j'ai compris

[Du débutant à l' expert - WLAN Fondamentaux] L' article 7 AP est en ligne

publié il y a  2020-4-28 23:41:20 10 0 0 0

Les sections précédentes décrivent Fat AP et Fit AP. Un Fat AP peut contrôler l'accès utilisateur sans fil et crypte et transfère les données utilisateur indépendamment. Un AP Fit doit travailler avec un AC pour exécuter ces fonctions. Pour fonctionner avec un AC, un Fit AP doit d'abord être mis en ligne sur l'AC. Cette section décrit comment un Fit AP se met en ligne.


Avant de se connecter en ligne sur un AC, un Fit AP doit obtenir une adresse IP afin que l'AC puisse communiquer avec lui. Par conséquent, le Fit AP s'applique pour une adresse IP à partir d'un serveur DHCP.

Acquisition d'adresse IP

Le Fit AP diffuse un message qui indique aux serveurs DHCP "J'ai besoin d'une adresse IP". Ces messages sont appelés messages de découverte. Plusieurs serveurs DHCP répondent en envoyant des messages d'offre de location d'adresse IP, qui permettent au Fit AP de savoir que les serveurs DHCP peuvent offrir une adresse IP. Le Fit AP accepte la première offre qu'il reçoit. Ensuite, le serveur DHCP envoie les informations Fit AP encapsulées dans un paquet d'accusé de réception (ACK), y compris l'adresse IP, la durée du bail, l'adresse de passerelle et l'adresse IP du serveur DNS. Cela permet au Fit AP de savoir quelle est sa nouvelle adresse IP attribuée.

[Du débutant à l'expert - Principes de base du WLAN] Section 7 AP Goes Online-1841193-1

L'adresse IP du Fit AP peut être configurée manuellement ou obtenue dynamiquement sur le serveur DHCP.
La procédure précédente consiste à obtenir dynamiquement une adresse IP sur le serveur DHCP.

Le paquet ACK a un champ Option 43 qui peut contenir l'adresse IP d'un AC. Le champ Option 43 sera décrit plus loin en détail.

Lorsque le Fit AP et le serveur DHCP ne sont pas dans le même VLAN, l'AP ne peut pas découvrir le serveur DHCP en diffusant des messages de découverte. Dans ce cas, un relais DHCP est utilisé pour aider l'AP à découvrir le serveur DHCP. La procédure est la suivante:
[Du débutant à l'expert - Principes de base du WLAN] Section 7 AP Goes Online-1841193-2

Le relais DHCP transfère les messages entre l'AP et le serveur DHCP. 

La communication entre le client DHCP et le serveur DHCP ne sera pas traitée plus en détail dans cette section. Vous pouvez vous référer au document de description des fonctionnalités DHCP pour plus de détails.

Après avoir obtenu une adresse IP, le Fit AP peut découvrir un AC.

Phase de découverte AC

L'AP voit que le champ Option 43 du paquet ACK du serveur DHCP contient l'adresse IP d'un AC. L'AP essaie de contacter l'AC en utilisant l'adresse IP.

Cependant, l'AC ne répond pas. Ensuite, l'AP diffuse des messages de découverte AC et reçoit des réponses de plusieurs AC. L'AP sélectionne un AC approprié.

Un AP peut découvrir un AC en mode statique ou dynamique.


Mode statique

Une liste d'adresses IP AC est préconfigurée sur l'AP. Lorsque l'AP se connecte, l'AP envoie un paquet de demande de découverte à chaque AC dont l'adresse IP est spécifiée dans la liste d'adresses IP AC préconfigurées. Après avoir reçu le paquet de demande de découverte, les AC envoient des paquets de réponse de découverte à l'AP. L'AP sélectionne ensuite un AC pour établir un tunnel CAPWAP en fonction des paquets Discovery Response reçus.

Mode dynamique

Si aucune liste d'adresses IP AC n'est préconfigurée sur l'AP, l'AP sélectionne le mode monodiffusion ou le mode de diffusion pour découvrir un AC.

Tout d'abord, l'AP vérifie si le champ Option 43 dans le paquet ACK envoyé par le serveur DHCP pour répondre à la demande d'adresse IP de l'AP contient une adresse IP AC. S'il contient une adresse IP AC, l'AP envoie un paquet de demande de découverte unicast à cette adresse IP. Si l'AC et le réseau fonctionnent correctement, l'AC répond à l'AP avec un paquet Discovery Response. À ce moment, l'AP découvre l'AC. Ce mode de découverte AC est appelé mode DHCP.

Un autre mode de découverte AC, le mode DNS, est similaire au mode DHCP. La différence est que le paquet ACK envoyé par le serveur DHCP contient un nom de domaine AC et une adresse IP du serveur DNS au lieu d'une adresse IP AC. Le nom de domaine AC est porté dans le champ Option 15. Après avoir obtenu le nom de domaine AC, l'AP envoie une demande au serveur DNS pour obtenir l'adresse IP correspondant au nom de domaine AC. L'AP envoie ensuite un paquet de demande de découverte à l'AC. Les procédures suivantes sont les mêmes que celles du mode DHCP.


