【文章內(nèi)容簡介】 下所有 AP 的管理。 在集成 AC 方案中，采用集中式架構(gòu)（ FIT AP 架構(gòu)），使用 FIT AP 來負(fù)責(zé)無線終端的接入。使用集成的 SPU 板卡作為 AC，負(fù)責(zé)完成對 AP 設(shè)備的管理。 獨(dú)立 AC 獨(dú)立 AC 方案是指采用單獨(dú)的 AC 硬件設(shè)備，通過直路或者旁掛方式實(shí)現(xiàn)對于所有 AP的管理。 在獨(dú)立 AC 方案中，采用集中式架構(gòu)（ FIT AP 架構(gòu)），使用 FIT AP 來負(fù)責(zé)無線終端的接入。使用獨(dú)立的 AC 設(shè)備完成對 AP 設(shè)備的管理。 集成 AC 和獨(dú)立 AC 優(yōu)缺點(diǎn)比較如 表 14 所示。 表 14 集成 AC 和獨(dú)立 AC 優(yōu)缺點(diǎn)比較表 AC硬件形式 優(yōu)點(diǎn) 缺點(diǎn) 集成 AC 部署簡便；價(jià)格較低。 在接入用戶數(shù)方面略差 獨(dú)立 AC 可以實(shí)現(xiàn)大容量、高性能的WLAN 網(wǎng)絡(luò)部署。 價(jià)格較高，成本高。 本地 轉(zhuǎn)發(fā) 與集中 轉(zhuǎn)發(fā) 轉(zhuǎn)發(fā)模式主要是 AP 針對用戶數(shù)據(jù)可以有不同的轉(zhuǎn)發(fā)處理方式。 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 1 WLAN 方案概述 華為專有和保密信息 版權(quán)所有 169。 華為技術(shù)有限公司 8 本地轉(zhuǎn)發(fā) 又稱直接轉(zhuǎn)發(fā)，是指 AP 上對用戶數(shù)據(jù)由本地轉(zhuǎn)發(fā)到網(wǎng)絡(luò)上層，不經(jīng)過 AC 處理， AC只對 AP 進(jìn)行管理。而 AP 管理流封裝在 CAPWAP 隧道中，到達(dá) AC 終止。 圖 18 本地轉(zhuǎn)發(fā)示意圖 集中轉(zhuǎn)發(fā) 也稱作隧道轉(zhuǎn)發(fā)。業(yè)務(wù)數(shù)據(jù)報(bào)文由 AP 統(tǒng)一封裝后到達(dá) AC 實(shí)現(xiàn)轉(zhuǎn)發(fā)， AC 不但進(jìn)行對AP 管理，還作為 AP 流量的轉(zhuǎn)發(fā)中樞。即 AP 管理流與數(shù)據(jù)流都封裝在 CAPWAP 隧道中到達(dá) AC。 圖 19 隧道轉(zhuǎn)發(fā)示意圖 本地轉(zhuǎn)發(fā)與集中 轉(zhuǎn)發(fā)優(yōu)缺點(diǎn)對比 如 表 15 所示。 表 15 本地轉(zhuǎn)發(fā)與集中轉(zhuǎn)發(fā) 優(yōu)缺點(diǎn)對比表 轉(zhuǎn)發(fā)方式 優(yōu)點(diǎn) 缺點(diǎn) 本地轉(zhuǎn)發(fā) 設(shè)備署簡單，數(shù)據(jù)流量不經(jīng)過 AC，AC 負(fù)擔(dān)小。 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 1 WLAN 方案概述 華為專有和保密信息 版權(quán)所有 169。 華為技術(shù)有限公司 9 轉(zhuǎn)發(fā)方式 優(yōu)點(diǎn) 缺點(diǎn) 集中轉(zhuǎn)發(fā) 數(shù)據(jù)流量和管理流量全部經(jīng)過 AC，可以按用戶需求規(guī)劃安全監(jiān)管策略。 AC 設(shè)備數(shù)據(jù)壓力較大，對 AC設(shè)備本身處理能力要求較高。 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 2 WLAN 基礎(chǔ)網(wǎng)絡(luò)規(guī)劃 華為專有和保密信息 版權(quán)所有 169。 華為技術(shù)有限公司 10 2 WLAN基礎(chǔ)網(wǎng)絡(luò)規(guī)劃 IP地址規(guī)劃 AC的 IP地址 AC 用于管理 AP， IP 地址 一般通過靜態(tài)手工配置。 