01-25 CAPWAP断链逃生配置
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
几种逃生策略各有优缺点,具体情况请参见表25-1。
表 25-1 不同逃生策略比较
逃生策 适用的组网和认 逃生后用户的认 优点
略
证方式
证方式
CAPW AP断 链业务 保持
● 适用组网:所 有直接转发组 网
● 适用认证方 式:所有认证 方式
老用户业务保 持,新用户接入 时,
● OPEN、 WEP、WPA/ WPA2-PSK, 新用户认证方 式不变。
备份VAP支持 OPEN、WEP、 WPA+PSK、 WPA2+PSK、
WPAWPA2+PSK的认 证方式。
优点
缺点
● CAPWAP断链 后,新用户仍 可以在本地 AP上认证, 安全性较高
● 部署较复杂
● 很多认证方式 不支持此逃生 策略
● 相对广域认证 逃生策略,部 署较简单
● 相对CAPWAP 断链业务保持 的逃生策略, 安全性较高
文档版本 02 (2021-02-09)
版权所有 © 华为技术有限公司
3775
无线接入控制器(AC 和 FIT AP) 配置指南(命令行)
25 CAPWAP 断链逃生配置
逃生策 适用的组网和认 逃生后用户的认
略
证方式
证方式
广域认 证逃生
● 适用组网:总 部分支场景直 接转发组网
● 适用认证方 式:
● 老用户会被强 制下线
● 需要重新关联 新的逃生 SSID
25.2.1 CAPWAP 断链业务保持
在AC+FIT AP网络架构中,AP和AC之间通过CAPWAP隧道作为管理报文的转发通道。 当CAPWAP链路故障时,AP上原有用户被迫下线,新用户也无法再接入。对于隧道转 发场景,管理报文和业务报文都必须经过CAPWAP隧道,所以如果CAPWAP断链,用 户的业务报文会中断,无法恢复;但对于直接转发场景,业务报文无需经过CAPWAP 隧道,可以配置逃生策略,让AP继续提供WLAN服务,实现已上线的用户业务不中 断,并且能够允许新用户接入。
● 广域认证逃生 总部分支场景中,CAPWAP断链后,AP能够继续提供数据业务,老用户的业务不 中断,新用户仍可使用断链前的认证方式在AP本地认证接入。原理请参见 25.2.2.3 广域认证逃生实现过程。
● CAPWAP断链启用备份VAP CAPWAP断链后,关闭原有VAP,自动开启备份VAP。所有用户从原有VAP下线, 用户手动关联备份VAP,使得用户可以通过备份VAP生成的逃生SSID临时接入。
– WPA/ WPA2PPSK认证
– MAC认证
– 802.1X认 证
– MAC和 802.1X混 合认证
老用户业务保 持,新用户认证 方式不变。
CAPW AP断 链启用 备份
VAP
● 适用组网:所 有直接转发组 网
● 适用认证方 式:所有认证 方式
老用户全部下 线,所有用户以 备份VAP的认证 方式接入。
25.1 CAPWAP 断链逃生简介
定义 目的
CAPWAP断链逃生是指WLAN网络直接转发场景中,当CAPWAP链路故障时,通过部 署的逃生策略,实现原有WLAN业务不中断。
在AC+FIT AP网络架构中,AP和AC之间通过CAPWAP隧道作为控制报文的转发通道。 当CAPWAP链路故障时,AP上原有用户被迫下线,新用户也无法再接入。特别是在总 部分支场景中,分支本地常常不部署AC,分支的AP设备通过广域网络,连接到企业总 部的AC设备进行统一管理,但是广域网络的质量难以保证,这种情况下,AC与AP连接 中断的风险大大提升,一旦CAPWAP链路中断,将严重影响整体网络质量。
文档版本 02 (2021-02-09)
版权所有 © 华为技术有限公司
3776
无线接入控制器(AC 和 FIT AP) 配置指南(命令行)
图 25-1 CAPWAP 断链业务保持组网图
25 CAPWAP 断链逃生配置
CAPWAP 断链允许新用户接入
CAPWAP断链业务保持只是针对已在线的用户生效,针对新用户,还是不允许上线。 可以开启允许新用户接入功能,如果CAPWAP链路断链,AP能够继续允许新用户上 线,继续访问CAPWAP断链前的网络资源。
