話說(shuō)AP家有兄弟倆，哥哥胖AP（FAT AP）身強(qiáng)體健，單打獨(dú)斗，無(wú)人能出其右，弟弟瘦AP（FIT AP）天生體質(zhì)薄弱，獨(dú)自一人無(wú)法支撐大梁。有天弟弟對(duì)哥哥說(shuō)：“大哥，我真是羨慕你，一個(gè)人就能輕松承擔(dān)無(wú)線用戶接入、用戶數(shù)據(jù)加密和轉(zhuǎn)發(fā)等功能，而我自己一人，卻什么都干不了啊。”哥哥說(shuō)到：“弟弟莫要灰心，俗話說(shuō)，***，雖說(shuō)單打獨(dú)斗你不是我對(duì)手，可是我的能力也僅限于小型企業(yè)、商店、SOHO辦公、家庭等這類的小型WLAN網(wǎng)絡(luò)應(yīng)用場(chǎng)景，對(duì)于更大的WLAN網(wǎng)絡(luò)場(chǎng)景，卻是心有余而力不足了。反觀弟弟你，若是能找到一個(gè)好的師傅（AC），在師傅的帶領(lǐng)下，和眾多師兄弟（其它的FIT AP）一起，應(yīng)對(duì)各類大中小型企業(yè)總部、分支機(jī)構(gòu)、高校、機(jī)場(chǎng)、體育場(chǎng)等等大中型WLAN網(wǎng)絡(luò)應(yīng)用場(chǎng)景，還不是手到擒來(lái)。”聽(tīng)完此話，弟弟恍然大悟：“大哥言之有理，小弟這就準(zhǔn)備準(zhǔn)備，尋找名師拜入門下。”

于是FIT AP就開(kāi)始了他的拜師之旅-這就是我們本次分享的內(nèi)容：AP上線過(guò)程。

從前面的WLAN技術(shù)貼中，我們了解到了AP分胖瘦，FAT AP能夠獨(dú)自承擔(dān)無(wú)線用戶接入、用戶數(shù)據(jù)加密和轉(zhuǎn)發(fā)等功能，而FIT AP必須依賴于AC才能共同完成這些功能。AC在協(xié)同FIT AP共同工作之前，必先要實(shí)現(xiàn)FIT AP在AC中上線的過(guò)程。

拜師之前，FIT AP心想，出門在外，得先有個(gè)聯(lián)系方式（IP地址）才行，不然要是有師傅愿意接收自己，卻沒(méi)有聯(lián)系方式找到自己，豈不是錯(cuò)過(guò)了機(jī)會(huì)。于是FIT AP來(lái)到了DHCP Server營(yíng)業(yè)廳辦理IP地址業(yè)務(wù)。

AP獲取IP地址

一進(jìn)營(yíng)業(yè)廳，FIT AP就大喊一聲（廣播方式）：“我要辦理一個(gè)IP地址。”這時(shí)有多位DHCP Server的工作人員熱情回復(fù)，“您好，來(lái)看看我這的IP地址，是否滿意。”FIT AP毫不猶豫，直接走向第一個(gè)回復(fù)的工作人員，“好，就要你給的IP地址了。”工作人員打包好IP地址、租期日期、網(wǎng)關(guān)地址、DNS Server的IP地址等等信息，一起交給FIT AP，道：“請(qǐng)拿好，這就是您要的貨物了。”收好自己的IP地址，FIT AP滿意的走出了營(yíng)業(yè)廳大門。

