концепцие
я
Реализация
Возникновение CAPWAP
Протокол
LWAPP
SLAPP
CTP
WiCoP
Стандарт
RFC 5412
RFC 5413
draft-singh-capwap-ctp
RFC 5414
Полное
название
Lightweight Access Point Protocol
Secure Light Access Point
Protocol
CAPWAP Tunneling Protocol
Wireless LAN Control
Protocol
Кем предложен
Cisco - Airspace
Aruba
Siemens - Chantry
Panasonic
Характеристик
и
LWAPP предоставляет подробное
описание методов обнаружения,
обеспечения безопасности и
управления системой.
Поддерживает локальный MACадрес и Split Mac-адрес. AC и AP
подключаются на уровне 2 или 3.
На уровне 2 пакеты LWAPP
передаются в кадрах Ethernet. На
уровне 3 пакеты LWAPP
передаются с использованием
протокола пользовательских
дейтаграмм (UDP).
Шифрование
6
Сигнализация: AES-CCM
Данные: не зашифрованы
Конфиденциальная информация
Huawei
SLAPP поддерживает два
режима локального MAC:
мостовой и туннельный, а
также позволяет
использовать режимы
прямого подключения,
уровня 2 и уровня 3.
Использует зрелые
технологии и стандарты
для построения
коммуникационных
туннелей и использует
технологию GRE для
настройки каналов
данных.
CTP использует расширенный
SNMP для настройки и
управления WTP. Пакеты
управления CTP
используются для
управления состоянием
соединения станций (STA),
конфигурацией и состоянием
WTP.
WiCoP определяет
механизм обнаружения
AC, включая
согласование на основе
производительности AC
и STA. Этот протокол
также определяет
параметры QoS.
Сигнализация: протокол
дейтаграмм безопасности
транспортного уровня
(DTLS)
Данные: DTLS
CTP определяет
аутентификации и правила
шифрования на основе AESCCM. Правила необходимо
оптимизировать.
WiCoP рекомендует
стандарты безопасности
IPSec и EAP, но не
определяет методы
реализации.
7.
ВозникновениеКонцепци
я
Предпосылки разработки CAPWAP
LWAPP
SLAPP
Предложен: Cisco
Предложен: Aruba
Полная структура протокола
Мостовое соединение
Подробная структура пакета и элементы TLV
DTLS
Незашифрованные данные
CAPWAP
CTP/WiCoP
Предложен: Siemens/Panasonic
Базовая централизованная архитектура WLAN
Неполные стандарты безопасности
7
Конфиденциальная информация
Huawei
Реализация
8.
Возникновение КонцепцияРеализация
Обзор CAPWAP
Туннель CAPWAP
• CAPWAP определяет способы управления и настройки
Передача
Управляющая
информация
Данные
пользователя
STA
ел ь
Тунн AP
CAPW
AP1
AP2
Т
не
ун
……
ль
точек доступа. То есть, контроллер доступа (AC)
Кампусная
сеть
P
WA
P
CA
е
нн
у
Т
ль
Функции
• Позволяет AP автоматически обнаруживать AC.
• Поддерживает связь между AC и AP.
настройки сервисов.
• Позволяет AP обмениваться данными,
STA
STA
Конфиденциальная информация
Huawei
AP
W
P
CA
централизованно через туннель CAPWAP.
• Позволяет AC управлять AP и передавать им
APn
8
управляет и контролирует точки доступа (AP)
AC
отправленными STA, с AC по туннелям CAPWAP в
режиме туннельной пересылки.
9.
ВозникновениКонцепция
е
Реализация
Формат пакета CAPWAP
Тип пакета
Функция
Порт UDP
Шифрование
Пакет управления
Управление AP
5246
В основном
зашифрованный текст
Пакет данных
Пересылка служебных данных
5247
В основном открытый
текст
Форматы пакета управления и пакета данных:
Заголовок
IP
Заголовок
UDP
Заголовок
CAPWAP
Управляющий
заголовок
Элемент
сообщения
Пакет
управления
Заголово
к IP
Заголово
к UDP
Заголово
к IP
Заголово
к UDP
Заголовок
IP
Заголовок
UDP
Заголовок CAPWAP
DTLS
Заголовок
CAPWAP
Заголовок
DTLS
CAPWAP
заголовок
Управляющий
заголовок
Элемент
сообщения
Хвост
DTLS
Пакет
Ethernet
Шифровани
е DTLS
Пакет
данных
9
Конфиденциальная информация
Huawei
Заголовок CAPWAP
DTLS
Заголовок
DTLS
Заголовок
CAPWAP
Пакет
Ethernet
Хвост
DTLS
10.
ВозникновениеКонцепци
я
Реализация
Установление туннеля CAPWAP — обзор
AP
1
Сервер DHCP
AC
Обнаружение DHCP (широковещательная рассылка)
Предложение DHCP (одноадресная передача)
Взаимодействи
е DHCP
DHCP-запрос (широковещательный)
Подтверждение DHCP Ack (одноадресная передача)
Запрос обнаружения
Этап
обнаружения
Соединение
DTLS
Присоединение
Ответ на запрос
обнаружения
DTLS
Запрос на
присоединение
Ответ на запрос на присоединение
Запрос данных образа
Данные образа
10
Ответ на запрос данных
образа
Конфиденциальная информация
Huawei
AC
AP
Запрос статуса
конфигурации
Ответ на запрос статуса
конфигурации
Запрос события изменения состояния
Ответ на запрос события изменения
состояния
Keepalive-сообщение
Keepalive-сообщение
2
Статус
конфигураци
и
Проверка
данных
Выполнени
е (данные)
Эхо-запрос
Эхо-ответ
Выполнени
е
(контроль)
Запрос обновления конфигурации
Ответ на запрос обновления
конфигурации
Обновление
конфигураци
и
11.
