《云AC实现方案》由会员分享,可在线阅读,更多相关《云AC实现方案(18页珍藏版)》请在金锄头文库上搜索。
1、云AC触发设备文件上传基本流程总体方案介绍MACC(ACS)MACC(ACS)AP(CPE)1、由云AC(ACS发起CWMPUpload请求到设备(CPE,用FileType字段区别业务类型,DelaySeconds字段填入延迟上传时间。2、设备(CP日响应Upload请求,一般采用异步方式上传文件,Status字段填1。3、设备(CPE采用HTTPPUT方法上传云AC(ACS请求上传的文件。4、云AC(ACS响应HTTP请求。5、设备(CPE发送CWMPTransferComplete消息,告知云AC(ACS上传结果,其中CommandKey字段值需要和Upload中CommandKey值一
2、致。6、云AC(ACS发送TransferCompleteResponse响应到设备(CPE。MACC2.0配置整体框架云AC前端?前端配置操作配置采用配置模板的方式,配置流程如下:1)前端新建配置模板(新建完的配置模板没有配置内容)2)对配置模板进行配置(对模板中的各个配置项进行实际配置)3)关联设备/分组(将配置模板和设备或分组关联,也就是应用模板,关联后云AC将按照配置模板中的配置对整个分组下的设备或对单台设备进行配置)。?.配置模板设计?不同类型的设备有不同的母模板不同设备需要的配置的种类有所不同,所以考虑针对设备类型设计母模板,比如AP的模板可以设计为如图所示,里面包括无线配置,安全
3、配置等SSDWnid密码VLN24G5G认证类Wfi_111关闭无Wfi222开启wficbg是否AP配置模板无线配置SSID配置X+新增安全配置其他配置曰命令配置WXIT1Radio配置2.4G开关连接用户数无线频率带宽Beacon帧周期5G开关1无线频率带宽|20MHz|连接用户数100Beacon帧周期1s取消暂存确定云AC后端云AC后端与设备的交互过程(配置云AC后端与设备的交互过程(配置ssid为例)步骤3:设置ssid实例参数云ACCWMP设备调用SetParameterValues,设置ssid名称,关联radio,转发模式,vlanid等设置对应ssid实例的对应参数返回成功返
4、回成功请求获取wlanid调用GetParameterValues获取wlanid返回wlanid返回wlanid保存wlanid值射频管理设计方案需求提出在AP密集分布的应用场景中,若各AP的射频信号、功率设置不当,容易在各AP之间产生同频干扰或临频干扰。这会导致网络通信质量下降、丢包率增大、带宽利用率减小等危害,严重影响到用户体验。而部分AP不支持射频信号的自动调整,因此MACC需要一个射频管理的模块,对被管理的AP射频进行统一调整、配置。整体设计方案AccessCantroFCloudAccessCantroFCloudMACC主动触发被管理AP进行射频扫描,扫描周围存在的AP设备的射频
5、信道、功率。各AP扫描完成并将数据做初步处理后,上传至MACC。MACC等带所有数据上传完成后,对收集的信息进行过滤、计算,最终得出各AP优化后的射频配置。最终MACC将优化后的射频配置下发到各AP中。三、软件架构3.1射频自动调整流程(rrm2.0)当AP的RRM流程被触发后,开始切换到固定信道,并扫描周围射频信号(扫描时间可配置)。当AP扫描完成、并初步处理数据后,将该数据发送至云AC。云AC等待所有触发设备的设备设备信息都上传完成后,开始弥补缺失数据、计算最佳射频配置。最后云AC将计算的最佳结果作为配置下发到对应的设备。需求要点针对的问题连锁酒店/KTV/医院外网场景拓扑:认证服务器(M
6、CP/WMC/第三方认证服务器)【1Internert1kNLMobileAccessControlcloud云AC华住五一路店EG华住金山店gEG拓扑说明:1)酒店房间采用Wall-AP,酒店大堂/餐厅等采用室内放装型AP。2)认证统一在EG设备上进行,AP不参与认证。3)AP上SSID采用桥模式(AP只做二层转发,不做三层转发和NAT转换);STA的地址池在EG或者AP的上联核心交换机上,不在AP上。4)AP的管理VLAN和STA的VLAN独立,AP管理和STA使用不同的VLAN=5)支持多SSID不同的SSID映射不同的VLAN。根据网点AP数量情况,同一SSID在不同AP组要能支持映射
7、到不同的VLAN(EG可以根据不同VLAN的不同地址段实现弹出不同的认证Portal页面)。?关于二层漫游OPEN方式的SSID在此拓扑下,二层漫游(从AP1到AP2,STA始终在同一VLAN的情况)实际上已经天然支持(AP在收到重关联请求时,按照关联请求处理,又由于是OPEN方式,重关联会成功)。?支持三层漫游三层漫游是指,STA从AP1切到AP2时,从一个VLANa切换到了另一个VLANb。此时,STA的IP地址在AP2的VLANb是无法通行的。此时,需要将STA的数据流从AP2隧道回AP1,从AP1往外走。此场景,由于认证不再AP上,因此,三层漫游不涉及认证。?关于快速漫游对于非OPEN
