王沁

摘要：無線局域網（WLAN）以安裝方便、靈活性高、性價比高等特點得到了受到了越來越多用戶的青睞。本文主要討論了在大規(guī)模FIT AP架構無線局域網（WLAN）高可用性技術使無線網絡更加安全與穩(wěn)定增強用戶使用體驗。

關鍵詞：無線局域網WLAN；FIT AP；高可用；

1 FIT AP架構WLAN組網面臨的挑戰(zhàn)

目前WLAN組網架構分為傳統(tǒng)FAT AP組網與FIT AP組網。

小規(guī)模組網傳統(tǒng)FAT AP組網模式：認證終結、動態(tài)密鑰的產生、漫游切換都在AP本身實現(xiàn)，AP負擔較重，該組網模式AP需要單獨管理，在大規(guī)模AP時管理非常麻煩所以該模式適合于小規(guī)模組網；

大規(guī)模組網FIT AP模式：認證終結、動態(tài)密鑰的產生、漫游切換都集中到無線控制器上來實現(xiàn)，減輕了AP負擔。由于增加了無線控制器作為中央管理控制設備，實現(xiàn)了AP集中化管理，在規(guī)模越大的網絡上管理越簡單并且還可以在此基礎上實現(xiàn)無線網絡漫游、負載均衡、頻譜導航等高級業(yè)務功能。

由于目前WLAN網絡規(guī)模的擴大幾乎所有成規(guī)模的WLAN網絡都采用FIT AP模式建設，這種建設方式在可靠性方面存在一定弊端。

1.1無線控制器存在單點故障

在FIT AP組網模式中，所有AP都通過無線控制器集中管控即通過操作無線控制器就可以管理網絡中所有AP工作?？刂破髌鰽C與AP之間形成CAPWAP隧道，通過CAPWAP協(xié)議來統(tǒng)一控制AP。在集中轉發(fā)模式下，無線終端的所有報文都由AP封裝成CAPWAP報文后再由無線控制器解封裝后進行轉發(fā)，CAPWAP隧道中存在無線客戶端數據流量以及AP管理流量。本地轉發(fā)模式下，無線控制器對AP的管理系統(tǒng)通過CAPWAP隧道下發(fā)到AP來起到對AP的統(tǒng)一管控。

因此可以說無論是那種轉發(fā)模式CAPWAP隧道都要經過無線控制器，一旦無線控制器出現(xiàn)故障不能工作就會導致無線終端數據不能轉發(fā)、AP無法被管理整個WLAN網絡癱瘓。為了實現(xiàn)無線控制器的高可靠性，很多廠商建議通過在網絡中部署雙無線控制器來防止無線控制器發(fā)生故障導致全網癱瘓。但是在無線網絡中部署雙無線控制器需要采購額外的無線控制器與AP管理授權，導致無線網絡建設成本大幅度增加使該方案很難被用戶接受。

1.2認證系統(tǒng)存在單點故障

由于WLAN屬于開放性網絡，無線信號傳播不受控制，為了保證無線網絡安全性防止外部人員隨意連接WLAN網絡很多單位在建設無線網絡是都在網絡中部署AAA認證系統(tǒng)，即連接WLAN網絡時需要用戶名與密碼的合法性，只有AAA認證系統(tǒng)中存在的合法用戶才能正常訪問無線網絡。

認證服務器在整個Portal認證中起到用戶認證、權限控制、策略下發(fā)等功能，只有經過認證服務器認證后的合法用戶才能正常登陸WLAN?？墒且坏┱J證服務器出現(xiàn)系統(tǒng)崩潰、硬件損壞等原因導致認證服務器宕機不能工作時，所有用戶由于沒有經過認證導致都不能正常登陸WLAN。

目前應用較多的解決方案為通過部署雙認證服務器集群來解決認證系統(tǒng)單點故障。但是該方案會使用戶采購額外的服務器、認證系統(tǒng)、集群軟件、共享存儲等設備，不但增加無線網絡建設成本而且集群軟件部署復雜、維護困難而且集群服務器切換時有一定的不確定性，很難被用戶認可。

1.3無線控制器升級導致全網WLAN服務中斷

由于無線技術的不斷進步，WLAN功能也不斷豐富用戶體驗也越來越好。每當有無線新功能部署或者需要解決一些無線BUG時就需要升級無線控制器實現(xiàn)新功能的落地以及BUG的消除。FIT AP架構中升級無線控制器系統(tǒng)版本時不但無線控制器會重啟，而且所有AP的也會隨之從無線控制器上更新版本并且重啟，WLAN服務中斷。無線控制器重啟時間一般在5分鐘之內，但是無線AP更新版本和重啟時間較長對WLAN服務中斷影響較大。

