1  背景概述

傳統的WLAN網路都是為企業或家庭內少量移動使用者的接入而組建的，這類網路典型的組網方式是採用FAT AP＋有線交換機的分散式WLAN組網模式，由AP來完成使用者的無線接入、使用者許可權認證、使用者安全策略實施，對WLAN網路裝置的管理也是分散式的。隨著WLAN技術的成熟和應用的普及，越來越多的企業開始大規模部署WLAN網路，接入的使用者數和無線裝置的規模都在成倍增長，網路維護人員在建設和維護WLAN網路時發現採用傳統的WLAN組網和管理模式已經很難適應現有的WLAN網路規模。目前在中大型WLAN網路的建設和維護中遇到的主要問題有：

a)               WLAN建網時需要對成百上千的AP進行逐一配置：網管IP地址、SSID和加密認證方式等無線業務引數、通道和發射功率等射頻引數、ACL和QOS等服務策略，很容易因誤配置而造成配置不一致。

b)               為了管理AP，需要維護大量AP的IP地址和裝置的對映關係，每新增加一批AP裝置都需要進行地址關係維護。

c)               接入AP的邊緣網路需要更改VLAN、ACL等配置以適應無線使用者的接入，為了能夠支援使用者的無縫漫遊，需要在邊緣網路上配置所有無線使用者可能使用的VLAN和ACL。

d)               察看網路執行狀況和使用者統計時需要逐一登入到AP裝置才能完成察看。線上更改服務策略和安全策略設定時也需要逐一登入到AP裝置才能完成設定。

e)               升級AP軟體無法自動完成，維護人員需要手動逐一對裝置進行軟體升級，費時費力

f)                 AP裝置的丟失意味著網路配置的丟失，在發現裝置丟失前，網路存在入侵隱患，在發現裝置丟失後又需要全網重配置。

隨著建網、組網問題的不斷出現，一種全新的WLAN網路架構－無線控制器＋FIT AP集中式WLAN管理模式應運而生。無線控制器＋FIT AP控制架構對裝置的功能進行了重新劃分，其中無線控制器負責無線網路的接入控制，轉發和統計、AP的配置監控、漫遊管理、AP的網管代理、安全控制；FIT AP負責802.11報文的加解密、802.11的PHY功能、接受無線控制器的管理、RF空口的統計等簡單功能。H3C公司在支援這種新的網路架構時將一些新的智慧功能整合進FIT AP和無線控制器中，以便於給使用者呈現統一的網路管理介面：

1、          FIT AP的配置儲存在無線控制器中，FIT AP啟動時會自動從無線控制器下載合適的裝置配置資訊。

2、          FIT AP需要能夠自動獲取IP地址，同時FIT AP需要能夠自動發現可接入的無線控制器，並對無線控制器和FIT AP之間的網路拓撲不敏感。

3、          無線控制器支援FIT AP的配置代理和查詢代理，能夠將使用者對FIT AP的配置順利傳達到指定的FIT AP裝置，同時可以實時察看FIT AP的狀態和統計資訊。

4、          無線控制器儲存FIT AP的最新軟體，並負責FIT AP軟體的自動更新。

H3C公司通過這一全新的網路管理介面可以很好的解決目前中大型WLAN網路組網中存在的管理問題：

1、          使用者只需要建立業務引數模板和裝置引數模板，並設定指定的AP引用這些模板，當FIT AP啟動時無線控制器會根據預先的配置引用資訊給FIT AP下發配置，使用者的配置工作量大大減少。

2、          使用者對FIT AP的管理是通過無線控制器來代理完成，網管不再關心FIT AP的IP地址，FIT AP和無線控制器之間的關聯是自動完成，不再需使用者對AP進行的配置干預。

3、          無線使用者的資料報文被FIT AP封裝在AP和AC間的資料隧道中，接入AP的邊緣網路不需要再為無線使用者的接入而更改VLAN和ACL等配置。

