资料编码
WLAN 典型组网白皮书
文档版本
V0.1 发布日期 2014-07-02
华为技术有限公司
版权所有? 华为技术有限公司2009。保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司
地址:深圳市龙岗区坂田华为总部办公楼邮编:518129
网址:https://www.doczj.com/doc/b67349070.html,
客户服务邮箱:support@https://www.doczj.com/doc/b67349070.html,
客户服务电话:0755-******** 4008302118
客户服务传真:0755-********
文档版本V0.1
华为专有和保密信息
版权所有? 华为技术有限公司第3 共78
目录
1 简介/Introduction (4)
2 WLAN基本网络框架 (5)
2.1 WLAN网络框架 (5)
2.2 WLAN网络组成 (6)
3 WLAN典型组网 (8)
3.1 无线办公典型组网 (8)
3.2 分支场景典型组网 (18)
3.3 WDS典型组网 (32)
3.4 MESH典型组网 (38)
3.5 WIDS/WIPS典型组网 (41)
3.6 跨AC漫游典型组网 (45)
3.7 IPv6典型组网 (48)
3.8 mDNS特性典型组网 (51)
3.9 无线定位典型组网 (53)
3.10 频谱分析典型组网 (59)
3.11 高密场馆典型组网 (62)
3.12 AC冗余备份典型组网 (64)
4 缩略语表/Acronyms and Abbreviations (78)
1 简介/Introduction
基于IEEE 802.11标准的无线局域网(WLAN)技术已开始从企业、家庭市场进入运营市场。WLAN作为一种运营业务已在全球主流运营商内进行试验并开始投入商用。从组网的角度,WLAN在特定的场合可以替代其有线接入方式作为最后一公里解决方案,例如公众热点区域、家庭无线宽带接入等;从可运营业务的角度看,由于WLAN具有相对于诸如2.5G、3G等无线技术的高带宽和低成本,能满足客户对高速无线宽带业务的需要,无论是固网运营商还是移动运营商都非常看好其应用前景,当前中国运营商都开始考虑并逐步部署3G+WLAN的模式,将WLAN作为3G数据业务的低成本补充接入手段。
对于可运营的WLAN,从组网的角度,为了实现WLAN网络的快速部署、网络设备的集中管理、精细化的用户管理,相比胖AP(自治性AP)方式,运营商更倾向于采用集中控制性WLAN组网(瘦AP+AC),从而实现WLAN系统、设备的可运维、以管理。本文主要就WLAN网络瘦AP+AC模式下组网架构进行阐述,描述了影响组网架构的典型要素,以及典型的组网结构及其使用的场景。
本文适用于一线产品经理、行销工程师等。
2 WLAN基本网络框架
2.1 WLAN网络框架
瘦AP+AC架构的WLAN网络主要由WLAN终端设备(STA)、WLAN接入点设
备(AP)、接入控制点(AC)、PORTAL服务器、AAA服务器、OSS等组成,逻
辑组网示意图如下。
图2-1WLAN逻辑组网示意图
文档版本V0.1
华为专有和保密信息
版权所有? 华为技术有限公司第6 共78
2.2 WLAN网络组成
(1)WLAN终端设备(STA)
WLAN终端设备包括安装了无线网卡的电脑,也包括了支持WiFi功能的PDA、
手机、平板电脑等。
(2)接入点设备(Access Point,简称AP)
AP是WLAN业务网络的小型无线基站设备,完成IEEE 802.11a/b/g/n标准的无
线接入,是连接有线网络与无线网络的桥梁。
(3)接入控制器(Access Controller,简称AC)/宽带远程接入服务器(BRAS)
纯粹的AC承担对WLAN网络中的AP的集中管理功能,完成无线信道管理、设
