华为 WLAN AC双机热备技术白皮书

网络设备主备配置系列3:华为防火墙(路由模式）自从推荐主备配置系列以来，许多网友一起与我沟通配置的方法。

这两天终于有时间了，决定继续推出华为的。

共分两部分，路由模式与透明模式！双机热备，所谓双机热备其实是双机状态备份，当两台防火墙，在确定主从防火墙后，由主防火墙进行业务的转发，而从防火墙处于监控状态，同时主防火墙会定时向从防火墙发送状态信息和需要备份的信息，当主防火墙出现故障后，从防火墙会及时接替主防火墙上的业务运行。

状态备份最主要的优点，是可以保护当前业务不会中断.实现双机热备的基本步骤：（1）在接口上配置VRRP（虚拟路由器冗余协议）备份组，来发现防火墙的故障情况；（2）将VRRP备份组加入到VGMP（VRRP组管理协议）中，以实现对VRRP管理组的统一管理；（3）使能HRP（华为冗余协议），实现双机情况下的信息备份。

设计思路：1、其实就是个口字型网络，主备设备间起TRUNK，交换机与防火墙互联为access口，2、交换机与防火墙互为VRRP，A和B交换浮动IP192.168.0.3，防火墙浮动IP为192.168.0.6C和D交换机浮动IP192.168.1.3，防火墙浮动IP为192.168.1.63、两个防火墙间通过一个网口作芯跳，HRP4、上面和下面的两组交换机配置方法一样。

本文只列出上面的。

配置：交换机，此处就不配置TRUNK和ACCESS口的方法了。

三层Ainterface Vlan-interface803description To_Eudemon500Aip address 192.168.0.1 255.255.255.248vrrp vrid 4 virtual-ip 192.168.0.3vrrp vrid 4 priority 120三层Binterface Vlan-interface803description To_Eudemon500Bip address 192.168.0.2 255.255.255.248vrrp vrid 4 virtual-ip 192.168.0.3防火墙：1,eudemon 500A配置：sysname FW-E500-Asuper password level 3 ciper huaweiweb-manager enableweb-manager security enableacl number 3000description permit-allrule permit ipfirewall zone trustset priority 85add int g1/0/0firewall zone untrustset priority 5add int g1/0/1firewall zone hrpset priority 30add int g4/0/1int g1/0/0de to_switch_Aip address 192.168.0.4 255.255.255.248 vrrp vrid 10 virtual-ip 192.168.0.6vrrp vrid 10 pri 120int g1/0/1de to_switch_Cip address 192.168.1.4 255.255.255.248 vrrp vrid 15 virtual-ip 192.168.1.6vrrp vrid 15 pri 120int g4/0/1de HA_to_E500-Bip address 192.168.3.1 255.255.255.0vrrp vrid 20 virtual-ip 192.168.1.3vrrp vrid 20 pri 120vrrp group 1add interface ethernet4/0/1 vrrp vrid 30 datatransfer-onlyadd interface ethernet1/0/0 vrrp vrid 10 dataadd interface ethernet1/0/1 vrrp vrid 20 datavrrp-group pri 105vrrp-group preemptvrrp-group enablehrp enablehrp interface g4/0/1fire intzone trust localpack 3000 inpack 3000 outfire intzone untrust localpack 3000 inpack 3000 outfire intzone trust untrustaaalocal-user huawei password simple huaweilocal-user huawei service-type web telnet sshlocal-user huawei level 0user-interface vty 0 4authentication-mode aaauser privilege level 02、eudemon 500B配置sysname FW-E500-Bsuper password level 3 ciper huaweiweb-manager enableweb-manager security enableacl number 3000description permit-allrule permit ipfirewall zone trustset priority 85add int g1/0/0firewall zone untrustset priority 5add int g1/0/1firewall zone hrpset priority 30add int g4/0/1int g1/0/0de to_switch-Bip address 192.168.0.5 255.255.255.248vrrp vrid 10 virtual-ip 192.168.0.6int g1/0/1de to_switCh-Dip address 192.168.1.5 255.255.255.248vrrp vrid 15 virtual-ip 192.168.1.6int g4/0/1de HA_to_FW-E500-Bip address 192.168.3.2 255.255.255.0vrrp vrid 20 virtual-ip 192.168.3.3vrrp group 1add interface ethernet4/0/1 vrrp vrid 30 data transfer-onlyadd interface ethernet1/0/0 vrrp vrid 10 dataadd interface ethernet1/0/1 vrrp vrid 20 datavrrp-group preemptvrrp-group enablehrp enablehrp interface g4/0/1fire intzone trust localpack 3000 inpack 3000 outfire intzone untrust localpack 3000 inpack 3000 outfire intzone trust untrustpack 3002 inpack 3001 outaaalocal-user huawei password simple huaweilocal-user huawei service-type web telnet sshlocal-user huawei level 0user-interface vty 0 4authentication-mode aaauser privilege level 01. 双机热备的注意点（1）对于双机热备目前只支持两台设置进行备份，不支持多台设备进行备份。

