智简园区有线无线深度融合技术白皮书.docx

1、智简园区有线无线深度融合技术白皮书华为智简园区有线无线深度融合技术白皮书摘 要有线无线深度融合是华为公司推出的智简园区解决方案的一个子方案，指在敏捷交换机上融合 WLAN AC 功能后，有线和无线用户可以在敏捷交换机统一进行管理、认证和策略控制，流量集中易于管控，管理极致简化，实现了全新的接入体验。 1 概 述1.1 产生背景传统的有线无线园区网络分为有线无线完全分离和有线无线一体化两个阶段： 有线无线分离阶段：即独立 AC 旁挂式，AP 通过接入交换机接入网络，AC 多为单独的WLAN 设备，一般旁挂在网关交换机上。有线和无线网络管理、数据转发完全分离。 有线无线一体化阶段：即插卡式AC，A

2、P 通过接入交换机接入网络，AC 作为网关交换机的一块插卡，称为插卡式 AC。在这种组网下，虽然 AC 作为一块板卡融入了网关交换机，但无线 AC 和有线网关交换机还是独立的管理单元，有线无线数据转发，仍然是完全分开进行处理。无论是独立 AC 或插卡式 AC，有线和无线流量转发完全分离，分别是在交换机和 AC 设备完成。这将导致有线用户和无线用户的流量转发、网络管理和排障、认证以及访问策略的设置和控制实施都是分开在有线网络和无线网络中独立维护的，这种传统的无线网络和有线网络不能统一管理和深度融合带来排障、管控的工作量增加等问题。除此之外，传统园区的无线数据流量转发也存在性能瓶颈，具体如下：传统

3、园区有线和无线数据流量分别独立转发情况下，传统无线转发能力为 20Gb/s。随着 802.11ac 时代的到来和 BYOD 移动办公的逐渐普及，无线千兆接入时代已经逐渐到来，AC 设备由于转发能力、端口各方面的限制逐渐成为了流量瓶颈。这就导致在整个网络中，虽然有线侧转发能力、端口和用户管理等资源正常，但无线侧 AC 设备已经成为瓶颈，有线无线不能共用交换机设备能力，造成整个网络资源浪费。同时无线流量在集中转发情况下，因为流量上来后会在独立的 AC 设备或者无线插卡式AC 多绕一个回路，如下图所示，独立AC 设备或者插卡式 AC 都会给网络增加不必要的故障点。1.2 解决思路在敏捷交换机插入 E

4、NP 单板，即可实现随板 AC 功能。在敏捷交换机上融合 AC 功能后，有线和无线可以统一在敏捷交换机进行管理、认证和策略控制，实现了有线无线深度融合。有线无线深度融合分为两种组网，包括如下两种接入方式。如图 1-1 所示。图1-1 有线无线深度融合组网第一种接入方式，如上左图所示，是将有线无线业务直接从 ENP 板卡接入。第二种接入方式，如上右图所示，可将有线无线业务从非 ENP 板卡接入，因为非 ENP 板卡不具备WLAN AC 功能，所以需要将无线业务重定向到 ENP 板卡处理。这两种组网解决了无线流量集中转发情况下还要经过 AC 再绕回有线交换机转发的问题，同时也消除了无线流量转发瓶颈

5、限制。有线无线深度融合的客户价值如下。提升转发容量传统网络中交换机不具备 CAPWAP 报文的解析能力，因此需要旁挂 AC 设备（或选用一块 AC 板卡），无线业务流量进入交换机后需要单臂迂回至AC 设备，这样繁琐的转发路径带来了不必要的时延，而且受困于AC 设备转发性能的制约，使得无线业务流量整体转发容量受限。有线无线融合技术可以在框式设备的一块板卡上处理 CAPWAP 封装报文，解封装后无线报文可以与有线报文一样转发，转发路径简单，使得转发容量不再是瓶颈。用户策略和管理统一传统网络中有线用户的策略控制点在交换机上，而无线用户策略控制点在 AC 上，有线无线用户策略控制点和管理点分散，不利于

