WLAN技术专栏

- 分享
  - 新浪微博
  - 腾讯微博
  - 豆瓣空间
  - 搜狐微博
  - QQ空间
  - 腾讯朋友
  - 网易微博
  - 百度搜藏
  - 开心网
  - 告诉聊友
推荐
打印
收藏

运营商WLAN网络推荐部署方案

大家好，根据网站上读者反馈信息来看，有大量方案设计与设备部署的需求。本期，我把相关的内容浓缩成一个快速入门形式的文档，供大家参考：

1 组网设计思路

1.1 需求分析

1) 根据用户的AP数量确定需要使用的AC板卡数量，用户现网中有1000个左右AP，而AC板卡最大可支持640个AP，因此选用2块AC板卡；

2) 由于AP和用户都采用私网地址，需要在出口处配置NAT，为了不增加IAG板卡的负担，增加单独的防火墙板卡。所有的设备，包括AP、AC、客户端、IAG都使用私网地址，仅仅只有防火墙有公网地址，防火墙提供NAT转换，再和亚信的portal服务器对接。

3) 鉴于客户对备份问题十分关注，要求业务不中断，采取最高可靠性方案：

a) 防火墙板卡之间做双机热备

b) IAG板卡之间做双机热备

c) AC板卡之间做1+1的热备份

4) 根据客户现网情况，AP使用二层注册的方式向AC注册，无线用户的DHCP地址池在IAG上。在AP与AC间是三层连接的情况下，建议将AP的地址池放在接入交换机上（我司的三层交换机一般都支持option43），在AP与AC间是二层连接的情况下，如果AC没有进行备份部署，可以放在AC上，但在AC进行了备份部署的情况下，由于AC的dhcp server不支持备份，切换后容易出现问题，所以不建议部署在AC上。在AP数加用户数的规格超过IAG板卡dhcp server规格的情况下，可以考虑单独部署一个dhcp server。在本组网中，AP为1000多，按照中国移动的算法，每AP下按照5个人算的话，最大并发用户数为5000，需要分配的地址数是6000，没有超过IAG板卡dhcp server规格（规格为10K），所以本次将dhcp server设置在IAG板卡上。

1.2 组网图

组网图

图1 WLAN组网图

该组网中S7500E-1和S7500E-2两台设备以及其上所插板卡做1+1备份，其中为了实现IAG插卡和FW插卡的状态备份，需要将两块板卡面板上的以太口通过网线直连做心跳线（心跳线相关配置见后文详述）。S3100-PWR作为AP的接入交换机，通过POE向AP供电，走线长度建议在90M以下，适用于楼宇建筑群等AP密集布放区域。

1.3 流量路径

组网图2

图2 WLAN网络流量路径

用户报文在AP上进入LWAPP隧道，通过交换网络转发到AC上。

AC从LWAPP隧道中将报文解封装后，送IAG做认证。

IAG将用户报文做三层终结后，送FW做NAT。

FW做NAT转换以后，将报文送核心路由器在公网中转发。

2 配置建议

2.1 VLAN规划说明

VLAN1000：AP所在VLAN

VLAN1111：用以AC热备心跳报文交互

VLAN2000-2500：用户VLAN，两台IAG之间跑VRRP

VLAN2600：NAP-IP所在VLAN，两台IAG之间跑VRRP，其虚地址用以当作NAP-IP和portal server、radius server交互

VLAN3000-3001：IAG插卡1的上行VLAN，用以和FW1、FW2通信

VLAN3002-3003：IAG插卡2的上行VLAN，用以和FW1、FW2通信

VLAN4000：FW1的上行VLAN，用以和NE通信

VLAN4001：FW2的上行VLAN，用以和NE通信

下面的配置只提供业务转发互通的配置，其它配置例如管理vlan的配置、SNMP的配置、安全方面的配置这里不涉及。

2.2 接入交换机的配置

（1）配置vlan：接入交换机是两台7500E以及所在AC、IAG、FW插卡通信的中转站，所以需要在接入交换机上配置上面提到的所有VLAN，为减少不必要的广播域，不允许缺生vlan1通过，其和7500E上联的端口要允许这些vlan通过，和AP相连的端口以access的属性划入到VLAN1000。