AP的 IP地址 AP 的 IP 地址分配 如果采用 靜態(tài)分配 ，由于一般 AP 數(shù)量較多， 配置工作量大， 且 容易沖突 、 不易于控制， 所以 不建議使用 ， 建議使用 DHCP 動(dòng)態(tài)分配。 DHCP 動(dòng)態(tài)分配 AP 的 IP 地址時(shí)，可以有以下幾種方式： ? 指定地址池分配 ? 根據(jù) DHCP Option 60 表明 AP 身份而分配指定地址池的 IP： AP 的 DHCP Discover 報(bào)文攜帶 Option 60，例如內(nèi)容為 “ Huawei AP” ，表示請求分配 IP 地址的設(shè)備是華為 AP，而不是 WLAN 用戶 。 DHCP Server 可以通過匹配或部分匹配 Option 60 字符串，來為 AP 從指定地址池中分配地址 。 如果網(wǎng)絡(luò)中部署多個(gè) DHCP Server 且只有部分支持 Option 60，交換機(jī)等設(shè)備 充當(dāng) DHCP Relay 時(shí)需要支持識別 DHCP option 60 并將 DHCP 報(bào)文轉(zhuǎn)發(fā)到相應(yīng)的DHCP Server 上。 ? 根據(jù) VLAN 分配指定地址池的 IP： AP 相連交換機(jī)端口以 Trunk 方式加入 VLAN， 允許通過的 VLAN 對應(yīng)的地址池即為 AP 分配 IP 地址。 ? 根據(jù) AP 的 MAC 地址指定分配： 在 DHCP Server 上配置 AP 的 MAC 以及對應(yīng)的 IP 地址 。 ? 統(tǒng)一分配 AP 的 IP 地址分配同 WLAN 用戶一樣，由 DHCP Server 統(tǒng)一分配，不再區(qū)別。 DHCP 動(dòng)態(tài)分配 AP 的 IP 地址各種 方式 優(yōu)劣勢 對比如 表 21 所示。 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 2 WLAN 基礎(chǔ)網(wǎng)絡(luò)規(guī)劃 華為專有和保密信息 版權(quán)所有 169。 華為技術(shù)有限公司 11 表 21 DHCP動(dòng)態(tài)分配 AP 的 IP 地址各種 方式 優(yōu)劣勢表 IP地址分配方式 優(yōu)勢 劣勢 適用場景 指定地址池分配 DHCP Option 60 AP 設(shè)備與無線用戶的 IP 地址分離 需要交換機(jī)配套支持 對設(shè)備 IP 地址管理與用戶 IP 地址管理要求隔離的 根據(jù) VLAN AP 設(shè)備與無線用戶的 IP 地址分離 網(wǎng)絡(luò)配置工作量較大，不利于 AP 即插即用 對設(shè)備 IP 地址管理與用戶 IP 地址管理要求隔離的 根據(jù) MAC AP 設(shè)備 與 無線用戶的 IP 地址分離 配置工作量較大， IP 地址管理難度加大 對少量 AP 設(shè)備管理有特殊要求的 統(tǒng)一分配 網(wǎng)絡(luò)配置簡單 對 AP IP管理沒有要求 無線終端 /用戶的 IP地址 移動(dòng)用戶 通過 DHCP 動(dòng)態(tài)分配 IP 地址， 不建議靜態(tài)配置；對于基本不移動(dòng)的無線終端（比如：無線打印機(jī)）可以靜態(tài)配置。 SSID規(guī)劃 企業(yè)園區(qū) 無線網(wǎng)絡(luò)一般按照業(yè)務(wù)類型劃分不同的 SSID（ Service Set Identification） 。 SSID映射以太網(wǎng)中的 VLAN 通常，以太網(wǎng)中 管理 VLAN 和業(yè)務(wù) VLAN 分離 。 業(yè)務(wù) VLAN 主要用于區(qū)分不同的業(yè)務(wù)類型或用戶群體 。 在 WLAN 網(wǎng)絡(luò) 中 SSID 也同樣可以承擔(dān)相應(yīng)的工作。因此，在業(yè)務(wù) VLAN 的規(guī)劃中必須綜合考慮 VLAN 與 SSID的映射關(guān)系。 業(yè)務(wù) VLAN 應(yīng)根據(jù)實(shí)際業(yè)務(wù)需要與 SSID 匹配映射關(guān)系，映射關(guān)系有 1: 1:N、 N: N:N 四種 ， AC 設(shè)備 終結(jié) VLAN 部署。 