03 无线局域网WLAN组网模型

WLAN组网模型不同的企业组织对于WLAN的要求是不同的，随着WLAN在企业网络中的应用越来越广泛，如何构建一个满足其业务要求的WLAN成为企业面临的重要问题。一个好的网络首先要设计良好的架构，选择合适的组网方式。本章将介绍WLAN的组网设计和典型的组网方案。

学完本课程后，您将能够：概括WLAN基本概念描述WLAN组网方式区分WLAN转发模型评估华为WLAN典型组网方案WLAN基本概念WLAN组网架构WLAN典型组网方案BSS和BSA组成WLAN的基本单元是基本服务集（BasicServiceSet，BSS），BSS包含一个固定的AP和多个终端。其中AP作为一种基础设施，为终端提供无线通信服务。AP是BSS的中心，位置相对固定，AP在哪里，BSS就在哪里；而终端则分布在AP周围，位置相对于AP是不固定的，可以自由地移动，靠近或者远离AP。AP的覆盖范围称为基本服务区域（BasicServiceArea，BSA）或，终端可以自由进出BSA，只有进入BSA的终端才可以和AP通信。BSABSSSSID：GuestBSSID：60DE-4476-E360发现”Guest”发现”Guest”发现”Guest”APSSID和BSSID终端要发现和找到AP，就需要AP有一个身份标识通告给终端，这个身份标识就是BSSID（BasicServiceSetIdentifier）。如果在一个空间部署了多个BSS，终端就会发现多个BSSID，只要选择要加入的BSSID就可以了。终端并不会自动选择，而是需要用户做出选择，如果用户在终端上看到的是一连串的“MAC地址”，就不知道应该选哪一个。因此，需要一个可以由设置的字符串作为AP的名字，让AP的身份更容被辨识，这就是SSID（

ServiceSetIdentifier）。BSABSSSSID：GuestBSSID：60DE-4476-E360发现”Guest”发现”Guest”发现”Guest”APVAPBSS1：VAP1SSID：GuestBSSID：60DE-4476-E360发现”Guest”和“Employee”AP通常支持创建出多个虚拟AP（VirtualAccessPoint，VAP），每个VAP对应1个BSS。这样只需要安放1个AP，就可以提供多个BSS，再为这些BSS设置不同的SSID，用户就可以看到多个WLAN共存，也称为多SSID。

BSS2：VAP2SSID：EmployeeBSSID：60DE-4476-E361发现”Guest”和“Employee”发现”Guest”和“Employee”APDSBSS解决了1个区域内多个终端无线通信的问题，但终端的通信对象往往不在本区域，而是在分散在各个地方，甚至在地球的另一端，这就需要AP可以连接到一个更大的网络，把不同区域的BSS连接起来，让终端可以通信。这个网络就是AP的上行网络，称为BSS的分布式系统（DistributionSystem，DS）。IP网络SWDSBSS1BSS2AP1AP2ESSBSS的有效覆盖半径一般是10m~15m，为了覆盖更大面积，可以通过多个BSS实现扩展