（2）接入交换机是整网通信的桥梁，作用至关重要，对于关键热点地区的接入交换机，其上连口可以适当的采用聚合链路上行。

（3）7500E-1、7500E-2、接入交换机三者之间跑MSTP

和7500E-1相连的上联口

interface Ethernet1/0/20

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 1000 1111 2000 to 2500 2600 3000 to 3003 4001 to 4002

description uplinkto7500E-1

和7500E-2相连的上联口

interface Ethernet1/0/18

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 1000 1111 2000 to 2500 2600 3000 to 3003 4001 to 4002

description uplinkto7500E-1

和AP相连的端口，如果AP需要接入交换机供电的话，使能PoE，该端口设置为STP的边缘端口或者接口关闭STP功能

interface Ethernet1/0/34

poe enable

stp edged-port enable

port access vlan 1000

description ap

2.3 7500E的配置

（1）和接入交换机的配置一样，相应的端口（和接入交换机的端口，和AC、IAG、FW插卡的内部10GE通道）允许相应的vlan通过，缺省vlan1不允许通过。

（2）7500E-1、7500E-2、接入交换机三者之间跑MSTP，因为要实现AC的热备，所以多实例没有太大意义，但是要确保两台7500E和接入交换机的链路是forwarding的，两台7500之间的链路是discarding的。

（３）7500E给AC、IAG、FW插卡提供了两个10ge通道，但是这三个插卡本身却只有一个10ge接口

以7500E-1举例说明一下配置，其中slot1插FW插卡、slot2插AC插卡、slot4插IAG插卡。

和7500E-2直接互连的接口

interface GigabitEthernet3/0/8

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 1000 1111 2000 to 2500 2600 3000 to 3003 4001 to 4002

description to-7500-g6/0/8

和接入交换机相连的接口

interface GigabitEthernet3/0/10　

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 1000 1111 2000 to 2500 2600 3000 to 3003 4001 to 4002

description to-3952-e1/0/20

和FW相连的10ge通道，只允许FW使用的用以和IAG、NE通信的接口VLAN通过，关闭stp功能

interface Ten-GigabitEthernet1/0/1　　　

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan　3000 3002 4000

stp disable

　description　to-FW

和AC相连的10ge通道，允许AP所在vlan、用户vlan通过，关闭stp功能

interface Ten-GigabitEthernet 2/0/1　　　

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan　1000 2000

stp disable

　description　to-AC

和IAG相连的10ge通道，允许用户vlan通过、　NAP-IP所在vlan、和FW上联vlan，关

闭stp功能

interface Ten-GigabitEthernet 4/0/1　

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan　2000 2600 3000 to 3001

stp disable

　description　to-AC

和NE相连的端口，允许vlan4000通过，关闭stp功能（这里用trunk属性是为了扩展用，如果实际情况中确实只有一个vlan在用，可以使用access属性划到vlan4000）

interface GigabitEthernet3/0/10　

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan　4000

stp disable

　description　to-AC

2.4 AC的配置

（1）AC为AP分配地址，通过option43字段提供AC列表信息；

（2）AC要和AP建立CAPWAP隧道，同时为了可靠性，和对端AC建立1：1热备；

（3）解析CAPWAP，将用户数据报文映射到用户vlan 2000。

以7500E-1上的AC插卡配置为例说明：

10ge通道，允许AP所在vlan和用户vlan通过

interface Ten-GigabitEthernet1/0/1

port link-type trunk

undo port trunk permit vlan 1

port trunk permit 1000 2000

建立vlan1000的虚接口，用以和AP建立CAPWAP

interface Vlan-interface1000

ip address 100.1.1.1 255.255.255.0

使能DHCP功能，建立地址池，给AP分配地址，并通过option43字段通告AC列表

dhcp enable

dhcp server ip-pool vlan1000

network 100.1.1.0 mask 255.255.255.0

gateway-list 100.1.1.1

option 43 hex 800B0000 02640101 01640101 02

Option43的格式为

AC上配置的DHCP服务器的Option 43选项内容为800B0000 02640101 01640101 02，其中80为子选项类型（Sub-option type），0B为子选项长度是指该字段后面所有字段的长度，00 00为PXE服务器类型（PXE server type），02为服务器数目（Server number），本例中因为是AC 1：1热备，所以提供了两个个AC地址，640101 01640101 02是这两个AC地址的16进制格式，即两个AC的IP地址分别为100.1.1.1、100.1.1.2。

