Tweet
Khi tư vấn và thiết kế hạ tầng mạng không dây (Wireless LAN) cho doanh nghiệp, một trong những câu hỏi thú vị nhất thường được đặt ra là: "Trong kiến trúc quản lý tập trung (Centralized), dữ liệu của người dùng thực sự đi từ Access Point (AP) ra Internet bằng con đường nào?"
Để gói tin đi từ chiếc điện thoại của bạn vươn tới các máy chủ trên Internet, nó phải trải qua một quá trình "biến hình" cực kỳ tinh vi. Điểm mấu chốt là nằm ở giao thức CAPWAP và cơ chế Split-MAC. Hãy cùng bóc tách chi tiết hành trình này!
1. Nguyên lý Split-MAC và Đường hầm CAPWAP
Trong kiến trúc Centralized, AP (lúc này gọi là Lightweight AP) không tự mình xử lý toàn bộ luồng dữ liệu. Công việc được chia đôi (Split-MAC):
2. Bước 1: Đóng gói dữ liệu (CAPWAP Encapsulation) tại AP
Khi bạn gửi một tin nhắn hoặc truy cập một trang web, hành trình bắt đầu:
3. Bước 2: Hành trình xuyên qua mạng LAN (Underlay Network)
Gói tin CAPWAP rời khỏi AP và tiến vào hạ tầng mạng có dây (Access Switch -> Core Switch).
Đối với các Switch trên đường đi, chúng hoàn toàn không biết và không quan tâm bên trong gói tin chứa dữ liệu gì hay người dùng đang truy cập web nào. Chúng chỉ nhìn vào lớp vỏ Outer IP / Outer MAC để định tuyến và chuyển mạch gói tin chạy một mạch về hướng WLC. Đây chính là sự tối ưu tuyệt vời của kiến trúc Overlay/Underlay.
4. Bước 3: Mở gói dữ liệu (CAPWAP Decapsulation) tại WLC
Ngay khi gói tin cập bến cổng của Wireless LAN Controller, quá trình "mở hộp" bắt đầu:
Sau khi được giải phóng khỏi đường hầm CAPWAP và nằm đúng VLAN, gói tin bắt đầu chặng cuối:
Việc hiểu rõ quá trình đóng/mở gói CAPWAP không chỉ là nền tảng lý thuyết mạng (như chứng chỉ CCNP Enterprise) mà còn là kỹ năng thực chiến cực kỳ quan trọng.
Vì quá trình đóng gói thêm các header bên ngoài sẽ làm tăng kích thước gói tin, các kỹ sư hệ thống cần phải tính toán đến bài toán MTU (Maximum Transmission Unit) và Phân mảnh (Fragmentation) trên đường truyền để đảm bảo hiệu suất mạng không bị suy giảm, đặc biệt trong các dự án quy mô lớn. Nắm vững kiến trúc này chính là bước đệm vững chắc để làm chủ các giải pháp hạ tầng hiện đại, từ On-premise cho đến Cloud.
Để gói tin đi từ chiếc điện thoại của bạn vươn tới các máy chủ trên Internet, nó phải trải qua một quá trình "biến hình" cực kỳ tinh vi. Điểm mấu chốt là nằm ở giao thức CAPWAP và cơ chế Split-MAC. Hãy cùng bóc tách chi tiết hành trình này!
1. Nguyên lý Split-MAC và Đường hầm CAPWAP
Trong kiến trúc Centralized, AP (lúc này gọi là Lightweight AP) không tự mình xử lý toàn bộ luồng dữ liệu. Công việc được chia đôi (Split-MAC):
- AP: Xử lý sóng vô tuyến (RF), mã hóa lớp MAC thời gian thực.
- WLC (Wireless LAN Controller): Xử lý chính sách, xác thực và định tuyến dữ liệu vào mạng LAN.
