下载文档原格式
■林小新一、胖瘦AP如何区分无线AP通常可以分为胖AP(Fat AP)和瘦AP(Fit AP)两类,不是以外观来分辨的,而是从其工作原理和功能上来区分。
当然,部分胖、瘦AP在外观上确实能分辨,比如有WAN 口的一定是胖AP。
胖AP除了前面提到的无线接入功能外,一般还同时具备WAN、LAN端口,支持DHCP服务器、DNS和MAC地址克隆、VPN接入以及防火墙等安全功能。
胖AP通常有自带的完整操作系统,是可以独立工作的网络设备,可以实现拨号、路由等功能,一个典型的例子就是我们常见的无线路由器。
瘦AP,形象的理解就是把胖AP瘦身,去掉路由、DNS和DHCP服务器等诸多加载的功能,仅保留无线接入的部分。
我们常说的AP就是指这类瘦AP,它相当于无线交换机或者集线器,仅提供一个有线/无线信号转换和无线信号接收/发射的功能。
瘦AP作为无线局域网的一个部件,是不能独立工作的,必须配合AC的管理才能成为一个完整的系统。
二、胖瘦AP组网的比较随着WLAN技术的成熟和应用的普及,越来越多的企业开始大规模部署WLAN网络,对于企业WLAN来说,其接入的用户数和无线设备的规模都在成倍增长,选用一套好的、最合适自己企业的无线网络设备则越来越重要。
目前,WLAN组网方式通常分为两种:胖AP+有线交换机的分布式WLAN组网模式和瘦AP+无线控制器集中式WLAN管理模式。
胖AP和瘦AP的组网方案各有哪些优缺点呢?通过以下几个方面来详细说明和比较。
1.组网规模及应用场景胖AP一般应用于小型的无线网络建设,可独立工作,不需要AC的配合。
一般应用于仅需要较少数量即可完整覆盖家庭、小型商户或小型办公类场景。
瘦AP一般应用于中大型的无线网络建设,以一定数量的AP配合AC产品来组建较大的无线网络覆盖,使用场景一般为商场、超市、景点、酒店、餐饮娱乐和企业办公等。
2.无线漫游胖AP组网无法实现无线漫游。
用户从一个胖AP的覆盖区域走到另一个胖AP的覆盖区域,会重新连接信号强的一个胖AP,重新进行认证,重新获取IP地址,存在断网现象。
胖AP和瘦AP在商业WiFi中的区别和适用场景1.商业WiFi背景WiFi网络从2013年开始随着“互联网入口”模式的故事,吸引了越来越多的资本和公司进入,包括互联网大鳄、以中国电信“aWiFi”为代表的传统运营商、各类广告/流量/软件/运营/设备公司等。
笔者从事通信行业、尤其是无线通信领域15年,并且从2008年开始参与到四大运营商(移动、电信、联通、广电)的WLAN网络(WiFi网络的别称)建设、网络发展、网络优化、网络运营工作,对于国内WiFi网络领域的各方面都有所涉猎。
近来在跟各类从事商业WiFi的本地运营者沟通过程中,发现目前WiFi网络建设和运营已经从“官方”(以电信运营商为主导)向“民间”(以各种类型的本地公司为主导)蔓延,而这些来自于“民间”的本地公司,背景不一,但很少是专业从事无线通信领域的,因此经常会听到有人来咨询类似“胖AP与瘦AP有什么区别”之类的问题。
而在解释这个问题时,由于面对人员的背景不同,因此也会有不同的侧重点,比如有的侧重于了解两者之间的技术方面有何不同,有的侧重于从运营方面了解不同,有的侧重于从适用场景上了解其有何不同,如此不一而足。
为此,笔者想从一个相对比较系统、而又不是单纯技术情节方面,对这个比较“传统”的问题进行详细的剖析和对比。
2.胖AP与瘦AP的全方位对比2.1胖AP的“前世今生”胖AP称为(Fat AP,Fat Access Point),有的厂家也习惯把其称为“无线路由器”。
早期的胖AP也参与电信运营商的组网,如2008~2009年中国电信大力建设ChinaNet网络时,有不少省份都是以胖AP为主的方式进行建设的,这就导致到目前为止,很多电信省份仍有不少于5000台的胖AP设备。
在电信运营商的WLAN组网中,由于胖AP存在管理复杂等问题,因此后来逐渐地被瘦AP替代;到2010~2011年中国移动建设WLAN网络时,除少量省市,已经很少有用胖AP组网的情况了。
胖AP与瘦AP的区别作者:林小新来源:《计算机与网络》2018年第21期一、胖瘦AP如何区分无线AP通常可以分为胖AP(Fat AP)和瘦AP(Fit AP)两类,不是以外观来分辨的,而是从其工作原理和功能上来区分。
当然,部分胖、瘦AP在外观上确实能分辨,比如有WAN口的一定是胖AP。
胖AP除了前面提到的无线接入功能外,一般还同时具备WAN、LAN端口,支持DHCP 服务器、DNS和MAC地址克隆、VPN接入以及防火墙等安全功能。
胖AP通常有自带的完整操作系统,是可以独立工作的网络设备,可以实现拨号、路由等功能,一个典型的例子就是我们常见的无线路由器。
瘦AP,形象的理解就是把胖AP瘦身,去掉路由、DNS和DHCP服务器等诸多加载的功能,仅保留无线接入的部分。
我们常说的AP就是指这类瘦AP,它相当于无线交换机或者集线器,仅提供一个有线/无线信号转换和无线信号接收/发射的功能。
瘦AP作为无线局域网的一个部件,是不能独立工作的,必须配合AC的管理才能成为一个完整的系统。
二、胖瘦AP组网的比较随着WLAN技术的成熟和应用的普及,越来越多的企业开始大规模部署WLAN网络,对于企业WLAN来说,其接入的用户数和无线设备的规模都在成倍增长,选用一套好的、最合适自己企业的无线网络设备则越来越重要。
目前,WLAN组网方式通常分为两种:胖AP +有线交换机的分布式WLAN组网模式和瘦AP+无线控制器集中式WLAN管理模式。
胖AP和瘦AP的组网方案各有哪些优缺点呢?通过以下几个方面来详细说明和比较。
1.组网规模及应用场景胖AP一般应用于小型的无线网络建设,可独立工作,不需要AC的配合。
一般应用于仅需要较少数量即可完整覆盖家庭、小型商户或小型办公类场景。
