华为园区WLAN方案技术建议书
华为整体网络解决方案设计
实用标准项目编号: 华为网络整体解决方案目录1 概述 (4)2 企业网络建设设计原则 (5)3 华为产品解决方案 (7)3.1 整体架构设计 (7)3.1.1 总体网络架构 (7)3.1.2 有线网络解决方案 (8)3.1.2.1 核心层网络设计 (9)3.1.2.2 汇聚层网络设计 (9)3.1.2.3 接入层网络设计 (10)3.1.3 数据中心解决方案 (10)3.1.4 无线网络解决方案 (11)3.1.4.1 无线网络的建设需求 (11)3.1.4.2 无线网络解决方案 (14)3.2 高可靠性设计 (18)3.2.1 网络高可靠性设计 (18)3.2.2 设备高可靠性设计 (18)3.2.2.1 重要部件冗余 (18)3.2.2.2 设备自身安全 (19)3.3 安全方案设计 (21)3.3.1 园区网安全方案总体设计 (21)3.3.2 园区内网安全设计 (21)3.3.2.1 防IP/MAC地址盗用和ARP中间人攻击 (21)3.3.2.2 防IP/MAC地址扫描攻击 (23)3.3.2.3 广播/组播报文抑制 (25)3.3.3 园区网边界防御 (26)3.3.4 园区网出口安全 (27)3.3.5 无线安全设计 (28)3.3.5.1 无线局域网的安全威胁 (29)3.3.5.2 华为无线网络的安全策略 (30)4 设备介绍........................................................................................................ 错误!未定义书签。
4.1 Quidway® S9300系列交换机............................................... 错误!未定义书签。
4.2 Quidway® S7700系列交换机............................................... 错误!未定义书签。
智简园区WLAN二层GRE技术白皮书
华为智简园区 WLAN 二层 GRE技术白皮书目录摘要 (ii)1概述 (1)1.1产生背景 (1)1.2技术实现 (1)1.3客户价值 (3)2实现原理 (4)2.1二层GRE 的相关原理 (4)2.2二层GRE 下的报文转发 (9)2.3二层GRE 下的用户认证 (10)2.4二层GRE 下的用户漫游 (10)2.4.1SoftGRE 方式下的漫游 (11)2.4.2EoGRE+隧道转发方式下的漫游 (11)3典型组网应用 (13)3.1宽带+WIFI 业务 (13)3.2Wholesale 业务 (14)3.3访客接入 (14)1 概述1.1产生背景未来是一个智能终端无线连接、移动化的时代,无论是在家庭还是在户外,固定还是移动使用场景,终端基本都会通过无线方式接入网络。
而目前固网运营商有线接入网络不直接和用户的连接发生关系,这些将会让固网运营商沦为管道,被边缘化。
同时,对正在到来的M2M 物联网失去参与的机会。
在这样的大背景下,越来越多的没有移动运营牌照的固网运营商将目光投向了WIFI。
通过在现网上新增Wi-Fi 承载,整合现网FBB 资源,充分利用丰富的接入和城域资源。
同时利用WIFI 无线接入占领用户行为、网络流量管理的制高点,灵活开展更多商业模式,在全联接时代获取更多商业利益。
华为面向没有移动运营牌照,想通过基于现有FBB(客户群、业务、网络)拓展Wi-Fi新市场的固网运营商推出了运营级WIFI 解决方案。
为了集中简化管理,用户的流量策略统一在现有的BRAS 设备上进行,而AC 只负责AP 和无线用户的接入控制。
这种方案可以最大限度地减少对现网的改动,同时可以减少新增设备和运维成本。
华为提供了两种利用二层GRE 实现该功能的方法,下文将详细介绍。
