今年以来随着国家宽带普及提速工程的实施,WLAN网络建设进入了快速布网期,本论文通过探讨WLAN部署的特点,结合当前城域网实际情况,提出了AC/AP网络部署的方案,并通过实践检验,切实提升了WLAN网络的整体质量,满足了市场大规模发展的需求。
一、城域网现状及WLAN部署方案探讨
目前,城域网大多采用双心形网络结构,各个汇聚节点部署BAS/汇聚交换机实现用户业务的汇聚接入,域内运行OSPF、MBGP等动态路由协议。为了在现有的城域网上安全、高效、可控的接入WLAN网络,我们首先需要对WLAN网络的各种组网模式进行探讨。
(一)WLAN技术简介
无线局域网WLAN(wireless local area network)是计算机网络与无线通信技术相结合的产物。它以无线多址信道作为传输媒介,利用电磁波完成数据交互,实现传统有线局域网的功能。
(二)WLAN技术模型探讨
1、胖AP组网模型
胖AP的组网方式,每个AP都是一个单独的节点,独立配置其信道和功率;安装简便。但是,每个AP独立工作,较难扩展到大型、连续、协调的无线局域网和增加高级应用。
2、瘦AP组网模型
瘦AP组网方式,通过AC对AP群组进行自动信道分配和选择,及自动调整发射功率,降低AP之间的互干扰,提高网络动态覆盖特性;解决了网管系统受限于AP处理能力和性能的问题。
鉴于瘦AP组网的优点,在大规模布网时建议采用瘦AP模型。
3、AP管理通道
AP管理通道是指AP与AC CAPWAP管理协议通信的管理通道,AC管理AP可采用二层方式,也可采用三层方式。
(1)二层方式:
AP和AC在同一个管理VLAN,也在同一个网段中,AP通过DHCP从AC地址池中获取IP,AP的网关为AC。
(2)三层方式:
此时AP与AC不在一个网段,跨三层通信,但AP的IP地址仍从AC的地址池中分配,AP的网关为BAS。
具体要根据AC部署的方式和数量,来调整AP的接入方案。
4、业务通道
(1)本地转发:
与传统的电信BAS业务相同,由AP对业务信息打VLAN标签,业务数据经过交换机透传直至BAS,中间无需经过AC处理和转发。
(2)集中转发:
集中转发的时候,AP与AC之间建立CAPWAP数据隧道。用户的所有报文都通过隧道进行封装,AP与AC负责完成隧道的封装与解封装。用户的报文不会被AP与AC之间的网络感知或修改。
对于运营商网络而言,显然更加适合采用本地转发方式。
(三)WLAN认证方式
WLAN主要用于公众网/校园网的无线覆盖,二层web认证为常见方式。STA先打开无线网卡功能,选择SSID关联到AP后,通过DHCP从BAS获得IP地址(此时无法上网),打开Ⅲ后,输入任何网址均被重定向至portal页面,用户在认证窗口输入用户名/密码,认证通过后进行上网。
二、WLAN网络部署的思路与方法
依据目前主流城域网的实际情况,考虑到投资的规模,我们制定了WLAN网络在城域网内部署的基本思路:采用瘦AP模式组网;采用三层通道、DHCPrelay技术实现AP的管理,在两个核心局点部署AC并实现热备;采用本地转发方式进行业务数据的转发;采用DHCP方式进行认证。
通过这样的组网方案,基本实现了搭建安全、高效、可控的WLAN网络的目标,以下为详细的建设方案及业务实现模式:
1、AC/AP管理网络的部署及安全考量
考虑到前期投资有限,以及同时要满足市级各区域AP统一管理的需要,我们在全市城域网的两个核心节点各安装一台中兴W908-A10000设备,形成互为热备的模式。
(1)AC设备部署与AC侧安全考虑:
①在两个枢纽局各架设一台中兴AC设备,插入业务板卡7块,按照编号顺序形成7组服务器群,每组服务器提供唯一IP地址对外服务,可管理1000台AP设备。
②在两个枢纽局各架设一台心跳交换机,通过不同的VLAN形成不同板卡之间心跳线路,然后通过VRRP技术实现两个局点的一组板卡通过虚拟IP对外提供服务,从而达到热备目的。
(2)BAS侧的部署及安全考虑:
①为实现BAS侧的安全保护,需要在BAS一1设备间建立VRRP热备关系,BAS一1之间的VRRP心跳线路通过两个局点间的BAS-2采用VPLS技术实现,这保证了心跳线路的安全性。
②相关配置如下(以爱立信SEl200设备为例):
生成网管专用context
context tawlannms vpn-rd 65030:25030
与AC互联端口在BAS间启用VRRP实现BAS侧热备
interface zte-ac-vrrp-02-758
ip address 10.222.222.185/29
vrrp 2 owner
virtual-address 10.222.222.185
建立MPLSVPN实现不同BAS私有IP路由互通
routerbgpvpn
address-family ipv4 unicast
export route-target 25030:1
import route-target 25030:1
redistribute connected
创建DHCP组
dhcp relay server 10.222.222.188
server-group zteac02
(3)AP部署及安全考虑:
①AP作为末端接入设备主要通过PON网络进行接入,通过管理VLAN透传至BAS设备进行管理,一般情况下以一个c为单位。
②在BAS的tawlannms-context内配置到AP管理的相关配置,主要是设置动态地址池与管理VLAN的关系,并且指定DHCPserver。
③在AP管理网络组建中,由AC作为DHCP服务器,动态分配AP的管理IP,AP的网关终结在BAS上,在BAS上启用DHCPRELAY功能,用来转发相关DHCP数据报文。
2、WLAN业务数据流的转发模式及安全考虑
在完成以上WLAN管理网络部署的基础之上,下一步要考虑AP接入业务的终结和转发方式,考虑到利用现有城域网实现用户终结,我们采用BAS设备启用DHCP+WEBPORTAL的方式进行用户接入,为减低AC压力,业务采用本地转发方式,具体部署如下:
(1)AP末梢的接入
AP设备大多部署在高校、写字楼等公共区域,一般较为分散,采用PON技术可以较为有效的与原有的固网宽带相互结合,从而实现大面积的快速布网。同时由于PON网络已经纳入了有效管理,这也为AP的建设及后期维护提供了有力的支撑。
(2)WLAN业务的终结
WLAN业务全部采用VLAN透传方式,将用户数据透传至BAS设备,采用本地转发模式,BAS上设置WLAN专用context用来接入用户,完成用户的认证授权功能。
三、总结
综上所述,为配合WLAN网络覆盖,建立高度可控的管理网络,在城域网中,我们充分利用了MPLS-VPN、DHCP-relay等技术实现了AC/AP骨干层面的热备,确保了网络的安全性,从而为WLAN业务的发展提供了可靠保障。
