目录
Ⅰ 锐捷无线分级AC技术原理与应用
Ⅱ 方案介绍
1、方案背景
分级AC是一种集中管理 + 分布式转发的模型(控制面有可能是集中控制,也有可能是分布式控制)。其组网形态,类似如上,由Central AC和Local AC组成。Central AC和Local AC之间一般存在Internet广域网。
■ Central AC:AP和分支AC的版本、配置可由Central AC集中下发。整网无线AP及客户端状态均可在Central AC集中查看。分支AP和STA的管理,正常情况下,由Local AC承担。当Local AC异常时,才由Central AC临时接替。
■ Local AC:Local AC可以由标准AC、All-in-one AC(具备路由、DPI功能)或有线无线一体化交换机组成。分支AP和STA的管理,正常情况下,由Local AC承担。当Local AC异常时,才由Central AC临时接替,提高网络可靠性。
分级AC的需求来自如下2个场景:
场景一:普教城域网场景: 教育局部署高性能AC,底下各个中小学部署小AC(单机),场景诉求如下:
■ 高可靠
中小学的分支AC出现故障时,分支AP可以连到教育局的中心AC,确保无线网络可用。
■ 易管理
(1) 支持统一升级:中心AC可以实现对分支AC、AP的统一升级。这里,分支的AC、AP可能有多种型号。
(2) 支持统一授权:中小学的分支AC和教育局的中心AC共享AP license,无需购买2套。
(3) 支持统一配置和支持分级分权:教育局对底下的学校是强管理,首先是教育局必须能够统一管理全网的设备(AC/AP),然后基于管理压力太大,允许将每个学校的管理权限下放,满足分级分权管理的需求。因为普教的老师的信息化水平普遍非常低,如果完全下放,会存在学校管理不来的问题!
(4) 支持统一监控:可查看当前有哪些分支AC在网、有哪些AP在网、有哪些终端在网。
(5) 支持统一认证:认证服务器统一部署在教育局,账号在教育局的认证服务器集中管理,分支入网必须统一到总部认证。
(6)支持分布式认证:分支部署RG-ESS,总部部署RG-IPC,支持当前已成熟应用的ESS+IPC分布式部署方案。
注:用户的上网流量都从分支本地的internet出口转发。
场景二:无线办公网总部分支场景: 总部分支场景,总部部署高性能AC,分支部署小AC(单机),场景诉求如下:
■ 易管理
(1) 支持统一升级:同普教场景。
(2) 支持统一授权:同普教场景。
(3) 支持统一配置、分级分权: 指的是分支必须要继承总部的某些配置,如一定要放出ruijie-web的信号的,同时允许分支自己放出一些其他的信号ruijie-xxx等。
(4) 支持统一监控:可以在中心AC上查看分之AC的连接情况、分支AC上的AP、STA连接情况。
(5) 支持统一认证:总部对分支的无线接入实现强管理,账号在总部认证服务器集中管理,分支入网必须统一到总部认证,认证通过上网流量从分支本地internet出口转发。
(6) 支持分布式认证:分支部署RG-ESS,总部部署RG-IPC,支持当前已成熟应用的ESS+IPC分布式部署方案。
注:用户的上网流量都从分支本地的internet出口转发。
注意:
1、当前阶段发布的版本还不支持统一配置功能;
2、从11.9(0)B1版本开始分级AC部署场景下总部AC部署VAC功能,分支AC暂不支持VAC部署。
3、当前阶段发布的版本不支持集中转发,如果配置集中转发,分支和中心之间的HA无法正常建立,有周期性log提示。
最新功能支持情况已最新发布的AC-SPEC为准。
2、方案组件及版本
| 区域 | 产品名称 | 功能描述 | 版本 | 备注 |
| 分支 | 无线AP | 无线转发通道 | 11.x B8之后 | NA |
| PoE交换机 | PoE供电 | 无限制 | NA | |
| 无线AC | 盒式无线AP管控器; | 办公网版本 | 只有特定版本和型号支持 | |
| EG | 网关、VPN、流控、NAT | 无限制 | NA | |
| Eportal | Portal服务器 | 无限制 | 若采用分布式认证时,才需要 | |
| RG-ESS | EasySecurity System 易安全系统 | 无限制 | 若采用分布式认证时,才需要 | |
| 总部 | 无线AP | 无线转发通道 | 11.x B8之后 | NA |
| PoE交换机 | PoE供电 | 无限制 | NA | |
| 无线AC | 盒式无线AP管控器;或者插卡式(N18K)无线AP管控器 | 办公网版本 | 只有特定版本和型号支持 | |
| 网关交换机 | 网关 | 无限制 | NA | |
| EG | 网关、VPN、流控、NAT | 无限制 | NA | |
| Eportal | Portal服务器 | 无限制 | NA | |
