一、大型园区网WLAN典型组网应用
前言:企业中的大型WLAN组网定位为大中型企业总部、大型企业分支机构、高校、机场等。大型WLAN组网部署的AP数量和接入的无线终端数量居多。
1.1、大型园区网发展趋势
移动办公、BYOD业务、物联网应用
二、AP上线及配置
2.1 AP上线
1、大型园区网WLAN组网下,AP在上线过程中,需要先通过DHCP服务器获取到自身IP地址,然后与AC建立CAPWAP隧道并接入到AC中,AC根据自身配置和AP的实际软件版本,决定是否升级AP,最终由AC下发业务配置到AP。
2、 AP只有在存在IP地址的时候,才能与AC进行通信交流。
3、大型园区网中AP数量多,所以AP一般是通过DHCP服务器动态的获取到IP地址,而不是为每个AP配置静态IP。
4、DHCP服务器如果配置了Option43字段,AP就可以从Option43中获取AC的IP地址。
5、 AP上线时,如果AC上配置了对应类型AP的升级配置,并且AP的软件版本和AC上配置的升级版本不一致,AP会自动重启进行升级。如果一致,或者AC上没有配置这类AP的升级配置,则AP上线过程中就不会升级,直接上线并由AC下发业务配置。
2.2 DHCP作用
1、为了给AP和STP分配IP地址,是AP和STA正常上线的前提条件之一。
2、可以用AC或者独立的DHCP服务器分配DHCP地址
2.3 DHCP Option43作用
1、AC和AP间网络是二层组网,如果AP上没有配置AC的IP地址,AP可以通过发送广播请求报文的方式发现AC。
2、当AC和AP是三层组网时,AP广播报文无法发现AC,这时候需要通过DHCP服务器回应给AP的报文中携带Option43字段内容来通告AC的IP地址。AP会向AC发送单播请求报文(IPV6通过Option52通告)。
3、若AP根据Option43向指定IP发送十次报文,AP没有仍没收到回应,则继续以广播形式寻找同网段AC。
2.4 CAPWAP隧道建立流程
2.4.1 DHCP的四步交互
1、在没有预配置AC IP列表时,则启动AP动态AC发现机制。通过DHCP获取IP地址,并通过DHCP协议中的option返回AC地址列表。
2、 首先是AP发送discover广播报文,请求DHCP server响应,在DHCP服务器监听到discover报文后,它会从没有租约的地址范围中,选择最前面的空置IP,连同其他TCP/IP设定,响应AP一个DHCP offer报文,该报文中会包含一个租约期限的信息。
3、由于DHCP offer报文既可以是单播报文,也可以是广播报文,当AP端收到多台DHCP Server的响应时,只会挑选其中一个offer(通常是最先抵达的那个),然后向网络中发送一个DHCP request广播报文,告诉所有的offer,并重新发送DHCP request,DHCP server它将指定接收哪一台服务器提供的IP地址,同时,AP也会向网络发送一个ARP封包,查询网络上面有没有其他机器使用该IP地址,如果发现
该IP已被占用,AP会发送出一个DHCP Decline封包给DHCP服务器,拒绝接收其DHCP discover 报文。
4、当DHCP Server接收到AP的request报文之后,会向AP发送一个DHCP Ack响应,该报文中携带的信息包括了AP的IP地址,租约期限,网关信息,以及DNS serverIP等,以此确定租约的正式生效,就此完成DHCP的四步交互工作。
2.4.2 AC发现机制
1、 AP使用AC发现机制来获知哪些AC是可用的,决定与最佳AC来建立CAPWAP的连接。(当然,AP的发现过程是可选的,如果在AP上已经静态配置了AC,那么就不需要完成AC的发现过程。)
2、AP启动CAPWAP协议的发现机制,以单播或广播的形式发送发现请求报文试图关联AC,AC收到AP的discovery request以后,会发送一个单播discover response给AP,AP可以通过discover response中所带的AC优先级或者AC上当前AP的个数等,确定与哪个AC建立会话。
2.4.3 DTLS握手
1、 AP根据此IP地址与AC协商,AP接收到响应消息后开始与AC建立CAPWAP隧道,这个阶段可以选择CAPWAP隧道是否采用DTLS加密传输UDP报文。
2、DTLS: Datagram Transport Layer Security(数据报传输层安全协议)
2.4.4 Join
1、 在完成DTLS握手后,AC与AP开始建立控制通道,在建立控制的交互过程中,AC回应的Join response报文中会携带用户配置的升级版本号,握手报文间隔/超时时间,控制报文优先级等信息。AC会检查AP的当前版本,如果AP的版本无法与AC要求的相匹配时,AP和AC会进入Image Data状态做固件升级,以此来更新AP的版本,如果AP的版本符合要求,则进入configuration状态。
2.4.5 image data
1、 AP根据协商参数判断当前版本是否是最新版本,如果不是最新版本,则AP将在CAPWAP隧道上开始更新软件版本。
2、 AP在软件版本更新完成后重新启动,重复进行AC发现、建立CAPWAP隧道、加
入过程。
2.4.6 Configuration
1、 进入Configuration状态后是为了做AP的现有配置和AC设定配置的匹配检查,AP发送configuration request到AC,该信息中包含了现有AP的配置,当AP的当前配置与AC要求不符合时,AC会通过。configuration response通知AP。
