AP零配置技術(shù)白皮書

1、ap零配置技術(shù)白皮書ap零配置技術(shù)白皮書關(guān)鍵詞：關(guān)鍵詞：wlan、ap摘摘要：要：本文講述了傳統(tǒng)wlan網(wǎng)絡(luò)部署ap中遇到的一些問題，以及ap零配置給用戶帶來的好處，另外通過描述h3c公司fit ap的啟動和工作方法來介紹ap零配置的實現(xiàn)原理。縮略語：縮略語：縮略語apacstawlandhcpdnsaccess pointaccess controllerwireless station（client）wireless local area nteworkdynamic host configuration protocoldomain name system英文全名無線接入點無線控制器無線

2、客戶端無線局域網(wǎng)動態(tài)主機配置協(xié)議域名系統(tǒng)中文解釋杭州華三通信技術(shù)有限公司第1頁，共9頁ap零配置技術(shù)白皮書目 錄1 概述. 32 ap零配置 . 42.1 無線控制器和fit ap之間的網(wǎng)絡(luò)拓撲. 42.2 獲取ip地址. 52.3 發(fā)現(xiàn)相同二層網(wǎng)絡(luò)內(nèi)的無線控制器. 52.4 發(fā)現(xiàn)跨三層網(wǎng)絡(luò)的無線控制器 . 62.5 部署于ipv6雙棧網(wǎng)絡(luò). 72.6 ap軟件下載 . 82.7 配置下發(fā). 83 結(jié)論. 94 產(chǎn)品信息 . 9杭州華三通信技術(shù)有限公司第2頁，共9頁ap零配置技術(shù)白皮書1 概述傳統(tǒng)的wlan網(wǎng)絡(luò)都是為企業(yè)或家庭內(nèi)少量移動用戶的接入而組建的，這類網(wǎng)絡(luò)典型的組網(wǎng)方式是采用fat a

3、p有線交換機的分布式wlan組網(wǎng)模式，由ap來完成用戶的無線接入、用戶權(quán)限認證、用戶安全策略實施，對wlan網(wǎng)絡(luò)設(shè)備的管理也是分布式的。隨著wlan技術(shù)的成熟和應(yīng)用的普及，越來越多的企業(yè)開始大規(guī)模部署wlan網(wǎng)絡(luò)，接入的用戶數(shù)和無線設(shè)備的規(guī)模都在成倍增長，網(wǎng)絡(luò)維護人員在建設(shè)和維護wlan網(wǎng)絡(luò)時發(fā)現(xiàn)采用傳統(tǒng)的wlan組網(wǎng)和管理模式已經(jīng)很難適應(yīng)現(xiàn)有的wlan網(wǎng)絡(luò)規(guī)模。目前在中大型wlan網(wǎng)絡(luò)的建設(shè)和維護中遇到的主要問題有：wlan 建網(wǎng)時需要對成百上千的 ap 進行逐一配置：網(wǎng)管 ip 地址、ssid 和加密認證方式等無線業(yè)務(wù)參數(shù)、信道和發(fā)射功率等射頻參數(shù)、 acl 和 qos等服務(wù)策略，很容易因

4、誤配置而造成配置不一致。為了管理 ap，需要維護大量 ap 的 ip 地址和設(shè)備的映射關(guān)系，每新增加一批 ap 設(shè)備都需要進行地址關(guān)系維護。接入 ap 的邊緣網(wǎng)絡(luò)需要更改 vlan、acl 等配置以適應(yīng)無線用戶的接入，為了能夠支持用戶的無縫漫游，需要在邊緣網(wǎng)絡(luò)上配置所有無線用戶可能使用的 vlan 和 acl。察看網(wǎng)絡(luò)運行狀況和用戶統(tǒng)計時需要逐一登錄到 ap 設(shè)備才能完成察看。在線更改服務(wù)策略和安全策略設(shè)定時也需要逐一登錄到ap 設(shè)備才能完成設(shè)定。升級 ap 軟件無法自動完成，維護人員需要手動逐一對設(shè)備進行軟件升級，費時費力。ap 設(shè)備的丟失意味著網(wǎng)絡(luò)配置的丟失，在發(fā)現(xiàn)設(shè)備丟失前，網(wǎng)絡(luò)存在入侵

