FIT组网及应用解决方案v11

FIT组网、隧道及备份机制V2011-01固网产品支持部课程目标通过本课程的学习，您将：掌握FIT网络设计方案，设计中的常见技术问题解决方法了解运营商网络构成，相关安全问题解决方法培训内容第一章WLAN网络设计解决方案第二章运营商WLAN网络构成第三章常见技术问题详解中兴WLANAC产品系列化

W901W908_A1000W908_A10000槽位一体化机型2个槽位14个槽位（12个业务板，2个交换板）支持板卡1GE电口4GE业务板，AC管理板业务板,4GE业务板后插卡，交换板，交换板后插卡，CMM背板交换能力/20G480GAP管理能力25610248K～12K并发用户接入100010000100000冗余能力N互备N+1N+1是否有BAS功能支持支持支持尺寸1U3U13U功率130W700W2500W电源48V直流/220V交流双-48VDC电源双-48VDC电源中兴通讯WLAN产品解决方案特点支持固网移动协调发展，提供3G+W、三网合一室分覆盖等整体解决方案W908系列AC满足电信运营级要求，系统具备更高可靠性、稳定性和扩展性；W908_A10000满足运营商不同容量AC建设需求基于ZTE高效稳定的CSP软件平台进行开发，为WLAN应用提供强力支撑并具备足够软件扩展能力以胖瘦一体化和11n新技术为基础的下一代AP，具备高效节能、绿色环保的特点完善的WLAN统一网管,为WLAN运维提供支撑AC+FitAP系统构成特点主要由AC和FitAP在有线网的基础上构成的。AP零配置，硬件主要由CPU＋内存＋RF构成，配置和软件都要从无线交换机上下载。所有AP和无线客户端的管理都在无线交换机上完成。AP和无线交换机之间的流量被私有协议加密；无线客户端的MAC只出现在无线交换机端口，而不会出现在AP的端口。可以在任何现有的二层或三层LAN拓扑上部署无线解决方案，而无需重新配置主干或硬件。无线交换机以及管理型接入点AP可以位于网络中的任何位置。培训内容第一章WLAN网络设计解决方案第二章运营商WLAN网络构成第三章常见技术问题详解移动WLAN业务网络逻辑架构AC可以根据用户的接入条件，推出不同的门户，向不同的认证服务器进行认证，或发起不同的接入流程中国联通WLAN业务网络总体架WLAN业务网络逻辑架构AC可以根据用户的接入条件，推出不同的门户，向不同的认证服务器进行认证，或发起不同的接入流程瘦AP+AC架构—认证加密方式支持通过Radius服务器或者无线交换机本地数据库认证无线用户，支持的认证方式如下802.1X认证Portal认证PPPoE认证无线交换机支持的加密方式如下WEP（WiredEquivalentPrivacy）加密方式WPA（Wi-FiProtectedAccess）安全架构WPA2安全架构移动WEB认证流程集中数据转发AP和AC间通过专用的数据隧道进行数据转发，AP和AC间的数据隧道中为二层数据。采用此模式时，所有用户数据都要通过AC进行转发。此种方式下，用户数据流向容易控制，适合运营商的组网架构。而且由于采用隧道技术，对用户IP分配可以更加灵活。本地数据转发AC只对AP进行管理和控制，并不发起和AP的数据隧道连接，所有的用户数据通过本地网络转发。此种方式下，本地用户数据交换无需通过AC进行集中交换，适合于AC之下的本地数据交换，从而避免了流量迂回问题。同时转发AC可以根据SSID来决定数据采用集中转发还是本地转发模式。例如，同一个AP下，公网用户的流量走集中转发，本地专网用户的流量起本地转发。流量的集中转发及本地转发典型的二层组网应用APAPAP1接入交换机1APnAP2热点1热点n接入交换机nHAAC_1HAAC_1传输骨干网物理组网逻辑组网汇聚交换机1汇聚交换机2R1R2典型的三层组网应用APAPAP1接入交换机1APnAP2热点1热点n接入交换机nAC_2HAAC_1传输骨干网路由器物理组网逻辑组网胖瘦AC的混合组网在有些已布署有胖AP的网络中，在做网络升级时，有些胖AP可升级为瘦AP，有些不能升级。在考虑投资，不能对不能升级的胖AP进行替换的前提下，可以采用此种胖瘦AC混合组网方案对于瘦AP，AC既是无线控制器，也是BAS对于胖AP，AC执行BAS功能。APAPAP1接入交换机1APnAP2热点1热点n接入交换机nHAAC_1HAAC_1传输骨干网汇聚交换机1汇聚交换机2R1R2AP1APnAP2热点n接入交换机n瘦AP不可升级的胖AP本地转发方式无线用户上网业务实现方式AC做好如上本地转发配置后，无线用户就可以关联APSSID名称，从上行中达AC获取上网地址实现上网业务。因为上行中达AC已经和WEB服务器做好WEB认证相关设置，用户打开网页就可以推送到WEB服务器认证界面。集中转发方式一在AC上和WEB、RADIUS服务器做认证瘦AP配置瘦AP和AC之间的2层链路要能互通，瘦AP采用DHCP方式发现AC，由AC做DHCP服务器来为瘦AP分配管理地址。AC配置

