大型WLAN组网部署

大型WLAN网络关键技术

VLAN Pool

存在问题：

由于无线终端的移动性，在无线网络中经常有大量用户从某个区域接入后，随着用户的移动，再漫游到其他区域，导致该区域的用户接入多，对IP地址数目要求大。比如：场馆入口、酒店大堂等。如果一个SSID只能对应一个VLAN，一个VLAN对应一个子网，如果大量用户从某一区域接入，只能扩大VLAN的子网，保证用户能够获取到IP地址。这样带来的问题就是广播域扩大，导致大量的广播报文带来严重的网络拥塞。

解决方案：

基于此问题考虑，一个SSID需要能够对应多个VLAN，把大量用户分散到不同的VLAN，减少广播域。VLAN Pool提供多个VLAN的管理和分配算法，实现SSID对应多个VLAN的方案。

VLAN Pool是一种把多个VLAN放在一个池中并提供分配算法的VLAN分配技术，又称为VLAN池。

通过VLAN Pool把接入的用户分配到不同的VLAN，可以减少广播域，减少网络中的广播报文，提升网络性能

VLAN Pool分配VLAN的算法：

• 顺序分配算法：把用户按上线顺序依次划分到不同的VLAN中
  • 优点：各个VLAN用户数目划分均匀
  • 缺点：重新上线VLAN容易变更、IP变更
• HASH分配算法：提供用户MAC地址HASH值分配VLAN
  • 优点：用户多次上线可分配相同的VLAN，IP不变
  • 各个VLAN用户数划分不均匀

分配VLAN流程：

1. 用户终端从某个VAP接入，判断VAP是否有绑定VLAN Pool
2. 如果该VAP对应的模板绑定了VLAN Pool，使用VLAN Pool的分配算法分配一个VLAN，VLAN Pool有顺序分配和HASH分配两种分配算法
3. 给终端分配一个VLAN
4. 终端从VLAN Pool分配的VLAN上线

DHCP技术

DHCP中继

DHCP客户端使用IP广播报文来寻找同一网段上的DHCP服务器。当服务器和客户端处于不同网段，即被路由器分割开时，路由器是不会转发这样的广播报文的。

DHCP中继能够跨网段"透传"DHCP报文，使得一个DHCP服务器同时为多个网段服务成为可能

WLAN三层组网AC发现机制

当AC和AP间是三层组网时，AP通过发送广播请求报文的方式无法发现AC，这时需要通过DHCP服务器回应回应给AP的报文中携带的Option43字段(IPv4)或Option52(IPv6)来通告AC的IP地址

漫游技术

WLAN漫游时指STA在不同AP覆盖范围之间移动且保持用户业务不中断的行为

实现WLAN漫游的两个AP必须使用相同的SSID和安全模板(安全模板名称可以不同，但是安全模板下的配置必须相同)，认证模板的认证方式和认证参数也要配置相同。

WLAN漫游策略主要解决以下问题

• 避免漫游过程中的认证时间过长导致丢包甚至业务中断
• 保证用户授权信息不变
• 保证用户IP地址不变

漫游一般包括如下动作：

1. 终端已经与AP1建链，终端在各种信道中发送Probe Request。AP2在信道6(AP2使用的信道)中收到请求后，通过在信道6中发送应答来进行响应。终端收到应答后，对其进行评估，确定同哪个AP关联最合适。此时通过评估，终端与AP2关联最合适
2. 终端通过信道6向AP2发送关联请求，AP2使用关联响应做出应答，建立用户与AP2间的关联，至此，用户与AP1的关联保持一致
3. 删除用户与AP1现有的关联。终端通过信道1(AP1使用的信道)向AP1发送802.11解除关联信息，解除用户与AP1间的关联

