随着WLAN技术的快速普及,用户通过WLAN网络实现上网的应用也日益广泛,使得WLAN的可靠性日益成为焦点问题。通过配置WLAN可靠性功能,可以有效减少网络故障或服务中断带给用户的影响,提高WLAN网络的服务质量。
在AC+FIT AP网络架构中直接转发方式的场景,STA通过WLAN接入Internet时,AP和AC之间需要先建立CAPWAP隧道,作为AP和AC之间的控制报文的转发通道。当CAPWAP链路故障时,AP无法与外界进行数据通信,AP上原有用户被迫下线,新用户也无法再接入,影响用户体验。
CAPWAP断链业务保持:
使能CAPWAP断链业务保持功能后,在CAPWAP链路中断后,AP能够继续提供数据业务,保证直接转发方式下STA的数据业务不中断,减小断链对用户造成的损失,提高了用户业务的可靠性。
图1-1 CAPWAP断链业务保持组网图
CAPWAP断链后AP允许新用户接入:
CAPWAP断链业务保持只是针对已在线的用户生效,针对新用户,还是不允许上线。
使能CAPWAP断链后AP允许新用户接入功能后,在CAPWAP链路中断后,AP能够继续允许新用户上线,继续访问CAPWAP未中断前的所有网络资源。当CAPWAP链路恢复后,AP将所有在链路中断期间上线的STA强制下线让STA重新与该AP进行关联,并通过日志上报所有的STA信息。
该功能仅在WLAN使用的安全策略为开放系统认证、共享密钥认证和WPA/WPA2�CPSK时生效。
该功能允许所有通过输入正确密钥的用户上线,即AC上配置的STA黑白名单在CAPWAP断链后不再生效。
如图1-2所示,未使能CAPWAP断链后AP允许新用户接入功能时,STA完成接入过程中的关联以及后期的密钥协商阶段都是发生在AC与STA之间;使能CAPWAP断链后AP允许新用户接入功能后,STA完成接入过程中的认证、关联以及后期的密钥协商阶段都是发生在AP与STA之间。
图1-2 CAPWAP断链后AP允许新用户接入
如图1-3所示,对于中小型企业,为了节省企业管理维护费用,不需要在企业分支部署AC,一般会将AC部署在总部,集中管理和控制分支AP和无线用户。对于直接转发的场景,通过配置CAPWAP断链AP正常工作功能,即当AP和AC之间CAPWAP断链后,新的分支用户可以继续接入WLAN网络中访问网络资源,已经在线的分支用户还可以访问本地网络资源,如本地服务器等。
图1-3 CAPWAP断链业务保持组网图
在AC+FIT AP的网络架构中,AC集中管理和控制无线用户的WLAN业务,一个AC往往控制几百个AP和上万个STA,因此,AC的可靠性显得尤为重要。当AC出现故障时,导致AC关联的用户业务中断。
如图1-4所示,在WLAN网络中部署两台AC,一台为主AC,一台为备AC,AP分别与主备AC建立主备CAPWAP隧道,AP与主备AC之间定期交互CAPWAP报文来检测链路状态。正常情况下,主AC控制STA的无线接入功能,当AP检测到AP与主AC之间的链路发生故障时,AP通知备AC启动主备倒换,备AC升为主AC控制STA的无线接入功能,提高WLAN网络可靠性。当原来的主AC故障恢复后,AP通知主备AC进行主备回切,故障的AC重新变为主AC控制STA的无线接入。
图1-4 双链路备份组网图
1. 建立主链路
建立主链路时,除了Discovery阶段要优选出主AC,其他过程跟正常情况下的CAPWAP隧道建立过程一致,下面仅给出Discovery阶段的介绍。
a) 在Discovery阶段,使能双链路备份功能后,AP开始发送Discover Request报文,分为单播方式和广播方式:
如果预先通过静态方式、DHCP服务器方式或DNS方式指定了主备AC的IP地址,AP向AC发送单播Discovery Request报文请求与主备AC关联。
如果没有配置AC的静态IP地址或者单播没有回应时,AP将发送广播Discovery Request报文请求同网段内可关联的AC。
比较AC的优先级,优先级值小的为主AC。
优先级相同情况下,比较AC设备的负载情况,即先比较AP个数,如果相同,再比较STA个数,负载轻的为主AC。
负载相同情况下,比较IP地址,IP地址小的为主AC。
2. 建立备链路
为了避免业务配置重复下发导致错误,在AP和AC建立主隧道并且配置下发完成后,才开始启动备CAPWAP链路的建立。
AP向备AC发送单播Discover Request报文。
备AC接收到Discover Request报文后,回应Discover Response报文,在该报文中携带双链路特性开关、负载情况及其优先级。
AP收到备AC回应的Discover Response报文后,获取到双链路特性开关为打开,并保存其优先级。如果此时该AC的优先级修改为比步骤1已经建立好CAPWAP链路的AC优先级高,也不进行主备倒换,待建立隧道完成后再进行倒换。
AP发送的Join Request中,会携带一个自定义消息类型,告诉备AC配置已经下发过了,不需要再下发。AC收到Join Request,获取到该自定义消息时,在配置下发阶段,会跳过配置下发流程,避免对AP重复下发配置。
备链路建立完成后,AP重新根据两个链路的优先级决策出主备AC。