AC热备配置

wlan backup-ac ip 100.1.1.2 backup-ac的地址为对端AC地址

hot-backup enable domain 1

hot-backup vlan 1111 通过vlan1111交互热备心跳报文

建立WLAN-ESS口，并配置用户vlan属性

interface WLAN-ESS1

port access vlan 2000

配置服务模板

wlan service-template 1 clear

ssid mobile

bind WLAN-ESS 1

service-template enable

配置AP实体，并和服务模板相绑定

wlan ap awa2210ag model WA2210-AG

serial-id 210235A29D0083000683

radio 1

channel 11

max-power 20

service-template 1 vlan-id 2000

radio enable

配置用户隔离，并指定网关MAC，网关MAC需要将VRRP虚MAC和设备的实MAC

user-isolate vlan 2000 enable

user-isolate vlan 2000 permit-mac 0000-5e00-0101 0023-8956-5f00 0023-8956-5d00

2.5 IAG的配置

（1）用户接口终结用户vlan，通过VRRP实现用户网关的双重保护，并给无线用户终端分配IP地址，作为portal网关，用户必须通过portal认证后才能访问网络；

（2）和两台FW插卡建立通信，例如建立ospf；

（3）两台IAG插卡双机热备，备份portal用户信息、dhcp server地址信息；

（4）如果想接口能通，必须通过web界面将它们划入到安全域，切记切记！！

以7500E-1上的IAG插卡为例说明

建立te0/0.2600子接口，该接口的虚地址用以充当nas-ip，这样当IAG需要多个子接口来终结用户vlan时，IAG对外和portal server、radius server通信只使用这一个地址即可，无需每个接口都使用一个地址，该接口不能开启portal功能。

interface Ten-GigabitEthernet0/0.2600

vlan-type dot1q vid 2600

ip address 26.1.1.1 255.255.255.0

vrrp vrid 2 virtual-ip 26.1.1.100

vrrp vrid 2 priority 200

建立te0/0.2000子接口，该接口用以当作用户portal网关

interface Ten-GigabitEthernet0/0.2000

vlan-type dot1q vid 2000

ip address 10.1.1.1 255.255.255.0

vrrp vrid 1 virtual-ip 10.1.1.200

vrrp vrid 1 priority 200

portal server free method direct

portal backup-group 1

portal nas-ip 26.1.1.100

建立地址池，为用户分配IP地址

dhcp server ip-pool vlan2000

network 10.1.1.0 mask 255.255.255.0

gateway-list 10.1.1.200

建立te0/0.3000 、te0/0.3000子接口，分别用以和FW1、FW2通信

interface Ten-GigabitEthernet0/0.3000

vlan-type dot1q vid 3000

ip address 30.1.1.1 255.255.255.0

interface Ten-GigabitEthernet0/0.3001

vlan-type dot1q vid 3001

ip address 31.1.1.1 255.255.255.0

配置OSPF，和FW1、FW2建立OSPF邻居（这里只是举例、路由的发布接收等控制方面的规划请根据客户需求处理，这里也能是使用静态路由）

ospf 1

import-route direct 通过这条命令，可以把VRRP虚地址的32位主机路由发布出去

area 0.0.0.1

network 30.1.1.0 0.0.0.255

network 31.1.1.0 0.0.0.255

portal和radius相关配置

nas device-id 1

portal server free ip 172.16.0.101 key 123456 url http://172.16.0.101:8080/portal