瘦AP一般应用于中大型的无线网络建设,以一定数量的AP配合AC产品来组建较大的无线网络覆盖,使用场景一般为商场、超市、景点、酒店、餐饮娱乐和企业办公等。
2.无线漫游胖AP组网无法实现无线漫游。
瘦AP(FIT AP)、胖AP(FAT AP)(2011-08-19 00:04:20)背景概述传统的WLAN网络都是为企业或家庭内少量移动用户的接入而组建的,这类网络典型的组网方式是采用FAT AP+有线交换机的分布式WLAN组网模式,由AP 来完成用户的无线接入、用户权限认证、用户安全策略实施,对WLAN网络设备的管理也是分布式的。
随着WLAN技术的成熟和应用的普及,越来越多的学校开始大规模部署WLAN网络,接入的用户数和无线设备的规模都在成倍增长,网络中心负责老师在建设和维护无线校园网络时发现采用传统的WLAN组网和管理模式已经很难适应现有的无线校园网络规模。
目前在无线校园网络的建设和维护中遇到的主要问题有:1、 WLAN建网时需要对成百上千的AP进行逐一配置:网管IP地址、SSID 和加密认证方式等无线业务参数、信道和发射功率等射频参数、ACL和QOS等服务策略,很容易因误配置而造成配置不一致。
2、为了管理AP,需要维护大量AP的IP地址和设备的映射关系,每新增加一批AP设备都需要进行地址关系维护。
3、接入AP的边缘网络需要更改VLAN、ACL等配置以适应无线用户的接入,为了能够支持用户的无缝漫游,需要在边缘网络上配置所有无线用户可能使用的VLAN和ACL。
4、察看网络运行状况和用户统计时需要逐一登录到AP设备才能完成察看。
在线更改服务策略和安全策略设定时也需要逐一登录到AP设备才能完成设定。
5、升级AP软件无法自动完成,维护人员需要手动逐一对设备进行软件升级,费时费力6、 AP设备的丢失意味着网络配置的丢失,在发现设备丢失前,网络存在入侵隐患,在发现设备丢失后又需要全网重配置。
随着建网、组网问题的不断出现,一种全新的WLAN网络架构-无线控制器+FIT AP集中式WLAN管理模式应运而生。
无线控制器+FIT AP控制架构对设备的功能进行了重新划分,其中无线控制器负责无线网络的接入控制,转发和统计、AP的配置监控、漫游管理、AP的网管代理、安全控制;FIT AP负责802.11报文的加解密、802.11的PHY功能、接受无线控制器的管理、RF空口的统计等简单功能。
对于无线网络的管理,瘦AP+无线交换机的方式是不是要改变现有的网络结构?能不能请齐工具体说明一下“瘦AP+无线交换机”和胖ap两种方式的优略在哪?能不能给出具体的应用环境和说明?首先明确一点,采用轻型AP+无线控制器的方式不会改变现有的有线网络结构。
AP和无线控制器之间通过LWAPP(IEEE802.11v草案)协议进行通讯,所有无线数据、控制信息都以LWAPP封装的形式在AP和无线控制器之间传递,真正的无线和有线网络之间的接口在无线控制器上。
在以前AP单独组网的时候,无线和有线网络之间的接口在无线AP的有线端口上,由AP自己决定数据转发规则。
后来由于集中控制、集中管理(两个概念,下文详述)的需求,包括Airespace,Aruba以及Cisco 都纷纷推出了无线控制器、无线交换机等产品,比如Cisco原先的WLSM(需要Catalyst6500交换机和Supervisor720)就是针对自己的胖ap(正规叫法为自治型AP)推出的集中控制设备,并且用Ciscoworks WLSE 或WLSE Express来实现集中管理。
在收购了Airespace后,Cisco获得了在轻型AP架构下的一整套产品和技术,并与原先的产品整合在了一个全新的架构--Cisco Unified Wireless Network,思科一体化无线网络。
详细的体系架构白皮书在下列网址,/en/US/products/hw/wireless/ps430/prod_brochure09186a0080184925.html。
在此架构下分为五个层次:1,无线访问层,由于Cisco和90%以上的Wi-Fi接入端都有CCX技术平台的支持,所以客户端可以保证安全地接入Cisco的无线网络,并享受QoS,快速安全漫游,无线IDS等好处;2,无线接入层,由Cisco各种类型AP(室内或室外,自治AP或轻型AP)组成;3,网络整合控制层,由Cisco各种无线控制器完成接入申请、数据访问控制、QoS控制、实时RF控制与调整,无线IDS探测,非法AP抑制等功能;4,网络管理层,对无线网元进行基于SNMP的管理;5,整合的应用层,包括无线NAC,无线IP电话,无线定位服务等与无线网络密切相关的应用。
胖、瘦AP的概念
瘦ap需要和控制器相结合使用,没有控制器就是块铁.胖AP可以独立使用. 一些AP可以通过升级IOS互相转换瘦ap即轻量型ap,需要wlc;胖ap 即自主性ap,大规模的企业wireless应用瘦ap更为流行
FAT(胖) FIT(瘦):
胖、瘦AP的特点:
胖AP具有以下特点:
1.需要每台AP单独进行配置,无法进行集中配置,管理和维护比较复杂;
2.支持二层漫游;
3.不支持信道自动调整和发射功率自动调整;
4.集安全、认证、等功能于一体,支持能力较弱,扩展能力不强;
5. 对于漫游切换的时候存在很大的时延。
瘦AP:
AP:Access Point无线接入点,也称无线网桥、无线网关瘦AP是指需要无线控制器(AC)进行管理、调试和控制的AP,不能独立工作,必须于AC(无线接入控制器)配合使用
在不同的情况下用不同类型的AP
胖AP就是自带复杂的配置功能(独立的完整的操作系统),比如你家里用的无线AP小路由器,就是胖AP的一种...简单讲,胖AP可以不依靠其他设备独立工作...
