【文章內容簡介】 下所有 AP 的管理。 在集成 AC 方案中，采用集中式架構（ FIT AP 架構），使用 FIT AP 來負責無線終端的接入。使用集成的 SPU 板卡作為 AC，負責完成對 AP 設備的管理。 獨立 AC 獨立 AC 方案是指采用單獨的 AC 硬件設備，通過直路或者旁掛方式實現(xiàn)對于所有 AP的管理。 在獨立 AC 方案中，采用集中式架構（ FIT AP 架構），使用 FIT AP 來負責無線終端的接入。使用獨立的 AC 設備完成對 AP 設備的管理。 集成 AC 和獨立 AC 優(yōu)缺點比較如 表 14 所示。 表 14 集成 AC 和獨立 AC 優(yōu)缺點比較表 AC硬件形式 優(yōu)點 缺點 集成 AC 部署簡便；價格較低。 在接入用戶數(shù)方面略差 獨立 AC 可以實現(xiàn)大容量、高性能的WLAN 網絡部署。 價格較高，成本高。 本地 轉發(fā) 與集中 轉發(fā) 轉發(fā)模式主要是 AP 針對用戶數(shù)據可以有不同的轉發(fā)處理方式。 ONE NET Campus 園區(qū) WLAN 方案 技術建議書 1 WLAN 方案概述 華為專有和保密信息 版權所有 169。 華為技術有限公司 8 本地轉發(fā) 又稱直接轉發(fā)，是指 AP 上對用戶數(shù)據由本地轉發(fā)到網絡上層，不經過 AC 處理， AC只對 AP 進行管理。而 AP 管理流封裝在 CAPWAP 隧道中，到達 AC 終止。 圖 18 本地轉發(fā)示意圖 集中轉發(fā) 也稱作隧道轉發(fā)。業(yè)務數(shù)據報文由 AP 統(tǒng)一封裝后到達 AC 實現(xiàn)轉發(fā)， AC 不但進行對AP 管理，還作為 AP 流量的轉發(fā)中樞。即 AP 管理流與數(shù)據流都封裝在 CAPWAP 隧道中到達 AC。 圖 19 隧道轉發(fā)示意圖 本地轉發(fā)與集中 轉發(fā)優(yōu)缺點對比 如 表 15 所示。 表 15 本地轉發(fā)與集中轉發(fā) 優(yōu)缺點對比表 轉發(fā)方式 優(yōu)點 缺點 本地轉發(fā) 設備署簡單，數(shù)據流量不經過 AC，AC 負擔小。 ONE NET Campus 園區(qū) WLAN 方案 技術建議書 1 WLAN 方案概述 華為專有和保密信息 版權所有 169。 華為技術有限公司 9 轉發(fā)方式 優(yōu)點 缺點 集中轉發(fā) 數(shù)據流量和管理流量全部經過 AC，可以按用戶需求規(guī)劃安全監(jiān)管策略。 AC 設備數(shù)據壓力較大，對 AC設備本身處理能力要求較高。 ONE NET Campus 園區(qū) WLAN 方案 技術建議書 2 WLAN 基礎網絡規(guī)劃 華為專有和保密信息 版權所有 169。 華為技術有限公司 10 2 WLAN基礎網絡規(guī)劃 IP地址規(guī)劃 AC的 IP地址 AC 用于管理 AP， IP 地址 一般通過靜態(tài)手工配置。 AP的 IP地址 AP 的 IP 地址分配 如果采用 靜態(tài)分配 ，由于一般 AP 數(shù)量較多， 配置工作量大， 且 容易沖突 、 不易于控制， 所以 不建議使用 ， 建議使用 DHCP 動態(tài)分配。 DHCP 動態(tài)分配 AP 的 IP 地址時，可以有以下幾種方式： ? 指定地址池分配 ? 根據 DHCP Option 60 表明 AP 身份而分配指定地址池的 IP： AP 的 DHCP Discover 報文攜帶 Option 60，例如內容為 “ Huawei AP” ，表示請求分配 IP 地址的設備是華為 AP，而不是 WLAN 用戶 。 DHCP Server 可以通過匹配或部分匹配 Option 60 字符串，來為 AP 從指定地址池中分配地址 。 如果網絡中部署多個 DHCP Server 且只有部分支持 Option 60，交換機等設備 充當 DHCP Relay 時需要支持識別 DHCP option 60 并將 DHCP 報文轉發(fā)到相應的DHCP Server 上。 ? 根據 VLAN 分配指定地址池的 IP： AP 相連交換機端口以 Trunk 方式加入 VLAN， 允許通過的 VLAN 對應的地址池即為 AP 分配 IP 地址。 ? 根據 AP 的 MAC 地址指定分配： 在 DHCP Server 上配置 AP 的 MAC 以及對應的 IP 地址 。 ? 統(tǒng)一分配 AP 的 IP 地址分配同 WLAN 用戶一樣，由 DHCP Server 統(tǒng)一分配，不再區(qū)別。 DHCP 動態(tài)分配 AP 的 IP 地址各種 方式 優(yōu)劣勢 對比如 表 21 所示。 ONE NET Campus 園區(qū) WLAN 方案 技術建議書 2 WLAN 基礎網絡規(guī)劃 華為專有和保密信息 版權所有 169。 華為技術有限公司 11 表 21 DHCP動態(tài)分配 AP 的 IP 地址各種 方式 優(yōu)劣勢表 IP地址分配方式 優(yōu)勢 劣勢 適用場景 指定地址池分配 DHCP Option 60 AP 設備與無線用戶的 IP 地址分離 需要交換機配套支持 對設備 IP 地址管理與用戶 IP 地址管理要求隔離的 根據 VLAN AP 設備與無線用戶的 IP 地址分離 網絡配置工作量較大，不利于 AP 即插即用 對設備 IP 地址管理與用戶 IP 地址管理要求隔離的 根據 MAC AP 設備 與 無線用戶的 IP 地址分離 配置工作量較大， IP 地址管理難度加大 對少量 AP 設備管理有特殊要求的 統(tǒng)一分配 網絡配置簡單 對 AP IP管理沒有要求 無線終端 /用戶的 IP地址 移動用戶 通過 DHCP 動態(tài)分配 IP 地址， 不建議靜態(tài)配置；對于基本不移動的無線終端（比如：無線打印機）可以靜態(tài)配置。 SSID規(guī)劃 企業(yè)園區(qū) 無線網絡一般按照業(yè)務類型劃分不同的 SSID（ Service Set Identification） 。 SSID映射以太網中的 VLAN 通常，以太網中 管理 VLAN 和業(yè)務 VLAN 分離 。 業(yè)務 VLAN 主要用于區(qū)分不同的業(yè)務類型或用戶群體 。 在 WLAN 網絡 中 SSID 也同樣可以承擔相應的工作。因此，在業(yè)務 VLAN 的規(guī)劃中必須綜合考慮 VLAN 與 SSID的映射關系。 業(yè)務 VLAN 應根據實際業(yè)務需要與 SSID 匹配映射關系，映射關系有 1: 1:N、 N: N:N 四種 ， AC 設備 終結 VLAN 部署。 VAP構建 AP 可以配置多個 SSID，華為單頻 AP 可支持 16 個 SSID，雙頻 AP 可支持 32 個 SSID。通過配置多個 SSID，可以將一個 AP 劃分為多個 VAP（ Virtual Access Point） ，每一個 SSID對應一個 VAP， AC 針對 VAP 進行策略下發(fā)， VAP 根據策略進行終端與業(yè)務管理。 ONE NET Campus 園區(qū) WLAN 方案 技術建議書 2 WLAN 基礎網絡規(guī)劃 華為專有和保密信息 版權所有 169。 華為技術有限公司 12 漫游規(guī)劃 漫游是指 用戶在 部署了 WLAN 網絡的場所移動時， 用戶終端可以從一個 AP 的覆蓋范圍移動到另一個 AP 的覆蓋范圍，用戶無需重新登錄和認證。 圖 21 用戶漫游切換示意圖 如上圖所示，假設 終端與 AP1 已經建立關聯(lián)信息， 隨著用戶 位置的 移動，終端 切換到AP2，具體切換 流程如下： 1. 客戶端在各種信道中發(fā)送 請求幀。 AP2 在信道 6（ AP2 使用的信道）中收到請求后，通過在信道 6中發(fā)送應答來進行響應?？蛻舳耸盏綉鸷螅瑢ζ溥M行評估，確定同哪個 AP 關聯(lián)最合適。 2. 如圖中的標號 1 所示，刪除用戶與 AP1 現(xiàn)有的關聯(lián)?？蛻舳送ㄟ^信道 1（ AP1使用的信道）向 AP1 發(fā)送 解除關聯(lián)信息，解除用戶與 AP1 間的關聯(lián)。 3. 如圖中的標號 2 所示，客戶端通過信道 6 向 AP2 發(fā)送關聯(lián)請求， AP2 使用關聯(lián)響應做出應答，建立用戶與 AP2 間的關聯(lián)。 WLAN 網絡漫游中需 注意 以下兩點： ? 漫游切換需要保證 SSID 相同，即兩臺 AP 切換區(qū)域需要配置相同的 SSID。 ? 漫游切換 AP 必須是同一個 AC 管理。 華為 WLAN 解決方案通過支持下述兩種快速漫游技術，實現(xiàn)業(yè)務的平滑過渡。 ? PMK caching： PMK caching技術是對于 用戶而言的，是指 AP 進行 認證時， STA 和 AC 都會緩存 PMK 和 PMKID； 當漫游到新 APONE NET Campus 園區(qū) WLAN 方案 技術建議書 2 WLAN 基礎網絡規(guī)劃 華為專有和保密信息 版權所有 169。 華為技術有限公司 13 時， STA會把這些 PMKID攜帶過去，無線控制器根據 STA攜帶的 PMKID查找自己緩存的 PMK 信息，如果查到，就認為 STA 已經經過 認證，直接跳過 認證過程，利用緩存的 PMK 進行四次握手協(xié)商出加密 KEY, 從而縮短了 用戶的漫 游延時。如果沒有查到，則需要重新進行 認證過程。 ? 密鑰協(xié)商下移技術：密鑰協(xié)商下移主要是針對數(shù)據加密用戶包括 WPA/WPA2 PSK和 用戶。在沒有啟用這個功能之前， STA 主要與 AC 進行單播和組播密鑰的協(xié)商；啟用這個功能后， STA直接與關聯(lián)上的 AP 進行單播和組播密鑰的協(xié)商，這樣在漫游到新 AP 時，減少了密鑰協(xié)商所用的時間，從而縮短用戶漫游延時。 AP發(fā)現(xiàn)并選擇 AC方式規(guī)劃 FIT AP 架構下的 WLAN 網絡中， FIT AP 為零配置，當 FIT AP 部署到網絡的時候， AP需要去找到相應的 AC，并從 AC 上下載其配置 。 AP 發(fā)現(xiàn) AC 的機制有如下幾種： 二層廣播發(fā)現(xiàn) AC 當 AC 和 AP 同在一個二層的網絡中時，可以通過二層廣播方式直接發(fā)現(xiàn) AC。 通過 DHCP Option 43發(fā)現(xiàn) AC Option 43 是 DHCP 協(xié)議 的一個屬性， 在華為 WLAN 網絡里， AP 用它識別 AC 的 IP 地址。當 DHCP Server配置了 Option 43 后，它給 AP 分配 IP 時， 在 DHCP Offer 報文中 同時 會 將此屬性告知 AP。 圖 22 通過 DHCP Option 43發(fā)現(xiàn) AC 的報文交互圖 ONE NET Campus 園區(qū) WLAN 方案 技術建議書 2 WLAN 基礎網絡規(guī)劃 華為專有和保密信息 版權所有 169。 華為技術有限公司 14 通過 DNS發(fā)現(xiàn) AC 當 網絡中部署了 DNS Server 時 ，還可以 通過 DNS 方式讓 AP 來發(fā)現(xiàn) AC。 需要在 DHCP Server 上配置 DNS Server IP 地址以及 AC 的域名。當 AP 通過 DHCP 服務器獲取 IP 地址 時， DHCP Server 會在 DHCP Offer 報文中將 DNS 服務器 IP 地址（ Option 6）和 AC域名（ Option 15）告知 AP，在 AP 獲取到 IP 地址后，則 通過 DNS服務器解析到 AC 的IP，從而實現(xiàn) 對 AC 的發(fā)現(xiàn)和關聯(lián)。 圖 23 通過 DNS發(fā)現(xiàn) AC 的報文交互圖 AP上預配置 AC列表 AP 可以預配置 AC 的 IP 地址列表。 當預配置好 AC 列表 時， AP 將不再啟動正常的 L2或 L3 的發(fā)現(xiàn)過程，故 AC 列表里的地址不可達時， AP 將永遠連接不上 AC。 上述幾種方式 優(yōu)劣勢 對比如 下 表 所示。 表 22 AP 發(fā)現(xiàn)并選擇 AC 方式優(yōu)劣勢對比表 方式 部署要求 優(yōu)勢 劣勢 適用網絡 DHCP Option 43 DHCP Server 啟動 Option 43屬性 適用于 AP/AC任何組網中 對網絡有部署要求 大中型WLAN 網絡，ONE NET Campus 園區(qū) WLAN 方案 技術建議書 2 WLAN 基礎網絡規(guī)劃 華為專有和保密信息 版權所有 169。 華為技術有限公司 15 方式 部署要求 優(yōu)勢 劣勢 適用網絡 DNS 部署 DNS Server；DHCP Server 支持 Option 15屬性 AP/AC 二層或三層組網 二層廣播發(fā)現(xiàn) 無 對已有網絡沒有額外要求 僅能用于AP/AC 二層組網中 小型 WLAN網絡， AP/AC二層組網 AP 上預配置靜態(tài) AC 列表 AP 預配置 對已有網絡沒有額外要求 需要對 AP 逐一進行配置，工作量大；若AC 的 IP 地址發(fā)生變化，則需要重新修改AP 的配置 小型 WLAN