中級(jí)的培訓(xùn)--WLAN產(chǎn)品設(shè)計(jì)原理和關(guān)鍵技術(shù)AC系統(tǒng)結(jié)構(gòu)設(shè)計(jì)主備通信機(jī)制業(yè)務(wù)認(rèn)證流程AC-AP間協(xié)議和接口交流提綱盒式AC設(shè)備描述盒式AC采用集成的軟硬件一體化設(shè)計(jì)，主要用于中低密度的AP接入，最多支持32K用戶接入，最大支持4G數(shù)據(jù)吞吐量。

硬件平臺(tái)CPU采用雙顆IntelXeonE53xx四核處理器，Intel5000P芯片組，前端總線速率為1333/1066MHz，最多10個(gè)千兆網(wǎng)口，支持雙直流或者雙交流冗余電源供電。盒式AC硬件架構(gòu)盒式AC的硬件具有如下特性：

采用雙IntelXeon至強(qiáng)四核處理器。

北橋芯片組采用Intel5000MCH，通過(guò)雙PCI-E4x接口提供10GE網(wǎng)絡(luò)接口。

5000P提供最大8G的內(nèi)存容量和雙SATA接口。

通過(guò)I/O擴(kuò)展芯片提供電源管理和PCI總線擴(kuò)展?？蚴紸C設(shè)備描述機(jī)框式AC采用在電信領(lǐng)域應(yīng)用廣泛的新一代主流工業(yè)計(jì)算技術(shù)--先進(jìn)電信計(jì)算平臺(tái)（ATCA），基于模塊化、高兼容性、可擴(kuò)展的硬件構(gòu)架，為業(yè)務(wù)擴(kuò)展和硬件升級(jí)提供了極大便利。

機(jī)框式AC最多可支持六片符合ATCA規(guī)范的處理板，包括四片業(yè)務(wù)板和兩片交換接口板。最大可接納128K的用戶接入，以及160G數(shù)據(jù)交換能力。其業(yè)務(wù)板類(lèi)型包括WLAN控制面處理引擎板、WLAN業(yè)務(wù)面處理板兩種。其中業(yè)務(wù)處理采用基于MIPS的多核網(wǎng)絡(luò)處理器，具有強(qiáng)大的網(wǎng)絡(luò)IO處理能力?？蚴紸C硬件架構(gòu)業(yè)務(wù)處理板硬件具有如下特性：

內(nèi)含雙路MIPS多核處理器，最多12核，每核800MHz

板內(nèi)交換芯片提供40G的交換能力。

16路GE連接至Zone3，通過(guò)后插板接入網(wǎng)絡(luò)，2路10GE連接至Fabric。

背板支持PICMG3.1規(guī)范中的Option2和Option9框式AC硬件架構(gòu)控制面處理引擎板具有如下特性：

雙Intel至強(qiáng)L5408處理器,1066MHz前端總線，12MCache

通過(guò)Intel5100/ICH9R芯片組，提供最高32G內(nèi)存容量。

雙10GEfabric接口，雙GEbase接口

雙AMC接口，可進(jìn)行4GE口或者SAS/SATA硬盤(pán)擴(kuò)展

面板提供雙USB核VGA輸出軟件平臺(tái)架構(gòu)AC的軟件可以分為：操作系統(tǒng)、平臺(tái)支撐系統(tǒng)，無(wú)線業(yè)務(wù)管理，數(shù)據(jù)交換模塊，網(wǎng)管接口五個(gè)大部分。其內(nèi)部關(guān)系如下圖所示：軟件平臺(tái)架構(gòu)操作系統(tǒng)/驅(qū)動(dòng)模塊負(fù)責(zé)為AC提供軟件基礎(chǔ)運(yùn)行環(huán)境，以及硬件管理維護(hù)接口，是整個(gè)AC的運(yùn)行基礎(chǔ)。

軟件平臺(tái)支撐負(fù)責(zé)為業(yè)務(wù)軟件提供系統(tǒng)接口封裝，為業(yè)務(wù)軟件屏蔽底層系統(tǒng)差異，提供統(tǒng)一的功能調(diào)度接口，以及業(yè)務(wù)層面的數(shù)據(jù)庫(kù)管理，設(shè)備管理等。

無(wú)線業(yè)務(wù)管理模塊，負(fù)責(zé)實(shí)現(xiàn)AC的核心業(yè)務(wù)邏輯，比如CAPWAP協(xié)議、DHCP協(xié)議等。通過(guò)該模塊實(shí)現(xiàn)AP的發(fā)現(xiàn)和接入管理、用戶接入認(rèn)證等核心功能。

