WLAN組網(wǎng)及合作運營

1WLAN組網(wǎng)模式2目錄1.2.。。。。。WLAN組網(wǎng)3.。。。。。4.。。。。。5.。。。。WLAN組網(wǎng)——二層組網(wǎng)為了更好的理解WLAN組網(wǎng)中瘦AP的部署，我們從瘦AP的工作原理的來介紹二層組網(wǎng)以及三層組網(wǎng)。瘦AP在二層組網(wǎng)中從啟動到正常運行的步驟如下:第一步.AP從AC或者DHCPServer那里獲得一個IP地址。在二層組網(wǎng)方式中，AP的DHCP請求以播送方式通過管理VLAN直接發(fā)送至AC的LAN口。第二步.AP獲取到合法IP地址后，將主動與AC建立關聯(lián)。第三步.AP在與AC建立關聯(lián)之后，就會從AC處獲取WLAN配置模板，并根據(jù)AC上預置的策略進行包括版本更新、工作模式、平安策略等在內(nèi)的各項工作。第四步.隧道的建立。當以上三個步驟完成之后，瘦AP與無線控制器之間會建立起兩條隧道，分別為傳送管理信息的控制報文隧道與傳送用戶數(shù)據(jù)的數(shù)據(jù)報文隧道。這兩個隧道并不能夠用來實現(xiàn)數(shù)據(jù)負載均衡，而是各有各的用途。即使在客戶端數(shù)據(jù)交換頻繁的時候，用來傳輸控制報文的隧道也不能用來傳遞數(shù)據(jù)報文。路由器運營商AAAServer交換機Internet交換機二層VLAN透傳無線交換機交換機管理VLAN數(shù)據(jù)流WLAN組網(wǎng)——二層組網(wǎng)WLAN組網(wǎng)——二層組網(wǎng)WLAN二層組網(wǎng)要求AC核心側(cè)到AP熱點側(cè)間有光纖鏈路可達二層組網(wǎng)優(yōu)點采用GPON組網(wǎng)，可以保證AC——AP之間高帶寬無瓶頸專網(wǎng)專用，AC——AP間純二層鏈路故障點少，易于故障排查。二層組網(wǎng)本卷須知熱點必須光纖到位，前期準備工作量大，新增設備多。無光纖熱點無法實現(xiàn)WLAN快速建設，無法有效利用現(xiàn)有設備及資源。二層網(wǎng)絡以VLAN分割熱點，對VLAN的需求及規(guī)劃要求較高。配置變更涉及核心網(wǎng)及接入網(wǎng)所有設備，操作復雜。存在二層網(wǎng)絡播送風暴的風險WLAN組網(wǎng)——三層組網(wǎng)

瘦AP在三層組網(wǎng)中從啟動到正常運行的步驟如下:第一步.AP從AC或者DHCPServer那里獲得一個IP地址。在二層組網(wǎng)方式中，AP的DHCP請求以播送方式通過本地管理VLAN直接發(fā)送至本地三層設備網(wǎng)關。第二步.本地三層設備根據(jù)預先配置的DHCPrelay設置，將AP的DHCP請求發(fā)往AC的LAN口，并作為中轉(zhuǎn)設備完成整個DHCP交互過程，且AC需要配置其DHCP的option43字段。第三步.AP獲取到合法IP地址后，根據(jù)AC配置的DHCPoption43字段中指定的IP地址，主動發(fā)起于AC的關聯(lián)請求。第四步.AP在與AC建立關聯(lián)之后，就會從AC處獲取WLAN配置模板，并根據(jù)AC上預置的策略進行包括版本更新、工作模式、平安策略等在內(nèi)的各項工作。第五步.完成隧道的建立。路由器運營商AAAServer三層交換機Internet三層交換機無線交換機三層交換機管理VLAN數(shù)據(jù)流WLAN組網(wǎng)——三層組網(wǎng)路由器城域網(wǎng)WLAN三層組網(wǎng)WLAN三層組網(wǎng)要求AC核心側(cè)

