AP零配置技術白皮書

1、ap零配置技術白皮書ap零配置技術白皮書關鍵詞：關鍵詞：wlan、ap摘摘要：要：本文講述了傳統(tǒng)wlan網絡部署ap中遇到的一些問題，以及ap零配置給用戶帶來的好處，另外通過描述h3c公司fit ap的啟動和工作方法來介紹ap零配置的實現(xiàn)原理。縮略語：縮略語：縮略語apacstawlandhcpdnsaccess pointaccess controllerwireless station（client）wireless local area nteworkdynamic host configuration protocoldomain name system英文全名無線接入點無線控制器無線

2、客戶端無線局域網動態(tài)主機配置協(xié)議域名系統(tǒng)中文解釋杭州華三通信技術有限公司第1頁，共9頁ap零配置技術白皮書目 錄1 概述. 32 ap零配置 . 42.1 無線控制器和fit ap之間的網絡拓撲. 42.2 獲取ip地址. 52.3 發(fā)現(xiàn)相同二層網絡內的無線控制器. 52.4 發(fā)現(xiàn)跨三層網絡的無線控制器 . 62.5 部署于ipv6雙棧網絡. 72.6 ap軟件下載 . 82.7 配置下發(fā). 83 結論. 94 產品信息 . 9杭州華三通信技術有限公司第2頁，共9頁ap零配置技術白皮書1 概述傳統(tǒng)的wlan網絡都是為企業(yè)或家庭內少量移動用戶的接入而組建的，這類網絡典型的組網方式是采用fat a

3、p有線交換機的分布式wlan組網模式，由ap來完成用戶的無線接入、用戶權限認證、用戶安全策略實施，對wlan網絡設備的管理也是分布式的。隨著wlan技術的成熟和應用的普及，越來越多的企業(yè)開始大規(guī)模部署wlan網絡，接入的用戶數(shù)和無線設備的規(guī)模都在成倍增長，網絡維護人員在建設和維護wlan網絡時發(fā)現(xiàn)采用傳統(tǒng)的wlan組網和管理模式已經很難適應現(xiàn)有的wlan網絡規(guī)模。目前在中大型wlan網絡的建設和維護中遇到的主要問題有：wlan 建網時需要對成百上千的 ap 進行逐一配置：網管 ip 地址、ssid 和加密認證方式等無線業(yè)務參數(shù)、信道和發(fā)射功率等射頻參數(shù)、 acl 和 qos等服務策略，很容易因

4、誤配置而造成配置不一致。為了管理 ap，需要維護大量 ap 的 ip 地址和設備的映射關系，每新增加一批 ap 設備都需要進行地址關系維護。接入 ap 的邊緣網絡需要更改 vlan、acl 等配置以適應無線用戶的接入，為了能夠支持用戶的無縫漫游，需要在邊緣網絡上配置所有無線用戶可能使用的 vlan 和 acl。察看網絡運行狀況和用戶統(tǒng)計時需要逐一登錄到 ap 設備才能完成察看。在線更改服務策略和安全策略設定時也需要逐一登錄到ap 設備才能完成設定。升級 ap 軟件無法自動完成，維護人員需要手動逐一對設備進行軟件升級，費時費力。ap 設備的丟失意味著網絡配置的丟失，在發(fā)現(xiàn)設備丟失前，網絡存在入侵

5、隱患，在發(fā)現(xiàn)設備丟失后又需要全網重配置。隨著建網、組網問題的不斷出現(xiàn)，一種全新的 wlan網絡架構無線控制器fit ap集中式wlan管理模式應運而生。無線控制器fit ap控制架構對設備的功能進行了重新劃分，其中無線控制器負責無線網絡的接入控制，轉發(fā)和統(tǒng)計、 ap的配置監(jiān)控、漫游管理、ap的網管代理、安全控制；fit ap負責802.11報文的加解密、802.11的phy功能、接受無線控制器的管理、 rf空口的統(tǒng)計等簡單功能。h3c公司在支持這種新的網絡架構時將一些新的智能功能集成在fit ap和無線控制器中，以便于給用戶呈現(xiàn)統(tǒng)一的網絡管理接口：fit ap 的配置保存在無線控制器中，fit

6、 ap 啟動時會自動從無線控制器下載合適的設備配置信息。杭州華三通信技術有限公司第3頁, 共9頁ap零配置技術白皮書fit ap 需要能夠自動獲取 ip 地址，同時 fit ap 需要能夠自動發(fā)現(xiàn)可接入的無線控制器，并對無線控制器和fit ap 之間的網絡拓撲不敏感。無線控制器支持 fit ap 的配置代理和查詢代理，能夠將用戶對 fit ap 的配置順利傳達到指定的 fit ap 設備，同時可以實時查看 fit ap 的狀態(tài)和統(tǒng)計信息。無線控制器保存 fit ap 的最新軟件，并負責fit ap 軟件的自動更新。h3c公司通過這一全新的網絡管理接口可以很好的解決目前大、中型wlan網絡組網中