2.4.7 Data Check
1、 当完成configuration后,AP发送change state event request信息,其中包含了radio,result,code等信息,当AC接收到change state event request后,开始回应change state event response 。至此完成data check 后,已经完成管理隧道建立的过程,开始进入run状态。
2.4.8 Run:
1、 AP发送keepalive到AC,AC收到keepalive后表示数据隧道建立,AC回应keepalive
,AP进入“normal”状态,开始正常工作。
2.4.9 管理隧道维护:
1、 AP进入run状态后,同时发送echo request报文给AC,宣布建立好CAPWAP管理隧道并启动echo发送定时器和隧道检测超时定时器以检测管理隧道时候异常。
2、 当AC收到echo request报文后,同样进入run状态,并回应echo response报文给AP,启动隧道超时定时器。
3、 到AP收到echo response报文后,会重设检验隧道超时的定时器。
2.5 CAPWAP参数作用
1、CAPWAP管理报文优先级:CAPWAP管理报文的DSCP优先级,大优。
2、心跳检测的间隔与次数:检测AP与AC的CAPWAP链路是否正常。
3、DTLS加密:管理报文的完整性,私密性。
2.5 设备升级
2.5.1 升级目的:
获取新的特性与功能、优化现有的设备性能、解决存在的问题
2.5.2 AC升级方式和应用场景
1、命令行升级:适用于操作员通过telnet登陆到AC设备的情况。
2、Web网管升级:适用于已经在AC上安装了Web网管,用户能够通过登录Web网管对AC
进行升级。
3、Boot升级:适用于设备无法使用命令行升级和Web网管升级。一般用于命令行升级或Web网管过程中意外掉电,设备无法正常恢复的场景。通常情况下也能使用Boot升级,但boot升级比较复杂,可能容易遇到升级问题,所以建议用户使用命令行升级和web网管升级。
2.5.3 AP升级方式和应用场景
1、在AC上通过命令行升级Fit AP:适用于Telnet终端能通过网络登录到AC设备、管理AP的
情况 ,推荐该升级方式。
细分为自动升级和在线升级。
自动升级用于新部署的WLAN网络,AP还未在AC中上线的场景。通常先配置好AP上线时的自动升级参数,然后再配置AP接入,AP在之后的上线过程中会自动完成升级。
在线升级主要用于AP已经在AC中上线并已承载了WLAN业务的场景。与自动升级相比,在线升级时AP仍然可以正常工作,不影响业务。建议在白天让AP只下载版本,待晚上空闲时再对AP进行批量复位操作。
2、 Web网管升级:适用于已经在AC上安装了Web网管,用户能够通过登录Web网管对AP进行升级,推荐该升级方式。但本文档不重点体现web方式,所以后面未写。
3、 本地升级FIT AP:适用于AC无法管理AP,或者AP无法正常启动到命令行模式下的场景(本地uboot升级),不便于批量升级,一般不建议使用。`
三、VLAN Pool介绍
3.1 VLAN Pool概念
VLAN Pool是一种把多个vlan ID放在一个池中并提供分配算法的VLAN ID分配技术,又称为VLAN池。
3.2 VLAN Pool产生的原因
1、为什么要有VLAN Pool?
原因:由于无线终端的移动性,在无线网络中经常大量用户从某个区域接入后再漫游到其他区域,导致该区域的用户接入多,对IP地址数目要求大;比如:场馆入口、酒店的大堂等。目前一个SSID只能对应一个VLAN,一个VLAN对应一个子网,如果大量用户从某一区域接入,只能扩大SSID对应VLAN的子网,保证用户能够获取到IP地址。这样带来的问题就是广播域扩大,导致大量的广播报文(如:ARP、DHCP等)带来严重的网络拥塞。
VLAN Pool下可以加入多个VLAN,能使大厅处接入的用户尽量均匀的接入到各个VLAN
中并从各个VLAN对应的IP地址池中获取IP,一来减小了广播域,二来缓解了某些VLAN
对应的IP资源紧张,而另外VLAN对应IP资源浪费的问题。
3.3 VLAN Pool分配的VLAN算法
1、 顺序分配算法:把用户按上线顺序依次划分到不同的VLAN中。
优点:各个VLAN数目划分均衡。
缺点:用户上下线用户VLAN容易变化,IP地址变更。
2、 HASH分配算法:根据用户MAC地址HASH值分配VLAN(默认)。
优点:用户多次上线可分配相同VLAN。
缺点:用户分配的VLAN固定,可能导致VLAN间用户划分不均匀,有的VLAN用户较多,有的较少。
四、大型WLAN网络介绍
概述:大型园区网一般采用三层架构,AC既可以部署在核心层,也可以部署在汇聚层。若想要集中控制流量,则部署在核心层;若想各个区域独立管理,则部署在汇聚层。
4.1 大型WLAN中的数据转发方式
直接转发:直接转发也称为本地转发,用户的数据报文到达AP后,不经过CAPWAP的隧道封装而直接转发到上层网络,适用于流量大的网络。
隧道转发:隧道转发也称为集中转发,用户的数据报文到达AP后,需要经过CAPWAP数据隧道封装后发送给AC,然后由AC再转发到上层网络,安全性高,便于无线流量集中策略控制
4.2 配置流程图
AP组内:
radio 0:2.4G
radio 1:5G