园区WLAN方案的技术建议书x.docx
《园区WLAN方案的技术建议书x.docx》由会员分享,可在线阅读,更多相关《园区WLAN方案的技术建议书x.docx(71页珍藏版)》请在冰点文库上搜索。
园区WLAN方案
技术建议书
贵州金晟数字技术有限公司
2014年4月29日
华为专有和保密信息
版权所有©华为技术有限公司
iii
ONENETCampus园区WLAN方案技术建议书
目录
目 录
1WLAN方案概述 1
1.1方案背景 1
1.1.1技术背景 1
1.1.2企业无线园区网的发展及设计需求 2
1.2WLAN基本概念 2
1.2.1网络架构模型 2
1.2.2集中式AC与分布式AC 4
1.2.3AC旁挂与AC直路 6
1.2.4集成AC与独立AC 7
1.2.5本地转发与集中转发 7
2WLAN基础网络规划 10
2.1IP地址规划 10
2.2SSID规划 11
2.3漫游规划 12
2.4AP发现并选择AC方式规划 13
2.5射频管理规划 15
2.6无线网络安全规划 17
2.7QoS规划 18
2.8可靠性规划 19
3WLAN接入认证计费方案 21
3.1无线安全协议标准 21
3.2WLAN终端认证技术 22
3.3无线用户身份认证技术 23
3.4认证、安全、计费功能与部署 26
3.4.1认证、安全、计费系统功能组件 27
3.4.2认证、安全、计费集成方案 28
3.4.3园区出口计费网关部署 34
4WDS网桥无线数据回传典型方案 36
4.1WDS组网模式 37
4.2WDS组网性能指标 38
5WLAN网络管理方案 40
5.1网管方案概述 40
5.2eSightWLAN网络管理流程 41
5.3企业WLAN网络管理规划 42
6WLAN网络组网推荐方案 43
6.1大中型园区网WLAN组网推荐方案 43
6.2小型园区网WLAN部署方案 45
6.3SOHO型园区网络WLAN部署方案 48
7WLAN主要产品介绍 50
7.1AP6010SN-GN美观标准室内型单频AP 50
7.2AP6010DN-AGN美观标准室内型双频AP 51
7.3AP6310SN-GN经济型室分单频AP 52
7.4AP6510DN-AGN标准室外双频AP 53
7.5AP6610DN-AGN全规格室外双频AP 54
7.6AP7110SN-GN增强型室内单频AP 55
7.7AP7110DN-AGN增强型室内双频AP 56
7.8AP5010SN-GN美观标准室内单频AP 57
7.9AP5010DN-AGN美观标准室内单频AP 58
7.10AC6605-26-PWR 59
7.11S9700/S7700SPU插卡 59
ONENETCampus园区WLAN方案技术建议书
1WLAN方案概述
1 WLAN方案概述
1.1方案背景
1.1.1技术背景
WLAN(WirelessLocalAreaNetwork)是指利用高频射频信号(例如2.4GHz或
5GHz)作为传输信道的无线局域网。
802.11是IEEE在1997年为WLAN定义的一个无线网络通信的工业标准。
此后这一标准又不断得到补充和完善,形成802.11的标准系列。
例如比较重要的
802.11、802.11a、802.11b、802.11e、802.11g、802.11i、802.11n等。
其中基于802.11b
标准的有时也被称为Wi-Fi标准。
而802.11n标准兼容802.11a/b/g,带宽优势明显,已经成为当前的主流技术。
而随着802.11ac技术的出现,必将引领无线业务进入千兆时代,为用户带来千兆级别的接入速度。
表1-1802.11标准简介
标准名称
发布时间
工作频率
理论速率
实际速率
备注
802.11b
1999
2.4GHz
11Mbps
6Mbps
早期标准
802.11a
1999
5.0GHz
54Mbps
