虚拟AP技术白皮书
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
· 传统逻辑隔离
传统的逻辑隔离方案,通过单个AC内部的VLAN划分实现内外网不同业务的隔离。由于内外网的接入由一台无线控制器控制,两套网络在使用时可能存在内外网资源混乱、安全等问题。
图1-1 传统逻辑隔离
· 完全物理隔离
完全物理隔离方案是内外网各配置一套AC和AP组网,虽然实现内外网络的完全隔离,但增加了用户的部署成本。
图1-2 完全物理隔离
· 新华三内外网隔离方案
新华三提出的内外网双AC管理一套AP就是基于内外网隔离功能做出的配套解决方案,旨在通过两台AC控制一套AP,并在同一套AP上实现内外网隔离,从而解决客户痛点,安全且成本低。
图1-3 新华三内外网隔离方案(AP双上行口)
图1-4 新华三内外网隔离方案(AP单上行口)
· 用户可以通过虚拟化多台物理AP,实现多套相互隔离的无线网络环境,无需额外投入AP设备。
· 虚拟AP上线不占用License,大大降低了用户部署无线网络的成本。
通过设备虚拟化技术将一个AP虚拟为两个AP,利用AP上内外网独立运行的线程以及双AC完成内外网数据的隔离,避免两套网络在使用过程中发生资源冲突,保障内外网业务互不影响。
虚拟AP是在物理AP上虚拟化出的一个AP,它与物理AP相互隔离,为不同用户提供无线接入服务。用户可以将其无线网络中的多台物理AP虚拟化出多台虚拟AP,使用一台AC对物理AP进行管理,使用其它AC对虚拟AP进行管理,实现多套相互隔离的无线网络环境,降低用户部署无线网络的成本。
· AP双上行口
如图2-1所示,首先在AC 1上安装AP License,使物理AP通过以太网接口1连接上行网络,通过管理VLAN n与AC 1建立CAPWAP隧道连接,然后在物理AP上虚拟化出一个虚拟AP,使虚拟AP通过以太网接口2连接上行网络,通过管理VLAN m与AC 2建立CAPWAP隧道连接(由于虚拟AP上线不占用License,所以AC 2无需安装License)。AC 1、AC 2分别对物理AP和虚拟AP进行管理,实现了两套相互隔离的无线网络环境,分别为不同的Client提供无线接入服务。
图2-1 双上行口虚拟AP应用示意图
· AP单上行口
如图2-2所示,首先在AC 1上安装AP License,AP通过一个以太网接口连接上行网络,使物理AP通过管理VLAN n与AC 1建立CAPWAP隧道连接,然后在物理AP上虚拟化出一个虚拟AP,使虚拟AP通过管理VLAN m与AC 2建立CAPWAP隧道连接(由于虚拟AP上线不占用License,所以AC 2无需安装License)。AC 1、AC 2分别对物理AP和虚拟AP进行管理,实现了两套相互隔离的无线网络环境,分别为不同的Client提供无线接入服务。
图2-2 单上行口虚拟AP应用示意图
物理AP在AC 1上上线后,首先开启虚拟AP功能,然后创建虚拟AP并配置虚拟AP连接的AC的IP地址,即可开始创建虚拟AP流程,具体过程如下:
(1) 开启虚拟AP功能,然后创建虚拟AP并配置虚拟AP连接的AC的IP地址。
(2) 在物理AP上设置虚拟AP的管理VLAN。
(3) 将配置的虚拟AP管理VLAN设置为DHCP方式获取IP地址。
(4) 在物理AP上创建虚拟AP。
(5) 虚拟AP获取管理VLAN IP地址成功,向AC 2发起上线流程;如果虚拟AP获取管理VLAN IP地址失败,则虚拟AP开启定时器一直获取管理VLAN的IP地址。
图2-3 创建虚拟AP
物理AP创建虚拟AP数据块且获取虚拟AP管理VLAN IP地址成功后,虚拟AP就会进入CAPWAP状态机,并向AC 2发起上线流程,具体过程如下:
(1) AC 2收到Discovery Request报文后,根据AP型号、能力集等信息判断是否回应Discovery Response报文。
(2) AC 2收到Join Request报文后,根据报文中携带的AP序列号等信息检查自身是否存在AP模板。若存在,则回应Join Response报文;若不存在且根据携带的虚拟AP标记判断为虚拟AP,则不回应Join Response报文。
(3) 如果开启了版本升级功能,且虚拟AP和AC 2的版本不一致,会造成虚拟AP无法上线,也不会下载版本。版本不一致时,需要关闭虚拟AP的版本升级功能。
(4) 虚拟AP在CAPWAP配置下载阶段请求下载支持的配置信息。
(5) 虚拟AP在AC 2上线成功。
图2-4 虚拟AP上线
· 在1个物理AP上最多可以创建1个虚拟AP。
