IEEE 802.11協議制定了無線局域網MAC層和物理層的規范及其基本結構，但并沒有對無線局域網的構建做出規定。這給接入點AP和 由其組成的分布式系統在功能設計留出了很大的自由空間，但同時也給無線站點STA的移動帶來了問題，使STA不能自由地在不同廠商生產的AP間移動。為了 解決這個問題，IEEE工作組制定了802.11f協議，詳細闡述了接入點內部協議IAPP(Inter-Access Point Protocol)，IAPP協議旨在向用戶提供AP間的移動功能，以滿足用戶對移動性日益增長的需求。 IAPP協議只是解決了用戶移動而帶來的鏈路層通信的問題，要想保證移動用戶IP層通信的暢通，需要使用移動IP或DHCP技術。將 IAPP協議功能和這些技術結合起來，可以向用戶提供一個完整的移動性解決方案。

IEEE 802.11f協議簡介

在無線局域網中，站點STA的移動行為可能會產生如下幾個問題：

1) 舊AP(STA上次接入的AP)會認為自己與STA還有連接，當接收到STA的報文時，它仍會在本地BSS內發送該報文。這會導致無線資源的浪費和AP資 源的占用。因此新的AP(接收 STA重連接請求報文的AP)需要將STA的切換情況通知舊AP，讓它釋放掉與STA的單邊連接。

2) STA在舊AP上進行MAC層認證或其他認證(比如 802.1x認證)時，將會在舊AP上留下相應的用戶信息，當 STA切換到新AP時，如果還要進行耗時的認證過程，將導致切換效率不高。因此，當STA發生AP切換時，新AP需要從舊AP上獲得STA的用戶信息，然 后重建STA的工作環境，以對STA進行正確的管理。

3) 由于STA在切換時只是向新AP提供舊AP的MAC地址(即舊BSSID)，要與舊AP通信，新AP還需要知道舊AP 的IP地址等信息，所以要求新AP能夠根據舊AP的BSSID查詢到它的IP地址。

4) 在與AP連接的有線網絡中可能存在諸如網橋、交換機等二層轉發設備。當STA從網橋的一個端口連接的子網段移動到另一個端口的子網段時，如果網橋的轉發表 不能得到更新，將導致其他網絡節點發送給STA的報文不能被正確送達STA現在所處的位置，造成STA的報文丟失。因此需要新AP在處理STA的重連接請 求時通知這些二層設備更新轉發表。 為了解決上述問題，需要使用IEEE 802.11f協議中推薦的接入點內部協議IAPP。IAPP協議是IEEE 802.11工作組制訂的用于AP間互通的協議.它的主要功能是便于擴展服務集ESS的創建和維護，支持802.11移動站點在AP間的移動，保證每個移 動站點在確定時刻與AP間只有一個連接關系。包含有IAPP的AP協議結構如下圖所示：

包含IAPP的AP協議結構

在上圖中，陰影部分表示模塊間沒有連接關系。APME(AP management entity)是AP中的管理實體，它負責管理和協調AP中的各個協議功能模塊和與AP連接的802.11站點管理實體SME(Station management entity)，并通過服務訪問點IAPP SAP調用IAPP服務。IAPP是AP上支持STA移動的主要協議模塊，同時它又支持了一個RADIUS客戶端。當AP初始化加入一個ESS，或AP的 802.11 MAC層向APME指示有 STA切換到本AP時，APME使用IAPP服務原語，調用IAPP協議模塊發送RADIUS報文與RADIUS服務器交互，或廣播基于TCP/IP或 UDP/IP的IAPP報文來與DS域中的其它AP通信完成IAPP操作。 RADIUS協議是IAPP模塊進行安全正確操作所必需的。特別是當給定了其它AP的BSSID后，IAPP應能夠通過查詢RADIUS服務器，找出 ESS中的其它AP的IP地址，并獲得相關安全信息以保護特定IAPP數據包的內容。網絡中的設備除了802.11 AP可能用到IAPP協議操作外，二層網絡設備如網橋和交換機等，也會受到IAPP協議操作的影響。

