园区WLAN方案技术建议书Word下载.docx
《园区WLAN方案技术建议书Word下载.docx》由会员分享,可在线阅读,更多相关《园区WLAN方案技术建议书Word下载.docx(61页珍藏版)》请在冰豆网上搜索。
150Mbps
75Mbps
结合MIMO技术,理论速率600Mbps
802.11ac
2012
1Gbps
400~500Mbps
802.11n下一代标准
802.11ad
发展中
60GHz
7Gbps
面向家庭高清娱乐设备
1.1.2企业无线园区网的发展及设计需求
随着技术的发展和大量移动终端的出现,企业园区也从最初的有线覆盖网络形式历经有线无线覆盖网络到现在的无线泛在覆盖网络形式。
图1-1企业园区网的无线化发展示意
由于无线网络覆盖场所的多样性、用户上网行为的复杂性、企业对于网络安全和网络质量的需求,需要在进行WLAN规划时除了WLAN组网以外,还需考虑到WLAN网络的通信质量、网络安全、可靠性、统一管理以及部分行业对无线用户接入认证、授权、计费的需求。
1.2WLAN基本概念
1.2.1网络架构模型
WLAN网络在部署过程中,根据不同的需求有多种实现形式,根据网络架构分为:
●自治式架构(即FATAP或胖AP)
●集中式架构(即FITAP或瘦AP)
自治式架构和集中式架构两种网络结构比较如表1-2所示。
表1-1自治式架构和集中式架构比较表
项目
自治式架构
集中式架构
适用场景
微型企业、个人
新生方式,增强管理
安全性
传统加密、认证方式,普通安全性
基于用户位置的安全策略,高安全性
网络管理
每AP需要单独下发配置文件
AC上统一配置,AP本身零配置,维护简单
用户管理
类似有线,根据AP接入的有线端口区分权限
虚拟专用组方式,根据用户名区分权限,使用灵活
WLAN组网规模
L2漫游,适合小规模组网
L2、L3漫游,拓扑无关性,适合大规模组网
增值业务能力
实现简单数据接入
可扩展丰富业务
该架构下AP实现所有无线接入功能,不需要AC设备形态,如图1-2所示。
图1-1WLAN自治式架构图
WLAN早期广泛采用自治式架构,随着企业大量部署AP后,对这些AP进行配置、升级软件等管理工作将给用户带来很高的操作成本,管理成本提高,自治式架构应用逐步减少。
该架构通过无线控制器(AC)集中管理、控制多个AP,如图1-3所示。
所有无线接入功能由AP和AC共同完成:
●AC完成网络具有重要意义的功能,例如移动管理、身份验证、VLAN划分、射频资源管理、无线IDS(IntrusionDetectionSystems)和数据包转发等。
●AP完成无线空口的控制,例如无线信号发射与探测响应、数据加密解密、数据传输确认、空口数据优先级管理等等。
图1-1WLAN集中式架构图
AP和AC间采用CAPWAP隧道协议进行通讯,AC与AP间可以是直连或者穿越Layer2、Layer3网络。
CAPWAP协议是基于UDP传输层的应用层协议,协议传递的信息分为两类:
控制信息和数据信息。
●控制信息负责AC与AP之间的管理的交互操作,包括AP自动发现AC、AC对AP进行安全认证、AP从AC获取软件版本、AP从AC获取配置等等。
●数据信息是封装后转发的无线数据。
两类信息分别使用不同的UDP端口号。
CAPWAP信息在AP与AC间交互时可以使用DTLS加密机制,保证通信的安全性。
所有无线接入功能由AP和AC间共同完成。
集中式架构是企业网、运营商等WLAN方案的主要架构,便于集中管理、集中认证和实施安全策略。
此种方案为目前企业网通用方案。
在FITAP网络架构下,又有如下划分:
●根据AC部署方式,分为集中式和分布式
●根据AC部署位置,分为旁挂和直路
●根据AC硬件体现形式,分为集成AC和独立AC
●根据业务转发形式,分为本地转发和集中转发
1.2.2集中式AC与分布式AC
根据AC的部署方式,网络可分为集中式AC部署和分布式AC部署。
集中式AC部署
集中式AC部署是指整个网络中集中部署AC设备(一般是独立的AC设备),来控制和管理整网的AP设备。
AC的部署可以采用直路(直接部署在AP和汇聚/核心交换机之间)或旁挂方式(旁挂在汇聚/核心交换机旁侧)。