瘦AP适合大规模部署,通常需要与交换机,控制器等设备配合组网,瘦AP的所有配置都是从服务器上下载的,因此瘦AP是无法独立工作的...。
什么是无线AP?胖瘦AP如何区分?12.12一,什么是AP,胖瘦AP如何区分?先说说AP的概念。
AP是Access Point的简称,即无线接入点,其作用是把局域网里通过双绞线传输的有线信号(即电信号)经过编译,转换成无线电信号传递给电脑、手机等无线终端,与此同时,又把这些无线终端发送的无线信号转换成有线信号通过双绞线在局域网内传输。
通过这种方式,形成无线覆盖,即无线局域网。
我们通常说AP,都是指下文里的瘦AP。
无线AP通常可以分为胖AP(Fat AP)和瘦AP(Fit AP)两类,不是以外观来分辨的,而是从其工作原理和功能上来区分。
当然,部分胖、瘦AP在外观上确实能分辨,比如有WAN口的一定是胖AP。
胖AP除了前面提到的无线接入功能外,一般还同时具备WAN、LAN端口,支持DHCP服务器、DNS和MAC 地址克隆、VPN接入、防火墙等安全功能。
胖AP通常有自带的完整操作系统,是可以独立工作的网络设备,可以实现拨号、路由等功能,一个典型的例子就是我们常见的无线路由器。
胖AP简单理解就是带管理功能的AP,胖AP就是自己带有管理功能同时又广播SSID还连接终端的AP,属于麻雀虽小五脏俱全类型的。
瘦AP,形象的理解就是把胖AP瘦身,去掉路由、DNS、DHCP服务器等诸多加载的功能,仅保留无线接入的部分。
我们常说的AP就是指这类瘦AP,它相当于无线交换机或者集线器,仅提供一个有线/无线信号转换和无线信号接收/发射的功能。
瘦AP作为无线局域网的一个部件,是不能独立工作的,必须配合AC的管理才能成为一个完整的系统。
痩AP则是不带管理功能的,简单可以把它理解为一个信号发送与接收的天线,它的管理功能由后端的,我们叫无线控制器(AC)来完成。
瘦AP就不能自管理了,需要AC来管理,瘦AP只负责广播SSID和连接终端;一般超小规模组网用胖AP,稍微大一点就用瘦AP了。
这么做的原因主要是在无线路由器很多的情况下,大企业部署一个园区的无线覆盖,有几百个无线路由器是很正常的,但是管理起来就很麻烦了,总不可能像家用路由器一个一个去配置吧,所有由AC进行统一管理要方便和高效的多。
每日一学:胖AP、瘦AP组网方式对比传统的WLAN网络组网方式是采用FAT AP+有线交换机的分布式WLAN组网模式,由AP来完成用户的无线接入、用户权限认证、用户安全策略实施,对AP的管理也是分布式的。
随着WLAN技术的成熟和应用的普及,越来越多的企业开始大规模部署WLAN网络,接入的用户数和无线设备的规模都在成倍增长,网络维护人员在建设和维护WLAN网络时发现采用传统的WLAN组网和管理模式已经很难适应现有的WLAN网络规模。
使用FAT AP组网的缺点:1、WLAN建网时需要对成百上千的AP进行逐一配置,每新增加一批AP设备都需要进行逐一配置;2、为了管理AP,需要维护大量AP的IP地址和设备的映射关系;3、查看AP运行状况和用户统计时需要逐一登录到AP设备才能完成查看;4、AP软件升级无法自动完成,网管需要手动逐一对设备进行软件升级,费时费力随着建网、组网问题的不断出现,一种全新的WLAN网络架构-无线控制器+FIT AP集中式WLAN管理模式应运而生。
无线控制器+FIT AP控制架构对设备的功能进行了重新划分,其中无线控制器负责无线网络的接入控制、安全控制、转发和统计、AP的统一集中配置管理、漫游管理;AP端零配置,由AC下发配置到所有AP ;FIT AP接受无线控制器的管理,负责802.11报文的加解密等简单功能。
使用FIT AP组网具有下列优势(列举):1、AP自动发现–即插即用和零配置使用。
–基于L2/L3的多种自动发现方式,便于跨各层网络或远程AP灵活组网。
2、动态的RF管理–自动信道分配和选择。
–自动功率调整:降低AP之间的互干扰,提高网络动态覆盖特性。
3、基于用户或基于流量的负载均衡–对于用户密度高或者流量变化大的热点地区,这点对提高用户感受至关重要。
4、更强的安全策略–非法AP检测和处理机制,具有无线入侵检测能力。
两种组网方式对比:。
无线AP,胖AP(Fat AP)和瘦AP(Fit AP)有什么区别无线AP一般分成两类胖AP(Fat AP)和瘦AP(Fit AP)两类,从外观上来很难区分的,只能通过其工作原理和功能上来区分。
当然,也有部分部分胖、瘦AP在外观上确实能分辨,比如有WAN口的一定是胖AP。
胖AP除了前面提到的无线接入功能外,一般还同时具备WAN、LAN端口,支持DHCP服务器、DNS和MAC地址克隆、VPN接入、防火墙等安全功能。
胖AP通常有自带的完整操作系统,是可以独立工作的网络设备,可以实现拨号、路由等功能,一个典型的例子就是我们常见的无线路由器。
胖AP简单地理解为具有管理功能的AP。
胖AP是具有其自己的管理功能并且广播SSID并且还连接到终端的AP。
它属于小而完整的麻雀类型。
瘦AP,理解的形象是瘦胖AP,删除路由 DNS DHCP服务器和许多其他加载功能,只保留无线接入部分。
我们经常提到的AP指的是这样的瘦AP,其相当于无线交换机或集线器,并且仅提供一种有线/无线信号转换和无线信号接收/发送功能。
作为无线局域网的一个组成部分,瘦AP无法独立工作。
它必须与AC管理合作才能成为一个完整的系统。
痩AP没有管理功能。
可以理解为信号发送和接收天线。
其管理功能由后端执行,称为无线控制器(AC)。
瘦AP无法自行管理。
AC需要管理。
瘦AP仅负责广播SSID和连接终端。
通常,超小型网络使用胖AP,而小型网络使用瘦AP。
其原因主要是因为在许多无线路由器的情况下,大型企业部署了校园的无线覆盖范围。
拥有数百个无线路由器是正常的,但管理起来非常麻烦。
像家庭路由器一样使用一台路由器是不可能的。
要进行配置,AC的所有统一管理都更加方便快捷。
高端无线控制器(AC)可以管理数十万个无线AP,并且可以集中配置和交付配置。
企业级无线AP实际上可以很胖,可以通过不同的软件进行编辑。
实现,但在大规模部署的情况下没有意义。
二,胖瘦AP网络的优缺点胖AP和瘦AP网络解决方案有哪些优缺点?我们将在以下方面进行详细阐述和比较。
Fat AP与Fit AP的主要特点和区别Fat AP的主要特点:·Fat AP是与Fit AP相对来讲的,Fat AP将WLAN的物理层、用户数据加密、用户认证、QoS、网络管理、漫游技术以及其他应用层的功能集于一身。
