WLAN设计
网络架构设计
大中型园区网络中,WLAN一般采用WAC+Fit AP架构,AP运行Fit AP模式,由WAC集中管理。如图2-34所示,集中式网关方案推荐采用Border作为随板WAC;如果是园区网络改造场景,需要利旧独立WAC设备,此时建议旁挂Border节点。
WAC与AP间的控制报文通过CAPWAP隧道转发;对于无线用户的业务报文,AP向有线侧进行转发的方式主要包括隧道转发(又称为“集中转发”)方式和直接转发(又称为“本地转发”)方式。
隧道转发方式
隧道转发方式是指无线用户的业务报文到达AP后,需要经过CAPWAP隧道封装后发送给WAC,然后由WAC再转发到其他网络。在集中式网关方案中,如果无线用户业务报文采用隧道转发方式,其流量转发模型如图2-35所示。
隧道转发方式的优点是WAC与AP间链路上的交换机不需要再放通业务VLAN,进行端口加入VLAN的配置,便于集中控制和管理。缺点就是无线用户业务流量都集中在WAC进行转发,WAC的压力比较大。
直接转发方式
直接转发方式是指用户的业务报文到达AP后,不经过CAPWAP隧道封装而直接转发到其他网络。在集中式网关方案中,如果无线用户业务报文采用直接转发方式,其流量转发模型如图2-36所示。
直接转发方式的优点是本地无线用户的东西向业务流量不需要经过WAC,可以直接通过本地接入交换机进行转发。缺点就是WAC与AP间链路上的交换机需要放通业务VLAN,进行端口加入VLAN的配置,不便于集中控制和管理。
表2-17针对隧道转发模式和直接转发模式做了比较,在大中型园区网络虚拟化方案中,无论网关方案如何选择,都建议采用隧道转发模式,提供流量的集中管理与控制。本章节的后续无线网络规划都是基于隧道转发方式进行设计。
AP上线设计
在WAC+Fit AP的无线网络架构中,AP的上线过程主要包括:首先,配置WAC为DHCP服务器,AP通过DHCP方式自动获取管理IP地址,打通WAC与AP间的管理通道。然后,在WAC上关联AP,并配置CAPWAP源接口,配置完成后,如果有AP接入网络,在WAC上通过检测MAC地址或者ESN等信息发现合法,WAC与AP间即可建立CAPWAP隧道,AP将成功上线。
AP获取管理IP地址规划
在WAC+Fit AP的无线网络架构中,为了提高部署效率,AP一般采用DHCP方式,通过配置DHCP服务器,使AP作为DHCP客户端向DHCP服务器请求管理IP地址。在集中式网关方案中,Border设备会同时作为有线、无线管理子网的DHCP服务器,向接入交换机、汇聚交换机、AP自动分配管理IP地址;AP首次即插即用上线,以及管理VLAN的切换,都是与交换机统一规划,详细内容可参考开局设计。
WAC关联AP规划
WAC关联AP主要是为了保证接入的AP合法,如果接入网络的AP信息与WAC上关联的AP信息不匹配,即不允许其上线。在大中型园区虚拟化集中式网关场景中,WAC关联AP需要在iMaster NCE-Campus上完成:
- 首先,园区站点在添加设备时录入AP的ESN。由于大中型园区网络的AP数量较多,推荐采用“网络规划导入”的方式,在导入物理规划链路的同时,添加AP的ESN。
- AP的ESN录入完成后,在iMaster NCE-Campus的“网络配置”页签的“管理Fit AP”选项中,即可看到WAC能够关联的AP。在“WAC”列表选中核心设备所在行,然后单击右下角“添加”,就能够将AP纳入核心设备管理。
CAPWAP源接口规划
对于采用WAC+Fit AP架构的大中型园区虚拟化场景,AP的无线业务配置主要通过WAC的Web网管或者命令行方式进行集中配置,其中,包括用于WAC与AP建立CAPWAP隧道的CAPWAP源接口配置。
AP组设计
AP组用来实现对批量AP的配置管理,通过使AP继承其所属组的配置来实现对大量AP的配置。
在划分AP组时可以参考如下几个原则:
- 按照物理位置划分,例如同一楼层的AP划分到同一个AP组,该方式为首选方式。
- 按照设备型号划分。
- 按照IP/MAC地址划分。
- 按照序列号划分。
SSID和业务VLAN设计
SSID规划
