《華為WLAN深度資料CAPWAP隧道.pptx》由會員分享，可在線閱讀，更多相關《華為WLAN深度資料CAPWAP隧道.pptx（36頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、華為WLAN深度資料-CAPWAP隧道 1 目錄 總體介紹 1 組網(wǎng)場景 2 原理介紹 3 性能對比 4 2 CAPWAP協(xié)議背景緣何而來 AC+瘦AP組網(wǎng)架構，可以實現(xiàn)： 1）集中可視化管控 2）降低運維成本 3）對用戶實現(xiàn)精細化策略管理 4）支持認證計費場景，不同層面保證企業(yè)數(shù)據(jù)安全 5）增值業(yè)務能力：可擴展更多豐富業(yè)務（BYOD、Bonjour、 視頻回傳 ） 6）適合中大規(guī)模組網(wǎng)場景 在此應用背景下 CAPWAP協(xié)議Control and Provisioning of Wireless Access Points，用于AC與AP通信的協(xié)議規(guī)范也應運而生 解決方案 企業(yè)級用戶部署AP的

2、數(shù)量會非常龐大，對集中運維管控、安全 性提出了更高的要求。 傳統(tǒng)胖AP組網(wǎng)已經(jīng)難于滿足需求： 1）自治管理，安全無法保證； 2）實現(xiàn)不了精細化的用戶管控； 3）大批量部署難度高； 4）只適合SOHO級小規(guī)模組網(wǎng)。 客戶痛點 AC+瘦AP的組網(wǎng)架構 3 CAPWAP協(xié)議背景去粕取精 LWAPP (Lightweight Access Point Protocol) 提出廠家：Cisco 具有完整的協(xié)議框架 定義了詳細的報文結構和TLV元素 數(shù)據(jù)沒有加密 提出廠家：Aruba 支持橋接 DTLS加密是其亮點 CTP/WiCoP ( CAPWAP Tunneling Protocol / Wirel

3、ess LAN Control Protocol ) 提出廠家：Siemens/Panasonic 實現(xiàn)了集中式WLAN體系結構基本需求 安全標準考慮不夠全面 CAPWAP SLAPP (Secure Light Access Point Protocol) 4 CAPWAP協(xié)議介紹無線接入點控制和規(guī)范 AP發(fā)現(xiàn)AC 鏈路建立 配置管理 數(shù)據(jù)轉發(fā) 控制/數(shù)據(jù)通道建立（UDP端口號：5246/5247） 多種配置管理業(yè)務下發(fā)、批量升級AP 控制報文DTLS加密 多種用戶業(yè)務流量CAPWAP數(shù)據(jù)隧道轉發(fā) 協(xié)議內容 數(shù)據(jù)報文DTLS加密 5 目錄 總體介紹 1 組網(wǎng)場景 2 原理介紹 3 性能對比

4、4 6 AC直連式組網(wǎng)-流量集中轉發(fā) 接入側 匯聚側服務器側 AC eSight Policy Center 室分型AP 放裝型AP Internet Internet n適用于需要AC承擔用戶網(wǎng)關、 用戶策略管理、認證計費網(wǎng)關、 DHCP服務器等角色的場景 n用戶數(shù)據(jù)及認證由AC集中處理 nAP/AC支持跨二、三層組網(wǎng) nAP、用戶DHCP服務器 nAP參數(shù)統(tǒng)一配置 n用戶策略統(tǒng)一配置 n用戶認證控制點 nPolicy Center Portal認證服務器 Radius服務器 MAC認證服務器 PPPoE服務器 nAC Web頁面網(wǎng)管 neSight AC/AP網(wǎng)管 AP位置拓撲顯示 應用場

5、景AC部署用戶認證網(wǎng)絡管理 接入交換機 室外AP 用戶認證 用戶數(shù)據(jù) CAPWAP控制隧道 CAPWAP數(shù)據(jù)隧道 配置信息 7 AC旁掛式組網(wǎng)-流量本地轉發(fā) 接入側匯聚側 服務器側 AC eSight Policy Center 室分型AP 放裝型AP 本地網(wǎng)絡 接入交換機 室外AP 用戶認證 用戶數(shù)據(jù) 本地網(wǎng)絡 n適用于用戶數(shù)據(jù)可由本地網(wǎng)絡直接轉發(fā)的場 景，如分支辦公網(wǎng)絡。節(jié)省AP/AC間鏈路帶寬 n用戶網(wǎng)關和DHCP服務器均在本地網(wǎng)絡中 n本地轉發(fā)用戶認證可由AC集中處理 nAP/AC支持跨二、三層組網(wǎng) nAP DHCP服務器 nAP參數(shù)統(tǒng)一配置 n用戶策略統(tǒng)一配置 n用戶認證控制點 nP

