中级培训WLAN产品设计原理和关键技术.ppt
《中级培训WLAN产品设计原理和关键技术.ppt》由会员分享,可在线阅读,更多相关《中级培训WLAN产品设计原理和关键技术.ppt(43页珍藏版)》请在冰豆网上搜索。
WLAN产品设计和关键技术,中国自主知识产权,寰创通信WLAN中级培训教材,AC系统结构设计主备通信机制业务认证流程AC-AP间协议和接口,交流提纲,盒式AC设备描述,盒式AC采用集成的软硬件一体化设计,主要用于中低密度的AP接入,最多支持32K用户接入,最大支持4G数据吞吐量。
硬件平台CPU采用双颗IntelXeonE53xx四核处理器,Intel5000P芯片组,前端总线速率为1333/1066MHz,最多10个千兆网口,支持双直流或者双交流冗余电源供电。
盒式AC硬件架构,盒式AC的硬件具有如下特性:
采用双IntelXeon至强四核处理器。
北桥芯片组采用Intel5000MCH,通过双PCI-E4x接口提供10GE网络接口。
5000P提供最大8G的内存容量和双SATA接口。
通过I/O扩展芯片提供电源管理和PCI总线扩展。
框式AC设备描述,机框式AC采用在电信领域应用广泛的新一代主流工业计算技术-先进电信计算平台(ATCA),基于模块化、高兼容性、可扩展的硬件构架,为业务扩展和硬件升级提供了极大便利。
机框式AC最多可支持六片符合ATCA规范的处理板,包括四片业务板和两片交换接口板。
最大可接纳128K的用户接入,以及160G数据交换能力。
其业务板类型包括WLAN控制面处理引擎板、WLAN业务面处理板两种。
其中业务处理采用基于MIPS的多核网络处理器,具有强大的网络IO处理能力。
框式AC硬件架构,业务处理板硬件具有如下特性:
内含双路MIPS多核处理器,最多12核,每核800MHz板内交换芯片提供40G的交换能力。
16路GE连接至Zone3,通过后插板接入网络,2路10GE连接至Fabric。
背板支持PICMG3.1规范中的Option2和Option9,框式AC硬件架构,控制面处理引擎板具有如下特性:
双Intel至强L5408处理器,1066MHz前端总线,12MCache通过Intel5100/ICH9R芯片组,提供最高32G内存容量。
双10GEfabric接口,双GEbase接口双AMC接口,可进行4GE口或者SAS/SATA硬盘扩展面板提供双USB核VGA输出,软件平台架构,AC的软件可以分为:
操作系统、平台支撑系统,无线业务管理,数据交换模块,网管接口五个大部分。
其内部关系如下图所示:
软件平台架构,操作系统/驱动模块负责为AC提供软件基础运行环境,以及硬件管理维护接口,是整个AC的运行基础。
软件平台支撑负责为业务软件提供系统接口封装,为业务软件屏蔽底层系统差异,提供统一的功能调度接口,以及业务层面的数据库管理,设备管理等。
无线业务管理模块,负责实现AC的核心业务逻辑,比如CAPWAP协议、DHCP协议等。
通过该模块实现AP的发现和接入管理、用户接入认证等核心功能。
数据交换模块,负责实现AC数据业务的二层、三层转发,路由协议处理、NAT协议处理、用户流量控制等功能。
是AC网络数据业务的核心组件。
网管接口提供AC设备的远程配置管理,AC运行状态统计。
网管接口提供2中访问方式,一是WEB方式,通过网络浏览器访问;一是通过SNMP协议实现标准化的远程访问控制。
AC系统结构设计主备通信机制业务认证流程AC-AP间协议和接口,交流提纲,主备基本原理,AC支持1+1备份和N+1备份(N=3)AC主备基本原理:
a.主备AC间通过主备通道进行心跳检测b.主备AC间通过VRRP技术实现外部接口IP地址(浮动IP)共享c.主备AC间配置数据进行实时备份,主AC的配置修改后,通过主备通道实时备份到备AC,1+1主备典型组网,以AP-AC三层组网,用户数据集中转发的组网模式为例,典型组网图如右:
组网说明:
主AC和备AC的下联口同时接到下行WLAN汇聚交换机,用于跟AP通信主AC和备AC的上联口同时接到上行WLAN汇聚交换机,用于接入城域网,3+1主备典型组网,组网说明:
主AC1、主AC2、主AC3和备AC的下联口同时接到下行WLAN汇聚交换机,用于跟AP通信主AC1、主AC2、主AC3和备AC的上联口同时接到上行WLAN汇聚交换机,用于接入城域网,主备AC典型处理流程,主备AC间配置同步过程:
用户通过AC-WEB或网管修改主AC配置后,主AC的配置数据版本号会发生变化主AC向备AC发送的主备保活消息中携带主AC当前的配置数据版本号备AC与主AC第一次建链时,通过FTP从主AC下载该主AC的配置数据,保存在备AC上备AC收到主AC发来的主备保活消息,比较备AC上保存的该主AC配置数据版本号与保活消息中的配置数据版本号,如果不相同,则备AC发起FTP过程,从主AC下载新的数据文件主AC故障处理过程:
备AC通过心跳检测机制检测到主AC故障,且备AC当前没有接管其它主AC,则备AC的工作状态立即由备用转为主用状态,同时在接口上启用浮动IPAP自动接入到备AC无线客户端通过备AC获取服务主AC故障恢复处理过程:
备AC通过心跳检测机制检测到主AC故障恢复,备AC的工作状态立即由主用转为备用状态,同时在接口上禁用浮动IPAP自动切换连接到主AC无线客户端通过主AC获取服务,AC系统结构设计主备通信机制业务认证流程AC-AP间协议和接口,交流提纲,当AC作为认证点,网络一般为集中转发,这里也针对集中转发,作组网说明:
控制流:
终端用户无线接入过程在AP上终结,DHCP过程一般在AC上终结,PORTAL认证过程则需要PortalServer及RadiusServer配合在AC上完成认证过程。
若用户认证成功,则在AC上为该用户打开逻辑开关,允许用户后续数据流通过。
若用户逻辑通道未打开,则只允许用户的控制面数据通过,及访问白名单地址。
数据流:
终端用户的数据流,经AP后,再通过APAC隧道最终都汇聚到AC,再转发至目的地址。
AC作为认证点,BRAS作为认证点,BRAS作为认证点,组网说明:
一、本地转发(不管控制流还是数据流,都无需汇聚至AC):
控制流:
终端用户无线接入过程在AP上终结,DHCP过程可经AP经交换机直接到BRAS上终结,即由BRAS分配终端IP地址,PORTAL认证过程则需要PortalServer及RadiusServer配合在BRAS上完成认证过程。
数据流:
终端用户的数据流,经AP后,不经过AC而直接经过交换机汇聚到BRAS,再转发至目的地址。
二、集中转发(控制流或数据流,都需汇聚至AC,此时,AC可作为二层交换机使用):
控制流:
终端用户无线接入过程在AP上终结,DHCP过程可经APAC隧道经交换机最后到BRAS上终结,即由BRAS分配终端IP地址,PORTAL认证过程则需要PortalServer及RadiusServer配合在BRAS上完成认证过程。
数据流:
终端用户的数据流,经AP后,先汇聚至AC,再经过交换机最终汇聚到BRAS上,最后转发至目的地址。
认证流程,认证流程,认证流程描述,用户正常接入流程描述如下:
1建立无线连接:
1.1终端发送开放式鉴权请求至AP;1.2AP发送开放式鉴权响应至终端1.3终端发送关联请求至AP,携带了终端的无线支持能力,如速率等;1.4AP发送关联请响应至终端,携带了分配给终端的关联ID号等;至此,终端在AP上的无线链路建立成功;2注册终端:
2.1AP发送注册终端消息至AC,含终端MAC地址;2.2AC发送ACK消息至AP;3DHCP自动获取IP地址:
3.1终端广播发送DHCPDiscover至网络,查找DHCP服务器。
3.2AC(配置了DHCP服务功能)发送DHCPOffer至终端;3.3终端发送DHCPRequest至AC,请求IP地址;3.4AC发送DHCPAck至终端;至此,终端成功自动获取到IP地址;,认证流程描述,4强制到PortalServer:
4.1终端访问网页,如,即发送HTTPRequest至AC4.2AC检测到该终端用户未通过认证,则发送HTTP重定向消息至终端,重定向地址为配置的PortalServer地址;4.3终端访问重定向地址4.4由于PortalServer地址是在AC的白名单地址集中,故允许终端访问,AC发送HTTPResponse消息至终端;至此,未通过认证的终端访问任意网页,都将被强制到PortalServer上;5Portal认证:
5.1终端在强制网页上,填写用户名及密码提交,则将采用HTTPs经AC递交用户名及密码至PortalServer。
虽然用户名及密码数据流,经过AC,但被HTTPs加密,故只有PortalServer知道用户名及密码。
5.2PortalServer发送UserInfoRequest至RadiusServer,消息中携带用户名及密码;5.3RadiusServer检查用户名及密码,发送UserInfoResponse至PortalServer,携带了检查结果;5.4CHAP认证PortalServer发送REQ_CHALLENGE至AC,请求挑战数;携带了用户IP地址;,认证流程描述,5.5CHAP认证AC发送ACK_CHALLENGE至PortalServer,含挑战数及ReqID;5.6PortalServer发送REQ_AUTH至AC,请求认证;携带了用户名及CHAP计算后的密码;5.7AC发送Access-Request消息至RadiusServer,携带了用户名及CHAP计算后的密码;5.8RadiusServer发送Access-Accept消息至AC;可携带用户的允许上线时长,及计费间隔;5.9AC发送ACK_AUTH至PortalServer,携带了认证结果;5.10PortalServer发送HTTPResponse消息至终端,推送认证成功网页;5.11PortalServer发送AFF_ACK_AUTH消息至AC;至此,终端Portal认证成功,可上网;6开始计费:
6.1AC发送Accounting-Request/Start消息至RadiusServer,携带了用户名及用户IP地址等信息;6.2RadiusServer发送Accounting-Response消息至AC;至此,用户面的控制流基本结束。
认证流程描述,7实时计费:
7.1AC定时发送Accounting-Request/Interim-Update消息至RadiusServer,携带了用户名、用户上线时长及用户流量等信息;7.2RadiusServer发送Accounting-Response消息至AC;,AC系统结构设计主备通信机制业务认证流程AC-AP间协议和接口,交流提纲,CAPWAP协议概述,CAPWAP的目标ControlAndProvisioningofWirelessAccessPointsAP集中配置和管理AP零配置:
即插即用APAC之间接口标准化,相关RFC规范rfc5415rfc5416rfc5417rfc5418rfc4564rfc4565,CAPWAP报文帧结构,CAPWAP控制报文的Discovery帧结构,由于它完成的是查找现有AC的过程,此时控制隧道还未建立,所以它是所有控制报文中唯一非加密数据报文,CAPWAP数据报文格式,由于它是非加密的,所以这种数据报文只能应用在wirelesspayload内的无线帧已做过安全加密的基础之上,如(WEP、802.1X、WPA等等)具体内容请参看WLAN身份验证和数据加密白皮书。
通过CAPWAP数据隧道,上网用户的无线数据在WTP中被封装在CAPWAP数据报文里提交AC,AC负责实现用户的数据转发。
AC-AP接口框架图,CAPWAP接口协议(A接口),A接口是AC与瘦AP之间的接口,主要接口功能包括:
瘦AP零配置:
瘦AP发现AC、关联AC,并自动从AC获得软件版本和配置数据。
瘦AP管理:
AC通过管理通道完成对瘦AP的统一的配置、状态查
升级会员 