登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

虚拟AP技术白皮书-6W101

手册下载

虚拟AP技术白皮书-6W101-整本手册.pdf  (640.94 KB)

  • 发布时间:2023/12/9 0:52:32
  • 浏览量:
  • 下载量:

虚拟AP技术白皮书

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。

 

1 概述··· 1

1.1 产生背景·· 1

1.2 技术优势·· 4

2 虚拟AP技术实现··· 4

2.1 工作原理·· 4

2.2 实现机制·· 6

2.2.1 创建虚拟AP· 6

2.2.2 虚拟AP上线·· 6

2.3 应用限制·· 7

3 典型组网应用··· 8

3.1 普通虚拟AP典型组网(AP双上行口)·· 8

3.2 普通虚拟AP典型组网(AP单上行口)·· 8

3.3 虚拟WTWTU典型组网(WT双上行口)·· 9

3.4 虚拟WTWTU典型组网(WT单上行口)·· 10

3.5 双链路备份典型组网·· 11

4 相关资料··· 12

 

1 概述

1.1  产生背景

随着信息技术的不断发展,医疗、办公等行业对于无线网络的需求也越来越多样化。这些行业的无线网络兼有供内部员工使用的内网和供外部人员使用的外网。如何才能对内外网进行安全的隔离以规避风险,同时又支持内外网的融合与统一管理?

·     传统逻辑隔离

传统的逻辑隔离方案,通过单个AC内部的VLAN划分实现内外网不同业务的隔离。由于内外网的接入由一台无线控制器控制,两套网络在使用时可能存在内外网资源混乱、安全等问题。

图1-1 传统逻辑隔离

 

·     完全物理隔离

完全物理隔离方案是内外网各配置一套ACAP组网,虽然实现内外网络的完全隔离,但增加了用户的部署成本。

图1-2 完全物理隔离

 

·     新华三内外网隔离方案

新华三提出的内外网双AC管理一套AP就是基于内外网隔离功能做出的配套解决方案,旨在通过两台AC控制一套AP,并在同一套AP上实现内外网隔离,从而解决客户痛点,安全且成本低。

图1-3 新华三内外网隔离方案(AP双上行口)

 

图1-4 新华三内外网隔离方案(AP单上行口)

 

1.2  技术优势

1. 降低用户部署成本

·     用户可以通过虚拟化多台物理AP,实现多套相互隔离的无线网络环境,无需额外投入AP设备。

·     虚拟AP上线不占用License,大大降低了用户部署无线网络的成本。

2. 解决无线资源划分混乱和资源使用冲突问题

通过设备虚拟化技术将一个AP虚拟为两个AP,利用AP上内外网独立运行的线程以及双AC完成内外网数据的隔离,避免两套网络在使用过程中发生资源冲突,保障内外网业务互不影响。

2 虚拟AP技术实现

2.1  工作原理

虚拟AP是在物理AP上虚拟化出的一个AP,它与物理AP相互隔离,为不同用户提供无线接入服务。用户可以将其无线网络中的多台物理AP虚拟化出多台虚拟AP,使用一台AC对物理AP进行管理,使用其它AC对虚拟AP进行管理,实现多套相互隔离的无线网络环境,降低用户部署无线网络的成本。

·     AP双上行口

2-1所示,首先在AC 1上安装AP License,使物理AP通过以太网接口1连接上行网络,通过管理VLAN nAC 1建立CAPWAP隧道连接,然后在物理AP上虚拟化出一个虚拟AP,使虚拟AP通过以太网接口2连接上行网络,通过管理VLAN mAC 2建立CAPWAP隧道连接(由于虚拟AP上线不占用License,所以AC 2无需安装License)。AC 1AC 2分别对物理AP和虚拟AP进行管理,实现了两套相互隔离的无线网络环境,分别为不同的Client提供无线接入服务。

图2-1 双上行口虚拟AP应用示意图

 