6、olicy Center Portal認證服務器 Radius服務器 MAC認證服務器 PPPoE服務器 nAC Web頁面網(wǎng)管 neSight AC/AP網(wǎng)管 AP位置拓撲顯示 應用場景AC部署 用戶認證網(wǎng)絡管理 CAPWAP控制隧道 CAPWAP數(shù)據(jù)隧道 配置信息 8 AC靈活組網(wǎng)-混合組網(wǎng)模式 接入側 匯聚側 服務器側 AC eSight Policy Center 室分型AP 放裝型AP 本地網(wǎng)絡 接入交換機 室外AP 用戶認證 分支 用戶數(shù) 據(jù) 本地網(wǎng)絡 總部網(wǎng)絡 總部用戶數(shù)據(jù) 總部網(wǎng)絡 n適用于用戶數(shù)據(jù)混合組網(wǎng)場景，可實現(xiàn) 按AP轉發(fā)和按SSID轉發(fā)。如總部使用集中 轉發(fā)模式，分支

7、辦公網(wǎng)絡使用本地轉發(fā)模式 n兩種模式下的用戶認證均由AC集中處理 nAP/AC支持跨二、三層組網(wǎng) nAP DHCP服務器 n集中轉發(fā)用戶DHCP 服務器 nAP參數(shù)統(tǒng)一配置 n用戶策略統(tǒng)一配置 n用戶認證控制點 nPolicy Center Portal認證服務器 Radius服務器 MAC認證服務器 PPPoE服務器 nAC Web頁面網(wǎng)管 neSight AC/AP網(wǎng)管 AP位置拓撲顯示 應用場景AC部署用戶認證網(wǎng)絡管理 CAPWAP控制隧道 CAPWAP數(shù)據(jù)隧道 配置信息 9 目錄 總體介紹 1 組網(wǎng)場景 2 原理介紹 3 性能對比 4 10 CAPWAP隧道 幀結構 CAPWAP頭結構

8、 CAPWAP報文結構（未DTLS加密） IP頭+UDP頭+CAPWAP頭+無線數(shù)據(jù) CAPWAP報文結構（DTLS加密） IP頭+UDP頭+DTLS頭+CAPWAP頭+無線數(shù)據(jù) +DTLS尾 11 CAPWAP隧道建立 總體視圖 12 CAPWAP隧道建立 DHCP階段 在DHCP ack報文中攜帶: APIP地址 租期時間 【可選】通過option 43攜帶AC IP list，用于AP CAPWAP單播發(fā)現(xiàn)AC 【可選】通過option 15攜帶DNS服務器域名 13 CAPWAP隧道建立 Discovery階段 AP CAPWAP發(fā)現(xiàn)AC 單播發(fā)現(xiàn)（根據(jù)DHCP ACK回的AC IP

9、list或從DNS服務器獲取的AC IP地址 發(fā)送單播報文）L2/L3網(wǎng)絡 廣播發(fā)現(xiàn)（當沒有AC IP list或單播沒有回應時發(fā)送廣播報文）L2網(wǎng)絡 AC 收到discover request 分配鏈路號(LinkID)AP IP + AP UDP Port 唯一標示該鏈路 遷移狀態(tài)機狀態(tài) AP決策選擇AC的因素（當收到多個AC回應的discover response時） AC的優(yōu)先級 AC上當前AP個數(shù) 14 CAPWAP隧道建立 DTLS階段（可選） DTLS建鏈 DTLS加解密（控制報文） 加密若開啟：從join開始的CAPWAP控制報文都會經(jīng)過DTLS加解密 DTLS數(shù)據(jù)報文加解密：