數(shù)據(jù)交換模塊，負(fù)責(zé)實(shí)現(xiàn)AC數(shù)據(jù)業(yè)務(wù)的二層、三層轉(zhuǎn)發(fā)，路由協(xié)議處理、NAT協(xié)議處理、用戶流量控制等功能。是AC網(wǎng)絡(luò)數(shù)據(jù)業(yè)務(wù)的核心組件。

網(wǎng)管接口提供AC設(shè)備的遠(yuǎn)程配置管理，AC運(yùn)行狀態(tài)統(tǒng)計(jì)。網(wǎng)管接口提供2中訪問(wèn)方式，一是WEB方式，通過(guò)網(wǎng)絡(luò)瀏覽器訪問(wèn)；一是通過(guò)SNMP協(xié)議實(shí)現(xiàn)標(biāo)準(zhǔn)化的遠(yuǎn)程訪問(wèn)控制。AC系統(tǒng)結(jié)構(gòu)設(shè)計(jì)主備通信機(jī)制業(yè)務(wù)認(rèn)證流程AC-AP間協(xié)議和接口交流提綱主備基本原理AC支持1+1備份和N+1備份（N<=3）

AC主備基本原理：

a.主備AC間通過(guò)主備通道進(jìn)行心跳檢測(cè)

b.主備AC間通過(guò)VRRP技術(shù)實(shí)現(xiàn)外部接口IP地址（浮動(dòng)IP）共享

c.主備AC間配置數(shù)據(jù)進(jìn)行實(shí)時(shí)備份，主AC的配置修改后，通過(guò)主備通道實(shí)時(shí)備份到備AC1+1主備典型組網(wǎng)

以AP-AC三層組網(wǎng)，用戶數(shù)據(jù)集中轉(zhuǎn)發(fā)的組網(wǎng)模式為例，典型組網(wǎng)圖如右：

組網(wǎng)說(shuō)明：

主AC和備AC的下聯(lián)口同時(shí)接到下行WLAN匯聚交換機(jī)，用于跟AP通信

主AC和備AC的上聯(lián)口同時(shí)接到上行WLAN匯聚交換機(jī)，用于接入城域網(wǎng)3+1主備典型組網(wǎng)

組網(wǎng)說(shuō)明：

主AC1、主AC2、主AC3和備AC的下聯(lián)口同時(shí)接到下行WLAN匯聚交換機(jī)，用于跟AP通信

主AC1、主AC2、主AC3和備AC的上聯(lián)口同時(shí)接到上行WLAN匯聚交換機(jī)，用于接入城域網(wǎng)主備AC典型處理流程

主備AC間配置同步過(guò)程：

用戶通過(guò)AC-WEB或網(wǎng)管修改主AC配置后，主AC的配置數(shù)據(jù)版本號(hào)會(huì)發(fā)生變化

主AC向備AC發(fā)送的主備保活消息中攜帶主AC當(dāng)前的配置數(shù)據(jù)版本號(hào)

備AC與主AC第一次建鏈時(shí)，通過(guò)FTP從主AC下載該主AC的配置數(shù)據(jù)，保存在備AC上

備AC收到主AC發(fā)來(lái)的主備?；钕?，比較備AC上保存的該主AC配置數(shù)據(jù)版本號(hào)與保活消息中的配置數(shù)據(jù)版本號(hào)，如果不相同，則備AC發(fā)起FTP過(guò)程，從主AC下載新的數(shù)據(jù)文件

主AC故障處理過(guò)程：

備AC通過(guò)心跳檢測(cè)機(jī)制檢測(cè)到主AC故障，且備AC當(dāng)前沒(méi)有接管其它主AC，則備AC的工作狀態(tài)立即由備用轉(zhuǎn)為主用狀態(tài)，同時(shí)在接口上啟用浮動(dòng)IP

AP自動(dòng)接入到備AC

無(wú)線客戶端通過(guò)備AC獲取服務(wù)

主AC故障恢復(fù)處理過(guò)程：

備AC通過(guò)心跳檢測(cè)機(jī)制檢測(cè)到主AC故障恢復(fù)，備AC的工作狀態(tài)立即由主用轉(zhuǎn)為備用狀態(tài)，同時(shí)在接口上禁用浮動(dòng)IP

AP自動(dòng)切換連接到主AC

無(wú)線客戶端通過(guò)主AC獲取服務(wù)AC系統(tǒng)結(jié)構(gòu)設(shè)計(jì)主備通信機(jī)制業(yè)務(wù)認(rèn)證流程AC-AP間協(xié)議和接口交流提綱當(dāng)AC作為認(rèn)證點(diǎn)，網(wǎng)絡(luò)一般為集中轉(zhuǎn)發(fā)，這里也針對(duì)集中轉(zhuǎn)發(fā)，作組網(wǎng)說(shuō)明：