WLAN漫游的相关术语

• AC内漫游：如果漫游过程中关联的是同一个AC，这次漫游就是AC内漫游
• AC间漫游：如果漫游过程中关联的不是同一个AC，这次漫游就是AC间漫游
• AC间隧道：为了支持AC间漫游，漫游组内的所有AC需要同步每个AC管理的STA和AP设备的信息，因此在AC间建立一条隧道作为数据同步和报文转发的通道。AC间隧道也是利用CAPWAP协议创建的
• 漫游组服务器
  • STA在AC间进行漫游，通过选定一个AC作为漫游组服务器，在该AC上维护漫游组的成员表，并下发到漫游组内的各AC，使漫游组内的各AC间相互识别并建立AC间隧道
  • 漫游组服务器即可以是漫游组外的AC，也可以是漫游组内选择的一个AC
  • 一个AC可以同时作为多个漫游组的漫游组服务器，但是自身只能加入一个漫游组
  • 漫游组服务器管理其他AC的同时不能被其他的漫游组服务器管理。也就是说如果一个AC作为漫游组服务器角色负责向其他AC同步漫游配置的，则它无法再作为被管理者接受其他AC向其同步漫游配置
  • 漫游组服务器作为一个集中配置点，不需要有特别强的数据转发能力，只需要能够和各个AC互通即可
• 家乡代理
  • 能够和STA家乡网络的网关二层互通的一台设备。为了支持STA漫游后仍然正常访问家乡网络，需要将STA的业务报文通过隧道转发到家乡代理，再由家乡代理中转。STA的家乡代理由HAC或HAP兼任。

WLAN漫游类型：

• 二层漫游：1个无线客户端在2个AP(或多个AP)之间来回切换连接无线，前提是这些AP都绑定的是同1个SSID并且业务VLAN都在同1个VLAN内(在同一个IP地址段)，漫游切换的过程中，无线客户端的接入属性(比如无线客户端所属的业务VLAN，获取的IP地址等属性)不会有任何变化，直接平滑过渡，在漫游的过程中不会有丢包或断线重连的现象
• 三层漫游：漫游前后SSID的业务VLAN不同，AP所提供的业务网络为不同的三层网络，对应不同的网关。此时，为保持漫游用户IP地址不变的特性，需要将用户流量迂回到初始接入网段的AP，实现跨VLAN漫游

网络中有时候会出现以下情况：

两个业务VLAN的VLAN ID相同，但是这两个子网又属于不同的子网。

解决方法：

为了避免系统仅仅依据VLAN ID将用户在两个子网间的漫游误判为二层漫游，需要通过漫游域来确定设备是否在同一个子网内，只有当VLAN相同且漫游域也相同的时候才是二层漫游，否则是三层漫游。

AC间二层漫游 - 直接转发

漫游前：

• STA发送业务报文给HAP
• HAP接收到业务报文后经由网关(交换机)发送给上层网络

漫游后：

• STA发送业务报文给FAP
• FAP接收到业务报文后经由网关(交换机)发送给上层网络

AC间三层漫游 - 隧道转发

漫游前：

1. STA发送业务报文给HAP
2. HAP接收到业务报文后通过CAPWAP隧道发送给HAC
3. HAC直接将业务报文经过交换机发送给上层网络

漫游后：

1. STA发送业务报文给FAP
2. FAP接收到业务报文后通过CAPWAP隧道发送给FAC
3. FAC通过HAC和FAC之间的AC间隧道将业务报文转发给HAC
4. HAC直接将业务报文经过交换机发送被上层网络

AC间三层漫游 - 直接转发(HAP为家乡代理)

漫游前：

1. STA发送业务报文给HAP
2. HAP接收到业务报文后直接将业务报文经过交换机发送给上层网络

漫游后：

1. STA发送业务报文给FAP
2. FAP接收到业务报文后通过CAPWAP隧道发送给FAC
3. FAC通过HAC和FAC之间的AC间隧道将业务报文转发给HAC
4. HAC通过CAPWAP隧道将业务报文发送给HAP
5. HAP直接将业务报文发送给上层网络

AC间三层漫游 - 直接转发(HAC为家乡代理)