22Mbps
应用很少
802.11g
2003
2.4GHz
54Mbps
22Mbps
早期标准
802.11n
2009
2.4/5.0GHz
150Mbps
75Mbps
结合MIMO技术,理论速率600Mbps
802.11ac
2012
5.0GHz
1Gbps
400~500M
bps
802.11n下一代标准
802.11ad
发展中
60GHz
7Gbps
发展中
面向家庭高清娱乐设备
华为专有和保密信息
版权所有©华为技术有限公司
68
1.1.2企业无线园区网的发展及设计需求
随着技术的发展和大量移动终端的出现,企业园区也从最初的有线覆盖网络形式历经有线无线覆盖网络到现在的无线泛在覆盖网络形式。
图1-2企业园区网的无线化发展示意
由于无线网络覆盖场所的多样性、用户上网行为的复杂性、企业对于网络安全和网络质量的需求,需要在进行WLAN规划时除了WLAN组网以外,还需考虑到WLAN网络的通信质量、网络安全、可靠性、统一管理以及部分行业对无线用户接入认证、授权、计费的需求。
1.2WLAN基本概念
1.2.1网络架构模型
WLAN网络在部署过程中,根据不同的需求有多种实现形式,根据网络架构分为:
l自治式架构(即FATAP或胖AP)
l集中式架构(即FITAP或瘦AP)
自治式架构和集中式架构两种网络结构比较如表1-2所示。
表1-2自治式架构和集中式架构比较表
项目
自治式架构
集中式架构
适用场景
微型企业、个人
新生方式,增强管理
安全性
传统加密、认证方式,普通安全性
基于用户位置的安全策略,高安全性
网络管理
每AP需要单独下发配置文件
AC上统一配置,AP本身零配置,维护简单
项目
自治式架构
集中式架构
用户管理
类似有线,根据AP接入的有线端口区分权限
虚拟专用组方式,根据用户名区分权限,使用灵活
WLAN组网规模
L2漫游,适合小规模组网
L2、L3漫游,拓扑无关性,适合大规模组网
增值业务能力
实现简单数据接入
可扩展丰富业务
自治式架构
�
该架构下AP实现所有无线接入功能,不需要AC设备形态,如图1-4所示。
图1-4WLAN自治式架构图
园区网
认证服务器
FATAP
FATAP
�DHCP/DNS
服务器
�
eSight网管
WLAN早期广泛采用自治式架构,随着企业大量部署AP后,对这些AP进行配置、升级软件等管理工作将给用户带来很高的操作成本,管理成本提高,自治式架构应用逐步减少。
集中式架构
�
该架构通过无线控制器(AC)集中管理、控制多个AP,如图1-5所示。
所有无线接入功能由AP和AC共同完成:
lAC完成网络具有重要意义的功能,例如移动管理、身份验证、VLAN划分、射频资源管理、无线IDS(IntrusionDetectionSystems)和数据包转发等。
lAP完成无线空口的控制,例如无线信号发射与探测响应、数据加密解密、数据传输确认、空口数据优先级管理等等。
图1-5WLAN集中式架构图
DHCP/DNS
服务器
FITAP
AC
园区网
认证服务器
FITAP
�eSight网管
AP和AC间采用CAPWAP隧道协议进行通讯,AC与AP间可以是直连或者穿越
Layer2、Layer3网络。
CAPWAP协议是基于UDP传输层的应用层协议,协议传递的信息分为两类:
控制信息和数据信息。
l控制信息负责AC与AP之间的管理的交互操作,包括AP自动发现AC、AC对
AP进行安全认证、AP从AC获取软件版本、AP从AC获取配置等等。
l数据信息是封装后转发的无线数据。
两类信息分别使用不同的UDP端口号。
CAPWAP信息在AP与AC间交互时可以使用
DTLS加密机制,保证通信的安全性。
所有无线接入功能由AP和AC间共同完成。
集中式架构是企业网、运营商等WLAN方案的主要架构,便于集中管理、集中认证和实施安全策略。
此种方案为目前企业网通用方案。