备管理维护、基本的WLAN用户接入管理。
(4)PORTAL服务器
当WLAN网络采用WEB认证方式时,当STA关联WLAN网络后通过浏览器发
起Internet访问请求时,AC将该请求强制发送到PORTAL服务器。PORTAL服
务器接收到该请求后,向用户推送特定的认证页面。当用户在认证页面输入相关
认证信息并提交后,PORTAL服务器接收用户认证请求并向AC发起用户认证过
程;用户认证完成后,PORTAL服务器将认证结果通知用户。通过认证的终端用
户随后可以正常访问网络
(5)AAA服务器
AAA是认证(Authentication)、授权(Authorization)、计费(Accounting)的缩
写,AAA服务器的功能也体现在这三个方面。AAA的主要应用是通过RADIUS
协议和接入设备(例如AC、BRAS等)配合,实现对以IP方式接入网络的认证、
授权和计费。即对某用户为接入到某网络是否有权限进行认证,并对有权用户授
予其使用网络所具备的权限(带宽属性等),并对使用网络进行计帐。
在WLAN网络中,AAA服务器接受来自AP/AC的用户认证服务请求,对WLAN
用户进行认证,并将认证/授权结果通知AC,AC则根据认证/授权结果控制终端
用户的网络访问权限。在用户访问网络中和结束后,AAA服务器接收计费信息
采集点(AC)发送的计费数据信息,经过预处理后产生话单(计费数据记录CDR),
文档版本V0.1
华为专有和保密信息
版权所有? 华为技术有限公司第7 共78
并将话单发送给BOSS进行批价处理(后付费方式)或由AAA同OCS配合实现实时计费(预付费方式)。
文档版本V0.1
华为专有和保密信息
版权所有? 华为技术有限公司第8 共78
3 WLAN典型组网
3.1 无线办公典型组网
3.1.1 旁挂/直挂典型组网
旁挂式组网
旁挂式组网是指WLAN AC旁挂在现有网络中(多在汇聚交换机旁边),实现对
AP的WLAN业务管理。
在旁挂式组网中,WLAN AC只承载对AP的管理功能,管理流封装在CAPW AP
隧道中传输。数据业务流可以通过CAPW AP数据隧道经AC转发,也可以不经
过AC直接转发,后者无线用户业务流经汇聚交换机传输至上层网络。
隧道转发
隧道转发模式下,无线用户业务数据也封装在CAPWAP隧道中,在AP与AC间
转发。
如下图所示,不仅AP的管理流封装在CAPW AP协议的隧道中,而且AP的数据
业务流也进行CAPW AP封装,由AP发送到WLAN AC,再由WLAN AC透传至
上层设备中。
这种方式多用于无线用户的集中独立控制场景。通过此方式,一方面具有了旁挂
式组网的快速叠加部署的优点,同时通过CAPWAP数据隧道将分散的多AP接入
的所有无线用户流量汇聚到AC,实现对所有无线用户数据流的集中控制。
文档版本V0.1
华为专有和保密信息
版权所有 ? 华为技术有限公司
第9 共78
图3-1 旁挂式组网-隧道转发模式
直接转发
直接转发模式下,无线用户业务数据直接在AP 上完成802.3和802.11报文转换后,通过上行的汇聚交换机进行转发。
这种方式是常用的组网模式,此时无线用户业务数据无需经过AC 集中处理,基本无带宽瓶颈,而且便于继承现有网络的安全策略,故此模式是推荐的融合网络部署方案。
CAPWAP 隧道
:数据报文
:控制报文
文档版本V0.1
华为专有和保密信息
版权所有 ? 华为技术有限公司
第10 共78
图3-2 旁挂式组网-直接转发模式
● WLAN AC 旁挂在汇聚交换机旁边,仅完成对AP 的管理。所有的AP 管理
流必须全部到达WLAN AC 。
汇聚交换机预留与WLAN AC 连接的端口,并启动DHCP Server 功能给AP 分配IP 地址,AP 通过DHCP Option43、DHCP Option15或DNS 的方式发现WLAN AC 。