6、网络的管理和维护。有线无线融合技术可以统一有线和无线用户的管理点，将控制和管理点统一在融合设备上。高可靠性传统独立 AC 方案中 1+1 备份方案，需要为两台 AC 额外准备通道以完成设备间数据同步。两 AC 之间通常使用 VRRP/BFD 等技术进行同步和保活，由于是不同设备间的软件同步，因此实时性和可靠性都不高。有线无线融合技术可以借助于交换机已有的可靠性技术，框式交换机则可使用 CSS/CSS2LAG 技术，做到设备级和链路级冗余备份。整机由主控板集中控制 AC 数据，所有的 ENP 板共享 AC 数据， 自动完成数据实时同步，而 ENP 板间不需要用软件协议建立额外的通道同步 AC 数

7、据，所以实时性和可靠性更高。扩容灵活已运行的旧网络原来只有有线业务，随着业务发展需要增加无线业务，如果使用是华为 S7700 和S12700 交换机，几乎不需要物理网络做大的调整和变动，只要有 ENP 板卡就可以实现有线无线融合的部署。ENP 板卡部署WLAN 业务灵活，无线可以直接从 ENP 板卡接入，也可以从 ASIC 板卡接入， 在同一台交换机上可以选择一种方式部署，也可以两种方式共存。当无线用户数量比较多、业务流量比较大，可以选择随板 AC 方式，随着用户数量增加，可以扩容ENP 板卡。漫游速度快携带 ENP 板卡的交换机作为AC，整机（包括 CSS/CSS2 集群）就是一个AC，不同

8、 ENP 板卡下挂的AP 都是由主控板统一管理和控制的。无线用户在不同 ENP 板卡下的 AP 漫游，实际是 AP 之间的漫游，对不同 AP 来说实际都受同一个 AC 管理，用户在不同 ENP 板接入的表项由主控板同步刷新。相对于跨独立盒式AC 或跨独立AC 插卡的漫游，无需板间建立隧道，相同控制面，转发路径短，漫游速度快。融合管理界面传统网络中无论是选用独立AC 设备，还是框式AC 插卡，AC 的管理面都是与交换机分离的。有线无线融合技术不再需要独立 AC 或AC 插卡，而是使用一台敏捷交换机完成融合技术，无线单元在网管设备上可以显示为敏捷交换机的板卡，管理界面统一。 2 方案原理2.1 实

9、现原理华为的 ENP 芯片支持商用 ASIC 的基本有线网络报文识别、处理和转发能力，以及多核 CPU 的可编程能力，两者功能的结合完美的解决了有线无线设备融合的诉求，不仅可以处理传统的有线报文， 而且通过编程可以实现对 CAPWAP 的识别和处理能力，而且一块 ENP 的单引擎硬件架构简单。ENP 板卡有线无线融合分为两种接入方式，有线业务识别及处理流程同传统交换机一样。第一种接入方式是直接从 ENP 板卡接入有线无线业务，ENP 板卡能够识别WLAN 无线控制报文， 会上送主控板处理，实现AC 管理AP 的功能，整机就是一个AC，不同 ENP 板卡下的AP 都在主控板集中管理。主控板会下发

10、 ENP 板接入 AP 的 CAPWAP 加解封装表项，在 ENP 板上识别WLAN 数据报文及完成报文转发处理。随板 AC（无线直接从 ENP 板卡接入）控制和转发流程如图 2-1 所示。图2-1 随板 AC（无线直接从 ENP 板卡接入）控制和转发流程第二种接入方式是随板 AC 技术的延伸，满足 ENP 和 ASIC 板卡混插的场景。在部署此场景之前， 需要配置 wlan work-group，work-group 组中绑定若干 ASIC 板卡和主备 ENP 板卡，ASIC 板卡做用户接入，主 ENP 板卡默认为 Active 状态，无线业务需要重定向到 Active ENP 板卡上处理。

11、当Active ENP 发生故障时，备用 ENP 会变成 Active 状态，无线业务会自动切换到备用 ENP 上处理， 保证业务不中断。第二种接入方式相对于第一种接入方式主要区别是先要把无线业务流重定向到 ENP 板上处理，在ENP 上的无线数据报文处理流程及AC 管理AP 控制流程两者类似。随板 AC（无线直接从 ASIC 板卡接入）控制和转发流程如图 2-2 所示。图2-2 随板 AC（无线直接从 ASIC 板卡接入）控制和转发流程AP 连接方案如图 2-3 所示，园区网络有线无线深度融合解决方案中，AP 根据上行连接不同分为如下四种： 图2-3 AP 连接方案AP 连接方案有四种：l