到AP熱點側(cè)間路由可達三層組網(wǎng)優(yōu)點可利用現(xiàn)有城域網(wǎng)設備快速組網(wǎng)，新增設備少。網(wǎng)絡架構靈活，配置變更簡單，可擴展性高。對VLAN資源的需求及規(guī)劃簡單，熱點VLAN可重復利用。三層組網(wǎng)缺點熱點三層出口帶寬難以保證，容易成為網(wǎng)絡瓶頸。三層路由數(shù)據(jù)轉(zhuǎn)發(fā)方式的轉(zhuǎn)發(fā)效率不如二層數(shù)據(jù)轉(zhuǎn)發(fā)高。共用城域網(wǎng)設備，AC——AP之間的鏈路復雜，故障點多，排查故障難度較大。9目錄1.2.WLAN數(shù)據(jù)轉(zhuǎn)發(fā)方式WLAN組網(wǎng)3.。。。。。4.。。。。。5.。。。。數(shù)據(jù)平面－－報文分類數(shù)據(jù)平面：802.11報文分類A類報文，802.11時間敏感性報文，全部無線控制幀和局部無線管理幀〔beacon和probe〕*Beacons*Probes*RTS,CTS,ACK,PS-POLL,CF-POLL,CF-END＋CF-ACK，BlockAckReq，BlockAckA類報文終結(jié)點一般在AP上〔RemoteMAC除外〕B類報文，802.11非時間敏感報文，局部無線管理幀〔除beacon和probe外〕和WAPI報文*Association/Reassociation/Disassociation*Authentication/Deauthentication*KeyManagement*IEEE802.11LinkSecurity(WEP,TKIP,IEEE802.11i)*WAPI報文：接入鑒別，證書鑒別，單播密鑰協(xié)商，組播密鑰協(xié)商B類報文終結(jié)點，對SplitMAC一般在AC上，對LocalMAC可能在AP或AC上；推薦在AC上處理，更有利于集中管理C類報文，802.11數(shù)據(jù)報文與控制幀和管理幀不同，數(shù)據(jù)幀的目的地不一定是AP，所以需要實現(xiàn)802.3與802.11之間的橋接802.11幀是否終結(jié)，看802.11幀頭是否剝離業(yè)務平面－－根本無線業(yè)務根本無線業(yè)務A類業(yè)務：802.11MAC根本功能802.11分發(fā)：包括Radio級的本地轉(zhuǎn)發(fā)，設備間的隧道分發(fā)802.11橋接：剝離802.11頭，加802.3頭Beacon、Probe：beacon生成、發(fā)送；ProbeRequest終結(jié)；ProbeResponse生成、發(fā)送802.11報文緩沖：802.11數(shù)據(jù)幀的接收、發(fā)送緩沖802.11分片、重組802.11關聯(lián)：AssociationRequest、ReassociationRequest終結(jié)；AssociationResponse生成、發(fā)送；802.11鑒別：Authentication終結(jié)；Deauthentication生成、發(fā)送；WAPI鑒別：“鑒別激活〞生成、發(fā)送；“接入鑒別請求〞終結(jié)；“證書鑒別請求〞生成、發(fā)送；“證書鑒別回應〞終結(jié)；“接入鑒別回應〞生成、發(fā)送；802.11WMM：〔1〕WMM流分類：〔2〕WMM調(diào)度：〔3〕WMM隊列：802.11EAP：802.1X及EAP處理802.11KEY管理：802.11數(shù)據(jù)幀加解密：SplitMAC對802.11MAC非實時功能的拆分主要是指以上功能業(yè)務平面－－高級業(yè)務高級無線業(yè)務B類業(yè)務：分析802.11報文頭即可，無需解密即可完成的功能。無線IDS：基于無線管理幀協(xié)議分析，完成無線攻擊監(jiān)測接入控制：〔1〕黑白名單流別離：〔1〕基于BSSID轉(zhuǎn)發(fā)〔分布式轉(zhuǎn)發(fā)、集中式Capwap轉(zhuǎn)發(fā)、集中式IPIP轉(zhuǎn)發(fā)〕其它高級業(yè)務C類業(yè)務：需要解密后，分析報文內(nèi)容才能完成的功能802.3層次業(yè)務：傳統(tǒng)有線IP層以上業(yè)務：隧道業(yè)務Capwap控制隧道Capwap數(shù)據(jù)隧道IPIP隧道InternetLAN分布式轉(zhuǎn)發(fā)〔本地轉(zhuǎn)發(fā)〕Router-ARouter-BRouter-C網(wǎng)關Router-AIPA網(wǎng)段AC網(wǎng)關Router-CIPC網(wǎng)段網(wǎng)關Router-CIPC網(wǎng)段網(wǎng)關Router-BIPB網(wǎng)段Capwap控制本地數(shù)據(jù)轉(zhuǎn)發(fā)802.11IP…802.3IP…802.3IPcapwap...名詞約定：分布式轉(zhuǎn)發(fā)、本地轉(zhuǎn)發(fā)、LocalForwarding、LocalBridgeAP1AP2分布式轉(zhuǎn)發(fā)〔本地轉(zhuǎn)發(fā)〕StationAPACRouterA類報文〔A類報文統(tǒng)計〕capwapC類報文〔802.11〕加解密加解密80211