● AP 的数据业务不经过WLAN AC ,直接本地转发。
终端用户可根据不同的SSID 配置不同的业务VLAN ,配置接入交换机和汇聚交换机识别这些业务VLAN ,转发到上层设备。由汇聚交换机对终端用户进行接入控制和IP 地址的分配等,并根据认证方式对用户进行身份验证,验证通过后,用户流量通过IP 网络进入Internet 网络。
在旁挂式组网下,汇聚交换机管辖范围内部署的AP 都由汇聚交换机旁挂的WLAN AC 管理,WLAN AC 部署相对集中,适合于AP 比较分散的热点部署的组网应用。
CAPWAP 隧道
:数据报文
:控制报文
文档版本V0.1
华为专有和保密信息
版权所有? 华为技术有限公司第11 共78
旁挂式组网属于现网叠加方式,对现网改造少,部署快速方便。另外,可根据对
无线用户的控制要求,根据需求选择采用直接转发或隧道转发模式。在大多企业
网络中,建议采用隧道转发模式,这也是常见的叠加网络部署方式。
直连式组网
直连式组网是指WLAN AC下直接接入AP或接入交换机,同时扮演AC和汇聚
交换机功能,AP的数据业务和管理业务都由WLAN AC集中转发和处理。
直连式组网方式中,AP和WLAN AC之间建立CAPW AP管理隧道,AC通过该
CAPW AP管理隧道实现对AP的集中配置和管理。无线用户的业务数据可以通过
CAPW AP数据隧道在AP与AC之间转发(隧道转发模式),也可以由AP直接
转发(直接转发模式)。
由于直连式组网中,AC自然串接在线路中,故多采用直接转发模式,用户业务
数据在AP上实现转发。
WLAN AC启动DHCP Server功能,给AP分配IP地址,AP通过DHCP Option43、
DHCP Option15或DNS的方式或二层发现协议发现WLAN AC,建立数据业务通
道。
文档版本V0.1
华为专有和保密信息
版权所有 ? 华为技术有限公司
第12 共78
图3-3 数据业务流不封装在CAPW AP 隧道
直接转发模式下AP 的管理流封装在CAPW AP 协议的隧道中,而AP 的数据业务流不加CAPW AP 封装,直接由AP 发送到WLAN AC ,再由WLAN AC 透传至上层设备中。如图2-3所示,所有数据流不封装进CAPWAP 协议,通过WLAN AC 透传至上层设备,AP 管理流则通过CAPW AP 封装,用不同的VLAN 区分业务流。
在这种方式下,需预先在交换机配置管理VLAN ,还需要在AC 上配置数据VLAN ,用于区分不用的WLAN 业务流。
● WLAN AC 及其上层设备,配置AC 管理VLAN ,用于WLAN AC 与网管系
统对接。
● AP 至WLAN AC 的接入交换机上,配置AP 管理VLAN ,用于AP 与WLAN AC 间的对接。
●
AP 至WLAN AC 的接入交换机上,配置用户的数据VLAN ,用于区分不同的WLAN 业务流。
CAPWAP 隧道
:数据报文
:控制报文
文档版本V0.1
华为专有和保密信息
版权所有? 华为技术有限公司第13 共78
由于WLAN AC兼有一定的接入汇聚交换能力,可以直接接入AP并提供
PoE/PoE+供电能力。在直连式组网中,多采用直接转发模式,适用于中小规模集
中部署的WLAN网络,并可以简化网络架构。
3.1.2 二/三层典型组网
图3-4AP-AC间二层/三层组网示意图
层二/层三组网是指AP和AC间的IP网络是二层组网还是三层组网。
当AP和AC间为二层组网时,除要求二层网络设备能提供按VLAN转发功能外,
没有其他特殊要求。二层组网对WLAN业务均可支持。
当AP和AC间为三层组网时,AP发现AC方式如采用DHCP/DNS方式(AC作
为DHCP SERVER。AP发现AC方式见下文),则需要AP、AC间设备支持DHCP