8、方式的SSID(云AC场景下还包括WPA-PSK/WPA2PSK加密),漫游从AP1到AP2后,STA需要与AP2重新进行WPA四次握手对于WPAEAP(802.1x认证的情况,还涉及802.1X的EAP方法交互,云AC场景目前不支持802.1X,暂不考虑。之后才能开始数据传输。这中间就增加了漫游的切换延迟。针对这个环节,有了快速安全漫游的方案,目标就是减少漫到新的AP时,四次握手造成的切换延迟增加。其中包括思科的CCKM(思科集中密钥管理),CCKM是针对802.1X的,可以减少EAP认证帧和四次握手过程,但是需要终端的支持。IEEE的802.11r标准定义了WLAN的快速安全漫游。目前云A
9、C的目标场景,对漫游的时延敏感度不高,并且没有采用802.1X认证,同时行业AP当前未支持802.11r,本项目暂不支持快速安全漫游。连锁超市/门店/银行网点场景拓扑:认证服务器(MCP/WMC/第Internet云ACMobileAccessControlOoud三方认证服务器)永辉超市江南水都店拓扑说明:#单网点AP数量较少#认证在AP上,不依赖于出口设备#终端STA的地址池可以在AP上,也可以在AP的上联三层设备上日曰景疋日曰景疋否存在如下情况:终端STA的地址池在AP的上联三层设备上,AP做二层接入,同时负责认证?针对这个问题,我们定义好三层漫游”和认证漫游(无感知认证)”的边界。如果
10、AP做二层接入,而且STA映射到相同的VLAN,则属于二层漫游,不属于三层漫游。此时由于认证在AP上,由AP1切换到AP2时,由于AP2上没有认证放行表项而需要重新认证的问题,由认证漫游”来解,不通过将流量隧道回AP1来解。需求:对于认证在AP上且STA的地址池在AP上(NAT模式),三层漫游是强需求。MACC2.0漫游方案-设计草稿方案要点思路如上图,上图隐患信息为,所有AP释放同一个SSID该SSID在AP1X上映射到VLAN10,在AP2X上映射到VLAN20,在AP3X上映射到VLAN30。图i三层漫游拓扑在椭圆内的AP间切换为二层漫游,在椭圆间漫游为三层漫游。VLAN20VUXN30
11、图2隧道方案实际转发的AP隧道0初始在AP11AP11NA1AP11AP12AP12NA2AP12AP21AP12AP21AP12AP2根据漫游的(重关联帧)中携带的AP12的BSSID查询BSSID数据库得到两个信息:三层AP12的IP地址,将STA数据隧道回给AP12信息来源:云AC同步的BSSID数据库3AP21AP23AP12AP23AP12AP23通过重关联帧的得到AP21的信息(AP21的IP地址),本地查不到该STA的信息(STA_MAC原始AP的IP地址),向AP21查询,并与AP21握手建立通讯通道通讯通道一旦建立,后续AP21有新的STAR其他VLAN漫入时,会通过通讯通道
12、更新给AP23.。信息来源:AP23向AP21查询STA的信息4AP23AP32AP12AP32AP12AP32通过重关联帧的得到AP23的信息(AP23的IP地址),本地查不到该STA的信息(STA_MAC原始AP的IP地址),向AP23查询,并与AP23握手建立通讯通道。信息来源:AP32向AP23查询STA的信息(AP的通讯通道需要支持跨VLAN的AP间通讯)5AP32AP21AP12AP21AP12同上6AP32AP31AP12AP31AP12同上7AP31AP13AP13NAAP13从AP31学习到STA来自AP12,而AP12和自己(AP13)是同一个VLAN的,就不需要转发,直接
13、自己转发走。同时需要往外同步。这里面的信息的同步本质上类似于路由信息的同步与学习,相关算法可以参考路由算法(区别在于这里只传一跳)需要哪些信息:BSSID数据库 BSSID找到对应的AP信息(IP地址、SN等) BSSID对应的VLAN信息,用于判断是否跨三层(是否需要隧道回去)漫游AP组哪些AP属于冋一个漫游组只有漫游组内的AP支持漫游和信息同步VLAN30图3漫游邻居与STA漫游信息广播术语漫游邻居AP:我们称相互建立漫游通讯通道的两个AP为漫游邻居。STA漫游信息广播:指AP在STA关联时,将STA的漫游信息向所有的漫游邻居(漫出AP除外)同步(漫游邻居不再往往扩散)。如上图,我们看到A
14、P21、AP23和AP32间的漫游通讯通道形成环路了,现实场景中也可能存在的。不过由于漫游信息只传一跳,不会往外扩散,因此不会形成广播环路。注意:上述漫游邻居AP和“ST漫游信息”本质上都是针对SSID的。术语同域邻居:漫游邻居AP间,如果SSID映射的VLAN相同,则称为同域邻居,如AP11和AP12、AP21和AP22、AP31和AP32。跨域邻居:漫游邻居AP间,如果SSID映射的VLAN不同,则称为跨域邻居,如AP12和AP21、AP23和AP32、AP21和AP32、AP31和AP13。VLAN30STA当关联的AP当前关联AP的邻居AP接入AP判断二层/三层漫游STA漫游信息广播0初始在AP11AP11AP12邻居只有AP12,同步(源AP为AP11)1AP11AP12AP12AP11、AP21源AP同域,二层漫游AP11为漫出AP,不同步AP21为跨域邻居,需要同步(源