802.3802.3轉(zhuǎn)發(fā)C類業(yè)務A類業(yè)務B類報文〔B類報文〕capwapC類業(yè)務B類業(yè)務京信本地轉(zhuǎn)發(fā)方案優(yōu)點：減輕AC性能壓力，AC可以管理更多的AP，能夠支持全局性的B類業(yè)務缺點：大量AP需要網(wǎng)絡規(guī)劃支持；無法支持語音漫游AP性能要求：高AC性能要求：低InternetLAN集中式轉(zhuǎn)發(fā)Router-ARouter-CRouter-B網(wǎng)關Router-AIPA網(wǎng)段AC網(wǎng)關Router-CIPC網(wǎng)段網(wǎng)關Router-CIPC網(wǎng)段網(wǎng)關Router-BIPB網(wǎng)段Capwap控制Capwap轉(zhuǎn)發(fā)ACGRE轉(zhuǎn)發(fā)802.11IP…802.11IP…802.3IPCapwap…802.3IPCapwap802.11IP…802.3IP…802.3IPGRE802.11IP…802.3IP…CPU加、解封裝芯片加、解封裝名詞約定：統(tǒng)稱集中式轉(zhuǎn)發(fā)，分為Capwap轉(zhuǎn)發(fā)、GRE轉(zhuǎn)發(fā)兩種模式集中式轉(zhuǎn)發(fā)〔IPIP隧道〕StationAPACRouterA類報文〔A類報文統(tǒng)計〕capwapB類報文〔B類報文〕capwapB類業(yè)務京信IPIP集中轉(zhuǎn)發(fā)方案優(yōu)點：對原有網(wǎng)絡影響小，只需要對AC進行網(wǎng)絡規(guī)劃；AC壓力小缺點：無法支持全局性的IP高級業(yè)務AP性能要求：高AC性能要求：低C類報文〔802.11〕加解密加解密80211

802.3〔802.3〕IPIP傳輸C類業(yè)務A類業(yè)務C類業(yè)務802.3硬件轉(zhuǎn)發(fā)集中轉(zhuǎn)發(fā)，AP加解密StationAPACRouterA類報文〔A類報文統(tǒng)計〕capwapB類報文〔B類報文〕capwapB類業(yè)務京信Capwap集中轉(zhuǎn)發(fā)AP加解密方案優(yōu)點：對原有網(wǎng)絡影響小，只需要對AC進行網(wǎng)絡規(guī)劃；支持漫游缺點：對AC要求高AP性能要求：高AC性能要求：高C類報文〔802.11〕加解密加解密〔802.11〕Capwap傳輸A類業(yè)務C類業(yè)務802.3轉(zhuǎn)發(fā)80211

802.3C類業(yè)務A類業(yè)務集中轉(zhuǎn)發(fā)，AC加解密StationAPACRouterA類報文〔A類報文統(tǒng)計〕capwapB類報文〔B類報文〕capwapB類業(yè)務京信Capwap集中轉(zhuǎn)發(fā)AC加解密方案優(yōu)點：對原有網(wǎng)絡影響小，只需要對AC進行網(wǎng)絡規(guī)劃；支持漫游缺點：對AC要求極高AP性能要求：低AC性能要求：極高，可采用硬件加解密引擎〔支持WAPI〕C類報文〔802.11〕加解密加解密〔802.11〕Capwap傳輸A類業(yè)務802.3轉(zhuǎn)發(fā)80211

