无线/移动 : "无线, LAN (WLAN)"

分支机构REAP部署指南

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文提供需要被考虑到的信息,当您部署Remote-edge接入点时(请收割)。参考的Remote-edge AP (请收割)与轻量AP和无线局域网基本的控制器(WLCs)配置示例收割配置信息。

注意: 收割功能支持至WLC版本3.2.215。从WLC版本4.0.155.5,此功能呼叫与少量增强的Hybrid REAP (H-REAP)直到7.0.x.x。从7.2.103版本,此功能呼叫FlexConnect。

传统Cisco轻量级接入点协议(LWAPP) -运行Cisco IOSï ¿  ½软件版本12.3(7)JX或以上的基于接入点(AP), (亦称膝部),例如1010, 1020和1100和1200系列AP,允许中心管理和控制到Cisco的无线局域网控制器(WLCs)。并且,有效利用控制器的这些拉普permit管理员作为无线数据聚集点。

当这些拉普允许控制器执行高级特性例如QoS和访问控制表(ACL)实施时,控制器的需求是单点入口和出口所有无线客户端数据流的能妨害,而不是enable (event),能力足够适应用户需要。在一些环境,特别是当有限的吞吐量在广域网链路时,是可用的例如远程办公室,所有用户数据的终端在控制器的能太证明密集的带宽。并且,其中拉普和WLCs之间的链路是倾向的对中断,与广域网的共同性与在广域网中断的时期在用户数据终端的WLCs取决于导致被切断的无线连接的远程办公室再连接,使用拉普。

反而,您能使用传统LWAPP控制层面是杠杆作用的为了执行任务,例如动态配置配置管理, AP软件升级的AP体系结构和无线入侵检测。这允许无线数据保持本地和无线结构是在中央管理和能适应的对广域网中断。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

1030请收割体系结构介绍

思科1030收割从无线数据层面分离LWAPP控制层面为了提供远程功能。思科WLCs仍然使用集中控制和管理以与正常拉普相似的方式。差异是所有用户数据桥接本地在AP。对本地网络资源的访问在整个广域网中断维护。图1说明一基本收割体系结构。

图 1:基本请收割结构上图表

reap-deployguide1.gif

注意: 与传统拉普比较,请参阅附录A关于基本区别列表收割功能。

什么时候应该收割AP使用?

思科1030收割AP应该主要在这两个情况下使用:

  • 如果LAP和WLC之间的链路是倾向的对中断,在链路故障期间, 1030 REAP可以用于允许无线用户不间断的数据访问。

  • 如果必须终止所有用户数据本地,在AP的有线的端口含义(与终止在控制器相对,因为数据是为其他拉普), 1030 REAP可以用于允许中央控制通过控制器接口和无线控制系统(WCS)。这允许数据保持本地。

那里覆盖或用户密度要求超过两或三1030收割AP在单站点,请考虑一2006年或2106 WLC的部署。这些控制器可以支持任何类型6拉普。与一仅REAP部署比较,这能证明更加财务可行,并且提供功能和功能扩展。

如同所有1000系列AP,单个1030个AP盖板大约5,000平方英尺。这取决于无线电频率(RF)传播特性在每个站点和无线用户和他们的吞吐量需要所需数量。在最普通的部署,单个1000系列AP可以支持12个用户在802.11b的512kbps和12个用户在802.11a的2 mbps,同时。如同所有基于802.11的技术,媒介访问共享。所以,当更多用户加入无线AP时,吞吐量相应地共享。再次,当用户密度增加并且/或者吞吐量需求上升,请考虑一本地WLC的新增内容保存在每个用户的成本和增加功能。

注意: 您能配置1030收割相等地经营与其他拉普。所以,当WLCs被添加扩展大小远程站点的WLAN基础设施时,存在请收割投资能继续被有效利用。

部署收割

由于1030 REAP设计在远离WLC基础设施的远程站点被放置,传统,零接触方法用于的拉普发现和加入控制器(例如DHCP选项43)通常没有被雇用。反而,必须首先填装LAP为了允许1030连接到WLC上一步在中心站点。