·     AP单上行口

2-2所示,首先在AC 1上安装AP LicenseAP通过一个以太网接口连接上行网络,使物理AP通过管理VLAN nAC 1建立CAPWAP隧道连接,然后在物理AP上虚拟化出一个虚拟AP,使虚拟AP通过管理VLAN mAC 2建立CAPWAP隧道连接(由于虚拟AP上线不占用License,所以AC 2无需安装License)。AC 1AC 2分别对物理AP和虚拟AP进行管理,实现了两套相互隔离的无线网络环境,分别为不同的Client提供无线接入服务。

图2-2 单上行口虚拟AP应用示意图

 

2.2  实现机制

2.2.1  创建虚拟AP

物理APAC 1上上线后,首先开启虚拟AP功能,然后创建虚拟AP并配置虚拟AP连接的ACIP地址,即可开始创建虚拟AP流程,具体过程如下:

(1)     开启虚拟AP功能,然后创建虚拟AP并配置虚拟AP连接的ACIP地址。

(2)     在物理AP上设置虚拟AP的管理VLAN

(3)     将配置的虚拟AP管理VLAN设置为DHCP方式获取IP地址。

(4)     在物理AP上创建虚拟AP

(5)     虚拟AP获取管理VLAN IP地址成功,向AC 2发起上线流程;如果虚拟AP获取管理VLAN IP地址失败,则虚拟AP开启定时器一直获取管理VLANIP地址。

图2-3 创建虚拟AP

 

2.2.2  虚拟AP上线

物理AP创建虚拟AP数据块且获取虚拟AP管理VLAN IP地址成功后,虚拟AP就会进入CAPWAP状态机,并向AC 2发起上线流程,具体过程如下:

(1)     AC 2收到Discovery Request报文根据AP型号、能力集等信息判断是否回应Discovery Response报文。

(2)     AC 2收到Join Request报文,根据报文中携带的AP序列号等信息检查自身是否存在AP模板若存在,回应Join Response报文若不存在根据携带虚拟AP标记判断虚拟AP不回应Join Response报文。

(3)     如果开启了版本升级功能,且虚拟APAC 2的版本不一致,会造成虚拟AP无法上线,也不会下载版本。版本不一致时,需要关闭虚拟AP的版本升级功能。

(4)     虚拟APCAPWAP配置下载阶段请求下载支持的配置信息。

(5)     虚拟APAC 2上线成功。

图2-4 虚拟AP上线

 

2.3  应用限制

·     1个物理AP上最多可以创建1个虚拟AP

·     开启虚拟AP功能后,物理AP与虚拟APRadio下能绑定的无线服务模板数只有正常模式的一半。

·     物理AP与虚拟AP在同一个Radio上共享客户端接入上限。当前Radio实际接入客户端数量为物理AP Radio下的客户端数量与虚拟AP Radio下的客户端数量之和。

·     虚拟AP不支持自动AP

·     内网AC和外网AC不要求必须是同一型号AC

·     虚拟AP不支持版本升级功能。AP版本升级功能缺省处于开启状态,如果虚拟AP和所在AC的版本不一致,会造成虚拟AP无法上线,此时建议关闭虚拟AP所在AC的版本升级功能。

·     虚拟AP连接的AC IP地址不能和同一个AP的物理AP上线的AC IP地址相同,且两者的IP地址类型需要保持一致,即都通过IPv4地址或者IPv6地址在AC上线。

·     关闭虚拟AP功能前,需要确保所有APAP组视图下没有创建虚拟AP,否则需要首先删除已创建的虚拟AP,才能成功关闭虚拟AP功能。

·     虚拟AP能否正常工作依赖于物理AP,请确保物理AP处于正常工作状态。例如:物理AP断开CAPWAP隧道连接,也会导致虚拟AP断开CAPWAP隧道连接。

