华为WLAN深度资料CAPWAP隧道.pptx

华为WLAN深度资料-CAPWAP隧道 1 目录 总体介绍 1 组网场景 2 原理介绍 3 性能对比 4 2 CAPWAP协议背景缘何而来 AC+瘦AP组网架构，可以实现： 1）集中可视化管控 2）降低运维成本 3）对用户实现精细化策略管理 4）支持认证计费场景，不同层面保证企业数据安全 5）增值业务能力：可扩展更多丰富业务（BYOD、Bonjour、 视频回传 ） 6）适合中大规模组网场景 在此应用背景下 CAPWAP协议Control and Provisioning of Wireless Access Points，用于AC与AP通信的协议规范也应运而生 解决方案 企业级用户部署AP的数量会非常庞大，对集中运维管控、安全 性提出了更高的要求。 传统胖AP组网已经难于满足需求： 1）自治管理，安全无法保证； 2）实现不了精细化的用户管控； 3）大批量部署难度高； 4）只适合SOHO级小规模组网。 客户痛点 AC+瘦AP的组网架构 3 CAPWAP协议背景去粕取精 LWAPP (Lightweight Access Point Protocol) 提出厂家：Cisco 具有完整的协议框架 定义了详细的报文结构和TLV元素 数据没有加密 提出厂家：Aruba 支持桥接 DTLS加密是其亮点 CTP/WiCoP ( CAPWAP Tunneling Protocol / Wireless LAN Control Protocol ) 提出厂家：Siemens/Panasonic 实现了集中式WLAN体系结构基本需求 安全标准考虑不够全面 CAPWAP SLAPP (Secure Light Access Point Protocol) 4 CAPWAP协议介绍无线接入点控制和规范 AP发现AC 链路建立 配置管理 数据转发 控制/数据通道建立（UDP端口号：5246/5247） 多种配置管理业务下发、批量升级AP 控制报文DTLS加密 多种用户业务流量CAPWAP数据隧道转发 协议内容 数据报文DTLS加密 5 目录 总体介绍 1 组网场景 2 原理介绍 3 性能对比 4 6 AC直连式组网-流量集中转发 接入侧 汇聚侧服务器侧 AC eSight Policy Center 室分型AP 放装型AP Internet Internet n适用于需要AC承担用户网关、 用户策略管理、认证计费网关、 DHCP服务器等角色的场景 n用户数据及认证由AC集中处理 nAP/AC支持跨二、三层组网 nAP、用户DHCP服务器 nAP参数统一配置 n用户策略统一配置 n用户认证控制点 nPolicy Center Portal认证服务器 Radius服务器 MAC认证服务器 PPPoE服务器 nAC Web页面网管 neSight AC/AP网管 AP位置拓扑显示 应用场景AC部署用户认证网络管理 接入交换机 室外AP 用户认证 用户数据 CAPWAP控制隧道 CAPWAP数据隧道 配置信息 7 AC旁挂式组网-流量本地转发 接入侧汇聚侧 服务器侧 AC eSight Policy Center 室分型AP 放装型AP 本地网络 接入交换机 室外AP 用户认证 用户数据 本地网络 n适用于用户数据可由本地网络直接转发的场 景，如分支办公网络。节省AP/AC间链路带宽 n用户网关和DHCP服务器均在本地网络中 n本地转发用户认证可由AC集中处理 nAP/AC支持跨二、三层组网 nAP DHCP服务器 nAP参数统一配置 n用户策略统一配置 n用户认证控制点 nPolicy Center Portal认证服务器 Radius服务器 MAC认证服务器 PPPoE服务器 nAC Web页面网管 neSight AC/AP网管 AP位置拓扑显示 应用场景AC部署 用户认证网络管理 CAPWAP控制隧道 CAPWAP数据隧道 配置信息 8 AC灵活组网-混合组网模式 接入侧 汇聚侧 服务器侧 AC eSight Policy Center 室分型AP 放装型AP 本地网络 接入交换机 室外AP 用户认证 分支 用户数 据 本地网络 总部网络 总部用户数据 总部网络 n适用于用户数据混合组网场景，可实现 按AP转发和按SSID转发。