图1-1集中式AC部署示意图
分布式AC部署
分布式AC部署是指网络中分区域采用多个AC设备,分别对本区域的AP设备进行管理。
分布式AC方案一般不采用独立的AC设备,而是采用在汇聚交换机上集成AC功能,来实现对本交换机下挂的所有AP进行管理。
图1-1分布式AC部署示意图
AC的两种部署方式的优劣势对比如表1-3所示。
表1-1集中式AC与分布式AC优缺点对比表
AC部署方式
优点
缺点
集中式
●节省投资
●容量管理更简单有效,成本效益高
●无线业务终结点少,便于管理
●漫游部署简单、高效
●无线网络运维管理更简单,可集中管理且配置灵活
AC与AP之间的网络结构复杂,网络规划部署相对复杂
分布式
AC与AP之间网络结构简单,网络部署相对简单
●投资成本高
●需要部署AC间漫游(除非各AC所在的区域间不考虑漫游)
●运维成本高
1.2.3AC旁挂与AC直路
根据AC在网络上所处位置,可分为AC旁挂和AC直路。
旁挂
旁挂方式是指将AC部署在用户网关设备(汇聚或核心交换机)一侧,实现对用户网关设备下所有AP的管理。
旁挂方式主要用于原有网络汇聚/核心设备非华为设备的场景,目前主要用于网络改造、或者新建大、中型园区网络场景。
图1-1AC旁挂示意图
直路
直路方式是指将AC部署在AP与用户网关设备(汇聚或核心交换机)之间,实现对下辖所有AP的管理。
直路方式主要用于新建中、小型园区网络或原有网络汇聚/核心设备为华为设备的场景。
图1-1AC直路示意图
1.2.4集成AC与独立AC
根据AC硬件体现形式,可分为集成AC与独立AC。
集成AC
集成AC方案指不采用单独的AC硬件设备,而是采用在交换机中集成的AC硬件插卡,来实现对交换机下所有AP的管理。
在集成AC方案中,采用集中式架构(FITAP架构),使用FITAP来负责无线终端的接入。
使用集成的SPU板卡作为AC,负责完成对AP设备的管理。
独立AC
独立AC方案是指采用单独的AC硬件设备,通过直路或者旁挂方式实现对于所有AP的管理。
在独立AC方案中,采用集中式架构(FITAP架构),使用FITAP来负责无线终端的接入。
使用独立的AC设备完成对AP设备的管理。
集成AC和独立AC优缺点比较如表1-4所示。
表1-1集成AC和独立AC优缺点比较表
AC硬件形式
部署简便;
价格较低。
在接入用户数方面略差
可以实现大容量、高性能的WLAN网络部署。
价格较高,成本高。
1.2.5本地转发与集中转发
转发模式主要是AP针对用户数据可以有不同的转发处理方式。
本地转发
又称直接转发,是指AP上对用户数据由本地转发到网络上层,不经过AC处理,AC只对AP进行管理。
而AP管理流封装在CAPWAP隧道中,到达AC终止。
图1-1本地转发示意图
集中转发
也称作隧道转发。
业务数据报文由AP统一封装后到达AC实现转发,AC不但进行对AP管理,还作为AP流量的转发中枢。
即AP管理流与数据流都封装在CAPWAP隧道中到达AC。
图1-1隧道转发示意图
本地转发与集中转发优缺点对比如表1-5所示。
表1-1本地转发与集中转发优缺点对比表
转发方式
设备署简单,数据流量不经过AC,AC负担小。
-
数据流量和管理流量全部经过AC,可以按用户需求规划安全监管策略。
AC设备数据压力较大,对AC设备本身处理能力要求较高。
2WLAN基础网络规划
2.1IP地址规划
AC的IP地址
AC用于管理AP,IP地址一般通过静态手工配置。
AP的IP地址
AP的IP地址分配如果采用静态分配,由于一般AP数量较多,配置工作量大,且容易冲突、不易于控制,所以不建议使用,建议使用DHCP动态分配。
DHCP动态分配AP的IP地址时,可以有以下几种方式:
●指定地址池分配
−根据DHCPOption60表明AP身份而分配指定地址池的IP:
AP的DHCPDiscover报文携带Option60,例如内容为“HuaweiAP”,表示请求分配IP地址的设备是华为AP,而不是WLAN用户。
DHCPServer可以通过匹配或部分匹配Option60字符串,来为AP从指定地址池中分配地址。
