【WLAN從入門到精通-基礎篇】第7期——AP上線過程
【轉自】http://support.huawei.com/huaweiconnect/enterprise/thread-218201.html
話說AP家有兄弟倆,哥哥胖AP(FAT
AP)身強體健,單打獨鬥,無人能出其右,弟弟瘦AP(FIT AP)天生體質薄弱,獨自一人無法支撐大梁。有天弟弟對哥哥說:“大哥,我真是羨慕你,一個人就能輕鬆承擔無線使用者接入、使用者資料加密和轉發等功能,而我自己一人,卻什麼都幹不了啊。”哥哥說到:“弟弟莫要灰心,俗話說,天生我材必有用,雖說單打獨鬥你不是我對手,可是我的能力也僅限於小型企業、商店、SOHO辦公、家庭等這類的小型WLAN網路應用場景,對於更大的WLAN網路場景,卻是心有餘而力不足了。反觀弟弟你,若是能找到一個好的師傅(
於是FIT AP就開始了他的拜師之旅-這就是我們本次分享的內容:AP上線過程。
從前面的WLAN技術貼中,我們瞭解到了AP分胖瘦,FAT AP能夠獨自承擔無線使用者接入、使用者資料加密和轉發等功能,而FIT AP必須依賴於AC才能共同完成這些功能。AC在協同FIT AP共同工作之前,必先要實現FIT AP在AC中上線的過程。
拜師之前,FIT AP
AP獲取IP地址
一進營業廳,FIT AP就大喊一聲(廣播方式):“我要辦理一個IP地址。”這時有多位DHCP
Server的工作人員熱情回覆,“您好,來看看我這的IP地址,是否滿意。”FIT AP毫不猶豫,直接走向第一個回覆的工作人員,“好,就要你給的IP地址了。”工作人員打包好IP地址、租期日期、閘道器地址、DNS
Server的IP地址等等資訊,一起交給FIT AP,道:“請拿好,這就是您要的貨物了。”收好自己的
AP的IP地址可以是靜態配置的,也可以是通過DHCP動態獲取的。
如果是靜態配置的,AP的IP地址立即就確定了,這一步也就結束了。
如果是通過DHCP動態獲取,AP不知道誰是DHCP Server,會以廣播discovery報文的方式去發現DHCP Server,所有收到這個廣播資訊的DHCP Server都會單播offer迴應AP。AP只接收第一個到達的offer,並廣播request告訴所有人,我已經選擇好了一個DHCP Server了,其他人不需要再準備為我提供DHCP Server服務了。AP選擇的DHCP Server會把AP的IP地址、租期日期、閘道器地址、DNS Server的IP地址等資訊用ACK報文反饋給AP。值得注意的是這個ACK報文裡面有個option43欄位,裡面可以用來填充AC的IP地址。作用就是直接告訴AP有AC的IP地址可用。具體在後面的AP發現AC階段中描述其作用。
有的時候AP與DHCP Server不在同一個VLAN中,AP通過廣播discovery報文不能直接發現DHCP Server,這個時候,可以通過DHCP Relay來發現DHCP Server。AP獲取IP地址的流程就變成了下面的樣子:
AP原來只需要直接和DHCP Server交流,現在變成了和DHCP Relay直接交流,由DHCP Relay將AP的請求單播給DHCP Server,DHCP Server回覆給AP的訊息也要通過DHCP Relay來轉達。
Ps:具體的DHCP客戶端和伺服器的互動過程本帖不做過多的介紹,本帖僅關注AP上線的關鍵過程。可以參考DHCP特性的原理描述來了解詳細過程。
聯絡方式既然已經獲取到,下一步就是要尋找師傅了。
AP發現AC
這個時候AP突然想起,DHCP Server營業廳的工作人員給過自己一份廣告傳單。上書“你想升職加薪,當上總經理,出任CEO,贏取白富美,走上人生巔峰嗎!趕緊撥打我們的電話,成為我們大企業WLAN的一份子吧,圓你美夢。機不可失,時不再來,名師在向您招手”。原來是一份招聘廣告,上面還有一位AC師傅的號碼(Option43)。AP深吸一口氣,平復一下略微緊張的心情,撥通了傳單上的師傅電話。
想象中的場景沒有出現,而是
對方的電話一直沒有人接聽,AP感到一陣失望,但並未氣餒。既然此路不通,只好找其它方法了。有了,AP腦中靈光一閃,迅速坐到電腦前,開啟AC師傅招收學徒的網頁,註冊了個賬號,填寫一份簡歷,然後群發了出去。很快AP就收到了來自多個AC的回覆,AP根據各個AC師傅的特點,仔細對比,選擇出了一個最適合自己的AC,準備拜師。
靜態方式
AP上是支援靜態配置AC的IP地址的,如果靜態配置了AC的IP地址,AP就會向所有配置的AC單播發送發現請求報文,然後根據AC的回覆,根據優先順序,選擇一個AC,準備進行下一個階段的建立CAPWAP隧道。
動態方式
如果AP上沒有配置AC的IP地址,AP會根據當前的情況來決定是使用單播方式還是廣播方式來發現AC。