·Fat AP无线网络解决方案可由由Fat AP直接在有线网的基础上构成。
·Fat AP设备结构复杂,且难于集中管理。
Fit AP的主要特点:·Fit AP是相对Fat AP来讲的,它是一个只有加密、射频功能的AP,功能单一,不能独立工作。
·整个Fit AP无线网络解决方案由无线交换机和Fit AP在有线网的基础上构成。
·Fit AP上“零配置”,所有配置都集中到无线交换机上。
这也促成了Fit AP解决方案更加便于集中管理,并由此具有三层漫游、基于用户下发权限等Fat AP不具备的功能。
SR6600系列路由器 L2TP+IPSec VPE的配置方法一、组网需求:1.用户服务器位于私网中,由于出差频繁,客户需要从PC机通过L2tp拨入MPLS vpn业务访问私网的各种服务。
2.MPLS骨干网络中间的P设备不具备MPLS转发能力,只能进行IP转发需求分析:PC通过L2tp 拨入MPLS vpn,这就要求客户侧的PE设备可以终结IP vpn (L2tp),即作为VPE出现在网络中P设备不具备MPLS转发能力,因此我们需要在VPE和PE设备之间建立GRE 隧道,将MPLS报文作为GRE的乘客协议将整个MPLS报文转换为IP报文经过P设备转发后到达PE后再进行MPLS处理二、组网图:组网设备:SR6600 路由器3台版本R2420P07 PC(预装inode客户端进行L2tp+IPSec)三、配置步骤:VPE 配置sysname VPE#l2tp enable#ike local-name gateway //与PC间的IPSec#domain default enable system#router id 1.1.1.1#telnet server enable#mpls lsr-id 1.1.1.1#ip vpn-instance test //私网业务vpnroute-distinguisher 1:1vpn-target 1:1 export-extcommunityvpn-target 1:1 import-extcommunity#acl number 3000 //IPSec 匹配VPE和PE间网段rule 0 permit ip source 10.1.1.1 0 destination 20.1.1.2 0#mpls#mpls ldp#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disableip pool 0 192.168.1.2 192.168.1.10 //为L2tp用户分配地址#ike proposal 1#ike peer pc //与PC间的IPSec 需用野蛮模式exchange-mode aggressiveproposal 1pre-shared-key cipher xxxxid-type nameremote-name pc#ike peer pe //与PE 间的IPSecproposal 1pre-shared-key cipher xxxxremote-address 20.1.1.2#ipsec proposal 1#ipsec policy-template pc 1 //与PC间的IPSec需用template ike-peer pcproposal 1#ipsec policy computer 1 isakmp template pc#ipsec policy test 1 isakmpsecurity acl 3000ike-peer peproposal 1#user-group system#local-user routerman //配置L2tp用户password simple 111authorization-attribute level 3service-type ppp#l2tp-group 1allow l2tp virtual-template 1tunnel password simple 111111 //可以取消隧道认证tunnel name access //需配置隧道名称#interface Virtual-Template1ppp authentication-mode pap domain systemremote address poolmtu 1200ip binding vpn-instance test //虚模板绑定vpn实例ip address 192.168.1.1 255.255.255.0#interface NULL0#interface LoopBack0ip address 1.1.1.1 255.255.255.255#interface GigabitEthernet0/1ip address 10.1.1.1 255.255.255.252ipsec policy testinterface GigabitEthernet0/2 //与PC直连的接口ip address 207.1.1.1 255.255.255.252ipsec policy computer#interface Tunnel0ip address 100.1.1.1 255.255.255.252source 10.1.1.1destination 20.1.1.2mpls //使能tunnel的MPLS能力mpls ldp#bgp 100undo synchronizationpeer 3.3.3.3 as-number 100peer 3.3.3.3 connect-interface LoopBack0#ipv4-family vpn-instance testimport-route direct#ipv4-family vpnv4peer 3.3.3.3 enable#ip route-static 3.3.3.3 255.255.255.255 Tunnel0//配置到PE 走tunnel 路由ip route-static 20.1.1.0 255.255.255.0 10.1.1.2PE 配置#sysname PE#domain default enable system#router id 3.3.3.3#telnet server enable#mpls lsr-id 3.3.3.3#ip vpn-instance