华为智简园区 WLAN 二层 GRE技术白皮书目录摘要 (ii)1概述 (1)1.1产生背景 (1)1.2技术实现 (1)1.3客户价值 (3)2实现原理 (4)2.1二层GRE 的相关原理 (4)2.2二层GRE 下的报文转发 (9)2.3二层GRE 下的用户认证 (10)2.4二层GRE 下的用户漫游 (10)2.4.1SoftGRE 方式下的漫游 (11)2.4.2EoGRE+隧道转发方式下的漫游 (11)3典型组网应用 (13)3.1宽带+WIFI 业务 (13)3.2Wholesale 业务 (14)3.3访客接入 (14)1 概述1.1产生背景未来是一个智能终端无线连接、移动化的时代，无论是在家庭还是在户外，固定还是移动使用场景，终端基本都会通过无线方式接入网络。

而目前固网运营商有线接入网络不直接和用户的连接发生关系，这些将会让固网运营商沦为管道，被边缘化。

同时，对正在到来的M2M 物联网失去参与的机会。

在这样的大背景下，越来越多的没有移动运营牌照的固网运营商将目光投向了WIFI。

通过在现网上新增Wi-Fi 承载，整合现网FBB 资源，充分利用丰富的接入和城域资源。

同时利用WIFI 无线接入占领用户行为、网络流量管理的制高点，灵活开展更多商业模式，在全联接时代获取更多商业利益。

华为面向没有移动运营牌照，想通过基于现有FBB（客户群、业务、网络）拓展Wi-Fi新市场的固网运营商推出了运营级WIFI 解决方案。

为了集中简化管理，用户的流量策略统一在现有的BRAS 设备上进行，而AC 只负责AP 和无线用户的接入控制。

这种方案可以最大限度地减少对现网的改动，同时可以减少新增设备和运维成本。

华为提供了两种利用二层GRE 实现该功能的方法，下文将详细介绍。

1.2技术实现WLAN 有两种通过二层GRE 实现将无线和有线流量统一汇聚到同一个网关的方式。

隧道转发+EoGRE 方式：AP 采用隧道转发的方式，这种方式下用户的流量会汇聚到AC 设备，AC 设备再通过二层GRE 隧道将流量转发到网关。

华为全系列数据通信产品白皮书第一部分：引言（200字）数据通信产品在现代社会中扮演着至关重要的角色，它们是连接世界的桥梁，促进了信息的传递和交流。

华为作为全球领先的通信技术解决方案提供商，为满足客户需求，推出了一系列高质量的数据通信产品。

本白皮书旨在介绍华为全系列数据通信产品的技术特点、应用场景和优势，帮助用户更好地了解和选择适合自己的产品。

第二部分：产品概述（200字）华为全系列数据通信产品包括路由器、交换机、光纤传输设备等多个种类。

这些产品具备高度的稳定性、可靠性和安全性，能够保证数据传输的质量和效率。

华为路由器是业界领先的产品之一，支持高速连接，稳定运行和智能优化。

交换机则提供灵活的网络管理和控制功能，适用于各种不同规模和需求的环境。

光纤传输设备则可以实现高容量和长距离的数据传送，特别适用于电信、金融和大型企业等行业。

第三部分：技术特点（300字）华为全系列数据通信产品具备一系列重要的技术特点。

首先，这些产品都采用了先进的硬件和软件技术，能够实现高效的数据处理和传输。

其次，华为产品支持灵活的网络配置和管理，可以根据实际需求进行定制和扩展。