如总部使用集中 转发模式，分支办公网络使用本地转发模式 n两种模式下的用户认证均由AC集中处理 nAP/AC支持跨二、三层组网 nAP DHCP服务器 n集中转发用户DHCP 服务器 nAP参数统一配置 n用户策略统一配置 n用户认证控制点 nPolicy Center Portal认证服务器 Radius服务器 MAC认证服务器 PPPoE服务器 nAC Web页面网管 neSight AC/AP网管 AP位置拓扑显示 应用场景AC部署用户认证网络管理 CAPWAP控制隧道 CAPWAP数据隧道 配置信息 9 目录 总体介绍 1 组网场景 2 原理介绍 3 性能对比 4 10 CAPWAP隧道 帧结构 CAPWAP头结构 CAPWAP报文结构（未DTLS加密） IP头+UDP头+CAPWAP头+无线数据 CAPWAP报文结构（DTLS加密） IP头+UDP头+DTLS头+CAPWAP头+无线数据 +DTLS尾 11 CAPWAP隧道建立 总体视图 12 CAPWAP隧道建立 DHCP阶段 在DHCP ack报文中携带: APIP地址 租期时间 【可选】通过option 43携带AC IP list，用于AP CAPWAP单播发现AC 【可选】通过option 15携带DNS服务器域名 13 CAPWAP隧道建立 Discovery阶段 AP CAPWAP发现AC 单播发现（根据DHCP ACK回的AC IP list或从DNS服务器获取的AC IP地址 发送单播报文）L2/L3网络 广播发现（当没有AC IP list或单播没有回应时发送广播报文）L2网络 AC 收到discover request 分配链路号(LinkID)AP IP + AP UDP Port 唯一标示该链路 迁移状态机状态 AP决策选择AC的因素（当收到多个AC回应的discover response时） AC的优先级 AC上当前AP个数 14 CAPWAP隧道建立 DTLS阶段（可选） DTLS建链 DTLS加解密（控制报文） 加密若开启：从join开始的CAPWAP控制报文都会经过DTLS加解密 DTLS数据报文加解密：当前不支持 15 CAPWAP隧道建立 Join阶段 AP 发送join request 当AP决策选择AC后（有DTLS时先建立DTLS链路）开始join阶段 携带AP版本信息、MAC信息、胖瘦模式信息等 AC 收到join request 黑白名单校验 迁移状态并回应join response（携带期望AP使用的版本信息） AP 收到join response 根据AP版本信息看是否需要在线加载AP版本，并迁移到对应状态 16 CAPWAP隧道建立 Image data（可选） AP根据join response中携带的AP版本在AP flash中不存在，则开始升级 升级方式：FTP 升级（推荐）和 AC升级 升级粒度：基于AP域、AP类型、单个AP三种粒度升级 AP升级成功后，重新启动，重新建立CAPWAP链路 17 CAPWAP隧道建立 Configure阶段 对AP现有配置和AC设定的配置做匹配检查 目前此阶段没有下发配置，都是在run状态之后统一下发 18 CAPWAP隧道建立 Data Check阶段 Data check阶段 发送change state event request（携带错误码等信息） Data check后，标志管理隧道已经建立完毕，进入Run状态 19 CAPWAP隧道维护 Run阶段 AP发送数据心跳报文，AC收到后标志数据隧道建立，AP进入normal状态 数据心跳报文，定期发送（默认25s），用于检测数据链路是否正常 AP控制心跳报文，定期发送（默认25s），用于检测控制链路是否正常 20 CAPWAP隧道支持静态多级NAT穿越 nPAT：多对1转换，例如 192.168.0.2: 4444 - 202.116.100.5: 50003 192.168.0.3: 5555 - 202.116.100.5: 50004 192.168.0.7: 1233 - 202.116.100.5: 50005 nNAT：1对1转换，例如 192.168.0.2: 4444 - 202.116.100.5: 4444 192.168.0.3: 5555 - 202.116.100.6: 5555 192.168.0.7: 1233 - 202.116.100.5: 1233 21 CAPWAP备份 1+1热备(HSB +VRRP) 主AC eSight Policy Center 备AC HSB备份通道 用户 用户 1 2 3 接入交换机 AP HSB业务实时备份 n用户数据信息备份 nCAPWAP隧道信息备份 nAP表项备份 1+1热备切换检测 AP/AC间链路检测 AC整机之间检测 AC上行链路检测 VRRP热备机制 nAC地址虚拟：面向AP,主备AC使用VRRP 协议虚拟出一个AC地址 n上下行链路监控：监控指定接口状态，上 