在FITAP网络架构下,又有如下划分:
l根据AC部署方式,分为集中式和分布式
l根据AC部署位置,分为旁挂和直路
l根据AC硬件体现形式,分为集成AC和独立AC
l根据业务转发形式,分为本地转发和集中转发
1.2.2集中式AC与分布式AC
根据AC的部署方式,网络可分为集中式AC部署和分布式AC部署。
集中式AC部署
集中式AC部署是指整个网络中集中部署AC设备(一般是独立的AC设备),来控制和管理整网的AP设备。
AC的部署可以采用直路(直接部署在AP和汇聚/核心交换机之间)或旁挂方式(旁挂在汇聚/核心交换机旁侧)。
图1-6集中式AC部署示意图
分布式AC部署
分布式AC部署是指网络中分区域采用多个AC设备,分别对本区域的AP设备进行管理。
分布式AC方案一般不采用独立的AC设备,而是采用在汇聚交换机上集成AC功能,来实现对本交换机下挂的所有AP进行管理。
图1-7分布式AC部署示意图
AC的两种部署方式的优劣势对比如表1-3所示。
表1-3集中式AC与分布式AC优缺点对比表
AC部署方式
优点
缺点
集中式
l节省投资
l容量管理更简单有效,成本效益高
l无线业务终结点少,便于管理
l漫游部署简单、高效
l无线网络运维管理更简单,可集中管理且配置灵活
AC与AP之间的网络结构复杂,网络规划部署相对复杂
分布式
AC与AP之间网络结构简单,网络部署相对简单
l投资成本高
l需要部署AC间漫游
(除非各AC所在的区域间不考虑漫游)
l运维成本高
1.2.3AC旁挂与AC直路
根据AC在网络上所处位置,可分为AC旁挂和AC直路。
旁挂
旁挂方式是指将AC部署在用户网关设备(汇聚或核心交换机)一侧,实现对用户网关设备下所有AP的管理。
旁挂方式主要用于原有网络汇聚/核心设备非华为设备的场景,目前主要用于网络改造、或者新建大、中型园区网络场景。
图1-8AC旁挂示意图
直路
直路方式是指将AC部署在AP与用户网关设备(汇聚或核心交换机)之间,实现对下辖所有AP的管理。
直路方式主要用于新建中、小型园区网络或原有网络汇聚/核心设备为华为设备的场景。
图1-9AC直路示意图
1.2.4集成AC与独立AC
根据AC硬件体现形式,可分为集成AC与独立AC。
集成AC
�
集成AC方案指不采用单独的AC硬件设备,而是采用在交换机中集成的AC硬件插卡,来实现对交换机下所有AP的管理。
在集成AC方案中,采用集中式架构(FITAP架构),使用FITAP来负责无线终端的接入。
使用集成的SPU板卡作为AC,负责完成对AP设备的管理。
独立AC
�
独立AC方案是指采用单独的AC硬件设备,通过直路或者旁挂方式实现对于所有AP
的管理。
在独立AC方案中,采用集中式架构(FITAP架构),使用FITAP来负责无线终端的接入。
使用独立的AC设备完成对AP设备的管理。
集成AC和独立AC优缺点比较如表1-4所示。
表1-4集成AC和独立AC优缺点比较表
AC硬件形式
优点
缺点
集成AC
部署简便;价格较低。
在接入用户数方面略差
独立AC
可以实现大容量、高性能的
WLAN网络部署。
价格较高,成本高。
1.2.5本地转发与集中转发
转发模式主要是AP针对用户数据可以有不同的转发处理方式。
本地转发
集中转发
�
又称直接转发,是指AP上对用户数据由本地转发到网络上层,不经过AC处理,AC只对AP进行管理。
而AP管理流封装在CAPWAP隧道中,到达AC终止。
图1-11本地转发示意图
也称作隧道转发。
业务数据报文由AP统一封装后到达AC实现转发,AC不但进行对
AP管理,还作为AP流量的转发中枢。
即AP管理流与数据流都封装在CAPWAP隧道中到达AC。
图1-12隧道转发示意图
本地转发与集中转发优缺点对比如表1-5所示。
表1-5本地转发与集中转发优缺点对比表
转发方式
优点
缺点
本地转发
设备署简单,数据流量不经过
AC,AC负担小。
-
转发方式
优点
