劉曲

【關(guān)鍵詞】WLAN MPLS-VPN DHCP-RELAY AC AP

【中圖分類號(hào)】TN92 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1672-5158（2013）04-0126-01

今年以來隨著國家寬帶普及提速工程的實(shí)施，WLAN網(wǎng)絡(luò)建設(shè)進(jìn)入了快速布網(wǎng)期，本論文通過探討WLAN部署的特點(diǎn)，結(jié)合當(dāng)前城域網(wǎng)實(shí)際情況，提出了AC/AP網(wǎng)絡(luò)部署的方案，并通過實(shí)踐檢驗(yàn)，切實(shí)提升了WLAN網(wǎng)絡(luò)的整體質(zhì)量，滿足了市場大規(guī)模發(fā)展的需求。

一、城域網(wǎng)現(xiàn)狀及WLAN部署方案探討

目前，城域網(wǎng)大多采用雙心形網(wǎng)絡(luò)結(jié)構(gòu)，各個(gè)匯聚節(jié)點(diǎn)部署B(yǎng)AS/匯聚交換機(jī)實(shí)現(xiàn)用戶業(yè)務(wù)的匯聚接入，域內(nèi)運(yùn)行OSPF、MBGP等動(dòng)態(tài)路由協(xié)議。為了在現(xiàn)有的城域網(wǎng)上安全、高效、可控的接入WLAN網(wǎng)絡(luò)，我們首先需要對(duì)WLAN網(wǎng)絡(luò)的各種組網(wǎng)模式進(jìn)行探討。

（一）WLAN技術(shù)簡介

無線局域網(wǎng)WLAN（wireless local area network）是計(jì)算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。它以無線多址信道作為傳輸媒介，利用電磁波完成數(shù)據(jù)交互，實(shí)現(xiàn)傳統(tǒng)有線局域網(wǎng)的功能。

（二）WLAN技術(shù)模型探討

1、胖AP組網(wǎng)模型

胖AP的組網(wǎng)方式，每個(gè)AP都是一個(gè)單獨(dú)的節(jié)點(diǎn)，獨(dú)立配置其信道和功率；安裝簡便。但是，每個(gè)AP獨(dú)立工作，較難擴(kuò)展到大型、連續(xù)、協(xié)調(diào)的無線局域網(wǎng)和增加高級(jí)應(yīng)用。

2、瘦AP組網(wǎng)模型

瘦AP組網(wǎng)方式，通過AC對(duì)AP群組進(jìn)行自動(dòng)信道分配和選擇，及自動(dòng)調(diào)整發(fā)射功率，降低AP之間的互干擾，提高網(wǎng)絡(luò)動(dòng)態(tài)覆蓋特性；解決了網(wǎng)管系統(tǒng)受限于AP處理能力和性能的問題。

鑒于瘦AP組網(wǎng)的優(yōu)點(diǎn)，在大規(guī)模布網(wǎng)時(shí)建議采用瘦AP模型。

3、AP管理通道

AP管理通道是指AP與AC CAPWAP管理協(xié)議通信的管理通道，AC管理AP可采用二層方式，也可采用三層方式。

（1）二層方式：

AP和AC在同一個(gè)管理VLAN，也在同一個(gè)網(wǎng)段中，AP通過DHCP從AC地址池中獲取IP，AP的網(wǎng)關(guān)為AC。

（2）三層方式：

此時(shí)AP與AC不在一個(gè)網(wǎng)段，跨三層通信，但AP的IP地址仍從AC的地址池中分配，AP的網(wǎng)關(guān)為BAS。

具體要根據(jù)AC部署的方式和數(shù)量，來調(diào)整AP的接入方案。

4、業(yè)務(wù)通道

（1）本地轉(zhuǎn)發(fā)：

與傳統(tǒng)的電信BAS業(yè)務(wù)相同，由AP對(duì)業(yè)務(wù)信息打VLAN標(biāo)簽，業(yè)務(wù)數(shù)據(jù)經(jīng)過交換機(jī)透傳直至BAS，中間無需經(jīng)過AC處理和轉(zhuǎn)發(fā)。

（2）集中轉(zhuǎn)發(fā)：

集中轉(zhuǎn)發(fā)的時(shí)候，AP與AC之間建立CAPWAP數(shù)據(jù)隧道。用戶的所有報(bào)文都通過隧道進(jìn)行封裝，AP與AC負(fù)責(zé)完成隧道的封裝與解封裝。用戶的報(bào)文不會(huì)被AP與AC之間的網(wǎng)絡(luò)感知或修改。

對(duì)于運(yùn)營商網(wǎng)絡(luò)而言，顯然更加適合采用本地轉(zhuǎn)發(fā)方式。

（三）WLAN認(rèn)證方式

WLAN主要用于公眾網(wǎng)/校園網(wǎng)的無線覆蓋，二層web認(rèn)證為常見方式。STA先打開無線網(wǎng)卡功能，選擇SSID關(guān)聯(lián)到AP后，通過DHCP從BAS獲得IP地址（此時(shí)無法上網(wǎng)），打開Ⅲ后，輸入任何網(wǎng)址均被重定向至portal頁面，用戶在認(rèn)證窗口輸入用戶名/密碼，認(rèn)證通過后進(jìn)行上網(wǎng)。

二、WLAN網(wǎng)絡(luò)部署的思路與方法

依據(jù)目前主流城域網(wǎng)的實(shí)際情況，考慮到投資的規(guī)模，我們制定了WLAN網(wǎng)絡(luò)在城域網(wǎng)內(nèi)部署的基本思路：采用瘦AP模式組網(wǎng)；采用三層通道、DHCPrelay技術(shù)實(shí)現(xiàn)AP的管理，在兩個(gè)核心局點(diǎn)部署AC并實(shí)現(xiàn)熱備；采用本地轉(zhuǎn)發(fā)方式進(jìn)行業(yè)務(wù)數(shù)據(jù)的轉(zhuǎn)發(fā)；采用DHCP方式進(jìn)行認(rèn)證。