首先,AP會檢視AP獲取IP地址階段中DHCP Server回覆的ACK報文中的option43欄位是否存在AC的IP地址,這個欄位是可選擇配置的,如果有AC的IP地址,AP就會向這個地址單播發送發現請求報文。在AC和網路都正常的情況下,AC會迴應AP的請求,至此,AP就完成了發現AC的過程。我們可以把這種發現AC的方式稱為DHCP方式。
與DHCP方式類似的還有DNS方式,與DHCP方式不同的是,DNS方式中,DHCP Server回覆的ACK報文中存放的不是AC的IP地址,而是AC的域名和DNS伺服器的IP地址,並且報文中攜帶的option15欄位用來存放AC的域名,AP先通過獲取的域名和DNS伺服器進行域名解析,獲取AC IP地址,然後向AC單播發送發現請求。之後的過程就和DHCP方式一致了。
無論是DHCP方式還是DNS方式,都是屬於單播方式,AP都是傳送的單播報文給AC。
如果AP上沒有配置靜態的AC IP地址、DHCP Server回覆的ACK報文中沒有AC的資訊、或者AP單播發送的發現請求報文都沒有響應,此時AP就會通過廣播報文來發現AC。和AP處於同一個網段的所有AC都會響應AP的請求,AP會選擇優先順序最高的AC來作為待關聯的AC,如果優先順序相同,則繼續比較AC的負載,負載輕的作為待關聯AC,如果負載也相同,則選擇IP地址小的作為待關聯AC。然後準備進行下一階段的CAPWAP隧道建立。
Ps:Option 43在AC和AP間的網路是二層的場景下,存在的作用不明顯,因為通過單播發現不了AC,可以再次通過廣播來發現,但是如果AC和AP間的網路是三層的,廣播報文是無法直接傳遞到AC的,所以必須要通過Option43來告知AP要找的AC是哪個。
CAPWAP隧道建鏈
雖然有點小困難,但最終還是找到了師傅,AC師傅看到AP後,直言道:“當今的社會,大家都非常注意資訊保安,你我之間的談話內容和下發的工作資訊,我不希望被其他有心人聽取到,所以今後我們之間的交流方式要加一套保險措施。”AP略一思索,覺得也有道理,便問道:“什麼保險措施能夠起到有效的保障呢?”。師傅捋了捋自己的長鬚,得意的道:“CAPWAP隧道”
CAPWAP全稱是Control And Provisioning of Wireless Access Points,中文名叫無線接入點控制與規範,CAPWAP是由RFC5415協議定義的實現AP和AC之間的互通的通用封裝和傳輸機制。CAPWAP隧道又細分為控制隧道和資料隧道。控制隧道是用來傳輸AC管理控制AP的報文、業務配置以及AC與AP間的狀態維護報文;資料隧道則只有在隧道轉發(又稱集中轉發)方式下才用來傳輸業務資料。
AP發現了AC後,就可以開始CAPWAP隧道的建立了。
AP接入控制
接下來,到了考驗AP入門資格的時候了,不是每一個AP都是符合入門要求的AP。在AP提出要拜師的想法後,為了保證入門AP的合法性,防止有外人或間諜(非法AP)混入,AC師傅設定了一系列的考核要求進行檢驗,AP必須過五關斬六將,才能最終通過考驗,拜入AC門下。鑑於AP是帶藝投師,AC還要驗證AP的內功(AP版本)是否與本門是一個路數,是否和本門武功相沖。
AP在找到AC後,會向AC傳送加入請求,(如果配置了CAPWAP隧道的DTLS加密功能,會先建立DTLS鏈路,此後CAPWAP控制報文都要進行DTLS加解密。)請求的內容中會包含AP的版本和胖瘦模式資訊。AC收到AP的加入請求後,會判斷是否允許AP接入,然後AC進行迴應。如果AC上有對應的升級配置,則AC還會在迴應的報文中攜帶AP的版本升級資訊(升級版本、升級方式等)。
AC判斷AP是否能夠接入的流程:
第一關,首先檢視AP是否被列入了黑名單,如果在黑名單中能匹配上AP,則不允許AP接入,然後就沒有然後了。如果很幸運,沒有匹配上黑名單,那麼將進入第二關。
第二關,判斷AP的認證模式,如果AC上對AP上線要求不嚴格,認證方式為不認證,則到這一關的AP都將闖關成功,允許接入。實際使用場景還是建議使用MAC或SN認證,嚴格控制AP的接入。如果是MAC或SN認證,還需要繼續闖關。
第三關,本關MAC或SN認證分別要驗證MAC或SN對應的AP是否離線新增,如果已新增,則允許AP接入,否則進入下一關。
第四關,檢視AP的MAC或SN是否能在白名單中匹配上,如果匹配上,則允許接入,否則AP被放入到未認證列表中。
第五關,未認證列表中的AP可以通過手動配置的方式,允許其接入,如果不對其進行手動確認,AP也無法接入。
AP版本升級
AC收下AP為徒後,遞給AP一本本門的內功心法要求,AP開啟一看,發現自己所學的內功心法(AP版本)竟然與師傅所要求的相沖,AP一咬牙,不破不立,毅然散去所學內功,重修本門的心法。
AP收到前一階段AC迴應的報文後,如果發現裡面有指定了AP的版本,並且指定的版本與AP當前的版本不一致,會進行AP版本升級。升級完成後,AP