IAPP協議的操作流程

在AP上使用IAPP協議就可以支持STA在子網內的移動，下面分STA向AP發起連接和重連接請求兩種情況對IAPP協議的操作流程進行分析。

1) STA發起連接請求時的IAPP操作流程

STA發起連接請求時的IAPP操作流程

當本地AP的APME接收到BSS中的STA向AP發起802.11 MAC層連接請求后，如果同意連接，并在STA返回ASSOCIATE.indication后，向本地IAPP發起ADD.request請求。本地 IAPP在接收到APME的ADD.request請求后，啟動確認定時器，并向本地子網廣播源MAC地址為STA MAC地址的XID幀和包含STA MAC地址和連接序號的IAPP ADD-notify報文。當對端AP的IAPP收到ADD-notify報文后，提取STA的MAC地址和連接序號，封裝在IAPP ADD.indication原語中發給自身的APME，APME收到后會對自己的連接列表進行檢查，如果還保留有與該STA的連接關系，而且連接序號比 ADD.indication原語所包含序號還舊的話則將之釋放，但是如果連接序號比ADD.indication原語所包含序號新的話則對端AP將重復 前述過程，重新向本地子網廣播源MAC地址為STA MAC地址的XID幀和包含STA MAC地址的IAPP ADD-notify報文，同時通知原來的AP中斷與STA的連接。 XID幀是鏈路層標識交換更新響應幀，當子網上的二層設備，如網橋、交換機等接收到該幀后，根據該幀的源MAC地址來更新自己的轉發表。如果在定時器超時 前，IAPP收到子網上的二層設備和其它AP的應答后，則調用ADD.confirm原語通知本地APME與STA的連接成功。否則表示連接失 敗，APME將中斷與STA的連接。

2) STA發起重連接請求時的IAPP操作流程

STA發起重連接請求時的IAPP操作流程

當AP的802.11 MAC層接收到來自STA的重連接請求后，它將調用MLME原語REASSOCIATE.indication通知本地APME。本地APME提取請求報 文中舊AP的BSSID、STA的MAC地址和連接序號等，封裝在IAPP原語MOVE.request向IAPP發起連接通知請求。IAPP收到 MOVE.request請求后，發送RADIUS ACCESS-REQUEST報文與RADIUS服務器交互，或在本地，通過查詢預先配置于AP中的ESS中AP MAC地址和IP地址的對應關系，將舊AP的BSSID解析為IP地址。新AP接收到舊AP的IP地址后，向STA原先連接的舊AP以TCP會話方式發送 IAPP MOVE-Notify報文，在報文中包含了STA的MAC地址。舊AP響應后，將自己保存的有關STA的上下文信息用MOVE-response報文發 送給新AP，并且釋放掉自己與STA的連接。新AP接收到舊AP的響應報文后，重建STA的用戶環境，然后在本地子網廣播源MAC地址為STA的XID 幀，子網上的二層設備接收到XID幀后，將根據該幀的源MAC地址更新轉發表中的相應記錄。IAPP向網絡廣播通知報文后，調用MOVE.confirm 原語通知APME。 如果要對IAPP MOVE-Response報文進行加密，RADIUS服務器在對新AP回復中，除了包括舊AP的IP地址外，還包括有安全域。這些安全域不僅包含了新舊 AP通信的共享密鑰，而且還用RADIUS注冊表中的AP的口令進行了加密。新AP接收到RADIUS服務器的回復后，把安全域作為Send- Security-Block報文發送給舊AP，這也是AP間IAPP TCP交換的第一個信息。舊AP返回ACK-Security-Block報文，這樣新舊AP都有了共享密鑰，可以對AP間會話所有報文進行加密。#p#