AP的IP地址可以是靜態(tài)配置的，也可以是通過(guò)DHCP動(dòng)態(tài)獲取的。

如果是靜態(tài)配置的，AP的IP地址立即就確定了，這一步也就結(jié)束了。

如果是通過(guò)DHCP動(dòng)態(tài)獲取，AP不知道誰(shuí)是DHCP Server，會(huì)以廣播discovery報(bào)文的方式去發(fā)現(xiàn)DHCP Server，所有收到這個(gè)廣播信息的DHCP Server都會(huì)單播offer回應(yīng)AP。AP只接收第一個(gè)到達(dá)的offer，并廣播request告訴所有人，我已經(jīng)選擇好了一個(gè)DHCP Server了，其他人不需要再準(zhǔn)備為我提供DHCP Server服務(wù)了。AP選擇的DHCP Server會(huì)把AP的IP地址、租期日期、網(wǎng)關(guān)地址、DNS Server的IP地址等信息用ACK報(bào)文反饋給AP。值得注意的是這個(gè)ACK報(bào)文里面有個(gè)option43字段，里面可以用來(lái)填充AC的IP地址。作用就是直接告訴AP有AC的IP地址可用。具體在后面的AP發(fā)現(xiàn)AC階段中描述其作用。

有的時(shí)候AP與DHCP Server不在同一個(gè)VLAN中，AP通過(guò)廣播discovery報(bào)文不能直接發(fā)現(xiàn)DHCP Server，這個(gè)時(shí)候，可以通過(guò)DHCP Relay來(lái)發(fā)現(xiàn)DHCP Server。AP獲取IP地址的流程就變成了下面的樣子：

AP原來(lái)只需要直接和DHCP Server交流，現(xiàn)在變成了和DHCP Relay直接交流，由DHCP Relay將AP的請(qǐng)求單播給DHCP Server，DHCP Server回復(fù)給AP的消息也要通過(guò)DHCP Relay來(lái)轉(zhuǎn)達(dá)。

Ps：具體的DHCP客戶端和服務(wù)器的交互過(guò)程本帖不做過(guò)多的介紹，本帖僅關(guān)注AP上線的關(guān)鍵過(guò)程。可以參考DHCP特性的原理描述來(lái)了解詳細(xì)過(guò)程。

聯(lián)系方式既然已經(jīng)獲取到，下一步就是要尋找?guī)煾盗恕?/span>

AP發(fā)現(xiàn)AC

這個(gè)時(shí)候AP突然想起，DHCP Server營(yíng)業(yè)廳的工作人員給過(guò)自己一份廣告?zhèn)鲉巍Ｉ蠒澳阆肷毤有?#xff0c;當(dāng)上總經(jīng)理，出任CEO，贏取白富美，走上人生巔峰嗎！趕緊撥打我們的電話，成為我們大企業(yè)WLAN的一份子吧，圓你美夢(mèng)。機(jī)不可失，時(shí)不再來(lái)，名師在向您招手”。原來(lái)是一份招聘廣告，上面還有一位AC師傅的號(hào)碼（Option43）。AP深吸一口氣，平復(fù)一下略微緊張的心情，撥通了傳單上的師傅電話。

想象中的場(chǎng)景沒(méi)有出現(xiàn)，而是

對(duì)方的電話一直沒(méi)有人接聽(tīng)，AP感到一陣失望，但并未氣餒。既然此路不通，只好找其它方法了。有了，AP腦中靈光一閃，迅速坐到電腦前，打開(kāi)AC師傅招收學(xué)徒的網(wǎng)頁(yè)，注冊(cè)了個(gè)賬號(hào)，填寫一份簡(jiǎn)歷，然后群發(fā)了出去。很快AP就收到了來(lái)自多個(gè)AC的回復(fù)，AP根據(jù)各個(gè)AC師傅的特點(diǎn)，仔細(xì)對(duì)比，選擇出了一個(gè)最適合自己的AC，準(zhǔn)備拜師。

靜態(tài)方式

AP上是支持靜態(tài)配置AC的IP地址的，如果靜態(tài)配置了AC的IP地址，AP就會(huì)向所有配置的AC單播發(fā)送發(fā)現(xiàn)請(qǐng)求報(bào)文，然后根據(jù)AC的回復(fù)，根據(jù)優(yōu)先級(jí)，選擇一個(gè)AC，準(zhǔn)備進(jìn)行下一個(gè)階段的建立CAPWAP隧道。

