WLAN组网及合作运营

1WLAN组网模式2目录1.2.。。。。。WLAN组网3.。。。。。4.。。。。。5.。。。。WLAN组网——二层组网为了更好的理解WLAN组网中瘦AP的部署，我们从瘦AP的工作原理的来介绍二层组网以及三层组网。瘦AP在二层组网中从启动到正常运行的步骤如下:第一步.AP从AC或者DHCPServer那里获得一个IP地址。在二层组网方式中，AP的DHCP请求以播送方式通过管理VLAN直接发送至AC的LAN口。第二步.AP获取到合法IP地址后，将主动与AC建立关联。第三步.AP在与AC建立关联之后，就会从AC处获取WLAN配置模板，并根据AC上预置的策略进行包括版本更新、工作模式、平安策略等在内的各项工作。第四步.隧道的建立。当以上三个步骤完成之后，瘦AP与无线控制器之间会建立起两条隧道，分别为传送管理信息的控制报文隧道与传送用户数据的数据报文隧道。这两个隧道并不能够用来实现数据负载均衡，而是各有各的用途。即使在客户端数据交换频繁的时候，用来传输控制报文的隧道也不能用来传递数据报文。路由器运营商AAAServer交换机Internet交换机二层VLAN透传无线交换机交换机管理VLAN数据流WLAN组网——二层组网WLAN组网——二层组网WLAN二层组网要求AC核心侧到AP热点侧间有光纤链路可达二层组网优点采用GPON组网，可以保证AC——AP之间高带宽无瓶颈专网专用，AC——AP间纯二层链路故障点少，易于故障排查。二层组网本卷须知热点必须光纤到位，前期准备工作量大，新增设备多。无光纤热点无法实现WLAN快速建设，无法有效利用现有设备及资源。二层网络以VLAN分割热点，对VLAN的需求及规划要求较高。配置变更涉及核心网及接入网所有设备，操作复杂。存在二层网络播送风暴的风险WLAN组网——三层组网

瘦AP在三层组网中从启动到正常运行的步骤如下:第一步.AP从AC或者DHCPServer那里获得一个IP地址。在二层组网方式中，AP的DHCP请求以播送方式通过本地管理VLAN直接发送至本地三层设备网关。第二步.本地三层设备根据预先配置的DHCPrelay设置，将AP的DHCP请求发往AC的LAN口，并作为中转设备完成整个DHCP交互过程，且AC需要配置其DHCP的option43字段。第三步.AP获取到合法IP地址后，根据AC配置的DHCPoption43字段中指定的IP地址，主动发起于AC的关联请求。第四步.AP在与AC建立关联之后，就会从AC处获取WLAN配置模板，并根据AC上预置的策略进行包括版本更新、工作模式、平安策略等在内的各项工作。第五步.完成隧道的建立。路由器运营商AAAServer三层交换机Internet三层交换机无线交换机三层交换机管理VLAN数据流WLAN组网——三层组网路由器城域网WLAN三层组网WLAN三层组网要求AC核心侧