下行链路监控均支持BFD+VRRP 22 CAPWAP备份1+1热备(HSB +双链路) 主AC eSight Policy Center 备AC HSB备份通道 用户 用户 2 接入交换机 AP 1+1热备切换检测 AP/AC间CAPWAP链路状态检测 AC整机之间检测 HSB业务实时备份 n用户数据信息备份 nCAPWAP隧道信息备份 nAP表项备份 CAPWAP双链路机制 nAP分别与主备AC建立CAPWAP隧道， 通过AC优先级确立主备AC n负载均衡：AC优先级相同的情况下，根 据AC负载（AP和STA个数）确立主备AC n双链路热备相对于双链路冷备优势：备 AC存在用户信息，用户不掉线，而冷备用 户要重新关联AP上线 CAPWAP主链路 CAPWAP备链路 1 23 CAPWAP备份1+1冷备(双链路) 1.AC 1 工作在主用状态，并为AP1、AP2提供服务；AC2工作在备用状态，各AP通过备用信道链路连接到AC2 。 2.主备AC之间不存在任何形式的用户状态或数据同步 3.当AP检测到AC1故障时，触发主备切换(由主AC1切换到备AC2)，AP和AC2之间的CAPWAP隧道立即由备用 转为主用。 4.当AC1恢复连接后，根据配置，AC1保持在备用状态或者回切到主用状态。 ACAC AP1 AP2 Active Tunnel Standby Tunnel AC1AC2 24 1.AC1作为AP1的主AC，同时作为AP2的备AC；AC2作为AP2的主AC，同时作为AP1的备AC。 2.该场景是对“1+1”场景的补充，在“1+1”场景的AC间负载均衡控制中是看AP接入时刻的AC负载 情况，决定AC是否能够成为该AP的主AC，是无法控制的。“N+N”需要实现对AC间的负载均衡进行 控制。即能够控制一部分AP使用AC1作为主AC，另外一部分AP使用AC2作为主AC。 3.当AC1或者AC2 down后，AP能够切换到另外一个AC上。 ACAC AP1 AP2 Active for AP1Active for AP2 Standby for AP2 AC1 AC2 Standby for AP1 CAPWAP备份N+N冷备(双链路) 25 1.AC1作为AP1的主AC，AC2作为AP2的主AC，AC3既作为AP1的备AC，同时也作为AP2的备AC。 2.该场景中需要AC3实现对不同的AP区分不同的主AC。当AC1或者AC2 down后，对应的AP能够切换 到AC3上。 ACAC AP1 AP2 Active for AP1 Standby for AP1&Ap2 AC1 AC2 AC Backup AC3 Active for AP2 CAPWAP备份N+1冷备(双链路) 26 CAPWAP断链业务保持 内部网络 在线用户 新用户 AP 交换机 AC 1 2 新用户上线 AP 用户数 据 CAPWAP断链业务保持 nCAPWAP链路中断后，在线用 户业务不中断，数据持续转发 CAPWAP断链新用户上线 nAP无线侧安全策略为开放系统认 证、共享密钥认证（WEP）和 WPA/WPA2时，新上线用户可接入上 线。用户数据通过本地转发模式转发。 在线用户业务不中断 应用场景 n对于没有AC备份的小型无线网 络，业务续航模式可保证用户数据 转发不中断，提升业务可靠性。 27 目录 总体介绍 1 组网场景 2 原理介绍 3 性能对比 4 6 28 华为AP领先的本地转发模式-解决安全问题 客户问题： 集中转发 端口容量限制：由于客户现网环境限制，三层交换 机能提供给AC的端口容量有限，无法承载所有的无线数据流 量，解决办法是让用户业务报文在AP本地转发，不再集中到 AC转发； 安全策略集中控制，本地转发安全无法保证：在AP本地转发 模式下，数据流不经过AC，AC无法进行安全控制，导致客 户网络安全难以保证； 华为特色方案： 整体方案：安全策略在AC上统一配置，在本地转发模式下由 AC下发， AP执行：如AP支持DHCP snooping，动态生成 绑定表项，动态下发DAI、IP Source Guard的安全策略，防 止ARP、仿冒源IP及私设DHCP server的攻击； 一次配置，自动管理用户Mobility：在AC上配置DHCP安全 功能，自动收集绑定表，动态下发安全策略，实现安全策略 用户跟随。 