ВозникновениеКонцепци
я
Реализация
Установление туннеля CAPWAP — AP, получающие IP-адреса
Для связи с контроллером доступа точка доступа должна получить IP-адрес. Это первый шаг для установления
связи по беспроводной сети.
AP,
получающие
IP-адреса
Режим, в котором AP получает IP-адрес
• Статический режим: пользователь входит в AP и настраивает свой IP-адрес (не рекомендуется для
Этап
обнаружения
(Необязательно)
Подключение
DTLS
средних и крупных сетей).
• Режим DHCP: точка доступа выполняет функции DHCP-клиента и запрашивает IP-адрес у DHCPсервера.
Типовые решения
• Развертывание специального DHCP-сервера для назначения IP-адресов AP.
• Настройка AC для назначения IP-адресов AP.
Этап
присоединения
• Использование сетевого устройства, например, базового коммутатора, для назначения IP-адресов
AP.
...
11
Конфиденциальная информация
Huawei
12.
ВозникновениеКонцепци
я
Реализация
Точки доступа, получающие IP-адреса — взаимодействие с DHCP
AP,
получающие
IP-адреса
AP
Сервер DHCP
Обнаружение DHCP (широковещательная рассылка)
Этап
обнаружения
1 Обнаружение серверов DHCP в сети
Предложение DHCP (одноадресная передача)
Выбор доступного IP-адреса из пула адресов и
отправка ответа AP
2
(Необязательно
) Подключение
DTLS
Этап
присоединения
DHCP-запрос (широковещательный)
Уведомление DHCP-сервера о выбранном
IP-адресе
3
Подтверждение DHCP (одноадресная передача)
...
12
Конфиденциальная информация
Huawei
Подтверждение выделения адреса
4
Шаг 1: процесс четырехстороннего
квитирования DHCP
• Точка доступа передает сообщение обнаружения
(DHCP Discovery) для запроса ответов от DHCPсерверов.
• При получении сообщения запроса обнаружения
(Discovery Request) сервер DHCP отвечает AP
сообщением с предложением DHCP (DHCP Offer),
которое содержит информацию о
продолжительности аренды.
• Когда точка доступа получает сообщения с
предложением DHCP от нескольких DHCP-серверов,
она выбирает только одно сообщение с
предложением DHCP (обычно первое сообщение) и
рассылает сообщение с запросом DHCP (DHCP
Request) всем DHCP-серверам. Затем AP отправляет
одноадресное сообщение с запросом DHCP
выбранному DHCP-серверу.
• Когда DHCP-сервер получает сообщение с запросом
DHCP, он отвечает сообщением подтверждения DHCP
(DHCP Ack), которое содержит IP-адрес точки доступа,
срок аренды, информацию о шлюзе и IP-адрес DNSсервера. К этому моменту аренда вступает в силу, и
процедура четырехстороннего квитирования DHCP
считается выполненной.
13.
ВозникновениеКонцепци
я
Реализация
Установление туннеля CAPWAP — обнаружение AC
Контроллер доступа (AC) управляет и контролирует точки доступа (AP) централизованно через туннели CAPWAP.
AP, получающие
IP-адреса
AC
AP
Шаг 2: обнаружение AC
Этап
обнаружения
5
Запрос обнаружения
6
Ответ на запрос
обнаружения
(Необязательно)
Подключение
DTLS
Этап
присоединения
…
...
13
Конфиденциальная информация
Huawei
• Точка доступа (AP) обнаруживает контроллер
доступа (AC) разными способами, в зависимости от
сети. В сети уровня 2 для обнаружения AC точка
доступа передает сообщение с запросом
обнаружения (Discovery Request), в сети уровня 3
точка доступа отправляет на контроллер доступа
сообщение с запросом обнаружения в режиме
одноадресной передачи на основе IP-адреса AC,
передаваемого в Option 43 DHCP-сервера.
• После получения сообщения AP с запросом
обнаружения AC отправляет AP сообщение с ответом
на запрос обнаружения (Discovery Response) в
режиме одноадресной передачи. AP решает
связаться с соответствующим AC в зависимости от
приоритета AC и нагрузки AP.
14.
Динамическое обнаружение контроллера доступа точками доступаAP
Этап
обнаружения
Режим широковещательной
рассылки
Режим DHCP
AP, получающие
IP-адреса
Сервер DHCP
AC
• Если после запуска AP не получает
IP-адрес AC в режиме DHCP или DNS
Обнаружение DHCP
или не получает ответа после
отправки запроса на обнаружение
(Необязательно)
Подключение
DTLS
Этап
присоединения
Предложение DHCP
(Option 43)
DHCP-запрос
Подтверждение DHCP
(Option 43)
широковещательную передачу
сигналов обнаружения AC и
выполняет широковещательную
рассылку запроса на обнаружение
AC.
Запрос обнаружения
Ответ на запрос обнаружения
...
(Discovery Request), AP инициирует
• Обнаружение AC в режиме
широковещательной рассылки
применяется в сети уровня 2 между
AP и AC.
14
Конфиденциальная информация
Huawei
15.
ВозникновениеКонцепци
я
Реализация
Установление туннеля CAPWAP — DTLS
Контроллер доступа (AC) управляет и контролирует точки доступа (AP) централизованно через
туннели CAPWAP.
AP, получающие
IP-адреса
Этап
обнаружения
AC
AP
5 Запрос обнаружения
Ответ
на запрос обнаружения
6
(Необязательн
о)
Подключение
DTLS
7
(Необязательно)
DTLS
(Необязательно) Шаг 3: установление
соединения DTLS
• Обмен сообщениями подключения DTLS между AC и AP
является необязательным, и зависит от того,
требуется ли шифрование в сообщении с ответом на
запрос обнаружения (Discovery Response).
...
Этап
присоединения
Заголово
к IP
...