4、          無線控制器儲存了所管理的FIT AP的執行狀況和線上使用者統計資訊，維護人員只需登入到指定的無線控制器就可以完成資訊察看。使用者對FIT AP的管理是通過無線控制器來代理完成，因此線上更改服務策略設定和安全策略設定也不再需要逐一登入到AP裝置，而只需要登入到指定的無線控制器就可以完成設定，無線控制器會自動把新的配置下發到指定的FIT AP。

5、          使用者不再需要手動逐一對AP裝置進行軟體升級，AP在每次重新啟動時會自動比較當前執行的版本和無線控制器上儲存的版本，如果無線控制器上儲存的版本更新，FIT AP會自動更新本地的軟體影像。

6、          AP本地不再儲存配置資訊，即使裝置丟失也不存在因配置丟失而出現的安全隱患。

2  理解AP零配置

在集中式WLAN管理模式中，H3C的FIT AP和無線控制器之間可以支援兩種網路拓撲結構（圖1所示）：

1.      二層網路連線模式： FIT AP和無線控制器同屬於一個二層廣播域，FIT AP和AC之間通過二層交換機互聯。

2.      三層網路連線模式： FIT AP和無線控制器屬於不同的IP網段. FIT AP和AC之間的通訊需要通過路由器或者三層交換機三層轉發來完成。

圖1 無線控制器和FIT AP之間的網路拓撲

FIT AP在和網路通訊前必須能夠獲取自身的IP地址，為了減少維護人員的配置，FIT AP必須能夠支援自動獲取IP地址，目前業界標準的做法是採用DHCP client功能. AP啟動以後會在其上行介面上通過DHCP client模組發起獲取IP地址的過程. 通過DHCP的協議互動FIT AP可以從DHCP server獲取到以下資訊：自身使用的IP地址、DNS server的IP地址、閘道器IP地址、域名、可接入的無線控制器的IP地址列表（此資訊通過DHCP option43提供）等。

FIT AP一旦獲取到IP地址，就會通過廣播方式發起無線控制器發現請求.和AP同屬於相同二層廣播域的無線控制器會根據預先配置的可接入AP列表和當前的負載情況決定是否響應AP的發現請求.通過使用者的預先配置和無線控制器自身的判斷可以使FIT AP均衡的接入到不同的無線控制器。FIT AP和無線控制器的互動過程詳見圖2

圖2 相同廣播域內的無線控制器發現過程

H3C的FIT AP還能夠支援被跨三層網路的無線控制器管理.在這種情況下由於FIT AP和無線控制器之間跨越了三層網路，因此FIT AP已經無法通過二層廣播方式來發現無線控制器而只能通過單播形式來發現遠端的無線控制器，但FIT AP如何能夠獲取到無線控制器的IP地址呢？ H3C的FIT AP支援兩種方法來實現這一功能：

方法一：FIT AP從DHCP server獲取IP地址時同時會獲取到自身的domain名字和DNS server地址，FIT AP將獲取到的domain名字和固定的H3C串拼接成H3C.xxxx.xxx的DNS域名，同時FIT AP會向DNS server請求解析獲取H3C.xxxx.xxx的IP地址，使用者只需在DNS server上配置H3C.xxxx.xxx對應的無線控制器的IP地址，AP就能獲取到無線控制器的IP地址並向該IP地址傳送無線控制器發現請求。

方法二：使用者在DHCP server上通過option43屬性來配置無線控制器的IP地址，當FIT AP在從DHCP server獲取IP地址時，通過解析DHCP迴應報文中攜帶的option43屬性就可以獲取無線控制器的IP地址並向該IP地址傳送無線控制器發現請求。

圖3描述了一個FIT AP發現無線控制器的典型互動過程：

圖3 FIT AP發現無線控制器的典型互動過程

1)   預先在無線控制器上配置AP的配置資訊，在DHCP server上配置域名，在DNS server上配置無線控制器的域名對應的IP地址，其中無線控制器的域名為H3C.xxxx.xxx，xxxx.xxx和使用者在DHCP Server上配置的域名相同。