VAP構(gòu)建 AP 可以配置多個(gè) SSID，華為單頻 AP 可支持 16 個(gè) SSID，雙頻 AP 可支持 32 個(gè) SSID。通過配置多個(gè) SSID，可以將一個(gè) AP 劃分為多個(gè) VAP（ Virtual Access Point） ，每一個(gè) SSID對應(yīng)一個(gè) VAP， AC 針對 VAP 進(jìn)行策略下發(fā)， VAP 根據(jù)策略進(jìn)行終端與業(yè)務(wù)管理。 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 2 WLAN 基礎(chǔ)網(wǎng)絡(luò)規(guī)劃 華為專有和保密信息 版權(quán)所有 169。 華為技術(shù)有限公司 12 漫游規(guī)劃 漫游是指 用戶在 部署了 WLAN 網(wǎng)絡(luò)的場所移動(dòng)時(shí)， 用戶終端可以從一個(gè) AP 的覆蓋范圍移動(dòng)到另一個(gè) AP 的覆蓋范圍，用戶無需重新登錄和認(rèn)證。 圖 21 用戶漫游切換示意圖 如上圖所示，假設(shè) 終端與 AP1 已經(jīng)建立關(guān)聯(lián)信息， 隨著用戶 位置的 移動(dòng)，終端 切換到AP2，具體切換 流程如下： 1. 客戶端在各種信道中發(fā)送 請求幀。 AP2 在信道 6（ AP2 使用的信道）中收到請求后，通過在信道 6中發(fā)送應(yīng)答來進(jìn)行響應(yīng)?？蛻舳耸盏綉?yīng)答后，對其進(jìn)行評估，確定同哪個(gè) AP 關(guān)聯(lián)最合適。 2. 如圖中的標(biāo)號 1 所示，刪除用戶與 AP1 現(xiàn)有的關(guān)聯(lián)?？蛻舳送ㄟ^信道 1（ AP1使用的信道）向 AP1 發(fā)送 解除關(guān)聯(lián)信息，解除用戶與 AP1 間的關(guān)聯(lián)。 3. 如圖中的標(biāo)號 2 所示，客戶端通過信道 6 向 AP2 發(fā)送關(guān)聯(lián)請求， AP2 使用關(guān)聯(lián)響應(yīng)做出應(yīng)答，建立用戶與 AP2 間的關(guān)聯(lián)。 WLAN 網(wǎng)絡(luò)漫游中需 注意 以下兩點(diǎn)： ? 漫游切換需要保證 SSID 相同，即兩臺 AP 切換區(qū)域需要配置相同的 SSID。 ? 漫游切換 AP 必須是同一個(gè) AC 管理。 華為 WLAN 解決方案通過支持下述兩種快速漫游技術(shù)，實(shí)現(xiàn)業(yè)務(wù)的平滑過渡。 ? PMK caching： PMK caching技術(shù)是對于 用戶而言的，是指 AP 進(jìn)行 認(rèn)證時(shí)， STA 和 AC 都會(huì)緩存 PMK 和 PMKID； 當(dāng)漫游到新 APONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 2 WLAN 基礎(chǔ)網(wǎng)絡(luò)規(guī)劃 華為專有和保密信息 版權(quán)所有 169。 華為技術(shù)有限公司 13 時(shí)， STA會(huì)把這些 PMKID攜帶過去，無線控制器根據(jù) STA攜帶的 PMKID查找自己緩存的 PMK 信息，如果查到，就認(rèn)為 STA 已經(jīng)經(jīng)過 認(rèn)證，直接跳過 認(rèn)證過程，利用緩存的 PMK 進(jìn)行四次握手協(xié)商出加密 KEY, 從而縮短了 用戶的漫 游延時(shí)。如果沒有查到，則需要重新進(jìn)行 認(rèn)證過程。 ? 密鑰協(xié)商下移技術(shù)：密鑰協(xié)商下移主要是針對數(shù)據(jù)加密用戶包括 WPA/WPA2 PSK和 用戶。在沒有啟用這個(gè)功能之前， STA 主要與 AC 進(jìn)行單播和組播密鑰的協(xié)商；啟用這個(gè)功能后， STA直接與關(guān)聯(lián)上的 AP 進(jìn)行單播和組播密鑰的協(xié)商，這樣在漫游到新 AP 時(shí)，減少了密鑰協(xié)商所用的時(shí)間，從而縮短用戶漫游延時(shí)。 