10、當前不支持 15 CAPWAP隧道建立 Join階段 AP 發(fā)送join request 當AP決策選擇AC后（有DTLS時先建立DTLS鏈路）開始join階段 攜帶AP版本信息、MAC信息、胖瘦模式信息等 AC 收到join request 黑白名單校驗 遷移狀態(tài)并回應join response（攜帶期望AP使用的版本信息） AP 收到join response 根據(jù)AP版本信息看是否需要在線加載AP版本，并遷移到對應狀態(tài) 16 CAPWAP隧道建立 Image data（可選） AP根據(jù)join response中攜帶的AP版本在AP flash中不存在，則開始升級 升級方式：FTP 升級

11、（推薦）和 AC升級 升級粒度：基于AP域、AP類型、單個AP三種粒度升級 AP升級成功后，重新啟動，重新建立CAPWAP鏈路 17 CAPWAP隧道建立 Configure階段 對AP現(xiàn)有配置和AC設定的配置做匹配檢查 目前此階段沒有下發(fā)配置，都是在run狀態(tài)之后統(tǒng)一下發(fā) 18 CAPWAP隧道建立 Data Check階段 Data check階段 發(fā)送change state event request（攜帶錯誤碼等信息） Data check后，標志管理隧道已經(jīng)建立完畢，進入Run狀態(tài) 19 CAPWAP隧道維護 Run階段 AP發(fā)送數(shù)據(jù)心跳報文，AC收到后標志數(shù)據(jù)隧道建立，AP進入n

12、ormal狀態(tài) 數(shù)據(jù)心跳報文，定期發(fā)送（默認25s），用于檢測數(shù)據(jù)鏈路是否正常 AP控制心跳報文，定期發(fā)送（默認25s），用于檢測控制鏈路是否正常 20 CAPWAP隧道支持靜態(tài)多級NAT穿越 nPAT：多對1轉換，例如 192.168.0.2: 4444 - 202.116.100.5: 50003 192.168.0.3: 5555 - 202.116.100.5: 50004 192.168.0.7: 1233 - 202.116.100.5: 50005 nNAT：1對1轉換，例如 192.168.0.2: 4444 - 202.116.100.5: 4444 192.168.0.3:

13、 5555 - 202.116.100.6: 5555 192.168.0.7: 1233 - 202.116.100.5: 1233 21 CAPWAP備份 1+1熱備(HSB +VRRP) 主AC eSight Policy Center 備AC HSB備份通道 用戶 用戶 1 2 3 接入交換機 AP HSB業(yè)務實時備份 n用戶數(shù)據(jù)信息備份 nCAPWAP隧道信息備份 nAP表項備份 1+1熱備切換檢測 AP/AC間鏈路檢測 AC整機之間檢測 AC上行鏈路檢測 VRRP熱備機制 nAC地址虛擬：面向AP,主備AC使用VRRP 協(xié)議虛擬出一個AC地址 n上下行鏈路監(jiān)控：監(jiān)控指定接口狀態(tài)，上

14、 下行鏈路監(jiān)控均支持BFD+VRRP 22 CAPWAP備份1+1熱備(HSB +雙鏈路) 主AC eSight Policy Center 備AC HSB備份通道 用戶 用戶 2 接入交換機 AP 1+1熱備切換檢測 AP/AC間CAPWAP鏈路狀態(tài)檢測 AC整機之間檢測 HSB業(yè)務實時備份 n用戶數(shù)據(jù)信息備份 nCAPWAP隧道信息備份 nAP表項備份 CAPWAP雙鏈路機制 nAP分別與主備AC建立CAPWAP隧道， 通過AC優(yōu)先級確立主備AC n負載均衡：AC優(yōu)先級相同的情況下，根 據(jù)AC負載（AP和STA個數(shù)）確立主備AC n雙鏈路熱備相對于雙鏈路冷備優(yōu)勢：備 AC存在用戶信息，用戶

15、不掉線，而冷備用 戶要重新關聯(lián)AP上線 CAPWAP主鏈路 CAPWAP備鏈路 1 23 CAPWAP備份1+1冷備(雙鏈路) 1.AC 1 工作在主用狀態(tài)，并為AP1、AP2提供服務；AC2工作在備用狀態(tài)，各AP通過備用信道鏈路連接到AC2 。 2.主備AC之間不存在任何形式的用戶狀態(tài)或數(shù)據(jù)同步 3.當AP檢測到AC1故障時，觸發(fā)主備切換(由主AC1切換到備AC2)，AP和AC2之間的CAPWAP隧道立即由備用 轉為主用。 4.當AC1恢復連接后，根據(jù)配置，AC1保持在備用狀態(tài)或者回切到主用狀態(tài)。 ACAC AP1 AP2 Active Tunnel Standby Tunnel AC1AC

