华为 WLAN AC双机热备技术白皮书

合集下载

网络设备主备配置系列3华为防火墙(路由模式)

网络设备主备配置系列3:华为防火墙(路由模式）自从推荐主备配置系列以来，许多网友一起与我沟通配置的方法。

这两天终于有时间了，决定继续推出华为的。

共分两部分，路由模式与透明模式！双机热备，所谓双机热备其实是双机状态备份，当两台防火墙，在确定主从防火墙后，由主防火墙进行业务的转发，而从防火墙处于监控状态，同时主防火墙会定时向从防火墙发送状态信息和需要备份的信息，当主防火墙出现故障后，从防火墙会及时接替主防火墙上的业务运行。

状态备份最主要的优点，是可以保护当前业务不会中断.实现双机热备的基本步骤：（1）在接口上配置VRRP（虚拟路由器冗余协议）备份组，来发现防火墙的故障情况；（2）将VRRP备份组加入到VGMP（VRRP组管理协议）中，以实现对VRRP管理组的统一管理；（3）使能HRP（华为冗余协议），实现双机情况下的信息备份。

设计思路：1、其实就是个口字型网络，主备设备间起TRUNK，交换机与防火墙互联为access口，2、交换机与防火墙互为VRRP，A和B交换浮动IP192.168.0.3，防火墙浮动IP为192.168.0.6C和D交换机浮动IP192.168.1.3，防火墙浮动IP为192.168.1.63、两个防火墙间通过一个网口作芯跳，HRP4、上面和下面的两组交换机配置方法一样。

本文只列出上面的。

配置：交换机，此处就不配置TRUNK和ACCESS口的方法了。

三层Ainterface Vlan-interface803description To_Eudemon500Aip address 192.168.0.1 255.255.255.248vrrp vrid 4 virtual-ip 192.168.0.3vrrp vrid 4 priority 120三层Binterface Vlan-interface803description To_Eudemon500Bip address 192.168.0.2 255.255.255.248vrrp vrid 4 virtual-ip 192.168.0.3防火墙：1,eudemon 500A配置：sysname FW-E500-Asuper password level 3 ciper huaweiweb-manager enableweb-manager security enableacl number 3000description permit-allrule permit ipfirewall zone trustset priority 85add int g1/0/0firewall zone untrustset priority 5add int g1/0/1firewall zone hrpset priority 30add int g4/0/1int g1/0/0de to_switch_Aip address 192.168.0.4 255.255.255.248 vrrp vrid 10 virtual-ip 192.168.0.6vrrp vrid 10 pri 120int g1/0/1de to_switch_Cip address 192.168.1.4 255.255.255.248 vrrp vrid 15 virtual-ip 192.168.1.6vrrp vrid 15 pri 120int g4/0/1de HA_to_E500-Bip address 192.168.3.1 255.255.255.0vrrp vrid 20 virtual-ip 192.168.1.3vrrp vrid 20 pri 120vrrp group 1add interface ethernet4/0/1 vrrp vrid 30 datatransfer-onlyadd interface ethernet1/0/0 vrrp vrid 10 dataadd interface ethernet1/0/1 vrrp vrid 20 datavrrp-group pri 105vrrp-group preemptvrrp-group enablehrp enablehrp interface g4/0/1fire intzone trust localpack 3000 inpack 3000 outfire intzone untrust localpack 3000 inpack 3000 outfire intzone trust untrustaaalocal-user huawei password simple huaweilocal-user huawei service-type web telnet sshlocal-user huawei level 0user-interface vty 0 4authentication-mode aaauser privilege level 02、eudemon 500B配置sysname FW-E500-Bsuper password level 3 ciper huaweiweb-manager enableweb-manager security enableacl number 3000description permit-allrule permit ipfirewall zone trustset priority 85add int g1/0/0firewall zone untrustset priority 5add int g1/0/1firewall zone hrpset priority 30add int g4/0/1int g1/0/0de to_switch-Bip address 192.168.0.5 255.255.255.248vrrp vrid 10 virtual-ip 192.168.0.6int g1/0/1de to_switCh-Dip address 192.168.1.5 255.255.255.248vrrp vrid 15 virtual-ip 192.168.1.6int g4/0/1de HA_to_FW-E500-Bip address 192.168.3.2 255.255.255.0vrrp vrid 20 virtual-ip 192.168.3.3vrrp group 1add interface ethernet4/0/1 vrrp vrid 30 data transfer-onlyadd interface ethernet1/0/0 vrrp vrid 10 dataadd interface ethernet1/0/1 vrrp vrid 20 datavrrp-group preemptvrrp-group enablehrp enablehrp interface g4/0/1fire intzone trust localpack 3000 inpack 3000 outfire intzone untrust localpack 3000 inpack 3000 outfire intzone trust untrustpack 3002 inpack 3001 outaaalocal-user huawei password simple huaweilocal-user huawei service-type web telnet sshlocal-user huawei level 0user-interface vty 0 4authentication-mode aaauser privilege level 01. 双机热备的注意点（1）对于双机热备目前只支持两台设置进行备份，不支持多台设备进行备份。

