H3C的資料,覺得寫得不錯,拿出來和大家分享。
H3C無線技術白皮書-AP零配置
關鍵詞:WLAN, AP
摘 要:本文講述了傳統WLAN網絡部署AP中遇到的一些問題,以及AP零配置給用戶帶來的好處,另外通過描述H3C公司FIT AP的啓動和工作方法來介紹AP零配置的實現原理.
List of abbreviations 縮略語清單:
|
Abbreviations縮略語 |
Full spelling 英文全名 |
Chinese explanation 中文解釋 |
|
AP |
Access Point |
無線接入點 |
|
AC |
Access Controller |
無線控制器 |
|
STA |
Wireless Station (Client) |
無線客戶端 |
|
WLAN |
Wireless Local Area Network |
無線局域網 |
|
DHCP |
Dynamic Host Configuration Protocol |
動態主機配置協議 |
|
DNS |
Domain Name System |
域名系統 |
|
|
|
|
目 錄
Figure List 圖目錄
圖1 無線控制器和FIT AP之間的網絡拓撲................................................................................ 6
圖2 相同廣播域內的無線控制器發現過程................................................................................ 7
圖3 FIT AP發現無線控制器的典型交互過程............................................................................ 8
圖4 AP和無線控制器部署於IPv4/IPv6雙棧網絡....................................................................... 9
1 背景概述
傳統的WLAN網絡都是爲企業或家庭內少量移動用戶的接入而組建的,這類網絡典型的組網方式是採用FAT AP+有線交換機的分佈式WLAN組網模式,由AP來完成用戶的無線接入、用戶權限認證、用戶安全策略實施,對WLAN網絡設備的管理也是分佈式的。隨着WLAN技術的成熟和應用的普及,越來越多的企業開始大規模部署WLAN網絡,接入的用戶數和無線設備的規模都在成倍增長,網絡維護人員在建設和維護WLAN網絡時發現採用傳統的WLAN組網和管理模式已經很難適應現有的WLAN網絡規模。目前在中大型WLAN網絡的建設和維護中遇到的主要問題有:
a) WLAN建網時需要對成百上千的AP進行逐一配置:網管IP地址、SSID和加密認證方式等無線業務參數、信道和發射功率等射頻參數、ACL和QOS等服務策略,很容易因誤配置而造成配置不一致。
b) 爲了管理AP,需要維護大量AP的IP地址和設備的映射關係,每新增加一批AP設備都需要進行地址關係維護。
c) 接入AP的邊緣網絡需要更改VLAN、ACL等配置以適應無線用戶的接入,爲了能夠支持用戶的無縫漫遊,需要在邊緣網絡上配置所有無線用戶可能使用的VLAN和ACL。
d) 察看網絡運行狀況和用戶統計時需要逐一登錄到AP設備才能完成察看。在線更改服務策略和安全策略設定時也需要逐一登錄到AP設備才能完成設定。
e) 升級AP軟件無法自動完成,維護人員需要手動逐一對設備進行軟件升級,費時費力
f) AP設備的丟失意味着網絡配置的丟失,在發現設備丟失前,網絡存在入侵隱患,在發現設備丟失後又需要全網重配置。
隨着建網、組網問題的不斷出現,一種全新的WLAN網絡架構-無線控制器+FIT AP集中式WLAN管理模式應運而生。無線控制器+FIT AP控制架構對設備的功能進行了重新劃分,其中無線控制器負責無線網絡的接入控制,轉發和統計、AP的配置監控、漫遊管理、AP的網管代理、安全控制;FIT AP負責802.11報文的加解密、802.11的PHY功能、接受無線控制器的管理、RF空口的統計等簡單功能。H3C公司在支持這種新的網絡架構時將一些新的智能功能集成進FIT AP和無線控制器中,以便於給用戶呈現統一的網絡管理接口:
1、 FIT AP的配置保存在無線控制器中,FIT AP啓動時會自動從無線控制器下載合適的設備配置信息。