5、隱患，在發(fā)現(xiàn)設(shè)備丟失后又需要全網(wǎng)重配置。隨著建網(wǎng)、組網(wǎng)問題的不斷出現(xiàn)，一種全新的 wlan網(wǎng)絡(luò)架構(gòu)無線控制器fit ap集中式wlan管理模式應(yīng)運而生。無線控制器fit ap控制架構(gòu)對設(shè)備的功能進行了重新劃分，其中無線控制器負責(zé)無線網(wǎng)絡(luò)的接入控制，轉(zhuǎn)發(fā)和統(tǒng)計、 ap的配置監(jiān)控、漫游管理、ap的網(wǎng)管代理、安全控制；fit ap負責(zé)802.11報文的加解密、802.11的phy功能、接受無線控制器的管理、 rf空口的統(tǒng)計等簡單功能。h3c公司在支持這種新的網(wǎng)絡(luò)架構(gòu)時將一些新的智能功能集成在fit ap和無線控制器中，以便于給用戶呈現(xiàn)統(tǒng)一的網(wǎng)絡(luò)管理接口：fit ap 的配置保存在無線控制器中，fit

6、 ap 啟動時會自動從無線控制器下載合適的設(shè)備配置信息。杭州華三通信技術(shù)有限公司第3頁, 共9頁ap零配置技術(shù)白皮書fit ap 需要能夠自動獲取 ip 地址，同時 fit ap 需要能夠自動發(fā)現(xiàn)可接入的無線控制器，并對無線控制器和fit ap 之間的網(wǎng)絡(luò)拓撲不敏感。無線控制器支持 fit ap 的配置代理和查詢代理，能夠?qū)⒂脩魧?fit ap 的配置順利傳達到指定的 fit ap 設(shè)備，同時可以實時查看 fit ap 的狀態(tài)和統(tǒng)計信息。無線控制器保存 fit ap 的最新軟件，并負責(zé)fit ap 軟件的自動更新。h3c公司通過這一全新的網(wǎng)絡(luò)管理接口可以很好的解決目前大、中型wlan網(wǎng)絡(luò)組網(wǎng)中

7、存在的管理問題：用戶只需要建立業(yè)務(wù)參數(shù)模板和設(shè)備參數(shù)模板，并設(shè)定指定的 ap 引用這些模板，當(dāng) fit ap 啟動時無線控制器會根據(jù)預(yù)先的配置引用信息給 fit ap 下發(fā)配置，用戶的配置工作量大大減少。用戶對 fit ap 的管理是通過無線控制器來代理完成，網(wǎng)管不再關(guān)心 fit ap的 ip 地址，fit ap 和無線控制器之間的關(guān)聯(lián)是自動完成，不再需要用戶對ap 進行配置干預(yù)。無線用戶的數(shù)據(jù)報文被 fit ap 封裝在 ap 和 ac 間的數(shù)據(jù)隧道中，接入 ap的邊緣網(wǎng)絡(luò)不需要再為無線用戶的接入而更改vlan 和 acl 等配置。無線控制器保存了所管理的fit ap 的運行狀況和在線用戶統(tǒng)

8、計信息，維護人員只需登錄到指定的無線控制器就可以完成信息查看。用戶對fit ap 的管理是通過無線控制器來代理完成，因此在線更改服務(wù)策略設(shè)定和安全策略設(shè)定也不再需要逐一登錄到 ap 設(shè)備，而只需要登錄到指定的無線控制器就可以完成設(shè)置，無線控制器會自動把新的配置下發(fā)到指定的fit ap。用戶不再需要手動逐一對 ap 設(shè)備進行軟件升級，ap 在每次重新啟動時會自動比較當(dāng)前運行的版本和無線控制器上保存的版本，如果無線控制器上保存的版本更新，fit ap會自動更新本地的軟件鏡像。ap 本地不再保存配置信息，即使設(shè)備丟失也不存在因配置丟失而出現(xiàn)的安全隱患。2 ap零配置2.1 無線控制器和fit ap之

9、間的網(wǎng)絡(luò)拓撲在集中式wlan管理模式中，h3c的fit ap和無線控制器之間可以支持兩種網(wǎng)絡(luò)拓撲結(jié)構(gòu)，如圖1所示：杭州華三通信技術(shù)有限公司第4頁, 共9頁ap零配置技術(shù)白皮書(1)二層網(wǎng)絡(luò)連接模式：fit ap 和無線控制器同屬于一個二層廣播域，fit ap 和ac 之間通過二層交換機互聯(lián)。(2)三層網(wǎng)絡(luò)連接模式：fit ap 和無線控制器屬于不同的 ip 網(wǎng)段，fit ap 和ac 之間的通信需要通過路由器或者三層交換機三層轉(zhuǎn)發(fā)來完成。acacl2網(wǎng)絡(luò)l3網(wǎng)絡(luò)ap1二層網(wǎng)絡(luò)連接模式ap2ap1三層網(wǎng)絡(luò)連接模式ap2圖1 無線控制器和fit ap之間的網(wǎng)絡(luò)拓撲2.2 獲取ip地址fit ap在