漫游前：

1. STA发送业务报文给HAP
2. HAP接收到业务报文后直接将业务报文经过交换机发送给上层网络

漫游后：

1. STA发送业务报文给FAP
2. FAP接收到业务报文后通过CAPWAP隧道发送给FAC
3. FAC通过HAC和FAC之间的AC间隧道将业务报文转发给HAC
4. HAC直接将业务报文发送给上层网络

高可靠性技术

为了保证WLAN业务的稳定运行，热备份(Hot-Standby Backup)机制可以保证在主设备故障时业务能够不中断的顺利切换到备份设备

热备份：当两台设备在确定主用(Master)设备和备用(Backup)设备后，由主用设备进行业务的转发，而备用设备处于监控状态，同时主用设备实时向备用设备发送状态信息和需要备份的信息，当主用设备出现故障后，备用设备及时接替主用设备的业务运行

在WLAN组网中，为保证组网可靠性，常见的备份技术有：

• VRRP双机热备份(主备)
• 双链路冷备份
• 双链路热备份(主备 & 负载分担)
• N+1备份

HSB相关概念

HSB(Hot-Standby Backup，热备份)是华为主备公共机制

主备服务(HSB Service)：建立和维护主备通道，为各个主备业务模块提供通道通断事件和报文发送/接收接口

主备备份组(HSB Group)：HSB备份组内部绑定HSB Service，为各个主备业务模块提供数据备份通道。HSB备份组与一个VRRP实例绑定，借用VRRP机制协商出主备实例。同时，HSB备份组还负责通知各个业务模块处理批量备份、实时备份、主备切换等事件

HSB主备服务

HSB主备服务负责在两个互为备份的设备间建立主备备份通道，维护主备通道的链路状态，为其他业务提供报文的收发服务，并在备份链路发生故障时通知主备业务备份组进行相应的处理。

HSB主备服务主要包括两个方面：

• 建立主备备份通道：通过配置主备服务本端和对端的IP地址和端口号，从而建立主备机制报文发送的TCP通道，为其他业务提供报文的收发以及链路变化通知服务
• 维护主备通道的链路状态：通过发送主备服务报文和重传等机制来防止TCP较长时间中断但协议栈没有检测到该连接中断。如果子主备服务报文时间间隔与重传次数乘积的时间还未收到对端发送的主备服务报文，设备则会收到异常通知，并且准备重建主备备份通道。

VRRP双机热备

主备AC两个独立的IP地址，通过VRRP对外虚拟为同一个IP地址，单个AP和虚拟IP建立一条CAPWAP链路。主AC备份AP信息、STA信息和CAPWAP链路信息，并通过HSB主备服务将信息同步给备AC。主AC故障后，备AC直接接替工作。

基于VRRP的双机热备，热备相关的业务都注册到同一个HSB备份组，HSB备份组内部绑定HSB服务，同时HSB备份组与一个VRRP实例绑定，从而业务通过HSB备份组获知当前用户主备状态、以及主备切换等事件，并通过HSB组的接口进行备份数据的接收和发送

数据同步

基于VRRP双机热备备份信息包括：

• 用户表项
• CAPWAP链路信息
• AP表项
• DHCP地址信息

备份的方式：

• 实时备份：主用设备在产生新表项或表象变化后会及时备份到备份设备上
• 批量备份：主用设备会将已有的会话表项一次性同步到新加入的备份设备上，使主备AC信息对齐，这个过程称为批量备份。批量备份会在AC主备确立时进行触发
• 定时同步：备用设备会每隔30分钟检查其已有的会话表项与主用设备是否一致，若不一致则将主用设备上的会话表项同步到备用设备

VRRP双机热备配置流程

1. 创建VRRP备份组并配置虚拟IP地址
2. 创建HSB主备服务，建立HSB主备备份通道的IP地址和端口号
3. 创建HSB备份组，配置HSB备份组绑定HSB主备服务、VRRP备份组、WLAN业务以及DHCP
4. 使能HSB备份组，HSB备份组使能后，对HSB备份组的相关配置才能生效
5. 检查VRRP热备份配置结果

