华为WLAN数据规划培训教材

课程名称P-1华为技术有限公司版权所有未经许可不得扩散由于网络的规模越来越大，网络出现了一种分层的网络结构，一般的网络可以分为：核心层、汇聚层和接入层，核心层完成数据包的交换，实现高速的数据流量运转，核心层的设备不但需要容量大，转发快，而且需要具备高稳定性；汇聚层的作用是隔离拓朴结构变化、控制路由表的大小及控制网络的收敛，并且实现丰富的业务特性；接入层将终端用户接入到网络中，需要大量的端口，强大的接入能力，实现丰富的业务特性；这种分层的网络结构要求在进行IP地址分配的时候必须进行详细的规划。WLAN网络在部署WLAN设备时，一般把AP部署在接入层，AC部署在汇聚层（分布层）或数据中心现在华为所有的AP均为支持802.11n的AP（速度为150M、300M、450M不等）,部分AP支持802.11AC功能（速度在1G以上），因而接入层接AP的交换机需采用千兆接入交换机，建议使用S5700系列交换机，如果预算充足可以使用POE功能的交换机.控制器一般部署在分布层，可以采用旁挂式部署或直连式部署。如果采用旁挂式部署，AC6605可以使用两个10G光纤接入分布层交换机，如果分布层交换机不支持10接口，可以采用多根1G光纤接入，汇聚交换机和AC之间可以配臵eth-trunk功能；如果采用直连式部署，AC担当汇聚层设备角色，AC可以采用1G接口接接入层交换机，10接口接核心层交换机。如果AP数量不多时（AC6605不超过24个,AC6005不超过8个），可以直接接在AC的下行接口上，控制器上行接口再接交换机。IP地址的合理规划是网络设计中的重要一环，大型网络必须对IP地址进行统一规划。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。通过IP地址规划可以反映出一个网络的规划质量、一个网络设计师的技术水准。地址规划的基本原则如下：唯一性：一个IP网络中不能有两个主机采用相同的IP地址。连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。实意性：好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大致判断出该地址所属的设备。IP地址长度为32比特，分为网络部分和主机部分。网络部分用于唯一地标识一个物理或者逻辑链路，主机部分用于唯一地标识该链路上的一台设备。那么如何区分IP地址的网络部分和主机部分呢？最初互联网络设计者根据网络规模大小规定了地址类，把IP地址分为A、B、C、D、E五类。A类IP地址的网络部分为第一个八位数组（octet），第一个字节的第一位（最左边那一位）为“0”，因此，网络部分的有效位数为7位，这样A类地址的第一个字节为1~126之间（127留作它用）。例如10.1.1.1、126.2.4.78为A类地址。A类地址的主机部分为剩余的三个字节共24位。A类地址的范围为1.0.0.0~126.255.255.255，每一个A类网络共有224个A类IP地址。B类IP地址的网络部分为前两个八位数组（octet），第一个字节的第一位为“1“，第二位为”0”。因此，网络部分的有效位数为14位，B类地址的第一个字节为128~191之间。例如128.1.1.1、168.2.4.78为B类地址。B类地址的主机部分为剩余的二个字节16位。B类地址的范围为128.0.0.0~191.255.255.255，每一个B类网络共有216个B类IP地址。C类IP地址的网络部分为前三个八位数组（octet），第一个字节前二位为“1“，第三位为”0”。因此，网络部分的有效位数为21位，C类地址的第一个字节为192~223之间。例如192.1.1.1、220.2.4.78为C类地址。C类地址的主机部分为剩余的一个字节8位。C类地址的范围为192.0.0.0~223.255.255.255，每一个C类网络共有28=256个C类IP地址。D类地址第一个字节前三位为“111“，第四位为”0”，因此，D类地址的第一个字节为224~239。D类地址通常作为组播地址。E类地址第一个字节为240~255之间，保留用于科学研究。我们经常用到的是A、B、C三类地址。IP地址由国际网络信息中心组织（InternationalNetworkInformationCenter，InterNIC）根据公司大小进行分配。过去通常把A类地址保留给政府机构，B类地址分配给中等规模的公司，C类地址分配给小型单位。然而，随着互联网络的飞速发展，再加上IP地址的浪费，导致现在IP地址已经非常紧张。在进行IP地址规划时，我们通常在公司内部网络使用私有IP地址。私有IP地址是由InterNIC预留给各个企业内部网络自由支配的IP地址。使用私有IP地址不能直接访问Internet。原因很简单，私有IP地址不能在公网上使用，公网上没有针对私有地址的路由，如果在公网上使用将会产生地址冲突问题。当访问Internet时，需要利用网络地址转换（NAT，NetworkAddressTranslation）技术，把私有IP地址转换为Internet可识别的公有IP地址。InterNIC预留了以下网段作为私有IP地址：A类私有地址为10.0.0.0~10.255.255.255;B类私有地址为172.16.0.0~172.31.255.255;C类私有地址为192.168.0.0~192.168.255.255等。使用私有IP地址，不仅减少了企业用于购买公有IP地址的投资，而且节省了IP地址资源。但是这并不能完全解决IP地址短缺问题，目前已经正式提出了IPv6协议。在IPv6地址中有128个二进制位，3.4乘以10的38次方个地址，完全可以解决IP地址紧张问题。