智简园区有线无线深度融合技术白皮书.docx
- 文档编号:17433623
- 上传时间:2023-07-25
- 格式:DOCX
- 页数:21
- 大小:909.29KB
智简园区有线无线深度融合技术白皮书.docx
《智简园区有线无线深度融合技术白皮书.docx》由会员分享,可在线阅读,更多相关《智简园区有线无线深度融合技术白皮书.docx(21页珍藏版)》请在冰点文库上搜索。
智简园区有线无线深度融合技术白皮书
华为智简园区有线无线深度融合
技术白皮书
摘要
有线无线深度融合是华为公司推出的智简园区解决方案的一个子方案,指在敏捷交换机上融合WLANAC功能后,有线和无线用户可以在敏捷交换机统一进行管理、认证和策略控制,流量集中易于管控,管理极致简化,实现了全新的接入体验。
1概述
1.1产生背景
传统的有线无线园区网络分为有线无线完全分离和有线无线一体化两个阶段:
●有线无线分离阶段:
即独立AC旁挂式,AP通过接入交换机接入网络,AC多为单独的WLAN设备,一般旁挂在网关交换机上。
有线和无线网络管理、数据转发完全分离。
●有线无线一体化阶段:
即插卡式AC,AP通过接入交换机接入网络,AC作为网关交换机的一块插卡,称为插卡式AC。
在这种组网下,虽然AC作为一块板卡融入了网关交换机,但无线AC和有线网关交换机还是独立的管理单元,有线无线数据转发,仍然是完全分开进行处理。
无论是独立AC或插卡式AC,有线和无线流量转发完全分离,分别是在交换机和AC设备完成。
这将导致有线用户和无线用户的流量转发、网络管理和排障、认证以及访问策略的设置和控制实施都是分开在有线网络和无线网络中独立维护的,这种传统的无线网络和有线网络不能统一管理和深度融合带来排障、管控的工作量增加等问题。
除此之外,传统园区的无线数据流量转发也存在性能瓶颈,具体如下:
传统园区有线和无线数据流量分别独立转发情况下,传统无线转发能力为20Gb/s。
随着802.11ac时代的到来和BYOD移动办公的逐渐普及,无线千兆接入时代已经逐渐到来,AC设备由于转发能力、端口各方面的限制逐渐成为了流量瓶颈。
这就导致在整个网络中,虽然有线侧转发能力、端口和用户管理等资源正常,但无线侧AC设备已经成为瓶颈,有线无线不能共用交换机设备能力,造成整个网络资源浪费。
同时无线流量在集中转发情况下,因为流量上来后会在独立的AC设备或者无线插卡式AC多绕一个回路,如下图所示,独立AC设备或者插卡式AC都会给网络增加不必要的故障点。
1.2解决思路
在敏捷交换机插入ENP单板,即可实现随板AC功能。
在敏捷交换机上融合AC功能后,有线和无线可以统一在敏捷交换机进行管理、认证和策略控制,实现了有线无线深度融合。
有线无线深度融合分为两种组网,包括如下两种接入方式。
如图1-1所示。
图1-1有线无线深度融合组网
第一种接入方式,如上左图所示,是将有线无线业务直接从ENP板卡接入。
第二种接入方式,如上右图所示,可将有线无线业务从非ENP板卡接入,因为非ENP板卡不具备
WLANAC功能,所以需要将无线业务重定向到ENP板卡处理。
这两种组网解决了无线流量集中转发情况下还要经过AC再绕回有线交换机转发的问题,同时也消除了无线流量转发瓶颈限制。
有线无线深度融合的客户价值如下。
提升转发容量
传统网络中交换机不具备CAPWAP报文的解析能力,因此需要旁挂AC设备(或选用一块AC板卡),无线业务流量进入交换机后需要单臂迂回至AC设备,这样繁琐的转发路径带来了不必要的时延,而且受困于AC设备转发性能的制约,使得无线业务流量整体转发容量受限。
有线无线融合技术可以在框式设备的一块板卡上处理CAPWAP封装报文,解封装后无线报文可以与有线报文一样转发,转发路径简单,使得转发容量不再是瓶颈。
用户策略和管理统一
传统网络中有线用户的策略控制点在交换机上,而无线用户策略控制点在AC上,有线无线用户策略控制点和管理点分散,不利于网络的管理和维护。