5G无线网络规划解决方案白皮书(华为)

华为5G无线网络规划解决方案白皮书

1 5G无线网络规划面临的挑战 .........................01
1.1 3GPP愿景和5G Use Cases...........................................01 1.2 5G无线网络规划面临的挑战..........................................02
1.2.1 新频谱对网络规划的挑战..........................................02 1.2.2 新空口对网络规划的挑战..........................................03 1.2.3 新业务对网络规划的挑战..........................................04 1.2.4 新场景对网络规划的挑战..........................................04 1.2.5 新架构对网络规划的挑战..........................................05
2.2.1 高精度5G传播模型 ...................................................07 2.2.2 产品特性的高保真建模 .............................................08 2.2.3 精细化覆盖预测........................................................09 2.2.4 精准RF参数规划ACP (Automatic Cell Planning)......11 2.2.5 精准站址规划ASP (Accurate Site Planning) ............12 2.2.6 新业务体验网络规划研究..........................................13

智简园区WLAN二层GRE技术白皮书

华为智简园区 WLAN 二层 GRE技术白皮书目录摘要 (ii)1概述 (1)1.1产生背景 (1)1.2技术实现 (1)1.3客户价值 (3)2实现原理 (4)2.1二层GRE 的相关原理 (4)2.2二层GRE 下的报文转发 (9)2.3二层GRE 下的用户认证 (10)2.4二层GRE 下的用户漫游 (10)2.4.1SoftGRE 方式下的漫游 (11)2.4.2EoGRE+隧道转发方式下的漫游 (11)3典型组网应用 (13)3.1宽带+WIFI 业务 (13)3.2Wholesale 业务 (14)3.3访客接入 (14)1 概述1.1产生背景未来是一个智能终端无线连接、移动化的时代，无论是在家庭还是在户外，固定还是移动使用场景，终端基本都会通过无线方式接入网络。