AP建立双链路后,会定期向主备AC进行ECHO探测,并在ECHO报文中携带链路的主备信息。当AP检测到主链路中断后,则AP在发送给备份AC的Echo Request报文中携带主信息,备AC收到Echo Request报文后判断该链路已经变为主状态,将自己从备AC切换为主AC,同时AP把STA的数据业务向新的主AC上发送。
AP会定期发送Discover Request报文检测原来的主链路的状态,当链路恢复后,AP检测到该链路的优先级比当前使用的主链路的优先级更高,触发回切。为避免网络震荡导致频繁倒换,等待20个Echo周期时间后,通知AC进行主备回切,同时AP把STA的数据业务向新升级为主的AC上发送。
如图1-5所示,AC1与AC2为无线用户提供双链路备份。AC1为主设备,并为AP1、AP2提供服务;AC2为备设备。当AP检测到AC1故障时,AP和AC2之间的CAPWAP隧道立即由备用转为主用,AC2由备设备升为主设备。当AC1故障恢复后,根据配置,AC1可以选择保持在备用状态或者回切到主用状态。
图1-5 "1+1"双链路备份组网图
如图1-6所示,AC1作为AP1的主AC,AC2作为AP2的主AC,AC3既作为AP1的备AC,同时也作为AP2的备AC。当AC1或者AC2故障后,AP1或AP2能够切换到AC3上实现用户业务不中断。
图1-6 "N+1"双链路备份组网图
双链路备份是由AP定时向主备AC进行ECHO探测,如果在设定的检测次数内未收到AC的回应报文,则开始主备倒换过程。在判断链路是否主备倒换的过程中,业务是中断的。
为了解决双链路备份的业务中断问题,更好的提高可靠性,保证企业业务的正常运营,引入了AC间热备份机制,保证在主设备故障时业务能够不中断的顺利切换到备份设备。
AC间热备份机制包括HSB+VRRP热备方式和HSB+双链路热备方式。其中:
HSB:可以实现信息在两台设备之间的批量备份和实时同步。在主用设备故障后能将业务切换到备份设备,提高了用户连接的可靠性。
双链路或VRRP:能够快速的检测到主AC是否故障,从而及时将备份AC切换为主用AC,以保证用户业务不会中断。
HSB(Hot-Standby Backup)+VRRP(Virtual Router Redundancy Protocol)方式:AP只能获取到一个AC的IP地址,该IP地址为VRRP备份组中主备AC的虚拟IP地址。VRRP备份组中的AC根据优先级选举出主AC,只有主AC负责管理和控制所有AP和用户,同时通过双机热备份HSB功能以定时备份方式和实时备份方式向备AC发送状态信息和需要备份的信息(AP的表项、CAPWAP链路信息、用户信息)。当主AC故障时,备AC可以通过VRRP协议检测到主AC的故障,确保备份AC及时切换为新的主AC,保证用户业务不会中断。
图1-7 HSB+VRRP方式组网图
HSB+双链路方式:AP分别与两台AC建立CAPWAP隧道。两台AC之间通过HSB实现用户信息的备份。当主AC发生故障时,AP感知到主AC发生故障,将备用的CAPWAP隧道更换为新的主CAPWAP隧道。
图1-8 HSB+双链路方式组网图
在无线接入网络中,一台AC能管理几百台AP。如果AC发生故障,则AC关联的所有AP的业务都会中断。为了降低AC故障对网络的影响,传统备份方案在接入点部署多台设备形成主备备份。对于无线网络而言,AC通常会运行DHCP、NAC和WLAN等业务,这些业务要求主用设备可以将设备上的信息(例如,对于DHCP而言,信息包括用户状态信息)实时备份到备用设备上,否则链路切换后,会导致当前业务中断。
在AC上采用HSB+VRRP热备方式或HSB+双链路热备方式能够很好地解决这个问题。HSB可以实现信息在两台设备之间的批量备份和实时同步。在主用设备故障后能将业务切换到备份设备,提高了用户连接的可靠性。同时,双链路或VRRP能够快速的检测到主AC是否故障,从而及时将备份AC切换为主用AC,以保证用户业务不会中断。
如图1-9所示,某企业使用两台AC设备,AP1与AC1关联,AP2与AC2关联。在AC1上部署了NAC和WLAN等业务作为主用设备,AC2上部署相应的NAC和WLAN等业务作为备用设备。AC1、AC2通过绑定HSB隧道建立双机热备关系。
为了充分利用网络资源,AC1、AC2绑定的HSB隧道可以以负载分担方式运行。在该组网中,对于AP1上的业务流量,AC1为主用设备,AC2为备份设备,正常情况下业务流量通过AC1进行转发;类似的,对于AP2上的业务流量,AC2为主用设备,AC1为备份设备,正常情况下业务流量通过AC2进行转发。从而实现了AP1和AP2上的业务流量通过不同路径转发,提高了网络的利用率。
如图1-10所示,某企业使用两台AC设备,AP1与AC1关联,AP2与AC2关联。在AC1上部署了DHCP、NAC和WLAN等业务作为主用设备,AC2上部署相应的DHCP、NAC和WLAN等业务作为备用设备。AC1、AC2通过绑定HSB主备组建立双机热备关系,该组网中HSB备份组以主备方式运行。
当AC1发生故障时,由于AC1将信息已实时备份到AC2上,AC2将切换成主用设备,继续承担DHCP、NAC和WLAN等业务,保证用户业务正常运行。
图1-10 HSB+VRRP热备方案组网图