16
Конфиденциальная информация
Huawei
Заголово
к IP
Заголово
к UDP
Заголово
к UDP
Заголовок DTLS
CAPWAP
DTLS
заголовок
CAPWAP
заголовок
Заголовок
DTLS CAPWAP
Заголовок
DTLS
CAPWAP
заголовок
Управляющий
заголовок
Элемент
сообщения
Пакет Ethernet
Хвост
DTLS
DTLS
DTLS
16.
Возникновени Концепцие
я
Реализация
Установление туннеля CAPWAP — этап
присоединения
Контроллер доступа (AC) управляет и контролирует точки доступа (AP) централизованно через туннели CAPWAP.
AP, получающие
IP-адреса
Этап
обнаружения
(Необязательно)
Подключение
DTLS
Этап
присоединени
я
Данные образа
...
17
AC
AP
Конфиденциальная информация
Huawei
5
Запрос обнаружения
6
Ответ на запрос
обнаружения
7
(Необязательно) DTLS
8 Запрос на присоединение
Ответ на запрос на
9 присоединение
Шаг 4: присоединение
• После процедуры квитирования DTLS, AC и AP
устанавливают канал управления. AP отправляет
сообщение с запросом на присоединение (Join Request),
чтобы присоединиться к AC.
• AC отправляет сообщение с запросом на
присоединение, содержащее информацию о номере
версии обновления пользователя, интервале/периоде
ожидания пакета квитирования и приоритете пакетов
управления.
17.
Процесс управления доступом APПерейдите на
этап
присоединения
MAC-адрес или SN точки доступа
находятся в списке блокировок AP?
Нет
AP, получающие
IP-адреса
Этап
обнаружения
Да
Какой режим аутентификации AP
используется?
Без
аутентификации
Да
(Необязательно)
Подключение
DTLS
Этап
присоединения
Да
Аутентификация
MAC-адресов
Аутентификация SN
SN точки доступа
MAC-адрес точки доступа
добавлен в режиме
добавлен в режиме
офлайн?
офлайн?
Нет
Нет
MAC-адрес точки доступа
SN точки доступа
находятся в списке доверенных
находятся в списке
узлов?
доверенных узлов?
Нет
Нет
Добавить AP в список
разрешенных AP
Подтвердите информацию об AP
вручную, указав ее MAC-адрес
или серийный номер.
Данные образа
AP присоединяется к AC
...
18
Конфиденциальная информация
Huawei
Да
Да
AP не разрешено
присоединиться
к AC.
18.
ВозникновениеКонцепци
я
Реализация
Установление туннеля CAPWAP — данные образа
Контроллер доступа (AC) управляет и контролирует точки доступа (AP) централизованно через туннели CAPWAP.
AP, получающие
IP-адреса
AC
AP
Этап
обнаружения
(Необязательно)
Подключение
DTLS
5
Запрос обнаружения
6
Ответ на запрос
обнаружения
7
(Необязательно) DTLS
Запрос на
8 присоединение
Этап
присоединения
Ответ на запрос на
9 присоединение
(Необязательно) Запрос
10 данных образа
Данные образа
(Необязательно) Ответ на
11 запрос данных образа
...
19
Конфиденциальная информация
Huawei
Шаг 5: данные образа
• Используя параметры согласования AP проверяет,
работает ли последняя версия программного
обеспечения. Если текущая версия не является
последней версией, AP отправляет на контроллер AC
запрос данных образа (Image Data Request) для
получения последней версии программного
обеспечения, а затем начинает обновление своего
программного обеспечения через туннель CAPWAP.
• После получения запроса контроллер (AC) отправляет
версию программного обеспечения точке доступа. После
обновления версии программного обеспечения AP
перезапускается, обнаруживает AC, устанавливает
туннель CAPWAP с AC и снова присоединяется к AC.
19.
ВозникновениеКонцепци
я
Реализация
Установление туннеля CAPWAP — статус
конфигурации и проверка данных
Контроллер доступа (AC) управляет и контролирует точки доступа (AP) централизованно через туннели CAPWAP.
Данные
образа
Статус
конфигураци
и
Проверка
данных
AC
AP
Запрос статуса
конфигурации
Ответ на запрос статуса
13 конфигурации
Шаг 6: статус конфигурации
AP отправляет сообщение с запросом статуса конфигурации (Configuration
Status Request ) с именем AC и информацией о радиосвязи на контроллер
доступа (AC) и запускает таймер для ожидания сообщения с ответом на запрос
статуса конфигурации (Configuration Status Response).
После получения сообщения с запросом статуса конфигурации AC изменяет
свой статус и отправляет сообщение с ответом на запрос статуса
конфигурации. (В настоящее время на этом этапе конфигурационные данные
не предоставляются. Конфигурационные данные предоставляются после того,
как AC перейдет на этап выполнения (Run). После получения ответного
сообщения точка доступа останавливает таймер и переходит на этап проверки
данных (Data Check).
12
Запрос события
14 изменения состояния
Ответ на запрос события
15 изменения состояния
Шаг 7: проверка данных
Выполнение
(данные)
...
...
20
Конфиденциальная информация
Huawei
AP отправляет сообщение с запросом события изменения состояния (Change
State Event Request) с информацией о радиосвязи и кодом результата, и
запускает таймер для ожидания сообщения с ответом на запрос события
изменения состояния (Change State Event Response).
После получения сообщения с запросом события изменения состояния AC
переходит на этап проверки данных и отправляет сообщение с ответом на
запрос события изменения состояния (в настоящее время код ошибки не
передается). После получения сообщения с ответом на запрос события
изменения состояния точка доступа останавливает таймер и переходит на этап
выполнения (Run).
20.
ВозникновениеКонцепци
я
Реализация
Установление туннеля CAPWAP — выполнение
Контроллер доступа (AC) управляет и контролирует точки доступа (AP) централизованно через туннели CAPWAP.
