大型WLAN技术(1)
大型WLAN技术(1)
YangVLAN Pool
通过vlan pool把接入的用户分配到不同的vlan,减少广播域,减少网络中的广播报文,提升网络性能。
由于无线终端的移动性,在无线网络中经常有大量用户从某个区域接入后,随着用的移动,再漫游到其他区域,导致该区域的用户接入多,对IP地址数目要求大。比如:场馆入口、酒店的大堂等。目前一个SSID只能对应一个VLAN,一个VLAN对应一个子网,如果大量用户
从某一区域接入,只能扩大VLAN的子网,保证用户能够获取到IP地址。这样带来的问题就是广播域扩大,导致大量的广播报文(如ARP、DHCP等)带来严重的网络拥塞。基于此问题考虑,一个SSID需要能够对应多个VLAN,把大量用户分散到不同的VLAN减少广播域。VLAN Pool提供多个VLAN的管理和分配算法,实现SSID对应多个VLAN的方案。
分配算法
• 顺序分配算法:把用户按上线顺序依次划分到不同的VLAN中,用户上下线用户VLAN容易
变化,IP地址变更。
• HASH分配算法:根据用户MAC地址HASH值分配VLAN,用户分配的VLAN固定,可能导致
VLAN间用户划分不均匀,有的VLAN用户较多,有的较少。
配置
如图,管理vlan10,业务vlan 20 30 40,网络可达,dhcp配置,capwap隧道,wlan基础配置(vap模板里业务vlan选择绑定vlan pool)
创建vlan pool,把业务vlan 20 30 40 加入进来,分配算法这里选择顺序分配
终端连接后,查看ip,发现分别接入vlan20 30 40
AC的DHCP技术
随着网络规模的不断扩大,网络设备不断增多,企业内不同的用户可能分布在不同的网段,一台DHCP服务器在正常情况下无法满足多个网段的地址分配需求。企业内网各个网段通常都没有与DHCP Server在同一个二层广播域内,如果还需要通过DHCP服务器分配IP地址,则需要跨网段发送DHCP协议报文。
案例1
AC和AP在二层,DHCP服务器和AC不在同一网段,DHCP服务器给STA和AP分配ip地址,由于跨网段,所以在AC上配置中继
配置端口:略
AR1:
int g 0/0/1
ip ad 172.168.12.1
dhcp enable
[Huawei-GigabitEthernet0/0/1]dhcp select global
配置地址组
ip pool 10
gateway-list 10.0.10.254
network 10.0.10.0 mask 255.255.255.0
ip pool 11
gateway-list 10.0.11.254
network 10.0.11.0 mask 255.255.255.0
配置静态路由
[Huawei]ip route-static 10.0.10.0 24 172.168.12.2
[Huawei]ip route-static 10.0.11.0 24 172.168.12.2
AC:
vlan b 10 11
int vlanif 10
ip ad 10.0.10.254 24
int vlanif 11
ip ad 10.0.11.254 24
int vlanif 1
ip ad 172.168.12.2 24 (与路由器相连接口ip)
配置中继:
interface Vlanif10
ip address 10.0.10.254 255.255.255.0
dhcp select relay
dhcp relay server-ip 172.168.12.1
interface Vlanif11
ip address 10.0.11.254 255.255.255.0
dhcp select relay
dhcp relay server-ip 172.168.12.1
capwap source interface vlanif 10(隧道)
此时ap可以获取ip地址
WLAN配置:略
sta查看ip
可以获取ip地址
案例2
• 在AC和AP间是二层组网的情况下,也可以配置Option43,AP会根据Option43的内容先向
指定IP地址的AC发送单播请求报文,如果发送十次报文,AP都没有收到回应,则AP会继续
以广播的方式来发现同一网段的AC。所以在二层组网的情况下Option 43不是必配的参数,
但在三层组网的情况下则是必配的。
• Option 43即为Type值为43(0x2B)的Option字段,又称为厂商特定信息选项,DHCP服务
器和DHCP客户端通过Option43交换厂商特定的信息。当DHCP服务器接收到请求Option43
信息的DHCP请求报文后,将在回复报文中携带Option43,为DHCP客户端分配厂商指定的
信息(本文中特指AC的IP地址)。
拓扑
如图
AC和AP不在同一网段,S3作为relay给STA分配ip,AC2作为DHCP服务器给AP分配ip地址
配置:
配置端口:略
S3:
vlan b 20 21 100
int g 0/0/2
p l t
p t a v 100
int vlanif 100
ip add 192.168.100.3 (S3和AC之间通过vlanif100连接)
dhcp配置:
dhcp enable
interface Vlanif20
ip address 10.0.20.254 255.255.255.0
dhcp select relay
dhcp relay server-ip 192.168.100.2
interface Vlanif21
ip address 10.0.21.254 255.255.255.0
dhcp select interface
(给sta分配选择接口地址池)
AC:
vlan 100
配置dhcp:
dhcp enable
ip pool 20
gateway-list 10.0.20.254