12、AP 上行直接接入敏捷交换机 ENP 单板：无线流量直接接入到 ENP 单板。 无线流量集中转发情况下，ENP 单板对无线数据流量进行 CAPWAP 隧道封装和解封装处理。 无线流量本地转发情况下，无线数据流量不经过 CAPWAP 封装。l AP 上行直接接入敏捷交换机 ASIC 单板：无线流量直接接入到 ASIC 单板。由于 ASIC 单板没有无线 CAPWAP 隧道处理能力，需要重定向到 ENP 单板进行处理。l AP 上行通过传统接入/汇聚交换机接入到敏捷交换机ENP 单板： 无线流量集中转发情况下，无线数据流量封装在 CAPWAP 隧道中，经过传统接入/汇聚交换机透传到敏捷交换机，敏捷

13、交换机 ENP 单板对无线数据流量进行 CAPWAP 隧道封装和解封装处理。 无线流量本地转发情况下，无线数据流量不经过 CAPWAP 封装。l AP 上行通过传统接入/汇聚交换机接入到敏捷交换机 ASIC 单板：无线流量通过传统接入/汇聚交换机接入到 ASIC 单板。由于 ASIC 单板没有无线 CAPWAP 隧道处理能力，需要重定向到 ENP 单板进行处理。无线流量在 ENP 单板处理针对上述 AP 连接方案和，无线流量集中转发模式下，AP 直接接入敏捷交换机 ENP 或者通过传统交换机接入敏捷交换机 ENP 单板时，由于敏捷交换机 ENP 单板具备 CAPWAP 隧道处理能力， 当无线流

14、量通过集中转发到达 ENP 单板后，ENP 支持对无线流量进行封装解封装处理，实现无线流量转发。无线流量在 ASIC 单板处理如图 2-4 所示，AP 从 ASIC 单板接入或通过传统交换机接入到 ASIC 单板时，由于 ASIC 没有无线CAPWAP 隧道处理能力，在这种情况下，通过配置 LPU WORK GROUP，将 ASIC 单板和 ENP 单板绑定在一个工作组内，这样无线流量从 ASIC 单板接入上来后，敏捷交换机自动将无线流量数据报文重定向到具有无线 CAPWAP 隧道处理能力的 ENP 单板处理。图2-4 无线流量从 ASIC 单板接入处理流程实现原理如下，配置LPU WORK

15、GROUP（最多可配 4 个）：1. 一个 GROUP 中包含若干块 ASIC 单板、一块 MASTER ENP 单板、一块 SLAVE ENP 单板，仅有一块 ENP 处于 ACTIVE 状态。2. 两块 ENP 单板工作在热备模式，MASTER 和 SLAVE ENP 上，用户表项、CAPWAP 封装表、解封装表、VAP 查找表同步下发。3. 同一 GROUP 中的 ASIC 单板接入的 CAPWAP 流量， 由 ASIC 单板下发重定向规则到 MASTER ENP 处理。4. MASTER 异常时，切换 ASIC 单板上的重定向规则，将报文引到 SLAVE ENP。5. MASTER 异

16、常重启恢复后，不回切到 MASTER 设备，直到 SLAVE 异常。LPU WORK GROUP 的配置限制如下：l 一块 ASIC 单板只能属于一个 GROUP。l 一块 ENP 单板只能在一个 GROUP 组中做 MASTER 角色。l 一块 ENP 单板只能属于一个 GROUP。l 一个组中 MASTER 和 SLAVE ENP 槽位号不能相同。无线流量集中转发模式下从 ASIC 接入转发流程无线流量在集中转发模式下，从 ASIC 单板接入时，在敏捷交换机的转发流程如图 2-5 所示： 图2-5 无线流量集中转发模式下从 ASIC 接入转发流程1. 当无线流量从 ASIC 接入时，CAP