1.2技术实现WLAN 有两种通过二层GRE 实现将无线和有线流量统一汇聚到同一个网关的方式。
隧道转发+EoGRE 方式:AP 采用隧道转发的方式,这种方式下用户的流量会汇聚到AC 设备,AC 设备再通过二层GRE 隧道将流量转发到网关。
07.华为园区WLAN方案技术建议书
1 WLAN方案概述 (1)1.1 方案背景 (1)1.1.1 技术背景 (1)1.1.2 企业无线园区网的发展及设计需求 (2)1.2 WLAN基本概念 (2)1.2.1 网络架构模型 (2)1.2.2 集中式AC与分布式AC (4)1.2.3 AC旁挂与AC直路 (6)1.2.4 集成AC与独立AC (7)1.2.5 本地转发与集中转发 (7)2 WLAN基础网络规划 (10)2.1 IP地址规划 (10)2.2 SSID规划 (11)2.3 漫游规划 (12)2.4 AP发现并选择AC方式规划 (13)2.5 射频管理规划 (15)2.6 无线网络安全规划 (17)2.7 QoS规划 (18)2.8 可靠性规划 (19)3 WLAN接入认证计费方案 (21)3.1 无线安全协议标准 (21)3.2 WLAN终端认证技术 (22)3.3 无线用户身份认证技术 (23)3.4 认证、安全、计费功能与部署 (26)3.4.1 认证、安全、计费系统功能组件 (27)3.4.2 认证、安全、计费集成方案 (28)3.4.3 园区出口计费网关部署 (34)4 WDS网桥无线数据回传典型方案 (36)4.1 WDS组网模式 (37)4.2 WDS组网性能指标 (38)5 WLAN网络管理方案 (40)5.1 网管方案概述 (40)5.2 eSight WLAN网络管理流程 (41)5.3 企业WLAN网络管理规划 (42)6 WLAN网络组网推荐方案 (43)6.1 大中型园区网WLAN组网推荐方案 (43)6.2 小型园区网WLAN部署方案 (45)6.3 SOHO型园区网络WLAN部署方案 (48)7 WLAN主要产品介绍 (50)7.1 AP6010SN-GN美观标准室内型单频AP (50)7.2 AP6010DN-AGN美观标准室内型双频AP (51)7.3 AP6310SN-GN经济型室分单频AP (52)7.4 AP6510DN-AGN标准室外双频AP (53)7.5 AP6610DN-AGN全规格室外双频AP (54)7.6 AP7110SN-GN增强型室内单频AP (55)7.7 AP7110DN-AGN增强型室内双频AP (56)7.8 AP5010SN-GN美观标准室内单频AP (57)7.9 AP5010DN-AGN美观标准室内单频AP (58)7.10 AC6605-26-PWR (59)7.11 S9700/S7700 SPU插卡 (59)1 WLAN方案概述1.1 方案背景1.1.1 技术背景WLAN(Wireless Local Area Network)是指利用高频射频信号(例如2.4GHz或5GHz)作为传输信道的无线局域网。
华为园区网解决方案设计指南
如果对网络安全要求比较高,比如需满足安全等级保护要求,则推 荐采用独立的安全设备;否则,可以采用集成安全设备如UTM或安全增 值业务插卡。
主要用于防止网络内部用户导致的安全事故,可以推荐采用上网行 为管理的软件或专用设备。
当机房或弱电间比较多时,通常可以将网络各层分布式部署到各个机房或弱 电间,即将核心或汇聚部署到各个机房或弱电间,通常可以在每个机房或弱电间 部署一个汇聚点;当采用多核心互联时,也可以将多核心分别部署在不同机房。 除此之外,还要考虑设备摆放布局及其间隔距离等问题。
HUAWEI TECHNOLOGIES CO., LTD.
3
设计总体目标
4
设计指导原则
5
设计参考标准
HUAWEI TECHNOLOGIES CO., LTD.