飞沫是拉普给WLCs列表他们能连接的进程。一旦加入对单个WLC,拉普是消息灵通的所有控制器在移动组和装备用必要的所有信息加入所有控制器在组中。参考部署思科440X系列无线局域网控制器关于移动组、负载均衡和控制器冗余的更多信息。

为了在中心站点执行此,例如网络运营中心(NOC)或数据中心,必须连接REAPs到有线网络。这给他们发现单个WLC。一旦加入对控制器,拉普下载对应与WLAN基础设施的LAP OS版本。然后,所有WLCs的IP地址在移动组的转接对AP。这允许AP,当启动在他们的远程站点,发现和加入从他们的列表的最少使用的控制器,假设IP连通性是可用的。

注意: DHCP选项43和域名系统(DNS)查找工作与收割。参考部署思科440X系列无线局域网控制器关于如何在远程站点配置DHCP或DNS的信息为了允许AP查找中央控制器。

如果需要此时, 1030可以给静态地址。这保证IP编址方案匹配目的地远程站点。并且,三个控制器每个LAP将尝试连接可以输入的WLCs名称为了选派。如果这三失败, LWAPP自动负载均衡功能允许LAP从控制器剩余的列表在集群的选择最少装载的AP。LAP配置的编辑可以完成通过WLC命令行界面(CLI)或GUI,或者与更加极大的方便,通过WCS。

注意: 1030 REAPs要求他们在第3层LWAPP模式连接运行的WLCs。这意味着控制器需要给IP地址。并且, WLCs要求DHCP服务器是可用的在每个远程站点,或者必须在飞沫进程中分配静态地址。在控制器嵌入的DHCP的特点不可能用于提供对1030s拉普或他们的用户的地址。

在您停电运送的1030拉普对远程站点,保证前每1030设置收割模式。这是非常重要,因为所有拉普的默认是执行正常,本地功能,并且1030s需要设置实行收割功能。这可以执行在LAP级别通过控制器CLI或GUI,或者与更加极大的方便,通过WCS模板。

基本请收割飞沫功能

在1030 REAPs连接对在REAPs连接对的移动组内后的一WLC,当放置在远程站点,可以提供的此信息:

需要的请收割设置

  • IP地址列表WLC的在移动组(自动地提供在controller/AP连接)

  • 收割AP模式(必须配置AP运行收割模式为了实行收割功能)

可选请收割设置

  • 静态分配的IP地址(根据每个AP基本类型输入的可选设置)

  • 主要的,附属和第三WLC名称(通过WCS模板被输入的根据每个AP基本类型或可选设置)

  • AP名称(根据每个AP基本类型输入的一可选信息性设置)

  • AP位置信息(通过WCS模板被输入的根据每个AP基本类型或一可选信息性设置)

REAP到控制器林克要求

当您计划部署时收割,一些基本要求需要记住。这些需求关系到速度,并且广域网链路的延迟收割LWAPP控制流量将横断。1030个LAP打算在广域网链路间使用,例如IP安全通道、帧中继、DSL (非PPPoE)和租用的线路。

注意: 1030收割LWAPP实施假设AP和WLC之间的一个1500个字节MTU路径。发生在运送中由于sub-1500字节MTU的所有分段导致不可预知的结果。所以, 1030个LAP没有适用与环境,例如PPPoE,对sub-1500字节的路由器主动地分段的信息包。

广域网链路延迟是特别重要,因为每1030 LAP发送,默认情况下,检测信号消息回到控制器每30秒。在检测信号消息丢失后,拉普发送5个连续心跳,一次每秒钟。如果什么都不是成功的, LAP确定控制器连接被切断,并且1030s恢复对独立收割模式。当1030个LAP能容忍在本身和WLC之间时的大延迟,保证是必要的延迟不超出在LAP和控制器之间的100ms。这归结于限制时间客户端等待的客户端计时器,在计时器确定一验证失败前。