17、WAP 协议报文或者 CAPWAP 数据报文在 ASIC 单板上重定向到该ASIC 对应的MASTER ENP，匹配条件包括：AC 的 IP 地址，IP 类型，UDP 端口号 5246 或者 5247， STP 状态等。2. ENP 单板根据报文里面携带的特殊信息判断走 ASIC 接入 AP 的无线流程。3. ENP 单板识别 CAPWAP 数据隧道、对无线 CAPWAP 报文进行解封装处理等。4. 解封装后的报文，在交换机上查找转发表项，分发到下行 ENP 单板进行处理。5. 在下行 ENP 单板，对报文进行 CAPWAP 隧道封装。6. 加封装后的完整报文重新查找 FIB，获取出端口 AS

18、IC 单板，然后将报文送到 ASIC 单板。在下行 ASIC 单板上，进行正常的下行出端口业务，最后送出设备。2.2 有线无线用户在敏捷交换机集中统一认证如图 2-6 所示，敏捷交换机（内置随板AC）作为园区网用户网关和有线无线统一认证点。 无线用户在敏捷交换机集中认证： 集中转发场景下，802.1X、Portal 认证报文作为数据流量，通过 CAPWAP 数据隧道上送敏捷交换机。 本地转发场景下，可通过配置使 802.1X、Portal 认证报文进入 CAPWAP 控制隧道，从而上送到敏捷交换机，完成认证过程。 有线用户在敏捷交换机认证： 敏捷交换机启用 802.1X、Portal 认证，支

19、持有线用户在其上完成认证流程。图2-6 有线无线用户统一认证2.3 无线用户在敏捷交换机控制下实现漫游切换敏捷交换机，内置随板 AC，控制无线用户从一个 AP 的覆盖范围移动到另一个 AP 的覆盖范围，用户无需重新登录和认证。终端与 AP1 已经建立关联信息，切换到 AP2 流程如下：1. 客户端在各种信道中发送802.11 请求帧。AP2 在信道6（AP2 使用的信道）中收到请求后，通过在信道6 中发送应答来进行响应。客户端收到应答后，对其进行评估，确定同哪个AP 关联最合适。2. 如图中的标号所示，删除用户与AP1 现有的关联。客户端通过信道1向AP1 发送802.11 解除关联信息，解除

20、用户与AP1 间的关联。3. 如图中的标号所示，客户端通过信道6 向AP2 发送关联请求，AP2 使用关联响应做出应答，建立用户与AP2 间的关联。漫游注意事项： 漫游切换需要保证 SSID 相同，即两台AP 切换区域需要配置相同的 SSID。 漫游切换 AP 必须是同一敏捷交换机下管理。 3 典型组网应用3.1 无线 AP 从 ENP 板卡接入随板 AC 的典型场景有如下四种常见组网。有线无线业务直接接入 ENP 单板。3.1.1 中小型二层组网部署在中小型企业中，典型场景是两层组网部署，如图 3-1 所示，分为核心和接入两层。图3-1 中小企业组网部署有线无线融合管理点部署在核心层部署携带

21、 ENP 板卡的框式交换机，作为有线无线融合管理点，有线无线业务直接接入ENP 板卡。可靠性部署核心层设备使用 CSS/CSS2 集群以提高设备间备份。用户认证部署l 无线用户使用 802.1x 认证，认证点部署在核心层融合管理点上。l 有线用户如果对接入安全要求较高则部署 802.1x 认证，如果要求不高建议使用 Portal 认证，认证点也部署在核心层融合管理点上。转发模型部署l 无线流量隧道方式集中转发，便于对无线流量的集中控制。l 有线流量本地转发，部署方便快捷。3.1.2 大型二层组网部署相较于汇聚与核心设备合一的两层组网，三层结构的“大二层”组网一般应用在接入用户较多，规模较大的园

22、区中，最为典型的是国内高校。组网部署如图 3-2 所示。图3-2 大型企业组网部署有线无线融合管理点部署在核心层部署携带 ENP 板卡的框式交换机，作为有线无线融合管理点，有线无线业务直接接入ENP 板卡。可靠性部署核心层设备使用 CSS/CSS2 集群以提高设备间备份。用户认证部署l 无线用户使用 802.1x 认证，认证点部署在核心层融合管理点上。l 有线用户可以使用 PPPoE 认证，PPPoE 可以将有线用户的业务通过隧道方式集中在认证点转发，而认证点以下用户业务隔离，认证点部署在核心层融合管理点上。转发模型部署l 无线流量隧道方式集中转发，便于对无线流量的集中控制。l 有线如果使用