Данные
образа
Статус
конфигурации
AC
AP
Шаг 8: выполнение (данные)
12 Запрос статуса
конфигурации
Ответ на запрос статуса
13 конфигурации
Запрос события
14 изменения состояния
Проверка
данных
Ответ на запрос события
15 изменения состояния
Выполнение
(данные)
16 Сообщение
Keepalive
Сообщение
17 Keepalive
18 Эхо-запрос
Выполнение
(контроль)
...
21
...
Конфиденциальная информация
Huawei
19 Эхо-ответ
• Точка доступа отправляет контроллеру доступа сообщение
Keepalive. Туннель данных устанавливается после того, как
контроллер получит сообщение Keepalive.
• Затем контроллер доступа отправляет ответное сообщение
Keepalive. Точка доступа переходит в нормальное состояние и
после получения сообщения Keepalive от контроллера начинает
работать.
Шаг 9: выполнение (контроль)
• Когда AP переходит на этап выполнения, она отправляет
контроллеру доступа сообщение эхо-запрос (Echo Request),
чтобы продемонстрировать, что туннель управления CAPWAP
установлен, и активирует таймер эха и таймер мониторинга
туннеля для мониторинга туннеля управления.
• Когда AC получает сообщение эхо-запроса, он переходит на этап
выполнения (Run), отвечает сообщением с ответом на эхо-запрос
(Echo Response) и активирует таймер тайм-аута туннеля. Когда
AP получает сообщение с ответом на эхо-запрос, он сбрасывает
таймер обнаружения тайм-аута туннеля. В это время точка
доступа уже подключена.
21.
Возникновени Концепцие
я
Реализация
Создание туннеля CAPWAP - обновление конфигурации
Контроллер доступа (AC) управляет и контролирует точки доступа (AP) централизованно через туннели CAPWAP.
Проверка
данных
AC
AP
Выполнение
(данные)
16 Keepalive
Шаг 10: обновление конфигурации
17 Keepalive
• AC обновляет конфигурацию AP. Когда необходимо
обновить конфигурацию AP, AC отправляет AP запрос на
обновление конфигурации (Configuration Update Request).
18 Эхо-запрос
Выполнение
(контроль)
Обновление
конфигураци
и
19 Эхо-ответ
Запрос обновления
20 конфигурации
21
• После получения запроса от AC, AP отправляет AC
сообщение с ответом на запрос обновления
конфигурации (Configuration Update Response). AC
обновляет конфигурацию AP после получения сообщения
с ответом на запрос обновления конфигурации.
Ответ на запрос
обновления конфигурации
После того, как туннель CAPWAP установлен, точка доступа (AP) успешно присоединяется к контроллеру (AC). При
условии правильной конфигурации сервисов выдается SSID для того, чтобы STA могли подключиться к AP.
Но как STA получают доступ к системе беспроводной сети?
22
Конфиденциальная информация
Huawei
22.
Содержание1. Туннель CAPWAP
2. Ключевые кадры 802.11
3. Процесс перехода STA в режим онлайн
4. Роуминг WLAN
23
Конфиденциальная информация
Huawei
23.
Типы кадров, определенные в 802.11AP
STA
Кадр
упра
Кадр управления
влен
ия
Кадры управления выполняют контролирующие функции; они
используются для присоединения к беспроводным сетям и
выхода из них, а также для перемещения ассоциаций от AP к
я
влени
а
р
п
у
Кадр
Кадр
AP.
Кадр контроля
конт
роля
Кадры контроля используются вместе с кадрами данных для
выполнения операций очистки области, функций захвата
каналов и определения несущей, а также положительного
подтверждения принятых данных. Кадры контроля и данных
я
нтрол
о
к
р
Кад
совместно обеспечивают надежную передачу данных от STA к
STA.
Кадр
данн
ых
Кадр данных
...
24
Конфиденциальная информация
Huawei
Кадры данных несут данные, передаваемые между станциями.
24.
Ключевые кадры 802.11 — кадры управления№
25
Тип кадра управления
Функция
1
Кадр маяка (Beacon)
Кадры-маяки периодически отправляются AP, чтобы уведомить STA о WLAN. AP
отправляет кадры-маяки в пределах основной зоны обслуживания.
2
Кадр запроса зондирования
(Probe Request)
STA отправляет кадры запроса зондирования для сканирования окружающих сетей
802.11.
3
Кадр ответа на запрос
зондирования (Probe Response)
Если сеть, просканированная STA, удовлетворяет требованиям к подключению, AP
отправляет STA кадр ответа на запрос зондирования. AP отвечает на полученный
кадр с запросом зондирования только после того, как она отправит один кадр-маяк
и до того, как она отправит следующий кадр-маяк.
4
Кадр аутентификации
(Authentication)
Кадр деаутентификации
(Deauthentication)
AP использует общие ключи и кадры аутентификации для аутентификации
идентификаторов STA и использует кадры деаутентификации для
деаутентификации.
5
Кадр запроса ассоциации
(Association Request)
Кадр запроса повторной
ассоциации (Reassociation
Request)
После того, как STA проходит процедуру установления подлинности, она отправляет
кадр запроса ассоциации, чтобы запросить присоединение к сети.
Когда STA необходимо перемещаться по WLAN, она отправляет кадр запроса
повторной ассоциации для повторной связи с WLAN.
6
Кадр ответа на запрос
ассоциации (Association
Response)
После получения запроса ассоциации от STA, AP передает кадр ответа на запрос
ассоциации.
Конфиденциальная информация
Huawei
25.
Ключевые кадры 802.11 — кадры контроля№
Тип кадра контроля
1
Кадр запроса на
отправку (RTS)
2
Кадр очистки для
отправки (CTS)
3
Кадр подтверждения
(ACK)
4
26
Кадр PS-Poll
Конфиденциальная информация
Huawei
Функция
Когда STA необходимо отправить данные точке доступа, STA отправляет
кадр RTS этой АP.