如果网络中部署多个DHCPServer且只有部分支持Option60,交换机等设备充当DHCPRelay时需要支持识别DHCPoption60并将DHCP报文转发到相应的DHCPServer上。
−根据VLAN分配指定地址池的IP:
AP相连交换机端口以Trunk方式加入VLAN,允许通过的VLAN对应的地址池即为AP分配IP地址。
−根据AP的MAC地址指定分配:
在DHCPServer上配置AP的MAC以及对应的IP地址。
●统一分配
AP的IP地址分配同WLAN用户一样,由DHCPServer统一分配,不再区别。
DHCP动态分配AP的IP地址各种方式优劣势对比如表2-1所示。
表2-1DHCP动态分配AP的IP地址各种方式优劣势表
IP地址分配方式
优势
劣势
指定地址池分配
DHCPOption60
AP设备与无线用户的IP地址分离
需要交换机配套支持
对设备IP地址管理与用户IP地址管理要求隔离的
根据VLAN
网络配置工作量较大,不利于AP即插即用
根据MAC
配置工作量较大,IP地址管理难度加大
对少量AP设备管理有特殊要求的
统一分配
网络配置简单
对APIP管理没有要求
无线终端/用户的IP地址
移动用户通过DHCP动态分配IP地址,不建议静态配置;
对于基本不移动的无线终端(比如:
无线打印机)可以静态配置。
2.2SSID规划
企业园区无线网络一般按照业务类型划分不同的SSID(ServiceSetIdentification)。
SSID映射以太网中的VLAN
通常,以太网中管理VLAN和业务VLAN分离。
业务VLAN主要用于区分不同的业务类型或用户群体。
在WLAN网络中SSID也同样可以承担相应的工作。
因此,在业务VLAN的规划中必须综合考虑VLAN与SSID的映射关系。
业务VLAN应根据实际业务需要与SSID匹配映射关系,映射关系有1:
1、1:
N、N:
1、N:
N四种,AC设备终结VLAN部署。
VAP构建
AP可以配置多个SSID,华为单频AP可支持16个SSID,双频AP可支持32个SSID。
通过配置多个SSID,可以将一个AP划分为多个VAP(VirtualAccessPoint),每一个SSID对应一个VAP,AC针对VAP进行策略下发,VAP根据策略进行终端与业务管理。
2.3漫游规划
漫游是指用户在部署了WLAN网络的场所移动时,用户终端可以从一个AP的覆盖范围移动到另一个AP的覆盖范围,用户无需重新登录和认证。
图2-1用户漫游切换示意图
如上图所示,假设终端与AP1已经建立关联信息,随着用户位置的移动,终端切换到AP2,具体切换流程如下:
2.客户端在各种信道中发送802.11请求帧。
AP2在信道6(AP2使用的信道)中收到请求后,通过在信道6中发送应答来进行响应。
客户端收到应答后,对其进行评估,确定同哪个AP关联最合适。
3.如图中的标号1所示,删除用户与AP1现有的关联。
客户端通过信道1(AP1使用的信道)向AP1发送802.11解除关联信息,解除用户与AP1间的关联。
4.如图中的标号2所示,客户端通过信道6向AP2发送关联请求,AP2使用关联响应做出应答,建立用户与AP2间的关联。
WLAN网络漫游中需注意以下两点:
●漫游切换需要保证SSID相同,即两台AP切换区域需要配置相同的SSID。
●漫游切换AP必须是同一个AC管理。
华为WLAN解决方案通过支持下述两种快速漫游技术,实现业务的平滑过渡。
●PMKcaching:
PMKcaching技术是对于802.1X用户而言的,是指802.1X用户与旧AP进行802.1X认证时,STA和AC都会缓存PMK和PMK-ID;
当漫游到新AP时,STA会把这些PMK-ID携带过去,无线控制器根据STA携带的PMK-ID查找自己缓存的PMK信息,如果查到,就认为STA已经经过802.1X认证,直接跳过802.1X认证过程,利用缓存的PMK进行四次握手协商出加密KEY,从而縮短了802.1X用户的漫游延时。
如果没有查到,则需要重新进行802.1X认证过程。
●密钥协商下移技术:
密钥协商下移主要是针对数据加密用户包括WPA/WPA2PSK和802.1X用户。