一般按照不同的用户角色或者不同的业务类型规划SSID。例如大型商业场景可针对三种不同的无线业务,规划3个SSID,如图2-37所示。Employee用于员工的无线办公接入;Guest用于访客的Internet上网;Dumb用于打印机等哑终端接入。对于非面向终端用户的SSID,例如用于打印机接入的SSID,可设置为隐藏SSID的方式,以避免被普通用户搜索到。
无线业务VLAN规划
AP在接收到无线用户的业务数据,向有线侧进行转发时,就需要规划无线业务VLAN,用于在有线侧区分不同的无线业务类型或用户群体。在无线侧,SSID也同样承担了区分无线业务类型或用户群体的工作。因此,在无线网络规划中必须综合考虑VLAN与SSID的映射关系,映射关系有1:1/1:N两种,分别适用于不同的场景,详细如表2-18所示。
VLAN与SSID的映射关系 |
适用场景举例 |
|---|---|
SSID:VLAN=1:1 |
例如企业需对热点A和热点B进行WLAN覆盖,希望用户搜索到的WLAN只有一个SSID并采用相同的数据转发控制策略,则SSID和VLAN都只需要规划一个,那么SSID:VLAN=1:1 |
SSID:VLAN=1:N |
例如企业需对热点A和热点B进行WLAN覆盖,希望用户搜索到的WLAN只有一个SSID,同时可对不同热点采用不同的数据转发控制策略,则可规划一个SSID、两个VLAN对应不同热点,那么SSID:VLAN=1:2 |
大中型园区规模较大,接入终端数量多,通常需要根据区域制定不同策略,通常需要选择SSID:VLAN =1:N映射策略。
无线的广播域范围由SSID决定,在SSID与VLAN为1:N对应关系时,建议开启广播转单播的功能,以避免无线广播域的产生。
用户子网路由设计
无线用户子网路由主要是指无线用户子网如何与网络服务资源(DHCP服务器等)、外部网络、VN中的有线用户子网实现互通的路由。本章节以随板WAC为例,介绍集中式网关方案中无线用户子网路由的两种规划思路;独立WAC旁挂Border的组网场景也是类似的规划思路,不同的是,需要考虑独立WAC的路由配置,将无线业务流量引流到Border上。
无线用户子网不接入VN,通过静态路由实现互通
该方式下,无线用户子网需要在核心交换机(即随板WAC设备)上通过命令行逐条手动配置与其互通的静态路由。其中,网络服务资源、VN需要通过iMaster NCE-Campus查询到在配置Fabric的网络服务资源、配置VN时下发的VPN实例名,如图2-38所示。
无线用户子网接入VN,有线无线统一接入管理
该方式下,首先通过iMaster NCE-Campus在作为WAC的Core设备上创建无线业务子网,然后登录Core的命令行界面,配置无线业务子网的VLANIF接口绑定VN实例(也可通过业务VLAN与BD关联,BD再绑定VN实例)。配置完成后,如果无线用户业务报文通过隧道转发到WAC,首先会进行CAPWAP报文的解封装,然后基于已配置的子网进行转发。如图2-39所示。
WLAN网络准入设计
NAC认证控制点设计
NAC是一种有线和无线都适用的网络准入方案,常用的认证技术包括802.1X、MAC和Portal认证,一般有线用户是基于交换机接入端口做接入控制,无线用户是基于SSID做接入控制。无线用户接入在选择认证方式时和有线用户接入规划的思路相同,主要考虑不同的用户角色或者终端类型,详细可参考“接入控制设计”中的“用户认证方式设计”。
采用WAC+Fit AP架构的WLAN网络中,无线认证控制点为WAC。集中式网关方案中,根据采用的不同WAC类型,无线认证控制点的部署过程有所不同。
- 独立WAC旁挂Border
如果集中式网关方案中采用独立WAC旁观Border,那么无线认证控制点侧需要登录WAC的Web网管进行统一配置,如图2-40所示。具体配置过程如下:
- 在WAC配置AAA模板资源,包括RADIUS服务器模板、Portal服务器模板、接入认证模板等。
- 在AP将配置好的接入认证模板与SSID进行关联。
- Border作为随板WAC
如果集中式网关方案中采用Border作为随板WAC,那么认证模板除了可以登录WAC的Web网管配置外,还可以在iMaster NCE-Campus配置,然后通过“站点配置”页签,向随板WAC下发,如图2-41所示。具体配置过程如下:
- 通过iMaster NCE-Campus创建模板,模板资源在“站点配置”页签设置并下发到WAC。
- 在AP将配置好的接入认证模板与SSID进行关联。只能登录WAC的Web网管配置AP上的无线业务。
集中式网关方案中,在“站点配置”页签配置接入认证,不仅仅是在WAC采用随板WAC时,能够向WAC下发认证模板;而且如果无线接入认证采用iMaster NCE-Campus内置的认证服务器,必须配置此步骤来使得iMaster NCE-Campus记录认证控制点、SSID和认证模板的对应关系。
安全策略设计
除了传统的NAC方案外,WLAN本身的802.11标准还提供了WEP、WPA、WPA2和WAPI四种安全策略机制。每种安全策略体现了一整套安全机制,包括无线链路建立时的链路认证方式,无线用户上线时的用户接入认证方式和无线用户传输数据业务时的数据加密方式。表2-19是针对这几种安全策略的比较。
安全策略 |
特点 |
|---|---|
WEP |
WEP是WLAN早期推出的一种安全策略机制,由于其加密算法的局限性,很容易受到安全威胁,一般不推荐使用。 |
WPA/WPA2 |
WPA和WPA2在安全性上几乎没有差别,WPA/WPA2分为企业版和个人版。
|
WAPI |
WAPI是中国提出的无线安全标准,WAPI能够提供比WEP和WPA更强的安全性。 |
通常WLAN在考虑网络准入时,NAC和安全策略会综合考虑,形成适合不同场景的组合控制方案。表2-20列出了不同WLAN安全策略,推荐的NAC用户接入认证方式,以及适用的场景。
安全策略 |
NAC推荐认证方式 |
适用场景 |
|---|---|---|
开放(不配置安全策略) |
Portal认证/MAC认证 |
|
WEP |
无 |
|
WPA/WPA2-PSK认证 |
无 |
|
WPA/WPA2-802.1X认证 |
802.1X认证,只能选择此认证方式 |
|
WAPI-PSK认证 |
无 |
安全性高于WEP,无需第三方服务器,仅部分终端支持该协议。 |
WAPI-证书认证 |
无 |
安全性高,需要第三方服务器,但仅部分终端支持该协议。 |
漫游设计
漫游需要解决的主要问题有:
- 保证用户IP地址不变,漫游后仍能访问初次上线时关联的网络,且所能执行的业务保持不变。
- 避免漫游过程中用户的认证时间过长而导致数据丢包甚至业务中断。
根据STA漫游的范围不同,无线用户漫游又分为:
- WAC内漫游。
- WAC间漫游, WAC间漫游包括二层漫游与三层漫游。
在实际部署中,建议采用WAC内漫游的方案,可通过合理的AP分组管理,避免WAC间漫游。特别是对于仓库/厂房中对于时延要求高的业务(例如AGV小车),建议规划单独的SSID/VLAN,以实现WAC内的二层漫游。
随板WAC场景,如果终端数大于等于40000,每个漫游组最多部署4个随板WAC;如果终端数小于40000,每个漫游组最多可部署16个随板WAC。
除了上述基本的漫游功能外,华为WLAN还支持快速漫游的功能,包括PMK快速漫游与802.11r快速漫游功能,进一步降低用户在AP间的切换时延,不同漫游方式下,终端用户的切换时延如表2-21所示。
对于802.11r快速漫游,支持与华为终端基于端管协同机制,提供增强的漫游机制,进一步减小漫游切换时延与丢包,建议开启802.11r快速漫游功能时也开启该增强功能。
漫游类型 |
切换时延(ms) |
建议 |
说明 |
|---|---|---|---|
Open/802.11r漫游方式 |
<50ms |
如果客户不需要启用PMF功能,建议开启802.11r快速漫游功能。 |
|
WPA-PSK/WPA2-PSK/802.1X快速漫游(PMK) |
<100ms |
系统自动生效该功能,无需配置。 |
PMK快速漫游需要终端也支持该能力,目前几乎所有终端都具备该能力。 |
802.1X非快速漫游 |
<250ms |
系统基础功能,自动生效。 |
NA |
射频资源管理设计
在WLAN网络中,特别是2.4G频段,带外干扰、带内的同频干扰与邻频干扰都存在,而且不同品牌、不同类型、不同款型终端的行为差异也很大,为保证接入服务最优,需对射频资源与用户接入进行协调管理,具体的射频资源管理能力包括:
- 射频调优
通过射频调优功能,动态调整网络各个AP的信道和功率,使同一WAC管理的各AP的信道和功率保持相对平衡,保证整网AP工作在最佳状态。建议使用定时调优方式且将调优时间定为用户业务空闲时段(如当地时间凌晨00:00-06:00时段)。
- 频谱导航
大多数终端同时支持2.4G和5G频段且通常默认选择2.4G,由于2.4G的信道相对较少,2.4G频段通常较拥挤、负载高、干扰大,而信道多且干扰小的5G频段优势得不到发挥。通过频谱导航功能,AP可以控制STA优先接入5G,减少2.4G频段上的负载和干扰,提升用户体验,建议默认开启该能力。
- 智能漫游
对于部分老旧款型终端与哑终端,漫游主动性差,始终“坚持”关联在其最初关联的AP上,即使已经与当前关联的AP距离很远、信号很弱、速率很低,依旧不能漫游到其他信号更好的邻居AP,这种终端一般叫粘性终端。粘性终端的影响:
- 自身业务体验差,终端始终关联在信号差的AP上,无线信道速率下降严重。
- 影响无线信道整体性能,终端因信号差、速率低而经常传输丢包或者重传,长时间占用无线信道,影响其他终端不能得到足够的信道资源。
智能漫游功能会驱动终端及时漫游到信号更好的邻居AP,从而提升如下体验:
- 性能提升
通过将信号差的终端漫游到信号更好的AP上,提升终端自身地业务体验和无线信道整体性能。
- 负载均衡
通过智能漫游,确保每个终端都关联到离自己最近的AP下,实现了AP间负载均衡,建议开启该能力。
- 终端迁移
在终端已经接入AP后,系统支持通过目标AP选择算法,综合衡量终端的双频能力、AP的负载和信号质量等,引导终端接入更优的AP,建议开启该能力。
网规实践建议
网规是WLAN工程实施很重要的一个环节。网规设计通常包括如下几个部分:
- 网络覆盖设计,确定信号覆盖的指标要求与原则;
- 网络容量设计,基于业务模型与终端行为,确定单用户的带宽诉求,再基于AP的能力确定AP数量;
- AP布放设计,基于布放原则确定部署位置;
- AP信道规划,进行相邻区域AP的信道规划,以降低同频与邻频干扰;
- AP供电与走线设计;
网络覆盖设计
为了保证良好的覆盖体验,一般针对覆盖区域的信号场强要求如表2-22所示。
覆盖区域 |
场强要求 |
典型区域 |
|---|---|---|
重点覆盖区域 |
-40~-65dbm |
宿舍房间、图书室、教室、酒店房间、大堂、会议室、办公室、展厅等 |
一般覆盖区域 |
>-75dbm |
过道、厨房、储物室、更衣间等 |
特殊覆盖区域 |
NA |
客户基于业务安全或物业等其他原因考虑,限定的覆盖/安装区域或不允许覆盖/安装的区域 |
不同场景的覆盖建议如下:
- 室内,单AP覆盖半径可按照15~20米规划;
- 室外,单AP覆盖半径可按照50~80米规划;
- 室内高密场景,建议使用小角度定向天线,网规时根据天线的角度选择AP布放的位置和距离。
网络容量设计
在无线网络中,带宽容量的规划一般是按照如下公式计算:
网络总带宽=单用户的平均带宽需求*用户数。
单用户需要多少带宽,取决于该用户实际的网络应用。常见的网络应用对带宽的典型需求如表2-23所示。
应用类型 |
典型带宽需求 |
说明 |
|---|---|---|
网页浏览 |
4Mbit/s |
考虑网页中有图片、视频等 |
视频(1080P) |
5Mbit/s |
典型值,视频压缩率\帧率不同,带宽需求会有差别 |
音频 |
64Kbit/s |
无 |
邮件 |
8Mbit/s |
考虑附件等大文件传输 |
文件传输 |
10Mbit/s |
无 |
桌面共享 |
2.5Mbit/s |
无 |
手机游戏 |
100Kbit/s |
无 |
投屏 |
9Mbit/s |
无 |
即时通信 |
5Mbit/s |
考虑照片等大文件上传 |
对于AP,同样有其规格能力,如表2-24所示:
单用户接入带宽(Mbps) |
单频推荐并发终端数(单/双空间流) |
双频推荐并发终端数(单/双空间流) |
|---|---|---|
8 |
5/10 |
9/18 |
6 |