После того, как AP получает кадр RTS от STA, она передает кадры CTS.
После получения кадров CTS другие STA в зоне покрытия AP не будут
отправлять данные в течение указанного периода.
Получатель отправляет кадр ACK, чтобы подтвердить получение
одноадресного пакета от отправителя.
Когда STA выходит из режима энергосбережения (PS), она отправляет кадр
PS-Poll связанной AP, чтобы извлечь кадры, помещенные в буфер, пока она
находилась в режиме PS.
26.
Содержание1. Туннель CAPWAP
2. Ключевые кадры 802.11
3. Процесс перехода STA в режим онлайн
4. Роуминг WLAN
27
Конфиденциальная информация
Huawei
27.
Доступ STASTA
Доступ STA
AP
Маяк
STA могут получить доступ к WLAN после установления туннелей
CAPWAP.
Сканирование
Запрос з
ондиров
ания
Доступ к STA включает три этапа:
Сканирование
ния
с зондирова
о
р
п
а
з
а
н
т
Отве
Посредством сканирования STA периодически выполняет
поиск ближайших беспроводных сетей.
Запрос а
утентиф
икации
Аутентификация
Аутентификация
кации
с аутентифи
о
р
п
за
а
н
т
е
Отв
Запрос а
ссоциац
ии
Ассоциация
и
с ассоциаци
о
р
п
за
а
н
т
Отве
...
28
Конфиденциальная информация
Huawei
Перед доступом к WLAN выполняется аутентификация STA,
что также называется аутентификацией канала.
Аутентификация канала обычно считается отправной точкой
для подключения STA к AP и получения доступа к WLAN.
Ассоциация
После завершения аутентификации канала STA продолжает
инициировать согласование услуг канала.
28.
Активное сканированиеПри активном сканировании STA периодически выполняет поиск ближайших беспроводных сетей.
STA может отправлять два типа кадров запроса зондирования (Probe Request): зонды, содержащие
SSID, и зонды, которые не содержат SSID.
Активное сканирование путем отправки
кадра запроса зондирования (Probe
Request), содержащего SSID
STA
Запрос
зондирования
(SSID=huawei)
Ответ на запрос
зондирования
AP1
(SSID=huawei
)
• STA отправляет кадр запроса зондирования
(Probe Request), содержащий SSID на каждом
канале для поиска AP с тем же SSID. Только AP с
таким же SSID ответит STA.
29
Конфиденциальная информация
Huawei
Активное сканирование путем отправки кадра
запроса зондирования (Probe Request), не
содержащего SSID
я
а ни
в
о
р
нди ll)
о
з
Nu
рос
Зап (SSID=
с
апро
з
а
я
тн
Отве ировани
зонд
STA Запрос
зонд
(SSID ировани
я
=Nul
l)
AP1
.
.
.
APn
• STA периодически передает в широковещательном режиме
кадр запроса зондирования, который не содержит SSID на
поддерживаемых каналах. AP возвращают кадры ответа на
запрос зондирования (Probe Response), чтобы уведомить STA
о беспроводных услугах, которые они могут предоставить.
29.
Пассивное сканированиеВ
режиме
пассивного
сканирования
STA
Пассивное сканирование
принимает кадры маяка, которые периодически
отправляют AP, и получает список AP путем
анализа информации в кадрах маяка.
При прослушивании кадров маяка STA постоянно
переключает каналы, чтобы гарантировать, что
кадры маяка могут прослушиваться на каждом
канале.
По умолчанию интервал для отправки точками
доступа кадров маяка составляет 100 TU (1 TU =
1024 мкс).
30
Конфиденциальная информация
Huawei
Маяк
STA
Маяк
AP1
(SSID=huawei)
STA
• AP периодически отправляет кадры-маяки. STA
только слушают кадры-маяки и не отправляют
кадры зондирования. Таким образом, STA
получают список соседних AP и одновременно
экономят ресурсы.
30.
Аутентификация каналаЧтобы гарантировать безопасность беспроводного соединения, AP должна аутентифицировать STA, которые пытаются получить
доступ к AP.
IEEE 802.11 определяет два режима аутентификации канала: аутентификация с помощью открытой системы и аутентификация с
общим ключом.
Аутентификация с помощью открытой
системы
Аутентификация с общим ключом
STA
Запрос аутентификации
Запрос аутентификации
STA
Ответ на запрос
аутентификации
AP
Ответ на запрос аутентификации
(Вызов)
AP
Ответ на запрос аутентификации
(Зашифрованный вызов)
Ответ на запрос
аутентификации
(Успешно)
• Аутентификация с помощью открытой системы
не требует аутентификации, что позволяет
любой STA получить доступ к AP без
аутентификации.
• Аутентификация с общим ключом требует, чтобы STA и AP имели
один и тот же предварительно настроенный общий ключ. AP
проверяет, имеет ли STA тот же общий ключ, чтобы определить,
можно ли аутентифицировать STA. Если STA имеет такой же общий
ключ, что и AP, аутентификация STA выполняется успешно. В
противном случае аутентификация STA не выполняется.
31
Конфиденциальная информация
Huawei
31.
АссоциацияПосле выполнения аутентификации канала STA инициирует согласование услуг канала с помощью
сообщений ассоциации (Association).
Процесс ассоциации STA — это процесс согласования услуг канала, во время которого
согласовываются поддерживаемая скорость, канал и т.п.
STA
AP
AC
1. Запрос ассоциации
2. Запрос ассоциации
4. Ответ на запрос
ассоциации
32
Конфиденциальная информация
Huawei
3. Ответ на запрос
ассоциации
32.
Содержание1. Туннель CAPWAP
2. Ключевые кадры 802.11
3. Процесс перехода STA в режим онлайн
4. Роуминг WLAN
33
Конфиденциальная информация
Huawei
33.