testroute-distinguisher 1:1vpn-target 1:1 export-extcommunityvpn-target 1:1 import-extcommunity#acl number 3000rule 0 permit ip source 20.1.1.2 0 destination 10.1.1.1 0 #mpls#mpls ldp#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#ike proposal 1#ike peer vpeproposal 1pre-shared-key cipher xxxxremote-address 10.1.1.1#ipsec proposal 1#ipsec policy test 1 isakmpsecurity acl 3000ike-peer vpeproposal 1#user-group system#l2tp-group 1tunnel name test#interface NULL0#interface LoopBack0ip address 3.3.3.3 255.255.255.255#interface LoopBack1 //测试时替代服务器地址ip binding vpn-instance testip address 8.8.8.8 255.255.255.255#interface GigabitEthernet0/0#interface GigabitEthernet0/1ip address 20.1.1.2 255.255.255.252ipsec policy test#interface Tunnel0ip address 100.1.1.2 255.255.255.252source 20.1.1.2destination 10.1.1.1mplsmpls ldp#bgp 100undo synchronizationpeer 1.1.1.1 as-number 100peer 1.1.1.1 connect-interface LoopBack0#ipv4-family vpn-instance testimport-route direct#ipv4-family vpnv4peer 1.1.1.1 enable#ip route-static 1.1.1.1 255.255.255.255 Tunnel0ip route-static 10.1.1.0 255.255.255.0 20.1.1.1PC 配置方法及效果验证请参照附件四、配置关键点:1. 由于是PC通过L2tp+IPSec 拨入vpn 因此需注意要在virtual-template上绑定vpn实例2. MPLS+GRE+IPSec 中的IPSec 需要匹配IPSec网关间(VPE与PE)的网段地址3. GRE tunnel 需要使能MPLS转发能力和LDP能力4. PC 侧配置L2tp+IPSec参数要与VPE上的一致,具体要根据不同的PC拨号终端决定是否需要配置L2tp tunnel name 和tunnel authentication5. 由于PC的私网地址是VPE分配的,因此IPSec 需要使用野蛮模式和template6. P设备上仅需要配置正确公网路由即可。
浅析无线胖、瘦AP的模式及应用作者:郑志忠来源:《科学与信息化》2019年第11期摘要随着社会经济的发展,我国的科学技术发展水平有了很大进步,网络信息通信技术也获得了飞速的发展与广泛的应用。
本文将对无线胖、瘦AP的模式及应用策略进行分析,以及增强无线胖、瘦AP的模式及应用效果。
关键词胖AP;瘦AP;应用策略1 胖瘦AP的区分无线AP通常分为胖AP(Fat AP)和瘦AP(Fit AP)两类,不是以外观区分的,而是从工作原理和功能上来区分的。
胖AP除了具有无线接入功能外,还同时具备WAN/LAN端口,支持DHCP服务器、DNS/MAC地址克隆、VPN接入以及防火墙等安全功能。
胖AP通常自带完整的操作系统,是可以独立工作的网络设备,可以实现拨号、路由等功能,典型的例子就是大家常见的无线路由器。
瘦AP,形象的理解就是把胖AP瘦身,去掉路由器、DNS、DHCP服务器等诸多加载的功能,仅保留无线接入部分。
我们常说的AP就是指这类瘦AP,他相当于无线交换机或者集线器,仅提供一个有线/无线信号转换和无线信号接收/发射功能。
瘦AP作为无线局域网的一个部件,是不能独立工作的,必须配合AC的管理才能成为一个完整的系统[1]。
2 胖瘦AP组网的比较随着WLAN技术的成熟和应用普及,越来越多的企业开始大规模部署WLAN网络,对于企业WLAN来说,其接入的用户数目和无线设备的规模都在成倍增长,选用一套好的、最适合自己企业的无线网络设备则越来越重要。
2.1 组网规模及应用场景胖AP一般应用于小型的无线网络建设,可独立工作,不需要AC的配合。
一般用于较少数量即可完整覆盖的家庭、小型办公场所、小型商户等场景。
2.2 无线漫游胖AP组网无法实现无线漫游。
用户从一个胖AP的覆盖区域走到另一个胖AP的覆盖区域,会重新连接信号强的一个胖AP,重新进行认证,重新获得IP地址,会存在现断网现象。
2.3 自动负载均衡当很多用户连接在同一个胖AP上时,胖AP无法自动进行负载均衡将用户分配到其他负载较的胖AP上,因此胖AP会因为负荷较大频繁出现网络故障。
无线AP的Fat模式和Fit模式有什么区别?一起在讨论无线AP时,会分别看待瘦AP和胖AP的特点,也就是那个时候的AP,要么是瘦AP,要么是胖AP,没有“一体”之说。
但现在的很多无线AP,不再是单纯的胖AP或者瘦AP,而是集胖瘦于一体,比如丰润达的所有无线AP系列,无论是单频的还是双频的,又或者是大功率的无线AP,都是胖瘦一体的。
胖瘦一体的意思,集“胖AP”与“瘦AP”的功能与一体,既可以将它当胖AP使用,又可以将它当瘦AP使用,也就是它的Fat模式与Fit模式,当然肯定是需要根据不同的组网环境来确定。
那么,这两种模式有什么区别呢?Fat模式是传统的WLAN组网方案,无线AP本身承担了认证终结、漫游切换、动态密钥产生等复杂功能,相对来说AP的功能较重,因此称为Fat AP。
Fit模式是新兴的一种WLAN组网模式,其相对Fat模式方案增加了无线交换机或无线控制器作为中央集中控制管理设备,原先在Fat AP自身上承载的认证终结、漫游切换、动态密钥等复杂业务功能转移到无线交换机或无线控制器上来进行。