AC采用集中转发方式，设置对应的瘦AP端口地址、VLAN、虚接口地址、在地址池中设置为无线用户分配的地址。做DHCP服务器为瘦AP分配管理地址，实现对瘦AP的集中控制管理。在AC上为每个瘦AP选择对应的无线模板，设置好工作信道、操作模式、无线模式等相关参数并根据MAC地址下发给瘦AP。设置静态路由，保证到上行网络的互通。在AC上设置和WEB、RADIUS服务器进行认证的相关参数。设置网管服务器地址，便于AC被网管管理。

集中转发方式一AC做好如上集中转发配置后，无线用户就可以关联APSSID名称，从AC用户地址池中获取私网地址，经过NAT转换实现上网业务。AC已经和WEB服务器做好WEB认证相关设置，用户打开网页就可以推送到WEB服务器认证界面。集中转发方式二不在AC上和WEB、RADIUS服务器做认证瘦AP配置瘦AP和AC之间的2层链路要能互通，瘦AP采用DHCP方式发现AC，由AC做DHCP服务器来为瘦AP分配管理地址。AC配置AC采用集中转发方式，设置对应的瘦AP端口地址、VLAN、虚接口地址、在地址池中设置为无线用户分配的地址。做DHCP服务器为瘦AP分配管理地址，实现对瘦AP的集中控制管理。在AC上为每个瘦AP选择对应的无线模板，设置好工作信道、操作模式、无线模式等相关参数并根据MAC地址下发给瘦AP。设置静态路由，保证到上行网络的互通。集中转发方式二AC做好如上集中转发配置后，无线用户就可以关联APSSID名称，从AC无线用户地址池中获取私网地址，经过NAT转换实现上网业务。如果用户需要不用认证就可以上网，就无需设备做和WEB服务器认证的客户端，用户打开网页可以直接上网。

集中转发方式三AC只起桥接作用，把AP的业务报文根据VLAN标签透传到上层设备瘦AP配置瘦AP和AC之间的2层链路要能互通，瘦AP采用DHCP方式发现AC，由AC做DHCP服务器，来为瘦AP分配管理地址。

AC配置AC采用集中转发方式，设置对应的瘦AP端口地址、对应的业务VLAN绑定不同SSID把数据透传到上层设备。在地址池中设置为瘦AP分配的管理地址，实现对瘦AP的集中控制管理。在AC上为每个瘦AP选择对应的无线模板，设置好工作信道、操作模式、无线模式等相关参数并下发给瘦AP。AC设置静态路由，保证到AP网络的互通。集中转发方式三无线用户一部分可以关联到瘦AP的SSID****-pppoe，通过PPPOE拨号方式获取地址上网。一部分用户也可以关联到瘦AP的SSID****，通过DHCP从BRAS上获取到的地址推送到WEB服务器认证界面，输入运营商提供的用户名和密码后，实现上网业务。培训内容第一章WLAN网络设计解决方案第二章运营商WLAN网络构成第三章常见技术问题详解AC布放组网方式按照AC的布放方式分为两种：串接、旁挂按照AC的组网拓扑分为；分布式与集中式。分布式是通过在WLAN的热点地区部署AC，通过AC管理该热点地区的AP，通过汇聚后接入BRAS，AC构成分布式部署。集中式是通过在城域网或者BRAS旁挂方式来部署AC，集中控制本厂商的多台AP设备，要求集中式部署的AC容量较高。