控制流：終端用戶無(wú)線接入過(guò)程在AP上終結(jié)，DHCP過(guò)程一般在AC上終結(jié)，PORTAL認(rèn)證過(guò)程則需要PortalServer及RadiusServer配合在AC上完成認(rèn)證過(guò)程。若用戶認(rèn)證成功，則在AC上為該用戶打開(kāi)邏輯開(kāi)關(guān)，允許用戶后續(xù)數(shù)據(jù)流通過(guò)。若用戶邏輯通道未打開(kāi)，則只允許用戶的控制面數(shù)據(jù)通過(guò)，及訪問(wèn)白名單地址。

數(shù)據(jù)流：終端用戶的數(shù)據(jù)流，經(jīng)AP后，再通過(guò)APAC隧道最終都匯聚到AC，再轉(zhuǎn)發(fā)至目的地址。AC作為認(rèn)證點(diǎn)

BRAS作為認(rèn)證點(diǎn)

BRAS作為認(rèn)證點(diǎn)

組網(wǎng)說(shuō)明：

一、本地轉(zhuǎn)發(fā)（不管控制流還是數(shù)據(jù)流，都無(wú)需匯聚至AC）：

控制流：終端用戶無(wú)線接入過(guò)程在AP上終結(jié)，DHCP過(guò)程可經(jīng)AP經(jīng)交換機(jī)直接到BRAS上終結(jié)，即由BRAS分配終端IP地址，PORTAL認(rèn)證過(guò)程則需要PortalServer及RadiusServer配合在BRAS上完成認(rèn)證過(guò)程。

數(shù)據(jù)流：終端用戶的數(shù)據(jù)流，經(jīng)AP后，不經(jīng)過(guò)AC而直接經(jīng)過(guò)交換機(jī)匯聚到BRAS，再轉(zhuǎn)發(fā)至目的地址。

二、集中轉(zhuǎn)發(fā)（控制流或數(shù)據(jù)流，都需匯聚至AC，此時(shí)，AC可作為二層交換機(jī)使用）：

控制流：終端用戶無(wú)線接入過(guò)程在AP上終結(jié)，DHCP過(guò)程可經(jīng)APAC隧道經(jīng)交換機(jī)最后到BRAS上終結(jié)，即由BRAS分配終端IP地址，PORTAL認(rèn)證過(guò)程則需要PortalServer及RadiusServer配合在BRAS上完成認(rèn)證過(guò)程。

數(shù)據(jù)流：終端用戶的數(shù)據(jù)流，經(jīng)AP后，先匯聚至AC，再經(jīng)過(guò)交換機(jī)最終匯聚到BRAS上，最后轉(zhuǎn)發(fā)至目的地址。認(rèn)證流程

認(rèn)證流程認(rèn)證流程描述用戶正常接入流程描述如下：

1建立無(wú)線連接：

1.1終端發(fā)送開(kāi)放式鑒權(quán)請(qǐng)求至AP；

1.2AP發(fā)送開(kāi)放式鑒權(quán)響應(yīng)至終端

1.3終端發(fā)送關(guān)聯(lián)請(qǐng)求至AP，攜帶了終端的無(wú)線支持能力，如速率等；

1.4AP發(fā)送關(guān)聯(lián)請(qǐng)響應(yīng)至終端，攜帶了分配給終端的關(guān)聯(lián)ID號(hào)等；

至此，終端在AP上的無(wú)線鏈路建立成功；

2注冊(cè)終端：

2.1AP發(fā)送注冊(cè)終端消息至AC，含終端MAC地址；

2.2AC發(fā)送ACK消息至AP；

3DHCP自動(dòng)獲取IP地址：

3.1終端廣播發(fā)送DHCPDiscover至網(wǎng)絡(luò)，查找DHCP服務(wù)器。

3.2AC（配置了DHCP服務(wù)功能）發(fā)送DHCPOffer至終端；

3.3終端發(fā)送DHCPRequest至AC，請(qǐng)求IP地址；

3.4AC發(fā)送DHCPAck至終端；

至此，終端成功自動(dòng)獲取到IP地址；認(rèn)證流程描述認(rèn)證流程描述5.5[CHAP認(rèn)證]AC發(fā)送ACK_CHALLENGE至PortalServer，含挑戰(zhàn)數(shù)及ReqID；