23、PPPoE 认证则流量逻辑上集中转发；其他认证方式流量本地转发，部署方便快捷。3.1.3 三层组网之核心点融合如果用户的网络汇聚层设备是利旧，不具备有线无线融合管理的能力，那么可以考虑将融合管理点放在网络核心层。图3-3 L3 组网之核心点融合部署有线无线融合管理点部署在核心层部署携带 ENP 板卡的框式交换机，作为全网有线无线融合管理点，有线无线业务直接接入 ENP 板卡。可靠性部署核心层设备使用 CSS/CSS2 集群以提高设备间备份。用户认证部署有线无线用户都使用 Portal 认证，认证点部署在核心层融合管理点上。转发模型部署 安全红区： 无线用户流量通过隧道方式送至核心层集中转发，便

24、于对无线流量的集中控制。 有线用户本地转发，部署方便快捷。 安全黄区有线和无线用户流量都本地转发，部署方便快捷。 访客区 无线用户流量通过隧道方式送至核心层集中转发。 有线用户流量在接入层通过端口隔离送至汇聚层，再从汇聚层到核心层融合管理点之间建立 GRE 隧道，将有线用户流量送到核心层集中转发。 有线无线业务流量在融合管理点与出口路由器之间建立 GRE 隧道，将流量直送出口路由器，由出口路由器限制只能访问 Internet。3.2 无线AP 从 ASIC 板卡接入因为下挂的有线无线业务对于直接接入 ENP 板卡或直接接入 ASIC 板是不感知的，所以无线AP 从ENP 接入应用场景同样适用于

25、无线 AP 从 ASIC 接入场景，就不再重复介绍。下面基于混插 ENP 和ASIC 板卡特点来介绍应用场景。3.2.1 无线业务接入点多而分散在大的园区网中，接入交换机比较分散，S12700/S9700/S7700 核心交换机下挂的汇聚和接入交换机特别多，各接入点基本都需要部署 AP，但每个接入点无线用户数量不大，为了节省客户投资，可以选择 ASIC 板和 ENP 板卡混插的组网方案，无线业务从 ASIC 板接入，配备少量的 ENP 板卡集中处理无线业务，随着后续无线业务的逐步增加扩容 ENP 板卡。图3-4 接入点多而分散融合部署有线无线融合管理点部署在核心层部署携带 ENP 板卡的框式交

26、换机，作为有线无线融合管理点，有线无线业务从核心交换机 ASIC 板卡接入。可靠性部署l 核心层设备使用 CSS/CSS2 集群以提高设备间备份。l 核心设备两个框上分别选取一块 ASIC 板卡，两块 ASIC 板卡上的端口做 LAG 后与接入交换机相连，这两个 ASIC 板卡要属于同一个 wlan work-group，由 work-group 中配置的主备 ENP 板卡对无线业务做热备。用户认证部署l 无线用户使用 802.1x 认证，认证点部署在核心层融合管理点上。l 有线用户如果对接入安全要求较高则部署 802.1x 认证，如果要求不高建议使用 Portal 认证，认证点也部署在核心层

27、融合管理点上。转发模型部署l 无线流量隧道方式集中转发，便于对无线流量的集中控制。l 有线流量本地转发，部署方便快捷。3.2.2 旧有线网络增加无线业务原来旧网络只承载了有线业务，下挂汇聚和接入交换机本来就从 ASIC 板接入，随着业务发展需要增加无线业务部署，可以选择随板AC 混插 ENP 和 ASIC 板卡，不需要调整原来S12700/S9700/S7700 和下面交换机连接的端口，直接增加 ENP 板卡，就能完成无线业务的部署图3-5 旧有线网络增加无线融合部署 A 缩略语AACAccess Controller无线接入控制器APAccess Point无线接入点ASICApplication Specific Integrated Circuit为专门目的而设计的集成电路CCAPWAPCAPWAPCAPWAPEENPEthernet Network Processor以太网络处理器PPPPoEPoint to Point Protocol over Ethernet基于以太网的点对点协议WWLANWireless Local Area Network无线局域网MPLSMulti-Protocol Label Switching多协议标签交换