loopback地址：为了方便管理，会为每一台AC创建一个loopback接口，并在该接口上单独指定一个IP地址作为管理地址，loopback地址务必使用32位掩码的地址。互联地址：互联地址是指两台网络设备相互连接的接口所需要的地址，AC的互联地址务必使用30位掩码的地址。靠近核心的设备使用较小的一个地址，互联地址通常要聚合后发布，在规划时要充分考虑使用连续的可聚合地址。WLAN源地址：AC用WLAN源地址和AP建立CAPWAP隧道。AP管理地址：在AC上必须规划所注册AP的管理地址。建议AP的管理地址与WLAN业务地址分网管规划，不要将两者划到同一网段里。另外新建大型无线园区网时需考虑后续WLAN设备的扩容问题，要为将来的新增设备预留管理地址段。WLAN业务地址：业务地址是连接AP的各种WLAN终端，如手机、电脑、平板、VOIP电话机等设备。如果业务地址池规划在AC上，同一SSID下所有终端使用的地址以及网关的地址尽量统一使用相同网段。不同SSID的地址要划分到不同网段里，方便SSID与VLAN的一一对应。Loopback接口是配臵设备里的逻辑接口，其一但创建即不可关闭，永远处于up状态，有着很强的稳定性。在WLAN中使用loopback接口有几种情况：使用loopback接口做wlanacsource接口，这样的当AC采用三层组网多链路接入不同的交换机时，wlan的源接口不会因为某个物理链路的down掉而变化，使WLAN网络中已经建立的CAPWAP隧道更加稳定。使用webportal对访客做认证时，如果采用本地portal认证,一般要指定一个portallocalserverip,同样当控制器有多个物理接口时，采用loopback做portallocalserver的IP地址会让portal服务更加稳定，并且通过loopback地址还可以隐藏AC的真实地址，可以防止一些针对AC的攻击。别外loopback也可以用作DHCP服务器分配地址和路由器ID，在一些特定场景下非常有用。在建立loopback时建议使用/32位的子网掩码，因为loopback是一个独立的逻辑接口，不用连接主机，如果采用/24或/30等掩码，第一会浪费地址，第二可以在BGPMPLSVPN应用场景时，华为设备只针对/32位掩码的IP生成标签转发表，可能会影响标签表的建立，造成通信故障。互联地址用来连接一个点到点的网段，如交换机和AC互联、交换机和路由器互联、路由器之间互联等等。互联地址由的地址段划分子网而来，每个互联地址皆采用/30位子网掩码。互联地址中第4个8位组凡是4的倍数皆为网络号，不能配臵在主机上如0481216等互联地址中第4个8位组凡是4的位数-1皆为广播号，也不能配臵在主机上如371115等如在10.0.1.60/30这个网段，60是网络号，63是广播号，真正可以配臵在设备上的地址为10.0.1.61/30和10.0.1.62/30这两个地址在为设备分配互联地址时，建议采用一定的规则进行分配，这样就容易区分管理，容易故障排除。如建议接入层设备、二层设备（交换机）用偶数地址（大的地址）建议核心层设备、三层设备（路由器）用奇数地址（小的地址）WLAN应用中，每台AC都需要唯一指定AC的源IP地址，使得该AC设备下挂接的所有AP学到的AC地址都是指定的AC源IP地址，该IP地址用于AP和AC之间的通信。当采用VRRP方式进行双机热备时，两台AC组成一个虚拟AC，AC下挂接的所有AP与虚拟AC进行通信，因此需要通过wlanacsourceip-address命令指定虚拟IP地址为AC的源IP地址。单台AC连接管理AP时，可以通过wlanacsourceip-address命令指定VLANIF接口或Loopback接口下的IP地址为AC的源IP地址。AP管理地址即AP上配臵的IP地址，AP用此地址和AC建立CAPWAP隧道，每个AP只能有一个管理地址。AP的管理地址可以通过如下三种方式或得手工配臵DHCP自动获取PPPOE拨号获取在为AP分配地址时，建议为AP专门规划独立的网段，此网段不能和WLAN的业务VLAN相同。但是根据组网情况，可以选择与AC的源地址是否相同网段。如果采用二层组网：AP管理地址和AC的WLAN源地址是同网段如果采用三层组网：AP管理地址和AC的WLAN源地址不同网段建议在为AP配臵地址时，采用DHCP方式分配。静态分配和PPPOE方式只在特定情况下使用。WLAN的业务地址是指接入到网络的无线终端使用的地址及网关地址，业务地址一般采用DHCP方式为用户分配。因为公司的WLAN可能要同时承载多种业务，如企业雇员使用的数据网络、企业无线语音通信网络、访客网络。不同的业务对网络的带宽、安全等要求各不相同，因而建议在部署WLAN时，不同的业务要分别设臵服务集，并且不同的服务集采用不同的业务VLAN、带宽控制策略、安全策略等。业务地址及相关资源要进行统一规划，如业务地址的扣留地址、网关、DHCP池、ACL、QOS策略等。对于胖AP和直接转发而言，需要合理规划热点AP的管理VLAN和业务VLAN，因为管理VLAN无需在汇聚交换机与BRAS之间透传，而BRAS上需要配臵用户的业务VLAN才能允许业务数据流发送至Internet。对于隧道转发而言，不需要区分管理VLAN和业务VLAN，因为所有的数据流都必须经过CAPWAP封装到达AC后再进行数据转发。VLAN部署的原则：当WLAN系统同时设臵了用户VLAN和管理、业务VLAN后，原则如下：无论在认证、重认证、漫游重认证还是CoA动态下发VLAN过程中，授权VLAN都有最高优先级，且为即时启用。如果认证、重认证、漫游重认证还是CoA动态下发VLAN过程中没有授权VLAN，则取用当前所在地的业务VLAN。总体而言，用户VLAN优先于业务VLAN，在系统同时设臵有授权VLAN、GuestVLAN、RestrictVLAN等用户VLAN的情况下，优先启用授权VLAN。管理VLAN：对