802.3C類業(yè)務A類業(yè)務AC與城域網(wǎng)的融合核心網(wǎng)核心網(wǎng)核心網(wǎng)Page20建網(wǎng)模型比較與建議比較模型一模型二模型三組網(wǎng)模式小分布式AC大容量AC旁掛

大容量AC直連優(yōu)點本地轉(zhuǎn)發(fā)，對上層匯聚交換機壓力小組網(wǎng)靈活，可多個AC集中部署在一個機房，網(wǎng)絡安全部署更容易，可管理性非常強對核心/匯接路由器的壓力小，AC部署數(shù)量適中，安全、管理部署較易缺點AC部署很多，需要管理的節(jié)點太多，可管理可運營性較差流量都需要通過核心/匯接路由器，增大對核心/匯接路由器的壓力組網(wǎng)不夠靈活，增加網(wǎng)絡層次，受有線網(wǎng)絡部署約束建議適合中小企業(yè)與SOHU用戶單獨組網(wǎng)，不建議采用WLAN運營級部署，應用靈活，適合各類場合，推薦采用適合大型的園區(qū)（如大學）AC下沉方式的WLAN部署，限制采用21目錄1.2.。。。聯(lián)合運營與共建共享3.。。。4.。。。5.。。。聯(lián)合運營建設與運營模式分析對于運營商與學校的合作建設無線校園網(wǎng)，目前一般都采用運營商投資WLAN相關設備建設無線校園網(wǎng)，并且將基于WLAN的寬帶接入收入與學校按比例進行分成的運營模式。該模式下，運營商提供自己的出口只為基于WLAN的移動寬帶接入業(yè)務效勞。同時，在學校部署的WLAN網(wǎng)絡屬于校園網(wǎng)的一局部，從學校部署“無線校園〞的初衷考慮，實現(xiàn)WLAN網(wǎng)絡與原有的LAN校園網(wǎng)互通，比方學生只可以通過移動CMNET訪問互聯(lián)網(wǎng)，教師可以通過WLAN訪問公網(wǎng)，有效保護運營商投資方的利益。在網(wǎng)絡建設上，基于WLAN的移動寬帶接入網(wǎng)絡采用獨立部署的方式，WLAN設備采用獨立的接入交換機、會聚交換機及核心交換機和出口設備，WLAN設備與學?，F(xiàn)有的LAN校園網(wǎng)設備連接互通，因為WLAN相關設備的所有權歸屬運營商，所以這樣部署的目的是實現(xiàn)網(wǎng)絡管理的別離，WLAN由運營商維護管理，而學校還只是負責原LAN校園網(wǎng)的維護。采用WLAN網(wǎng)絡與原有LAN校園網(wǎng)互通的建設方式，既滿足了運營商的需求，又幫助學校實現(xiàn)了“無線校園網(wǎng)〞。移動用戶SSID采用集中轉(zhuǎn)發(fā)，AC為用戶推送portal校園用戶SSID采用本地轉(zhuǎn)發(fā)，由校方認證效勞器完成授權、認證移動網(wǎng)絡與校園網(wǎng)共建解決方案雙SSID播送雙PORTAL推送實現(xiàn)：酒店WLAN聯(lián)合運營對于運營商與酒店的合作建設無線網(wǎng)，目前一般都采用運營商投資WLAN相關設備建設WLAN覆蓋，無線接入控制器〔AC〕放在運營商機房內(nèi)。認證效勞器和計費系統(tǒng)均放在運營商局端機房內(nèi)；運營商和酒店達成對酒店用戶計費方式采用包夜制，AC只采集按天計費信息，到月底按原先雙方簽訂底分成協(xié)議結(jié)算。用戶的開戶和管理均在運營商局端完成，運營商根據(jù)酒店的實際客人上網(wǎng)數(shù)目，預先在系統(tǒng)內(nèi)開戶，然后把開好的用戶名和密碼交給酒店作每天客人臨時開戶用。酒店WLAN聯(lián)合運營網(wǎng)絡拓撲酒店W