16、2 24 1.AC1作為AP1的主AC，同時作為AP2的備AC；AC2作為AP2的主AC，同時作為AP1的備AC。 2.該場景是對“1+1”場景的補充，在“1+1”場景的AC間負載均衡控制中是看AP接入時刻的AC負載 情況，決定AC是否能夠成為該AP的主AC，是無法控制的。“N+N”需要實現(xiàn)對AC間的負載均衡進行 控制。即能夠控制一部分AP使用AC1作為主AC，另外一部分AP使用AC2作為主AC。 3.當AC1或者AC2 down后，AP能夠切換到另外一個AC上。 ACAC AP1 AP2 Active for AP1Active for AP2 Standby for AP2 AC1 AC2

17、 Standby for AP1 CAPWAP備份N+N冷備(雙鏈路) 25 1.AC1作為AP1的主AC，AC2作為AP2的主AC，AC3既作為AP1的備AC，同時也作為AP2的備AC。 2.該場景中需要AC3實現(xiàn)對不同的AP區(qū)分不同的主AC。當AC1或者AC2 down后，對應的AP能夠切換 到AC3上。 ACAC AP1 AP2 Active for AP1 Standby for AP1&Ap2 AC1 AC2 AC Backup AC3 Active for AP2 CAPWAP備份N+1冷備(雙鏈路) 26 CAPWAP斷鏈業(yè)務保持 內部網(wǎng)絡 在線用戶 新用戶 AP 交換機 AC

18、1 2 新用戶上線 AP 用戶數(shù) 據(jù) CAPWAP斷鏈業(yè)務保持 nCAPWAP鏈路中斷后，在線用 戶業(yè)務不中斷，數(shù)據(jù)持續(xù)轉發(fā) CAPWAP斷鏈新用戶上線 nAP無線側安全策略為開放系統(tǒng)認 證、共享密鑰認證（WEP）和 WPA/WPA2時，新上線用戶可接入上 線。用戶數(shù)據(jù)通過本地轉發(fā)模式轉發(fā)。 在線用戶業(yè)務不中斷 應用場景 n對于沒有AC備份的小型無線網(wǎng) 絡，業(yè)務續(xù)航模式可保證用戶數(shù)據(jù) 轉發(fā)不中斷，提升業(yè)務可靠性。 27 目錄 總體介紹 1 組網(wǎng)場景 2 原理介紹 3 性能對比 4 6 28 華為AP領先的本地轉發(fā)模式-解決安全問題 客戶問題： 集中轉發(fā) 端口容量限制：由于客戶現(xiàn)網(wǎng)環(huán)境限制，三層

19、交換 機能提供給AC的端口容量有限，無法承載所有的無線數(shù)據(jù)流 量，解決辦法是讓用戶業(yè)務報文在AP本地轉發(fā)，不再集中到 AC轉發(fā)； 安全策略集中控制，本地轉發(fā)安全無法保證：在AP本地轉發(fā) 模式下，數(shù)據(jù)流不經(jīng)過AC，AC無法進行安全控制，導致客 戶網(wǎng)絡安全難以保證； 華為特色方案： 整體方案：安全策略在AC上統(tǒng)一配置，在本地轉發(fā)模式下由 AC下發(fā)， AP執(zhí)行：如AP支持DHCP snooping，動態(tài)生成 綁定表項，動態(tài)下發(fā)DAI、IP Source Guard的安全策略，防 止ARP、仿冒源IP及私設DHCP server的攻擊； 一次配置，自動管理用戶Mobility：在AC上配置DHCP安全

