移动某市WLAN城市热点项目

  、项目背景

  随着经济持续、高速的发展,社会对通信的需求量将持续增加,同时,人们对电信业服务的要求也越来越高,相应的通信产业的竞争也越来越激烈。为了满足市场的需求,能提供“最后一公里”解决方案的无线局域网(WLAN)建设非常重要。

  二、WLAN组网

  2.1 核心网组网图

  

图片23.png


  WLAN核心网络的建设采用分层管理的方案,将WLAN的业务平台和管理平台分离,同时为保障整个网络的稳定性,设备采用冗余设计,IAG卡1:1备份,AC N+2备份。[BAC中包括AC板卡和具有BAS功能的IAG板卡]

  管理平台放置2台WX6103,配置IAG板卡,两者通过GE互连,两个IAG间启用VRRP协议为用户提供冗余网关服务;IAG之间同步用户认证信息,互为备份。IAG插卡配置相应地址与RADIUS、PORTAL互通,维护WLAN用户portal认证数据。

  业务平台分为两个大区域,每个大区域各5台AC(其中4台为正常业务AC,1台为集成IAG插卡的备份AC),每台AC作为一个小区域。

  IAG上启用DHCP Server特性,为用户提供DHCP服务,IAG支持IP地址检测功能,即IAG在分配IP地址之前,首先通过ICMP检测是否有人在用此IP地址,如果有人在使用,则重新分配IP地址。此外,DHCP client在获取IP地址后,会发送免费ARP检测是否有地址冲突,如果有地址冲突,则会发送DHCP DECLINE报文给DHCPServer,DHCP Server会重新分配IP地址。通过以上特性,可以保证在IAG进行热备切换导致的DHCP Server切换时,用户IP地址分配的问题。

  2.2 WLAN核心设备与数据网络之间网络组织

  华三AC与BAC(AC+IAG卡)之间互连是二层TRUNK链路,华三AC、BAC与WLAN网络设备之间是三层链路。

  华三AC逻辑上可以看作三层交换机+AC功能板板卡(逻辑上2台设备);华三BAC逻辑上可以看作三台设备,即三层交换机+AC功能板卡+BAS功能板卡(IAG),WLAN核心网设备与数据网络之间的逻辑组网示意图如下。

  

图片24.png


  2.3 汇聚交换机向下部分网络组织

  汇聚交换机之间尽量通过2条不在同一板卡的GE光口互连,之间启用TRUNK,透传互连的VLAN,禁止透传汇聚交换机与热点互连VLAN。

  S6506R汇聚交换机与热点交换机之间使用二层接口,配置为trunk模式,封装VLAN interface后按三层接口使用;此配置方式预留透传WLAN虚拟专网VLAN能力。两台底层汇聚交换机与双上联热点(包括单出口双上联、双出口双上联)互连VLAN配置不能一样,两台底层汇聚交换机与单上联热点的互连VLAN没有相关性。

  2.4 热点组网图

  对于普通热点,一般到核心网1条传输链路,根据热点规模,可能有多台热点交换机级连,但是级连层数不应超过4级,应该尽量采用树型连接,避免链型连接,以避免故障点过多。如下图所示。

  

图片25.png


  部分热点若条件具备且比较重要,可以采取单出口交换机、2条上行链路方式。

  对于重要热点,应该设置两台热点出口交换机,2个上行出口,组网如下图所示。可能有多台热点交换机级连,但是级连层数不应超过4级,应该尽量采用树型连接,避免链型连接,以避免故障点过多,热点下级交换机不允许双上行(只能连接在一个上。

  

图片26.png


  2.5 热点网络组织

  热点出口交换机配置DHCP Server功能,以给AP分配管理地址,并通过DHCP option属性告诉AP对应主备AC地址。DHCP Server使用VLAN1,AP在VLAN 1内可通过DHCP获得管理地址和AC的地址。。