| SAM | AAA服务器 | 无限制 | NA | |
| RG-IPC | Identity & Policy Center身份策略中心。身份策略中心(Red-Giant Identity & Policy Center, 简称RG-IPC)是锐捷安全管理平台(RG-SMP)和锐捷易安全系统(RG-ESS)在分布式管理模式下的控制中心。RG-IPC作为部署在总部管理机构的管理中心,对运行于分布式管理模式下的RG-SMP/RG-ESS服务器进行管理,它具备分支机构管理、用户统一管理的功能。 | 无限制 | 若采用分布式认证时,才需要 |
Ⅲ 方案部署准备
1、设备选型
部署分级AC网络,中心AC需要承载各个分支的统一升级、统一监控、故障备份,因此中心AC需要有较强的处理能力。目前解决方案支持的中心AC为如下几个型号:WS6816、WS6812、M8600E-WS-ED、M18000-WS-ED
分支AC支持的型号如下,推荐使用中低端的WS6108、WS6008、WS6024、M6000-WS即可,无需使用高端的WS6816、WS6812、M8600E-WS-ED、M18000-WS-ED(这几款高端的AC也可以做分支AC)。
至于整个网络能支撑多少分支AC,由以下两个条件共同决定(比如:若全冷备,理论上可支持128个分支。若中心AC最多可管理4000个AP,而每分支有1000个AP,则可支持4个分支。最终实际只能支持4个分支):
■ 如果全部是冷备,最多支持128分支;如果全部是热备,最多支持32个分支。如果冷热备混用,则要求“热备分支AC数*4 + 冷备分支AC数”小于128,实际支持的分支AC数介于32 和128之间。
■ 中心ac(管理分支+总部所有的ap和sta)或分支ac(只管理本分支的ap和sta)最大可管理AP数、最大可配置AP数、最大可管理STA数、推荐可管理STA数的指标同对应产品最大可支持数一致。比如:如果中心ac是ws6812,由于ws6812的最大可配置AP数指标为8000,则此时中心ac的最大可配置AP数指标就为8000。
注: 冷热备的主要区别是:
■ 如果是热备,故障切换时,已在线用户理论上完全无感知,无断流。新用户等完成故障切换之后,才能认证上线,这个时间约30秒。
■ 如果是冷备,故障切换时,已在线用户近似无感知(断流理论上不超过30秒)。新用户等完成故障切换之后,才能认证上线,这个时间约30秒。
在冷备模式下,分支ap仍然和分支ac、中心ac建双capwap隧道,但在分支ac和中心ac间仅备份支持统一监控所需要的数据,不备份用户表项,故障切换时,STA需重新关联、重新申请ip、重新认证。 重新关联、重新申请ip,手机等STA一般会自动完成,用户几乎无感知;如果是dot1x认证或无感知认证,STA也会自动完成重认证,用户几乎无感知; 如果是不结合无感知认证的单纯web认证(实际应用中基本不存在),则会重新弹出认证页面,要求用户重输用户名和密码。
2、用户IP地址规划
如下两种场景下,需要对中心和分支的用户IP地址段进行规划:
■ 分支的无线准入认证服务器统一部署在中心,且部署的是Portal认证。这种情况下,由于Portal认证需要基于IP,因此对IP地址有部署上的要求。
■ 虽然分支有部署独立的无线准入认证服务器,但是同时配置了分支和中心的备份,且无线准入部署的也是Portal认证。这种情况下,分支AC故障后,中心AC接管了分支AC的无线准入认证,也就同样会有IP地址的部署要求。
上述两种场景下,需要分支和中心的IP地址段进行统一规划,规划的原则是:各个分支及中心的IP地址段不能有重叠。
3、License规划
部署分级AC的好处之一是分支和中心可以实现License共享,由于分支AC故障后,分支的AP是由中心AC接管的,因此极端情况下,中心+各个分支的总AP数,就是部署分级AC所需要的AP数。因此在购买AP License时,需要统筹考虑中心+所有分支的AP需求。
Branch Ac 可以不购买license,Central AC的license(含出厂自带)可共享给分支AC使用,若Central AC宕机,各分支AC独立工作,其中总部共享给分支的License会默认保留7天的使用权,最大可配置为14天,到期后,若总部AC未及时恢复,共享License自动失效。
总部AC与分支AC正常情况下,分支AP分别与分支AC、总部AC建立建立一主一备两条隧道,在分支、总部AC同时上线,其中License的占用情况如下:
在分支AC上,这条主隧道优先占用分支AC自己的License(含出厂自带),若分支Lincense不足,则从总部AC进行申请,若总部AC License充足,则会下发给分支AC使用。此时,在总部AC上,这条备用隧道该部分AP只占用AC支持的capwap和AP指标,不重复消耗任何License。