到AP热点侧间路由可达三层组网优点可利用现有城域网设备快速组网，新增设备少。网络架构灵活，配置变更简单，可扩展性高。对VLAN资源的需求及规划简单，热点VLAN可重复利用。三层组网缺点热点三层出口带宽难以保证，容易成为网络瓶颈。三层路由数据转发方式的转发效率不如二层数据转发高。共用城域网设备，AC——AP之间的链路复杂，故障点多，排查故障难度较大。9目录1.2.WLAN数据转发方式WLAN组网3.。。。。。4.。。。。。5.。。。。数据平面－－报文分类数据平面：802.11报文分类A类报文，802.11时间敏感性报文，全部无线控制帧和局部无线管理帧〔beacon和probe〕*Beacons*Probes*RTS,CTS,ACK,PS-POLL,CF-POLL,CF-END＋CF-ACK，BlockAckReq，BlockAckA类报文终结点一般在AP上〔RemoteMAC除外〕B类报文，802.11非时间敏感报文，局部无线管理帧〔除beacon和probe外〕和WAPI报文*Association/Reassociation/Disassociation*Authentication/Deauthentication*KeyManagement*IEEE802.11LinkSecurity(WEP,TKIP,IEEE802.11i)*WAPI报文：接入鉴别，证书鉴别，单播密钥协商，组播密钥协商B类报文终结点，对SplitMAC一般在AC上，对LocalMAC可能在AP或AC上；推荐在AC上处理，更有利于集中管理C类报文，802.11数据报文与控制帧和管理帧不同，数据帧的目的地不一定是AP，所以需要实现802.3与802.11之间的桥接802.11帧是否终结，看802.11帧头是否剥离业务平面－－根本无线业务根本无线业务A类业务：802.11MAC根本功能802.11分发：包括Radio级的本地转发，设备间的隧道分发802.11桥接：剥离802.11头，加802.3头Beacon、Probe：beacon生成、发送；ProbeRequest终结；ProbeResponse生成、发送802.11报文缓冲：802.11数据帧的接收、发送缓冲802.11分片、重组802.11关联：AssociationRequest、ReassociationRequest终结；AssociationResponse生成、发送；802.11鉴别：Authentication终结；Deauthentication生成、发送；WAPI鉴别：“鉴别激活〞生成、发送；“接入鉴别请求〞终结；“证书鉴别请求〞生成、发送；“证书鉴别回应〞终结；“接入鉴别回应〞生成、发送；802.11WMM：〔1〕WMM流分类：〔2〕WMM调度：〔3〕WMM队列：802.11EAP：802.1X及EAP处理802.11KEY管理：802.11数据帧加解密：SplitMAC对802.11MAC非实时功能的拆分主要是指以上功能业务平面－－高级业务高级无线业务B类业务：分析802.11报文头即可，无需解密即可完成的功能。无线IDS：基于无线管理帧协议分析，完成无线攻击监测接入控制：〔1〕黑白名单流别离：〔1〕基于BSSID转发〔分布式转发、集中式Capwap转发、集中式IPIP转发〕其它高级业务C类业务：需要解密后，分析报文内容才能完成的功能802.3层次业务：传统有线IP层以上业务：隧道业务Capwap控制隧道Capwap数据隧道IPIP隧道InternetLAN分布式转发〔本地转发〕Router-ARouter-BRouter-C网关Router-AIPA网段AC网关Router-CIPC网段网关Router-CIPC网段网关Router-BIPB网段Capwap控制本地数据转发802.11IP…802.3IP…802.3IPcapwap...名词约定：分布式转发、本地转发、LocalForwarding、LocalBridgeAP1AP2分布式转发〔本地转发〕StationAPACRouterA类报文〔A类报文统计〕capwapC类报文〔802.11〕加解密加解密80211

802.3802.3转发C类业务A类业务B类报文〔B类报文〕capwapC类业务B类业务京信本地转发方案优点：减轻AC性能压力，AC可以管理更多的AP，能够支持全局性的B类业务缺点：大量AP需要网络规划支持；无法支持语音漫游AP性能要求：高AC性能要求：低InternetLAN集中式转发Router-ARouter-CRouter-B网关Router-AIPA网段AC网关Router-CIPC网段网关Router-CIPC网段网关Router-BIPB网段Capwap控制Capwap转发ACGRE转发802.11IP…802.11IP…802.3IPCapwap…802.3IPCapwap802.11IP…802.3IP…802.3IPGRE802.11IP…802.3IP…CPU加、解封装芯片加、解封装名词约定：统称集中式转发，分为Capwap转发、GRE转发两种模式集中式转发〔IPIP隧道〕StationAPACRouterA类报文〔A类报文统计〕capwapB类报文〔B类报文〕capwapB类业务京信IPIP集中转发方案优点：对原有网络影响小，只需要对AC进行网络规划；AC压力小缺点：无法支持全局性的IP高级业务AP性能要求：高AC性能要求：低C类报文〔802.11〕加解密加解密80211