RADIUS協議支持

IAPP可以為ESS提供三種不同級別的支持：第一級不提供管理或安全支持;第二級支持BSSID到 IP地址的動態映射;第三級提供IAPP消息的加密和認證。第一級支持僅適用于小規模的ESS。對于大多數ESS而言，需要IAPP提供第二或第三級支 持，這要求在ESS中至少設置一個RADIUS服務器來提供地址映射和認證、加密等服務。 ESS中的每一個AP都可以作為RADIUS客戶端，它與RADIUS服務器之間擁有一個不同于其它AP的共享密碼。此外，RADIUS服務器還為每一個 BSSID保留了如下信息： a) 基本服務組標識BSSID; b) 至少為160位RADIUS BSSID密碼; c) BSSID的DSM IP地址或DNS域名; d) 用于IAPP通信加密的AP所支持的加密套件。 IAPP操作中用到的RADIUS服務可以分為兩大類：ESS管理和地址動態映射。而ESS又可以分為AP注冊和認證、IAPP密鑰管理和分發以及STA 的接入管理。

1. AP注冊和認證

AP的RADIUS注冊接入過程

AP為了加入一個ESS，首先由自身的IAPP向ESS中的RADIUS服務器發送攜帶AP IP地址、IAPP注冊服務類型和加入ESS的SSID的RADIUS注冊接入請求報文，該報文以AP的BSSID作為用戶名，以AP的BSSID密碼作 為用戶口令，還包含了AP所支持的封裝安全負荷協議ESP和認證頭協議AH的模式列表。RADIUS服務器在接收到該報文后，將對AP的身份進行鑒別，同 時對報文中的ESP列表進行檢查，如果AP支持ESP加密和ESP認證算法，并證實AP身份有效，RADIUS服務器將AP的BSSID注冊成為ESS中 的一部分，同時向AP返回RADIUS注冊接入許可報文。在該報文中不僅確認了AP成為ESS的有效成員，而且還向AP提供了多項安全域，用于構建一條安 全的IAPP組播信道。 如果RADIUS服務器對ESP列表檢查后，判定AP不支持ESP加密和ESP認證算法，或者AP身份無效，則向AP發送RADIUS注冊接入拒絕報文， 拒絕AP加入本ESS。當AP要脫離ESS時，需要向RADIUS服務器發送注銷報文，注銷AP的ESS成員身份。

2. STA的接入管理

當AP的802.11 MAC向APME指示有STA切換到本AP，并且接收到由STA發出的IAPP MOVE-Request請求后，該AP會向所在ESS中的RADIUS服務器發送包含STA先前連接AP的 BSSID(舊BSSID)的RADIUS接入請求報文。RADIUS服務器收到新AP接入請求報文后，將會檢查舊BSSID是否是當前ESS中的有效成 員。如果RAIDUS服務器判定新AP和舊AP可以用IAPP互通，則向新AP返回一個RADIUS接入許可報文。該報文不僅確認了舊BSSID是當前 ESS中一個有效成員，而且還包含了新、舊BSSID的安全域用于新舊AP之間安全信道的構建。 如果RAIDUS服務器對舊BSSID檢查后，認為新AP和舊AP不能通過IAPP互通，則向新AP返回RADIUS接入拒絕報文，新AP接收到 RADIUS服務器的接入拒絕響應后，向申請連接的STA發送MLME REASSOCIATE.confirm原語，并指示連接失敗。 3. IAPP密鑰的管理和分發在允許一個AP加入ESS后，RADIUS服務器會保存該AP的BSSID密碼，并向該AP回復RADIUS注冊接入許可報文。 在該報文中包含了一些可選屬性，指定了AP的ESP加/解密密鑰和認證密鑰、ESP加/解密算法號和認證算法號等。利用這些密鑰和算法，AP可以對發送和 接收的ADD-Notify報文進行加密和解密操作，從而構建一條安全的IAPP組播信道。 RADIUS服務器還為新舊AP之間的通信提供安全支持。在RADIUS接入許可報文的可選屬性中，New-BSSID-Security-Block包 含了RADIUS服務器為新AP指定的用于ESP加密和認證的一系列安全信息，并用新AP的BSSID密碼進行加密;Old-BSSID- Security-Block包含了RADIUS服務器為舊AP指定的用于ESP加密和認證的一系列安全信息，用舊AP的BSSID密碼進行了加密;新舊 AP的IAPP利用這些屬性，就可以建立一條安全連接進行通信。 4. 地址動態映射每一個AP在加入ESS時，都會向ESS中的RADIUS服務器發送RADIUS注冊接入請求報文，在該報文中包含了AP的BSSID和AP 的IP地址等信息。RADIUS在接收到AP的RADIUS注冊接入請求報文后，會對其進行檢查。如果通過檢查，RADIUS服務器將AP的BSSID注 冊成為ESS中的一部分，同時還保留了AP的的BSSID和IP地址等信息。這樣，ESS中的每一個AP都可以通過RADIUS服務器來查詢其它AP的 IP地址了。 如果沒有在RADIUS服務器進行注冊，AP將不能使用RADIUS服務器的地址解析功能將AP的BSSID解析為DSM的IP地址。