RELAY功能。系统同时支持“集中认证、集中转发”、“集中认证、本地转发”,
具体参见下一个章节“不同转发模式下的用户认证”的描述。
3.1.3 认证相关典型组网(1X/MAC/Portal认证)
华为WLAN网络支持WPA(2) PSK认证、802.1X认证、MAC认证、Portal认证
多种认证方式:
文档版本V0.1
华为专有和保密信息
版权所有? 华为技术有限公司第14 共78
华为WLAN系统还支持MAC+Portal的组合认证,这也是一个典型的提供用户快捷接入的用户接入方式,其针对的应用场景如下:无线终端用户第一次访问网络时,网络强制推送Portal认证页面,首次Portal认证通过后,在接下来一段时间的后续接入(时间可配置,比如1周),直接进行MAC认证,无需再次输入账号密码,简化用户的操作。
Portal认证的典型组网:
图3-5Portal认证的典型组网
注:
文档版本V0.1
华为专有和保密信息
版权所有? 华为技术有限公司第15 共78
1.WLAN AC支持内置Portal认证方式。如果启用内置Portal认证,此时无需部
署独立的Portal服务器
2.华为Portal认证下仍需部署radius服务器,最终用户认证、授权和计费是在
radius服务器上控制的
802.1X
认证的典型组网:
图3-6802.1X认证的典型组网
注:
1.无线80
2.1X认证,采用WPA(2)+802.1X认证方式,提供无线空口链路加密
的安全性
当前V2R5版本,无线1X认证、Portal认证都支持集中转发模式和本地转发模式(历史上V2R1版本,当采用Portal认证时,不支持集中本地转发模式)。
用户认证与转发模式的组网关系图如下:
文档版本V0.1
华为专有和保密信息
版权所有? 华为技术有限公司第16 共78
图3-7不同转发模式下的用户认证
在真实的企业网络应用中,通常会部署两个无线SSID服务器,一个用于企业员
工的无线网络接入,一个用于访客的无线网络接入。其中:
员工无线网络:
无线802.1X认证,本地转发模式
访客无线网络:
Portal认证,集中转发模式,对访客流量进行集中的ACL控制,比如限制访
问公司内部网络,只允许经出口路由器访问互联网
3.1.4 射频调优特性说明
射频自动调优一方面可以为新上线(开通)AP自动分配信道和功率(自组织),
另一方面也能在运维中根据无线环境自动调整AP的功率和信道(自优化),另外
在在检测到AP退服(下线)时还可以对覆盖空洞进行修复(自修复)。
射频调优是纯无线网络侧设备的特性,不需要终端侧参与,与终端,交换机等网
络设备无关。组成架构上只涉及到无线接入点AP,AP控制器AC以及网管系统。
网管系统跟调优算法本身没有关系,只是收集和呈现一些告警、展现AP使用的
信道和功率等。
文档版本V0.1 华为专有和保密信息
版权所有 ? 华为技术有限公司
第17 共78 AC
网管
AP3AP4
1、生成和维护邻居拓扑
信息;
2、运行调优算法,生成
网管系统与调优算法本身
没有关系:
1、触发调优的AP 退服的
告警等可在网管上呈现;
2、调优的结果(信道、
功率)可呈现在网管上。图3-8 射频调优典型组网图
如图1-1所示,射频调优方案,主要包括以下几个部分:
AP :
1、实时收集邻居信息;
2、将收集的邻居信息上报给AC ;
3、执行AC 下发的调优结果,根据需要改变信道和功率。
AC :
1、生成和维护邻居拓扑信息;
2、运行调优算法,生成调优结果:AP 新的发射功率和信道;
3、向AP 下发调优计算结果。
网管
网管系统与调优算法本身没有关系,在网管与调优特性相关的有:
1、触发调优的AP 退服的告警等可在网管上呈现;
2、AP 的信道和功率可呈现在网管上。
典型配置指导:
文档版本V0.1
华为专有和保密信息