在没有启用这个功能之前,STA主要与AC进行单播和组播密钥的协商;
启用这个功能后,STA直接与关联上的AP进行单播和组播密钥的协商,这样在漫游到新AP时,减少了密钥协商所用的时间,从而縮短用户漫游延时。
2.4AP发现并选择AC方式规划
FITAP架构下的WLAN网络中,FITAP为零配置,当FITAP部署到网络的时候,AP需要去找到相应的AC,并从AC上下载其配置。
AP发现AC的机制有如下几种:
二层广播发现AC
当AC和AP同在一个二层的网络中时,可以通过二层广播方式直接发现AC。
通过DHCPOption43发现AC
Option43是DHCP协议的一个属性,在华为WLAN网络里,AP用它识别AC的IP地址。
当DHCPServer配置了Option43后,它给AP分配IP时,在DHCPOffer报文中同时会将此属性告知AP。
图2-1通过DHCPOption43发现AC的报文交互图
通过DNS发现AC
当网络中部署了DNSServer时,还可以通过DNS方式让AP来发现AC。
需要在DHCPServer上配置DNSServerIP地址以及AC的域名。
当AP通过DHCP服务器获取IP地址时,DHCPServer会在DHCPOffer报文中将DNS服务器IP地址(Option6)和AC域名(Option15)告知AP,在AP获取到IP地址后,则通过DNS服务器解析到AC的IP,从而实现对AC的发现和关联。
图2-1通过DNS发现AC的报文交互图
AP上预配置AC列表
AP可以预配置AC的IP地址列表。
当预配置好AC列表时,AP将不再启动正常的L2或L3的发现过程,故AC列表里的地址不可达时,AP将永远连接不上AC。
上述几种方式优劣势对比如下表所示。
表2-1AP发现并选择AC方式优劣势对比表
方式
部署要求
适用网络
DHCPOption43
DHCPServer启动Option43属性
适用于AP/AC任何组网中
对网络有部署要求
大中型WLAN网络,AP/AC二层或三层组网
DNS
部署DNSServer;
DHCPServer支持Option15属性
二层广播发现
无
对已有网络没有额外要求
仅能用于AP/AC二层组网中
小型WLAN网络,AP/AC二层组网
AP上预配置静态AC列表
AP预配置
需要对AP逐一进行配置,工作量大;
若AC的IP地址发生变化,则需要重新修改AP的配置
小型WLAN网络
若无线网络部署了多个无线控制器,AP通过上述某种方式发现了多个AC时,AP根据根据AC负载动态选择接入到负载轻的AC。
2.5射频管理规划
与IP地址规划一样,WLAN信道是WLAN网络设计中的重要一环,大型无线园区网网络必须对WLAN信道进行统一规划。
WLAN信道规划的好坏,影响到无线网络的带宽、无线网络的性能、无线网络的扩展以及无线网络的抗干扰能力,也必将直接影响到无线网络的用户体验。
射频信道划分
WLAN信道规划是WLAN网络设计中的重要一环,为保证信道之间不相互干扰,大型无线园区网网络必须对WLAN信道进行统一规划并实施。
WLAN系统主要应用于两个频段:
2.4GHz和5.0GHz。
●2.4GHz频段信道划分:
−2.4G频段具体频率范围为2.4~2.4835GHz的连续频谱,信道编号1~14。
−HT20信道划分:
信道带宽为20M,在该模式下,一般选取1、6、11三个不重叠信道,频率规划可用频点只有3个。
−HT40信道划分:
信道带宽为40M,受频率限制,只支持一个不重叠信道。
●5.0GHz频段信道划分:
−5.0G频段分配的频谱并不连续,主要有两段:
5.15~5.35GHz、5.725GHz~5.85GHz。
不重叠信道在5.15~5.35GHz频段有8个,分别为36、40、44、48、52、56、60、64;
在5.725GHz~5.85GHz频段有4个,分别为149、153、157、161。
在该模式下,这两段频谱的可用信道分别为4个和2个。
AP支持手动和自动两种方式设置工作信道。
设置为自动方式后,一旦检测到信道冲突AP具有信道自动调整功能,建议AP采用自动设置工作信道方式,避免手动设置后一旦信道冲突将导致无法切换信道的问题。