10、和網(wǎng)絡(luò)通信前必須能夠獲取自身的 ip地址，為了減少維護人員的配置，fit ap必須能夠支持自動獲取ip地址，目前業(yè)界標準的做法是采用dhcp client功能。ap啟動以后會在其上行接口上通過dhcp client模塊發(fā)起獲取ip地址的過程。通過dhcp的協(xié)議交互fit ap可以從dhcp server獲取到以下信息：自身使用的 ip 地址dns server的 ip 地址網(wǎng)關(guān) ip 地址域名可接入的無線控制器的 ip 地址列表（通過 dhcp option43提供）等。2.3 發(fā)現(xiàn)相同二層網(wǎng)絡(luò)內(nèi)的無線控制器fit ap一旦獲取到ip地址，就會通過廣播方式發(fā)起無線控制器發(fā)現(xiàn)請求。和 ap同屬于

11、相同二層廣播域的無線控制器，會根據(jù)預(yù)先配置的可接入 ap列表和當(dāng)前的負載情況決定是否響應(yīng)ap的發(fā)現(xiàn)請求。通過用戶的預(yù)先配置和無線控制器自身的判斷可以使fit ap均衡的接入到不同的無線控制器。fit ap和無線控制器的交互過程詳見圖2。杭州華三通信技術(shù)有限公司第5頁, 共9頁ac 112ap零配置技術(shù)白皮書ac 2ip networkvlanvlan12vlanvlanap 1ac發(fā)現(xiàn)請求ac發(fā)現(xiàn)響應(yīng)ap 2圖2 相同廣播域內(nèi)的無線控制器發(fā)現(xiàn)過程2.4 發(fā)現(xiàn)跨三層網(wǎng)絡(luò)的無線控制器h3c的fit ap還支持通過跨三層網(wǎng)絡(luò)的無線控制器的管理。在這種情況下由于fitap和無線控制器之間跨越了三層網(wǎng)絡(luò)

12、，因此fit ap已經(jīng)無法通過二層廣播方式來發(fā)現(xiàn)無線控制器而只能通過單播形式來發(fā)現(xiàn)遠端的無線控制器，但fit ap如何能夠獲取到無線控制器的ip地址呢？h3c的fit ap支持兩種方法來實現(xiàn)這一功能：(1)fit ap 從 dhcp server 獲取 ip 地址時同時會獲取到自身的 domain 名字和dns server 地址，fit ap 將獲取到的 domain 名字和固定的 h3c 串拼接成h3c.xxxx.xxx 的 dns 域名，同時 fit ap 會向 dns server 請求解析獲取h3c.xxxx.xxx 的 ip 地址，用戶只需在 dns server 上配置 h3c.

13、xxxx.xxx 對應(yīng)的無線控制器的 ip 地址，ap 就能獲取到無線控制器的 ip 地址并向該 ip地址發(fā)送無線控制器發(fā)現(xiàn)請求。(2)用戶在 dhcp server 上通過 option43 屬性來配置無線控制器的 ip 地址，當(dāng)fit ap 在從 dhcp server獲取 ip 地址時，通過解析 dhcp 回應(yīng)報文中攜帶的 option43 屬性就可以獲取無線控制器的 ip 地址并向該 ip 地址發(fā)送無線控制器發(fā)現(xiàn)請求。圖3描述了一個fit ap發(fā)現(xiàn)ac的典型交互過程：杭州華三通信技術(shù)有限公司第6頁, 共9頁apdhcp serverdns serverap零配置技術(shù)白皮書ac獲取ip地

14、址、dnsserver、域名無線控制器發(fā)現(xiàn)請求長時間無響應(yīng)獲取無線控制器的ip地址無線控制器發(fā)現(xiàn)請求無線控制器發(fā)現(xiàn)響應(yīng)capwap隧道建立圖3 fit ap發(fā)現(xiàn)無線控制器的典型交互過程(1)預(yù)先在 ac 上配置 ap 的配置信息，在 dhcp server 上配置域名，在 dnsserver 上配置 ac 的域名對應(yīng)的 ip 地址，其中 ac 的域名為 h3c.xxxx.xxx，xxxx.xxx 和用戶在 dhcp server上配置的域名相同。(2)ap 啟動以后會通過 dhcp 獲取獲取 ip 地址、dns server、域名。(3)ap 發(fā)出二層廣播的發(fā)現(xiàn)請求報文試圖聯(lián)系一個ac。(4)