而目前固网运营商有线接入网络不直接和用户的连接发生关系，这些将会让固网运营商沦为管道，被边缘化。

同时，对正在到来的M2M 物联网失去参与的机会。

在这样的大背景下，越来越多的没有移动运营牌照的固网运营商将目光投向了WIFI。

通过在现网上新增Wi-Fi 承载，整合现网FBB 资源，充分利用丰富的接入和城域资源。

同时利用WIFI 无线接入占领用户行为、网络流量管理的制高点，灵活开展更多商业模式，在全联接时代获取更多商业利益。

华为面向没有移动运营牌照，想通过基于现有FBB（客户群、业务、网络）拓展Wi-Fi新市场的固网运营商推出了运营级WIFI 解决方案。

为了集中简化管理，用户的流量策略统一在现有的BRAS 设备上进行，而AC 只负责AP 和无线用户的接入控制。

这种方案可以最大限度地减少对现网的改动，同时可以减少新增设备和运维成本。

华为提供了两种利用二层GRE 实现该功能的方法，下文将详细介绍。

1.2技术实现WLAN 有两种通过二层GRE 实现将无线和有线流量统一汇聚到同一个网关的方式。

隧道转发+EoGRE 方式：AP 采用隧道转发的方式，这种方式下用户的流量会汇聚到AC 设备，AC 设备再通过二层GRE 隧道将流量转发到网关。

华为全系列数据通信产品白皮书

华为全系列数据通信产品白皮书第一部分：引言（200字）数据通信产品在现代社会中扮演着至关重要的角色，它们是连接世界的桥梁，促进了信息的传递和交流。

华为作为全球领先的通信技术解决方案提供商，为满足客户需求，推出了一系列高质量的数据通信产品。

本白皮书旨在介绍华为全系列数据通信产品的技术特点、应用场景和优势，帮助用户更好地了解和选择适合自己的产品。

第二部分：产品概述（200字）华为全系列数据通信产品包括路由器、交换机、光纤传输设备等多个种类。

这些产品具备高度的稳定性、可靠性和安全性，能够保证数据传输的质量和效率。

华为路由器是业界领先的产品之一，支持高速连接，稳定运行和智能优化。

交换机则提供灵活的网络管理和控制功能，适用于各种不同规模和需求的环境。

光纤传输设备则可以实现高容量和长距离的数据传送，特别适用于电信、金融和大型企业等行业。

第三部分：技术特点（300字）华为全系列数据通信产品具备一系列重要的技术特点。

首先，这些产品都采用了先进的硬件和软件技术，能够实现高效的数据处理和传输。

其次，华为产品支持灵活的网络配置和管理，可以根据实际需求进行定制和扩展。

同时，华为产品还具备高度的安全性，采用了先进的加密和认证技术，保障了数据的机密性和完整性。

此外，华为产品还支持智能化的运维和管理，通过数据分析和优化，提高了网络的性能和稳定性。

第四部分：应用场景（300字）华为全系列数据通信产品广泛应用于各个领域。

它们可以满足不同规模和需求的数据通信需求，适用于运营商、企业和个人用户等不同类型的客户。

在运营商领域，华为产品可以构建高速、稳定和安全的通信网络，支撑运营商的业务和服务。

在企业领域，华为产品可以实现灵活的网络管理和控制，提供高效的数据传输和存储解决方案。

对于个人用户来说，华为产品可以提供高速的网络连接和智能的家庭网络管理，满足各种娱乐和生活需求。

第五部分：产品优势（200字）华为全系列数据通信产品具备多个优势。

首先，它们拥有领先的技术和创新能力，能够满足不断变化的市场需求。

华为AR系列路由器 01-04 双机热备份配置

4双机热备份配置关于本章4.1 双机热备份简介4.2 双机热备原理描述4.3 双机热备份应用场景4.4 配置注意事项4.5 双机热备份缺省配置4.6 配置双机热备份功能4.7 双机热备份配置举例4.8 双机热备份常见配置错误4.1 双机热备份简介定义双机热备份（Hot-Standby Backup）是指，当两台设备在确定主用（Master）设备和备用（Backup）设备后，由主用设备进行业务的转发，而备用设备处于监控状态，同时主用设备实时向备用设备发送状态信息和需要备份的信息，当主用设备出现故障后，备用设备及时接替主用设备的业务运行。

目的随着用户对网络可靠性的要求越来越高，如何保证网络的不间断传输，已成为一个必须解决的问题。

特别是在一些重要业务的入口或接入点上，需要保证网络的不间断运行，如企业的Internet接入点、银行的数据库服务器等。

在这些业务点上如果只使用一台设备，无论其可靠性多高，网络都必然要承受因单点故障而导致业务中断的风险。

为了解决上述问题，引入了双机热备份。

双机热备份实现了双机业务的备份功能，业务信息通过备份链路实现批量备份和实时备份，保证在主设备故障时业务能够不中断地顺利切换到备份设备，从而降低了单点故障的风险，提高了网络的可靠性。

4.2 双机热备原理描述4.2.1 备份方式设备支持主备方式的双机热备份解决方案。

主备方式（与VRRP热备份配合使用）如图4-1所示，RouterA与RouterB组成一个VRRP备份组。

正常情况下主设备RouterA处理所有业务，并将产生的会话信息通过主备通道传送到备份设备RouterB进行备份；RouterB不处理业务，只用做备份。

图4-1双机热备份主备方式组网图（正常工作）RouterA主备通道当主设备RouterA发生故障，备份设备RouterB接替主设备RouterA处理业务，如图4-2所示。

由于已经在备用设备上备份了会话信息，从而可以保证新发起的会话能正常建立，当前正在进行的会话也不会中断，提高了网络的可靠性。

西安移动WLAN AC双机热备部署方案指导

1.3
1.3.1
根据现网情况，本次热备规划使用目前成熟的独享地址池＋网络侧隧道迂回方案进行部署，针对WLAN业务实现热备。
WLAN-AC组网及IP地址分配：
1．主备AC各配置2个聚合组Trunk-1和Trunk-2。Trunk-1用于和BAS互联；
Trunk-2用于两台AC互联；
2．AC侧Trunk-1需要配置3个子接口，分别终结公网地址、内网1地址、内网2地址。子接口与封装VLAN保持一致。
ip route-static 192.168.12.0 255.255.255.0 172.16.218.41
#
AC接入BAS的配置：
ospf 2
default-route-advertise always
area 0.0.0.200
description TO-HuaWeiAc
authentication-mode md5 1 cipher -6DXUSR,U%GQ=^Q`MAF4<1!!
ip ip-prefix serviceip index 10 permit 111.20.61.0 24
#
route-policy nasip permit node 10
if-match ip-prefix nasip
apply cost + 50
#
route-policy serviceip permit node 10
5．内网地址1使用29掩码地址段，启用VRRP协议。用于AC主备的区分。
6．内网地址2使用29掩码地址段，用户AP管理的接口地址，用于建立CAPWAP隧道。
7．AP管理地址池：192.168.12.1/24
8．用户业务地址池：111.20.61.1/24

