大型WLAN技术
VLAN Pool
把多个VLAN放在同一个池中并提供分配算法的VLAN分配技术
目前一个SSID只能对应一个VLAN,一个VLAN对应一个子网,如果大量用户从某一区域接入,只能扩大VLAN的子网,保证用户能够获取到IP地址。这样带来的问题就是广播域扩大,导致大量的广播报文(如:ARP、DHCP等)带来严重的网络拥塞。
基于此问题考虑,一个SSID需要能够对应多个VLAN,把大量用户分散到不同的VLAN,减少广播域。VLAN Pool提供多个VLAN的管理和分配算法,实现 SSID 对应多个VLAN的方案。
VLAN Pool有两种分配算法:顺序分配算法和HASH分配算法
- 顺序分配算法:把用户按上线顺序依次划分到不同的VLAN中,用户上下线用户VLAN容易变化,IP地址变更。
- HASH分配:根据用户MAC地址HASH值分配VLAN,用户分配的VLAN固定,可能导致VLAN间用户划分不均匀,有的VLAN用户较多,有的较少。
分配VLAN的流程:
- 用户终端从某个VAP(Virtual Access Point,在物理AP上虚拟出多个AP,每个虚拟AP就是一个VAP)接入,判断该VAP是否绑定VLAN Pool
- 如果该VAP对应的模板绑定了VLAN Pool,使用VLAN Pool的分配算法分配一个VLAN,VLAN Pool根据分配算法进行分配
- 给终端分配一个VLAN
- 终端从分配的VLAN上线
应用举例:
漫游技术
WLAN漫游指的是STA在不同AP覆盖范围之间移动且保持用户业务不中断的行为
实现WLAN漫游的两个AP需要使用相同的SSID和安全模板,认证模板的认证方式和认证参数也要配置相同。
漫游相关概念
- AC内漫游:如果漫游过程中关联的是同一个AC,这次漫游就是AC内漫游。
• AC间漫游:如果漫游过程中关联的不是同一个AC,这次漫游就是AC间漫游。
• AC间隧道:为了支持AC间漫游,漫游组内的所有AC需要同步每个AC管理的STA和AP设备的信息,因此在AC间建立一条隧道作为数据同步和报文转发的通道。AC间隧道也是利用 CAPWAP 协议创建的。如图所示,AC1和AC2间建立AC间隧道进行数据同步和报文转发。
漫游组服务器
- STA在AC间进行漫游,通过选定一个AC作为漫游组服务器,在该AC上维护漫游组的 成员表,并下发到漫游组内的各AC,使漫游组内的各AC间相互识别并建立AC间隧道。
- 漫游组服务器既可以是漫游组外的AC,也可以是漫游组内选择的一个AC。
- 一个AC可以同时作为多个漫游组的漫游组服务器,但是自身只能加入一个漫游组。
- 漫游组服务器管理其他AC的同时不能被其他的漫游组服务器管理。也就是说如果一个 AC是作为漫游组服务器角色负责向其他AC同步漫游配置的,则它无法再作为被管理者接受其他AC向其同步漫游配置(即配置了漫游组就不能再配置漫游组服务器)。
- 漫游组服务器作为一个集中配置点,不需要有特别强的数据转发能力,只需要能够和各个AC互通即可。
家乡代理
- 能够和STA家乡网络的网关二层互通的一台设备。为了支持STA漫游后仍能正常访问家乡网络,需要将STA的业务报文通过隧道转发到家乡代理,再由家乡代理中转。 STA的家乡代理由HAC或HAP兼任,如图所示,用户可以选取AC1或AP1作为STA的家乡代理。
漫游类型
WLAN漫游分为二层漫游和三层漫游:
二层漫游: 1个无线客户端在2个AP(或多个AP)之间来回切换连接无线,前提是这些AP都绑定的是同1个SSID并且业务VLAN都在同1个VLAN内(在同一个IP地址段),漫游切换的过程中,无线客户端的接入属性(比如无线客户端所属的业务VLAN、获取的IP地址等属性) 不会有任何变化,直接平滑过渡,在漫游的过程中不会有丢包和断线重连的现象。
三层漫游: 漫游前后SSID的业务VLAN不同,AP所提供的业务网络为不同的三层网络,对应不同的网关。此时,为保持漫游用户IP地址不变的特性,需要将用户流量迂回到初始接入网段的AP,实现跨VLAN漫游。
网络中有时候会出现以下情况:两个业务VLAN的VLAN ID相同,但是这两个子网又属于不同的子网。此时为了避免系统仅仅依据VLAN ID将用户在两个子网间的漫游误判为二层漫游,需要通过漫游域来确定设备是否在同一个子网内,只有当VLAN相同且漫游域也相同的时候才是二层漫游,否则是三层漫游。