15、如果長時間沒有響應(yīng) ap 會認為在自己相同的子網(wǎng)內(nèi)沒有合適的 ac 可以接入，ap 會從 dns server 獲取 h3c.xxxx.xxx的 ip 地址，其中 xxxx.xxx是從dhcp server學(xué)習(xí)到的域名，ap 向該 ip 地址發(fā)送發(fā)現(xiàn)請求。(5)接收到發(fā)現(xiàn)請求報文的 ac 會檢查該 ap 是否有接入本機的權(quán)限，如果有則回應(yīng)發(fā)現(xiàn)響應(yīng)。(6)ac 和 ap 間建立 capwap 隧道。2.5 部署于ipv6雙棧網(wǎng)絡(luò)為了適應(yīng)下一代ip網(wǎng)絡(luò)的部署要求，h3c公司的fit ap能夠同時滿足ipv4和ipv6兩種不同網(wǎng)絡(luò)的組網(wǎng)要求（圖4所示），為了簡化用戶的配置，在不需要用戶配置干預(yù)的情況

16、下自適應(yīng)的調(diào)整以適應(yīng)不同組網(wǎng)要求，作為fit ap的缺省發(fā)現(xiàn)方式 fitap會首先作為ipv4節(jié)點發(fā)起對無線控制器的發(fā)現(xiàn)過程，當(dāng)發(fā)現(xiàn)過程失敗以后，fitap會切換到ipv6節(jié)點方式繼續(xù)發(fā)起對無線控制器的發(fā)現(xiàn)過程。 fit ap會在以下情況下切換到ipv6模式：杭州華三通信技術(shù)有限公司第7頁, 共9頁ap零配置技術(shù)白皮書fit ap 無法從 dhcp server獲取到 ipv4 網(wǎng)絡(luò)地址。fit ap 在 ipv4 網(wǎng)絡(luò)沒有無線控制器響應(yīng)fit ap 的發(fā)現(xiàn)請求。fit ap 在 ipv4 網(wǎng)絡(luò)中和所有的無線控制器建立連接失敗。acipv4/ipv6 networkapipv4/ipv6用戶圖

17、4ap和無線控制器部署于ipv4/ipv6雙棧網(wǎng)絡(luò)2.6 ap軟件下載很多情況下網(wǎng)絡(luò)維護者需要升級fit ap的軟件，如果采用傳統(tǒng)的設(shè)備升級方法則需要網(wǎng)絡(luò)維護者利用tftp/ftp來逐一對需要升級的ap進行軟件升級，為了保證升級以后的可回退性，還需要在ap的flash空間中保存?zhèn)浞蒈浖＿@種升級方式大大增加了網(wǎng)絡(luò)維護者的工作量，同時為了支持升級以后的可回退性而增加的 flash空間會提升ap的成本。為了簡化網(wǎng)絡(luò)維護者的工作，h3c的fit ap在每次啟動時都會比較本地保存的軟件版本和無線控制器上保存的fit ap的軟件版本，一旦 fitap發(fā)現(xiàn)本地保存的版本不是最新版本時，fit ap會主動要

18、求從無線控制器下載最新的軟件版本，這個下載更新過程無需用戶配置干預(yù)。為了保證下載過程的可回退性， h3c的fit ap的bootrom軟件可以監(jiān)控下載的fitap軟件的運行狀況，一旦發(fā)現(xiàn) fit ap軟件無法正常啟動，bootrom軟件會接管和無線控制器的交互，強制升級本地軟件版本。2.7 配置下發(fā)fit ap為了給無線用戶提供接入服務(wù)需要獲得無線業(yè)務(wù)參數(shù)、射頻參數(shù)等配置信息。在分布式管理模型中網(wǎng)絡(luò)維護者需要登錄到每臺 ap上對這些參數(shù)進行逐一配杭州華三通信技術(shù)有限公司第8頁, 共9頁ap零配置技術(shù)白皮書置，配置工作量巨大。在集中式管理模型中， fip ap的配置信息保存在無線控制器上，fit ap在每次系統(tǒng)啟動時都會從無線控制器上下載。為了方便配置，h3c的無線控制器提供了通用的業(yè)務(wù)模板和設(shè)備模板，用戶可以根據(jù)開通的業(yè)務(wù)建立一個模板，并由不同的 ap來引用。例如：用戶可以配置一個針對加密用戶的服務(wù)模板，