智简园区有线无线深度融合技术白皮书

华为智简园区有线无线深度融合技术白皮书摘要有线无线深度融合是华为公司推出的智简园区解决方案的一个子方案，指在敏捷交换机上融合WLAN AC功能后，有线和无线用户可以在敏捷交换机统一进行管理、认证和策略控制，流量集中易于管控，管理极致简化，实现了全新的接入体验。

目录摘要 (i)1 概述 (3)1.1 产生背景 (3)1.2 解决思路 (4)2 方案原理 (7)2.1 实现原理 (7)2.2 有线无线用户在敏捷交换机集中统一认证 (11)2.3 无线用户在敏捷交换机控制下实现漫游切换 (11)3 典型组网应用 (13)3.1 无线AP从ENP板卡接入 (13)3.1.1 中小型二层组网部署 (13)3.1.2 大型二层组网部署 (15)3.1.3 三层组网之核心点融合 (16)3.2 无线AP从ASIC板卡接入 (17)3.2.1 无线业务接入点多而分散 (17)3.2.2 旧有线网络增加无线业务 (19)A 缩略语 (20)1概述1.1 产生背景传统的有线无线园区网络分为有线无线完全分离和有线无线一体化两个阶段：●有线无线分离阶段：即独立AC旁挂式，AP通过接入交换机接入网络，AC多为单独的WLAN设备，一般旁挂在网关交换机上。

有线和无线网络管理、数据转发完全分离。

●有线无线一体化阶段：即插卡式AC，AP通过接入交换机接入网络，AC作为网关交换机的一块插卡，称为插卡式AC。

在这种组网下，虽然AC作为一块板卡融入了网关交换机，但无线AC和有线网关交换机还是独立的管理单元，有线无线数据转发，仍然是完全分开进行处理。

无论是独立AC或插卡式AC，有线和无线流量转发完全分离，分别是在交换机和AC设备完成。

这将导致有线用户和无线用户的流量转发、网络管理和排障、认证以及访问策略的设置和控制实施都是分开在有线网络和无线网络中独立维护的，这种传统的无线网络和有线网络不能统一管理和深度融合带来排障、管控的工作量增加等问题。

WLAN技术白皮书-802.11n D2.0

WLAN技术白皮书802.11n Draft2.0福建星网锐捷网络有限公司未经本公司同意，严禁以任何形式拷贝修订记录日期修订版本修改章节修改描述作者0.9 Draft 黄赞福建星网锐捷网络有限公司未经本公司同意，严禁以任何形式拷贝目录1. 概述 (4)1.1. 技术背景 (4)1.2. 技术特点 (4)1.3. 本书阅读说明 (5)2. 名词解释 (5)3. 技术分析 (6)3.1. 帧格式变更 (6)3.1.1. MPDU帧格式变更 (6)3.1.2. PPDU帧格式变更 (7)3.2. MAC效率提升 (9)3.2.1. 帧聚合（Aggregation） (10)3.2.2. 块确认（Block Acknowledgement） (12)3.2.3. RIFS（Reduced InterFrame Space） (13)3.3. MIMO技术 (14)3.3.1. MIMO基本概念 (14)3.3.2. MIMO系统组成 (15)3.3.3. 空间复用 (17)3.3.4. 信道探测评估 (18)3.3.5. 波束成形（BeamForming） (19)3.4. OFDM改进 (22)3.4.1. 副载波增加 (22)3.4.2. FEC编码速率提高 (23)3.4.3. 短防护间隔（SGI） (23)3.5. 带宽扩充 (24)3.6. PHY保护机制 (25)4. 附录 (26)4.1. 各种技术对速率提升的贡献 (26)4.2. 802.11nMCS一览表 (27)1.概述1.1. 技术背景802.11n是IEEE802.11协议族中的一部分，提供了MAC子层的部分修改和全新的PHY子层。