IAPP協議在AP上的實現分析

為了在AP上實現IAPP協議的功能，需要在AP中設置專門的IAPP模塊來執行IAPP操作和 RADIUS服務。IAPP模塊在AP中完成的主要功能是：(1) 初始化功能主要是完成IAPP協議和RADIUS客戶端的初始化，同時打開用于IAPP操作的TCP/UDP端口; (2) 聲明功能 a) 當有STA向本AP發起連接請求時，IAPP模塊將向DS廣播IAPP ADD-notify報文，使得至少在本地子網內的其它AP都不會再有與該STA的連接關系。 b) 當有STA向本AP發起連接或重連接請求時向有線網絡廣播XID幀，更新本地子網中二層設備的轉發表，使得它們可以正確轉發目的地址為STA的數據包。 (3) 移交功能當有STA向AP發起重連接請求時，IAPP模塊向舊AP發送IAPP MOVE-notify報文，通知舊AP以前與其連接的STA切換到了新AP。舊AP的IAPP模塊將用IAPP MOVE-response報文將該STA的有關信息返回給新AP，同時清除與該STA的連接關系。新AP根據收到的報文獲得用戶信息重建STA的工作環 境。 (4) 支持ESS管理和AP的IP地址查詢功能。當ESS中配有RADIUS服務器時，IAPP還需要實現RADIUS客戶端功能才保證IAPP的正確操作，為 此，IAPP模塊還需要實現： a) IAPP初始化時，用RADIUS Registration Access-Request報文向RADIUS服務器注冊。 b) 當有STA切換到本AP時，向RADIUS服務器發送RADIUS Access-Request報文，查詢STA原屬AP的IP地址。 c) 當AP要脫離ESS時，向RADIUS服務器發送注銷報文，同時關閉IAPP端口。 為了實現上述IAPP功能，IAPP模塊要分成三個子模塊：IAPP主模塊、RADIUS通信模塊和接口模塊。IAPP主模塊負責偵聽和處理IAPP端口 通信，指定給IAPP的端口號是3517。RADIUS通信模塊支持與RADIUS服務器的交互和AP的IP地址查詢，偵聽和處理RADIUS端口通信。 接口模塊向MAC層協議模塊的連接和重連接操作提供調用接口。除此之外，MAC層模塊、橋接模塊和802.1x控制模塊還將向IAPP模塊提供功能接口， 支持IAPP讀取、配置和管理該模塊內的用戶信息。

IAPP功能模塊圖 IAPP主模塊的執行流程圖

IAPP主模塊的執行流程

6 存在的問題

IAPP協議能較好地支持STA在子網內AP間的散步，但是發生AP切換時，STA的QoS并不能得到可靠地保證。另外，當STA跨子網漫游時，IAPP還必須結合移動IP和DHCP等技術來提供網絡層通信的漫游支持。這些問題都有待于將來作深入的研究。

參考文獻

[1] IEEE Standards Department.Draft Recommended Practice for Multi-Vendor Access Point Interoperability via an Inter-Access Point Protocol Across Distribution Systems Supporting IEEE 802.11 Operation.IEEE P802.11F/D4.1, November 2002

[2] Jin Xiaohui, Li Jiandong.IAPP enhancement protocol.Info-tech and Info-net, 2001. Proceedings. ICII 2001 - Beijing, 2001 International Conferences on , Volume: 2 , 2001 [3] Jim Geier.《無線局域網》，王群等譯.北京：人民郵電出版社，2001