·     虚拟AP所在的AC不支持双链路备份。

·     虚拟AP所在的AC不支持堆叠。

·     虚拟AP不支持分层。

·     虚拟AP不支持零漫游。

·     虚拟AP侧的Portal认证不支持本地转发。

·     内网AC和外网AC需要保证区域码一致。

·     虚拟AP所在的AC不支持下发MAP文件。

·     虚拟AP所在的AC上针对虚拟AP配置WLAN负载均衡功能、WLAN射频负载均衡功能和频谱导航功能不生效。

3 典型组网应用

3.1  普通虚拟AP典型组网(AP双上行口)

3-1所示,AP的不同物理上行口分别对应内网和外网,在AP上虚拟化出一个虚拟AP。内网AC 1和外网AC 2相互独立,分别管理物理AP和虚拟APAP通过管理VLAN n和管理VLAN m分别与两台AC建立CAPWAP隧道。

内网SSID 1和外网SSID 2是由物理AP和虚拟AP释放的两个无线服务,内网SSID开启零漫游服务,外网SSID开启Portal认证,内部员工和外部访客分别通过内网SSID 1和外网SSID 2接入网络。

图3-1 普通虚拟AP组网图AP双上行口)

 

3.2  普通虚拟AP典型组网(AP单上行口)

3-2所示,AP使用一个以太网接口连接上行网络,在AP上虚拟化出一个虚拟AP。内网AC 1和外网AC 2相互独立,分别管理物理AP和虚拟APAP通过管理VLAN n和管理VLAN m分别与两台AC建立CAPWAP隧道。

内网SSID 1和外网SSID 2是由物理AP和虚拟AP释放的两个无线服务,内网SSID开启零漫游服务,外网SSID开启Portal认证,内部员工和外部访客分别通过内网SSID 1和外网SSID 2接入网络。

图3-2 普通虚拟AP组网图AP单上行口)

 

3.3  虚拟WTWTU典型组网(WT双上行口)

3-3所示,WT的不同物理上行口分别对应内网和外网,在WTWTU上虚拟化出一个虚拟WTWTU。内网AC 1和外网AC 2相互独立,分别管理物理WTWTU和虚拟WTWTUWTWTU通过管理VLAN n以及管理VLAN m分别与两台AC建立CAPWAP隧道。

内网SSID 1和外网SSID 2是由物理WTU和虚拟WTU释放的两个无线服务,内网SSID开启零漫游服务,外网SSID开启Portal认证,内部员工和外部访客分别通过内网SSID 1和外网SSID 2接入网络。

图3-3 虚拟WTWTU组网图WT双上行口)

 

3.4  虚拟WTWTU典型组网(WT单上行口)

3-4所示,WT使用一个以太网接口连接上行网络,在WTWTU上虚拟化出一个虚拟WTWTU。内网AC 1和外网AC 2相互独立,分别管理物理WTWTU和虚拟WTWTUWTWTU通过管理VLAN n以及管理VLAN m分别与两台AC建立CAPWAP隧道。

内网SSID 1和外网SSID 2是由物理WTU和虚拟WTU释放的两个无线服务,内网SSID开启零漫游服务,外网SSID开启Portal认证,内部员工和外部访客分别通过内网SSID 1和外网SSID 2接入网络。

图3-4 虚拟WTWTU组网图WT单上行口)

 

3.5  双链路备份典型组网

3-5所示,AP使用一个以太网接口连接上行网络,在AP上虚拟化出一个虚拟AP。内网AC 1AC 3组成AP双链路备份,内网AC 1AC 3和外网AC 2相互独立,内网AC管理物理AP,外网AC管理虚拟APAP通过管理VLAN n和管理VLAN m分别与内外网AC建立CAPWAP隧道。

内网SSID 1和外网SSID 2是由物理AP和虚拟AP释放的两个无线服务,内网SSID开启零漫游服务,外网SSID开启Portal认证,内部员工和外部访客分别通过内网SSID 1和外网SSID 2接入网络。

图3-5 双链路备份组网图

 

4 相关资料

·     H3C 虚拟AP技术最佳实践》

·     《虚拟AP技术介绍视频》

新华三官网
联系我们