有线无线融合技术可以统一有线和无线用户的管理点,将控制和管理点统一在融合设备上。
高可靠性
传统独立AC方案中1+1备份方案,需要为两台AC额外准备通道以完成设备间数据同步。
两AC之间通常使用VRRP/BFD等技术进行同步和保活,由于是不同设备间的软件同步,因此实时性和可靠性都不高。
有线无线融合技术可以借助于交换机已有的可靠性技术,框式交换机则可使用CSS/CSS2+LAG技术,做到设备级和链路级冗余备份。
整机由主控板集中控制AC数据,所有的ENP板共享AC数据,自动完成数据实时同步,而ENP板间不需要用软件协议建立额外的通道同步AC数据,所以实时性和可靠性更高。
扩容灵活
已运行的旧网络原来只有有线业务,随着业务发展需要增加无线业务,如果使用是华为S7700和S12700交换机,几乎不需要物理网络做大的调整和变动,只要有ENP板卡就可以实现有线无线融合的部署。
ENP板卡部署WLAN业务灵活,无线可以直接从ENP板卡接入,也可以从ASIC板卡接入,在同一台交换机上可以选择一种方式部署,也可以两种方式共存。
当无线用户数量比较多、业务流量比较大,可以选择随板AC方式,随着用户数量增加,可以扩容
ENP板卡。
漫游速度快
携带ENP板卡的交换机作为AC,整机(包括CSS/CSS2集群)就是一个AC,不同ENP板卡下挂的AP都是由主控板统一管理和控制的。
无线用户在不同ENP板卡下的AP漫游,实际是AP之间的漫游,对不同AP来说实际都受同一个AC管理,用户在不同ENP板接入的表项由主控板同步刷新。
相对于跨独立盒式AC或跨独立AC插卡的漫游,无需板间建立隧道,相同控制面,转发路径短,漫游速度快。
融合管理界面
传统网络中无论是选用独立AC设备,还是框式AC插卡,AC的管理面都是与交换机分离的。
有线无线融合技术不再需要独立AC或AC插卡,而是使用一台敏捷交换机完成融合技术,无线单元在网管设备上可以显示为敏捷交换机的板卡,管理界面统一。
2方案原理
2.1实现原理
华为的ENP芯片支持商用ASIC的基本有线网络报文识别、处理和转发能力,以及多核CPU的可编程能力,两者功能的结合完美的解决了有线无线设备融合的诉求,不仅可以处理传统的有线报文,而且通过编程可以实现对CAPWAP的识别和处理能力,而且一块ENP的单引擎硬件架构简单。
ENP板卡有线无线融合分为两种接入方式,有线业务识别及处理流程同传统交换机一样。
第一种接入方式是直接从ENP板卡接入有线无线业务,ENP板卡能够识别WLAN无线控制报文,会上送主控板处理,实现AC管理AP的功能,整机就是一个AC,不同ENP板卡下的AP都在主控板集中管理。
主控板会下发ENP板接入AP的CAPWAP加解封装表项,在ENP板上识别WLAN数据报文及完成报文转发处理。
随板AC(无线直接从ENP板卡接入)控制和转发流程如图2-1所示。
图2-1随板AC(无线直接从ENP板卡接入)控制和转发流程
第二种接入方式是随板AC技术的延伸,满足ENP和ASIC板卡混插的场景。
在部署此场景之前,需要配置wlanwork-group,work-group组中绑定若干ASIC板卡和主备ENP板卡,ASIC板卡做用户接入,主ENP板卡默认为Active状态,无线业务需要重定向到ActiveENP板卡上处理。
当ActiveENP发生故障时,备用ENP会变成Active状态,无线业务会自动切换到备用ENP上处理,保证业务不中断。
第二种接入方式相对于第一种接入方式主要区别是先要把无线业务流重定向到ENP板上处理,在
ENP上的无线数据报文处理流程及AC管理AP控制流程两者类似。
随板AC(无线直接从ASIC板卡接入)控制和转发流程如图2-2所示。
图2-2随板AC(无线直接从ASIC板卡接入)控制和转发流程
AP连接方案
如图2-3所示,园区网络有线无线深度融合解决方案中,AP根据上行连接不同分为如下四种:
图2-3AP连接方案
AP连接方案有四种:
lAP上行直接接入敏捷交换机ENP单板:
无线流量直接接入到ENP单板。
−无线流量集中转发情况下,ENP单板对无线数据流量进行CAPWAP隧道封装和解封装处理。
−无线流量本地转发情况下,无线数据流量不经过CAPWAP封装。
lAP上行直接接入敏捷交换机ASIC单板:
无线流量直接接入到ASIC单板。
由于ASIC单板没有无线CAPWAP隧道处理能力,需要重定向到ENP单板进行处理。
lAP上行通过传统接入/汇聚交换机接入到敏捷交换机ENP单板:
−无线流量集中转发情况下,无线数据流量封装在CAPWAP隧道中,经过传统接入/汇聚交换机透传到敏捷交换机,敏捷交换机ENP单板对无线数据流量进行CAPWAP隧道封装和解封装处理。
−无线流量本地转发情况下,无线数据流量不经过CAPWAP封装。
lAP上行通过传统接入/汇聚交换机接入到敏捷交换机ASIC单板:
无线流量通过传统接入/汇聚交换机接入到ASIC单板。
由于ASIC单板没有无线CAPWAP隧道处理能力,需要重定向到ENP单板进行处理。
无线流量在ENP单板处理
针对上述AP连接方案①和③,无线流量集中转发模式下,AP直接接入敏捷交换机ENP或者通过传统交换机接入敏捷交换机ENP单板时,由于敏捷交换机ENP单板具备CAPWAP隧道处理能力,当无线流量通过集中转发到达ENP单板后,ENP支持对无线流量进行封装解封装处理,实现无线
流量转发。
无线流量在ASIC单板处理
如图2-4所示,AP从ASIC单板接入或通过传统交换机接入到ASIC单板时,由于ASIC没有无线CAPWAP隧道处理能力,在这种情况下,通过配置LPUWORKGROUP,将ASIC单板和ENP单板绑定在一个工作组内,这样无线流量从ASIC单板接入上来后,敏捷交换机自动将无线流量数据报文重定向到具有无线CAPWAP隧道处理能力的ENP单板处理。
图2-4无线流量从ASIC单板接入处理流程
实现原理如下,配置LPUWORKGROUP(最多可配4个):
1.一个GROUP中包含若干块ASIC单板、一块MASTERENP单板、一块SLAVEENP单板,仅有一块ENP处于ACTIVE状态。
2.两块ENP单板工作在热备模式,MASTER和SLAVEENP上,用户表项、CAPWAP封装表、解封装表、VAP查找表同步下发。
3.同一GROUP中的ASIC单板接入的CAPWAP流量,由ASIC单板下发重定向规则到MASTERENP处理。
4.MASTER异常时,切换ASIC单板上的重定向规则,将报文引到SLAVEENP。
5.MASTER异常重启恢复后,不回切到MASTER设备,直到SLAVE异常。
LPUWORKGROUP的配置限制如下:
l一块ASIC单板只能属于一个GROUP。
l一块ENP单板只能在一个GROUP组中做MASTER角色。
l一块ENP单板只能属于一个GROUP。
l一个组中MASTER和SLAVEENP槽位号不能相同。
无线流量集中转发模式下从ASIC接入转发流程
无线流量在集中转发模式下,从ASIC单板接入时,在敏捷交换机的转发流程如图2-5所示:
图2-5无线流量集中转发模式下从ASIC接入转发流程
1.当无线流量从ASIC接入时,CAPWAP协议报文或者CAPWAP数据报文在ASIC单板上重定向到该ASIC对应的MASTERENP,匹配条件包括:
AC的IP地址,IP类型,UDP端口号5246或者5247,STP状态等。
2.ENP单板根据报文里面携带的特殊信息判断走ASIC接入AP的无线流程。
3.ENP单板识别CAPWAP数据隧道、对无线CAPWAP报文进行解封装处理等。
4.解封装后的报文,在交换机上查找转发表项,分发到下行ENP单板进行处理。