AP分布控制：AP自动接收AC下发的安全策略，负责其管辖 范围内的网络和用户安全策略实施； 三层交换机 AC AP 二层交换机 园区网 DHCP服务器 STA RAIUS服务器 端口容 量受限 业务报文 AP二层转发 AC下 发安全策 略 AP实施安 全策略 29 华为AP领先的本地转发模式性能对比 类别CISCO ARUBAH3CHUAWEI控标项引导策略 安全不支持不支持不支持支持本地转发模 式下的DHCP snooping安全 功能 支持本地转发模 式下DHCP snooping安全功 能 策略：AP本地转发解决安全问题 ，具体业务特性。 口径：AP支持本地转发，解决流 量集中带宽不足的问题，同时通过 DHCP snooping功能，解决了流 量分散引起的安全问题。 不支持不支持不支持支持本地转发模 式下IP Source Gard的安全策 略 支持本地转发模 式下IP Source Gard的安全策略 不支持不支持不支持支持本地转发模 式下防止ARP攻 击 支持本地转发模 式下防止ARP攻 击 不支持不支持不支持支持本地转发模 式下私设DHCP server攻击 支持本地转发模 式下私设DHCP server攻击 30 华为特色方案: VRRP方式： 主备AC组成VRRP备份组，主备AC同步 备份AP表项、CAPWAP链路信息和用户信息。当主 AC侧发生故障时，VRRP机制迅速切换主备AC关系， BFD检测报文最小发送间隔100ms。故障切换用户基 本不感知。 AP IP地址:10.1.1.10/24 AC IP1:10.1.1.1/24(高优先级 ） AC IP2:10.1.1.2/24(低优先级 ） 备份通道 备AC IP 10.1.1.2/24 主AC IP 10.1.1.1/24 CAPWAP备链路 CAPWAP主链路 AP IP add:10.1.1.10/24 AC IP add:10.1.1.3/24 备份通道 备AC IP add 10.1.1.2/24 VRRP 虚拟IP 10.1.1.3/24 主AC IP add 10.1.1.1/24 VRRP 虚拟IP 10.1.1.3/24 BFD +VRRP 1+1热备解决CAPWAP业务续航 客户问题 为了提高企业无线办公网络业务可靠性，很多大中型 企业会部署两台AC产品，作为冗余备份保护。而备份 切换的时间和方式，直接关系到用户的业务体验和流 量数据保护。 31 类别H3CCISCOHUAWEI控标项引导策略 设备性 能 不支持 BFD+VR RP方法 1+1热备 份 不支持 BFD+VR RP方法 1+1热备 份 支持 BFD+VR RP方法 1+1热备 份 支持 BFD+VR RP方法 1+1热备 份 策略：思科和H3C,目前不支持BFD+VRRP方式, BFD检测 报文最小发送间隔100ms，相对单独的VRRP方式，倒换 性能从秒级减小到百毫秒级，BFD+VRRP相较于双链路备 份在本地转发方式的场景下切换速度同样有所提高。 口径：AC1+1备份同时支持VRRP和双链路两种备份方 式. BFD +VRRP 1+1热备性能对比（待数据刷新） 32 附录I VRRP热备WEB配置界面 VRRP热备配置界面 33 附录II 双链路热备WEB配置界面 双链路热备配置界面 34 附录III 双链路冷备WEB配置界面 双链路冷备配置界面 Copyright2012 Huawei Technologies Co., Ltd. All Rights Reserved. The information in this document may contain predictive statements including, without limitation, statements regarding the future financial and operating results, future product portfolio, new technology, etc. There are a number of factors that could cause actual results and developments to differ materially from those expressed or implied in the predictive statements. Therefore, such information is provided for reference purpose only and constitutes neither an offer nor an acceptance. Huawei may change the information at any time without notice. HUAWEI ENTERPRISE ICT SOLUTIONS A BETTER WAY