AP發(fā)現(xiàn)并選擇 AC方式規(guī)劃 FIT AP 架構(gòu)下的 WLAN 網(wǎng)絡(luò)中， FIT AP 為零配置，當(dāng) FIT AP 部署到網(wǎng)絡(luò)的時(shí)候， AP需要去找到相應(yīng)的 AC，并從 AC 上下載其配置 。 AP 發(fā)現(xiàn) AC 的機(jī)制有如下幾種： 二層廣播發(fā)現(xiàn) AC 當(dāng) AC 和 AP 同在一個(gè)二層的網(wǎng)絡(luò)中時(shí)，可以通過二層廣播方式直接發(fā)現(xiàn) AC。 通過 DHCP Option 43發(fā)現(xiàn) AC Option 43 是 DHCP 協(xié)議 的一個(gè)屬性， 在華為 WLAN 網(wǎng)絡(luò)里， AP 用它識別 AC 的 IP 地址。當(dāng) DHCP Server配置了 Option 43 后，它給 AP 分配 IP 時(shí)， 在 DHCP Offer 報(bào)文中 同時(shí) 會(huì) 將此屬性告知 AP。 圖 22 通過 DHCP Option 43發(fā)現(xiàn) AC 的報(bào)文交互圖 ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 2 WLAN 基礎(chǔ)網(wǎng)絡(luò)規(guī)劃 華為專有和保密信息 版權(quán)所有 169。 華為技術(shù)有限公司 14 通過 DNS發(fā)現(xiàn) AC 當(dāng) 網(wǎng)絡(luò)中部署了 DNS Server 時(shí) ，還可以 通過 DNS 方式讓 AP 來發(fā)現(xiàn) AC。 需要在 DHCP Server 上配置 DNS Server IP 地址以及 AC 的域名。當(dāng) AP 通過 DHCP 服務(wù)器獲取 IP 地址 時(shí)， DHCP Server 會(huì)在 DHCP Offer 報(bào)文中將 DNS 服務(wù)器 IP 地址（ Option 6）和 AC域名（ Option 15）告知 AP，在 AP 獲取到 IP 地址后，則 通過 DNS服務(wù)器解析到 AC 的IP，從而實(shí)現(xiàn) 對 AC 的發(fā)現(xiàn)和關(guān)聯(lián)。 圖 23 通過 DNS發(fā)現(xiàn) AC 的報(bào)文交互圖 AP上預(yù)配置 AC列表 AP 可以預(yù)配置 AC 的 IP 地址列表。 當(dāng)預(yù)配置好 AC 列表 時(shí)， AP 將不再啟動(dòng)正常的 L2或 L3 的發(fā)現(xiàn)過程，故 AC 列表里的地址不可達(dá)時(shí)， AP 將永遠(yuǎn)連接不上 AC。 上述幾種方式 優(yōu)劣勢 對比如 下 表 所示。 表 22 AP 發(fā)現(xiàn)并選擇 AC 方式優(yōu)劣勢對比表 方式 部署要求 優(yōu)勢 劣勢 適用網(wǎng)絡(luò) DHCP Option 43 DHCP Server 啟動(dòng) Option 43屬性 適用于 AP/AC任何組網(wǎng)中 對網(wǎng)絡(luò)有部署要求 大中型WLAN 網(wǎng)絡(luò)，ONE NET Campus 園區(qū) WLAN 方案 技術(shù)建議書 2 WLAN 基礎(chǔ)網(wǎng)絡(luò)規(guī)劃 華為專有和保密信息 版權(quán)所有 169。 華為技術(shù)有限公司 15 方式 部署要求 優(yōu)勢 劣勢 適用網(wǎng)絡(luò) DNS 部署 DNS Server；DHCP Server 支持 Option 15屬性 AP/AC 二層或三層組網(wǎng) 二層廣播發(fā)現(xiàn) 無 對已有網(wǎng)絡(luò)沒有額外要求 僅能用于AP/AC 二層組網(wǎng)中 小型 WLAN網(wǎng)絡(luò)， AP/AC二層組網(wǎng) AP 上預(yù)配置靜態(tài) AC 列表 AP 預(yù)配置 對已有網(wǎng)絡(luò)沒有額外要求 需要對 AP 逐一進(jìn)行配置，工作量大；若AC 的 IP 地址發(fā)生變化，則需要重新修改AP 的配置 小型 WLAN