動(dòng)態(tài)方式

如果AP上沒(méi)有配置AC的IP地址，AP會(huì)根據(jù)當(dāng)前的情況來(lái)決定是使用單播方式還是廣播方式來(lái)發(fā)現(xiàn)AC。

首先，AP會(huì)查看AP獲取IP地址階段中DHCP Server回復(fù)的ACK報(bào)文中的option43字段是否存在AC的IP地址，這個(gè)字段是可選擇配置的，如果有AC的IP地址，AP就會(huì)向這個(gè)地址單播發(fā)送發(fā)現(xiàn)請(qǐng)求報(bào)文。在AC和網(wǎng)絡(luò)都正常的情況下，AC會(huì)回應(yīng)AP的請(qǐng)求，至此，AP就完成了發(fā)現(xiàn)AC的過(guò)程。我們可以把這種發(fā)現(xiàn)AC的方式稱為DHCP方式。

與DHCP方式類似的還有DNS方式，與DHCP方式不同的是，DNS方式中，DHCP Server回復(fù)的ACK報(bào)文中存放的不是AC的IP地址，而是AC的域名和DNS服務(wù)器的IP地址，并且報(bào)文中攜帶的option15字段用來(lái)存放AC的域名，AP先通過(guò)獲取的域名和DNS服務(wù)器進(jìn)行域名解析，獲取AC IP地址，然后向AC單播發(fā)送發(fā)現(xiàn)請(qǐng)求。之后的過(guò)程就和DHCP方式一致了。

無(wú)論是DHCP方式還是DNS方式，都是屬于單播方式，AP都是發(fā)送的單播報(bào)文給AC。

如果AP上沒(méi)有配置靜態(tài)的AC IP地址、DHCP Server回復(fù)的ACK報(bào)文中沒(méi)有AC的信息、或者AP單播發(fā)送的發(fā)現(xiàn)請(qǐng)求報(bào)文都沒(méi)有響應(yīng)，此時(shí)AP就會(huì)通過(guò)廣播報(bào)文來(lái)發(fā)現(xiàn)AC。和AP處于同一個(gè)網(wǎng)段的所有AC都會(huì)響應(yīng)AP的請(qǐng)求，AP會(huì)選擇優(yōu)先級(jí)最高的AC來(lái)作為待關(guān)聯(lián)的AC，如果優(yōu)先級(jí)相同，則繼續(xù)比較AC的負(fù)載，負(fù)載輕的作為待關(guān)聯(lián)AC，如果負(fù)載也相同，則選擇IP地址小的作為待關(guān)聯(lián)AC。然后準(zhǔn)備進(jìn)行下一階段的CAPWAP隧道建立。

Ps：Option 43在AC和AP間的網(wǎng)絡(luò)是二層的場(chǎng)景下，存在的作用不明顯，因?yàn)橥ㄟ^(guò)單播發(fā)現(xiàn)不了AC，可以再次通過(guò)廣播來(lái)發(fā)現(xiàn)，但是如果AC和AP間的網(wǎng)絡(luò)是三層的，廣播報(bào)文是無(wú)法直接傳遞到AC的，所以必須要通過(guò)Option43來(lái)告知AP要找的AC是哪個(gè)。

CAPWAP隧道建鏈

雖然有點(diǎn)小困難，但最終還是找到了師傅，AC師傅看到AP后，直言道：“當(dāng)今的社會(huì)，大家都非常注意信息安全，你我之間的談話內(nèi)容和下發(fā)的工作信息，我不希望被其他有心人聽(tīng)取到，所以今后我們之間的交流方式要加一套保險(xiǎn)措施。”AP略一思索，覺(jué)得也有道理，便問(wèn)道：“什么保險(xiǎn)措施能夠起到有效的保障呢？”。師傅捋了捋自己的長(zhǎng)須，得意的道：“CAPWAP隧道”