Fit模式减少了单个AP的负担,提高了整网的工作效率。
同时由于Fit AP方案这种集中式管理的特点,可以很方便的通过升级无线控制器的软件版本实现更丰富业务功能的扩展。
所有AP本身零配置安装,并且除了...一起在讨论无线AP时,会分别看待瘦AP和胖AP的特点,也就是那个时候的AP,要么是瘦AP,要么是胖AP,没有“一体”之说。
但现在的很多无线AP,不再是单纯的胖AP或者瘦AP,而是集胖瘦于一体,比如丰润达的所有无线AP系列,无论是单频的还是双频的,又或者是大功率的无线AP,都是胖瘦一体的。
胖瘦一体的意思,集“胖AP”与“瘦AP”的功能与一体,既可以将它当胖AP使用,又可以将它当瘦AP使用,也就是它的Fat模式与Fit模式,当然肯定是需要根据不同的组网环境来确定。
那么,这两种模式有什么区别呢?Fat模式是传统的WLAN组网方案,无线AP本身承担了认证终结、漫游切换、动态密钥产生等复杂功能,相对来说AP的功能较重,因此称为Fat AP。
胖AP架构与痩AP架构无线网络优劣比较胖AP架构的特点:1. 网络中所有用户采用公用WEP密钥,密钥实际己经公开,安全性差。
2. ACL过滤不便于流动用户的使用,或老用户更换网卡不方便。
3. 无法主动获得无线网络工作状态,故障恢复效率低。
4. 无法快速、统一实现全网安全策略,应用受到限制。
5. 无法区分不同权限用户群,管理不够人性化。
6. 无法对无线用户网络访问进行监控,用户管理不到位。
7. 无法对AP实行统一管理和集中配置,维护效率低,成本高。
8. 无法区分不同等级对用户带宽管理,服务不够人性化。
9. 无法统筹规划无线频率,信号干扰大,影响无线速率。
10. 整体网络会效率低下,影响网络新应用的开展。
第三代瘦AP架构突出优势作为第三代的无线网络系统,釆用了Wireless Switch+AP构架,将密集型的无线网络和安全处理功能转移到集中的WLAN交换机中实现,同时加入了许多重要新功能,诸如无线网管、AP间自适应、无线安管、RF监测、无缝漫游以及Qos。
在无线网融合到有线网络方面,第三代无线系统所独有的三层路由穿透技术可以不更改原有线网的路由设定,使得无线网络的规划和实施非常方便。
在无线网络管理方面,第三代无线系统实现真正的集中控管,包括独有的RF智能调控,自动恢复、负载均衡功能,使无线网可以适应无线环境中的电磁波变化,动态自动调节到最佳应用效果;还可以实现远端AP状态监测,方便实现对AP的管理;具有多SSID支持,实现了对无线数据、语音和视频的应用带宽管理。
在无线安全性方而,第三代无线系统具备多种用户认证、基于用户的状态防火墙、VPN 加密机制、无线入侵侦测、无线接入病毐防护功能以及集中的安全管理。
在无线音视频应用方而,瘦AP独有的基于每个用户的带宽控制和QOS保证, 可以确保语音和视频业务的实时性,先进的无缝三层移动漫游,使得VoIP以及Wi-Fi Phone可以自由自在的在任意AP间切换,具有目前业界最低的时延。
胖AP与瘦AP区别⼀、胖AP组⽹⽅案1、漫游问题⽤户从⼀个胖AP的覆盖区域⾛到另⼀个胖AP的覆盖区域,会重新连接信号强的⼀个胖AP,重新进⾏认证,重新获取IP地址,存在断⽹现象;2、⽆法保证WLAN的安全性为了减⼩⽤户在漫游时⽹络中断的时间,可以使⽤开放式认证的⽅式,即⽤户⽆需认证后上⽹,其他“外部”⽤户只要搜到该信号就能够联⼊WLAN,这样的WLAN是否缺乏安全性;3、⼲扰问题802.11b/g只有3个不重叠的信道,多个胖AP⾼密度的部署在会议室之中,必然存在⼲扰;4、发射功率⽆法⾃动调整⽤户处在多个胖AP覆盖下,⽆线⽹卡会不稳定,在多个⽆线信号间游离,加重漫游导致的问题;5、⽆法⾃动负载均衡当很多⽤户连接在同⼀个胖AP上时,胖AP⽆法⾃动的进⾏负载均衡,胖AP会因为负荷较⼤出现⽹络故障;6、单点故障为了减少多个胖AP间的⼲扰,可以⼿⼯设置减少胖AP的发射功率,即减⼩了胖AP的覆盖范围,当⼀个胖AP出现故障时,其他胖AP不会⾃动增⼤功率以覆盖盲点;7、不能统⼀管理每次会议都需要进⾏布线,对胖AP进⾏设置,不能统⼀管理。
⼆、瘦AP组⽹⽅案的优势1、漫游问题⽤户从⼀个AP的覆盖区域⾛到另⼀个AP的覆盖区域,⽆需重新进⾏认证,⽆需重新获取IP地址,消除断⽹现象;2、保证了WLAN的安全性解决漫游问题后,可以使⽤⾼强度的加密算法加强WLAN的安全性,“外部”⽤户即使搜到该信号也不能联⼊WLAN;3、消除⼲扰,⾃动调节发射功率瘦AP⼯作在不同的信道,不存在⼲扰问题,AC⾃动调节其发射功率,减⼩多个AP的信号重叠区域,即使两个AP⼯作在相同信道,受⼲扰的范围⼤⼤减⼩,增强WLAN的稳定性;5、⾃动负载均衡当很多⽤户连接在同⼀个AP上时,AC根据负载均衡算法,⾃动将⼯作分担到AP上,提⾼了WLAN的可⽤性;6、消除单点故障AC⾃动调节发射功率,减⼩多个AP的信号重叠范围,当⼀个AP出现故障时,其他AP⾃动增⼤发射功率,覆盖信号盲点;7、统⼀管理⼀次布线⽆需在做调整,通过AC对AP进⾏统⼀管理。
胖AP和瘦AP的区别无线局域网络的架构主要分为:基于控制器的AP架构(瘦AP,Fit AP)和传统的独立AP架构(胖AP,Fat AP)。
胖AP介绍:胖AP,除无线接入功能外,一般具备WAN、LAN两个接口,多支持DHCP服务器、DNS和MAC地址克隆,以及VPN接入、防火墙等安全功能。
所谓的胖AP,典型的例子为无线路由器。
无线路由器与纯AP不同,除无线接入功能外,一般具备WAN、LAN两个接口,多支持DHCP服务器、DNS和MAC地址克隆,以及VPN接入、防火墙等安全功能。
瘦AP介绍:瘦AP是“代表自身不能单独配置或者使用的无线AP产品,这种产品仅仅是一个WLAN系统的一部分,负责管理安装和操作”。
对于可运营的WLAN,从组网的角度,为了实现WLAN 网络的快速部署、网络设备的集中管理、精细化的用户管理,相比胖AP(自治性AP)方式,企业用户以及运营商更倾向于采用集中控制性WLAN组网(瘦AP+AC),从而实现WLAN 系统、设备的可运维、可管理。
AC和瘦AP之间运行的协议一般为CAPWAP协议。
功能比较:1、WLAN组网胖AP:1、需要对AP发配置文件;2、有网管情况下可支持大规模网络部署和海量用户管理;3、不存在兼容性问题,基于AP和网管系统之间采用标准的IP层协议互通。