缺点
集中转发
数据流量和管理流量全部经过AC,可以按用户需求规划安全监管策略。
AC设备数据压力较大,对AC
设备本身处理能力要求较高。
ONENETCampus园区WLAN方案技术建议书
2WLAN基础网络规划
2 WLAN基础网络规划
2.1IP地址规划
AC的IP地址
�
AC用于管理AP,IP地址一般通过静态手工配置。
AP的IP地址
�
AP的IP地址分配如果采用静态分配,由于一般AP数量较多,配置工作量大,且容易冲突、不易于控制,所以不建议使用,建议使用DHCP动态分配。
DHCP动态分配AP的IP地址时,可以有以下几种方式:
l指定地址池分配
−根据DHCPOption60表明AP身份而分配指定地址池的IP:
AP的DHCPDiscover报文携带Option60,例如内容为“HuaweiAP”,表示请求分配IP地址的设备是华为AP,而不是WLAN用户。
DHCPServer可以通过匹配或部分匹配Option60字符串,来为AP从指定地址池中分配地址。
如果网络中部署多个DHCPServer且只有部分支持Option60,交换机等设备充当DHCPRelay时需要支持识别DHCPoption60并将DHCP报文转发到相应的DHCPServer上。
−根据VLAN分配指定地址池的IP:
AP相连交换机端口以Trunk方式加入VLAN,允许通过的VLAN对应的地址池即为AP分配IP地址。
−根据AP的MAC地址指定分配:
在DHCPServer上配置AP的MAC以及对应的IP地址。
l统一分配
AP的IP地址分配同WLAN用户一样,由DHCPServer统一分配,不再区别。
DHCP动态分配AP的IP地址各种方式优劣势对比如表2-1所示。
表2-1DHCP动态分配AP的IP地址各种方式优劣势表
IP地址分配方式
优势
劣势
适用场景
指定地址池分配
DHCP
Option60
AP设备与无线用户的IP地
需要交换机配套支持
对设备IP地址管理与用户IP地址
址分离
管理要求隔离的
根据VLAN
AP设备与无
网络配置工作
对设备IP地址管
线用户的IP地
量较大,不利
理与用户IP地址
址分离
于AP即插即
管理要求隔离的
用
根据MAC
AP设备与无
配置工作量较
对少量AP设备
线用户的IP地
大,IP地址管
管理有特殊要求
址分离
理难度加大
的
统一分配
网络配置简单
-
对APIP管理没有要求
无线终端/用户的IP地址
移动用户通过DHCP动态分配IP地址,不建议静态配置;对于基本不移动的无线终端
(比如:
无线打印机)可以静态配置。
2.2SSID规划
企业园区无线网络一般按照业务类型划分不同的SSID(ServiceSetIdentification)。
SSID映射以太网中的VLAN
通常,以太网中管理VLAN和业务VLAN分离。
业务VLAN主要用于区分不同的业务类型或用户群体。
在WLAN网络中SSID也同样可以承担相应的工作。
因此,在业务VLAN的规划中必须综合考虑VLAN与SSID的映射关系。
业务VLAN应根据实际业务需要与SSID匹配映射关系,映射关系有1:
1、1:
N、N:
1、N:
N四种,AC设备终结VLAN部署。
VAP构建
�
AP可以配置多个SSID,华为单频AP可支持16个SSID,双频AP可支持32个
SSID。
通过配置多个SSID,可以将一个AP划分为多个VAP(VirtualAccessPoint),每一个SSID对应一个VAP,AC针对VAP进行策略下发,VAP根据策略进行终端与业务管理。
2.3漫游规划
漫游是指用户在部署了WLAN网络的场所移动时,用户终端可以从一个AP的覆盖范围移动到另一个AP的覆盖范围,用户无需重新登录和认证。
图2-2用户漫游切换示意图
如上图所示,假设终端与AP1已经建立关联信息,随着用户位置的移动,终端切换到
AP2,具体切换流程如下:
1.客户端在各种信道中发送802.11请求帧。
AP2在信道6(AP2使用的信道)中收到请求后,通过在信道6中发送应答来进行响应。
客户端收到应答后,对其进行评估,确定同哪个AP关联最合适。
2.如图中的标号1所示,删除用户与AP1现有的关联。
客户端通过信道1(AP1使用的信道)向AP1发送802.11解除关联信息,解除用户与AP1间的关联。
3.如图中的标号2所示,客户端通过信道6向AP2发送关联请求,AP2使用关联响应做出应答,建立用户与AP2间的关联。
WLAN网络漫游中需注意以下两点:
l漫游切换需要保证SSID相同,即两台AP切换区域需要配置相同的SSID。
l漫游切换AP必须是同一个AC管理。
华为WLAN解决方案通过支持下述两种快速漫游技术,实现业务的平滑过渡。
lPMKcaching:
PMKcaching技术是对于802.1X用户而言的,是指802.1X用户与旧AP进行802.1X认证时,STA和AC都会缓存PMK和PMK-ID;当漫游到新
AP时,STA会把这些PMK-ID携带过去,无线控制器根据STA携带的PMK-ID查找自己缓存的PMK信息,如果查到,就认为STA已经经过802.1X认证,直接跳过802.1X认证过程,利用缓存的PMK进行四次握手协商出加密KEY,从而縮短了802.1X用户的漫游延时。
如果没有查到,则需要重新进行802.1X认证过程。
l密钥协商下移技术:
密钥协商下移主要是针对数据加密用户包括WPA/WPA2PSK和802.1X用户。
在没有启用这个功能之前,STA主要与AC进行单播和组播密钥的协商;启用这个功能后,STA直接与关联上的AP进行单播和组播密钥的协商,这样在漫游到新AP时,减少了密钥协商所用的时间,从而縮短用户漫游延时。
2.4AP发现并选择AC方式规划
FITAP架构下的WLAN网络中,FITAP为零配置,当FITAP部署到网络的时候,
AP需要去找到相应的AC,并从AC上下载其配置。
AP发现AC的机制有如下几种:
二层广播发现AC
当AC和AP同在一个二层的网络中时,可以通过二层广播方式直接发现AC。
通过DHCPOption43发现AC
Option43是DHCP协议的一个属性,在华为WLAN网络里,AP用它识别AC的IP地址。
当DHCPServer配置了Option43后,它给AP分配IP时,在DHCPOffer报文中同时会将此属性告知AP。
图2-3通过DHCPOption43发现AC的报文交互图
通过DNS发现AC
当网络中部署了DNSServer时,还可以通过DNS方式让AP来发现AC。
需要在DHCPServer上配置DNSServerIP地址以及AC的域名。
当AP通过DHCP服务器获取IP地址时,DHCPServer会在DHCPOffer报文中将DNS服务器IP地址(Option6)和AC域名(Option15)告知AP,在AP获取到IP地址后,则通过DNS服务器解析到AC的IP,从而实现对AC的发现和关联。
图2-4通过DNS发现AC的报文交互图
AP上预配置AC列表
AP可以预配置AC的IP地址列表。
当预配置好AC列表时,AP将不再启动正常的L2
或L3的发现过程,故AC列表里的地址不可达时,AP将永远连接不上AC。
上述几种方式优劣势对比如下表所示。
表2-2AP发现并选择AC方式优劣势对比表
方式
部署要求
优势
劣势
适用网络
DHCPOption43
DHCPServer启动Option43属
适用于AP/AC
任何组网中
对网络有部署要求
大中型
WLAN网络,
性
AP/AC二层
或三层组网
DNS
部署DNS
Server;DHCP
Server支持
Option15属性
二层广播发现
无
对已有网络没有额外要求
仅能用于
AP/AC二层组网中
小型WLAN
网络,
AP/AC二层组网
AP上预配置静态AC列表
AP预配
升级会员 