云AC实现方案.docx
- 文档编号:28169948
- 上传时间:2023-07-09
- 格式:DOCX
- 页数:18
- 大小:801.54KB
云AC实现方案.docx
《云AC实现方案.docx》由会员分享,可在线阅读,更多相关《云AC实现方案.docx(18页珍藏版)》请在冰豆网上搜索。
云AC实现方案
云AC触发设备文件上传基本流程
一、总体方案介绍
1、由云AC(ACS)发起CWMPUpload请求到设备(CPE),用FileType字段区别业务类型,DelaySeconds字段填入延迟上传时间。
2、设备(CPE)响应Upload请求,一般采用异步方式上传文件,Status字段填1。
3、设备(CPE)采用HTTPPUT方法上传云AC(ACS)请求上传的文件。
4、云AC(ACS)响应HTTP请求。
5、设备(CPE)发送CWMPTransferComplete消息,告知云AC(ACS)上传结果,其中CommandKey字段值需要和Upload中CommandKey值一致。
6、云AC(ACS)发送TransferCompleteResponse响应到设备(CPE)。
一、MACC2.0配置整体框架
云AC前端
•前端配置操作
配置采用配置模板的方式,配置流程如下:
1)前端新建配置模板(新建完的配置模板没有配置内容)
2)对配置模板进行配置(对模板中的各个配置项进行实际配置)
3)关联设备/分组(将配置模板和设备或分组关联,也就是应用模板,关联后云AC将按照配置模板中的配置对整个分组下的设备或对单台设备进行配置)。
•.配置模板设计
•不同类型的设备有不同的母模板
不同设备需要的配置的种类有所不同,
所以考虑针对设备类型设计母模板,
比如AP的模板可以设计为如图所示,
里面包括无线配置,安全配置等:
云AC后端
云AC后端与设备的交互过程(配置ssid为例)
步骤3:
设置ssid实例参数
射频管理设计方案
一、需求提出
在AP密集分布的应用场景中,若各AP的射频信号、功率设置不当,容易在各AP之间产生同频干扰或临频干扰。
这会导致网络通信质量下降、丢包率增大、带宽利用率减小等危害,严重影响到用户体验。
而部分AP不支持射频信号的自动调整,因此MACC需要一个射频管理的模块,对被管理的AP射频进行统一调整、配置。
二、整体设计方案
MACC主动触发被管理AP进行射频扫描,扫描周围存在的AP设备的射频信道、功率。
各AP扫描完成并将数据做初步处理后,上传至MACC。
MACC等带所有数据上传完成后,对收集的信息进行过滤、计算,最终得出各AP优化后的射频配置。
最终MACC将优化后的射频配置下发到各AP中。
三、软件架构
3.1射频自动调整流程(rrm2.0)
当AP的RRM流程被触发后,开始切换到固定信道,并扫描周围射频信号(扫描时间可配置)。
当AP扫描完成、并初步处理数据后,将该数据发送至云AC。
云AC等待所有触发设备的设备设备信息都上传完成后,开始弥补缺失数据、计算最佳射频配置。
最后云AC将计算的最佳结果作为配置下发到对应的设备。
需求要点
针对的问题
连锁酒店/KTV/医院外网场景
拓扑:
拓扑说明:
1)酒店房间采用Wall-AP,酒店大堂/餐厅等采用室内放装型AP。
2)认证统一在EG设备上进行,AP不参与认证。
3)AP上SSID采用桥模式(AP只做二层转发,不做三层转发和NAT转换);STA的地址池在EG或者AP的上联核心交换机上,不在AP上。
4)AP的管理VLAN和STA的VLAN独立,AP管理和STA使用不同的VLAN。
5)支持多SSID,不同的SSID映射不同的VLAN。
根据网点AP数量情况,同一SSID在不同AP组要能支持映射到不同的VLAN(EG可以根据不同VLAN的不同地址段实现弹出不同的认证Portal页面)。
Ø关于二层漫游
OPEN方式的SSID,在此拓扑下,二层漫游(从AP1到AP2,STA始终在同一VLAN的情况)实际上已经天然支持(AP在收到重关联请求时,按照关联请求处理,又由于是OPEN方式,重关联会成功)。
Ø支持三层漫游
三层漫游是指,STA从AP1切到AP2时,从一个VLANa切换到了另一个VLANb。
此时,STA的IP地址在AP2的VLANb是无法通行的。
此时,需要将STA的数据流从AP2隧道回AP1,从AP1往外走。
此场景,由于认证不再AP上,因此,三层漫游不涉及认证。
Ø关于快速漫游
对于非OPEN方式的SSID(云AC场景下还包括WPA-PSK/WPA2-PSK加密),漫游从AP1到AP2后,STA需要与AP2重新进行WPA四次握手之后才能开始数据传输。
这中间就增加了漫游的切换延迟。
针对这个环节,有了快速安全漫游的方案,目标就是减少漫到新的AP时,四次握手造成的切换延迟增加。
其中包括思科的CCKM(思科集中密钥管理),CCKM是针对802.1x的,可以减少EAP认证帧和四次握手过程,但是需要终端的支持。
IEEE的802.11r标准定义了WLAN的快速安全漫游。
目前云AC的目标场景,对漫游的时延敏感度不高,并且没有采用802.1x认证,同时行业AP当前未支持802.11r,本项目暂不支持快速安全漫游。
连锁超市/门店/银行网点场景
拓扑:
拓扑说明:
#单网点AP数量较少
#认证在AP上,不依赖于出口设备
#终端STA的地址池可以在AP上,也可以在AP的上联三层设备上
这个场景是否存在如下情况:
终端STA的地址池在AP的上联三层设备上,AP做二层接入,同时负责认证?