5.在下行ENP单板,对报文进行CAPWAP隧道封装。
6.加封装后的完整报文重新查找FIB,获取出端口ASIC单板,然后将报文送到ASIC单板。
在下行ASIC单板上,进行正常的下行出端口业务,最后送出设备。
2.2有线无线用户在敏捷交换机集中统一认证
如图2-6所示,敏捷交换机(内置随板AC)作为园区网用户网关和有线无线统一认证点。
●无线用户在敏捷交换机集中认证:
−集中转发场景下,802.1X、Portal认证报文作为数据流量,通过CAPWAP数据隧道上送敏捷交换机。
−本地转发场景下,可通过配置使802.1X、Portal认证报文进入CAPWAP控制隧道,从而上送到敏捷交换机,完成认证过程。
●有线用户在敏捷交换机认证:
−
敏捷交换机启用802.1X、Portal认证,支持有线用户在其上完成认证流程。
图2-6有线无线用户统一认证
2.3无线用户在敏捷交换机控制下实现漫游切换
敏捷交换机,内置随板AC,控制无线用户从一个AP的覆盖范围移动到另一个AP的覆盖范围,用户无需重新登录和认证。
终端与AP1已经建立关联信息,切换到AP2流程如下:
1.客户端在各种信道中发送802.11请求帧。
AP2在信道6(AP2使用的信道)中收到请求后,通过在信道6中发送应答来进行响应。
客户端收到应答后,对其进行评估,确定同哪个AP关联最合适。
2.如图中的标号①所示,删除用户与AP1现有的关联。
客户端通过信道1向AP1发送802.11解除
关联信息,解除用户与AP1间的关联。
3.如图中的标号②所示,客户端通过信道6向AP2发送关联请求,AP2使用关联响应做出应答,建立用户与AP2间的关联。
漫游注意事项:
●漫游切换需要保证SSID相同,即两台AP切换区域需要配置相同的SSID。
●漫游切换AP必须是同一敏捷交换机下管理。
3典型组网应用
3.1无线AP从ENP板卡接入
随板AC的典型场景有如下四种常见组网。
有线无线业务直接接入ENP单板。
3.1.1中小型二层组网部署
在中小型企业中,典型场景是两层组网部署,如图3-1所示,分为核心和接入两层。
图3-1中小企业组网部署
有线无线融合管理点部署
在核心层部署携带ENP板卡的框式交换机,作为有线无线融合管理点,有线无线业务直接接入
ENP板卡。
可靠性部署
核心层设备使用CSS/CSS2集群以提高设备间备份。
用户认证部署
l无线用户使用802.1x认证,认证点部署在核心层融合管理点上。
l有线用户如果对接入安全要求较高则部署802.1x认证,如果要求不高建议使用Portal认证,认证点也部署在核心层融合管理点上。
转发模型部署
l无线流量隧道方式集中转发,便于对无线流量的集中控制。
l有线流量本地转发,部署方便快捷。
3.1.2大型二层组网部署
相较于汇聚与核心设备合一的两层组网,三层结构的“大二层”组网一般应用在接入用户较多,规模较大的园区中,最为典型的是国内高校。
组网部署如图3-2所示。
图3-2大型企业组网部署
有线无线融合管理点部署
在核心层部署携带ENP板卡的框式交换机,作为有线无线融合管理点,有线无线业务直接接入
ENP板卡。
可靠性部署
核心层设备使用CSS/CSS2集群以提高设备间备份。
用户认证部署
l无线用户使用802.1x认证,认证点部署在核心层融合管理点上。
l有线用户可以使用PPPoE认证,PPPoE可以将有线用户的业务通过隧道方式集中在认证点转发,而认证点以下用户业务隔离,认证点部署在核心层融合管理点上。
转发模型部署
l无线流量隧道方式集中转发,便于对无线流量的集中控制。
l有线如果使用PPPoE认证则流量逻辑上集中转发;其他认证方式流量本地转发,部署方便快捷。
3.1.3三层组网之核心点融合
如果用户的网络汇聚层设备是利旧,不具备有线无线融合管理的能力,那么可以考虑将融合管理点放在网络核心层。
图3-3L3组网之核心点融合部署
有线无线融合管理点部署