。同时，为了消除用户对BSS变化的感知，可以让每个BSS都使用相同的SSID，这样不管用户移动到哪里，可以认为使用的都是同一个WLAN。这种扩展BSS范围的方式称为扩展服务集（ExtendServiceSet，ESS），它以BSS为单位自由组合，让WLAN部署变得极为灵活。各BSS相同的SSID成了ESS的身份标识，叫作扩展服务集标识（ExtendedServiceSetIdentifier，ESSID），用于对终端通告一个连续的WLAN。IP网络SWDSBSS1BSS2ESSAP1AP2SSID：GuestSSID：Guest连接“Guest”连接“Guest”移动WLAN基本概念概念全称描述BSS基本服务集BSS无线网络的基本服务单元，通常由一个AP和若干无线终端组成。ESS扩展服务集ESS由多个使用相同SSID的BSS组成，解决BSS覆盖范围有限的问题。SSID服务集标识符SSID用来区分不同的无线网络。ESSID扩展服务集标识符ESSID一个或一组无线网络的标识，和SSID是相同的。BSSID基本服务集标识符BSSID在链路层上用来区分同一个AP上的不同VAP，也可以用来区分同一个ESS中的BSS。VAP虚拟接入点VAPAP设备上虚拟出来的业务功能实体。用户可以在一个AP上创建不同的VAP来为不同的用户群体提供无线接入服务。WLAN基本概念WLAN组网架构WLAN典型组网方案FATAP架构FATAP（胖AP）架构又称为自治式网络架构。当部署单个AP时，由于FATAP具备较好的独立性，不需要另外部署集中控制设备，部署起来很方便，成本较低廉。但是，在企业中，随着WLAN覆盖面积增大，接入用户增多，需要部署的FATAP数量也会增多。而每个FATAP又是独立工作的，缺少统一的控制设备，因此管理、维护这些FATAP就变得十分麻烦。所以对于企业而言，不推荐FATAP架构，更合适的选择是下面要介绍的AC+FITAP架构、云管理架构、LeaderAP架构等。InternetFATAPFATAPFATAPAC+FITAP架构……FITAPFITAPACAC负责WLAN的接入控制、转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制。FITAP（瘦AP）负责802.11报文的加解密、802.11的物理层功能、接受AC的管理、空口的统计等简单功能。AC和AP之间使用的通信协议是CAPWAP。相比于FATAP架构，AC+FITAP架构的优点如下。配置与部署更容易安全性更高更新与扩展容易CAPWAP隧道AC+FITAP组网介绍二层与三层组网直连式与旁挂式组网数据转发方式VLAN规划IP地址规划AC可靠性业务可靠性组网规划可靠性二层组网和三层组网ACAP1AP2L2ACAP1AP2L3L2L2说明：AC和FITAP在同一个广播域，AP通过本地广播可以直接找到AC，组网简单，配置简单，管理简单。应用：适用于小范围组网，比如：小型企业网络等；不适合大型企业复杂、精细化的WLAN组网。说明：AC和FITAP不在同一网段，中间网络必须保证AP和AC之间路由可达，需要进行额外配置才能使得AP发现AC，组网灵活、易扩展。应用：适用于中型和大型网络。以大型园区为例，每一栋楼里都会部署AP进行无线覆盖，AC放在核心机房进行统一控管。这样AC和FITAP之间必须采用较为复杂的三层网络。二层组网三层组网直连组网和旁挂组网ACAP1AP2R1ACAP1AP2R1说明：AC同时扮演无线接入控制器和汇聚交换机功能，AP的数据业务和管理业务都由AC集中转发和处理。应用：适用于新建的中小规模集中部署的WLAN。说明：旁挂式组网是指AC旁挂在现有网络中，仅处理AP的管理业务，AP的数据业务经过设置可以不经AC直接到达上行网络。应用：主要用于网络改造、或者新建大、中型园区网络场景。直连式组网旁挂式式组网CAPWAP协议介绍什么是CAPWAP隧道CAPWAP（无线接入点控制和配置协议）：该协议定义了如何对AP进行管理、业务配置，即AC通过CAPWAP隧道来实现对AP的集中管理和控制。AP对AC的自动发现。AP与AC间的状态维护。AC通过CAPWAP隧道对AP进行管理、业务配置下发。当采用隧道转发模式时，AP将STA发出的数据通过CAPWAP隧道实现与AC之间的交互。