根据业务特点和组网规模选择布放方式AC的直连和旁挂物理直连和旁挂物理直连指AC直连于下行传输链路和网络设备之间。旁挂指AC通过上、下行端口只与网络设备连接。直连和旁挂取决于网络状况及接口要求。一般情况下，推荐采用旁挂方式。AC可旁挂于交换机、路由器或BAS。在采用特理旁挂方式时，AC分别采用上下行端口与网络设备互连。逻辑直连和旁挂AC上的数据分为管理和业务流量。管理流量要经过AC，因此逻辑上的直连与旁挂是基于业务流量来区别的。有以下三类情况：业务流量全部经过AC：集中转发模式。逻辑上为直连关系业务流量部分经过AC：同时集中与本地转发。逻辑上直连与旁挂并存。业务流量不经过AC：本地转发。逻辑上为旁挂关系。AC的集中布署或分布布署根据AC的布署层次，可有以下分类省级集中布署：AP通过地市间传输连接到AC。此时，需要着重考虑好以下问题：AP和AC间的时延问题：此时的时延，不仅仅影响用户的业务，更重要的是对用户认证、AP和AC间管理信息的相着影响。AP和AC间的传输带宽：需要对传输带宽及成本进行综合考虑。如有可能，AP可进行业务流量的本地转发地市集中布署：地市通过集中AC管理该地市所有的AP。同样应保证AP/AC间的时延及带宽。某些专网中的AP，需要考虑公网流量的集中转发及专网流量的本地转发在地市汇聚层分布布署：AC在地市的多个汇聚节点分布布署。此时，AC/AP间可考虑二层组网方式在园区内下沉布署：对于某些大客户，如较大的校园网等，可能有需要将AC布署在园区内。但此时需要考虑AC的维护。并且，比起其它模式，有可能增加AC的总体投资。当AP数量都比较少的情况下，还是应考虑将AC在园区外集中布署，一个AC管理多个园区。AC的发现过程AC的发现过程，是指当AP进入网络时，通过发送AC发现请求信息，并获得AC发现响应信息，从而，找到可用的AC，并选择最为合适的AC以建立CAPWAP会话的过程。静态发现：可以在AP上预置AC地址，则不需要发现过程。动态发现：通常情况下AP需要对备选AC进行动态发现，此时，就会有AC的发现过程。二层发现当AP和AC在同一个第二层VLAN和IP子网时，AP可以通过广播AC发现请求信息发现AC。位于同一个子网的AC都将进行应答。三层发现：AP首先通过DHCP或DNS方式得到AC的IP地址，然后向AC发现发现请求信息，进而认证建立连接的过程。DHCP发现过程DNS发现过程FITAP架构中AC与AP连接方式1、AP和AC可以采用二层网络互通方式，有两种情况（1）AC做DHCP服务器，为AP分配相同网段的管理地址（2）AP配置静态IP，手动设置AP、AC地址。2、AP和AC采用三层网络互通方式，AP的管理地址和AC不在同一网段，也有两种情况（1）AC做DHCP服务器，同时需要DHCP中继设备传送AP到AC的DHCP报文，AC为AP分配不同网段管理地址和网关。（2）AP配置静态IP，手动设置网关和AC地址。

