【技术】园区网核心技术，都总结在这儿了！（二）

WLAN概述

• WLAN（Wireless Local Area Network，无线局域网）广义上是指以无线电波、激光、红外线等来代替有线局域网中的部分或全部传输介质所构成的网络。

• 小编介绍的WLAN技术基于802.11标准系列。

• 802.11是IEEE在1997年为WLAN定义的一个无线网络通信的工业标准。

• 此后这一标准又不断得到补充和完善，形成802.11的标准系列，例如802.11、802.11a、802.11b、802.11e、802.11g、802.11i、802.11n、802.11ac等。

无线接入点 (AP, Access Point) 

一般支持FAT AP（胖AP）、FIT AP（瘦AP）和云管理AP三种工作模式，根据网络规划的需求，可以灵活地在多种模式下切换。 

FAT AP：适用于家庭，独立工作，需单独配置，功能较为单一，成本低。独立完成用户接入、认证、数据安全、业务转发和QoS等功能。

FIT AP：适用于大中型企业，需要配合AC使用，由AC统一管理和配置，功能丰富，对网络维护人员的技能要求高。用户接入、AP上线、认证、路由、AP管理、安全协议、QoS等功能需要同AC配合完成。

云管理：适用于中小型企业，需要配合云管理平台使用，由云管理平台统一管理和配置，功能丰富，即插即用，对网络维护人员的技能要求低。

无线接入控制器 (AC, Access Controller) 

一般位于整个网络的汇聚层，提供高速、安全、可靠的WLAN业务。

提供大容量、高性能、高可靠性、易安装、易维护的无线数据控制业务，具有组网灵活、绿色节能等优势。

基本概念

• AC (Access Controller，无线控制器) ：在AC+FIT AP网络架构中，AC对无线局域网中的所有FIT AP进行控制和管理。

• AC负责WLAN的接入控制、转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制。

• FIT AP（瘦AP）负责802.11报文的加解密、802.11的物理层功能、接受AC的管理、空口的统计等简单功能。

• AC和AP之间使用的通信协议是CAPWAP。

相比于FAT AP架构，AC+FIT AP架构的优点如下。

• 配置与部署更容易

• 安全性更高

• 更新与扩展容易

AC和AP之间使用的通信协议是无线接入点控制和配置（Control And Provisioning of Wireless Access Points，CAPWAP）。CAPWAP协议定义的主要内容有：AP自动发现AC，AC对AP进行安全认证，AP从AC获取软件，AP从AC获得初始和动态配置等。通过该协议，AP和AC之间建立起CAPWAP隧道。CAPWAP隧道有两种：控制隧道和数据隧道。控制隧道主要传输控制报文（也称管理报文，是AC管理控制AP的报文）；数据隧道主要传输数据报文。CAPWAP隧道可以进行数据传输层安全（Datagram Transport Layer Security，DTLS）加密，因此传输的报文更加安全。

相比于FAT AP架构，AC+FIT AP架构的优点如下。

配置与部署：通过AC进行集中地网络配置和管理，不再需要对每个AP进行单独配置操作，同时对整网AP进行信道、功率的自动调整，免去了烦琐的人工调整过程。

安全性：由于FAT AP无法进行统一的升级操作，无法保证所有AP版本都有最新的安全补丁，而AC+FIT AP架构主要的安全能力是在AC上的，软件更新和安全配置仅需在AC上进行，从而可以快速进行全局安全设置；同时，为了防止加载恶意代码，设备会对软件进行数字签名认证，增强了更新过程的安全性。AC也实现了FAT AP架构无法支持的一些安全功能，包括病毒检测、统一资源定位地址（Uniform Resource Locater，URL）过滤、状态检测防火墙等高级安全特性。

更新与扩展：架构的集中管理模式使得同一AC下的AP有着相同的软件版本。当需要更新时，先由AC获取更新包或补丁，然后由AC统一更新AP版本。AP和AC的功能拆分也减少了对AP版本的频繁更新，有关用户认证、网管和安全等功能的更新只需在AC上进行。

什么是CAPWAP

• CAPWAP（Control And Provisioning of Wireless Access Points Protocol Specification，无线接入点控制和配置协议）定义了如何对AP进行管理、业务配置，即AC通过CAPWAP隧道来实现对AP的集中管理和控制。