CAPWAP隧道的功能园区网络CAPWAP隧道AC移动用户AP1移动用户移动用户……AP2APnCAPWAP隧道CAPWAP隧道传递控制信息用户数据直接转发直接转发：用户的数据报文到达AP后，不经过CAPWAP的隧道封装而直接转发到上层网络。AC只对AP进行管理，业务数据都是由本地直接转发。优势：数据流量不经过AC，AC负担小，万兆园区推荐方案。AC核心交换机汇聚交换机CAPWAP隧道数据流量控制流量隧道转发隧道转发：业务数据报文由AP统一封装后到达AC实现转发，AC不但进行对AP管理，还作为AP流量的转发中枢。用户的数据报文经过CAPWAP隧道封装后再由AC转发到上层网络。优势：数据流和管理流全部经过AC，可以更容易对无线用户实施安全控制策略。AC核心交换机汇聚交换机CAPWAP隧道数据流量控制流量AC+FITAP组网特点对比组网描述特点直连模式+二层组网+直接转发数据流量无迂回，转发效率高。旁挂模式+二层组网+直接转发数据流量无迂回，转发效率高，便于在现有网络上叠加建设WLAN，也便于热备方案部署。旁挂模式+二层组网+隧道转发数据VLAN配置简单，隧道转发提供了二层隧道，可支持802.1X认证，便于在现有网络上叠加建设WLAN，也便于热备方案部署。旁挂模式+三层组网+隧道转发数据VLAN配置简单，隧道转发提供了二层隧道，可支持802.1X认证，便于在现有网络上叠加建设WLAN，也便于热备方案部署。旁挂模式+三层组网+直接转发数据流量无迂回，转发效率高，便于在现有网络上叠加建设WLAN，也便于热备方案部署。AC+FITAP规划介绍二层与三层组网直连式与旁挂式组网数据转发方式VLAN规划IP地址规划AC可靠性业务可靠性组网规划可靠性VLAN规划WLAN中的VLAN主要分为两类：管理VLAN和业务VLAN。管理VLAN：负责传输CAPWAP隧道转发的报文，包括管理报文和CAPWAP隧道转发的业务数据报文。业务VLAN：负责传输业务数据报文。在进行VLAN规划需要注意以下原则。管理VLAN和业务VLAN分离。业务VLAN应根据实际业务需要与SSID匹配映射关系。AC核心交换机汇聚交换机CAPWAP隧道数据流量控制流量管理VLAN业务VLAN业务VLAN与SSID的映射关系(1)SSID∶VLAN=1∶1SSID∶VLAN=1∶N企业需对区域A和区域B进行WLAN覆盖，希望用户搜索到的WLAN只有一个SSID，并采用相同的数据转发控制策略，则SSID和VLAN都只需要规划一个。企业需对区域A和区域B进行WLAN覆盖，希望用户搜索到的WLAN只有一个SSID，同时需要采用不同的数据转发控制策略，则可规划一个SSID，两个VLAN对应不同区域。此时，SSID∶VLAN=1∶2。CampusNetwork区域ASSID:GuestVLAN:100区域BSSID:GuestVLAN:100CampusNetwork区域ASSID:GuestVLAN:100区域BSSID:GuestVLAN:200业务VLAN与SSID的映射关系(2)SSID∶VLAN=N∶1SSID∶VLAN=N∶M企业需对区域A和区域B进行WLAN覆盖，希望用户搜索到WLAN即可了解地点信息等，但可采用相同的数据转发控制策略，则可规划两个SSID,同一个VLAN。此时，SSID：VLAN=2∶1。企业需对区域A和区域B进行WLAN覆盖，希望用户搜索到WLAN即可了解地点信息等，同时需要采用不同的数据转发控制策略，则可规划两个SSID，两个VLAN。此时，SSID：VLAN=2∶2。CampusNetwork区域ASSID:AreaAVLAN:100区域BSSID:AreaBVLAN:100CampusNetwork区域ASSID:AreaAVLAN:100区域BSSID:AreaBVLAN:200IP地址规划ACAC的源IP地址：用于管理AP，一般通过静态手工配置。AP的IP地址：用于和AC进行CAPWAP通信，由于AP数量较多，一般使用DHCP服务器动态分配IP地址。终端的IP地址：建议通过DHCP动态分配IP地址，对于固定无线终端（如无线打印机）可以静态配置。可以使用AC作为DHCP服务器，也可以采用独立的DHCP服务器。