信道自动扫描功能:
采用信道自动扫描功能,自动探测周边的AP、使用的信道及干扰,结果上报AC,触发信道调整。
射频信道覆盖
WLAN信道规划需遵循两个原则:
蜂窝覆盖、信道间隔。
根据覆盖密度、干扰情况、选择2.4G/5G单频或双频覆盖。
AP交替使用2.4G的1、6、11信道及5.0G的36、40、44信道,避免信号相互干扰;
一般情况单独使用2.4G或5.0G的频段,对于会议室等高密度用户接入的场所,可以启用双频进行覆盖,以便提供更好的接入能力。
图2-1单频信道规划示意图
图2-2双频信道规划示意图
2.6无线网络安全规划
无线设备安全
●AP防盗
安装AP时安装防盗锁即可。
●AP零配置
传统的FATAP组网模式要求在AP上配置大量的业务参数,同时需要在AP本地保存这些业务配置信息,一旦设备丢失,AP的业务配置信息就可能被泄漏,形成网络的安全漏洞。
FITAP在设备上不保存业务配置,而是每次启动的时候从无线控制器动态加载业务配置,这样可以有效避免设备丢失造成配置泄漏。
当前FITAP均能做到零配置。
无线IDS/IPS
●IDS——非法AP检测
非法AP主要指未经网络许可而非法部署的AP设备或者是对网络发起无线攻击的AP设备。
对于非法部署的AP设备,可以通过控制AP接入(基于MAC地址;
基于设备名称SN等)来防止非法AP接入网络。
对于对网络发起无线攻击的AP设备,网络中合法部署的AP监听设备负责把监听到有攻击行为的无线设备上报给无线控制器,继而上报给网管。
部署建议:
−对于非法部署的AP设备,由网络设备AC检测,启动相应功能即可。
−这里主要给出对发起无线攻击的AP的监听部署方案以及对比情况,如表2-3所示。
可以根据实际网络要求进行取舍。
表2-1对发起无线攻击的AP的监听部署方案优劣势对比表
部署方式
部署专职监听AP
实时监听网络,及时检测出非法AP
网络部署成本高
业务AP兼职监听AP
网络部署成本相对小
不能实时监听网络,无法及时检测到非法AP
●IPS----黑白名单
用户白名单功能:
无线控制器支持静态配置白名单功能,该功能一旦启用,只有白名单上的无线用户才被认为是合法用户,其他非法用户的报文全部在AC上被丢弃,从而减少非法报文对无线网络的冲击。
用户黑名单功能:
无线控制器通过配置方式或者实时检测侦听的方式来确定设备是否被加入黑名单,被加入到黑名单中的设备发过来的报文全部在AC上丢弃,从而减少攻击报文对无线网络的冲击。
大中型园区网不建议部署,通过认证进行用户的合法检测即可。
2.7QoS规划
WLANQoS保证不同质量的无线接入服务之间的互通,满足实际应用的需求。
图2-1WLANQoS规划
如图2-6所示,在企业园区中,常采用无线空口做WMM调度,有线侧进行优先级映射,园区网做DiffServ调度的方式,最大程度优化网络发生拥塞时的核心业务和VIP用户服务质量。
在这里仅介绍WMM协议技术、优先级映射和流量管理技术。
流量管理
●基于用户的流量管理
防止P2P业务占用带宽导致其他用户无法正常使用无线网络,比如校园网。
●基于SSID的流量管理
防止某些SSID用户流量过大影响其他SSID用户的正常业务,比如访客SSID的流量控制。
无线空口做WMM调度
Wi-Fi多媒体标准WMM(Wi-FiMultimedia)是一种无线QoS协议,无线空口上,WMM将数据报文通过4个优先级队列发送,每个优先级队列占用信道的机会不一样,从而保证语音、视频等应用在无线网络中有更好的质量。
WMM按照优先级从高到低的顺序分为AC(AccessCategory)-VO(语音流)、AC-VI(视频流)、AC-BE(尽力而为流)、AC-BK(背景流)四个优先级队列,保证越高优先级队列中的报文,抢占信道的能力越高。
表2-1WMM队列优先级
WMM队列
用户优先级(UP)
Voice
6或7
Video
4或5
BestEffort
2或3
Background
0或1
优先级的映射
优先级映射包括:
无线优先级到有线优先级的映射、无线优先级到CAPWAP隧道优先级的映射。
●上行无线到有线报文优先级映射
AP接收到无线客户端发送
升级会员 