通过部署CAPWAP断链逃生解决方案,可以保证CAPWAP链路故障后,原有用户不被 迫下线,新用户仍可以接入,从而提升了企业网络的可靠性。
文档版本 02 (2021-02-09器(AC 和 FIT AP) 配置指南(命令行)
25 CAPWAP 断链逃生配置
● MAC认证、 Portal认证、 MAC优先的 Portal认证, 新用户使用免 认证接入。
● 其他认证方 式,新用户无 法接入。
● 部署简单
缺点
● MAC认证、 Portal认证、 MAC优先的 Portal认证, CAPWAP断链 后,新用户使 用免认证接 入,不安全
● 部分认证方 式,仅能业务 保持,新用户 无法接入
25.2 CAPWAP 断链逃生策略
通过部署CAPWAP断链逃生解决方案,可以保证CAPWAP链路故障后,原有用户不被 迫下线,新用户仍可以接入,从而提升了企业网络的可靠性。目前,CAPWAP断链逃 生策略有以下几种:
● CAPWAP断链业务保持 CAPWAP断链后,AP能够继续提供数据业务,老用户的业务不中断,部分新用户 仍可以安全性不高的认证方式接入。原理请参见25.2.1 CAPWAP断链业务保持。
CAPWAP 断链业务保持
使能CAPWAP断链业务保持功能,在CAPWAP链路中断后,AP能够继续提供数据业 务,保证直接转发方式下STA的数据业务不中断,减小断链对用户造成的损失,提高了 用户业务的可靠性。
如图25-1所示,CAPWAP断链前和CAPWAP断链后STA的数据业务报文都是经过Switch 转发到Internet,不需要经过AC,CAPWAP隧道中断对STA的数据业务并无影响。
无线接入控制器(AC 和 FIT AP) 配置指南(命令行)
25 CAPWAP 断链逃生配置
25 CAPWAP 断链逃生配置
关于本章
25.1 CAPWAP断链逃生简介 25.2 CAPWAP断链逃生策略 25.3 CAPWAP链路恢复 25.4 CAPWAP断链逃生典型应用 25.5 CAPWAP断链逃生配置任务概览 25.6 CAPWAP断链逃生配置注意事项 25.7 CAPWAP断链逃生缺省配置 25.8 配置CAPWAP断链逃生 25.9 CAPWAP断链逃生配置举例
表 25-1 不同逃生策略比较
逃生策 适用的组网和认 逃生后用户的认 优点
略
证方式
证方式
CAPW AP断 链业务 保持
● 适用组网:所 有直接转发组 网
● 适用认证方 式:所有认证 方式
老用户业务保 持,新用户接入 时,
● OPEN、 WEP、WPA/ WPA2-PSK, 新用户认证方 式不变。
备份VAP支持 OPEN、WEP、 WPA+PSK、 WPA2+PSK、
WPAWPA2+PSK的认 证方式。
优点
缺点
● CAPWAP断链 后,新用户仍 可以在本地 AP上认证, 安全性较高
● 部署较复杂
● 很多认证方式 不支持此逃生 策略
● 相对广域认证 逃生策略,部 署较简单
● 相对CAPWAP 断链业务保持 的逃生策略, 安全性较高
文档版本 02 (2021-02-09)
版权所有 © 华为技术有限公司
3775
无线接入控制器(AC 和 FIT AP) 配置指南(命令行)
25 CAPWAP 断链逃生配置
逃生策 适用的组网和认 逃生后用户的认
略
证方式
证方式
广域认 证逃生
● 适用组网:总 部分支场景直 接转发组网
● 适用认证方 式:
● 老用户会被强 制下线
● 需要重新关联 新的逃生 SSID
25.2.1 CAPWAP 断链业务保持
在AC+FIT AP网络架构中,AP和AC之间通过CAPWAP隧道作为管理报文的转发通道。 当CAPWAP链路故障时,AP上原有用户被迫下线,新用户也无法再接入。对于隧道转 发场景,管理报文和业务报文都必须经过CAPWAP隧道,所以如果CAPWAP断链,用 户的业务报文会中断,无法恢复;但对于直接转发场景,业务报文无需经过CAPWAP 隧道,可以配置逃生策略,让AP继续提供WLAN服务,实现已上线的用户业务不中 断,并且能够允许新用户接入。
● 广域认证逃生 总部分支场景中,CAPWAP断链后,AP能够继续提供数据业务,老用户的业务不 中断,新用户仍可使用断链前的认证方式在AP本地认证接入。原理请参见 25.2.2.3 广域认证逃生实现过程。
● CAPWAP断链启用备份VAP CAPWAP断链后,关闭原有VAP,自动开启备份VAP。所有用户从原有VAP下线, 用户手动关联备份VAP,使得用户可以通过备份VAP生成的逃生SSID临时接入。
– WPA/ WPA2PPSK认证
– MAC认证
– 802.1X认 证
– MAC和 802.1X混 合认证
老用户业务保 持,新用户认证 方式不变。
CAPW AP断 链启用 备份
VAP
● 适用组网:所 有直接转发组 网
● 适用认证方 式:所有认证 方式
老用户全部下 线,所有用户以 备份VAP的认证 方式接入。
25.1 CAPWAP 断链逃生简介
定义 目的
CAPWAP断链逃生是指WLAN网络直接转发场景中,当CAPWAP链路故障时,通过部 署的逃生策略,实现原有WLAN业务不中断。
在AC+FIT AP网络架构中,AP和AC之间通过CAPWAP隧道作为控制报文的转发通道。 当CAPWAP链路故障时,AP上原有用户被迫下线,新用户也无法再接入。特别是在总 部分支场景中,分支本地常常不部署AC,分支的AP设备通过广域网络,连接到企业总 部的AC设备进行统一管理,但是广域网络的质量难以保证,这种情况下,AC与AP连接 中断的风险大大提升,一旦CAPWAP链路中断,将严重影响整体网络质量。
文档版本 02 (2021-02-09)
版权所有 © 华为技术有限公司
3776
无线接入控制器(AC 和 FIT AP) 配置指南(命令行)
图 25-1 CAPWAP 断链业务保持组网图
25 CAPWAP 断链逃生配置
CAPWAP 断链允许新用户接入
CAPWAP断链业务保持只是针对已在线的用户生效,针对新用户,还是不允许上线。 可以开启允许新用户接入功能,如果CAPWAP链路断链,AP能够继续允许新用户上 线,继续访问CAPWAP断链前的网络资源。
通过部署CAPWAP断链逃生解决方案,可以保证CAPWAP链路故障后,原有用户不被 迫下线,新用户仍可以接入,从而提升了企业网络的可靠性。
文档版本 02 (2021-02-09器(AC 和 FIT AP) 配置指南(命令行)
25 CAPWAP 断链逃生配置
● MAC认证、 Portal认证、 MAC优先的 Portal认证, 新用户使用免 认证接入。
● 其他认证方 式,新用户无 法接入。
● 部署简单
缺点
● MAC认证、 Portal认证、 MAC优先的 Portal认证, CAPWAP断链 后,新用户使 用免认证接 入,不安全
● 部分认证方 式,仅能业务 保持,新用户 无法接入
25.2 CAPWAP 断链逃生策略
通过部署CAPWAP断链逃生解决方案,可以保证CAPWAP链路故障后,原有用户不被 迫下线,新用户仍可以接入,从而提升了企业网络的可靠性。目前,CAPWAP断链逃 生策略有以下几种:
● CAPWAP断链业务保持 CAPWAP断链后,AP能够继续提供数据业务,老用户的业务不中断,部分新用户 仍可以安全性不高的认证方式接入。原理请参见25.2.1 CAPWAP断链业务保持。
CAPWAP 断链业务保持
使能CAPWAP断链业务保持功能,在CAPWAP链路中断后,AP能够继续提供数据业 务,保证直接转发方式下STA的数据业务不中断,减小断链对用户造成的损失,提高了 用户业务的可靠性。
如图25-1所示,CAPWAP断链前和CAPWAP断链后STA的数据业务报文都是经过Switch 转发到Internet,不需要经过AC,CAPWAP隧道中断对STA的数据业务并无影响。
无线接入控制器(AC 和 FIT AP) 配置指南(命令行)
25 CAPWAP 断链逃生配置
25 CAPWAP 断链逃生配置
关于本章
25.1 CAPWAP断链逃生简介 25.2 CAPWAP断链逃生策略 25.3 CAPWAP链路恢复 25.4 CAPWAP断链逃生典型应用 25.5 CAPWAP断链逃生配置任务概览 25.6 CAPWAP断链逃生配置注意事项 25.7 CAPWAP断链逃生缺省配置 25.8 配置CAPWAP断链逃生 25.9 CAPWAP断链逃生配置举例