根据WLAN数据转发类型,还能细分为以下四种模型:
- 二层漫游直接转发:
二层漫游隧道转发的路径则是经过HAC或FAC后,由HAC或FAC将业务报文发送给上层网络。
三层漫游隧道转发:
三层漫游时,用户漫游前后不在同一个子网中,为了使用户漫游后仍能正常访问漫游前的 网络,需要将用户流量通过隧道中转到原来的子网。
隧道转发模式下,HAP和HAC之间的业务报文通过CAPWAP隧道封装,此时可以将HAP和HAC看作在同一个子网内,报文无需返回到HAP, 直接通过HAC进行中转到上层网络。
- 三层漫游直接转发(HAP为家乡代理):
直接转发模式下,HAP和HAC之间的业务报文不通过CAPWAP隧道封装,无法判定HAP和HAC是否在同一个子网内,此时设备默认报文需要返回到HAP进行中转。如果HAP和HAC在同一个子网时,可以将家乡代理设置为性能更强的HAC,减少HAP的负荷并提高转发效率。
- 三层漫游直接转发(HAC为家乡代理):
高可靠技术
高可靠技术主要是备份技术,包括: VRRP 双机热备、双链路冷备份、双链路热备份、N+1备份
热备份(Hot Standby,HSB)可以保证在主设备故障时业务能够不中断的顺利切换到备份设备。
VRRP双机热备
两台AC组成一个VRRP组,主、备AC对AP显示为同一个虚拟IP地址,主AC通HSB主备通道同步业务信息到备AC上
主AC担任虚拟AC的具体工作,当主AC故障时,备AC接替其工作。所有AP与“虚拟AC”建立CAPWAP隧道
这种备份方式一般部署在同一地理位置,业务切换速度非常快。
具体配置流程:
HSB service:建立和维护主备通道,为各个主备业务模块提供通道通断事件和报文发送/接收接口。主要包括建立主备备份通道和维护主备通道的链路状态两个方面。
HSB group:HSB备份组与一个VRRP实例绑定,借用VRRP机制协商出主备实例。同时备份组通知各个业务模块处理批量备份、实时备份、主备切换事件。
当主用设备出现故障,流量切换到备份设备时,要求主用设备和备份设备的会话表项完全一致,否则可能出现会话中断,因此需要进行数据同步。备份的方式包括批量备份、实时备份和定时同步。批量备份是指主用设备将已有的会话表项一次性同步到新加入的备份设备上,使主备AC信息对齐;实时备份是指主用设备在产生新表项或表项变化后发送给备用设备;定时同步是指备用设备周期性检查已有会话表是否与主用设备一致,如果不一致则将主用设备的会话表同步到备用设备。
基于VRRP 的双机热备,热备相关的业务都注册到同一个HSB备份组,HSB备份组内部绑定HSB服务,同时HSB备份组与一个VRRP实例绑定,从而业务通过HSB备份组获知当前用户的主备状态、以及主备切换等事件,并通过HSB组的接口进行备份数据的接收和发送。
配置举例:
双链路双机热备
双链路双机热备下,AP需要同时和主备AC之间分别建立CAPWAP隧道,AC间的业务信息通过HSB主备通道同步。业务直接绑定HSB备份服务,这样HSB对业务仅提供备份数据收发的功能,用户的主备状态由双链路机制进行维护。
双链路双机热备的主备AC不受地理位置限制,支持负载分担,指定一部分AP的主AC为AC1,一部分的AP的主AC为AC2。但业务切换速度较慢。
- 主备协商、建立主链路
建立主链路时,在Discovery阶段,使能双链路备份功能后,AP开始发送Discovery Request报文,分为单播和广播方式:
- 如果预先通过静态方式、DHCP服务器方式或DNS方式指定了主备AC的IP地址,AP向 AC发送单播Discovery Request报文请求与主备AC关联。
- 如果没有配置AC的静态IP地址或者单播没有回应时,AP将发送广播Discovery Request报文请求同网段内可关联的AC。
如果主备AC都正常,将会回应Discovery Response报文,在报文中携带双链路特性开关、优先级、负载情况以及IP地址。
AP收到Response报文后,比较报文中的各个参数来确认主备情况:
- 比较AC的优先级,优先级值小的为主AC,默认优先级为0,最大值为7,优先级取值越小,优先级越高。