1223AP1APnAC+FITAP可靠性介绍二层与三层组网直连式与旁挂式组网数据转发方式VLAN规划IP地址规划AC可靠性业务可靠性组网规划可靠性AC单点故障AP1ACR1SW1SW2AP2APnAPn+1CAPWAP隧道1AC故障AC和AP的CAPWAP隧道断开AP掉线，用户无法搜索到信号23在AC+瘦AP架构的WLAN网络中，所有AP由AC通过CAPWAP隧道统一管理和下发配置。一旦AC出现故障，AC和所有AP之间的CAPWAP隧道断开，AP掉线，用户搜索不到WLAN信号。该网络下所有WLAN用户无法上网。AC可靠性：VRRP双机热备HSB主备通道AC1/24AC2/24VRRP两台AC组成一个VRRP组，主、备AC对AP始终显示为同一个虚拟IP地址，主AC通过HotStandby（HSB）主备通道同步业务信息到备AC上。两台AC通过VRRP协议产生一台“虚拟AC”，缺省情况下，主AC担任虚拟AC的具体工作，当主AC故障时，备AC接替其工作。所有AP与“虚拟AC”建立CAPWAP隧道。AP只看到一个AC的存在，AC间的切换由VRRP决定。这种方式一般将主备AC部署在同一地理位置，和其他备份方式比较，其业务切换速度非常快。虚拟AC/24CAPWAP隧道AC可靠性：双链路双机热备HSB主备通道AP同时与主备AC之间分别建立CAPWAP隧道，AC间的业务信息通过HSB主备通道同步。当AP和主AC间链路断开，AP会通知备AC切换成主AC。通过AC优先级确立主备AC。AC优先级相同的情况下，根据AC负载（AP和STA个数）确立主备AC。CAPWAP隧道AC1/24AC2/24主隧道备隧道21HSBHSB（HotStandby，热备份）是华为主备公共机制。主备服务（HSBservice）：建立和维护主备通道，为各个主备业务模块提供通道通断事件和报文发送/接收接口。主备备份组（HSBgroup）：HSB备份组内部绑定HSBservice，为各个主备业务模块提供数据备份通道。HSB备份组与一个VRRP实例绑定，借用VRRP机制协商出主备实例。同时，HSB备份组还负责通知各个业务模块处理批量备份、实时备份、主备切换等事件。AC可靠性：N+1WAN企业分支1企业分支2企业总部企业分支1的主AC备ACCAPWAP隧道使用一台AC作为备AC，为多台主AC提供备份服务。网络正常情况下，AP只与各自所属的主AC建立CAPWAP隧道。当主AC故障或主AC与AP间CAPWAP链路故障时，备AC替代主AC来管理AP，备AC与AP间建立CAPWAP链路，为AP提供业务服务。支持主备倒换，支持主备回切。企业分支2的主ACAC可靠性：小结对比项VRRP双机热备双链路双机热备N+1备份切换速度主备切换速度快，对业务影响小。通过配置VRRP抢占时间，相比于其他备份方式实现更快的切换AP状态切换慢，需等待检测到CAPWAP断链超时后才会切换，主备切换后终端不需要重新上线AP状态切换慢，需等待检测到CAPWAP断链超时后才会切换，AP、终端均需要重新上线，业务会出现短暂中断主备AC异地部署VRRP协议是二层协议，不支持主备AC异地部署支持支持适用范围对可靠性要求高，且无须异地部署主备AC的场景对可靠性要求高，且要求异地部署主备AC的场景对可靠性要求较低，对成本控制要求较高的场景业务可靠性：本地转发CAPWAP断链业务保持ACCampusNetwork已在线用户新用户对于没有部署备份AC的小型无线网络，该特性可保证当AP与AC断开连接时，用户数据转发不中断，提升业务可靠性。AP与AC之间的CAPWAP链路中断后，已在线用户的业务不会中断，用户的数据可正常转发。用户数据通过本地转发模式转发。AP无线侧安全策略为开放系统认证、共享密钥认证（WEP）和WPA/WPA2-PSK时，新上线用户可接入上线。CAPWAP隧道本地转发功能说明应用场景业务可靠性：广域逃生传统方式下用户认证都是在AC上处理，当AC与AP的通信中断时，新接入用户因无法认证，便无法接入到网络中。广域逃生：当AC与AP断链时，AP具有本地认证功能，对新接入的用户进行认证，保障业务可靠性。总部与分支之间跨越广域网，AC部署在园区总部，AP部署在园区分支。当分支AP与总部AC断开时，已在线用户，通过配置业务保持功能，能够保证业务正常运行；但新用户将无法接入到网络中，影响用户体验。可以部署园区广域认证逃生方案，使园区AP与总部AC断开后，新用户仍然能接入到网络中。