5.6PortalServer發(fā)送REQ_AUTH至AC，請(qǐng)求認(rèn)證；攜帶了用戶名及CHAP計(jì)算后的密碼；

5.7AC發(fā)送Access-Request消息至RadiusServer，攜帶了用戶名及CHAP計(jì)算后的密碼；

5.8RadiusServer發(fā)送Access-Accept消息至AC；可攜帶用戶的允許上線時(shí)長(zhǎng)，及計(jì)費(fèi)間隔；

5.9AC發(fā)送ACK_AUTH至PortalServer，攜帶了認(rèn)證結(jié)果；

5.10PortalServer發(fā)送HTTPResponse消息至終端，推送認(rèn)證成功網(wǎng)頁(yè)；

5.11PortalServer發(fā)送AFF_ACK_AUTH消息至AC；

至此，終端Portal認(rèn)證成功，可上網(wǎng)；

6開(kāi)始計(jì)費(fèi)：

6.1AC發(fā)送Accounting-Request/Start消息至RadiusServer，攜帶了用戶名及用戶IP地址等信息；

6.2RadiusServer發(fā)送Accounting-Response消息至AC；

至此，用戶面的控制流基本結(jié)束。認(rèn)證流程描述7實(shí)時(shí)計(jì)費(fèi)：

7.1AC定時(shí)發(fā)送Accounting-Request/Interim-Update消息至RadiusServer，攜帶了用戶名、用戶上線時(shí)長(zhǎng)及用戶流量等信息；

7.2RadiusServer發(fā)送Accounting-Response消息至AC；AC系統(tǒng)結(jié)構(gòu)設(shè)計(jì)主備通信機(jī)制業(yè)務(wù)認(rèn)證流程AC-AP間協(xié)議和接口交流提綱CAPWAP協(xié)議概述CAPWAP的目標(biāo)ControlAndProvisioningofWirelessAccessPointsAP集中配置和管理AP零配置：即插即用AP—AC之間接口標(biāo)準(zhǔn)化相關(guān)RFC規(guī)范rfc5415rfc5416rfc5417rfc5418rfc4564rfc4565CAPWAP報(bào)文幀結(jié)構(gòu)