Le mode DHCP et le mode DNS sont tous deux des modes unicast. Autrement dit, l'AP envoie des paquets unicast à l'AC.

Si aucune liste d'adresses IP AC statiques n'est préconfigurée sur l'AP, ou si le paquet ACK envoyé par le serveur DHCP ne contient pas d'informations AC, ou si les paquets de demande de découverte unicast envoyés par l'AP ne répondent pas, alors l'AP diffusera les paquets de demande de découverte pour découvrir un AC. Tous les AC sur le même segment de réseau que l'AP répondront à la demande de l'AP. Après avoir reçu le paquet Discover Response, l'AP compare les informations contenues dans le paquet et sélectionne un AC pour établir un tunnel de contrôle et d'approvisionnement des points d'accès sans fil (CAPWAP). (L'AP sélectionne d'abord le AC avec la priorité la plus élevée. Si les AC ont la même priorité, l'AP sélectionne l'AC avec une charge inférieure. Si les charges des AC sont également les mêmes, l'AP sélectionne l'AC avec une adresse IP plus petite .)
[Du débutant à l'expert - Principes de base du WLAN] Section 7 AP Goes Online-1841193-3

Remarque: Si un réseau de couche 2 est déployé entre l'AC et l'AP, l'option 43 n'est pas nécessaire. L'AP peut diffuser des paquets de découverte pour découvrir l'AC si l'AP ne parvient pas à découvrir l'AC en mode monodiffusion. Cependant, si un réseau de couche 3 est déployé entre l'AC et l'AP, les paquets de diffusion ne peuvent pas être envoyés directement à l'AC. L'option 43 est utilisée pour informer l'AP de l'adresse IP AC.


Création du tunnel CAPWAP

Après que l'AP ait découvert un AC, l'AP et l'AC doivent négocier un mécanisme de sécurité pour protéger les informations échangées entre eux. Le tunnel CAPWAP est le mécanisme de sécurité le plus courant dans le domaine WLAN.

CAPWAP est un mécanisme d'encapsulation et de transmission défini dans la RFC 5415 pour implémenter la communication entre les AP et les AC. Les tunnels CAPWAP comprennent des tunnels de contrôle et des tunnels de données. Les tunnels de contrôle transmettent des paquets de contrôle, des configurations de service et des paquets utilisés pour synchroniser les états des AC et des AP. Les tunnels de données ne transmettent des données de service qu'en mode de transfert de tunnel CAPWAP (également appelé transfert centralisé).

Après avoir découvert un AC, l'AP commence à établir un tunnel CAPWAP avec l'AC.

Contrôle d'accès AP

Après qu'un tunnel CAPWAP est établi, l'AC vérifiera la validité de l'AP pour empêcher les AP escrocs d'accéder à l'AC. De plus, l'AC vérifie également si la version AP correspond à la version AC. Seuls les points d'accès autorisés dans la bonne version peuvent accéder à l'AC.


[Du débutant à l'expert - Principes de base du WLAN] Section 7 AP Goes Online-1841193-4

L'AP envoie un paquet de demande conjointe portant la version AP et le mode AP (Fat ou Fit AP) à l'AC. (Si le chiffrement de la sécurité de la couche de transport de datagrammes (DTLS) est activé sur le tunnel CAPWAP, une liaison DTLS est établie en premier. Par la suite, tous les paquets de contrôle CAPWAP sont chiffrés et déchiffrés via DTLS.) Lors de la réception de la demande de jointure, l'AC détermine s'il faut autoriser l'AP pour accéder et envoie un paquet Join Response à l'AP. Si l'AC a des configurations de mise à niveau, le paquet Join Response contient des informations de mise à niveau AP telles que le mode de mise à niveau et la version AP.

L'organigramme de la figure suivante montre comment l'AC détermine si l'AP est autorisé à accéder.

[Du débutant à l'expert - Principes de base du WLAN] Section 7 AP Goes Online-1841193-5


Mise à niveau du logiciel AP

L'AP détermine si sa version du logiciel système est la même que celle spécifiée dans le paquet Join Response reçu. Si les deux versions sont différentes, l'AP met à niveau son logiciel. Une fois l'AP mis à niveau, l'AP redémarre automatiquement et répète toutes les étapes d'authentification précédentes. Si les deux versions sont identiques ou qu'aucune version n'est spécifiée dans le paquet Join Response, l'AP n'a pas besoin de mettre à niveau son logiciel.

Maintenance du tunnel CAPWAP

Les AP et AC échangent des paquets Keepalive pour surveiller la connectivité du tunnel de données.

Les AP et AC échangent des paquets Echo pour surveiller la connectivité du tunnel de contrôle.

Livraison de la configuration AC

Une fois les tunnels CAPWAP établis, l'AC fournit des configurations de service à l'AP. L'AP peut alors fournir des services WLAN selon les configurations de service.


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Communauté de Support de Huawei Entreprise
Communauté de Support de Huawei Entreprise