• CAPWAP协议定义的主要内容有：AP自动发现AC，AC对AP进行安全认证，AP从AC获取软件，AP从AC获得初始和动态配置等。通过该协议，AP和AC之间建立起CAPWAP隧道。

CAPWAP隧道的功能

• CAPWAP隧道有两种：控制隧道和数据隧道。

• 控制隧道主要传输控制报文（也称管理报文，是AC管理控制AP的报文）；数据隧道主要传输数据报文。CAPWAP隧道可以进行数据传输层安全加密，因此传输的报文更加安全。当采用隧道转发模式时，AP将STA发出的数据通过CAPWAP隧道实现与AC之间的交互。

1. 虚拟路由冗余协议VRRP（Virtual Router Redundancy Protocol）通过把几台路由设备联合组成一台虚拟的路由设备，将虚拟路由设备的IP地址作为用户的默认网关实现与外部网络通信。当网关设备发生故障时，VRRP机制能够选举新的网关设备承担数据流量，从而保障网络的可靠通信。

2. 通常，同一网段内的所有主机上都设置一条相同的、以网关为下一跳的缺省路由。主机发往其他网段的报文将通过缺省路由发往网关，再由网关进行转发，从而实现主机与外部网络的通信。当网关发生故障时，本网段内所有以网关为缺省路由的主机将无法与外部网络通信。增加出口网关是提高系统可靠性的常见方法，此时如何在多个出口之间进行选路就成为需要解决的问题。

3. VRRP的出现很好的解决了这个问题。VRRP能够在不改变组网的情况下，将多台路由设备组成一个虚拟路由器，通过配置虚拟路由器的IP地址为默认网关，实现默认网关的备份。

冗余备份：VRRP可以将多台路由设备配置为缺省网关路由器，当出现单点故障的时候通过备份链路进行业务传输，从而降低网络故障的可能性，保证用户的各种业务不中断传输。

负载分担：VRRP可以实现多台设备同时承担业务流量，从而减轻主用设备上数据流量的承载压力，在路由设备之间更均衡地分担流量。

联动功能：VRRP联动可以监视上行链路的故障。当上行接口或链路故障时，VRRP备份组的Master设备降低优先级，重新进行选举，确保Master路由器为最佳的VRRP路由设备，保证流量的正常转发。VRRP与BFD联动可以提高VRRP备份组中主备设备的切换速度。利用BFD检测速度快的特点，在Master设备和Backup设备之间建立BFD会话并与VRRP备份组进行绑定，实现Master设备和Backup设备之间的链路出现故障时，Backup设备迅速切换为Master，承担网络流量。

• iStack（Intelligent Stack，智能堆叠），简称堆叠，是指将多台支持堆叠特性的交换机设备组合在一起，从逻辑上组合成一台交换设备。iStack针对华为盒式交换机。

• CSS（Cluster Switch System，集群交换机系统），又称为集群，是指将两台支持集群特性的交换机设备组合在一起，从逻辑上组合成一台交换设备。CSS针对华为框式交换机。

• 堆叠iStack（Intelligent Stack），是指将多台支持堆叠特性的交换机设备组合在一起，从逻辑上组合成一台整体交换设备。

• 堆叠系统建立之前，每台交换机都是单独的实体，有自己独立的IP地址和MAC地址，对外体现为多台交换机，用户需要独立的管理所有的交换机；堆叠建立后堆叠成员对外体现为一个统一的逻辑实体，用户使用一个IP地址对堆叠中的所有交换机进行管理和维护，如图所示。通过交换机堆叠，可以实现网络大数据量转发和网络高可靠性，同时简化网络管理。

动态主机配置协议DHCP（Dynamic Host Configuration Protocol）是一种用于集中对用户IP地址进行动态管理和配置的技术。即使规模较小的网络，通过DHCP也可以使后续增加网络设备变得简单快捷。

DHCP允许计算机动态地获取IP地址，而不是静态为每台主机指定地址。

DHCP能够分配其他配置参数，例如客户端的启动配置文件，使客户端仅用一个消息就获取它所需要的所有配置信息。

DHCP协议由RFC 2131定义，采用客户端/服务器通信模式，由客户端（DHCP Client）向服务器（DHCP Server）提出配置申请，服务器返回为客户端分配的配置信息。