network 192.168.100.0 mask 255.255.255.0
option 43 sub-option 3 ascii 192.168.100.2 (设置option43字段,ac的地址)
interface Vlanif100
ip address 192.168.100.2 255.255.255.0
dhcp select global
int g 0/0/1
p l t
p t a v 100
配置静态路由:
ip route-static 10.0.20.0 24 192.168.100.3
capwap隧道:
capwap source interface vlanif 100
此时ap可以获取ip
wlan配置:略
此时sta可以获取地址
漫游
• 二层漫游:1个无线客户端在2个AP(或多个AP)之间来回切换连接无线,前提是这些AP都
绑定的是同1个SSID并且业务VLAN都在同1个VLAN内(在同一个IP地址段),漫游切换的
过程中,无线客户端的接入属性(比如无线客户端所属的业务VLAN、获取的IP地址等属性)
不会有任何变化,直接平滑过渡,在漫游的过程中不会有丢包和断线重连的现象。
• 三层漫游:漫游前后SSID的业务VLAN不同,AP所提供的业务网络为不同的三层网络,对
应不同的网关。此时,为保持漫游用户IP地址不变的特性,需要将用户流量迂回到初始接入
网段的AP,实现跨VLAN漫游。
• 网络中有时候会出现以下情况:两个业务VLAN的VLAN ID相同,但是这两个子网又属于不
同的子网。此时为了避免系统仅仅依据VLAN ID将用户在两个子网间的漫游误判为二层漫
游,需要通过漫游域来确定设备是否在同一个子网内,只有当VLAN相同且漫游域也相同的
时候才是二层漫游,否则是三层漫游。
• 配置漫游组。
▫ 如果指定了漫游组服务器,则需要在漫游组服务器上配置漫游组。
▫ 如果没有指定漫游组服务器,则各成员AC均需配置漫游组。
实验
设备连接方式如图所示,AP1被AC1纳管,AP2被AC2纳管,所有AP都采用直接转发模式。
S4交换机二层透传AP2的管理、业务报文,S3作为AP管理流量、业务流量的网关。
S3开启DHCP服务为AP1、AP2分配管理地址、为无线终端分配业务地址,AP通过DHCP报文中的Option 43获取AC地址。
1.1.1.1 数据规划
配置项 | 配置参数 |
---|---|
AP管理VLAN | VLAN10、20 |
STA业务VLAN | VLAN11、21 |
DHCP服务器 | S3作为DHCP服务器为AP分配IP地址 |
S3作为DHCP服务器为STA分配IP地址 | |
AP的IP地址池 | 10.0.10.0/24、10.0.20.0/24 |
STA的IP地址池 | 10.0.11.0/24、10.0.21.0/24 |
AC的源接口IP地址 | VLANIF100(10.0.100.254)、VLANIF200(10.0.200.254) |
AP组 | 名称:ap-group1、ap-group2 |
引用模板:VAP模板departX | |
域管理模板 | 名称:default |
国家码:中国(CN) | |
SSID模板 | 名称:departX |
SSID名称:roam | |
安全模板 | 名称:departX |
安全策略:WPA-WPA2+PSK+AES | |
密码:huawei123 | |
VAP模板 | 名称:departX |
转发模式:直接转发 | |
业务VLAN:VLAN11、21 | |
引用模板:SSID模板departX、安全模板departX |
DepartX中的X代表AC编号,即AC1上为depart1、AC2上为depart2。
S3设备配置
#
sysname S3
#
vlan batch 10 to 11 20 to 21 100 200
#
dhcp enable
#
ip pool ap1
gateway-list 10.0.10.1
network 10.0.10.0 mask 255.255.255.0
option 43 sub-option 3 ascii 10.0.100.254
#
ip pool ap2
gateway-list 10.0.20.1
network 10.0.20.0 mask 255.255.255.0
option 43 sub-option 3 ascii 10.0.200.254
#
ip pool service_a
gateway-list 10.0.11.1
network 10.0.11.0 mask 255.255.255.0
dns-list 10.0.11.1
#
ip pool service_b
gateway-list 10.0.21.1
network 10.0.21.0 mask 255.255.255.0
dns-list 10.0.21.1
#
interface Vlanif10
description ap1_mgnt
ip address 10.0.10.1 255.255.255.0
dhcp select global
#
interface Vlanif11
description ap1_service
ip address 10.0.11.1 255.255.255.0
dhcp select global
#
interface Vlanif20
description ap2_mgnt
ip address 10.0.20.1 255.255.255.0
dhcp select global
#
interface Vlanif21
description ap2_service
ip address 10.0.21.1 255.255.255.0
dhcp select global
#
interface Vlanif100
description to_AC1