portal free-rule 1 source ip 200.1.1.2 mask 255.255.255.255 destination any

通过free rule保证VRRP报文能够交互

portal device-id 1

radius scheme portal

server-type extended

primary authentication 172.16.0.101

primary accounting 172.16.0.101

key authentication 123456

key accounting 123456

nas-ip 26.1.1.100

domain portal

authentication portal radius-scheme portal

authorization portal radius-scheme portal

accounting portal radius-scheme portal

access-limit disable

state active

idle-cut disable

self-service-url disable

双机热备配置，需要通过web界面登陆配置，提前在两块IAG插卡的外部ge端口连接好线路，这里使用g0/0/4端口。通过web登陆IAG，左键点机“高可靠性”展开后，然后点机“双机热备”，在右侧勾选“使能双机热备功能”，备份类型有两种分别为对称路径和非对称路径，选择“支持非对称路径”，通过点机“修改备份接口”来选择用以双机热备的外部ge端口。

当进行完上述配置后，保存配置然后重启IAG插卡，只有重启IAG插卡热备配置才能生效。

当“当前热备状态”显示为同步运行，即表示两块IAG插卡的热备已经建立成功。

2.6 FW插卡的配置

（1）创建接口和两台IAG插卡建立通信，例如建立ospf；

（2）创建接口和NE40通信，通过路由协议或者静态路由指定转发路径

（3）两台FW插卡双机热备；

（4）如果想接口能通，必须通过web界面将它们划入到安全域，切记切记！！

以7500E-1上的FW插卡为例说明

创建子接口te0/0.3000、te0/0.3002，用以和两块IAG插卡通信

interface Ten-GigabitEthernet0/0.3000

vlan-type dot1q vid 3000

ip address 30.1.1.2 255.255.255.0

interface Ten-GigabitEthernet0/0.3002

vlan-type dot1q vid 3002

ip address 32.1.1.2 255.255.255.0

创建子接口te0/0.4000，用以和NE通信

interface Ten-GigabitEthernet0/0.4000

vlan-type dot1q vid 4000

ip address 40.1.1.1 255.255.255.0

配置OSPF，和两块IAG插卡、NE建立OSPF邻居（这里只是举例、路由的发布接收等控制方面的规划请根据客户需求处理，这里也能是使用静态路由，尤其是FW因为有NAT功能，上行转发采用缺省路由指定的可能性最大）

ospf 1

import-route direct

area 0.0.0.0

network 40.1.1.0 0.0.0.255

area 0.0.0.1

network 30.1.1.0 0.0.0.255

network 32.1.1.0 0.0.0.255

配置nat地址组，nat转换后的地址和te0/0.4000接口在一个网段（也可以不在一个网段，注意路由的发布）

nat address-group 1 40.1.1.50 40.1.1.100 level 1

创建ACL，匹配该ACL的IP报文进行NAT转换

acl number 3000

rule 0 permit ip source 10.1.1.0 0.0.0.255

出接口te0/0.4000配置nat，根据配置的ACL从nat地址组中动态选择地址进行地址转换

interface Ten-GigabitEthernet0/0.4000

vlan-type dot1q vid 4000

ip address 40.1.1.1 255.255.255.0

nat outbound 3000 address-group 1

对于有些地址，如果想静态转换，通过下面的命令实现：

全局配置静态地址转换表

nat static 10.1.1.200 40.1.1.200

出接口配置nat outbound static

interface Ten-GigabitEthernet0/0.4000

vlan-type dot1q vid 4000

ip address 40.1.1.1 255.255.255.0

nat outbound 3000 address-group 1

nat outbound static

双机热备配置，需要通过web界面登陆配置，提前在两块FW插卡的外部ge端口连接好线路，这里使用g0/0/2端口。通过web登陆FW，左键点机“高可靠性”展开后，然后点机“双机热备”，在右侧勾选“使能双机热备功能”，备份类型有两种分别为对称路径和非对称路径，选择“支持非对称路径”，通过点机“修改备份接口”来选择用以双机热备的外部ge端口。