目的是在802.11旧有技术基础上改进射频稳定性、传输速率和覆盖范围。

在802.11g标准化之后，IEEE 802.11成立了任务n工作组——TGn。

在过去几年时间里，TGn 的提案一直未能完成标准化，主要原因是以芯片厂家主导的TGnSync阵营和以设备制造厂家主导的WWiSE阵营的争端无法达成一致。

华为Wi-Fi 6(802.11ax)技术白皮书

华为Wi-Fi 6 (802.11ax)技术白皮书华为技术有限公司目录1.Wi-Fi发展简介 (4)2.什么是Wi-Fi 6(802.11ax) (6)2.1Wi-Fi 6速度有多快？ (6)2.2Wi-Fi 6核心技术 (9)2.2.1OFDMA频分复用技术 (9)2.2.2DL/UL MU-MIMO技术 (13)2.2.3更高阶的调制技术(1024-QAM) (15)2.2.4空分复用技术（SR）& BSS Coloring着色机制 (16)2.2.5扩展覆盖范围(ER) (19)2.3其他Wi-Fi 6（802.11ax）新特性 (19)2.3.1支持2.4GHz频段 (19)2.3.2目标唤醒时间（TWT） (20)3.为什么要Wi-Fi 6(802.11ax) (22)4.5G与Wi-Fi 6(802.11ax)的共存关系 (23)5.华为对Wi-Fi 6(802.11ax)产业发展的贡献 (26)6.华为Wi-Fi 6(802.11ax)产品和特性 (28)6.1业界首款商用Wi-Fi 6 AP (28)6.2华为自适应阵列天线 (28)6.3三射频& 双5G设计 (29)6.4SmartRadio技术-智能射频调优 (30)6.5SmartRadio技术-智能EDCA调度 (32)6.6SmartRadio技术-智能无损漫游 (33)7.总结 (35)1.Wi-Fi发展简介Wi-Fi已成为当今世界无处不在的技术，为数十亿设备提供连接，也是越来越多的用户上网接入的首选方式，并且有逐步取代有线接入的趋势。

为适应新的业务应用和减小与有线网络带宽的差距，每一代802.11的标准都在大幅度的提升其速率。

1997年IEEE制定出第一个无线局域网标准802.11，数据传输速率仅有2Mbps，但这个标准的诞生改变了用户的接入方式，使人们从线缆的束缚中解脱出来，。

随着人们对网络传输速率的要求不断提升，在1999年IEEE发布了802.11b标准。

华为防火墙实现双机热备配置详解,附案例

华为防火墙实现双机热备配置详解，附案例一提到防火墙，一般都会想到企业的边界设备，是内网用户与互联网的必经之路。

防火墙承载了非常多的功能，比如：安全规则、IPS、文件类型过滤、内容过滤、应用层过滤等。

也正是因为防火墙如此的重要，如果防火墙一旦出现问题，所有对外通信的服务都将中断，所以企业中首先要考虑的就是防火墙的优化及高可用性。

本文导读一、双机热备工作原理二、VRRP协议三、VGMP协议四、实现防火墙双机热备的配置一、双机热备工作原理在企业中部署一台防火墙已然成为常态。

如何能够保证网络不间断地传输成为网络发展中急需解决的问题！企业在关键的业务出口部署一台防火墙，所有的对外流量都要经过防火墙进行传输，一旦防火墙出现故障，那么企业将面临网络中断的问题，无论防火墙本身的性能有多好，功能有多么强大。

在这一刻，都无法挽回企业面临的损失。

所以在企业的出口部署两台防火墙产品，可以在增加企业安全的同时，保证业务传输基本不会中断，因为两台设备同时出现故障的概率非常小。

经过图中右边的部署，从拓补的角度来看，网络具有非常高的可靠性，但是从技术的角度来看，还需解决一些问题，正因为防火墙和路由器在工作原理上有着本质的区别，所以防火墙还需一些特殊的配置。

左图，内部网络可以通过R3→R1→R4到达外部网络，也可以通过R3→R2→R4到达，如果通过R3→R1→R4路径的cost（运行OSPF协议）比较小，那么默认情况，内部网络将通过R3→R1→R4到达外部网络，当R1设备损坏时，OSPF将自动收敛，R3将通过R2转发到达外部网络。

右图，R1、R2替换成两台防火墙，默认情况下，流量将通过FW1进行转发到达外部网络，此时在FW1记录着大量的用户流量对应的会话表项内容，当FW1损坏时，通过OSPF收敛，流量将引导FW2上，但是FW2上没有之前流量的会话表，之前传输会话的返回流量将无法通过FW2，而会话的后续流量需要重新经过安全策略的检查，并生成会话。