CAPWAP全稱是Control And Provisioning of Wireless Access Points，中文名叫無(wú)線接入點(diǎn)控制與規(guī)范，CAPWAP是由RFC5415協(xié)議定義的實(shí)現(xiàn)AP和AC之間的互通的通用封裝和傳輸機(jī)制。CAPWAP隧道又細(xì)分為控制隧道和數(shù)據(jù)隧道。控制隧道是用來(lái)傳輸AC管理控制AP的報(bào)文、業(yè)務(wù)配置以及AC與AP間的狀態(tài)維護(hù)報(bào)文；數(shù)據(jù)隧道則只有在隧道轉(zhuǎn)發(fā)（又稱集中轉(zhuǎn)發(fā)）方式下才用來(lái)傳輸業(yè)務(wù)數(shù)據(jù)。

AP發(fā)現(xiàn)了AC后，就可以開(kāi)始CAPWAP隧道的建立了。

AP接入控制

接下來(lái)，到了考驗(yàn)AP入門資格的時(shí)候了，不是每一個(gè)AP都是符合入門要求的AP。在AP提出要拜師的想法后，為了保證入門AP的合法性，防止有外人或間諜（非法AP）混入，AC師傅設(shè)置了一系列的考核要求進(jìn)行檢驗(yàn)，AP必須過(guò)五關(guān)斬六將，才能最終通過(guò)考驗(yàn)，拜入AC門下。鑒于AP是帶藝投師，AC還要驗(yàn)證AP的內(nèi)功（AP版本）是否與本門是一個(gè)路數(shù)，是否和本門武功相沖。

?

AP在找到AC后，會(huì)向AC發(fā)送加入請(qǐng)求，（如果配置了CAPWAP隧道的DTLS加密功能，會(huì)先建立DTLS鏈路，此后CAPWAP控制報(bào)文都要進(jìn)行DTLS加解密。）請(qǐng)求的內(nèi)容中會(huì)包含AP的版本和胖瘦模式信息。AC收到AP的加入請(qǐng)求后，會(huì)判斷是否允許AP接入，然后AC進(jìn)行回應(yīng)。如果AC上有對(duì)應(yīng)的升級(jí)配置，則AC還會(huì)在回應(yīng)的報(bào)文中攜帶AP的版本升級(jí)信息（升級(jí)版本、升級(jí)方式等）。

AC判斷AP是否能夠接入的流程：

?

第一關(guān)，首先查看AP是否被列入了黑名單，如果在黑名單中能匹配上AP，則不允許AP接入，然后就沒(méi)有然后了。如果很幸運(yùn)，沒(méi)有匹配上黑名單，那么將進(jìn)入第二關(guān)。

第二關(guān)，判斷AP的認(rèn)證模式，如果AC上對(duì)AP上線要求不嚴(yán)格，認(rèn)證方式為不認(rèn)證，則到這一關(guān)的AP都將闖關(guān)成功，允許接入。實(shí)際使用場(chǎng)景還是建議使用MAC或SN認(rèn)證，嚴(yán)格控制AP的接入。如果是MAC或SN認(rèn)證，還需要繼續(xù)闖關(guān)。

第三關(guān)，本關(guān)MAC或SN認(rèn)證分別要驗(yàn)證MAC或SN對(duì)應(yīng)的AP是否離線添加，如果已添加，則允許AP接入，否則進(jìn)入下一關(guān)。

第四關(guān)，查看AP的MAC或SN是否能在白名單中匹配上，如果匹配上，則允許接入，否則AP被放入到未認(rèn)證列表中。

第五關(guān)，未認(rèn)證列表中的AP可以通過(guò)手動(dòng)配置的方式，允許其接入，如果不對(duì)其進(jìn)行手動(dòng)確認(rèn)，AP也無(wú)法接入。