ip address 10.0.100.1 255.255.255.0
#
interface Vlanif200
description to_AC2
ip address 10.0.200.1 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 200
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 20 to 21
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk pvid vlan 10
port trunk allow-pass vlan 10 to 11
#
return
S4设备配置
#
sysname S4
#
vlan batch 20 to 21
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 20 to 21
#
interface GigabitEthernet0/0/4
port link-type trunk
port trunk pvid vlan 20
port trunk allow-pass vlan 20 to 21
#
return
AC1设备配置
#
sysname AC1
#
vlan batch 100
#
interface Vlanif100
description to_S3_CAPWAP
ip address 10.0.100.254 255.255.255.0
#
interface GigabitEthernet0/0/12
port link-type trunk
port trunk allow-pass vlan 100
#
ip route-static 10.0.10.0 255.255.255.0 10.0.100.1
ip route-static 10.0.200.0 255.255.255.0 10.0.100.1
#
capwap source interface vlanif100
#
wlan
security-profile name depart1
security wpa2 psk pass-phrase huawei123 aes
aes
ssid-profile name depart1
ssid roam
vap-profile name depart1
service-vlan vlan-id 11
ssid-profile depart1
security-profile depart1
regulatory-domain-profile name default
mobility-group name mobility(漫游组名称必须一致)
member ip-address 10.0.100.254
member ip-address 10.0.200.254
ap-group name depart1
radio 0
vap-profile depart1 wlan 1
radio 1
vap-profile depart1 wlan 1
radio 2
vap-profile depart1 wlan 1
ap-id 0 type-id 56 ap-mac 00e0-fc6e-2890 ap-sn 210235448310F30CF56D
ap-name ap1
ap-group depart1
provision-ap
#
return
AC2设备配置
#
sysname AC2
#
vlan batch 200
#
interface Vlanif200
description to_S3_CAPWAP
ip address 10.0.200.254 255.255.255.0
#
interface GigabitEthernet0/0/13
port link-type trunk
port trunk allow-pass vlan 200
#
ip route-static 10.0.20.0 255.255.255.0 10.0.200.1
ip route-static 10.0.100.0 255.255.255.0 10.0.200.1
#
capwap source interface vlanif200
#
wlan
security-profile name depart2
security wpa-wpa2 psk pass-phrase huawei123 aes
ssid-profile name default
ssid-profile name depart2
ssid roam
vap-profile name depart2
service-vlan vlan-id 21
ssid-profile depart2
security-profile depart2
regulatory-domain-profile name default
mobility-group name mobility
member ip-address 10.0.100.254
member ip-address 10.0.200.254
ap-group name depart2
radio 0
vap-profile depart2 wlan 1
radio 1
vap-profile depart2 wlan 1
radio 2
vap-profile depart2 wlan 1
ap-id 0 type-id 56 ap-mac 00e0-fcde-1990 ap-sn 210235448310FA145341
ap-name ap2
ap-group depart2
provision-ap
#
Return
漫游注意事项
实现WLAN漫游的两个AP必须使用相同的SSID和安全模板(安全模板名称可以不同,但是安全模板下的配置必须相同),认证模板的认证方式和认证参数也要配置相同。