Обзор WLAN роумингаС функцией роуминга WLAN станция (STA) может
перемещаться из зоны обслуживания одной
точки доступа в зону обслуживания AP без
остановки передачи услуг.
Точки доступа, участвующие в роуминге WLAN,
должны иметь одинаковые SSID, одинаковые
конфигурации в профилях безопасности
AC
(разрешены разные имена профилей), а также
одинаковый режим аутентификации и настройки
параметров в профилях аутентификации.
WLAN роуминг направлен на достижение
следующих целей:
SSID:
Huawei
Канал 1
IP-адрес:
A.A.A.A
AP2
Область
наложения
сигналов
AP1
STA
Роуминг
STA
SSID:
Huawei
Канал 6
IP-адрес:
A.A.A.A
обслуживания из-за длительного периода
аутентификации во время роуминга.
Конфиденциальная информация
Huawei
Обеспечение того, что информация авторизации
пользователя не изменяется во время роуминга.
34
Предотвращение потери пакетов или прерывания
Обеспечение того, что IP-адрес пользователя не
меняется во время роуминга.
34.
Основные понятия, связанные с роумингом WLANДомашний AC (HAC): контроллер
доступа (AC) в группе мобильности,
с которой сначала связывается STA
AC1
Группа
мобильности
AC2
Сторонний AC (FAC): AC, с которым
STA связывается после роуминга
Туннель между АС
Домашний агент
Сторонняя АР (FAР): точка доступа
(АР), с которой STA связывается
после роуминга
STA
35
Конфиденциальная информация
Huawei
AP2
STA
Роуминг
внутри АС
AP1
Роуминг
внутри АС
Домашняя АР (HAP): точка
доступа (AP) в группе мобильности,
с которой сначала связывается STA
AP3
STA
35.
Типы роуминга WLANРоуминг уровня 2
Роуминг уровня 3
Роуминг уровня 2
Роуминг уровня 3
AC
AC
AP1
VLAN 10
AP2
Роуминг
SSID: Huawei
STA
37
Конфиденциальная информация
Huawei
VLAN 10
SSID: Huawei
STA
AP1
VLAN 10
SSID: Huawei
STA
AP2
Роуминг
VLAN 20
SSID: Huawei
STA
36.
Модели переадресации трафика в роуминге WLANВ зависимости от типа переадресации данных WLAN и от того, выполняется ли переадресация на уровне 3,
модели переадресации трафика в роуминге WLAN подразделяются на следующие четыре типа.
Модель переадресации
Характеристики
Прямая переадресация в
роуминге уровня 2
STA остаются в одной подсети до и после роуминга уровня 2. Подобно
переадресации пакетов для новых STA, FAP или FAC пересылают пакеты STA
в роуминге уровня 2 в локальной сети, но не отправляют пакеты обратно
домашнему агенту по туннелю.
Туннельная переадресация в
роуминге уровня 2
Прямая переадресация в
роуминге уровня 3
Туннельная переадресация в
роуминге уровня 3
38
Конфиденциальная информация
Huawei
Пакеты услуг между HAP и HAC не инкапсулируются с заголовком CAPWAP.
Следовательно, определить, находятся ли точка доступа HAP и контроллер
HAC в одной подсети, невозможно. В этом случае по умолчанию пакеты
пересылаются обратно точке доступа HAP.
Пакеты услуг между HAP и HAC инкапсулируются с заголовком CAPWAP. В
этом случае HAP и HAC можно рассматривать, как находящиеся в одной
подсети. Вместо пересылки пакетов обратно точке доступа HAP, HAC
напрямую пересылает пакеты в сеть верхнего уровня.
37.
Роуминг внутри АСРоуминг внутри АС: если STA перемещается в
пределах покрытия одного AC, роуминг
HAC = FAC
является роумингом внутри AC.
AC
Роуминг внутри AC можно рассматривать как
особый случай роуминга между AC, где HAC и
FAC являются одним и тем же AC.
FAP
VLAN 10
SSID: Huawei
Роуминг
HAP
STA
39
Конфиденциальная информация
Huawei
VLAN 10
SSID: Huawei
STA
38.
Роуминг уровня 2 внутри AC — туннельная переадресацияТуннель CAPWAP
Перед роумингом:
▫ STA отправляет пакеты услуг точке доступа
HAP.
▫ После получения пакетов услуг HAP
3
отправляет их контроллеру доступа по
AC
туннелю CAPWAP.
2
▫ AC пересылает пакеты услуг в сеть верхнего
уровня через коммутатор.
FAP
VLAN 10
SSID: Huawei
Роуминг
HAP
STA
40
Конфиденциальная информация
Huawei
VLAN 10
1
SSID: Huawei
STA
После роуминга:
▫ STA отправляет пакеты услуг точке доступа
FAP.
▫ После получения пакетов услуг FAP отправляет
их контроллеру доступа по туннелю CAPWAP.
▫ AC пересылает пакеты услуг в сеть верхнего
уровня через коммутатор.
39.
Роуминг уровня 2 внутри AC — прямаяпереадресация
Перед роумингом:
▫ STA отправляет пакеты услуг точке доступа
HAP.
AC
Поток
трафика
перед
роумингом
FAP
Роуминг
SSID: Huawei
пересылает в сеть верхнего уровня через
шлюз (коммутатор).
HAP
VLAN 10
▫ После получения пакетов услуг HAP
Поток трафика
после роуминга
STA
После роуминга:
▫ STA отправляет пакеты услуг точке доступа
VLAN 10
SSID: Huawei
STA
FAP.
▫ После получения пакетов услуг FAP
пересылает в сеть верхнего уровня через
шлюз (коммутатор).
41
Конфиденциальная информация
Huawei
40.