2、 FIT AP需要能夠自動獲取IP地址,同時FIT AP需要能夠自動發現可接入的無線控制器,並對無線控制器和FIT AP之間的網絡拓撲不敏感。
3、 無線控制器支持FIT AP的配置代理和查詢代理,能夠將用戶對FIT AP的配置順利傳達到指定的FIT AP設備,同時可以實時察看FIT AP的狀態和統計信息。
4、 無線控制器保存FIT AP的最新軟件,並負責FIT AP軟件的自動更新。
H3C公司通過這一全新的網絡管理接口可以很好的解決目前中大型WLAN網絡組網中存在的管理問題:
1、 用戶只需要建立業務參數模板和設備參數模板,並設定指定的AP引用這些模板,當FIT AP啓動時無線控制器會根據預先的配置引用信息給FIT AP下發配置,用戶的配置工作量大大減少。
2、 用戶對FIT AP的管理是通過無線控制器來代理完成,網管不再關心FIT AP的IP地址,FIT AP和無線控制器之間的關聯是自動完成,不再需用戶對AP進行的配置干預。
3、 無線用戶的數據報文被FIT AP封裝在AP和AC間的數據隧道中,接入AP的邊緣網絡不需要再爲無線用戶的接入而更改VLAN和ACL等配置。
4、 無線控制器保存了所管理的FIT AP的運行狀況和在線用戶統計信息,維護人員只需登錄到指定的無線控制器就可以完成信息察看。用戶對FIT AP的管理是通過無線控制器來代理完成,因此在線更改服務策略設定和安全策略設定也不再需要逐一登錄到AP設備,而只需要登錄到指定的無線控制器就可以完成設置,無線控制器會自動把新的配置下發到指定的FIT AP。
5、 用戶不再需要手動逐一對AP設備進行軟件升級,AP在每次重新啓動時會自動比較當前運行的版本和無線控制器上保存的版本,如果無線控制器上保存的版本更新,FIT AP會自動更新本地的軟件影像。
6、 AP本地不再保存配置信息,即使設備丟失也不存在因配置丟失而出現的安全隱患。
2 理解AP零配置
2.1 無線控制器和FIT AP之間的網絡拓撲
在集中式WLAN管理模式中,H3C的FIT AP和無線控制器之間可以支持兩種網絡拓撲結構(圖1所示):
1. 二層網絡連接模式: FIT AP和無線控制器同屬於一個二層廣播域,FIT AP和AC之間通過二層交換機互聯。
2. 三層網絡連接模式: FIT AP和無線控制器屬於不同的IP網段. FIT AP和AC之間的通信需要通過路由器或者三層交換機三層轉發來完成。
圖1 無線控制器和FIT AP之間的網絡拓撲
2.2 獲取IP地址
FIT AP在和網絡通信前必須能夠獲取自身的IP地址,爲了減少維護人員的配置,FIT AP必須能夠支持自動獲取IP地址,目前業界標準的做法是採用DHCP client功能. AP啓動以後會在其上行接口上通過DHCP client模塊發起獲取IP地址的過程. 通過DHCP的協議交互FIT AP可以從DHCP server獲取到以下信息:自身使用的IP地址、DNS server的IP地址、網關IP地址、域名、可接入的無線控制器的IP地址列表(此信息通過DHCP option43提供)等。
2.3 發現相同二層網絡內的無線控制器
FIT AP一旦獲取到IP地址,就會通過廣播方式發起無線控制器發現請求.和AP同屬於相同二層廣播域的無線控制器會根據預先配置的可接入AP列表和當前的負載情況決定是否響應AP的發現請求.通過用戶的預先配置和無線控制器自身的判斷可以使FIT AP均衡的接入到不同的無線控制器。FIT AP和無線控制器的交互過程詳見圖2
圖2 相同廣播域內的無線控制器發現過程
2.4 發現跨三層網絡的無線控制器
H3C的FIT AP還能夠支持被跨三層網絡的無線控制器管理.在這種情況下由於FIT AP和無線控制器之間跨越了三層網絡,因此FIT AP已經無法通過二層廣播方式來發現無線控制器而只能通過單播形式來發現遠端的無線控制器,但FIT AP如何能夠獲取到無線控制器的IP地址呢? H3C的FIT AP支持兩種方法來實現這一功能:
方法一:FIT AP從DHCP server獲取IP地址時同時會獲取到自身的domain名字和DNS server地址,FIT AP將獲取到的domain名字和固定的H3C串拼接成H3C.xxxx.xxx的DNS域名,同時FIT AP會向DNS server請求解析獲取H3C.xxxx.xxx的IP地址,用戶只需在DNS server上配置H3C.xxxx.xxx對應的無線控制器的IP地址,AP就能獲取到無線控制器的IP地址並向該IP地址發送無線控制器發現請求。