华为保密信息,未经授权禁止扩散
Page 8
园区网设计总体流程
需求调研 需求分析 方案设计
重点内容: 1. 客户网络环境 2. 客户网络业务 3. 现网的痛点(若有) 4. 客户的期望
根据调研结果进行分析,内容至少包括: 1. 终端接入模式 2. 业务流量模型 3. 网络带宽/容量
园区基础网络架构
分支机构
数据中心/ 服务器群
Servers APபைடு நூலகம்S DB
管理 中心
Internet 园区出口
核心层 汇聚层
WAN
PSTN
DMZ
接入层 应用层
部门A
部门…
部门X
出差员工
合作伙伴/ 访客
Web DNS Email APPS
园区外部 园区内部
华为企业园区网络建设技术方案建议书V
华为企业园区网络建设技术方案建议书目录1项目概述 (4)1.1项目背景 (4)1.2项目目标 (4)2园区总体系统规划设计 (5)2.1需求分析 (5)2.2设计原则 (6)3园区网络架构规划设计 (8)3.1园区网络总体网络架构规划设计 (8)3.1.1典型园区网网络架构 (8)3.1.2经济型园区网网络架构 (9)3.1.3虚拟交换园区网网络架构 (10)3.2园区网络分层网络规划设计 (11)3.2.1接入层 (11)3.2.2汇聚层 (12)3.2.3核心层 (12)3.2.4出口层 (13)4园区网络高可靠性规划设计 (15)4.1园区网络高可靠性规划设计 (15)4.2园区网络设备高可靠性规划设计 (20)4.2.1重要部件冗余 (20)4.2.2设备自身安全 (21)4.3园区网络交换机虚拟化规划设计 (22)4.3.1汇聚交换机的集群CSS(Cluster Switch Switching) (22)4.3.2接入交换机的堆叠iStack (25)5园区网络安全方案规划设计 (27)5.1园区网安全方案总体规划设计 (27)5.2园区接入安全规划设计 (28)5.3园区网络监管/监控规划设计 (34)5.3.1防IP/MAC地址盗用和ARP中间人攻击 (34)5.3.2防IP/MAC地址扫描攻击 (35)5.3.3广播/组播报文抑制 (37)5.4园区网边界防御规划设计 (37)5.4.1防火墙部署规划设计 (37)5.4.2防火墙功能规划设计 (38)5.4.3防火墙性能选择 (39)5.4.4虚拟防火墙规划设计 (40)5.4.5NAT规划设计 (41)5.5园区网出口安全规划设计 (42)6园区网络网管系统方案规划设计 (45)6.1网管系统概述 (45)6.2系统优势介绍 (46)6.2.1网络管理优势功能 (47)6.2.2网络流量分析器优势功能 (48)6.2.3认证计费优势功能 (50)6.3网管系统部署 (52)6.3.1集中式网管系统部署 (52)6.3.2分布式网管系统部署 (54)7园区网络设备介绍 (56)7.1园区汇聚/核心交换机 Q UIDWAY S9300 (56)7.2园区接入交换机 (58)7.2.1Quidway S5300系列交换机 (58)7.2.2Quidway S3300系列交换机 (61)1项目概述根据实际情况增加项目介绍1.1项目背景1.2项目目标2园区总体系统规划设计2.1需求分析随着企业信息化建设不断深入,企业的生产业务系统、经营管理系统、办公自动化系统均得到大力发展,对于企业园区网的建设要求越来越高。
华为园区WLAN方案技术建议书
园区WLAN方案技术建议书目录1 WLAN方案概述 (1)1.1 方案背景 (1)1.1.1 技术背景 (1)1.1.2 企业无线园区网的发展及设计需求 (2)1.2 WLAN基本概念 (2)1.2.1 网络架构模型 (2)1.2.2 集中式AC与分布式AC (4)1.2.3 AC旁挂与AC直路 (6)1.2.4 集成AC与独立AC (7)1.2.5 本地转发与集中转发 (7)2 WLAN基础网络规划 (10)2.1 IP地址规划 (10)2.2 SSID规划 (11)2.3 漫游规划 (12)2.4 AP发现并选择AC方式规划 (13)2.5 射频管理规划 (15)2.6 无线网络安全规划 (17)2.7 QoS规划 (18)2.8 可靠性规划 (19)3 WLAN接入认证计费方案 (21)3.1 无线安全协议标准 (21)3.2 WLAN终端认证技术 (22)3.3 无线用户身份认证技术 (23)3.4 认证、安全、计费功能与部署 (26)3.4.1 认证、安全、计费系统功能组件 (27)3.4.2 