收割限制

在广域网链路中断期间,虽然1030个AP设计在中央管理和提供WLAN服务,有什么服务之间的一些差异收割提供与WLC连接,并且什么能提供,当连接被切断时。

WLAN

当1030 REAP可以支持16 WLAN (无线配置文件时与所有安全、QoS和的其他策略一起包含服务集标识符[SSID]中的每一),中的每一与其自己的多个基本服务集ID (MBSSID), 1030 REAP可以只支持第一WLAN,当用控制器中断时连接。在广域网链路中断的时期,除了第一的所有WLAN退役。所以,应该打算WLAN 1作为主要的WLAN,并且应该相应地计划安全策略。在此第一WLAN的安全是特别重要,因为,如果广域网链路发生故障,因此执行后端RADIUS验证。这是因为这样流量横断LWAPP控制器飞机。所以,用户没有授权无线访问。

推荐一个本地认证/加密方法,例如wi-fi受保护的访问(WPA-PSK)的预先共享密钥部分,在此第一WLAN使用。有线等效保密(WEP)足够了,但是没有推荐由于已知安全漏洞。当使用WPA-PSK (或WEP)时,已配置的用户能仍然适当地获得访问到本地网络资源,即使广域网链路发生故障。

注意: 所有基于RADIUS的安全方法要求在LWAPP控制层面间将传送的认证消息回到中心站点。所以,所有基于RADIUS的服务在广域网中断期间是不可用。这包括,但是没有被限制对,基于RADIUS的MAC验证、802.1X、WPA、WPA2和802.11i。

因为不可执行802.1q VLAN标记, 1030 REAP在单个子网能只驻留。所以,在每SSID的流量在有线网络的相同子网终止。这意味着,当无线数据流也许在Ssid之间时的空气被分段,用户数据流在有线的侧没有被分离。

安全

1030 REAP能提供思科的基于控制器的广域网体系结构支持的所有第2层安全策略。这包括所有Layer2验证和加密类型,例如WEP、802.1X、WPA、WPA2和802.11i。如陈述以前,大多这些安全策略要求后端身份验证的WLC连接。WEP和WPA-PSK充分地实现在AP级,并且不要求后端RADIUS验证。所以,即使广域网链路发生故障,用户能仍然连接。在思科WLCis带有的客户端排除列表功能支持1030个LAP。在1030的MAC过滤功能,如果回到控制器的连接是可用的。

注意: 当AP在独立模式时, REAP不支持WPA2-PSK。

所有第3层安全策略不是可用的与1030个LAP。因为他们实现在控制器,这些安全策略包括Web验证、基于控制器的VPN终端、ACL和对等阻塞。VPN通过为连接到外部VPN集中器的客户端运行。然而,允许仅流量被注定一个指定的VPN集中器的控制器功能(仅VPN通过)不。

网络地址转换 (NAT)

REAPs连接的WLCs不能在NAT限定范围后驻留。然而,在远程站点收割能在NAT方框后坐,假设用于LWAPP的端口(UDP端口12222和12223)转发对1030s。这意味着每REAP必须有静态地址为了转发的端口可靠工作,并且仅单个AP能在每个NAT实例后驻留。对此的原因是仅单个端口转发实例能每个NAT IP地址存在,含义仅一个LAP能在每NAT服务后工作在远程站点。一对一的NAT能与多个一起使用收割,因为LWAPP端口可以为对每个内部IP地址的每个外部IP地址转发(静态收割IP地址)。

服务质量 (QoS)

因为REAP不可执行802.1q标记,根据802.1p优先顺序位的信息包优先级划分不是可用的。这意味着wi-fi多媒体(WMM),并且不支持802.11e。支持根据SSID和标识基础网络的信息包优先级划分。然而,因为不可执行802.1q标记, VLAN分配通过基于身份的网络不与收割一起使用。