无线传输配置WLAN AC热备份基础

需要注意的是：1B17及以上版本支持热备功能，在主备 AC上的AP配置必须完全一致，并且如果AP配置有调整必须两台AC都一起调整。
web一代认证不支持热备、内置web认证不支持热备、 dhcp snooping不支持热备
三、组网拓扑
组网无线局域网络中，实现无线AC热备功能的网络场景拓扑如图所示。
四、配置要点
1、要实现AC-1 、AC-2、AP需要路由可达。
2、启用热备功能，需要注意：配置AP DHCP的option 138时，可以使用以下两种之一：
option 138 ip 1.1.1.1 loopback 0地址
// 热备中主AC的
或
option 138 1.1.1.1 2.2.2.2
2、登陆到AP show capwap state 可以查看到建立两个隧道。
谢谢！
本单元主要了解无线传输配置WLAN AC热备份基础知识，通过本单元的学习，了解无线局域网的传输配置 WLAN AC热备份基础知识，会配置配置WLAN AC热备份无线局域网。
1、了解什么是WLAN AC热备份； 2、WLAN AC热备份的组网需求和功能需求有哪些
； 3、如何配置WLAN AC热备份。
一、组网功能介绍
在瘦AP架构上，AP需要和AC建立capwap隧道之后才能正常工作。
无线AC的热备功能，是在AC发生不可达(故障)时，为AC 为AP 提供毫秒级的CAPWAP隧道切换能力，最大程度上保证无线用户可用性及稳定性。
二、组网需求
无线AC启用热备功能，当AC-1宕机或者链路中断时用户可以迅速切换到备用AC。
// 顺序必须是先主AC loopback0地址后备AC loo pback 0地址

-华为防火墙(VRRP)双机热备配置及组网

防火墙双机热备配置及组网指导防火墙双机热备，主要是提供冗余备份的功能，在网络发生故障的时候避免业务出现中断。

防火墙双机热备组网根据防火墙的模式，分路由模式下的双机热备组网和透明模式下的双机热备组网，下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。

1 防火墙双机热备命令行说明防火墙的双机热备的配置主要涉及到HRP的配置，VGMP的配置，以及VRRP的配置，防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整，下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。

1.1 HRP命令行配置说明HRP是华为的冗余备份协议，Eudemon 防火墙使用此协议进行备份组网，达到链路状态备份的目的，从而保证在设备发生故障的时候业务正常。

HRP协议是华为自己开发的协议，主要是在VGMP协议的基础上进行扩展得到的；VGMP是华为的私有协议，主要是用来管理VRRP的，VGMP也是华为的私有协议，是在VRRP的基础上进行扩展得到的。

不管是VGMP的报文，还是HRP的报文，都是VRRP的报文，只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文，HRP的报文，或者是普通的VRRP的报文。

在Eudemon防火墙上，hrp的作用主要是备份防火墙的会话表，备份防火墙的servermap 表，备份防火墙的黑名单，备份防火墙的配置，以及备份ASPF模块中的公私网地址映射表和上层会话表等。

两台防火墙正确配置VRRP，VGMP，以及HRP之后，将会形成主备关系，这个时候防火墙的命令行上会自动显示防火墙状态是主还是备，如果命令行上有HRP_M的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙，如果命令行上有HRP_S的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。

防火墙的主备状态只能在两台防火墙之间进行协商，并且协商状态稳定之后一定是一台为主状态另外一台为备状态，不可能出现两台都为主状态或者都是备状态的。

AC池解决方案技术白皮书

AC资源池技术与方案1.资源池技术图1 3G核心网资源池示意在网络设备初期部署时，核心设备缺乏可靠的保护机制。

如图1中，早期GSM网络的SGSN节点（Serving GPRS SUPPORT NODE），存在单点故障。

随着业务的开展，核心设备要求部署1+1备份，提升可靠性。

但随之大幅提升了备份成本。

其次，由于业务发展的不均衡，部分核心网设备业务量较大，而部分设备基本闲置。

总体来说，核心网资源部署成本高，利用率不均衡。

为了解决这一问题，网络部署中广泛采用资源池技术，来提升可靠性和资源利用效率。

所谓资源池，就是把设备、链路、IP/VLAN等各种相关资源集中管理，统一调度，以达到提升资源利用效率，降低设备性能压力，增加网络可靠性，同时降低了备份成本的目的。

目前，国内运营商已经明确提出将WLAN作为长期的战略目标，未来很长一段时间将和2G/3G/4G技术并行发展。

随着WLAN网络建设规模的快速增长，现有核心网架构暴露出很多问题，主要体现在：1.资源利用效率低：城域网机房内，AC数量较多，接入AP不均衡，AC资源未得到充分利用；不同AC链路使用率不均衡，有的链路已经饱和需要扩容，有的链路却闲置。