2. Bước 1: Đóng gói dữ liệu (CAPWAP Encapsulation) tại AP
Khi bạn gửi một tin nhắn hoặc truy cập một trang web, hành trình bắt đầu:
- Thu nhận: Điện thoại của bạn gửi dữ liệu qua sóng Wi-Fi dưới dạng khung (frame) chuẩn 802.11. AP tiếp nhận khung này.
- Chuyển đổi: AP lập tức dịch khung không dây 802.11 thành khung Ethernet 802.3 có dây thông thường.
- Đóng gói (Encapsulation): Để gửi đoạn dữ liệu này về trung tâm chỉ huy (WLC), AP không đẩy thẳng vào mạng nội bộ. Nó lấy toàn bộ khung 802.3 đó làm "nhân" (payload), và bọc thêm các lớp vỏ bên ngoài:
- CAPWAP Header: Đánh dấu đây là dữ liệu thuộc luồng CAPWAP.
- UDP Header: Gắn cổng đích là 5247.
- IP Header (Outer): IP nguồn là IP của AP, IP đích là IP của WLC.
- MAC Header (Outer): MAC của AP và MAC của trạm kế tiếp (Switch Access).
3. Bước 2: Hành trình xuyên qua mạng LAN (Underlay Network)
Gói tin CAPWAP rời khỏi AP và tiến vào hạ tầng mạng có dây (Access Switch -> Core Switch).
Đối với các Switch trên đường đi, chúng hoàn toàn không biết và không quan tâm bên trong gói tin chứa dữ liệu gì hay người dùng đang truy cập web nào. Chúng chỉ nhìn vào lớp vỏ Outer IP / Outer MAC để định tuyến và chuyển mạch gói tin chạy một mạch về hướng WLC. Đây chính là sự tối ưu tuyệt vời của kiến trúc Overlay/Underlay.
4. Bước 3: Mở gói dữ liệu (CAPWAP Decapsulation) tại WLC
Ngay khi gói tin cập bến cổng của Wireless LAN Controller, quá trình "mở hộp" bắt đầu:
- Lột bỏ lớp vỏ: WLC nhận gói tin, bóc tách lớp MAC, IP, UDP và CAPWAP header bên ngoài.
- Trích xuất: Trả lại nguyên vẹn khung dữ liệu Ethernet 802.3 nguyên bản ban đầu của người dùng.
- Phân luồng: Dựa vào thông tin SSID mà người dùng đã kết nối, WLC sẽ ánh xạ (map) khung dữ liệu này vào đúng VLAN tương ứng trên mạng có dây.
Sau khi được giải phóng khỏi đường hầm CAPWAP và nằm đúng VLAN, gói tin bắt đầu chặng cuối:
- WLC đẩy gói tin ngược lại mạng LAN có dây (thường là qua kết nối Trunking lên Core Switch).
- Gói tin được Core Switch định tuyến về phía Firewall biên (ví dụ: Cisco ASA hoặc FTD).
- Tại Firewall, tiến trình NAT (Network Address Translation) diễn ra, chuyển đổi IP Private của người dùng thành IP Public.
- Cuối cùng, gói tin được đẩy ra đường truyền của nhà cung cấp dịch vụ (ISP) để đi đến đích trên Internet.
Việc hiểu rõ quá trình đóng/mở gói CAPWAP không chỉ là nền tảng lý thuyết mạng (như chứng chỉ CCNP Enterprise) mà còn là kỹ năng thực chiến cực kỳ quan trọng.
Vì quá trình đóng gói thêm các header bên ngoài sẽ làm tăng kích thước gói tin, các kỹ sư hệ thống cần phải tính toán đến bài toán MTU (Maximum Transmission Unit) và Phân mảnh (Fragmentation) trên đường truyền để đảm bảo hiệu suất mạng không bị suy giảm, đặc biệt trong các dự án quy mô lớn. Nắm vững kiến trúc này chính là bước đệm vững chắc để làm chủ các giải pháp hạ tầng hiện đại, từ On-premise cho đến Cloud.