2)   AP啟動以後會通過DHCP獲取獲取IP地址、DNS server、域名。

3)   AP發出二層廣播的發現請求報文試圖聯絡一個無線控制器。

4)   如果長時間沒有響應AP會認為在自己相同的子網內沒有合適的無線控制器可以接入，AP會從DNS server獲取H3C.xxxx.xxx的IP地址，其中xxxx.xxx是從DHCP server學習到的域名，AP向該IP地址傳送發現請求。

5)   接收到發現請求報文的無線控制器會檢查該AP是否有接入本機的許可權，如果有則迴應發現響應。

6)   無線控制器和AP間建立CAPWAP隧道  。

為了適應下一代IP網路的部署要求，H3C公司的FIT AP能夠同時滿足IPv4和IPv6兩種不同網路的組網要求（圖4所示），為了簡化使用者配置這種適應能力不需要使用者配置干預而是自適應調整.作為FIT AP的預設發現方式FIT AP會首先作為IPv4節點發起無線控制器發現過程，當發現過程失敗以後，FIT AP會切換到IPv6節點方式繼續無線控制器發現過程. FIT AP會在以下兩種情況下切換到IPv6模式：

·         FIT AP無法從DHCP server獲取到IPv4網路地址。

·         FIT AP在IPv4網路沒有無線控制器響應FIT AP的發現請求。

·         FIT AP在IPv4網路中和所有的無線控制器建立連線失敗。

圖4 AP和無線控制器部署於IPv4/IPv6雙棧網路

2.6  AP軟體下載

很多情況下網路維護者需要升級FIT AP的軟體，如果採用傳統的裝置升級方法則需要網路維護者利用TFTP/FTP來逐一對需要升級的AP進行軟體升級，為了保證升級以後的可回退性，還需要在AP的Flash空間中儲存備份軟體。這種升級方式對於網路維護者的工作負擔很大，同時為了支援升級以後的可回退性而增加FLASH空間會提升AP的成本。為了簡化網路維護者的工作，H3C的FIT AP在每次啟動時都會比較本地儲存的軟體版本和無線控制器上儲存的FIT AP的軟體版本，一旦FIT AP發現本地儲存的版本不是最新版本時，FIT AP會主動要求從無線控制器下載最新的軟體版本，這個下載更新過程無需使用者配置干預.

為了保證下載過程的可回退性，H3C的FIT AP的bootrom軟體可以監控下載的FIT AP軟體的執行狀況，一旦發現FIT AP軟體無法正常啟動，bootrom軟體會接管和無線控制器的互動，強制升級本地軟體版本。

FIT AP為了給無線使用者提供接入服務需要獲得無線業務引數、射頻引數等配置資訊。在分散式管理模型中網路維護者需要登入到每臺AP上對這些引數進行逐一配置，配置工作量巨大.在集中式管理模型中，FIP AP的配置資訊儲存在無線控制器上，FIT AP在每次系統啟動時都會從無線控制器上下載。為了方便配置，H3C的無線控制器提供了通用的業務模板和裝置模板，使用者可以根據開通的業務建立一個模板，並由不同的AP來引用。例如：使用者可以配置一個針對加密使用者的服務模板，該模板內包含：ssid＝“TKIP加密”，加密方式＝TKIP，認證方式＝802.1x，模板被AP1－Ap10引用，這樣使用者就不用再對每個AP都配置這些引數，而只需配置一遍。

3  結論

作為集中式WLAN管理模式的特色之一的AP零配置，給中大型WLAN網路的維護帶來了很大的便利性，AP在部署、升級、配置上不再需要使用者的頻繁干預，把網路維護者從繁重的配置操作中解放出來。可以預見，這種配置方式會成為未來WLAN網路部署和維護的主流方式。

4  產品資訊

使用者可以登陸H3C 公司網站http://www.h3c.com.cn查詢已經發布的支援無線控制器＋FIT AP體系架構的最新產品資訊。