大型WLAN组网部署

1.WLAN网络解决方案
 WLAN配合SDN控制器使用，由SDN控制器统一管理和配置，能够实现业务发放自动化、网络全生命周期管理，结合大数据和AI技术可实现园区网络的智能、极简和安全。园区网络更具备有线与无线的深度融合能力
 


2.大型WLAN网络关键技术
 VLAN Pool 通过VLAN Pool把接入的用户分配到不同的VLAN，可以减少广播域，减少网络中的广播报文，提升网络性能。
 DHCP Option 43 & 52 当AC和AP间是三层组网时，AP通过发送广播请求报文的方式无法发现AC，这时需要通过DHCP服务器回应给AP的报文中携带的Option43字段（IPv4）或Option52（IPv6）来通告AC的IP地址。
 漫游技术 WLAN漫游是指STA在不同AP覆盖范围之间移动且保持用户业务不中断的行为。
 高可靠性技术 为了保证WLAN业务的稳定运行，保证在主设备故障时业务能够顺利切换到备份设备的技术。
 准入控制 准入控制技术是通过对接入网络的客户端和用户的认证来保证网络的安全，是一种“端到端”的安全技术。

3.VLAN Pool 概念
 1.VLAN Pool是一种把多个VLAN放在一个池中并提供分配算法的VLAN分配技术，又称为VLAN池
 

 2.VLAN Pool分配VLAN的算法
 A.顺序分配算法：把用户按上线顺序依次划分到不同的VLAN中。
 BHASH分配算法：根据用户MAC地址HASH值分配VLAN
 3.VLAN Pool提供多个VLAN的管理和分配算法，实现SSID对应多个VLAN的方案，把大量用户分散到不同的VLAN中，以减少广播域
 4.配置
 创建VLAN Pool并进入VLAN Pool视图。
 [AC] vlan pool pool-name
 将指定VLAN添加到VLAN Pool中
 [AC-vlan-pool-pool-name] vlan { start-vlan [ to end-vlan ] } &<1-10>
 配置VLAN Pool中的VLAN分配算法
 [AC-vlan-pool-pool-name] assignment { even | hash }
 配置VAP的业务VLAN。
 [AC] wlan
 [AC-wlan-view] vap-profile name profile-name
 [AC-wlan-vap-prof-profile-name] service-vlan vlan-pool pool-name
 5.配置案例

4.WLAN三层组网AC发现机制
 WLAN三层组网场景，配置DHCP Option 43后，在AP获取IP地址阶段，同时获取了AC的IP地址，直接通过单播与AC建立联系。
 


5.WLAN漫游概述
 WLAN漫游是指STA在不同AP覆盖范围之间移动且保持用户业务不中断的行为。
 实现WLAN漫游的两个AP必须使用相同的SSID和安全模板（安全模板名称可以不同，但是安全模板下的配置必须相同），认证模板的认证方式和认证参数也要配置相同。
 WLAN漫游策略主要解决以下问题：
 避免漫游过程中的认证时间过长导致丢包甚至业务中断。
 保证用户授权信息不变。
 保证用户IP地址不变。
 1.WLAN漫游的相关术语
 2.WLAN漫游类型
 二层漫游
 三层漫游
 二层漫游直接转发
 二层漫游隧道转发 由于二层漫游后STA仍然在原来的子网中，所以FAP/FAC对二层漫游用户的流量转发和平台新上线的用户没有区别，直接在FAP/FAC本地的网络转发，不需要通过隧道转发回家乡代理中转。
 三层漫游直接转发 HAP和HAC之间的业务报文不通过CAPWAP隧道封装，无法判定HAP和HAC是否在同一个子网内，此时设备默认报文需返回到HAP进行中转。
 三层漫游隧道转发 HAP和HAC之间的业务报文通过CAPWAP隧道封装，此时可以将HAP和HAC看作在同一个子网内，所以报文无需返回HAP，可直接通过HAC中转到上层网络。
 A.AC间二层漫游 - 直接转发
 漫游前：
 STA发送业务报文给HAP。
 HAP接收到业务报文后经由网关（交换机）发送给上层网络。
 漫游后：
 STA发送业务报文给FAP。
 FAP接收到业务报文后经由网关（交换机）发送给上层网络
 

 B.AC间三层漫游 - 隧道转发
 漫游前：
 STA发送业务报文给HAP。
 HAP接收到业务报文后通过CAPWAP隧道发送给HAC。
 HAC直接将业务报文经过交换机发送给上层网络。
 漫游后：
 STA发送业务报文给FAP。
 FAP接收到业务报文后通过CAPWAP隧道发送给FAC 。
 FAC通过HAC和FAC之间的AC间隧道将业务报文转发给HAC。
 HAC直接将业务报文经由交换机发送给上层网络
 

 C.AC间三层漫游 - 直接转发（HAP为家乡代理）
 漫游前：
 STA发送业务报文给HAP。
 HAP接收到业务报文后直接将业务报文经过交换机发送给上层网络。
 漫游后：
 STA发送业务报文给FAP。
 FAP接收到STA发送的业务报文并通过CAPWAP隧道发送给FAC。
 FAC通过HAC和FAC之间的AC间隧道将业务报文转发给HAC。
 HAC通过CAPWAP隧道将业务报文发送给HAP。
 HAP直接将业务报文发送给上层网络
 

 D.AC间三层漫游 - 直接转发（HAC为家乡代理）
 漫游前：
 STA发送业务报文给HAP。
 HAP接收到业务报文后直接将业务报文经过交换机发送给上层网络。
 漫游后：
 STA发送业务报文给FAP。
 FAP接收到STA发送的业务报文并通过CAPWAP隧道发送给FAC。
 FAC通过HAC和FAC之间的AC间隧道将业务报文转发给HAC。
 HAC通过CAPWAP隧道将业务报文发送给HAP。
 HAP直接将业务报文发送给上层网络。
 

 E.配置案例
 配置AC1和AC2的WLAN漫游功能：
 [AC1-wlan-view] mobility-group name mobility
 [AC1-mc-mg-mobility] member ip-address 10.1.201.100
 [AC1-mc-mg-mobility] member ip-address 10.1.201.200
 [AC1-mc-mg-mobility] quit
 [AC2-wlan-view] mobility-group name mobility
 [AC2-mc-mg-mobility] member ip-address 10.1.201.100
 [AC2-mc-mg-mobility] member ip-address 10.1.201.200
 [AC2-mc-mg-mobility] quit
 


6.高可靠性技术
 1.AC高可靠性概述
 在WLAN组网中，为保证组网可靠性，常见的备份技术有：
 VRRP双机热备份（主备）
 双链路冷备份
 双链路热备份（主备&负载分担）
 N+1备份
 为了保证WLAN业务的稳定运行，热备份（Hot-Standby Backup）机制可以保证在主设备故障时业务能够不中断的顺利切换到备份设备。
 2.VRRP双机热备
 两台AC组成一个VRRP组，主、备AC对AP始终显示为同一个虚拟IP地址，主AC通过Hot Standby（HSB）主备通道同步业务信息到备AC上
 3.HSB（Hot Standby，热备份）是华为主备公共机制
 主备服务（HSB service）：建立和维护主备通道，为各个主备业务模块提供通道通断事件和报文发送/接收接口。
 主备备份组（HSB group）：HSB备份组内部绑定HSB service，为各个主备业务模块提供数据备份通道。HSB备份组与一个VRRP实例绑定，借用VRRP机制协商出主备实例。同时，HSB备份组还负责通知各个业务模块处理批量备份、实时备份、主备切换等事件
 HSB主备服务负责在两个互为备份的设备间建立主备备份通道，维护主备通道的链路状态，为其他业务提供报文的收发服务，并在备份链路发生故障时通知主备业务备份组进行相应的处理。
 HSB主备服务主要包括两个方面：
 建立主备备份通道
 维护主备通道的链路状态
 基于VRRP双机热备备份信息包括用户表项、CAPWAP链路信息以及AP表项等信息，备份的方式有实时备份，批量备份，定时备份。
 A.VRRP双机热备配置流程
  创建VRRP备份组并配置虚拟IP地址。
  创建HSB主备服务，建立HSB主备备份通道的IP地址和端口号。
  创建HSB备份组，配置HSB备份组绑定HSB主备服务、VRRP备份组、WLAN业务以及DHCP。
  使能HSB备份组，HSB备份组使能后，对HSB备份组的相关配置才会生效。
  检查VRRP热备份配置结果。
 

 B.双链路双机热备
  双链路双机热备场景下，业务直接绑定HSB备份服务，这样HSB对业务仅提供备份数据收发的功能，用户的主备状态由双链路机制进行维护。
  AP同时与主备AC之间分别建立CAPWAP隧道，AC间的业务信息通过HSB主备通道同步。
  当AP和主AC间链路断开，AP会通知备AC切换成主AC。
  1.主备协商&建立主链路:AP与AC建立主链路，在Discovery阶段要优选出主AC
  2.建立备链路:AP与AC建立备链路，为了避免业务配置重复下发导致错误，在AP和 主AC建立主隧道并且配置下发完成后，才启动备CAPWAP链路的建立。
 

 C.AC可靠性：N+1
 N+1备份是指在AC+FIT AP的网络架构中，使用一台AC作为备AC，为多台主AC提供备份服务的一种解决方案。
 网络正常情况下，AP只与各自所属的主AC建立CAPWAP链路。
 当主AC故障或主AC与AP间CAPWAP链路故障时，备AC替代主AC来管理AP，备AC与AP间建立CAPWAP链路，为AP提供业务服务。
 支持主备倒换，支持主备回切
 


7.准入控制技术
 1.NAC（Network Admission Control）
 称为网络接入控制，通过对接入网络的客户端和用户的认证保证网络的安全，是一种“端到端”的安全技术
 用于用户和接入设备之间的交互。
 NAC负责控制用户的接入方式（802.1X，MAC或Portal认证），接入过程中的各类参数和定时器。
 确保合法用户和接入设备建立安全稳定的连接
 2.RADIUS
 AAA可以通过多种协议来实现，在实际应用中，最常使用RADIUS协议。
 RADIUS是一种分布式的、客户端/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。
 该协议定义了基于UDP（User Datagram Protocol）的RADIUS报文格式及其传输机制，并规定UDP端口1812、1813分别作为默认的认证、计费端口
 

 3.802.1X认证
 802.1X是IEEE制定的关于用户接入网络的认证标准，主要解决以太网内认证和安全方面的问题。
 802.1X认证系统为典型的Client/Server结构，包括3个实体：请求方、认证方和认证服务器。
 认证服务器通常是RADIUS服务器，用于对申请者进行认证、授权和计费。
 对于大中型企业的员工，推荐使用802.1X认证。
 4.MAC认证
 MAC认证是一种基于MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。
 接入设备在启动了MAC认证的接口上首次检测到用户的MAC地址后，即启动对该用户的认证操作。
 认证过程中，不需要用户手动输入用户名或者密码。
 MAC认证常用于哑终端（如打印机）的接入认证，或者结合认证服务器完成MAC优先的Portal认证，用户首次认证通过后，一定时间内免认证再次接入
 5.Portal认证
 Portal认证通常也称为Web认证，将浏览器作为认证客户端，不需要安装单独的认证客户端。
 用户上网时，必须在Portal页面进行认证，只有认证通过后才可以使用网络资源，同时服务提供商可以在Portal页面上开展业务拓展，如展示商家广告等。
 对于大中型企业的访客、商业会展和公共场所，推荐使用Portal认证。
 常用的Portal认证方式如下：
 用户名和密码方式：由前台管理员给访客申请一个临时账号，访客使用临时账号认证。
 短信认证：访客通过手机验证码方式认证。