瘦AP:1、AP不能单独工作,需要由AC集中代管理维护;2、AP本身零配置,适合大规模组网;3、存在多厂商兼容性问题,AC和AP可能需要同厂家设备;4、每个AC管理AP容量较少。
2、业务能力:胖AP:二层漫游,实现简单数据接入。
瘦AP:二层三层漫游,可通过AC增强业务QoS、安全等功能。
Comfast无线AP均可实现胖AP和瘦AP的功能,胖瘦一体,方便管理,用户可根据实际需求灵活部署。
胖AP和瘦AP的区别、组网优缺点分析一,什么是AP,胖瘦AP如何区分?先说说AP的概念。
AP是Access Point的简称,即无线接入点,其作用是把局域网里通过双绞线传输的有线信号(即电信号)经过编译,转换成无线电信号传递给电脑、手机等无线终端,与此同时,又把这些无线终端发送的无线信号转换成有线信号通过双绞线在局域网内传输。
通过这种方式,形成无线覆盖,即无线局域网。
我们通常说AP,都是指下文里的瘦AP。
无线AP通常可以分为胖AP(Fat AP)和瘦AP(Fit AP)两类,不是以外观来分辨的,而是从其工作原理和功能上来区分。
当然,部分胖、瘦AP在外观上确实能分辨,比如有WAN口的一定是胖AP。
胖AP除了前面提到的无线接入功能外,一般还同时具备WAN、LAN端口,支持DHCP服务器、DNS 和MAC地址克隆、VPN接入、防火墙等安全功能。
胖AP 通常有自带的完整操作系统,是可以独立工作的网络设备,可以实现拨号、路由等功能,一个典型的例子就是我们常见的无线路由器。
瘦AP,形象的理解就是把胖AP瘦身,去掉路由、DNS、DHCP服务器等诸多加载的功能,仅保留无线接入的部分。
我们常说的AP就是指这类瘦AP,它相当于无线交换机或者集线器,仅提供一个有线/无线信号转换和无线信号接收/发射的功能。
瘦AP作为无线局域网的一个部件,是不能独立工作的,必须配合AC的管理才能成为一个完整的系统。
二,胖瘦AP组网的优缺点胖AP 和瘦AP的组网方案各有哪些优缺点呢?我们通过以下几个方面来详细说明和比较。
1,组网规模及应用场景胖AP 一般应用于小型的无线网络建设,可独立工作,不需要AC 的配合。
一般应用于仅需要较少数量即可完整覆盖的家庭、小型商户或小型办公类场景。
瘦AP一般应用于中大型的无线网络建设,以一定数量的AP配合AC产品来组建较大的无线网络覆盖,使用场景一般为商场、超市、景点、酒店、餐饮娱乐、企业办公等。
2,无线漫游胖AP组网无法实现无线漫游。
Fat AP与Fit AP的主要特点和区别Fat AP的主要特点:·Fat AP是与Fit AP相对来讲的,Fat AP将WLAN的物理层、用户数据加密、用户认证、QoS、网络管理、漫游技术以及其他应用层的功能集于一身。
·Fat AP无线网络解决方案可由由Fat AP直接在有线网的基础上构成。
·Fat AP设备结构复杂,且难于集中管理。
Fit AP的主要特点:·Fit AP是相对Fat AP来讲的,它是一个只有加密、射频功能的AP,功能单一,不能独立工作。
·整个Fit AP无线网络解决方案由无线交换机和Fit AP在有线网的基础上构成。
·Fit AP上“零配置”,所有配置都集中到无线交换机上。
这也促成了Fit AP解决方案更加便于集中管理,并由此具有三层漫游、基于用户下发权限等Fat AP不具备的功能。
SR6600系列路由器 L2TP+IPSec VPE的配置方法一、组网需求:1.用户服务器位于私网中,由于出差频繁,客户需要从PC机通过L2tp拨入MPLS vpn业务访问私网的各种服务。
2.MPLS骨干网络中间的P设备不具备MPLS转发能力,只能进行IP转发需求分析:PC通过L2tp 拨入MPLS vpn,这就要求客户侧的PE设备可以终结IP vpn (L2tp),即作为VPE出现在网络中P设备不具备MPLS转发能力,因此我们需要在VPE和PE设备之间建立GRE 隧道,将MPLS报文作为GRE的乘客协议将整个MPLS报文转换为IP报文经过P设备转发后到达PE后再进行MPLS处理二、组网图:组网设备:SR6600 路由器3台版本R2420P07 PC(预装inode客户端进行L2tp+IPSec)三、配置步骤:VPE 配置sysname VPE#l2tp enable#ike local-name gateway //与PC间的IPSec#domain default enable system#router id 1.1.1.1#telnet server enable#mpls lsr-id 1.1.1.1#ip vpn-instance test //私网业务vpnroute-distinguisher 1:1vpn-target 1:1 export-extcommunityvpn-target 1:1 import-extcommunity#acl number 3000 //IPSec 匹配VPE和PE间网段rule 0 permit ip source 10.1.1.1 0 destination 20.1.1.2 0#mpls#mpls ldp#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disableip pool 0 192.168.1.2 192.168.1.10 //为L2tp用户分配地址#ike proposal 1#ike peer pc //与PC间的IPSec 需用野蛮模式exchange-mode aggressiveproposal 1pre-shared-key cipher xxxxid-type nameremote-name pc#ike peer pe //与PE 间的IPSecproposal 1pre-shared-key cipher xxxxremote-address 20.1.1.2#ipsec proposal 1#ipsec policy-template pc 1 //与PC间的IPSec需用template ike-peer pcproposal 1#ipsec policy computer 1 isakmp template pc#ipsec policy test 1 isakmpsecurity acl 3000ike-peer peproposal 1#user-group system#local-user routerman //配置L2tp用户password simple 