针对这个问题,我们定义好“三层漫游”和“认证漫游(无感知认证)”的边界。
如果AP做二层接入,而且STA映射到相同的VLAN,则属于二层漫游,不属于三层漫游。
此时由于认证在AP上,由AP1切换到AP2时,由于AP2上没有认证放行表项而需要重新认证的问题,由“认证漫游”来解,不通过将流量隧道回AP1来解。
需求:
对于认证在AP上且STA的地址池在AP上(NAT模式),三层漫游是强需求。
MACC2.0]
漫游方案-设计草稿
方案要点
思路
图1三层漫游拓扑
如上图,上图隐患信息为,所有AP释放同一个SSID,该SSID在AP1X上映射到VLAN10,在AP2X上映射到VLAN20,在AP3X上映射到VLAN30。
在椭圆内的AP间切换为二层漫游,在椭圆间漫游为三层漫游。
图2隧道方案
实际转发
的AP
隧道
0
初始在AP11
AP11
NA
1
AP11àAP12
AP12
NA
2
AP12àAP21
AP12
AP21-----AP12
·AP21根据漫游的(重关联帧)中携带的AP12的BSSID,查询BSSID数据库得到两个信息:
①三层②AP12的IP地址,将STA数据隧道回给AP12
信息来源:
云AC同步的BSSID数据库
3
AP21àAP23
AP12
AP23-----AP12
AP23通过重关联帧的得到AP21的信息(AP21的IP地址),本地查不到该STA的信息(STA_MAC/原始AP的IP地址),向AP21查询,并与AP21握手建立通讯通道。
信息来源:
AP23向AP21查询STA的信息
4
AP23àAP32
AP12
AP32-----AP12
AP32通过重关联帧的得到AP23的信息(AP23的IP地址),本地查不到该STA的信息(STA_MAC/原始AP的IP地址),向AP23查询,并与AP23握手建立通讯通道。
信息来源:
AP32向AP23查询STA的信息
(AP的通讯通道需要支持跨VLAN的AP间通讯)
5
AP32àAP21
AP12
AP21-----AP12
同上
6
AP32àAP31
AP12
AP31-----AP12
同上
7
AP31àAP13
AP13
NA
AP13从AP31学习到STA来自AP12,而AP12和自己(AP13)是同一个VLAN的,就不需要转发,直接自己转发走。
同时需要往外同步。
这里面的信息的同步本质上类似于路由信息的同步与学习,相关算法可以参考路由算法(区别在于这里只传一跳)。
需要哪些信息:
BSSID数据库
·BSSID找到对应的AP信息(IP地址、SN等)
·BSSID对应的VLAN信息,用于判断是否跨三层(是否需要隧道回去)
漫游AP组
·哪些AP属于同一个漫游组
·只有漫游组内的AP支持漫游和信息同步
STA按上面的路径漫游之后,AP间的通讯通道建立如下:
图3漫游邻居与STA漫游信息广播
[术语]
漫游邻居AP:
我们称相互建立漫游通讯通道的两个AP为漫游邻居。
STA漫游信息广播:
指AP在STA关联时,将STA的漫游信息向所有的漫游邻居(漫出AP除外)同步(漫游邻居不再往往扩散)。
如上图,我们看到AP21、AP23和AP32间的漫游通讯通道形成环路了,现实场景中也可能存在的。
不过由于漫游信息只传一跳,不会往外扩散,因此不会形成广播环路。
注意:
上述“漫游邻居AP”和“STA漫游信息”本质上都是针对SSID的。
[术语]
同域邻居:
漫游邻居AP间,如果SSID映射的VLAN相同,则称为同域邻居,如AP11和AP12、AP21和AP22、AP31和AP32。
跨域邻居:
漫游邻居AP间,如果SSID映射的VLAN不同,则称为跨域邻居,如AP12和AP21、AP23和AP32、AP21和AP32、AP31和AP13。
STA当关联的AP
当前关联AP的邻居AP
接入AP判断二层/三层漫游
STA漫游信息广播
0
初始在AP11
AP11
AP12
邻居只有AP12,同步(源AP为AP11)
1
AP11àAP12
AP12
AP11、AP21
源AP同域,二层漫游
AP11为漫出AP,不同步
AP21为跨域邻居,需要同步(源AP同域,替换为AP12,非AP11)
2
AP12àAP21
AP21
AP12、AP23、AP32
源AP跨域,三层漫游
AP12为漫出AP,不同步
AP23为同域邻居,需要同步(源AP跨域,保持为AP12)
AP32为跨域邻居,需要同步(同上)
3
AP21àAP23
AP23
AP21、AP32
源AP跨域、三层漫游
AP21为漫出AP,不同步
AP32为跨域邻居,需要同步
4
AP23àAP32
AP32
AP21、AP23
源AP跨域、三层漫游
AP21为跨域邻居,需要同步//AP21收到如何处理?
(AP21是否需要能区分这个信息本来就来自自己)
AP23为漫出AP,不同步
5
AP32àAP21
AP21
AP12、AP23、AP32
源AP跨域、三层漫游
AP12为跨域邻居,需要同步//AP12是否需要识别自己是这个STA的源AP
AP23为同域邻居,需要同步
AP32为漫出AP,不同步
6
AP32àAP31
AP31
AP13、AP32
源AP跨域、三层漫游
AP13为跨域邻居,需要同步
AP32为漫出AP,不同步
7
AP31àAP13
AP13
AP31
源AP同域、二层漫游
AP31为漫出AP,不同步(源AP同域,替换为AP13)
基于上述分析,形成规则如下规则:
1.一跳原则:
只同步邻居,不再往外扩展
2.漫出AP不同步
3.根据源AP判断二层/三层漫游
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- AC 实现 方案
![提示](https://static.bdocx.com/images/bang_tan.gif)