双链路双机热备

• 双链路双机热备场景下，业务直接绑定HSB备份服务，这样HSB对业务仅提供备份数据收发的功能，用户的主备状态由双链路机制进行维护。
• AP同时与主备AC之间分别建立CAPWAP隧道，AC间的业务信息通过HSB主备通道同步
• 当AP和主AC间链路断开，AP会通知备AC切换成主AC
• 该方案除了支持主备备份之外，还支持负载分担模式。负载分担模式下可以指定一部分AP的主AC为AC1，与其建立CAPWAP主链路，一部分AP的主AC为AC2，与其建立CAPWAP主链路
• 双链路双机热备的主备AC不受地理位置限制，部署灵活，可进行负载分担，有效利用资源，但业务切换速度较慢

主备协商&建立主链路

AP与AC建立主链路，在Discovery阶段要优选出AC

1. 使能双链路备份功能后，AP开始发送Discovery Request报文
2. AC收到Request报文后，回应Discovery Response报文
3. AP收集到主备AC回应的Discovery Response报文后，根据AC的优先级、设备的负载情况以及AC的IP地址来选择主AC
4. AP开始于优选出的主AC建立CAPWAP主链路

AP选择主备AC的顺序

1. 比较AC的优先级，优先级值小的为主AC，默认优先级为0，最大值为7，优先级取值越小，优先级越高
2. 优先级相同情况下，比较AC设备的负载情况，即AP个数和STA个数，负载轻的为主AC。优先选择当前可接入AP数大的AC为主AC，如果当前可接入AP数相同，则选择当前可接入STA数大的AC为主AC
3. 负载相同情况下，比较IP地址，IP地址小的为主AC

说明：

当前可接入AP数 = 可接入的最大AP数 - 当前已接入的AP数

当前可接入STA数 = 可接入的最大STA数 - 当前已接入的STA数

建立备链路

AP与AC建立备链路，为了避免业务配置重复下发导致错误，在AP和主AC建立主隧道并配配置下发完成后，才启动备CAPWAP链路的建立

1. 主AC下发配置到AP上
2. AP开始建立备用隧道，向备AC发送单播CAPWAP Discovery Request报文
3. 备AC收到Request报文后，回应Response报文，在该报文中携带优选AC的IP地址、备选AC的IP地址、双链路特性开关、负载情况及其优先级
4. AP收到备AC回应的Response报文后，获取到双链路特性开关为打开，并保存其优先级

说明：如果该AC的优先级修改为比步骤1已经建立号CAPWAP链路的AC优先级高，也不进行主备倒换，待建立隧道完成后再进行倒换

• AP发送的Join Request中，会携带一个自定义消息类型，告诉备AC配置已经下发过了，不需要再下发。AC收到Join Request，获取到该自定义消息时，在配置下发阶段，会跳过配置下发流程，避免对AP重复下发配置
• 备链路建立完成后，AP重新根据两个链路的优先级决策出主备AC
• 缺省情况下，CAPWAP心跳检测的间隔时间为25秒，心跳检测报文次数为6.如果开启了双链路备份功能，则CAPWAP心跳检测的间隔时间为25秒，心跳检测报文次数为3

N+1备份

N+1备份是指在AC + Fit AP的网络架构中，使用一台AC作为备AC，为多台主AC提供备份服务的一种解决方案

• 网络正常情况下，AP只与各自所属的主AC建立CAPWAP链路
• 当主AC故障或主AC与AP间CAPWAP链路故障时，备AC替代主AC来管理AP，备AC与AP间建立CAPWAP链路，为AP提供业务服务
• 支持主备倒换，支持主备回切

N+1备份——主备选择

在Discovery阶段，AP发现AC后，要选择出最高优先级的AC作为主AC接入

AC上存在两种优先级：

• 全局优先级：针对所有AP配置的AC优先级，默认为0，最大值为7，优先级取值越小，优先级越高
• 个性优先级：针对指定的单个AP或指定AP组中的AP配置的AC优先级，没有默认值