漫游组内最多可以添加16个AC成员,AC一次只能加入到一个漫游组中,不可以同时加入多个漫游组。在高密等可能频繁发生AC间漫游的场景中,如果漫游组成员数过多,可能导致频繁出现漫游失败。对于此类场景,建议调整组网规划,使漫游组中存在4个以内成员AC。
同一漫游组内的AC必须使用相同的软件C版本,否则可能会导致AC间漫游失败。
AC间漫游建议采用规格相近的AC。不同型号AC的用户接入能力相差较大,当大规格AC的接入用户大量向小规格AC漫游时,超出小规格AC接入能力的部分用户会漫游失败。
配置漫游组时,需确保AC已配置CAPWAP源地址,否则漫游组不生效。
AC间漫游与双链路热备功能互斥。
AGV漫游功能与空口扫描功能互斥。开启AGV功能后,AP上的对应射频将不支持空口扫描功能,依赖于扫描的业务如智能漫游、频谱导航、负载均衡等均不可用。
AC间漫游组名称必须一致。
WLAN AC和交换机之间不支持AC间漫游。
802.11r功能支持的安全策略包括开放式系统认证、WPA2+PSK+AES、WPA2+PPSK+AES和WPA2+802.1X+AES。
802.11r功能与PMF功能互斥,即如果已配置了802.11r功能,不能再配置PMF功能。
802.11r使用802.1X认证时,如果开启了802.1X重认证功能,部分终端可能因兼容性问题,在重认证阶段掉线后重新上线。
部分终端可能与802.11r漫游功能存在兼容性问题,导致漫游失败。不建议开启802.11r漫游功能。
如果两个AC上的PPSK配置保持一致,则PPSK用户支持AC间802.11r快速漫游;如果两个AC上的PPSK配置不一致,则PPSK用户不支持AC间802.11r快速漫游。
相同或不同漫游组成员(含漫游组服务器)的IP版本必须保持一致。如果配置了Navi AC,则漫游组成员与Navi AC成员(Navi AC和Local AC)的IP版本也必须保持一致。
相同的SSID。
相同的VAP模板,且VAP ID必须相同。
相同的安全策略。
高可靠性技术
• 热备份是指,当两台设备在确定主用(Master)设备和备用(Backup)设备后,由主用设
备进行业务的转发,而备用设备处于监控状态,同时主用设备实时向备用设备发送状态信
息和需要备份的信息,当主用设备出现故障后,备用设备及时接替主用设备的业务运行。
• VRRP双机热备份
▫ 主备AC两个独立的IP地址,通过VRRP对外虚拟为同一个IP地址,单个AP和虚拟IP建
立一条CAPWAP链路。
▫ 主AC备份AP信息、STA信息和CAPWAP链路信息,并通过HSB主备服务将信息同步给
备AC。主AC故障后,备AC直接接替工作。
• 双链路热备份
▫ 单个AP分别和主备AC建立CAPWAP链路,一条主链路,一条备链路。
▫ 主AC仅备份STA信息,并通过HSB主备服务将信息同步给备AC。主AC故障后,AP切
换到备链路上,备AC接替工作。
• 双链路冷备份
▫ 单个AP分别和主备AC建立CAPWAP链路,一条主链路,一条备链路。
▫ AC不备份同步信息。主AC故障后,AP切换到备链路上,备AC接替工作。
• N+1备份
▫ 单个AP只和一个AC建立CAPWAP链路。
▫ AC不备份同步信息。主AC故障后,AP重新与备AC建链CAPWAP链路,备AC接替工
作。
VRRP双机热备
AC目前支持VRRP单实例整机热备,不支持负载均衡。
基于VRRP 的双机热备,热备相关的业务都注册到同一个HSB备份组,HSB备份组内部绑定
HSB服务,同时HSB备份组与一个VRRP实例绑定,从而业务通过HSB备份组获知当前用户
的主备状态、以及主备切换等事件,并通过HSB组的接口进行备份数据的接收和发送。
HSB业务实时备份:
▫ 用户数据信息备份
▫ CAPWAP隧道信息备份
▫ AP表项备份
▫ DHCP地址信息备份
配置:
配置案例
AC2配置与AC1相同,此处不再赘述。
capwap隧道使用virtual-ip,capwap source ip-address 10.0.10.X
双链路双机热备
该方案除了支持主备备份之外,还支持负载分担模式。负载分担模式下可以指定一部分AP
的主AC为AC1,与其建立CAPWAP主链路,一部分AP的主AC为AC2,与其建立CAPWAP主
链路。
• 建立主链路时,除了Discovery阶段要优选出主AC,其他过程跟正常情况下的CAPWAP隧道
建立过程一致。
• 在Discovery阶段,使能双链路备份功能后,AP开始发送Discovery Request报文,分为单播
方式和广播方式:
▫ 如果预先通过静态方式、DHCP服务器方式或DNS方式指定了主备AC的IP地址,AP向
AC发送单播Discovery Request报文请求与主备AC关联。
▫ 如果没有配置AC的静态IP地址或者单播没有回应时,AP将发送广播Discovery
Request报文请求同网段内可关联的AC。
• 不管是单播发现还是广播发现,如果主备AC都正常,都会回应Discovery Response报文,
并在该报文中携带双链路特性开关、优先级、负载情况以及IP地址。
• AP收集到主备AC回应的Discovery Response报文后,根据AC的优先级、设备的负载情况以
及AC IP地址来选择主AC并开始与其建立CAPWAP主链路,优选顺序如下:
▫ 比较AC的优先级,优先级值小的为主AC,默认优先级为0,最大值为7,优先级取值
越小,优先级越高。;
▫ 优先级相同情况下,比较AC设备的负载情况,即AP个数和STA个数,负载轻的为主
AC。优先选择当前可接入AP数大的AC为主AC,如果当前可接入AP数相同,则选择当
前可接入STA数大的AC为主AC;
▫ 负载相同情况下,比较IP地址,IP地址小的为主AC。
• 说明:当前可接入AP数=可接入的最大AP数-当前已接入的AP数,当前可接入STA数=可接
入的最大STA数-当前已接入的STA数