同时，华为产品还具备高度的安全性，采用了先进的加密和认证技术，保障了数据的机密性和完整性。

此外，华为产品还支持智能化的运维和管理，通过数据分析和优化，提高了网络的性能和稳定性。

第四部分：应用场景（300字）华为全系列数据通信产品广泛应用于各个领域。

它们可以满足不同规模和需求的数据通信需求，适用于运营商、企业和个人用户等不同类型的客户。

在运营商领域，华为产品可以构建高速、稳定和安全的通信网络，支撑运营商的业务和服务。

在企业领域，华为产品可以实现灵活的网络管理和控制，提供高效的数据传输和存储解决方案。

对于个人用户来说，华为产品可以提供高速的网络连接和智能的家庭网络管理，满足各种娱乐和生活需求。

第五部分：产品优势（200字）华为全系列数据通信产品具备多个优势。

首先，它们拥有领先的技术和创新能力，能够满足不断变化的市场需求。

4双机热备份配置关于本章4.1 双机热备份简介4.2 双机热备原理描述4.3 双机热备份应用场景4.4 配置注意事项4.5 双机热备份缺省配置4.6 配置双机热备份功能4.7 双机热备份配置举例4.8 双机热备份常见配置错误4.1 双机热备份简介定义双机热备份（Hot-Standby Backup）是指，当两台设备在确定主用（Master）设备和备用（Backup）设备后，由主用设备进行业务的转发，而备用设备处于监控状态，同时主用设备实时向备用设备发送状态信息和需要备份的信息，当主用设备出现故障后，备用设备及时接替主用设备的业务运行。

目的随着用户对网络可靠性的要求越来越高，如何保证网络的不间断传输，已成为一个必须解决的问题。

特别是在一些重要业务的入口或接入点上，需要保证网络的不间断运行，如企业的Internet接入点、银行的数据库服务器等。

在这些业务点上如果只使用一台设备，无论其可靠性多高，网络都必然要承受因单点故障而导致业务中断的风险。

为了解决上述问题，引入了双机热备份。

双机热备份实现了双机业务的备份功能，业务信息通过备份链路实现批量备份和实时备份，保证在主设备故障时业务能够不中断地顺利切换到备份设备，从而降低了单点故障的风险，提高了网络的可靠性。

4.2 双机热备原理描述4.2.1 备份方式设备支持主备方式的双机热备份解决方案。

主备方式（与VRRP热备份配合使用）如图4-1所示，RouterA与RouterB组成一个VRRP备份组。

正常情况下主设备RouterA处理所有业务，并将产生的会话信息通过主备通道传送到备份设备RouterB进行备份；RouterB不处理业务，只用做备份。

图4-1双机热备份主备方式组网图（正常工作）RouterA主备通道当主设备RouterA发生故障，备份设备RouterB接替主设备RouterA处理业务，如图4-2所示。

由于已经在备用设备上备份了会话信息，从而可以保证新发起的会话能正常建立，当前正在进行的会话也不会中断，提高了网络的可靠性。

华为智简园区有线无线深度融合技术白皮书摘要有线无线深度融合是华为公司推出的智简园区解决方案的一个子方案，指在敏捷交换机上融合WLAN AC功能后，有线和无线用户可以在敏捷交换机统一进行管理、认证和策略控制，流量集中易于管控，管理极致简化，实现了全新的接入体验。

