WLAN转发模式与网关位置设计讲述.docx

初“设”WLAN（WLAN转发模式与网关位置设计）要用好WLAN，光知道一些功能和配置是没用的，其实其他一些特性也一样。为什么呢？举个栗子。我自己刚刚开始做一个WLAN项目的时候，就遇到了本篇文章所讨论的两个问题：转发模式选哪个、网关位置放在哪。当我去查阅相关产品文档的时候，我看到了两种转发模式的对比，里面很清楚地写到：集中转发模式优点是“集中管理流量，安全性好”，缺点是“AC性能压力大”；直接转发模式优点是“AC性能压力小”，缺点是“不能集中管理流量，安全性不好”。非常完美的两句话，都是以己之长，攻彼之短。但是实际情况是：客户的无线流量并不大，一主一备至少两个AC，完全可以承担所有的无线流量，所以AC性能压力大不大客户完全无所谓。因为设备已经买了，流量是否经过它客户并不关心——完全不存在“流量不经过AC可以省点电费，而客户为了这点几乎算不出来的电费而决定采用直接转发”的情况。而对于安全性的问题，事实上当时我并不能明白“为什么流量经过一个AC统一转发，安全性就高了呢？走直接转发流量不也一样必定经过核心交换机的集中转发么”。类似的对比，也在网关位置到底是放汇聚还是放核心的描述中出现。但是这样“完全正确”的话并不能指导我在真实的项目中转发模式和网关位置的选择。这也是促使我下决心写出这样一篇小短文的原因。事实上，由于篇幅所限，这里所阐述的是一个很理想化的园区网络，结构非常清晰简单。但是就是这样一个标准的园区，在WLAN设计时也有很多问题：简化管理员的配置管理，提高网络的安全性和稳定性，易于网络规模的扩展，以及实现WLAN的漫游，这些因素都直接影响到了转发模式和网关位置的选择。可想而知，一些情况更加复杂的网络就更难以抉择了。1.1 问题在园区网方案中，无线流量的转发模式与网关位置的设计决定了WLAN的基本网络架构。同时这两个关键点的设计又决定了WLAN漫游所能实现的效果，在设计时需要综合考虑。但是在以往的设计文档中这三者都是被分开讨论，所以本文档主要解决的就是在实际设计中应该如何综合考虑设计这三个问题。1.2 WLAN转发模式1.2.1 WLAN网络基本构成WLAN网络包括用户终端、AP设备、AC设备、服务器系统等四个关键部分。用户终端：包括PC、智能手机、平板PAD等各种WiFi终端设备。AP设备：具有Fat AP和Fit AP两种类型，其中Fit AP模式为园区网主流选型产品。AC设备：主要管理AP和用户接入，具有旁挂和直连两种组网形式。服务器系统：例如DHCP、AAA、eSight等服务器，分别用于地址分配、用户认证、设备管理等方面。其中AP的类型分为Fat AP和Fit AP两种，分别对应每个AP独立管理各自的无线网络和由AC统一管理多个AP所覆盖的无线网络两种管理模式。在WLAN部署的发展初期，每个AP都作为网络上的一个单独的实体，可以独立的组成WLAN网络。胖AP独立完成WLAN的无线信道管理、无线空口数据传输控制、空口接入安全、认证、QOS、网管接口等功能，这种AP通常被称为“胖AP/FAT AP”。从2002年9月开始出现一种新的WLAN接入方案，就是瘦AP解决方案。与胖AP解决方案正相反，它尽量减少了接入点内的智能，而把网络智能集中到无线控制器（AC）中，AP和AC间通过建立CAPWAP隧道传递控制数据和业务数据。在这种模式下802.11功能由AP和AC共同承担。与自治式网络拓扑结构相比，这种模式中的AP的功能有所减弱，因此被称为“瘦AP”。在大中型园区中，因为单AP的无线信号覆盖范围有限，所以需要通过大量AP来覆盖整个园区。如果采用胖AP方式，则每台AP都需要单独配置和管理。瘦AP解决方案的出现解决了大量AP的统一管理，无线用户的集中认证，并且支持了大范围的无线漫游。因此瘦AP方案已经成为园区网络主流。本文档对于WLAN转发模式的设计也就以瘦AP组网为前提。1.2.2 WLAN转发模式简介由于“瘦AP+AC”模式的存在，WLAN网络出现了控制面和业务面两个平面。其中控制面主要负责AC与AP之间的管理通信，而业务面主要负责业务流量的转发。WLAN的转发模式是指在业务面中，业务流量使用何种方式进行转发。其中分为两种模式：集中转发（又名隧道转发）：AP与AC之间同时建立控制隧道和数据隧道，AP/AC控制数据和WLAN用户业务数据分别封装在控制隧道和数据隧道中。业务数据到达AP后，首先需要通过数据隧道发送到AC中，才可以进行正常的二三层转发。直接转发（又名本地转发）：AP和AC之间只建立控制隧道。业务数据达到AP后，就直接通过连接AP的交换机进入有线网络进行正常的二三层转发。通过以上介绍，我们可以看到，WLAN控制面的报文一定是通过AP和AC间的控制隧道来进行转发。而业务面的报文则分为“经过AC转发”和“不经过AC转发”两