111authorization-attribute level 3service-type ppp#l2tp-group 1allow l2tp virtual-template 1tunnel password simple 111111 //可以取消隧道认证tunnel name access //需配置隧道名称#interface Virtual-Template1ppp authentication-mode pap domain systemremote address poolmtu 1200ip binding vpn-instance test //虚模板绑定vpn实例ip address 192.168.1.1 255.255.255.0#interface NULL0#interface LoopBack0ip address 1.1.1.1 255.255.255.255#interface GigabitEthernet0/1ip address 10.1.1.1 255.255.255.252ipsec policy testinterface GigabitEthernet0/2 //与PC直连的接口ip address 207.1.1.1 255.255.255.252ipsec policy computer#interface Tunnel0ip address 100.1.1.1 255.255.255.252source 10.1.1.1destination 20.1.1.2mpls //使能tunnel的MPLS能力mpls ldp#bgp 100undo synchronizationpeer 3.3.3.3 as-number 100peer 3.3.3.3 connect-interface LoopBack0#ipv4-family vpn-instance testimport-route direct#ipv4-family vpnv4peer 3.3.3.3 enable#ip route-static 3.3.3.3 255.255.255.255 Tunnel0//配置到PE 走tunnel 路由ip route-static 20.1.1.0 255.255.255.0 10.1.1.2PE 配置#sysname PE#domain default enable system#router id 3.3.3.3#telnet server enable#mpls lsr-id 3.3.3.3#ip vpn-instance testroute-distinguisher 1:1vpn-target 1:1 export-extcommunityvpn-target 1:1 import-extcommunity#acl number 3000rule 0 permit ip source 20.1.1.2 0 destination 10.1.1.1 0 #mpls#mpls ldp#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#ike proposal 1#ike peer vpeproposal 1pre-shared-key cipher xxxxremote-address 10.1.1.1#ipsec proposal 1#ipsec policy test 1 isakmpsecurity acl 3000ike-peer vpeproposal 1#user-group system#l2tp-group 1tunnel name test#interface NULL0#interface LoopBack0ip address 3.3.3.3 255.255.255.255#interface LoopBack1 //测试时替代服务器地址ip binding vpn-instance testip address 8.8.8.8 255.255.255.255#interface GigabitEthernet0/0#interface GigabitEthernet0/1ip address 20.1.1.2 255.255.255.252ipsec policy test#interface Tunnel0ip address 100.1.1.2 255.255.255.252source 20.1.1.2destination 10.1.1.1mplsmpls ldp#bgp 100undo synchronizationpeer 1.1.1.1 as-number 100peer 1.1.1.1 connect-interface LoopBack0#ipv4-family vpn-instance testimport-route direct#ipv4-family vpnv4peer 1.1.1.1 enable#ip route-static 1.1.1.1 255.255.255.255 Tunnel0ip route-static 10.1.1.0 255.255.255.0 20.1.1.1PC 配置方法及效果验证请参照附件四、配置关键点:1. 由于是PC通过L2tp+IPSec 拨入vpn 因此需注意要在virtual-template上绑定vpn实例2. MPLS+GRE+IPSec 中的IPSec 需要匹配IPSec网关间(VPE与PE)的网段地址3. GRE tunnel 需要使能MPLS转发能力和LDP能力4. PC 侧配置L2tp+IPSec参数要与VPE上的一致,具体要根据不同的PC拨号终端决定是否需要配置L2tp tunnel name 和tunnel authentication5. 由于PC的私网地址是VPE分配的,因此IPSec 需要使用野蛮模式和template6. P设备上仅需要配置正确公网路由即可。
7. 此例中的公网路由由于组网比较简单使用的是静态路由,实际使用可以根据情况选用动态路由。
防止同网段arp欺骗攻击配置二层交换机实现仿冒网关的ARP防攻击:一、组网需求:1. 二层交换机阻止网络用户仿冒网关IP的ARP攻击二、组网图:图1二层交换机防ARP攻击组网S3552P是三层设备,其中IP:100.1.1.1是所有PC的网关,S3552P上的网关MAC地址为000f-e200-3999。