版权所有? 华为技术有限公司第18 共78
对于典型的无线办公等非高密场景,建议启动自动调优功能,省去了射频信道规
划的工作。对于高密等特殊场景,建议关闭自动调优功能,进行手动配置。
对应配置命令如下:
calibrate enable { auto [ interval interval-value ] | manual | schedule time
time-value },配置射频调优的模式。
3.2 分支场景典型组网
3.2.1 广域逃生特性典型组网
如下图所示为广域逃生的典型组网,当W AN故障或AC故障导致AC和AP链路
中断时,AP切换为独立工作模式,此时
AP可以为在线用户续航,为新用户提供
正常接入认证,用户可以继续访问本地或网络资源。
WAN链路发生故障后,逃生模式下,在线用户不会掉线,业务依然续航,可以访问本地资源,如图中所示本地资源服务器或者其他终端等;如果是AC与W AN 链路出故障下的逃生场景,用户也可以访问W AN网络资源,不感知故障,不影响用户体验。
可见广域逃生功能可以为用户提供更加友好的接入和续航服务。
图3-9逃生认证部署场景视图
注:
1.如果需要启用广域逃生特性,部署上只能使用本地转发/直接转发模式,不能
集中转发/隧道转发模式。
文档版本V0.1
华为专有和保密信息
版权所有? 华为技术有限公司第19 共78
2.当前V2R5版本广域逃生,不支持广域断链后,新用户的接入;
如果需要在逃生模式下,支持新用户接入,需要在分支本地部署Radius、Portal
Server,并AP要根据AC-AP链路状态,来动态调整新用户接入的认证服务
器(源端AC侧服务器,还是本地服务器)
关键配置命令:
keep-service enable命令用来配置当AP与AC的CAPW AP链路中断后,AP能够
继续提供数据服务。
3.2.2 IPSec & GRE VPN典型组网
IPSec VPN典型组网
在
Internet的传输中,绝大部分数据的内容都是明文传输的,这样就会存在很多
潜在的危险,比如:密码、银行帐户的信息被窃取、篡改,用户的身份被冒充,遭受网络恶意攻击等。网络中部署IPSec后,可对传输的数据进行保护处理,降低信息泄漏的风险。
IPSEC协议工作在IP层,它能够为TCP/UDP等上层协议和应用提供抗重放、认证、加密等透明的安全传输服务。
图3-10IPSec建立的SA和隧道
SA由一个三元组来唯一标识,这个三元组包括安全参数索引SPI(Security Parameter Index)、目的IP地址(SA的终端地址)和使用的安全协议。
文档版本V0.1
华为专有和保密信息
版权所有? 华为技术有限公司第20 共78
有以下两种方式建立SA:
手工方式:SA所需的全部信息都必须手工配置。
IKE动态协商方式:由IKE协议完成密钥的自动协商,实现动态协商来创建和维护SA。
手工方式适用于对等体设备数量较少时,或是在小型网络中。对于中大型网络,推荐使用IKE协商建立SA。
IPSec具有两种安全协议,分别是认证头协议AH和封装安全载荷协议ESP:
AH(Authentication Header)认证头协议,主要指发送端对IP头的不变部分和IP净荷进行离散运算,生成一个摘要字段;接收端对报文重新计算摘要字段,通过摘要字段的比较,判别报文在网络传输期间是否被篡改,为Peer间数据流提供安全的传输。
ESP(Encapsulating Security Payload)安全封装协议,主要指为IP数据净荷提供
完整性检查和加密。与AH协议不同之处在于没有对IP头进行保护、提供了数据加密功能
下面为WLAN的IPSEC常见场景:
图3-11IPSEC VPN场景
WLAN业务其它场景V2R5暂不支持(AP不支持IPSEC),包括
1.Fit-AP与汇聚路由器建立IPSec VPN通道