WLAN本地转发数据流分析.ppt

wlan本地转发数据流分析,北京邦讯技术有限公司 2010.7,2019/2/5,方案综述,1) ac旁挂在bras上。 2) bras终结管理隧道的vlan，隧道数据在bras上通过三层转发到ac。 3) ac器剥离隧道，将控制信息转发到bras。 4) 用户流量不经过ac的转发，直接到bras，即实现用户流量和控制流量的分离，bras终结用户vlan，并对用户进行认证和计费。 5) ap在bras上不需要经过认证就可以获得动态ip地址。 6) ap和ac跨三层，由于现网dhcp设备不支持option43选项，建议ap通过dns方式从dns服务器获取无线控制器的ip地址。,portal server,aaa server,城域骨干网,城域接入网,bras,ap,wlan用户,ac,方案解析1：典型组网,poe交换机为华为s23系列，接入交换机为华为s33系列，汇聚交换机1为s65系列，汇聚交换机2为s85系列，bras为爱立信se800，cr为华为ne80e。 少量的点由于只有一台poe交换机，目前是单点直接接入汇聚交换机1，没有再配置接入交换机。,ap,接入交换机,bras,cr,poe交换机,汇聚交换机1,汇聚交换机2,ac,方案解析2：ac对ap的管理,初始ap上无需加载任何配置，ap通过dhcp动态获取ip地址后，可从ac处获取相应配置信息。 bras上开启dhcp server功能，给ap分配管理地址，并通过dhcp的option15字段将ac的域名信息传递给ap。这里需要申请ac的域名。 ap通过解析dhcp的option15字段得到了ac的域名，然后再通过dns server获得了ac的ip地址，并与ac建立连接。这里需要在dns server上注册ac的域名信息。 poe交换机接入ap的端口需要配置为混合模式，且pvid设置为管理vlan，这样ap发出的不带vlan tag的管理报文就可以在poe交换机上打上管理vlan转发出去。,ap,接入交换机,bras,poe交换机,汇聚交换机1,汇聚交换机2,ap发出的管理报文不带vlan tag,poe交换机配置接入端口为混合模式，将端口pvid设置为管理vlan,允许管理vlan通过，透传管理报文,允许管理vlan通过，透传管理报文,允许管理vlan通过，透传管理报文,终结管理vlan，开启dhcp server功能，给ap分配管理地址，且利用option15字段将ac的域名传递给ap,在ap获得管理地址后与ap建立连接，向ap下发配置并管理ap,ac,方案解析2：ac对ap的管理规划,某些局点没有ac，那么这些局点的ap要能够通过城域骨干网的路由网络访问ac，这样ac就能实现对ap的管理，此时需要给ap分配公网管理ip地址。,ap,接入交换机,汇聚交换机,bras,cr,ac,局点一,局点二,局点二的bras给本局点的ap分配公网管理ip地址，然后局点一的ac就能通过城域骨干网管理局点二的ap,方案解析4：wlan业务规划,备注： 1）如果采用每ap每vlan的话，那么wlan用户在一个热点内移动的时候切换ap，业务vlan也会随之改变，bras就会认为这是两个不同的用户，需要该wlan用户重新上线，不能做到无缝切换ap，因此需要一个热点所有wlan用户数据在一个业务vlan内 2）如果一个热点所有wlan用户业务在一个vlan内的话，可能造成广播域过大，广播、组播或未知单播报文过多，所以需要在poe交换机和接入交换机上启用端口隔离,ac,bras,汇聚交换机1,汇聚交换机2,接入交换机,poe交换机,ap,wlan用户,国航酒店 业务vlan为10,新城宾馆 业务vlan为20,wlan用户,原则： 1）wlan业务不经过ac，到bras后直接接入internet 2）业务vlan为单层vlan，一个热点一个业务vlan 3）在poe交换机和接入交换机上启用端口隔离，隔离广播域,方案分析5：wlan业务数据流走向,ap出来的业务报文带一层业务vlan，一个热点一个业务vlan，比如呼和浩特国航酒店的业务vlan为10，新城宾馆的业务vlan为20。 poe交换机和接入交换机在接入侧的端口需要开启端口隔离，以防止同一业务vlan下的广播、多播或者未知单板报文过多。,ap,接入交换机,bras,cr,poe交换机,汇聚交换机1,汇聚交换机2,给业务报文打上一层业务vlan,透传业务vlan，启用端口隔离,接入internet,透传业务vlan，启用端口隔离,透传业务vlan,透传业务vlan,终结业务vlan，并对wlan用户进行认证计费,方案分析6：认证和计费,在bras上通过dhcp+web的方式对wlan用户进行认证。 对ap的管理数据无需认证。 wlan用户通过认证前由bras推送portal server的认证页面，此时客户不能接入inte