关键技术
| 技术 | 作用 |
|---|---|
| VLAN Pool | 通过VLAN Pool把接入的用户分配到不同的VLAN,可以减小广播域,减小网络中的广播报文,提升网络性能 |
| DHCP Option 43 & 52 | 当AC和AP间是三层组网时,AP通过发送广播请求报文的方式无法发现AC,这时需要通过DHCP服务器回应给AP的报文中携带43字段(IPv4)或52字段(IPv6)来通告AC的IP地址 |
| 漫游技术 | WLAN漫游是指STA在不同AP覆盖范围之间移动且保持业务不中断的行为 |
| 高可靠性技术 | 为了保证WLAN业务的稳定运行,保证在主设备故障时业务能够顺利切换到备设备的技术 |
| 准入控制 | 准入控制技术是通过对接入网络的客户端和用户的认证来保证网络的安全,是一种"端到端"的安全技术 |
VLAN Pool
VLAN Pool分配VLAN的算法:
- 顺序分配算法:把用户按上线顺序依次划分到不同的VLAN中
优点:各个VLAN用户数目划分均匀
缺点:重新上线VLAN容易变更、IP变更 - HASH分配算法:提供用户MAC地址HASH值分配VLAN
优点:用户多次上线可分配相同的VLAN,IP不变
各个VLAN用户数划分不均匀
DHCP技术
DHCP中继
DHCP中继能够跨网段"透传"DHCP报文,使得一个DHCP服务器同时为多个网段服务成为可能。
AC发现
当AC和AP间是三层组网时,AP通过发送广播请求报文的方式无法发现AC,这时需要通过DHCP服务器回应回应给AP的报文中携带的Option43字段(IPv4)或Option52(IPv6)来通告AC的IP地址
漫游技术
WLAN漫游类型
二层漫游
1个无线客户端在2个AP(或多个AP)之间来回切换连接无线,前提是这些AP都绑定的是同1个SSID并且业务VLAN都在同1个VLAN内(在同一个IP地址段),漫游切换的过程中,无线客户端的接入属性(比如无线客户端所属的业务VLAN,获取的IP地址等属性)不会有任何变化,直接平滑过渡,在漫游的过程中不会有丢包或断线重连的现象
三层漫游
漫游前后SSID的业务VLAN不同,AP所提供的业务网络为不同的三层网络,对应不同的网关。此时,为保持漫游用户IP地址不变的特性,需要将用户流量迂回到初始接入网段的AP,实现跨VLAN漫游
为了避免系统仅仅依据VLAN ID将用户在两个子网间的漫游误判为二层漫游,需要通过漫游域来确定设备是否在同一个子网内,只有当VLAN相同且漫游域也相同的时候才是二层漫游,否则是三层漫游。
AC间二层漫游 - 直接转发
AC间三层漫游 - 隧道转发
AC间三层漫游 - 直接转发(HAP为家乡代理)
AC间三层漫游 - 直接转发(HAC为家乡代理)
高可靠性技术
热备份(Hot-Standby Backup):主用设备进行业务的转发,而备用设备处于监控状态,同时备份主用设备的状态信息和配置信息。
在WLAN组网中,常见的高可靠技术有:
VRRP双机热备份(主备)
双链路热备份(主备 & 负载分担)
N+1备份
HSB主备服务负责在两个互为备份的设备间建立主备备份通道,维护主备通道的链路状态,为其他业务提供报文的收发服务,并在备份链路发生故障时通知主备业务备份组进行相应的处理。
VRRP双机热备
主备AC两个独立的IP地址,通过VRRP对外虚拟为同一个IP地址,单个AP和虚拟IP建立一条CAPWAP链路。主AC备份AP信息、STA信息和CAPWAP链路信息,并通过HSB主备服务将信息同步给备AC。主AC故障后,备AC直接接替工作。主备切换速度快,对业务影响小。
VRRP双机热备配置流程:
- 创建VRRP备份组并配置虚拟IP地址
- 创建HSB主备服务,建立HSB主备备份通道的IP地址和端口号
- 创建HSB备份组,配置HSB备份组绑定HSB主备服务、VRRP备份组、WLAN业务以及DHCP
- 使能HSB备份组,HSB备份组使能后,对HSB备份组的相关配置才能生效
- 检查VRRP热备份配置结果
双链路双机热备
- 双链路双机热备场景下,业务直接绑定HSB备份服务,这样HSB对业务仅提供备份数据收发的功能,用户的主备状态由双链路机制进行维护。
- AP同时与主备AC之间分别建立CAPWAP隧道,AC间的业务信息通过HSB主备通道同步
- 当AP和主AC间链路断开,AP会通知备AC切换成主AC
- 该方案除了支持主备备份之外,还支持负载分担模式。负载分担模式下可以指定一部分AP的主AC为AC1,与其建立CAPWAP主链路,一部分AP的主AC为AC2,与其建立CAPWAP主链路
- 双链路双机热备的主备AC不受地理位置限制,部署灵活,可进行负载分担,有效利用资源,但业务切换速度较慢
AP根据AC的优先级、设备的负载情况以及AC的IP地址来选择主AC。
N+1备份
N+1备份是指在AC + Fit AP的网络架构中,使用一台AC作为备AC,为多台主AC提供备份服务的一种解决方案。适用于可靠性要求较低,对成本控制要求较高的场景
准入控制技术(network admission control)
802.1X认证
对于大中型企业的员工,推荐使用802.1X认证。
client: multicast/broadcast
device: multicast/unicast
EAP中继表示NAS与RADIUS之间使用RADIUS的扩展属性,EAP透传。
EAP中继方式的设备端处理更简单,并支持更多的认证方法,但是认证服务器必须支持EAP。
EAP终结表示NAS与RADIUS之间使用RADIUS的标准属性,EAP转RADIUS。
EAP终结方式认证服务器支持的认证方式有PAP和CHAP。
MAC认证
基于MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。MAC认证常用于哑终端(如打印机)的接入认证。
Portal认证
将浏览器作为认证客户端。
MAC优先的Portal认证
| 对比项 | 802.1X认证 | MAC认证 | Portal认证 |
|---|---|---|---|
| 适合场景 | 新建网络、用户集中、信息安全要求严格的场景 | 打印机、传真机等哑终端接入认证的场景 | 用户分散、用户流动性大的场景 |
| 客户端要求 | 需要 | 不需要 | 不需要 |
| 优点 | 安全性高 | 无需安装客户端 | 部署灵活 |
| 缺点 | 部署不灵活 | 需登记MAC地址,管理复杂 | 安全性不高 |