DHCP可以提供两种地址分配机制，网络管理员可以根据网络需求为不同的主机选择不同的分配策略。

动态分配机制：通过DHCP为主机分配一个有使用期限（这个使用期限通常叫做租期）的IP地址。这种分配机制适用于主机需要临时接入网络或者空闲地址数小于网络主机总数且主机不需要永久连接网络的场景。

静态分配机制：网络管理员通过DHCP为指定的主机分配固定的IP地址。相比手工静态配置IP地址，通过DHCP方式静态分配机制避免人工配置发生错误，方便管理员统一维护管理。

DHCP受益主要有以下两点： 

▫降低客户端的配置和维护成本

▫集中管理

NTP主要应用于网络中所有设备时钟需要保持一致的场合

• 网络管理：对从不同路由器采集来的日志信息、调试信息进行分析时，需要以时间作为参照依据。

• 计费系统：要求所有设备的时钟保持一致。

• 多个系统协同处理同一个复杂事件：为保证正确的执行顺序，多个系统必须参考同一时钟。

• 备份服务器和客户机之间进行增量备份：要求备份服务器和所有客户机之间的时钟同步。

• 系统时间：某些应用程序需要知道用户登录系统的时间以及文件修改的时间。

• 网络时间协议NTP（Network Time Protocol）是TCP/IP协议族里面的一个应用层协议。NTP用于在一系列分布式时间服务器与客户端之间同步时钟。NTP的实现基于IP和UDP。NTP报文通过UDP传输，端口号是123。

• 随着网络拓扑的日益复杂，整个网络内设备的时钟同步将变得十分重要。如果依靠管理员手工修改系统时钟，不仅工作量巨大，而且时钟的准确性也无法得到保证。NTP的出现就是为了解决网络内设备系统时钟的同步问题。

• NTP主要应用于网络中所有设备时钟需要保持一致的场合，比如：网络管理：对从不同路由器采集来的日志信息、调试信息进行分析时，需要以时间作为参照依据。

计费系统：要求所有设备的时钟保持一致。

多个系统协同处理同一个复杂事件：为保证正确的执行顺序，多个系统必须参考同一时钟。

备份服务器和客户机之间进行增量备份：要求备份服务器和所有客户机之间的时钟同步。

系统时间：某些应用程序需要知道用户登录系统的时间以及文件修改的时间。

交换机既可以作为NTP的服务器，也可以作为NTP的客户端。

LLDP（Link Layer Discovery Protocol）是IEEE 802.1ab中定义的链路层发现协议。LLDP是一种标准的二层发现方式，可以将本端设备的管理地址、设备标识、接口标识等信息组织起来，并发布给自己的邻居设备，邻居设备收到这些信息后将其以标准的管理信息库MIB（Management Information Base）的形式保存起来，以供网络管理系统查询及判断链路的通信状况。

随着网络规模越来越大，网络设备种类繁多，并且各自的配置错综复杂，对网络管理能力的要求也越来越高。传统网络管理系统多数只能分析到三层网络拓扑结构，无法确定网络设备的详细拓扑信息、是否存在配置冲突等。因此需要有一个标准的二层信息交流协议。

LLDP提供了一种标准的链路层发现方式。通过LLDP获取的设备二层信息能够快速获取相连设备的拓扑状态；显示出客户端、交换机、路由器、应用服务器以及网络服务器之间的路径；检测设备间的配置冲突、查询网络失败的原因。企业网用户可以通过使用网管系统，对支持运行LLDP协议的设备进行链路状态监控，在网络发生故障的时候快速进行故障定位。

SNMP简介

• SNMP（Simple Network Management Protocol，简单网络管理协议）是广泛应用于TCP/IP网络的网络管理标准协议。

• SNMP提供了一种通过运行网络管理软件的中心计算机（即网络管理工作站NMS）来管理设备的方法。

• 通过“利用网络管理网络”的方式，SNMP实现了对网络设备的高效和批量的管理；同时，SNMP协议也屏蔽了不同产品之间的差异，实现了不同种类和厂商的网络设备之间的统一管理。