Роуминг уровня 3 внутри AC — туннельная переадресацияТуннель CAPWAP
Перед роумингом:
▫ STA отправляет пакеты услуг точке доступа
HAP.
3
▫ После получения пакетов услуг HAP
отправляет их контроллеру HAC по туннелю
CAPWAP.
AC
▫ HAC пересылает пакеты услуг в сеть верхнего
уровня через коммутатор.
2
FAP
VLAN 10
SSID: Huawei
Роуминг
HAP
STA
VLAN 20
1
SSID: Huawei
STA
После роуминга:
▫ STA отправляет пакеты услуг точке доступа
FAP.
▫ После получения пакетов услуг FAP
отправляет их контроллеру HAC по туннелю
CAPWAP.
42
Конфиденциальная информация
Huawei
▫ HAC пересылает пакеты услуг в сеть верхнего
уровня через коммутатор.
41.
Роуминг уровня 3 внутри AC — прямаяпереадресация (HAP в качестве домашнего агента)
Туннель CAPWAP
Перед роумингом:
▫ STA отправляет пакеты услуг точке доступа HAP.
▫ После получения пакетов услуг HAP отправляет их
контроллеру HAC по туннелю CAPWAP.
▫ HAC пересылает пакеты услуг в сеть верхнего
уровня через коммутатор.
AC
2
3
После роуминга:
▫ STA отправляет пакеты услуг точке доступа FAP.
VLAN 10
SSID: Huawei
4
FAP
Роуминг
HAP
STA
VLAN 20
1
SSID: Huawei
STA
▫ После получения пакетов услуг FAP отправляет их
контроллеру HAC по туннелю CAPWAP.
▫ После получения пакетов услуг HAC отправляет их
точке доступа HAP по туннелю CAPWAP.
▫ HAP пересылает пакеты услуг в сеть верхнего
уровня через коммутатор.
43
Конфиденциальная информация
Huawei
42.
Роуминг уровня 3 внутри AC — прямаяпереадресация (HAC в качестве домашнего агента)
Туннель CAPWAP
Перед роумингом:
▫ STA отправляет пакеты услуг точке доступа
HAP.
AC
3
▫ После получения пакетов услуг HAP
2
пересылает их в сеть верхнего уровня через
коммутатор.
FAP
VLAN 10
SSID: Huawei
Роуминг
HAP
STA
VLAN 20
1
SSID: Huawei
STA
После роуминга:
▫ STA отправляет пакеты услуг точке доступа
FAP.
▫ После получения пакетов услуг FAP
отправляет их контроллеру HAC по туннелю
CAPWAP.
44
Конфиденциальная информация
Huawei
▫ HAC пересылает пакеты услуг в сеть верхнего
43.
Роуминг уровня 2 между AC — прямаяпереадресация
HAC
Перед роумингом:
▫ STA отправляет пакеты услуг точке доступа
FAC
HAP.
▫ После получения пакетов услуг HAP
Поток
трафика
перед
роумингом
Поток
трафика
после
роуминга
FAP
VLAN 10
SSID: Huawei
STA
Роуминг
HAP
VLAN 10
SSID: Huawei
STA
пересылает их в сеть верхнего уровня через
шлюз (коммутатор).
После роуминга:
▫ STA отправляет пакеты услуг точке доступа
FAP.
▫ После получения пакетов услуг FAP
пересылает их в сеть верхнего уровня через
шлюз (коммутатор).
45
Конфиденциальная информация
Huawei
44.
Роуминг уровня 2 между AC — туннельная переадресацияПеред роумингом:
▫ STA отправляет пакеты услуг точке доступа
HAP.
HAC
FAC
▫ После получения пакетов услуг HAP
пересылает их в сеть верхнего уровня через
Поток трафика
перед
роумингом
Поток
трафика
после
роуминга
шлюз (коммутатор).
После роуминга:
HAP
VLAN 10
SSID: Huawei
Роуминг
▫ STA отправляет пакеты услуг точке доступа
STA
FAP
VLAN 10
FAP.
▫ После получения пакетов услуг FAP
SSID: Huawei
отправляет их контроллеру FAC по туннелю
STA
CAPWAP.
▫ FAC пересылает пакеты в сеть верхнего
46
Конфиденциальная информация
Huawei
уровня через коммутатор.
45.
Роуминг уровня 3 между AC — туннельная переадресацияПеред роумингом:
Туннель CAPWAP
STA отправляет пакеты услуг точке доступа
HAP.
4
3
HAC
После получения пакетов услуг HAP отправляет
их контроллеру HAC по туннелю CAPWAP.
FAC
HAC пересылает пакеты услуг в сеть верхнего
уровня через коммутатор.
2
VLAN 10
SSID: Huawei
FAP
Роуминг
HAP
STA
VLAN 20
1
После роуминга:
STA отправляет пакеты услуг точке доступа FAP.
После получения пакетов услуг FAP отправляет
их контроллеру FAC по туннелю CAPWAP.
SSID: Huawei
FAC пересылает пакеты контроллеру HAC через
туннель CAPWAP между ними.
STA
HAC пересылает пакеты услуг в сеть верхнего
уровня через коммутатор.
47
Конфиденциальная информация
Huawei
46.
Роуминг уровня 3 между AC — прямаяпереадресация (HAP в качестве домашнего агента)
Туннель CAPWAP
STA отправляет пакеты услуг точке доступа HAP.
После получения пакетов услуг HAP пересылает в
сеть верхнего уровня через коммутатор.
3
HAC
Перед роумингом:
FAC
После роуминга:
STA отправляет пакеты услуг точке доступа FAP.
После получения пакетов услуг FAP отправляет их
4
5
контроллеру FAC по туннелю CAPWAP.
2
VLAN 10
SSID: Huawei
STA
48
Конфиденциальная информация
Huawei
туннель CAPWAP между ними.