在核心层部署携带ENP板卡的框式交换机,作为全网有线无线融合管理点,有线无线业务直接接入ENP板卡。
可靠性部署
核心层设备使用CSS/CSS2集群以提高设备间备份。
用户认证部署
有线无线用户都使用Portal认证,认证点部署在核心层融合管理点上。
转发模型部署
●安全红区:
−无线用户流量通过隧道方式送至核心层集中转发,便于对无线流量的集中控制。
−有线用户本地转发,部署方便快捷。
●安全黄区
有线和无线用户流量都本地转发,部署方便快捷。
●访客区
−无线用户流量通过隧道方式送至核心层集中转发。
−有线用户流量在接入层通过端口隔离送至汇聚层,再从汇聚层到核心层融合管理点之间建立GRE隧道,将有线用户流量送到核心层集中转发。
−有线无线业务流量在融合管理点与出口路由器之间建立GRE隧道,将流量直送出口路由器,由出口路由器限制只能访问Internet。
3.2无线AP从ASIC板卡接入
因为下挂的有线无线业务对于直接接入ENP板卡或直接接入ASIC板是不感知的,所以无线AP从ENP接入应用场景同样适用于无线AP从ASIC接入场景,就不再重复介绍。
下面基于混插ENP和ASIC板卡特点来介绍应用场景。
3.2.1无线业务接入点多而分散
在大的园区网中,接入交换机比较分散,S12700/S9700/S7700核心交换机下挂的汇聚和接入交换机特别多,各接入点基本都需要部署AP,但每个接入点无线用户数量不大,为了节省客户投资,可以选择ASIC板和ENP板卡混插的组网方案,无线业务从ASIC板接入,配备少量的ENP板卡集中处理无线业务,随着后续无线业务的逐步增加扩容ENP板卡。
图3-4接入点多而分散融合部署
有线无线融合管理点部署
在核心层部署携带ENP板卡的框式交换机,作为有线无线融合管理点,有线无线业务从核心交换机ASIC板卡接入。
可靠性部署
l核心层设备使用CSS/CSS2集群以提高设备间备份。
l核心设备两个框上分别选取一块ASIC板卡,两块ASIC板卡上的端口做LAG后与接入交换机相连,这两个ASIC板卡要属于同一个wlanwork-group,由work-group中配置的主备ENP板卡对无线业务做热备。
用户认证部署
l无线用户使用802.1x认证,认证点部署在核心层融合管理点上。
l有线用户如果对接入安全要求较高则部署802.1x认证,如果要求不高建议使用Portal认证,认证点也部署在核心层融合管理点上。
转发模型部署
l无线流量隧道方式集中转发,便于对无线流量的集中控制。
l有线流量本地转发,部署方便快捷。
3.2.2旧有线网络增加无线业务
原来旧网络只承载了有线业务,下挂汇聚和接入交换机本来就从ASIC板接入,随着业务发展需要增加无线业务部署,可以选择随板AC混插ENP和ASIC板卡,不需要调整原来S12700/S9700/S7700和下面交换机连接的端口,直接增加ENP板卡,就能完成无线业务的部署
图3-5旧有线网络增加无线融合部署
A缩略语
A
AC
AccessController
无线接入控制器
AP
AccessPoint
无线接入点
ASIC
ApplicationSpecificIntegratedCircuit
为专门目的而设计的集成电路
C
CAPWAP
CAPWAP
CAPWAP
E
ENP
EthernetNetworkProcessor
以太网络处理器
P
PPPoE
PointtoPointProtocoloverEthernet
基于以太网的点对点协议
W
WLAN
WirelessLocalAreaNetwork
无线局域网
MPLS
Multi-ProtocolLabelSwitching
多协议标签交换
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 智简园区 有线 无线 深度 融合 技术 白皮书