6/11 |
11/20 |
4 |
8/12 |
15/22 |
2 |
12/22 |
22/40 |
1 |
20/30 |
35/55 |
基于上述信息(单终端的带宽诉求,终端的数量以及所选择AP规格能力),可计算出项目需要的AP数量。
布放设计
在WLAN网络中,涉及到AP和接入交换机的布放设计。
AP布放设计原则
AP在选择布放位置时需参考以下原则:
- 减少信号穿过障碍物数量:
- 保证信号穿过墙壁、天花板等障碍物的数量最少。
- 尽量使信号能够垂直穿过墙壁、天花板等障碍物。
- AP位置离立柱较近时,射频信号被阻挡后,会在立柱后方形成比较大的射频阴影,在AP布放时要充分考虑柱子对信号覆盖的影响,避免出现覆盖盲区或弱覆盖。
- 金属物品对无线信号的反射作用较大,AP或天线应避免安放在金属天花板等后面。
- 保证AP正面正对覆盖目标区域:
- 如果大厅里只布放一个AP,尽量布放在中央位置;如果布放两个AP,则可以放在两个对角上。
- AP布放方向可调,应确保AP正面正对覆盖目标区域,保证良好的覆盖效果。
- 对于需要重点关注的区域,适当的增加AP,保证信号覆盖。
- AP布放远离干扰源:
AP布放位置需远离电子设备,避免覆盖区域内放置微波炉、无线摄像头、无线电话等电子设备。
- 对于有漫游需求的区域,相邻AP的覆盖范围保持10%~15%的重叠,以保证终端在AP间的平滑切换。
- 对美观性要求低的普通室内场景AP可直接外露安装,而高端办公区域考虑到美观性,可安装在非金属吊顶内部或者增加美化罩。
AP在不同场景下的典型布放方案如下:
- AP部署间距一般为10-18米;
- AP数量大于3时,一般采用等三角的方式进行布放;
- 该场景为通用的办公区域场景;
- 该场景为学校宿舍、医院病房等,其特点是房间面积小、密度大;
- 通常采取敏捷分布式Wi-Fi方案,每个房间部署一个RU或者采用放装型AP;图2-45 室外场景
- 在空旷的区域(视野开阔、障碍物较少),如上图左,可采用全向天线的AP进行覆盖,AP间距50-60米;
- 在存在遮挡或者狭长的区域,如上图中,可采用大角度定向天线的AP进行覆盖,AP间距30-40米;
- 在道路区域,如上图右,可采用定向天线的AP进行覆盖,AP间距120-150米;
接入交换机布放原则
- 安装位置到AP走线距离建议保持在80米以内。
- 安装位置应避免强电强磁等干扰,需注意防潮、防尘。
- 根据交换机的端口数量、电源模块的PoE供电能力以及AP的功耗,确认可接入的AP总数 。
AP信道设计
不同国家/地区,可用信道不同,规划前须请确认清楚当地的可用信道。不同国家的信道顺从表请参考国家码&信道顺从表。
信道设计的目标是使同信道的AP距离最远,减小AP间的干扰,具体原则如下:
- 2.4G信道:以支持1~13信道的国家为例,AP数量较少时推荐使用1、6和11信道,若同一区域AP较多时,推荐使用1、5、9和13信道。
- 5G信道:当AP使用单5G射频时,建议相邻AP高低频信道错开,当AP使用双5G射频时,则建议两个5G射频分别在低频与高频进行信道规划。
- 多楼层时,需考虑上下楼AP信道错开。如信道实在无法错开,通常降低功率来减少重叠区域范围。图2-46 典型信道规划示意图
例如,对于多楼层的2.4G信道规划,可参考如下:
图2-47 多楼层2.4G信道规划示例
AP供电和走线设计
AP供电方式有如下三种:
- PoE设备供电(推荐方式):
由PoE交换机负责AP的数据传输和供电,为AP的主要供电方式。
- 本地电源供电:
独立电源负责AP的供电,通常是上行交换机不支持PoE供电的场景,可采用本地交流电源给AP供电。
- PoE适配器供电:
室外款AP通常使用光纤进行数据传输且只支持PoE供电,需采用PoE适配器给AP供电。室外场景下PoE适配器需安装在设备箱或机柜中,满足工作温度和防水防电防雷要求。
图2-48 AP供电方式AP在走线设计需要关注的地方:
- AP部署时,网线长度需预留5 m左右,以备后期AP因干扰或信号覆盖不佳所需的安装点位微调。
- 网线需远离强电强磁。
- 网线部署方案需提前与客户沟通确认,避免因物业、美观等其他原因,客户不同意施工。