FAP
Роуминг
HAP
VLAN 20
1
HAC пересылает пакеты точке доступа HAP через
туннель CAPWAP.
SSID: Huawei
STA
FAC пересылает пакеты контроллеру HAC через
HAP пересылает пакеты в сеть верхнего уровня.
47.
Роуминг уровня 3 между AC — прямаяпереадресация (HAC в качестве домашнего агента)
Туннель CAPWAP
3
HAC
Перед роумингом:
STA отправляет пакеты услуг точке доступа HAP.
После получения пакетов услуг HAP пересылает
их в сеть верхнего уровня через коммутатор.
FAC
4
2
После роуминга:
STA отправляет пакеты услуг точке доступа FAP.
После получения пакетов услуг FAP отправляет
их контроллеру FAC по туннелю CAPWAP.
VLAN 10
SSID: Huawei
STA
49
FAP
Роуминг
HAP
Конфиденциальная информация
Huawei
туннель CAPWAP между ними.
VLAN 20
1
SSID: Huawei
STA
FAC пересылает пакеты контроллеру HAC через
HAC пересылает пакеты в сеть верхнего уровня.
48.
Конфигурация роуминга между АС:Создайте группу мобильности.
[AC-wlan-view] mobility-group name group-name
Добавьте AC-участника в группу мобильности. IP-адрес, добавленный на этом шаге, является
исходным IP-адресом AC.
[AC-mc-mg-group-name] member { ip-address ipv4-address | ipv6-address ipv6-address } [ description
description ]
50
Конфиденциальная информация
Huawei
49.
Пример настройки роуминга между ACAC1
10.1.201.100
AC2
10.1.201.200
FAC
HAP
Роуминг
HAC
STA
FAP
STA
Разверните сеть уровня 3 между HAP и HAC, а также
между FAP и FAC.
Добавьте HAC и FAC в группу мобильности, чтобы
обеспечить нормальный сервисный трафик для STA.
51
Конфиденциальная информация
Huawei
Настройте роуминг WLAN на AC1 и AC2.
[AC1-wlan-view] mobility-group name mobility
[AC1-mc-mg-mobility] member ip-address
10.1.201.100
[AC1-mc-mg-mobility] member ip-address
10.1.201.200
[AC1-mc-mg-mobility] quit
[AC2-wlan-view] mobility-group name mobility
[AC2-mc-mg-mobility] member ip-address
10.1.201.100
[AC2-mc-mg-mobility] member ip-address
10.1.201.200
[AC2-mc-mg-mobility] quit
50.
Проверка маршрута роуминга STA на ACПроверьте маршрут роуминга STA на AC после завершения роуминга STA.
<AC> display station roam-track sta-mac 28b2-bd35-4af3
Access SSID:huawei-guest1
Rx/Tx: Rx-Rate/Tx-Rate Mbps
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------L2/L3
AC IP
AP name
Radio ID
BSSID
TIME
In Rx/Tx RSSI
Out Rx/Tx RSSI
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------10.1.201.100
ap1
1
cccc-8110-2250 2020/06/18 14:09:06 130/130 -44
130/130
44
L3
10.1.201.200
ap2
1
cccc-8110-22b0 2020/06/18 14:12:24 130/6
-42
-/---------------------------------------------------------------------------------------------------------------------------------------------------------------------------Количество маршрутов роуминга: 1
52
Конфиденциальная информация
Huawei
-
51.
Вопросы1.
(Единичный выбор) Какие из следующих утверждений о туннелях CAPWAP верны?
A.
Туннели CAPWAP включают туннели данных и туннели управления.
B.
Туннель CAPWAP устанавливается на основе протокола TCP для обеспечения безопасности беспроводной
передачи данных.
C.
Во время установления туннеля CAPWAP точка доступа загружает конфигурации с контроллера доступа (AC)
после выполнения этапа данных образа (Image Data).
D.
2.
Если в сети WLAN уровня 3 поле DHCP Option 43 не настроено, AP может обнаружить AC с помощью DNS.
(Множественный выбор) Какие из следующих этапов включены в процесс перехода STA в режим
онлайн?
53
A.
Сканирование
B.
Доступ
C.
Ассоциация
D.
Аутентификация
Конфиденциальная информация
Huawei
52.
ЗаключениеCAPWAP-туннелирование — это основная технология сетевой архитектуры AC + Fit
AP. Тем, кто стремится стать специалистом в области настройки WLAN,
необходимо хорошо изучить протокол CAPWAP.
Освоение процесса присоединения точки доступа (AP) и перехода станции (STA) в
режим онлайн поможет лучше понять принципы реализации WLAN. Вы сможете
быстро устранить неисправность в случае ее возникновения.
Технология роуминга незаменима при развертывании корпоративных сетей WLAN.
Именно она обеспечивает мобильность на рабочем месте. Знакомство с
технологией роуминга поможет вам лучше планировать, проектировать и
развертывать WLAN.
54
Конфиденциальная информация
Huawei
53.
Спасибо завнимание!
把数字世界带入每个人、每个家庭、
每个组织 构建万物互联的智能世界。
Донесение цифровых данных до каждого
человека, дома и организации для полностью
взаимосвязанного интеллектуального мира.
Авторские права © Huawei Technologies Co., Ltd. 2020. Все
права защищены.
Информация, представленная в данном документе, может
содержать прогностические высказывания, включая, в том числе,
заявления о будущих результатах финансово-хозяйственной
деятельности, будущих линейках продукции, новых технологиях
и прочее. Существует ряд факторов, которые могут привести к
тому, что фактические результаты и достижения будут
отличаться от результатов, явно или косвенно описанных в
указанных прогностических высказываниях. Следовательно,
представленная информация носит справочный характер и не
является офертой или акцептом. Компания Huawei может вносить
изменения в представленную информацию в любое время без
предварительного уведомления.