用户终端广域网专线Internet企业分支企业总部AC认证服务器认证数据业务数据用户终端Internet企业分支企业总部AC认证服务器功能说明应用场景云管理架构云管理平台云APSTA由云管理平台统一管理和配置云AP，统一管理用户终端接入。云管理架构相比传统的AC+FITAP架构，有如下优势：即插即用，自动开局，减少网络部署成本。统一运维。所有云管理网元统一在云管理平台上进行监控和管理。适用于中小型的无线网络，部署灵活，运维成本低。LeaderAP架构CampusNetworkLeaderAPFITAPFITAPFITAPLeaderAP架构中只包含AP。用户将其中1台AP设置为LeaderAP模式，将其他AP以FITAP模式接入网络，和LeaderAP二层互通。LeaderAP会在二层网络中广播自己的角色，其它AP自动发现并接入LeaderAP。LeaderAP的功能和AC非常类似，提供基于CAPWAP隧道的统一接入管理和配置运维，提供集中的无线资源管理和漫游管理。用户只需登录LeaderAP，配置无线业务，所有AP都会提供相同的无线业务，终端可以在不同AP间漫游。WLAN组网架构对比组网描述特点应用场景FATAP架构独立部署和配置，管理和维护就较麻烦。适用于SOHOFITAP+AC架构AC统一管理和配置AP，配置和部署较简单。适用于中大型的无线网络云管理架构云管理平台统一管理和配置AP，部署和运维较简单。适用于中小型的无线网络LeaderAP架构LeaderAP统一管理和配置AP，配置和部署较简单。适用于小型无线网络下一代组网架构：智简园区(CloudCampus)开放的行业应用开发平台SDK|API管理、控制、分析NETCONF/YANG/SNMP/HTTPS/Telemetry……AirEngineWi-Fi6客流分析电子书包健康管理智慧办公网络层管控层CloudEngineS系列园区交换机华为CloudCampus中小型园区网络解决方案，利用云计算的技术实现网络的自动化和集中化管理，提供传统网络不能提供的数据收集和分析能力，从而实现网络（LAN/WLAN）即服务。主要有如下几个特点：网络规划和部署简单网络和管理按需扩展网络数据和网络平台开放CloudCampus中小型园区网络方案亮点功能华为CloudCampus中小型园区网络解决方案，利用云计算的技术实现网络的自动化和集中化管理，提供传统网络不能提供的数据收集和分析能力，从而实现网络（LAN/WLAN）即服务。自动部署，设备能够实现简单快捷的部署。云网规和移动化运维，简化WLAN网络设计和设备运维。丰富的产品组合，目前企业网络产品线的全系列网络设备（交换机、防火墙、AR、AP）都有款型进行配套，可以提供更为丰富的产品组合以便满足不同租户的网络使用。双栈平台，平滑演进，配套的网络设备都支持双栈，兼顾了云管理和传统模式，并可以支持租户对传统设备升级后进行云管理。增值业务，终端行为分析是CloudCampus@AC-Campus中的一种增值应用，可以在此基础上开展更丰富的增值业务。iMaster-NCEiMasterNCE作为管控析融合控制器提供管理+控制+分析的全融合，支持简单园区、虚拟化园区和多分支园区互联功能，包括：iMaster

NCE-Campus：提供管理和控制功能，服务级融合了传统设备的纳管功能，和基于Proxy服务提供一键跳转到CampusInsight智能分析；iMaster

NCE-Campus认证组件：认证组件可以作为服务集成在Campus，同时也支持最大20个认证组件的拉远部署，提供远程分支的本地认证；Campus认证组件和Campus之间基于TCP通道自动同步用户认证信息和终端识别等数据；iMaster

NCE-CampusInsight

：华为的网络智能分析平台，基于已有的运维数据（设备性能指标、终端日志等数据），通过大数据、人工智能算法及更多高级分析技术，将网络中的用户体验数字化，辅助客户及时发现网络问题，改善用户体验。WLAN的组成WLAN的组网架构WLAN典型组网方案大型园区方案在园区有线网络已经部署完成需要独立增加无线网络部署，或者无线网络规模较大时，建议部署独立AC。对于大型园区一般采用AC旁挂方式（旁挂在汇聚/核心交换机旁）部署。为减少对现有有线网络的变动，以及方便AC集中管理和控制，建议在此场景采用隧道转发