AP负载不平衡，AP更换位置，需要重新调整网络；2.城域网资源浪费：每台AC都需要和BAS直连，浪费BAS端口、IP地址及VLAN资源。

并且在BAS上有流量迂回，实际流量减半且增加BAS性能消耗。

3.可扩展性差：新增AC时，需要城域网设备同步进行接口和路由配置，运维难度大，流程复杂；不同场点、不同厂家AP分配不同的管理网段，需维护多个AP地址池，城域网设备上也需进行相应的DHCP配置。

所以，H3C提出了建设AC资源池的解决方案，即将AC组网平台化，通过电信级虚拟化设备集中汇聚AC资源，实现AC集中部署，统一管理，提高核心网资源利用率和网络可靠性，从而满足未来WLAN大网演进的需求。

2.AC资源池介绍在传统的AC-AP架构中（如图2左图所示），一个AP只能连接固定的一个AC，而AC 在部署中往往按照区域划分，即每个AC负责固定片区的AP接入。

华为智简园区WLAN Hotspot技术白皮书

华为智简园区 WLAN Hotspot技术白皮书摘要Wi-Fi 的使用已经非常普及，智能终端几乎全部安装，可是当前wifi 的易用性比较差，终端使用者要打开wifi、搜索信号、选择SSID、输入账号/密码，还未必能够成功接入和使用网络，如何推动Wi-Fi 提供类似蜂窝的易用性有很大的必要。

于是Wifi 联盟研究制定了hotspot2.0 规范。

华为公司WLAN 产品已经具备hotspot2.0 特性，本文阐述了hotspot2.0 技术原理与部署。

目录摘要 (ii)1概述 (5)1.1产生背景 (5)1.2802.11u、HS2.0 与Passpoint (6)1.3标准协议演进 (7)2实现原理 (8)2.1HS2.0 方案概述 (8)2.2HS2.0 基本原理 (9)2.2.1GAS(Generic advertisement service) (10)2.2.2ANQP(Access Network Query Protocol) (10)2.3网络发现与选择 (10)2.3.1协议及空口帧的扩展 (10)2.3.2归属网络发现与选择 (14)2.3.3漫游网络发现与选择 (16)2.4热点选择策略 (17)3Hotspot2.0 的网络部署 (18)3.1Hotspot2.0 部署架构 (18)3.1.1蜂窝网络认证部署架构 (18)3.1.2非蜂窝网络认证部署架构： (19)3.2网络发现与选择 (19)3.2.1SP 标识和认证方法 (19)3.2.2Hotspot 热点标识 (20)3.2.3网络参数 (21)3.2.4网络支持能力获取 (21)3.2.5其他Beacon 信元 (21)3.3安全特性 (22)华为智简园区WLAN Hotspot2.0 技术白皮书目录3.3.1WPA2-Enterprise (22)3.3.2 层2 过滤 (22)3.3.3 多播禁止 (22)3.4终端兼容性 (22)4 附录 (23)4.1Wi-Fi CERTIFIED Passpoint (23)4.2参考标准和协议 (23)A 缩略语 (24)1 概述1.1产生背景Wi-Fi 的易用性比蜂窝差很多，终端使用者要打开wifi、搜索信号、选择SSID、输入账号/密码，还未必能够成功接入和使用网络，如果异常，在可用的wifi 信号中再进行重新选择。

Huawei WLAN CAPWAP断链,业务保持技术白皮书

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：客户服务邮箱：ChinaEnterprise_TAC@客户服务电话：4008229999技术白皮书前言前言修订记录修改记录累积了每次文档更新的说明。

最新版本的文档包含以前所有文档版本的更新内容。

文档版本 01 (2012-10-31)第一次正式发布。

技术白皮书目录目录前言 (ii)1 介绍 (1)2 原理描述 (2)3 应用 (7)技术白皮书 1 介绍1介绍定义CAPWAP断链，业务保持,是针对瘦AP的组网方式。