2 FIT AP架構WLAN高可用設計實現(xiàn)

在FIT AP架構WLAN組網中，無線控制器與認證服務器是關鍵節(jié)點，通過解決無線控制器與認證服務器的單點故障是無線高可用技術的關鍵。

2.1無線控制器單點故障高可靠技術解決方案

在集中轉發(fā)模式下所有AP流量都經過無線控制器轉發(fā)當無線控制器出現(xiàn)故障后導致WLAN癱瘓。在分布式轉發(fā)模式下，由于所有AP都要與無線控制器建立控制關系，無線控制器出現(xiàn)故障后所有AP找不到無線控制器時AP會不斷從新區(qū)啟動導致WLAN癱瘓。

WLAN網絡部署完成后，可以在WLAN的各個區(qū)域中預定義管理AP的方式可以很好的解決無線控制器故障問題。具體機制如下：

1、當WLAN網絡正常時所有AP都與無線控制器建立CAPWAP隧道，被無線控制器管理，WLAN正常轉發(fā)數據。

2、當無線控制器出現(xiàn)故障時，AP失去與無線控制器的連接，當連接失去時間大于10S后，所有AP都變成分布轉發(fā)模式，并且一些區(qū)域的經過預定義的普通AP工作模式變?yōu)楣芾鞟P與附近的普通AP建立CAPWAP管理隧道，由管理AP來管理附近區(qū)域內的普通AP使WLAN正常工作。此時雖然不會影響用戶數據報文的轉發(fā)，但是由于無線控制器出現(xiàn)故障，導致此時網絡中不能增加新的功能與控制策略。

3、當無線控制器故障解除時，會對全網AP發(fā)送報文證明自己已經恢復工作。管理AP工作模式切換成普通AP，所有AP重新與無線控制器建立管理關系WLAN恢復正常。

考慮到無線網絡組網的經濟性，管理AP只是在普通AP的一種工作模式，建議1個管理AP最多可以管理20個普通AP。

2.2認證系統(tǒng)存在單點故障解決方案

當認證系統(tǒng)出現(xiàn)故障時，通過部署認證逃生系統(tǒng)實現(xiàn)自動通過所有的認證請求，從而實現(xiàn)接入WLAN網絡。逃生系統(tǒng)可以由一臺低端PC安全逃生軟件解決成本極低，但是這種方式安全性差存在非法用戶惡意接入的風險，所以還需要其它手段解決WLAN網絡安全問題。

在WLAN安全方面可以通過在無線控制器上部署訪問白名單實現(xiàn)，即網絡正常時無線控制器記錄所有正常合法訪問WLAN客戶端的mac地址從而形成合法用戶白名單mac地址池。當認證系統(tǒng)出現(xiàn)故障時，只有在白名單地址池中的mac地址才能通過認證逃生系統(tǒng)認證從而接入WLAN網絡，從而保證WLAN安全性。如果有新增的合法終端第一次連接WLAN網絡，但是白名單中沒有該終端的mac地址就不能正常連接WLAN，這時需要和WLAN管理員聯(lián)系手動把該終端mac地址加入到白名單中使新增合法終端可以正常訪問WLAN。

2.3無線控制器升級導致全網WLAN服務中斷解決方案

可以采用熱補丁方式解決無線控制器升級時無線控制器重啟問題。通過把熱補丁文件與新的系統(tǒng)文件一起上傳到無線控制器中，先給現(xiàn)有系統(tǒng)打熱補丁解決bug與優(yōu)化功能而且升級熱補丁時無線控制器不會重啟從而保證WLAN穩(wěn)定性。到了下班時間WLAN網絡利用率低時無線控制器從新啟動加載新的版本，從而完成升級。

AP版本升級可以采用版本逐一升級辦法，即無線AP可以按照區(qū)域逐一升級版本重新啟動，這樣不會造成由于全網所有AP統(tǒng)一升級版本重新啟動帶來的WLAN斷網。

3結論

FIT AP架構的WLAN網絡通過在無線控制器層面、認證服務器層面已經設備系統(tǒng)升級層面的可靠性優(yōu)化，實現(xiàn)了在沒有增加投資的情況下的WLAN網絡的健壯性使WLAN系統(tǒng)更加成熟與穩(wěn)定，提高用戶體現(xiàn)。