7、存在的管理問題：用戶只需要建立業(yè)務參數(shù)模板和設備參數(shù)模板，并設定指定的 ap 引用這些模板，當 fit ap 啟動時無線控制器會根據(jù)預先的配置引用信息給 fit ap 下發(fā)配置，用戶的配置工作量大大減少。用戶對 fit ap 的管理是通過無線控制器來代理完成，網管不再關心 fit ap的 ip 地址，fit ap 和無線控制器之間的關聯(lián)是自動完成，不再需要用戶對ap 進行配置干預。無線用戶的數(shù)據(jù)報文被 fit ap 封裝在 ap 和 ac 間的數(shù)據(jù)隧道中，接入 ap的邊緣網絡不需要再為無線用戶的接入而更改vlan 和 acl 等配置。無線控制器保存了所管理的fit ap 的運行狀況和在線用戶統(tǒng)

8、計信息，維護人員只需登錄到指定的無線控制器就可以完成信息查看。用戶對fit ap 的管理是通過無線控制器來代理完成，因此在線更改服務策略設定和安全策略設定也不再需要逐一登錄到 ap 設備，而只需要登錄到指定的無線控制器就可以完成設置，無線控制器會自動把新的配置下發(fā)到指定的fit ap。用戶不再需要手動逐一對 ap 設備進行軟件升級，ap 在每次重新啟動時會自動比較當前運行的版本和無線控制器上保存的版本，如果無線控制器上保存的版本更新，fit ap會自動更新本地的軟件鏡像。ap 本地不再保存配置信息，即使設備丟失也不存在因配置丟失而出現(xiàn)的安全隱患。2 ap零配置2.1 無線控制器和fit ap之

9、間的網絡拓撲在集中式wlan管理模式中，h3c的fit ap和無線控制器之間可以支持兩種網絡拓撲結構，如圖1所示：杭州華三通信技術有限公司第4頁, 共9頁ap零配置技術白皮書(1)二層網絡連接模式：fit ap 和無線控制器同屬于一個二層廣播域，fit ap 和ac 之間通過二層交換機互聯(lián)。(2)三層網絡連接模式：fit ap 和無線控制器屬于不同的 ip 網段，fit ap 和ac 之間的通信需要通過路由器或者三層交換機三層轉發(fā)來完成。acacl2網絡l3網絡ap1二層網絡連接模式ap2ap1三層網絡連接模式ap2圖1 無線控制器和fit ap之間的網絡拓撲2.2 獲取ip地址fit ap在

10、和網絡通信前必須能夠獲取自身的 ip地址，為了減少維護人員的配置，fit ap必須能夠支持自動獲取ip地址，目前業(yè)界標準的做法是采用dhcp client功能。ap啟動以后會在其上行接口上通過dhcp client模塊發(fā)起獲取ip地址的過程。通過dhcp的協(xié)議交互fit ap可以從dhcp server獲取到以下信息：自身使用的 ip 地址dns server的 ip 地址網關 ip 地址域名可接入的無線控制器的 ip 地址列表（通過 dhcp option43提供）等。2.3 發(fā)現(xiàn)相同二層網絡內的無線控制器fit ap一旦獲取到ip地址，就會通過廣播方式發(fā)起無線控制器發(fā)現(xiàn)請求。和 ap同屬于

11、相同二層廣播域的無線控制器，會根據(jù)預先配置的可接入 ap列表和當前的負載情況決定是否響應ap的發(fā)現(xiàn)請求。通過用戶的預先配置和無線控制器自身的判斷可以使fit ap均衡的接入到不同的無線控制器。fit ap和無線控制器的交互過程詳見圖2。杭州華三通信技術有限公司第5頁, 共9頁ac 112ap零配置技術白皮書ac 2ip networkvlanvlan12vlanvlanap 1ac發(fā)現(xiàn)請求ac發(fā)現(xiàn)響應ap 2圖2 相同廣播域內的無線控制器發(fā)現(xiàn)過程2.4 發(fā)現(xiàn)跨三層網絡的無線控制器h3c的fit ap還支持通過跨三層網絡的無線控制器的管理。在這種情況下由于fitap和無線控制器之間跨越了三層網絡

12、，因此fit ap已經無法通過二層廣播方式來發(fā)現(xiàn)無線控制器而只能通過單播形式來發(fā)現(xiàn)遠端的無線控制器，但fit ap如何能夠獲取到無線控制器的ip地址呢？h3c的fit ap支持兩種方法來實現(xiàn)這一功能：(1)fit ap 從 dhcp server 獲取 ip 地址時同時會獲取到自身的 domain 名字和dns server 地址，fit ap 將獲取到的 domain 名字和固定的 h3c 串拼接成h3c.xxxx.xxx 的 dns 域名，同時 fit ap 會向 dns server 請求解析獲取h3c.xxxx.xxx 的 ip 地址，用戶只需在 dns server 上配置 h3c.