· 开启虚拟AP功能后,物理AP与虚拟AP的Radio下能绑定的无线服务模板数只有正常模式的一半。
· 物理AP与虚拟AP在同一个Radio上共享客户端接入上限。当前Radio实际接入客户端数量为物理AP Radio下的客户端数量与虚拟AP Radio下的客户端数量之和。
· 虚拟AP不支持自动AP。
· 内网AC和外网AC不要求必须是同一型号AC。
· 虚拟AP不支持版本升级功能。AP版本升级功能缺省处于开启状态,如果虚拟AP和所在AC的版本不一致,会造成虚拟AP无法上线,此时建议关闭虚拟AP所在AC的版本升级功能。
· 虚拟AP连接的AC IP地址不能和同一个AP的物理AP上线的AC IP地址相同,且两者的IP地址类型需要保持一致,即都通过IPv4地址或者IPv6地址在AC上线。
· 关闭虚拟AP功能前,需要确保所有AP和AP组视图下没有创建虚拟AP,否则需要首先删除已创建的虚拟AP,才能成功关闭虚拟AP功能。
· 虚拟AP能否正常工作依赖于物理AP,请确保物理AP处于正常工作状态。例如:物理AP断开CAPWAP隧道连接,也会导致虚拟AP断开CAPWAP隧道连接。
· 虚拟AP所在的AC不支持双链路备份。
· 虚拟AP所在的AC不支持堆叠。
· 虚拟AP不支持分层。
· 虚拟AP不支持零漫游。
· 虚拟AP侧的Portal认证不支持本地转发。
· 内网AC和外网AC需要保证区域码一致。
· 虚拟AP所在的AC不支持下发MAP文件。
· 虚拟AP所在的AC上针对虚拟AP配置WLAN负载均衡功能、WLAN射频负载均衡功能和频谱导航功能不生效。
如图3-1所示,AP的不同物理上行口分别对应内网和外网,在AP上虚拟化出一个虚拟AP。内网AC 1和外网AC 2相互独立,分别管理物理AP和虚拟AP,AP通过管理VLAN n和管理VLAN m分别与两台AC建立CAPWAP隧道。
内网SSID 1和外网SSID 2是由物理AP和虚拟AP释放的两个无线服务,内网SSID开启零漫游服务,外网SSID开启Portal认证,内部员工和外部访客分别通过内网SSID 1和外网SSID 2接入网络。
图3-1 普通虚拟AP组网图(AP双上行口)
如图3-2所示,AP使用一个以太网接口连接上行网络,在AP上虚拟化出一个虚拟AP。内网AC 1和外网AC 2相互独立,分别管理物理AP和虚拟AP,AP通过管理VLAN n和管理VLAN m分别与两台AC建立CAPWAP隧道。
内网SSID 1和外网SSID 2是由物理AP和虚拟AP释放的两个无线服务,内网SSID开启零漫游服务,外网SSID开启Portal认证,内部员工和外部访客分别通过内网SSID 1和外网SSID 2接入网络。
图3-2 普通虚拟AP组网图(AP单上行口)
如图3-3所示,WT的不同物理上行口分别对应内网和外网,在WT和WTU上虚拟化出一个虚拟WT和WTU。内网AC 1和外网AC 2相互独立,分别管理物理WT、WTU和虚拟WT、WTU,WT和WTU通过管理VLAN n以及管理VLAN m分别与两台AC建立CAPWAP隧道。
内网SSID 1和外网SSID 2是由物理WTU和虚拟WTU释放的两个无线服务,内网SSID开启零漫游服务,外网SSID开启Portal认证,内部员工和外部访客分别通过内网SSID 1和外网SSID 2接入网络。
图3-3 虚拟WT和WTU组网图(WT双上行口)
如图3-4所示,WT使用一个以太网接口连接上行网络,在WT和WTU上虚拟化出一个虚拟WT和WTU。内网AC 1和外网AC 2相互独立,分别管理物理WT、WTU和虚拟WT、WTU,WT和WTU通过管理VLAN n以及管理VLAN m分别与两台AC建立CAPWAP隧道。
内网SSID 1和外网SSID 2是由物理WTU和虚拟WTU释放的两个无线服务,内网SSID开启零漫游服务,外网SSID开启Portal认证,内部员工和外部访客分别通过内网SSID 1和外网SSID 2接入网络。
图3-4 虚拟WT和WTU组网图(WT单上行口)
如图3-5所示,AP使用一个以太网接口连接上行网络,在AP上虚拟化出一个虚拟AP。内网AC 1和AC 3组成AP双链路备份,内网AC 1、AC 3和外网AC 2相互独立,内网AC管理物理AP,外网AC管理虚拟AP。AP通过管理VLAN n和管理VLAN m分别与内外网AC建立CAPWAP隧道。
内网SSID 1和外网SSID 2是由物理AP和虚拟AP释放的两个无线服务,内网SSID开启零漫游服务,外网SSID开启Portal认证,内部员工和外部访客分别通过内网SSID 1和外网SSID 2接入网络。
· 《H3C 虚拟AP技术最佳实践》
· 《虚拟AP技术介绍视频》