认证、安全、计费集成方案 (28)3.4.3 园区出口计费网关部署 (34)4 WDS网桥无线数据回传典型方案 (36)4.1 WDS组网模式 (37)4.2 WDS组网性能指标 (38)5 WLAN网络管理方案 (40)5.1 网管方案概述 (40)5.2 eSight WLAN网络管理流程 (41)5.3 企业WLAN网络管理规划 (42)6 WLAN网络组网推荐方案 (43)6.1 大中型园区网WLAN组网推荐方案 (43)6.2 小型园区网WLAN部署方案 (45)6.3 SOHO型园区网络WLAN部署方案 (48)7 WLAN主要产品介绍 (50)7.1 AP6010SN-GN美观标准室内型单频AP (50)7.2 AP6010DN-AGN美观标准室内型双频AP (51)7.3 AP6310SN-GN经济型室分单频AP (52)7.4 AP6510DN-AGN标准室外双频AP (53)7.5 AP6610DN-AGN全规格室外双频AP (54)7.6 AP7110SN-GN增强型室内单频AP (55)7.7 AP7110DN-AGN增强型室内双频AP (56)7.8 AP5010SN-GN美观标准室内单频AP (57)7.9 AP5010DN-AGN美观标准室内单频AP (58)7.10 AC6605-26-PWR (59)7.11 S9700/S7700 SPU插卡 (59)1 WLAN方案概述1.1 方案背景1.1.1 技术背景WLAN(Wireless Local Area Network)是指利用高频射频信号(例如2.4GHz或5GHz)作为传输信道的无线局域网。
园区WI-FI办公解决方案
园区WI-FI办公解决方案2018年10备注对目前无线覆盖做了全面检测,对整体网络测试问题如下:1、手机连接无线到处走动,发现手机很难切换到最近的AP点,此时测试网速很慢1.ping无线的网关IP存在丢包现象,延迟时高时慢,如图:2.ping DNS地址同样也存在丢包现象,延迟时高时慢,如图:3.ping baidu返回地址同样也存在丢包现象,延迟时高时慢,如图:从以上测试可以看出设备的性能的确存在一定的问题。
问题总结:终端漫游不过来,手机连上无线后移动到别的位置不能上网或者是上网很慢卡顿,手机需要断开重新连接,做不了微信认证。
主因判断为目前使用的无线AP设备性能不能满足办公需求,且部分点位尤其拐角处因位置原因,后期可能需要局部调整。
我们针对这次无线全覆盖的建设方案建议是:1.在电信原有的基础上建设在根据现场实际情况少量的修改,尽量使用原来布线,建成后根据效果布局调整,减少单位的开支,做到整栋大楼的无线全覆盖。
2.使用我们设备我们根据整体网络规划,对无线网络做网络优化,终端可以无缝漫游走到那个AP位置下连接那个无线AP。
使用我们设备可以做微信认证可设置登陆条件或者直接登陆均可。
3.详细的功能介绍设备清单和拓扑图搭建,下面的方案中有详细介绍,服务和承诺在方案最后一项有介绍。
目前经过三个月调试,三楼四楼无线网基本满足正常办公需求。
针对目前主办公楼无线覆盖做全面方案如下:目录一、概述 (1)1.1项目简介 (1)1.2面临挑战 (1)二、建设目标 (4)2.1建设目标 (4)2.2建设原则 (5)三、解决方案 (6)3.1整体网络建设框架 (6)3.2客户需求 (8)3.2.1现场分析 (8)3.2.2AP点位部署分布设计 (9)3.3无缝信号覆盖保障上网体验 (9)3.3.1智能射频优化干扰 (10)3.3.2重要应用优先传输 (12)3.3.3无线用户动态流控 (12)3.3.4高密场景高速上网 (13)3.4全面安全防护保障上网安全 (14)3.4.1无线网络安全框架 (14)3.4.2无线上网安全接入 (14)3.4.3上网行为审计 (15)3.4.4规范无线上网行为 (16)3.4.5杜绝私搭乱建热点 (17)3.5便民信息发布打造服务通路 (18)3.6削减中间环节简化无线运维 (18)3.6.1超扁平化减少运维 (18)四、设备清单 (20)五、售后服务 (21)5.1.1售后服务承诺 (21)一、概述1.1项目简介随着智能手机、平板电脑等移动智能设备迅速普及使用,移动智能终端逐渐成为了人们不可或缺的工具,如今很多机关单位人员更倾向于使用智能设备,快速便捷开展工作,这使得移动办公业务趋势进一步发展。
智简园区WLAN无线网桥技术白皮书
华为智简园区WLAN无线网桥技术白皮书HUAWEI本文档针对华为无线接入设备的WDS/MESH技术进行说明。
通过WDS/MESH技术,可以实现不同网络之间的远距离无线连接,扩大网络覆盖范围,降低网络部署成本。
本文档提供了WDS/MESH的工作原理和WDS/MESH的几种组网场景和配置注意事项,另外提供了WDS/MESH的应用配置摘要................................................................................ iL1概述............................................................................... .1 1.1无线网桥技术介绍.. (1)1.1.1WDS (1)1.1.2 MESH 介绍 (1)1.2 WDS原理描述 (2)1.2.1 WDS 简介 (2)1.2.2 WDS建立过程 (4)1.3WDS组网模式 (6)1.3.1点对点组网 (6)1.3.2点对多点组网 (8)1.4 MESH原理描述 (9)1.4.1 MESH基本概念 (9)1.4.2 MESH 连接建立 (10)1.4.3 MP 配置上线 (12)1.4.4 MESH路由建立 (14)1.4.5 数据报文转发 (15)1.4.6 MESH网络破环 (16)1.5MESH组网模式 (16)1.5.1链状组网 (16)1.5.2星状组网 (16)1.5.3网状组网 (17)1.5.4 多MPP 组网 (17)2无线网桥应用...................................................................... 1.92.1 WDS组网场景 (19)2.1.2室内场景WDS组网 (20)2.1.3室外场景WDS组网 (20)2.2 WDS组网规划 (23)2.2.1传输距离规划 (23)2. ~ (26)2.3 MESH组网场景 (28)2.3.1区域无线覆盖场景 (28)2.3.2道路监控回传场景 (29)2.3.3长距广覆盖场景 (30)2.3.4双链路可靠回传场景 (31)2.4 MESH组网规划 (31)2.4.1 MESH回传层规划 (31)2.4.2 MESH传输距离规划 (33)3无线网桥典型配置举例.............................................................. .3.7 3.1WDS配置举例 .. (37)3.1.1组网需求 (37)3.1.2配置分析 (38)3.2 MESH配置举例 (39)3.2.1组网需求 (39)3.2.2配置分析 (40)A缩略语 (42)1.1无线网桥技术介绍1.1.1WDSWDS (Wireless Distribution System 无线分布式系统):通过无线链路连接两个或者多个独立的有线局域网或者无线局域网,组建一个互通的网络实现数据访问。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
华润新能源风电厂WLAN方案技术建议书华为技术有限公司版权所有© 华为技术有限公司2012。
保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。
除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼邮编:518129网址:客户服务邮箱:ChinaEnterprise_TAC@客户服务电话:400-822-9999目录1 WLAN方案概述 (1)1.1 方案背景 (1)1.1.1 技术背景 (1)1.2 WLAN基本概念 (2)1.2.1 网络架构模型 (2)1.2.2 AC直路设计 (3)1.2.3 独立AC (4)1.2.4 本地转发与集中转发 (4)2 WLAN基础网络规划 (6)2.1 IP地址规划 (6)2.2 SSID规划 (7)2.3 漫游规划 (8)2.4 AP发现并选择AC方式规划 (9)2.5 射频管理规划 (11)2.6 无线网络安全规划 (13)2.7 QoS规划 (14)2.8 可靠性规划 (15)3 WLAN接入认证方案 (17)3.1 无线安全协议标准 (17)3.2 WLAN终端认证技术 (18)3.3 无线用户身份认证技术 (19)3.3.2 认证、安全集成方案 (22)4 华润新能源WDS网桥无线数据回传与覆盖方案 (24)4.1 WDS组网模式 (25)4.2 WDS组网性能指标 (26)5 WLAN网络管理方案 (28)5.1 网管方案概述 (28)5.2 eSight WLAN网络管理流程 (29)5.3 企业WLAN网络管理规划 (30)6 主要应用产品介绍 (31)6.1 AP6510DN-AGN标准室外双频AP (31)6.2 AP6610DN-AGN全规格室外双频AP (32)6.3 AC6605-26-PWR (33)1 WLAN方案概述1.1 方案背景1.1.1 技术背景WLAN(Wireless Local Area Network)是指利用高频射频信号(例如2.4GHz或5GHz)作为传输信道的无线局域网。
802.11是IEEE在1997年为WLAN定义的一个无线网络通信的工业标准。
此后这一标准又不断得到补充和完善,形成802.11的标准系列。
例如比较重要的802.11、802.11a、802.11b、802.11e、802.11g、802.11i、802.11n等。
其中基于802.11b标准的有时也被称为Wi-Fi标准。
而802.11n标准兼容802.11a/b/g,带宽优势明显,已经成为当前的主流技术。
而随着802.11ac技术的出现,必将引领无线业务进入千兆时代,为用户带来千兆级别的接入速度。
表1-1802.11标准简介1.2 WLAN 基本概念1.2.1 网络架构模型WLAN 网络在部署过程中,根据其需求,可以把网络架构设为:●集中式架构(即FIT AP 或瘦AP )表1-2 集中式架构特性表集中式架构该架构通过无线控制器(AC )集中管理、控制多个AP ,如图1-1所示。
所有无线接入功能由AP 和AC 共同完成:●AC 完成网络具有重要意义的功能,例如移动管理、身份验证、VLAN 划分、射频资源管理、无线IDS (Intrusion Detection Systems )和数据包转发等。
●AP 完成无线空口的控制,例如无线信号发射与探测响应、数据加密解密、数据传输确认、空口数据优先级管理等等。
图1-1 WLAN网管AC园区网AP和AC间采用CAPWAP隧道协议进行通讯,AC与AP间可以是直连或者穿越Layer2、Layer 3网络。
CAPWAP协议是基于UDP传输层的应用层协议,协议传递的信息分为两类:控制信息和数据信息。
●控制信息负责AC与AP之间的管理的交互操作,包括AP自动发现AC、AC对AP进行安全认证、AP从AC获取软件版本、AP从AC获取配置等等。
●数据信息是封装后转发的无线数据。
两类信息分别使用不同的UDP端口号。
CAPWAP信息在AP与AC间交互时可以使用DTLS加密机制,保证通信的安全性。
所有无线接入功能由AP和AC间共同完成。
集中式架构是企业网、运营商等WLAN方案的主要架构,便于集中管理、集中认证和实施安全策略。
此种方案为目前企业网通用方案。
在FIT AP网络架构下,又有如下划分:●根据AC部署方式,分为集中式和分布式●根据AC部署位置,分为旁挂和直路●根据AC硬件体现形式,分为集成AC和独立AC●根据业务转发形式,分为本地转发和集中转发1.2.2 AC直路设计直路直路方式是指将AC部署在AP与用户网关设备(汇聚或核心交换机)之间,实现对下辖所有AP的管理。
直路方式主要用于新建中、小型园区网络或原有网络汇聚/核心设备为华为设备的场景。
图1-2AC直路示意图1.2.3 独立AC独立AC独立AC方案是指采用单独的AC硬件设备,通过直路或者旁挂方式实现对于所有AP的管理。
在独立AC方案中,采用集中式架构(FIT AP架构),使用FIT AP来负责无线终端的接入。
使用独立的AC设备完成对AP设备的管理。
1.2.4 本地转发与集中转发转发模式主要是AP针对用户数据可以有不同的转发处理方式。
本地转发又称直接转发,是指AP上对用户数据由本地转发到网络上层,不经过AC处理,AC只对AP进行管理。
而AP管理流封装在CAPWAP隧道中,到达AC终止。
图1-3本地转发示意图集中转发也称作隧道转发。
业务数据报文由AP统一封装后到达AC实现转发,AC不但进行对AP管理,还作为AP流量的转发中枢。
即AP管理流与数据流都封装在CAPWAP隧道中到达AC。
图1-4隧道转发示意图本地转发与集中转发优缺点对比如表1-3所示。
表1-3本地转发与集中转发优缺点对比表转发方式优点缺点本地转发设备署简单,数据流量不经过AC,AC负担小。
-集中转发数据流量和管理流量全部经过AC,可以按用户需求规划安全监管策略。
AC设备数据压力较大,对AC 设备本身处理能力要求较高。
技术建议书 2 WLAN基础网络规划2 WLAN基础网络规划2.1 IP地址规划AC的IP地址AC用于管理AP,IP地址一般通过静态手工配置。
AP的IP地址AP的IP地址分配如果采用静态分配,由于一般AP数量较多,配置工作量大,且容易冲突、不易于控制,所以不建议使用,建议使用DHCP动态分配。
DHCP动态分配AP的IP地址时,可以有以下几种方式:●指定地址池分配−根据DHCP Option 60表明AP身份而分配指定地址池的IP:AP的DHCP Discover报文携带Option 60,例如内容为“Huawei AP”,表示请求分配IP地址的设备是华为AP,而不是WLAN用户。
DHCP Server可以通过匹配或部分匹配Option 60字符串,来为AP从指定地址池中分配地址。
如果网络中部署多个DHCP Server且只有部分支持Option 60,交换机等设备充当DHCP Relay时需要支持识别DHCP option 60并将DHCP报文转发到相应的DHCP Server上。
−根据VLAN分配指定地址池的IP:AP相连交换机端口以Trunk方式加入VLAN,允许通过的VLAN对应的地址池即为AP分配IP地址。
−根据AP的MAC地址指定分配:在DHCP Server上配置AP的MAC以及对应的IP地址。
●统一分配AP的IP地址分配同WLAN用户一样,由DHCP Server统一分配,不再区别。
DHCP动态分配AP的IP地址各种方式优劣势对比如表2-1所示。
表2-1DHCP动态分配AP的IP地址各种方式优劣势表无线终端/用户的IP地址移动用户通过DHCP动态分配IP地址,不建议静态配置;对于基本不移动的无线终端(比如:无线打印机)可以静态配置。
2.2 SSID规划企业园区无线网络一般按照业务类型划分不同的SSID(Service Set Identification)。
SSID映射以太网中的VLAN通常,以太网中管理VLAN和业务VLAN分离。
业务VLAN主要用于区分不同的业务类型或用户群体。
在WLAN网络中SSID也同样可以承担相应的工作。
因此,在业务VLAN的规划中必须综合考虑VLAN与SSID的映射关系。
业务VLAN应根据实际业务需要与SSID匹配映射关系,映射关系有1:1、1:N、N:1、N:N四种,AC设备终结VLAN部署。
VAP构建AP可以配置多个SSID,华为单频AP可支持16个SSID,双频AP可支持32个SSID。
通过配置多个SSID,可以将一个AP划分为多个V AP(Virtual Access Point),每一个SSID对应一个V AP,AC针对V AP进行策略下发,V AP根据策略进行终端与业务管理。
2.3 漫游规划漫游是指用户在部署了WLAN网络的场所移动时,用户终端可以从一个AP的覆盖范围移动到另一个AP的覆盖范围,用户无需重新登录和认证。
图2-1用户漫游切换示意图如上图所示,假设终端与AP1已经建立关联信息,随着用户位置的移动,终端切换到AP2,具体切换流程如下:1.客户端在各种信道中发送802.11请求帧。
AP2在信道6(AP2使用的信道)中收到请求后,通过在信道6中发送应答来进行响应。
客户端收到应答后,对其进行评估,确定同哪个AP关联最合适。
2.如图中的标号1所示,删除用户与AP1现有的关联。
客户端通过信道1(AP1使用的信道)向AP1发送802.11解除关联信息,解除用户与AP1间的关联。
3.如图中的标号2所示,客户端通过信道6向AP2发送关联请求,AP2使用关联响应做出应答,建立用户与AP2间的关联。
WLAN网络漫游中需注意以下两点:●漫游切换需要保证SSID相同,即两台AP切换区域需要配置相同的SSID。
●漫游切换AP必须是同一个AC管理。
华为WLAN解决方案通过支持下述两种快速漫游技术,实现业务的平滑过渡。
●PMK caching:PMK caching技术是对于802.1X用户而言的,是指802.1X用户与旧AP进行802.1X认证时,STA和AC都会缓存PMK和PMK-ID;当漫游到新AP时,STA会把这些PMK-ID携带过去,无线控制器根据STA携带的PMK-ID查找自己缓存的PMK信息,如果查到,就认为STA已经经过802.1X认证,直接跳过802.1X认证过程,利用缓存的PMK进行四次握手协商出加密KEY, 从而縮短了802.1X用户的漫游延时。