方法二:用戶在DHCP server上通過option43屬性來配置無線控制器的IP地址,當FIT AP在從DHCP server獲取IP地址時,通過解析DHCP迴應報文中攜帶的option43屬性就可以獲取無線控制器的IP地址並向該IP地址發送無線控制器發現請求。
圖3描述了一個FIT AP發現無線控制器的典型交互過程:
圖3 FIT AP發現無線控制器的典型交互過程
1) 預先在無線控制器上配置AP的配置信息,在DHCP server上配置域名,在DNS server上配置無線控制器的域名對應的IP地址,其中無線控制器的域名爲H3C.xxxx.xxx,xxxx.xxx和用戶在DHCP Server上配置的域名相同。
2) AP啓動以後會通過DHCP獲取獲取IP地址、DNS server、域名。
3) AP發出二層廣播的發現請求報文試圖聯繫一個無線控制器。
4) 如果長時間沒有響應AP會認爲在自己相同的子網內沒有合適的無線控制器可以接入,AP會從DNS server獲取H3C.xxxx.xxx的IP地址,其中xxxx.xxx是從DHCP server學習到的域名,AP向該IP地址發送發現請求。
5) 接收到發現請求報文的無線控制器會檢查該AP是否有接入本機的權限,如果有則迴應發現響應。
6) 無線控制器和AP間建立CAPWAP隧道 。
2.5 部署於IPv6雙棧網絡
爲了適應下一代IP網絡的部署要求,H3C公司的FIT AP能夠同時滿足IPv4和IPv6兩種不同網絡的組網要求(圖4所示),爲了簡化用戶配置這種適應能力不需要用戶配置干預而是自適應調整.作爲FIT AP的缺省發現方式FIT AP會首先作爲IPv4節點發起無線控制器發現過程,當發現過程失敗以後,FIT AP會切換到IPv6節點方式繼續無線控制器發現過程. FIT AP會在以下兩種情況下切換到IPv6模式:
· FIT AP無法從DHCP server獲取到IPv4網絡地址。
· FIT AP在IPv4網絡沒有無線控制器響應FIT AP的發現請求。
· FIT AP在IPv4網絡中和所有的無線控制器建立連接失敗。
圖4 AP和無線控制器部署於IPv4/IPv6雙棧網絡
2.6 AP軟件下載
很多情況下網絡維護者需要升級FIT AP的軟件,如果採用傳統的設備升級方法則需要網絡維護者利用TFTP/FTP來逐一對需要升級的AP進行軟件升級,爲了保證升級以後的可回退性,還需要在AP的Flash空間中保存備份軟件。這種升級方式對於網絡維護者的工作負擔很大,同時爲了支持升級以後的可回退性而增加FLASH空間會提升AP的成本。爲了簡化網絡維護者的工作,H3C的FIT AP在每次啓動時都會比較本地保存的軟件版本和無線控制器上保存的FIT AP的軟件版本,一旦FIT AP發現本地保存的版本不是最新版本時,FIT AP會主動要求從無線控制器下載最新的軟件版本,這個下載更新過程無需用戶配置干預.
爲了保證下載過程的可回退性,H3C的FIT AP的bootrom軟件可以監控下載的FIT AP軟件的運行狀況,一旦發現FIT AP軟件無法正常啓動,bootrom軟件會接管和無線控制器的交互,強制升級本地軟件版本。
2.7 配置下發
FIT AP爲了給無線用戶提供接入服務需要獲得無線業務參數、射頻參數等配置信息。在分佈式管理模型中網絡維護者需要登錄到每臺AP上對這些參數進行逐一配置,配置工作量巨大.在集中式管理模型中,FIP AP的配置信息保存在無線控制器上,FIT AP在每次系統啓動時都會從無線控制器上下載。爲了方便配置,H3C的無線控制器提供了通用的業務模板和設備模板,用戶可以根據開通的業務建立一個模板,並由不同的AP來引用。例如:用戶可以配置一個針對加密用戶的服務模板,該模板內包含:ssid=“TKIP加密”,加密方式=TKIP,認證方式=802.1x,模板被AP1-Ap10引用,這樣用戶就不用再對每個AP都配置這些參數,而只需配置一遍。
3 結論
作爲集中式WLAN管理模式的特色之一的AP零配置,給中大型WLAN網絡的維護帶來了很大的便利性,AP在部署、升級、配置上不再需要用戶的頻繁干預,把網絡維護者從繁重的配置操作中解放出來。可以預見,這種配置方式會成爲未來WLAN網絡部署和維護的主流方式。
4 產品信息
用戶可以登陸H3C 公司網站http://www.h3c.com.cn查詢已經發布的支持無線控制器+FIT AP體系架構的最新產品信息。