目录摘要 (i)1 概述 (3)1.1 产生背景 (3)1.2 解决思路 (4)2 方案原理 (7)2.1 实现原理 (7)2.2 有线无线用户在敏捷交换机集中统一认证 (11)2.3 无线用户在敏捷交换机控制下实现漫游切换 (11)3 典型组网应用 (13)3.1 无线AP从ENP板卡接入 (13)3.1.1 中小型二层组网部署 (13)3.1.2 大型二层组网部署 (15)3.1.3 三层组网之核心点融合 (16)3.2 无线AP从ASIC板卡接入 (17)3.2.1 无线业务接入点多而分散 (17)3.2.2 旧有线网络增加无线业务 (19)A 缩略语 (20)1概述1.1 产生背景传统的有线无线园区网络分为有线无线完全分离和有线无线一体化两个阶段：●有线无线分离阶段：即独立AC旁挂式，AP通过接入交换机接入网络，AC多为单独的WLAN设备，一般旁挂在网关交换机上。

有线和无线网络管理、数据转发完全分离。

●有线无线一体化阶段：即插卡式AC，AP通过接入交换机接入网络，AC作为网关交换机的一块插卡，称为插卡式AC。

在这种组网下，虽然AC作为一块板卡融入了网关交换机，但无线AC和有线网关交换机还是独立的管理单元，有线无线数据转发，仍然是完全分开进行处理。

无论是独立AC或插卡式AC，有线和无线流量转发完全分离，分别是在交换机和AC设备完成。

这将导致有线用户和无线用户的流量转发、网络管理和排障、认证以及访问策略的设置和控制实施都是分开在有线网络和无线网络中独立维护的，这种传统的无线网络和有线网络不能统一管理和深度融合带来排障、管控的工作量增加等问题。

WLAN技术白皮书802.11n Draft2.0福建星网锐捷网络有限公司未经本公司同意，严禁以任何形式拷贝 修订记录日期 修订版本 修改章节 修改描述 作者0.9 Draft 黄赞福建星网锐捷网络有限公司未经本公司同意，严禁以任何形式拷贝 目录1. 概述 (4)1.1. 技术背景 (4)1.2. 技术特点 (4)1.3. 本书阅读说明 (5)2. 名词解释 (5)3. 技术分析 (6)3.1. 帧格式变更 (6)3.1.1. MPDU帧格式变更 (6)3.1.2. PPDU帧格式变更 (7)3.2. MAC效率提升 (9)3.2.1. 帧聚合（Aggregation） (10)3.2.2. 块确认（Block Acknowledgement） (12)3.2.3. RIFS（Reduced InterFrame Space） (13)3.3. MIMO技术 (14)3.3.1. MIMO基本概念 (14)3.3.2. MIMO系统组成 (15)3.3.3. 空间复用 (17)3.3.4. 信道探测评估 (18)3.3.5. 波束成形（BeamForming） (19)3.4. OFDM改进 (22)3.4.1. 副载波增加 (22)3.4.2. FEC编码速率提高 (23)3.4.3. 短防护间隔（SGI） (23)3.5. 带宽扩充 (24)3.6. PHY保护机制 (25)4. 附录 (26)4.1. 各种技术对速率提升的贡献 (26)4.2. 802.11nMCS一览表 (27)1.概述1.1. 技术背景802.11n是IEEE802.11协议族中的一部分，提供了MAC子层的部分修改和全新的PHY子层。

目的是在802.11旧有技术基础上改进射频稳定性、传输速率和覆盖范围。

在802.11g标准化之后，IEEE 802.11成立了任务n工作组——TGn。

在过去几年时间里，TGn 的提案一直未能完成标准化，主要原因是以芯片厂家主导的TGnSync阵营和以设备制造厂家主导的WWiSE阵营的争端无法达成一致。