通過這樣的組網(wǎng)方案，基本實(shí)現(xiàn)了搭建安全、高效、可控的WLAN網(wǎng)絡(luò)的目標(biāo)，以下為詳細(xì)的建設(shè)方案及業(yè)務(wù)實(shí)現(xiàn)模式：

1、AC/AP管理網(wǎng)絡(luò)的部署及安全考量

考慮到前期投資有限，以及同時(shí)要滿足市級(jí)各區(qū)域AP統(tǒng)一管理的需要，我們在全市城域網(wǎng)的兩個(gè)核心節(jié)點(diǎn)各安裝一臺(tái)中興W908-A10000設(shè)備，形成互為熱備的模式。

（1）AC設(shè)備部署與AC側(cè)安全考慮：

①在兩個(gè)樞紐局各架設(shè)一臺(tái)中興AC設(shè)備，插入業(yè)務(wù)板卡7塊，按照編號(hào)順序形成7組服務(wù)器群，每組服務(wù)器提供唯一IP地址對(duì)外服務(wù)，可管理1000臺(tái)AP設(shè)備。

②在兩個(gè)樞紐局各架設(shè)一臺(tái)心跳交換機(jī)，通過不同的VLAN形成不同板卡之間心跳線路，然后通過VRRP技術(shù)實(shí)現(xiàn)兩個(gè)局點(diǎn)的一組板卡通過虛擬IP對(duì)外提供服務(wù)，從而達(dá)到熱備目的。

（2）BAS側(cè)的部署及安全考慮：

①為實(shí)現(xiàn)BAS側(cè)的安全保護(hù)，需要在BAS一1設(shè)備間建立VRRP熱備關(guān)系，BAS一1之間的VRRP心跳線路通過兩個(gè)局點(diǎn)間的BAS-2采用VPLS技術(shù)實(shí)現(xiàn)，這保證了心跳線路的安全性。

②相關(guān)配置如下（以愛立信SEl200設(shè)備為例）：

生成網(wǎng)管專用context

context tawlannms vpn-rd 65030：25030

與AC互聯(lián)端口在BAS間啟用VRRP實(shí)現(xiàn)BAS側(cè)熱備

interface zte-ac-vrrp-02-758

ip address 10.222.222.185/29

vrrp 2 owner

virtual-address 10.222.222.185

建立MPLSVPN實(shí)現(xiàn)不同BAS私有IP路由互通

routerbgpvpn

address-family ipv4 unicast

export route-target 25030：1

import route-target 25030：1

redistribute connected

創(chuàng)建DHCP組

dhcp relay server 10.222.222.188

server-group zteac02

（3）AP部署及安全考慮：

①AP作為末端接入設(shè)備主要通過PON網(wǎng)絡(luò)進(jìn)行接入，通過管理VLAN透傳至BAS設(shè)備進(jìn)行管理，一般情況下以一個(gè)c為單位。

②在BAS的tawlannms-context內(nèi)配置到AP管理的相關(guān)配置，主要是設(shè)置動(dòng)態(tài)地址池與管理VLAN的關(guān)系，并且指定DHCPserver。

③在AP管理網(wǎng)絡(luò)組建中，由AC作為DHCP服務(wù)器，動(dòng)態(tài)分配AP的管理IP，AP的網(wǎng)關(guān)終結(jié)在BAS上，在BAS上啟用DHCPRELAY功能，用來轉(zhuǎn)發(fā)相關(guān)DHCP數(shù)據(jù)報(bào)文。

2、WLAN業(yè)務(wù)數(shù)據(jù)流的轉(zhuǎn)發(fā)模式及安全考慮

在完成以上WLAN管理網(wǎng)絡(luò)部署的基礎(chǔ)之上，下一步要考慮AP接入業(yè)務(wù)的終結(jié)和轉(zhuǎn)發(fā)方式，考慮到利用現(xiàn)有城域網(wǎng)實(shí)現(xiàn)用戶終結(jié)，我們采用BAS設(shè)備啟用DHCP+WEBPORTAL的方式進(jìn)行用戶接入，為減低AC壓力，業(yè)務(wù)采用本地轉(zhuǎn)發(fā)方式，具體部署如下：

（1）AP末梢的接入

AP設(shè)備大多部署在高校、寫字樓等公共區(qū)域，一般較為分散，采用PON技術(shù)可以較為有效的與原有的固網(wǎng)寬帶相互結(jié)合，從而實(shí)現(xiàn)大面積的快速布網(wǎng)。同時(shí)由于PON網(wǎng)絡(luò)已經(jīng)納入了有效管理，這也為AP的建設(shè)及后期維護(hù)提供了有力的支撐。

（2）WLAN業(yè)務(wù)的終結(jié)

WLAN業(yè)務(wù)全部采用VLAN透傳方式，將用戶數(shù)據(jù)透傳至BAS設(shè)備，采用本地轉(zhuǎn)發(fā)模式，BAS上設(shè)置WLAN專用context用來接入用戶，完成用戶的認(rèn)證授權(quán)功能。

三、總結(jié)

綜上所述，為配合WLAN網(wǎng)絡(luò)覆蓋，建立高度可控的管理網(wǎng)絡(luò)，在城域網(wǎng)中，我們充分利用了MPLS-VPN、DHCP-relay等技術(shù)實(shí)現(xiàn)了AC/AP骨干層面的熱備，確保了網(wǎng)絡(luò)的安全性，從而為WLAN業(yè)務(wù)的發(fā)展提供了可靠保障。