AC全局优先级 < AP在AC上优先级

优选顺序如下：

1. AP查看优选AC，如果只有一个优选AC，则此AC作为主AC。如果存在多个AC，则选择负载最轻的AC作为主AC，如果副贼相同选择IP地址最小的作为主AC
2. 负载的比较方式：比较AC设备的负载情况，即AP个数和STA个数，负载轻的为主AC。优先选择当前可接入AP数大的AC作为主AC，如果当前可接入AP数相同，则选择当前可接入STA数打的AC为主AC
3. 如果没有优选AC，查看备选AC，如果只有一个备选AC，则此AC作为主AC，如果存在多个备选AC，则选择负载最轻的AC作为主AC，如果负载相同选择IP地址最小的作为主AC
4. 如果没有备选AC，比较AC的优先级，优先级最高的作为主AC。优先级取值越小，优先级越高。优先级的具体判断方式参考主备优先级
5. 优先级相同情况下，则选择负载最轻的AC作为主AC
6. 负载相同的情况下，继续比较IP地址，则选择IP地址最小的作为主AC

AC可靠性小结

准入控制技术

NAC(Network Admission Control)称为网络接入控制，通过对接入网络的客户端和用户的认证保证网络的安全，是一种"端到端"的安全技术

• 用于用户和接入设备之间的交互
• NAC负责控制用户的接入方式(802.1X、MAC或Portal认证)，接入过程中的各类参数和定时器
• 确保合法用户和接入设备建立安全稳定的连接

RADIUS概述

• AAA可以通过多种协议来实现，在实际应用中，最常适用RADIUS协议
• RADIUS是一种分布式的、客户端/服务器结构的信息交互协议，能保护网络不受未授权访问的感染，常应用在既要求较高安全性，又允许远程用户访问的各种网络环境中
• 该协议定义了基于UDP的RADIUS报文格式及其传输机制，并规定UDP端口1812、1813分别作为默认的认证、计费端口

RADIUS协议的主要特征：

• 客户端/服务器模式
• 安全的消息交互机制
• 良好的扩展性

802.1X认证

• 802.1X是IEEE制定的关于用户接入网络的认证标准，主要解决以太网内认证和安全方面的问题
• 802.1X认证系统为典型的Client/Server结构，包括3个实体：请求方、认证方和认证服务器
• 认证服务器通常是RADIUS服务器，用于对申请者进行认证、授权和计费
• 对于大中型企业的员工，推荐使用802.1X认证

MAC认证

• MAC认证是一种基于MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件
• 接入设备在启动了MAC认证的接口上首次检测到用户的MAC地址后，即启动对该用户的认证操作
• 认证过程中，不需要用户手动输入用户名或密码
• MAC认证常用于哑终端(如打印机)的接入认证，或者结合认证服务器完成MAC优先的Portal认证，用户首次认证通过后，一定时间内免认证再次接入

Portal认证

• Portal认证通常也称为Web认证，将浏览器作为认证客户端，不需要安装单独的认证客户端
• 用户上网时，必须在Portal页面进行认证，只有认证通过后才可以使用网络资源，同时服务提供商可以在Portal页面上开展业务拓展，如展示商品广告等
• 对于大中型企业的访客、商业会展和公共场所，推荐使用Portal认证

MAC优先的Portal认证

技术背景：

用户进行Portal认证成功后，如果断开网络，重新连接时需要再次输入用户名、密码，体验差

MAC优先的Portal认证：

• 用户进行Portal认证成功后，在一定时间内断开网络重新连接，能够直接通过MAC认证接入，无需输入用户名密码重新进行Portal认证
• 该功能需要在设备配置MAC+Portal的混合认证，同时在认证服务器上开启MAC优先Portal认证功能并配置MAC地址有效时间

三种认证方式比较