關于城域網內WLAN網絡部署方案的探討

劉曲

【關鍵詞】WLAN MPLS-VPN DHCP-RELAY AC AP

【中圖分類號】TN92 【文獻標識碼】A 【文章編號】1672-5158（2013）04-0126-01

今年以來隨著國家寬帶普及提速工程的實施，WLAN網絡建設進入了快速布網期，本論文通過探討WLAN部署的特點，結合當前城域網實際情況，提出了AC/AP網絡部署的方案，并通過實踐檢驗，切實提升了WLAN網絡的整體質量，滿足了市場大規模發展的需求。

一、城域網現狀及WLAN部署方案探討

目前，城域網大多采用雙心形網絡結構，各個匯聚節點部署BAS/匯聚交換機實現用戶業務的匯聚接入，域內運行OSPF、MBGP等動態路由協議。為了在現有的城域網上安全、高效、可控的接入WLAN網絡，我們首先需要對WLAN網絡的各種組網模式進行探討。

（一）WLAN技術簡介

無線局域網WLAN（wireless local area network）是計算機網絡與無線通信技術相結合的產物。它以無線多址信道作為傳輸媒介，利用電磁波完成數據交互，實現傳統有線局域網的功能。

（二）WLAN技術模型探討

1、胖AP組網模型

胖AP的組網方式，每個AP都是一個單獨的節點，獨立配置其信道和功率；安裝簡便。但是，每個AP獨立工作，較難擴展到大型、連續、協調的無線局域網和增加高級應用。

2、瘦AP組網模型

瘦AP組網方式，通過AC對AP群組進行自動信道分配和選擇，及自動調整發射功率，降低AP之間的互干擾，提高網絡動態覆蓋特性；解決了網管系統受限于AP處理能力和性能的問題。

鑒于瘦AP組網的優點，在大規模布網時建議采用瘦AP模型。

3、AP管理通道

AP管理通道是指AP與AC CAPWAP管理協議通信的管理通道，AC管理AP可采用二層方式，也可采用三層方式。

（1）二層方式：

AP和AC在同一個管理VLAN，也在同一個網段中，AP通過DHCP從AC地址池中獲取IP，AP的網關為AC。

（2）三層方式：

此時AP與AC不在一個網段，跨三層通信，但AP的IP地址仍從AC的地址池中分配，AP的網關為BAS。

具體要根據AC部署的方式和數量，來調整AP的接入方案。

4、業務通道

（1）本地轉發：

與傳統的電信BAS業務相同，由AP對業務信息打VLAN標簽，業務數據經過交換機透傳直至BAS，中間無需經過AC處理和轉發。

（2）集中轉發：

集中轉發的時候，AP與AC之間建立CAPWAP數據隧道。用戶的所有報文都通過隧道進行封裝，AP與AC負責完成隧道的封裝與解封裝。用戶的報文不會被AP與AC之間的網絡感知或修改。

對于運營商網絡而言，顯然更加適合采用本地轉發方式。

（三）WLAN認證方式

WLAN主要用于公眾網/校園網的無線覆蓋，二層web認證為常見方式。STA先打開無線網卡功能，選擇SSID關聯到AP后，通過DHCP從BAS獲得IP地址（此時無法上網），打開Ⅲ后，輸入任何網址均被重定向至portal頁面，用戶在認證窗口輸入用戶名/密碼，認證通過后進行上網。

二、WLAN網絡部署的思路與方法

依據目前主流城域網的實際情況，考慮到投資的規模，我們制定了WLAN網絡在城域網內部署的基本思路：采用瘦AP模式組網；采用三層通道、DHCPrelay技術實現AP的管理，在兩個核心局點部署AC并實現熱備；采用本地轉發方式進行業務數據的轉發；采用DHCP方式進行認證。

通過這樣的組網方案，基本實現了搭建安全、高效、可控的WLAN網絡的目標，以下為詳細的建設方案及業務實現模式：

1、AC/AP管理網絡的部署及安全考量

考慮到前期投資有限，以及同時要滿足市級各區域AP統一管理的需要，我們在全市城域網的兩個核心節點各安裝一臺中興W908-A10000設備，形成互為熱備的模式。

（1）AC設備部署與AC側安全考慮：

①在兩個樞紐局各架設一臺中興AC設備，插入業務板卡7塊，按照編號順序形成7組服務器群，每組服務器提供唯一IP地址對外服務，可管理1000臺AP設備。

②在兩個樞紐局各架設一臺心跳交換機，通過不同的VLAN形成不同板卡之間心跳線路，然后通過VRRP技術實現兩個局點的一組板卡通過虛擬IP對外提供服務，從而達到熱備目的。

（2）BAS側的部署及安全考慮：

①為實現BAS側的安全保護，需要在BAS一1設備間建立VRRP熱備關系，BAS一1之間的VRRP心跳線路通過兩個局點間的BAS-2采用VPLS技術實現，這保證了心跳線路的安全性。

②相關配置如下（以愛立信SEl200設備為例）：

生成網管專用context

context tawlannms vpn-rd 65030：25030

與AC互聯端口在BAS間啟用VRRP實現BAS側熱備

interface zte-ac-vrrp-02-758

ip address 10.222.222.185/29

vrrp 2 owner

virtual-address 10.222.222.185

建立MPLSVPN實現不同BAS私有IP路由互通

routerbgpvpn

address-family ipv4 unicast

export route-target 25030：1

import route-target 25030：1

redistribute connected

創建DHCP組

dhcp relay server 10.222.222.188

server-group zteac02

（3）AP部署及安全考慮：

①AP作為末端接入設備主要通過PON網絡進行接入，通過管理VLAN透傳至BAS設備進行管理，一般情況下以一個c為單位。

②在BAS的tawlannms-context內配置到AP管理的相關配置，主要是設置動態地址池與管理VLAN的關系，并且指定DHCPserver。

③在AP管理網絡組建中，由AC作為DHCP服務器，動態分配AP的管理IP，AP的網關終結在BAS上，在BAS上啟用DHCPRELAY功能，用來轉發相關DHCP數據報文。

2、WLAN業務數據流的轉發模式及安全考慮

在完成以上WLAN管理網絡部署的基礎之上，下一步要考慮AP接入業務的終結和轉發方式，考慮到利用現有城域網實現用戶終結，我們采用BAS設備啟用DHCP+WEBPORTAL的方式進行用戶接入，為減低AC壓力，業務采用本地轉發方式，具體部署如下：

（1）AP末梢的接入

AP設備大多部署在高校、寫字樓等公共區域，一般較為分散，采用PON技術可以較為有效的與原有的固網寬帶相互結合，從而實現大面積的快速布網。同時由于PON網絡已經納入了有效管理，這也為AP的建設及后期維護提供了有力的支撐。

（2）WLAN業務的終結

WLAN業務全部采用VLAN透傳方式，將用戶數據透傳至BAS設備，采用本地轉發模式，BAS上設置WLAN專用context用來接入用戶，完成用戶的認證授權功能。

三、總結

綜上所述，為配合WLAN網絡覆蓋，建立高度可控的管理網絡，在城域網中，我們充分利用了MPLS-VPN、DHCP-relay等技術實現了AC/AP骨干層面的熱備，確保了網絡的安全性，從而為WLAN業務的發展提供了可靠保障。