  为实现本地虚拟WLAN专网功能,热点交换机与AP之间启用TRUNK,使用VLAN1做为AP管理VLAN,AP与热点交换机接口使用ACCESS模式互连。

  热点出口交换机上行使用二层接口,配置为TRUNK模式,只需透传汇聚交换机与热点间的互连VLAN。

  热点内多台热点交换机之间所有接口均使用二层接口,配置为TRUNK模式,透传汇聚交换机与热点间的互连VLAN、透传VLAN1(AP的管理VLAN)、本地WLAN虚拟专网用户VLAN,并配置互连vlan interface定义三层互连地址。注意若热点内有两台出口热点交换机时,则需注意2台出口热点交换机之间的链路配置为不透传VLAN 1、不透传热点上行互连VLAN。

  对于2台出口热点交换机情况,在两台出口热点交换机分别配置DHCP地址池,分配2个地址段,以便于维护管理。

  三、业务流程

  3.1 业务流程描述

  AP加电后首先进行注册流程。AP完成注册后,与AC建立CAPWAP隧道,覆盖范围内的WLAN用户即可以使用WLAN业务,流程概述如下。

  (1)用户终端流量发给AP,AP根据SSID增加相应的用户VLAN信息;

  (2)然后,用户数据经过AP进行CAPWAP tunnle封装后,穿过三层网络,由AC进行解封,转换成802.3以太网报文,并通过AC的交换板以TRUNK方式透传到IAG插卡上终结;

  (3)IAG卡设置DHCP Server,负责给用户分配IP地址和DNS;

  (4)IAG卡负责对用户流量进行控制,给用户推送PORTAL页面,将用户帐号和口令发给RADIUS进行认证、计费,认证通过后记录信息并允许用户上网,上网结束后负责给RADIUS发送计费停止报文。

  3.2 区分热点NAS-ID机制

  WLAN必须能够区分各个热点(发给RADIUS的报文中,不同热点上来的信息要带不同的热点编码,生成的话单中有NAS-ID字段),以便精确统计用户行为、支持与集团客户的结算分摊(如酒店、机场等)

  3.3AC备份机制

  

图片27.png


  在每台主AC上配置允许接入的AP的序列号,在备份AC上配置所有需要备份的AC下管理的AP的序列号,同时配置备份AC的接入优先级低于主AC的接入优先级。

  AP在启动上线时根据DHCP option43所带的AC列表会和所有的AC进行通信确定可接入的AC和备份AC,由于同一个AP只在两台AC上配置了序列号(允许接入的主AC和备份AC),且两台AC的优先级不同,因此AP会计算出主AC和备份AC。

  AP和主AC之间会有定期的握手机制,当AP检测到主AC无法接入后,AP会尝试和备份AC关联。一旦建立连接以后AP将接收备份AC的管理,同时无线用户的数据流将通过备份AC转发到认证模块(图中红线)。AP在主被AC间的切换对于BAS认证模块是不可知的,因此在AC间主被切换时用户会有40秒-1分钟左右的数据中断,但BAS模块不会对接入用户进行portal重认证

  8.4 认证模块备份机制

  如下图所示:

  

图片28.png


  主备份BAS认证模块(即IAG卡)采用vrrp机制对用户、portal server和AAA提供服务,主备认证模块之间会实时备份用户认证和计费信息,

  认证模块之间有心跳握手,当备份BAS认证模块检测到主认证模块down机后会接替其成为主工作。由于主备份BAS认证模块采用vrrp机制对用户、portal server和AAA提供服务,因此用户、portal server和AAA都不会感知到认证模块的切换,用户不用重新认证就可以继续上网。对于用户的感受会有10几秒中的数据中断。

  主备IAG卡上均指定Portal Server及AAA Server的地址,并将NAS IP设为主设备的地址,在主备倒换后,由于发送给Server的NAS IP相同,Server即认为是同一台IAG上的认证信息,从而延续原有的用户认证策略,实现备份。


2016年01月

本期文章