20、 功能，自動收集綁定表，動態(tài)下發(fā)安全策略，實現(xiàn)安全策略 用戶跟隨。 AP分布控制：AP自動接收AC下發(fā)的安全策略，負責其管轄 范圍內的網(wǎng)絡和用戶安全策略實施； 三層交換機 AC AP 二層交換機 園區(qū)網(wǎng) DHCP服務器 STA RAIUS服務器 端口容 量受限 業(yè)務報文 AP二層轉發(fā) AC下 發(fā)安全策 略 AP實施安 全策略 29 華為AP領先的本地轉發(fā)模式性能對比 類別CISCO ARUBAH3CHUAWEI控標項引導策略 安全不支持不支持不支持支持本地轉發(fā)模 式下的DHCP snooping安全 功能 支持本地轉發(fā)模 式下DHCP snooping安全功 能 策略：AP本地轉發(fā)解決安全問題

21、 ，具體業(yè)務特性。 口徑：AP支持本地轉發(fā)，解決流 量集中帶寬不足的問題，同時通過 DHCP snooping功能，解決了流 量分散引起的安全問題。 不支持不支持不支持支持本地轉發(fā)模 式下IP Source Gard的安全策 略 支持本地轉發(fā)模 式下IP Source Gard的安全策略 不支持不支持不支持支持本地轉發(fā)模 式下防止ARP攻 擊 支持本地轉發(fā)模 式下防止ARP攻 擊 不支持不支持不支持支持本地轉發(fā)模 式下私設DHCP server攻擊 支持本地轉發(fā)模 式下私設DHCP server攻擊 30 華為特色方案: VRRP方式： 主備AC組成VRRP備份組，主備AC同步 備份AP表項、

22、CAPWAP鏈路信息和用戶信息。當主 AC側發(fā)生故障時，VRRP機制迅速切換主備AC關系， BFD檢測報文最小發(fā)送間隔100ms。故障切換用戶基 本不感知。 AP IP地址:10.1.1.10/24 AC IP1:10.1.1.1/24(高優(yōu)先級 ） AC IP2:10.1.1.2/24(低優(yōu)先級 ） 備份通道 備AC IP 10.1.1.2/24 主AC IP 10.1.1.1/24 CAPWAP備鏈路 CAPWAP主鏈路 AP IP add:10.1.1.10/24 AC IP add:10.1.1.3/24 備份通道 備AC IP add 10.1.1.2/24 VRRP 虛擬IP 10

23、.1.1.3/24 主AC IP add 10.1.1.1/24 VRRP 虛擬IP 10.1.1.3/24 BFD +VRRP 1+1熱備解決CAPWAP業(yè)務續(xù)航 客戶問題 為了提高企業(yè)無線辦公網(wǎng)絡業(yè)務可靠性，很多大中型 企業(yè)會部署兩臺AC產品，作為冗余備份保護。而備份 切換的時間和方式，直接關系到用戶的業(yè)務體驗和流 量數(shù)據(jù)保護。 31 類別H3CCISCOHUAWEI控標項引導策略 設備性 能 不支持 BFD+VR RP方法 1+1熱備 份 不支持 BFD+VR RP方法 1+1熱備 份 支持 BFD+VR RP方法 1+1熱備 份 支持 BFD+VR RP方法 1+1熱備 份 策略：思科

24、和H3C,目前不支持BFD+VRRP方式, BFD檢測 報文最小發(fā)送間隔100ms，相對單獨的VRRP方式，倒換 性能從秒級減小到百毫秒級，BFD+VRRP相較于雙鏈路備 份在本地轉發(fā)方式的場景下切換速度同樣有所提高。 口徑：AC1+1備份同時支持VRRP和雙鏈路兩種備份方 式. BFD +VRRP 1+1熱備性能對比（待數(shù)據(jù)刷新） 32 附錄I VRRP熱備WEB配置界面 VRRP熱備配置界面 33 附錄II 雙鏈路熱備WEB配置界面 雙鏈路熱備配置界面 34 附錄III 雙鏈路冷備WEB配置界面 雙鏈路冷備配置界面 Copyright2012 Huawei Technologies Co.

25、, Ltd. All Rights Reserved. The information in this document may contain predictive statements including, without limitation, statements regarding the future financial and operating results, future product portfolio, new technology, etc. There are a number of factors that could cause actual results

26、and developments to differ materially from those expressed or implied in the predictive statements. Therefore, such information is provided for reference purpose only and constitutes neither an offer nor an acceptance. Huawei may change the information at any time without notice. HUAWEI ENTERPRISE ICT SOLUTIONS A BETTER WAY