13、xxxx.xxx 對應的無線控制器的 ip 地址，ap 就能獲取到無線控制器的 ip 地址并向該 ip地址發(fā)送無線控制器發(fā)現(xiàn)請求。(2)用戶在 dhcp server 上通過 option43 屬性來配置無線控制器的 ip 地址，當fit ap 在從 dhcp server獲取 ip 地址時，通過解析 dhcp 回應報文中攜帶的 option43 屬性就可以獲取無線控制器的 ip 地址并向該 ip 地址發(fā)送無線控制器發(fā)現(xiàn)請求。圖3描述了一個fit ap發(fā)現(xiàn)ac的典型交互過程：杭州華三通信技術有限公司第6頁, 共9頁apdhcp serverdns serverap零配置技術白皮書ac獲取ip地

14、址、dnsserver、域名無線控制器發(fā)現(xiàn)請求長時間無響應獲取無線控制器的ip地址無線控制器發(fā)現(xiàn)請求無線控制器發(fā)現(xiàn)響應capwap隧道建立圖3 fit ap發(fā)現(xiàn)無線控制器的典型交互過程(1)預先在 ac 上配置 ap 的配置信息，在 dhcp server 上配置域名，在 dnsserver 上配置 ac 的域名對應的 ip 地址，其中 ac 的域名為 h3c.xxxx.xxx，xxxx.xxx 和用戶在 dhcp server上配置的域名相同。(2)ap 啟動以后會通過 dhcp 獲取獲取 ip 地址、dns server、域名。(3)ap 發(fā)出二層廣播的發(fā)現(xiàn)請求報文試圖聯(lián)系一個ac。(4)

15、如果長時間沒有響應 ap 會認為在自己相同的子網內沒有合適的 ac 可以接入，ap 會從 dns server 獲取 h3c.xxxx.xxx的 ip 地址，其中 xxxx.xxx是從dhcp server學習到的域名，ap 向該 ip 地址發(fā)送發(fā)現(xiàn)請求。(5)接收到發(fā)現(xiàn)請求報文的 ac 會檢查該 ap 是否有接入本機的權限，如果有則回應發(fā)現(xiàn)響應。(6)ac 和 ap 間建立 capwap 隧道。2.5 部署于ipv6雙棧網絡為了適應下一代ip網絡的部署要求，h3c公司的fit ap能夠同時滿足ipv4和ipv6兩種不同網絡的組網要求（圖4所示），為了簡化用戶的配置，在不需要用戶配置干預的情況

16、下自適應的調整以適應不同組網要求，作為fit ap的缺省發(fā)現(xiàn)方式 fitap會首先作為ipv4節(jié)點發(fā)起對無線控制器的發(fā)現(xiàn)過程，當發(fā)現(xiàn)過程失敗以后，fitap會切換到ipv6節(jié)點方式繼續(xù)發(fā)起對無線控制器的發(fā)現(xiàn)過程。 fit ap會在以下情況下切換到ipv6模式：杭州華三通信技術有限公司第7頁, 共9頁ap零配置技術白皮書fit ap 無法從 dhcp server獲取到 ipv4 網絡地址。fit ap 在 ipv4 網絡沒有無線控制器響應fit ap 的發(fā)現(xiàn)請求。fit ap 在 ipv4 網絡中和所有的無線控制器建立連接失敗。acipv4/ipv6 networkapipv4/ipv6用戶圖

17、4ap和無線控制器部署于ipv4/ipv6雙棧網絡2.6 ap軟件下載很多情況下網絡維護者需要升級fit ap的軟件，如果采用傳統(tǒng)的設備升級方法則需要網絡維護者利用tftp/ftp來逐一對需要升級的ap進行軟件升級，為了保證升級以后的可回退性，還需要在ap的flash空間中保存?zhèn)浞蒈浖＿@種升級方式大大增加了網絡維護者的工作量，同時為了支持升級以后的可回退性而增加的 flash空間會提升ap的成本。為了簡化網絡維護者的工作，h3c的fit ap在每次啟動時都會比較本地保存的軟件版本和無線控制器上保存的fit ap的軟件版本，一旦 fitap發(fā)現(xiàn)本地保存的版本不是最新版本時，fit ap會主動要

18、求從無線控制器下載最新的軟件版本，這個下載更新過程無需用戶配置干預。為了保證下載過程的可回退性， h3c的fit ap的bootrom軟件可以監(jiān)控下載的fitap軟件的運行狀況，一旦發(fā)現(xiàn) fit ap軟件無法正常啟動，bootrom軟件會接管和無線控制器的交互，強制升級本地軟件版本。2.7 配置下發(fā)fit ap為了給無線用戶提供接入服務需要獲得無線業(yè)務參數(shù)、射頻參數(shù)等配置信息。在分布式管理模型中網絡維護者需要登錄到每臺 ap上對這些參數(shù)進行逐一配杭州華三通信技術有限公司第8頁, 共9頁ap零配置技術白皮書置，配置工作量巨大。在集中式管理模型中， fip ap的配置信息保存在無線控制器上，fit ap在每次系統(tǒng)啟動時都會從無線控制器上下載。為了方便配置，h3c的無線控制器提供了通用的業(yè)務模板和設備模板，用戶可以根據(jù)開通的業(yè)務建立一個模板，并由不同的 ap來引用。例如：用戶可以配置一個針對加密用戶的服務模板，