CAPWAP控制報(bào)文的Discovery幀結(jié)構(gòu)，由于它完成的是查找現(xiàn)有AC的過(guò)程，此時(shí)控制隧道還未建立，所以它是所有控制報(bào)文中唯一非加密數(shù)據(jù)報(bào)文CAPWAP數(shù)據(jù)報(bào)文格式，由于它是非加密的，所以這種數(shù)據(jù)報(bào)文只能應(yīng)用在wirelesspayload內(nèi)的無(wú)線幀已做過(guò)安全加密的基礎(chǔ)之上，如（WEP、802.1X、WPA等等）具體內(nèi)容請(qǐng)參看WLAN身份驗(yàn)證和數(shù)據(jù)加密白皮書(shū)。通過(guò)CAPWAP數(shù)據(jù)隧道，上網(wǎng)用戶的無(wú)線數(shù)據(jù)在WTP中被封裝在CAPWAP數(shù)據(jù)報(bào)文里提交AC，AC負(fù)責(zé)實(shí)現(xiàn)用戶的數(shù)據(jù)轉(zhuǎn)發(fā)。AC-AP接口框架圖AC瘦AP胖APPortalServerRadiusServerOMCBASA接口A’接口O接口P接口B接口R接口STAS接口CAPWAP接口協(xié)議（A接口）瘦APACIP廣播AC發(fā)現(xiàn)協(xié)議IP廣播AC發(fā)現(xiàn)協(xié)議控制通道(TCP/UDP)AP控制管理協(xié)議控制通道(TCP/UDP)AP控制管理協(xié)議數(shù)據(jù)通道(UDP)數(shù)據(jù)封裝協(xié)議數(shù)據(jù)通道(UDP)數(shù)據(jù)封裝協(xié)議A接口是AC與瘦AP之間的接口，主要接口功能包括：瘦AP零配置：瘦AP發(fā)現(xiàn)AC、關(guān)聯(lián)AC，并自動(dòng)從AC獲得軟件版本和配置數(shù)據(jù)。瘦AP管理：AC通過(guò)管理通道完成對(duì)瘦AP的統(tǒng)一的配置、狀態(tài)查詢和管理操作。用戶接入控制：瘦AP和AC協(xié)作完成WLAN用戶的接入控制過(guò)程。無(wú)線資源管理：瘦AP和AC協(xié)作完成自動(dòng)信道規(guī)劃，自動(dòng)功率設(shè)置。并完成干擾和非法AP檢測(cè)等WIDS功能。數(shù)據(jù)轉(zhuǎn)發(fā)功能：瘦AP和AC協(xié)作完成對(duì)上下行業(yè)務(wù)數(shù)據(jù)的加解密、轉(zhuǎn)發(fā)和控制。CAPWAP主要流程基于UDP主要流程（我們的實(shí)現(xiàn)，與規(guī)范稍有出入）發(fā)現(xiàn)過(guò)程中如果多臺(tái)AC回發(fā)現(xiàn)響應(yīng)，由AP選擇一臺(tái)AC加入Joinresponse消息攜帶當(dāng)前該AP相關(guān)的配置主要流程AC發(fā)現(xiàn)流程加入流程?；盍鞒膛渲酶铝鞒虪顟B(tài)上報(bào)流程版本升級(jí)流程發(fā)現(xiàn)流程—組播發(fā)現(xiàn)方式適用場(chǎng)景：AP—AC之間二層組網(wǎng)APIP地址由AC分配典型組網(wǎng)圖：發(fā)現(xiàn)流程—組播發(fā)現(xiàn)方式組播發(fā)現(xiàn)流程：AP啟動(dòng)，通過(guò)DHCP獲取IP地址AC收到請(qǐng)求，如果允許該AP接入，則發(fā)送DiscoveryResponse，報(bào)文目的IP地址為AP的IPDiscoveryRequest消息內(nèi)容AP硬件類(lèi)型、設(shè)備型號(hào)、序列號(hào)、IP地址、當(dāng)前軟件版本號(hào)DiscoveryResponse消息內(nèi)容ACID、ACIP、分配的APID、AP目標(biāo)軟件信息AC判斷AP是否允許接入的準(zhǔn)則序列號(hào)設(shè)備型號(hào)發(fā)現(xiàn)流程—DHCPOption43發(fā)現(xiàn)方式適用場(chǎng)景：AP—AC之間三層組網(wǎng)：AP與AC的IP屬于不同網(wǎng)段匯聚交換機(jī)啟用DHCP服務(wù)，并配置Option43，AP的IP地址由匯聚交換機(jī)分配典型組網(wǎng)圖：發(fā)現(xiàn)流程—DHCPOption43發(fā)現(xiàn)方式DHCPOption43格式f104********(ACIP)f108********(ACIP1)********(ACIP2)DHCPOption43發(fā)現(xiàn)流程AP啟動(dòng)，通過(guò)DHCP獲取IP地址，網(wǎng)關(guān)，Option43AP解析Option43，獲取ACIPAP發(fā)送DiscoveryRequest，報(bào)文目的IP地址為Option43中攜帶的ACIP（單播包）AC收到請(qǐng)求，如果允許該AP接入，則發(fā)送DiscoveryResponse，報(bào)文目的IP地址為AP的IP發(fā)現(xiàn)流程—DNS發(fā)現(xiàn)方式適用場(chǎng)景：AP—AC之間三層組網(wǎng)：AP與AC的IP屬于不同網(wǎng)段匯聚交換機(jī)啟用DHCP服務(wù)，AP的IP地址由匯聚交換機(jī)分配域名服務(wù)器上配置AC域名與IP地址的映射典型組網(wǎng)圖：發(fā)現(xiàn)流程—DNS發(fā)現(xiàn)方式DNS發(fā)現(xiàn)流程AP配置AC的域名AP啟動(dòng)，通過(guò)DHCP獲取IP地址，網(wǎng)關(guān)，域名服務(wù)器IPAP發(fā)起域名解析流程，獲取AC域名對(duì)應(yīng)的IP地址AP發(fā)送DiscoveryRequest，報(bào)文目的IP地址為域名解析獲取到的IPAC收到請(qǐng)求，如果允許該AP接入，則發(fā)送DiscoveryResponse，報(bào)文目的IP地址為AP的IP發(fā)現(xiàn)流程—組合發(fā)現(xiàn)組合發(fā)現(xiàn)商用版本缺省使用組合發(fā)現(xiàn)方式發(fā)現(xiàn)流程CAPWAP控制隧道建立

AP收到DiscoveryResponse，選擇一臺(tái)AC發(fā)送joinrequestAC收到j(luò)oinrequest，AC發(fā)送joinresposne，消息中攜帶該AP相關(guān)的配置AP收到j(luò)oinresponse，解析配置，將配置生效狀態(tài)上報(bào)流程AP接入到AC后，上報(bào)AP側(cè)的狀態(tài)信息，包括：VAPBS