分支AC自有license(含出厂自带)会同步给总部AC保存,该部分lic将会为该分支进行备份,只有在分支异常要切换到总部进行接管时才会为总部AC才会激活给该分支使用,但该部分lic默认仅保留7天的使用权,最大14天,所需要将分支AC在7-14天内进行恢复,否则该分支AP只能消耗总部AC本身的License。(该机制主要是避免分支异常时,总部AC LIcense可能出现透支的情况。)
4、远程互联规划
部署分级AC,要求中心AC和各个分支AC能远程互联,根据实际情况,有如下几种远程互联方案:
■ 专线: 中心和各个分支采用专线连接,此时,中心和分支可以理解为是一个大的局域网,本身已经实现了网络互通,无需特殊部署。
■ VPN: 比如,分支出口路由器和中心出口路由器通过IPSec建立VPN,同时配置路由,指定需要通信的内网网段走VPN。
■ 通过NAT将内网地址映射外网,实现分支和总部的互通: 通过NAT将部分内网地址映射至外网,安全性相对较差,办公网场景一般是不允许使用,且目前所有的出口设备基本都支持Ipsec VPN,因此,不建议采用此部署方式。
5、认证规划
部署认证是部署无线网络的基础工作之一,在分级AC组网里面,部署认证有2个要素要考虑:
无线准入认证类型
典型的无线准入认证有WAP2-PSK、WPA2-802.1X、Portal认证三种。
■ WAP2-PSK:无特殊部署限制。
■ WAP2-802.1X:无特殊部署限制。如果需要部署802.1X的ip-valid功能,则需要参考2.2章节用户IP地址段规划,总部和分支的全网规划都不能冲突。
■ Portal认证:参考2.2章节用户IP地址段规划要求,总部和分支的全网规划都不能冲突。
分支的认证服务器部署位置
有两种部署模型:
■ 分支部署独立的认证服务器:这种模型需要分支自己维护认证服务器及账号,同时为了保证分支AC故障时,可以通过中心AC的接管继续提供网络准入认证服务器,需要在中心AC和分支AC建做账号同步,有两种方式可以实现这种账号同步:
(1)手工同步。
(2)认证服务器部署AD域作为认证账号的数据库,通过AD域服务器实现账号同步,详细请参考windows AD域的配置指导。
(3)部署锐捷IPC,实现分支认证服务器(ESS)和中心认证服务器(SMP)的账号同步,详细请参考ESS/IPC配置指导。
■ 分支使用中心的认证服务器由于认证会影响无线网络准入,因此这种部署对分支和中心的链路可靠性有较高要求,如果分支和中心不是专线或者城域网这种高可靠链路,不能采用这种规划。如果确定要采用这种部署,有几个要求:
(1)中心的认证服务器性能:包括软件性能和服务器硬件性能,基线情况下,需要能支持中心+所有分支的用户上线认证性能要求,详细要参考认证服务器的相关软硬件规格。
(2)服务器可靠性:由于承载网络中心+分支的认证功能,服务器需要具备高可靠性,包括UPS电源、服务器负载均衡、多服务器备份等措施需要在实施前一并考虑。
(3)账号管理:这种部署模型,要求中心需要统一维护所有分支的账号,比如避免账号重叠,以及账号变更等。
6、WLAN规划
部署分级AC的一个好处是分支AC出现故障时,可以由中心AC接管分支,继续提供无线上网服务。为了达成这一目的,需要对分支和中心的无线做一些规划:
■ 中心AC高可靠: 由于中心AC需要在分支AC故障时接管分支AC的无线网络,因此中心AC需要具备较高的可靠性。
■ WLAN统一规划: 分级AC采用了备份技术来实现分支和中心的备份,以此实现故障时的切换和接管。因此部署的时候,需要和部署热备一样,规划好分支和中心的WLAN,包括AP分组、WLAN ID、SSID,需要保持一致。这些规划要在热备的配置里面体现,具体表现为,中心AC和分支AC的热备配置要一样。这样当分支AC故障时,中心AC可以以相同的配置实现分支接管。
7、分级AC的带宽消耗
分级AC对带宽的消耗主要是用于分支和总部之间的用户表项的备份:
■ 对分支出口带宽的消耗: 分支AC每秒认证用户上下线一般不超过32个(比如:从SPEC看,WS5708每秒认证用户上下线的指标就是32个/秒)。
(1)如果是冷备,每个备份一个用户,一般只发1个报文,发包数量为32个/秒。一般每报文不超过0.5KB,因此,不超过16KB/秒。
(2)如果是热备,每个备份一个用户,一般只发4个报文,因此,不超过64KB/秒。
■ 对总部出口带宽的消耗:
(1)如果是冷备,由于最多只支持128个分支,因此,不超过(128*16KB /秒= 2MB/秒)。
(2)如果是热备,由于最多只支持32个分支,因此,不超过(32*64KB /秒= 2MB/秒)。
备注:分级AC采用TCP备份用户表项(丢包会自动重传); 我司的EG等出口设备默认的流控方案在带宽紧张时,会优先保证办公类应用; 即使部分用户表项备份失败,也仅是切换后用户需重新上线,无致命影响。
562
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