- 优先级相同情况下,比较AC设备的负载情况,即AP个数和STA个数,负载轻的为主 AC。优先选择当前可接入AP数大的AC为主AC,如果当前可接入AP数相同,则选择当前可接入STA数大的AC为主AC;
- 负载相同情况下,比较IP地址,IP地址小的为主AC
当前可接入AP数=可接入的最大AP数-当前已接入的AP数,当前可接入STA数
当前可接入STA数=可接入的最大STA数-当前已接入的STA数
- 建立备链路
备链路的建立要等待主链路建立完并下发完配置后才开始建立,为的是避免业务配置重复下发导致的错误。
如果备AC的优先级修改为比已建立链路的主AC还高,则等到隧道建立完成后进行主备倒换。
AP发送的Join Request中,会携带一个自定义消息类型,告诉备AP配置已经下发,不需要再下发。AC收到Join Request,则不再重复下发配置。
缺省情况下,CAPWAP心跳检测的间隔时间为25秒,心跳检测报文次数为6。如果开启了双链路备份功能,则CAPWAP心跳检测的间隔时间为25秒,心跳检测报文次数为3。
- 配置举例:
双链路与VRPP在配置上正如前面所言,主备状态不再需要HSB备份组绑定VRRP组,而是由AP在与AC之间建立链路时就确定好了,不需要再通过HSB主备通道上进行协商和维护。
N+1
N+1备份是指再AC+FIT AP的网络架构中,使用一台AC作为备AC,为多台主AC提供备份服务的方案。
当AP与主用AC之间的CAPWAP隧道中断时,将触发AP与备用AC建立CAPWAP隧道,此时AP会重新与该AC建链、重启并获取配置,在该过程中,业务将会受影响。
N+1方案支持主备倒换和主备回切
- 主备选择:
当AC收到AP发送的Request报文,如果AC没有为该AP配置个性优先级,则回应全局优先级,否则优先回应个性优先级。
AP根据以下顺序优选主AC:
AP查看优选AC,如果只有一个优选AC,则此AC作为主AC。如果存在多个优选AC, 则选择负载最轻的AC作为主AC,如果负载相同选择IP地址最小的作为主AC
- 负载的比较方式:比较AC设备的负载情况,即AP个数和STA个数,负载轻的为主AC。 优先选择当前可接入AP数大的AC为主AC,如果当前可接入AP数相同,则选择当前可接入STA数大的AC为主AC
如果没有优选AC,查看备选AC,如果只有一个备选AC,则此AC作为主AC,如果存在多个备选AC,则选择负载最轻的AC作为主AC,如果负载相同选择IP地址最小的作为主AC
如果没有备选AC,比较AC的优先级,优先级最高的作为主AC。优先级取值越小,优先级越高。优先级的具体判断方式参考主备优先级
- 优先级相同情况下,则选择负载最轻的AC作为主AC
- 负载相同情况下,继续比较IP地址,IP地址小的为主AC。
举例配置
从上图的最后一条命令可知,N+1和双机链路是冲突的。
准入控制技术
- NAC(Network Admission Control,网络接入控制),通过对接入网络的客户端和用户的认证保证网络的安全。
- RADIUS 一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰。
该协议定义了基于UDP的RADIUS报文格式及传输机制,并规定UDP的1812、1813分别未默认的认证、计费端口。
- 802.1X认证
802.1X认证系统为典型的C/S结构,包括请求方、认证方和认证服务器三个实体,认证服务器通常为RADIUS服务器,用于对申请者进行认证、授权和计费。
- MAC认证 一种基于MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。 接入设备在启动了MAC认证的接口上首次检测到用户的MAC地址后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名和密码。MAC认证常用于哑终端(如打印机)的接入认证,或者结合认证服务器完成MAC的Portal认证,用户首次通过认证后,一定时间内免认证再次接入。
- Portal认证 通常也成为Web认证,将浏览器作为认证客户端。用户上网时,必须在Portal认证,只有通过认证后才能使用网络资源。常用的Portal认证方式有:用户名和密码;短信认证。
MAC与Portal认证结合:
三种认证方式的比较: