WLAN组网介绍
WLAN组网方式:
胖AP设备的典型组网 :
1.家庭或SOHO网络的组网模式:无线覆盖范围小,胖AP可以不仅实现无线覆盖的要求,还可同时作为路由器,实现对有线网络的路由转发
2.企业网络的组网模式:无线覆盖范围比较大,则可将AP接入到接入交换机端,数据通过交换机的转发,到达企业核心网。在企业核心网也可以架设起网管系统,便于对AP的统一管理
瘦AP+AC组网方式 :无线控制器+FIT AP控制架构(瘦AP)对设备的功能进行了重新划分,其中无线控制器负责无线网络的接入控制,转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制;FIT AP负责802.11报文的加解密、802.11的物理层功能、接受无线控制器的管理、RF空口的统计等简单功能
组网方式:
根据AP与AC之间的网络架构可分为:
二层组网:瘦AP和无线控制器同属于一个二层广播域,瘦 AP和AC之间通过二层交换机互联
优点:组网比较简单,适用于简单临时的组网,能够进行比较快速的组网配置
缺点:不适用于大型组网架构
三层组网:瘦AP和无线控制器属于不同的IP网段。瘦AP和AC之间的通信需要通过路由器或者三层交换机三层转发来完成
一台AC可以连接几十甚至几百台AP,组网一般比较复杂,一般应用在在大型组网中
根据AC在网络中的位置可分为:
直连式组网:直连式组网中AC同时扮演AC和汇聚交换机的功能,AP的数据业务和管理业务都由AC集中转发和处理
直连式组网可以认为AP、AC与上层网络串联在一起,所有数据必须通过AC到达上层网络
采用这种组网方式,对AC的吞吐量以及处理数据能力比较高,否则AC会是整个无线网络带宽的瓶颈
优点:组网架构清晰,实施起来简单,多采用直接转发模式,适用于大规模集中部署的WLAN网络,并可以简化网络架构
旁挂式组网:AC旁挂在AP与上行网络的直连网络上,AP的业务数据可以不经AC而直接到达上行网络
AC只承载对AP的管理功能,管理流封装在CAPWAP隧道中传输。数据业务流可以通过CAPWAP数据隧道经AC转发,也可以不经过AC转发直接转发,后者无线用户业务流经汇聚交换机由汇聚交换机传输至上层网络
优点:无线用户业务数据无需经过AC集中处理,基本无带宽瓶颈,而且便于继承现有网络的安全策略,使用率比较高
敏捷分布Wi-Fi方案组网:通过AC集中管理和控制多个中心AP,每个中心AP集中管理和控制多个RRU
所有无线接入功能由RRU(Remote Radio Unit)、中心AP和AC共同完成:
AC集中处理所有的安全、控制和管理功能,例如移动管理、身份验证、VLAN划分、射频资源管理和数据包转发等。
RRU负责802.11报文的收发,并透传给中心AP,中心AP完成其他功能,例如无线信号发射与探测响应、数据加密解密、数据传输确认等。
中心AP和AC之间以及RRU和中心AP之间都采用CAPWAP协议进行通讯,中心AP与AC间可以跨越二层网络或三层网络,RRU和中心AP之间跨越二层网络
用户接入无线网络的过程分三步:
中心AP与AC建立CAPWAP隧道
RRU和中心AP建立CAPWAP隧道
STA与RRU和中心AP的关联过程
敏捷分布式WLAN组网典型应用:在酒店房间、校园宿舍、医院病房等多房间的场景中,由于墙体等室内建筑物的阻隔,无线信号的衰减现象较为严重,普通的室内放装型AP和室内分布式AP无法完全满足低成本、高性能的无线覆盖需求。在这类场景下,可采用敏捷分布式WLAN组网架构部署网络满足此类需求
敏捷分布式WLAN组网包括AC+中心AP+RRU,RRU收发无线报文,并二层透传给中心AP进行处理。中心AP通过网线连接RRU,相比于普通AP通过馈线连接天线,网线能够提供更长的部署距离,方便在离中心AP更远的位置部署RRU
上图拓扑中,中心AP连接RRU并为RRU提供PoE供电。还可在中心AP下连接PoE交换机,PoE交换机再连接RRU,扩展中心AP下管理的RRU数目。RRU和其接入的中心AP之间需要是二层可达的组网并且必须是树型组网
数据转发方式:WLAN网络中的数据包括控制消息和数据消息(控制报文必须采用CAPWAP隧道进行转发;数据报文可以采用CAPWAP隧道/直接转发)
数据消息转发方式包括: (是否封装在CAPWAP隧道中转发)
直接转发(又称为“本地转发”):AP与AC间的报文没有经过CAPWAP隧道封装,直接转发到上层网络,从而提高报文的转发效率
AP不会对数据报文进行任何处理,发送原始报文
很容易的突破AC的带宽限制,而且配置CAPWAP断链保持以后,可以减少无线用户断网的风险
CAPWAP隧道转发(又称为“集中转发”):AP与AC间的报文经过CAPWAP隧道封装后再转发到上层网络,从而提高报文的转发安全性
所有数据报文都要经过CAPWAP隧道封装后到达AC,再由AC转发到上层网络
可以大大提高数据的安全性,还可以对数据进行集中控制,比如QoS等
组网方式的数据转发:
直连式组网 - 直接转发:
直连式组网 - 隧道转发:
旁挂式组网 - 直接转发:
旁挂式组网 - 隧道转发:
管理VLAN:主要是用来传送AC与AP之间的管理数据
对于二层交换机而言,一般只能设置一个三层虚接口,所以必须设置一个VLAN作为三层虚接口的管理VLAN。管理VLAN中绑定了一个IP地址,这样我们可以远程管理交换机,例如登录交换机查看相应的LOG日志,分析交换机状态,处理某些故障等
对于WLAN来说,管理VLAN主要是用来传送AC与AP之间的管理数据,如AP DHCP报文、AP ARP报文、AP CAPWAP报文(包含控制CAPWAP报文和数据CAPWAP报文)。AC内部XGE口的PVID和TRUNK VLAN与交换机普通物理端口的PVID和TRUNK VLAN相同,在部署AC时,需要配置PVID为管理VLAN ID并允许管理VLAN的报文通过TRUNK接口
业务VLAN:主要负责传送WLAN用户上网时的数据
从WLAN整体来看:
业务VLAN是基于VAP的区域业务VLAN,与位置有关,与用户无关,VAP内的用户使用此业务VLAN封装用户。主要负责传送WLAN用户上网时的数据
从AP角度看:
直接转发模式下,业务VLAN是指AP给数据报文加的VLAN
隧道转发模式下,业务VLAN是指CAPWAP隧道内用户报文的VLAN
从AC角度看:
VAP模板中的Service VLAN:AP上传的用户报文VLAN,始终为当前用户的业务VLAN
用户VLAN:基于用户权限的VLAN
用户在使用802.1X方式进行用户接入安全认证时,会涉及到以下的VLAN:
Guest VLAN:
Guest VLAN的基本功能是使用户在没有经过认证的情况下也能访问Guest VLAN内部的部分资源。例如,当用户没有安装客户端软件时,可以通过访问Guest VLAN的资源下载并安装客户端,通过认证后,才能进行正常的网络访问
Restrict VLAN:
Restrict VLAN功能允许用户在认证失败的情况下可以访问某一特定VLAN中的资源,这个VLAN称之为Restrict VLAN。需要注意的是,这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败(即AC收到RADIUS服务器下发的Radius-reject报文)
授权VLAN:
传统的静态VLAN部署不仅管理复杂,而且难以解决移动办公用户的VLAN控制问题。可以通过在用户接入网络时动态指定该用户所属的VLAN,实现基于用户的VLAN划分。例如,在企业网中,通过动态VLAN下发,可以保证在无线用户在一个AP的覆盖区域漫游到另外一个AP的覆盖区域时,用户均属于同一个业务VLAN,保证用户正常业务不被中断
VLAN部署的原则:
当WLAN系统同时设置了用户VLAN和管理、业务VLAN后,原则如下:
无论在认证、重认证、漫游重认证还是CoA动态下发VLAN过程中,授权VLAN都有最高优先级,且为即时启用
如果认证、重认证、漫游重认证还是CoA动态下发VLAN过程中没有授权VLAN,则取用当前所在地的业务VLAN
总体而言,用户VLAN优先于业务VLAN,在系统同时设置有授权VLAN、Guest VLAN、Restrict VLAN等用户VLAN的情况下,优先启用授权VLAN