AP上线后，AP和AC会建立起CAPWAP链路，作为AP和AC之间控制和数据报文的转发通道。

但是这种情况下当CAPWAP链路断链后，AP的所有业务都将会中断。

AP的CAPWAP断链业务保持功能是在AP和AC之间CAPWAP断链后，AP可以继续保持直接转发下的STA数据业务。

目的CAPWAP断链，业务保持主要是为了保证在AP和AC之前的CAPWAP断链后，AP能够继续提供数据业务，减小断链造成的损失。

受益对于直接转发，依靠CAPWAP断链业务保持功能，WLAN网络中的数据业务不再依赖于CAPWAP链路，增强了业务转发的健壮性，给企业网带来了明显的增益。

AC热备和断链业务保持-华为WLAN安全可靠方案

AC(1+1)热备和断链业务保持——华为WLAN安全可靠方案AC 1+1热备在无线接入网络中，一台AC能管理几百台AP。

如果AC发生故障，则AC关联的所有AP的业务都会中断，所以AC的可靠性对于网络的高可用性十分重要。

通常，很多商场会部署两台AC，作为冗余备份保护。

如图5-1和图5-2所示，华为推出的AC 1+1热备方案，可解决AC单点故障问题。

AC 1+1热备是指，当两台设备在确定主用（Master）设备和备用（Backup）设备后，由主用设备进行业务的转发，而备用设备处于监控状态，同时主用设备实时向备用设备发送状态信息和需要备份的信息，当主用设备出现故障后，备用设备及时接替主用设备的业务运行，从而提高了网络的可靠性。

图5-1 AC 1+1热备组网图（通过双链路实现流量切换）图5-2 AC 1+1热备组网图（通过VRRP实现流量切换）两种热备份方式在实现上有所差异，对比如表5-1所示。

表5-1 两种热备方式对比•无线用户不掉线，业务不中断•保证AC可靠性，解决AC单点故障问题断链业务保持针对资金有限、无法购置双AC备份的小型无线网络，如图5-3所示，华为推出断链业务保持功能，可以解决CAPWAP链路故障问题。

图5-3 断链业务保持组网图在AC+FIT AP的架构中，使用直接转发方式时，当AC和AP之间的CAPWAP链路的中断后，断链业务保持可保证在线用户业务转发不中断。

同时可通过配置CAPWAP断链后AP允许新用户接入功能允许新用户上线；断链后新用户上线功能在无线侧安全策略为开放系统认证、共享密钥认证（WEP）和WPA/WPA2-PSK时生效。

通过在商场内部署断链业务保持功能，用户可实现：•商场内数据中心机房的AC掉电或异常时，办公人员、商户、顾客均可以继续正常使用无线网络。

•保证无线用户数据转发不中断，提升业务可靠性。

-全文完-。

WLAN安全服务技术白皮书 v2.00

WLAN安全服务技术白皮书杭州华三通信技术有限公司目录WLAN安全服务技术白皮书 (1)第1章WLAN概述 (4)第2章WLAN用户接入介绍 (5)2.1 802.11链路协商 (5)2.1.1 WLAN服务发现 (6)2.1.2 链路认证 (6)2.1.3 链路服务协商 (7)2.2 用户接入认证 (7)2.2.1 802.1x接入认证 (7)2.2.2 MAC接入认证 (9)2.2.3 PSK接入认证 (10)2.3 密钥协商 (10)第3章H3C公司的WLAN服务 (11)3.1 集中管理WLAN架构 (11)3.2 自治WLAN架构 (12)3.3 WLAN接入认证 (13)3.4 WLAN服务的数据安全 (14)3.5 WLAN接入服务 (14)3.5.1 明文WLAN服务 (14)3.5.2 WEP加密WLAN服务 (15)3.5.3 WPA WLAN服务 (17)3.5.4 RSN WLAN服务 (18)3.5.5 WPA和RSN组合WLAN服务 (19)第4章H3C公司WLAN的优势 (20)摘要现在WLAN应用已经非常普遍，在很多场所被部署，例如公司，校园，工厂，甚至咖啡厅等等。

本文介绍了WLAN的基本概念和技术原理，以及H3C WLAN解决方案能够提供的多种无线安全接入服务。

关键词WLAN, Station, ESS, SSID, RSN, OSA, IE, PSK, EAP, AC, AP, WTP缩略语WLAN 无线局域网（Wireless Local Area Network）Station 本文指WLAN的客户端ESS 扩展服务集（Extended Service Set）SSID 服务标示（Service Set ID）RSN Robust安全网络（Robust Security Network）OSA 开放系统认证（Open System Authentication）IE 信息单元（Information Element）PSK 预共享密钥（Pre-Shared Key）EAP 扩展认证协议（Extensible Authentication Protocol）AC 接入控制器（Access Controller）AP 接入控制点（Access Point）WTP 无线终端控制点（Wireless Termination Points）IV 初始向量（Initialization Vector）第1章WLAN概述WLAN，全称是Wireless Local Area Network，即无线局域网，和传统的有线接入方式相比无线局域网让网络使用更自由：1、无线局域网彻底摆脱了线缆和端口位置的束缚，用户不在为四处寻找有线端口和网线而苦恼，接入网络如喝咖啡般轻松和惬意。