当瘦启用管理VLAN时，AP到AC的管理报文会打上VLAN标签，从AP到AC的交换机上也需要做相应VLAN设置ACLAN口可剥离VLAN标签。AP直连或通过二层网络连接时的注册流程1.AP通过DHCPserver获取IP地址2.AP发出二层广播的发现请求报文试图联系一个无线交换机3.接收到发现请求报文的无线交换机会检查该AP是否有接入本机的权限，如果有则回应发现响应4.AP从无线交换机下载最新软件版本、配置5.AP开始正常工作和无线交换机交换用户数据报文DHCP发现过程1）DHCPClient（AP）上电或重启时，向网络广播一个DHCPDISCOVER包。源地址为0.0.0.0，目的地址则为255.255.255.255，再附上Option60的信息2）DHCPServer接收到DISCOVER信息，发出DHCPOFFER响应报文3）DHCPClient可能会收到多个DHCPOFFER报文,选择DHCPOption60企业码与自己相同DHCPServer发来的报文。4）DHCPClient将广播一个DHCPREQUEST封包，在DHCPOption60中一起发送。5）DHCPServer收到DHCPREQUEST后，发送DHCPACK响应报文，包括DHCPOption43信息。6）DHCPClient收到DHCPACK报文后，从中获取自动配置信息，并选择合适的AC。从这一点上说，DHCPServer对设备的自动配置已经完成了，7）DHCPClient在断开时应该主动给DHCPServer发送DHCPRELEASE报文，DHCPServer也将释放分配给DHCPClient的资源。注：DHCP方式可以部署在二层和三层组网中，但是当采用三层组网时，需要所有开启DHCPRelay的设备都支持Option43Option60

，并保证AP可以正确获得Option43Option60的值。DNS发现过程AP中预设AC的域名。AP接入网络中，通过DHCP，或者手工设定IP信息。AP通过DNS服务器对预设AC域名的解析获得AC的IP地址。AP取得AC地址后，主动发起与AC的认证连接。AC对AP进行验证后，与AP建立CAPWAP连接。AP从AC上获得配置信息，完成配置过程。瘦AP二层、三层隧道使用说明

目前瘦AP架构支持基于ssid的集中转发、支持分布转发（或者本地转发）集中转发AP和AC会构建一个数据隧道，无线客户端STA的任何数据报文都将由AP通过隧道交给无线交换机，由无线交换机统一转发；这个数据隧道中，传输的二层数据，所以即使AP和AC间为三层网络，但是从逻辑上看，用户到AC还是二层结构，所有用户的数据都必须到AC上在转发。无线数据AP上终结，隧道中跑的是802.3的报文。