802.3〔802.3〕IPIP传输C类业务A类业务C类业务802.3硬件转发集中转发，AP加解密StationAPACRouterA类报文〔A类报文统计〕capwapB类报文〔B类报文〕capwapB类业务京信Capwap集中转发AP加解密方案优点：对原有网络影响小，只需要对AC进行网络规划；支持漫游缺点：对AC要求高AP性能要求：高AC性能要求：高C类报文〔802.11〕加解密加解密〔802.11〕Capwap传输A类业务C类业务802.3转发80211

802.3C类业务A类业务集中转发，AC加解密StationAPACRouterA类报文〔A类报文统计〕capwapB类报文〔B类报文〕capwapB类业务京信Capwap集中转发AC加解密方案优点：对原有网络影响小，只需要对AC进行网络规划；支持漫游缺点：对AC要求极高AP性能要求：低AC性能要求：极高，可采用硬件加解密引擎〔支持WAPI〕C类报文〔802.11〕加解密加解密〔802.11〕Capwap传输A类业务802.3转发80211

802.3C类业务A类业务AC与城域网的融合核心网核心网核心网Page20建网模型比较与建议比较模型一模型二模型三组网模式小分布式AC大容量AC旁挂

大容量AC直连优点本地转发，对上层汇聚交换机压力小组网灵活，可多个AC集中部署在一个机房，网络安全部署更容易，可管理性非常强对核心/汇接路由器的压力小，AC部署数量适中，安全、管理部署较易缺点AC部署很多，需要管理的节点太多，可管理可运营性较差流量都需要通过核心/汇接路由器，增大对核心/汇接路由器的压力组网不够灵活，增加网络层次，受有线网络部署约束建议适合中小企业与SOHU用户单独组网，不建议采用WLAN运营级部署，应用灵活，适合各类场合，推荐采用适合大型的园区（如大学）AC下沉方式的WLAN部署，限制采用21目录1.2.。。。联合运营与共建共享3.。。。4.。。。5.。。。联合运营建设与运营模式分析对于运营商与学校的合作建设无线校园网，目前一般都采用运营商投资WLAN相关设备建设无线校园网，并且将基于WLAN的宽带接入收入与学校按比例进行分成的运营模式。该模式下，运营商提供自己的出口只为基于WLAN的移动宽带接入业务效劳。同时，在学校部署的WLAN网络属于校园网的一局部，从学校部署“无线校园〞的初衷考虑，实现WLAN网络与原有的LAN校园网互通，比方学生只可以通过移动CMNET访问互联网，教师可以通过WLAN访问公网，有效保护运营商投资方的利益。在网络建设上，基于WLAN的移动宽带接入网络采用独立部署的方式，WLAN设备采用独立的接入交换机、会聚交换机及核心交换机和出口设备，WLAN设备与学校现有的LAN校园网设备连接互通，因为WLAN相关设备的所有权归属运营商，所以这样部署的目的是实现网络管理的别离，WLAN由运营商维护管理，而学校还只是负责原LAN校园网的维护。采用WLAN网络与原有LAN校园网互通的建设方式，既满足了运营商的需求，又帮助学校实现了“无线校园网〞。移动用户SSID采用集中转发，AC为用户推送portal校园用户SSID采用本地转发，由校方认证效劳器完成授权、认证移动网络与校园网共建解决方案双SSID播送双PORTAL推送实现：酒店WLAN联合运营对于运营商与酒店的合作建设无线网，目前一般都采用运营商投资WLAN相关设备建设WLAN覆盖，无线接入控制器〔AC〕放在运营商机房内。认证效劳器和计费系统均放在运营商局端机房内；运营商和酒店达成对酒店用户计费方式采用包夜制，AC只采集按天计费信息，到月底按原先双方签订底分成协议结算。用户的开户和管理均在运营商局端完成，运营商根据酒店的实际客人上网数目，预先在系统内开户，然后把开好的用户名和密码交给酒店作每天客人临时开户用。酒店WLAN联合运营网络拓扑酒店W