漫游和客户端负载均衡

在更多比单个REAP存在的环境,并且AP之间移动性预计的地方,每个LAP必须在相同子网。1030个LAP不支持第3层移动性。一般,因为远程办公室通常不使用足够的拉普需要这样灵活性,这不是限制。

负载均衡在所有间提供的积极的客户端在有更多的站点比单个AP收割,当上行控制器连接是可用的时(只是负载均衡启用在主机控制器)。

Radio Resource Management (RRM)

当对控制器的连接存在, 1030拉普接收动态信道和功率输出从RRM机制在WLCs。当广域网链路发生故障时, RRM不作用,并且开辟信道,并且功率设置没有被修改。

恶意检测和IDS功能

收割体系结构支持匹配那正常拉普的所有恶意检测和入侵检测签名(IDS)。然而,当连接用中央控制器时丢失,所有收集的信息没有共享。所以,可见性到远程站点的RF域里丢失。

收割限制摘要

附录B的表在正常操作时汇总收割的功能,并且,当对WLC的连接在广域网链路间不是可用的。

管理收割和中央WLAN体系结构

1030跟那请收割管理没有不同正常拉普和WLCs。管理和配置是所有完成在控制器级别,通过每个控制器或Web GUI CLI。全系统的配置和网络可见度通过WCS提供,所有控制器和AP (请收割或)可以管理作为单个系统。当打乱时REAP控制器连接,也打乱管理功能。

集中化WLAN体系结构与收割

图2显示集中化LWAPP体系结构的每个部分如何为了适应各种各样的无线网络需要。管理和位置服务通过WCS和2700定位设备在中央提供。

图 2:集中化WLAN体系结构与收割

/image/gif/paws/81784/reap-deployguide2.gif

附录 A

主要的区别收割体系结构和正常拉普有何区别?

  • 如果DHCP选项43或DNS解析不是可用的在远程站点,必须在中心局首先填装1030。然后,它被发运到目的地站点。

  • 在广域网链路失败,仅第一WLAN保持活动。

    • 要求RADIUS的安全策略将发生故障。

    • 使用WPA-PSK的验证/加密为WLAN推荐1. WEP工作,但是没有推荐。

  • 没有第3层加密(仅Layer2加密)

  • REAPs连接对的WLCs不能在NAT限定范围后驻留。然而, REAPs能,假设每内部静态收割IP地址有两个LWAPP端口(12222和12223)转发对他们。

    注意: 不支持端口地址转换(PAT)/与超载的NAT,因为于LAP起源LWAPP流量的源端口能随着时间的推移更改。这中断LWAPP关联。同一问题能发生在端口地址更改的REAP的NAT实施,例如PIX/ASA可能,取决于配置。

  • 仅LWAPP控制消息横断广域网链路。

  • 数据流在以太网端口1030桥接。

  • 1030个LAP不执行802.1Q标记(VLAN)。所以,从所有Ssid的无线数据流在同一有线的子网终止。

附录 B

不同功能正常有何区别,并且独立收割模式?

  收割(正常模式) 收割(独立模式)
协议 IPv4
IPv6
其他协议 是(只有当客户端也是启用IP) 是(只有当客户端也是启用IP)
IP 代理 ARP
WLAN Ssid编号 16 1 (第一个)
动态信道分配
动态电能控制
动态负载均衡
VLAN 多个接口
802.1Q支持
WLAN安全 非法AP检测
排除列表 是(仅现有成员)
对等阻塞
入侵检测系统
第2层安全 MAC验证
802.1X
WEP (64/128/152bits)
WPA-PSK
WPA2-PSK
WPA-EAP
WPA2-EAP
第3层安全 Web 身份验证
IPsec
L2TP
VPN通过
访问控制列表
QoS QoS配置文件
下行QoS (加权循环队列)
802.1p支持
每用户带宽合同
WMM
802.11e (未来)
AAA QoS配置文件覆盖
移动性 内部子网
子网之间
DHCP 内部 DHCP 服务器
外部 DHCP 服务器
拓扑 直接接通(2006)


相关信息


Document ID: 81784