分布转发（或者本地转发）AC只和AP间建立控制通道，但不会建立数据隧道，用户数据由AP负责本地转发掉。AC其实可以理解成一个采用CAPWAP协议的AP网管服务器（不严谨的理解），AC只负责AP的配置管理。AC和AP之间建立隧道，无线交换机将这些隧道看做虚拟物理端口。AC从隧道接收到用户的数据后先解隧道封装，然后做数据交换。二层隧道说明AP从AC上获取地址，STA由外置dhcpserver或BRAS来分配地址。二层隧道支持内层vlan转换。隧道报文只存在AC与AP之间，并且只有STA的报文才会封装成隧道报文，AP和管理平台之间的capwap报文没有封装成隧道。三层隧道组网AP和AC跨三层组网，STA在AC上分配地址（DHCP方式）隧道处理流程无线用户关联AP，AP把用户关联信息上报管理平台管理平台把STA信息下发给接入平台，接入平台建立起该STA的隧道信息STA的报文由AP封装成隧道报文发送到接入平台的5248端口AC接入平台解封装隧道，对原STA的报文进行转发外界发送给STA的报文到达AC接入平台，接入平台封装成隧道报文发送给APAP把隧道报文解封装，发送给STA隧道使用限制1）目前三层隧道支持DHCP用户，固定IP用户，不支持PPPoE用户2）配置为二层隧道时在同一接口下做access+trunk支持单臂组网。支持二层隧道下透传PPPoE报文。3）由于共进AP对于广播回传的STA报文做了源MAC地址学习，导致STA无法通过DHCP方式获取地址，为规避这一未解决BUG，需在AC接入平台上开启“广播隔离”功能。命令，配置模式下：wirelessbroadcast-separate908隧道配置登录web管理界面，打开页面【基本配置】【隧道配置】模式开关：开开启隧道模式关闭关闭隧道模式注意：目前隧道配置命令只在AP加入时下发给AP，中途修改隧道配置不会发消息给在线的AP接入平台IP：AP发送的隧道报文的目的IP，接入平台接口的任意一个地址均可，只要能与AP互通端口：AP发送的隧道报文的目的端口，固定为5248模式选择：固定为UDP隧道模式：选择1-MACBridge908隧道配置打开页面【基本配置】【WLAN-VLAN-用户关联列表】WLANID：和wlanid配置的ssid的wlanid一致VlanID：三层隧道不使用；二层隧道是AC解隧道后，转换后的vlan。用户对应端口：三层隧道不使用，二层隧道由接入平台配置（port-trunk）908隧道配置登录AC管理平台，修改access.conf文件#vi/icac/conf/access.conf110.1.1.44603格式：编号IP地址端口，各字段以空格分隔，描述：编号为数字1，2..,IP地址为接入平台的地址，端口固定为4603。说明：一个编号表示一条记录，如果一个管理平台连接多个接入平台，需配置多条，多条之间没有顺序要求修改后需重启accomm才能生效修改forward.conf文件#vi/icac/conf/forward.conf10.1.1.44603127.0.0.14603格式：IP地址端口IP地址端口，各字段以空格分隔，描述：配置为接入平台的IP地址，端口固定为4603说明：只有一条记录，目前最多只支持2个接入平台，只有一个接入平台时，另一个IP地址可配置127.0.0.1，修改后需重启accomm才能生效AC热备切换对于备份，我公司的产品支持两种模式。1+1模式：在1+1模式下，我公司的产品采用VRRP方式进行备份。备份时，主用设备与备用设备采用同样的配置，在主用设备与备用设备之间，通过心跳互连，主用设备会主动向备用设备传送相关的业务控制数据，其中也包括业务的计费数据。当主用设备发生问题需要切换时，备用设备通过心跳发现需要将自己切换为主用设备。此时，备用设备会将自己的下联与上联的IP地址与MAC地址设置成完全与主用设备相同，取代主用设备的工作。N+1模式：在N+1模式下，AP加入AC（join)时，AC会主动下发备用AC的地址。备用AC与主用AC之间将同步业务数据。多个主用AC与备用AC之间将执行心跳状态保持，如果备用AC发现主用AC已经无法提供服务，备用AC会将自己的状态切换为主用状态，并根据同步的业务数据，找到所有有主用AC上连接的AP，并向这些AP下发新的AC地址以及隧道端点地址。AP会检查是备用AC的地址与否加入时是一致的，如果一致，然后AP会接受备用AC的控制并与备用的隧道端点进行流量转发。1+1热备实现原理及流程2/3层网络VRRP（MACIP)1、在两台AC上配置相同的VRRP虚拟MAC及IP。2、两台AC间以心跳线连接，并通过心跳线传递VRRP通告及进行AC间业务信息的同步3、一般情况下，主AC处于工作状态，备AC处于备用状态。数据流经由主AC处理。主AC定期向备AC发送VRRP通告及传递业务同步信息。4、当主AC故障时，备AC在设定时间内未收到VRRP通告，则备用AC通过VRRP通告成为主AC，并将自己的IP地址及MAC地址设为虚拟组的IP地址及MAC地址，并发出ARP通告更新。5、此时，对于相连设备而言，AC的MAC和IP地址都未改变，但数据流已经改为经备用AC处理。6、由于切换时间非常短，而且主备设备的IP地址及MAC地址都不改变，因此，该切换对于终端是透明的。又同时由于切换之前，所有的用户及业务信息在两台设备之间是完全同步的，因此，切换后不影响任何业务的进行。对于已为用户分配或正在申请的IP地址也不会有任何的改变。主AC备ACAPN+1热备实现原理及切换KeepLive2/3层网络1、AP加入AC（join)时，AC会向AP主动下发备用AC的地址。2、主AC正常时，