AP版本升級(jí)

AC收下AP為徒后，遞給AP一本本門的內(nèi)功心法要求，AP打開(kāi)一看，發(fā)現(xiàn)自己所學(xué)的內(nèi)功心法（AP版本）竟然與師傅所要求的相沖，AP一咬牙，不破不立，毅然散去所學(xué)內(nèi)功，重修本門的心法。

AP收到前一階段AC回應(yīng)的報(bào)文后，如果發(fā)現(xiàn)里面有指定了AP的版本，并且指定的版本與AP當(dāng)前的版本不一致，會(huì)進(jìn)行AP版本升級(jí)。升級(jí)完成后，AP自動(dòng)重新啟動(dòng)，并且重復(fù)之前的所有上線過(guò)程。如果AP發(fā)現(xiàn)AC回應(yīng)的報(bào)文里面指定的AP版本和自身的版本一致，或者沒(méi)有指定AP的版本，則AP不需要進(jìn)行版本升級(jí)。直接進(jìn)入下一個(gè)階段。

CAPWAP隧道維持

“為了便于關(guān)注你的工作狀態(tài)，對(duì)你進(jìn)行管理和任務(wù)分發(fā)，你和為師之間要通過(guò)CAPWAP隧道來(lái)維持聯(lián)系。平時(shí)會(huì)通過(guò)定時(shí)收發(fā)keepalive報(bào)文來(lái)確認(rèn)控制隧道、echo報(bào)文來(lái)確認(rèn)數(shù)據(jù)隧道的連通性，你要記住了，平時(shí)別偷懶忘記收發(fā)這些報(bào)文了。”“徒兒記住了。”

根據(jù)CAPWAP協(xié)議的要求，AP和AC間還需要進(jìn)行一些其它報(bào)文的交互，然后AP和AC間開(kāi)始通過(guò)keepalive和echo報(bào)文來(lái)檢測(cè)數(shù)據(jù)隧道和管理隧道的連通性。Keepalive報(bào)文的出現(xiàn)，標(biāo)志著數(shù)據(jù)隧道已經(jīng)建立起來(lái)，echo報(bào)文的出現(xiàn)，則標(biāo)志著管理隧道的已經(jīng)建立。

配置下發(fā)

“師傅，一切都已準(zhǔn)備就緒，請(qǐng)下發(fā)工作任務(wù)給我吧”，AP急不可耐的道。“好，我這就下發(fā)。從現(xiàn)在起你就和其他師兄弟一起，共同承擔(dān)我分發(fā)的任務(wù)，一起保障WLAN業(yè)務(wù)的正常運(yùn)行吧。”

CAPWAP隧道建立完成后，AC就可以把配置下發(fā)給AP了。AP收到AC的配置信息后，就能以AC上配置的業(yè)務(wù)來(lái)展開(kāi)WLAN業(yè)務(wù)了。

后記

FIT AP拜師入門已經(jīng)過(guò)去一段時(shí)日，這日，FIT AP遇到了哥哥FAT AP，哥哥道：“如何，現(xiàn)在已經(jīng)拜得名師，大展身手了吧。”弟弟喜笑顏開(kāi)：“多虧大哥當(dāng)時(shí)指點(diǎn)，前些日子我已經(jīng)順利拜入師傅名下，習(xí)得高深的內(nèi)功，現(xiàn)在被師傅委以重任，與諸位師兄弟一起，支撐起來(lái)大片的WLAN網(wǎng)絡(luò)場(chǎng)景。”“好，你我兄弟各有短長(zhǎng)，今后我們可以攜手并進(jìn)，輕松應(yīng)對(duì)各類無(wú)線組網(wǎng)場(chǎng)景。在WLAN江湖中闖出自己的一片天地。”

轉(zhuǎn)載于:https://blog.51cto.com/hanjh8/1571884

總結(jié)

以上是生活随笔為你收集整理的AP上线过程的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。