HREAP - Hybrid Remote Edge Access Point - 混合远程边缘接入点 <<<<7.2.130 之后HREAP被FlexConnect取代
是为企业的分支机构及远程办公室AP部署的一种设计方案。它让客户在公司办公室可以通过WAN配置并控制分支或远程办公室的AP访问点,而无需在每个办公分部都部署无线控制器。当HREAP与远程总部的控制器失去连接时,可以在本地认证用户并将用户的流量直接发送到本地网络;当HREAP重新取得同控制器的关联后,可以再次通过隧道将数据发送回控制器处理。
HREAP 的核心概念:
当一个用户同HREAP上的某个SSID关联后,AP将对用户所有的认证报文发到控制器进行认证,一旦成功进行认证,根据SSID所对应的WLAN配置,用户的数据就可以通过CAPWAP隧道传输到控制器进行处理或在本地直接转发。
为了实现本地及集中的数据分发,HREAP有如下两种不同的模型。
① 集中转发及本地转发:在HREAP上的WLAN可以配置成将用户的流量全部通过中心的控制器集中转发或直接将流量通过本地有
线端口直接进入本地交换网络(当进行本地转发模式时,AP接口封装IEEE 802.1q标签)。
② 连接状态及独立状态:当能够同控制器取得联系时,HREAP工作在连接状态;
当同控制器失去联系时,HREAP将工作在独立状态;然而,不论是连接状态还是独立状态,
有关用户的验证等全局安全操作都是需要控制器参与的。
HREAP上的WLAN 可以配置成如下几种状态:
① 中心认证,中心转发:在这种状态下,对于给定的 WLAN,AP将所有的用户认证请求及用户数据发回到控制器进行处理。仅当
AP到控制器的CAPWAP隧道处于连接状态时存在。
② 中心认证,本地转发:在这种状态下,对于给定的WLAN ,控制器处理所有的用户认证,而HREAP 将在本地转发所有的用户
数据。当用户成功认证后,控制器通过CAPWAP的控制隧道(UDP 5246)指示HREAP在本地转发所有用
户的数据。
③ 本地认证,本地转发:在这种状态下,HREAP在本地对用户进行认证,在本地转发用户的数据。
此时WLAN只能配置成二层开放、共享的认证方式,如WPA-PSK和WPA2-PSK,其他诸如用户名和密码等认
证方式只能在连接状态下由控制器完成。
④ 认证关闭,本地转发: 在这种状态只能工作在独立状态下,对于给定的WLAN,HREAP拒绝所有的新用户认证,而依然保持同已经
接入并成功认证用的连接。
对于配置了EAP、动态WEP、WPA、WPA2、IEEE 802.11i、Web Portal和 NAC 等需要控制器参与的认证方式时,若CAPWAP隧道失败,HREAP 就从"中心认证,本地转发"状态进入"认证关闭,本地转发"状态。一旦用户的密钥或会话超时,用户将无法再次接入网络。当HREAP上的某个WLAN 没有与之关联的用户后,将不再发送某个SSID的信标报文,HREAP进入“认证关闭,转发关闭”状态。(WLC软件版本 5.2.X之后,允许在HREAP本地配置Radius服务)
⑤ 认证关闭,转发关闭: 在这种状态只能工作在独立状态下,此时HREAP 已经关闭了所有用户连接,不再广播SSID的信标报文。
HREAP 的配置:
因为 HREAP 是跨越广域网链路实施的,在配置HREAP时,需要注意:
• HREAP 的AP可以被配置为静态或从DHCP 动态获得IP 地址。若配置动态获取IP地址,应保证功能顺利。
• HREAP支持仅有 500 字节的广域网分片。
• 因跨越广域网,建议保障CAPWAP报文的优先级,数据传输RTT应该控制在300 ms以内,语音传输应该控制在100 ms以内。
• HREAP方式,组播流量只能通过单播来实现。
• HREAP方式,实现AP间的CCKM快速漫游,应该在WLC上配置HREAP组。
• HREAP方式,支持在单个AP上广播多个SSID。
• 定义一个HREAP的AP组,组内AP共享CCKM、WLAN及备份Radius的配置,WLC 2504上可以配置30个AP组,每个组内最多包含25个AP。
在5.0.148及更高版本WLC软件版本中,HREAP支持:
• 备份Radius服务器:可以在控制器上配置处于独立状态的HREAP的AP使用备份Radius服务器进行IEEE 802.1X认证。
• 本地认证:可以通过控制器配置HREAP在本地进行认证。当AP注册至WLC上时,WLC将下发用户列表(支持100个用户)给所有HREAP。
HREAP 不支持以下几个功能:
• 当 HREAP 处于“中心认证,本地转发”模式时,不支持WLC的外部Web 认证,但是内部 Web 认证依然支持。
• 当配置了本地转发的WLAN 时,不再支持第三层的漫游。如果需要第二层的漫游支持,则需要在所有的HREAP 上配置一个公共的VLAN。
• HREAP 不再支持WLC端的 NAT 及 PAT 地址转换。
• 本地转发的WLAN 不再支持WLC 端的 ACL ,中心转发的WLAN 依然支持。
• HREAP 不再支持 WGB 。
当将 HREAP 的有线以太网口配置成 Trunk 模式时,AP 将CAPWAP 的报文最多通过 Native VLAN (switchport trunk native vlan x)传输,本地转发的数据可以通过Native VLAN或者其他标记的VLAN传输。当 HREAP 上存在多个需要本地转发的WLAN时,最好配置Trunk模式。
###########################################################################################①在WLANs中,选择Advanced标签,在“HREAP”处选择需要选项,如图:
②当AP发现并加入WLC后,导航到Wireless并选择相应的AP,将AP Mode改为H-REAP模式,并单击Apply按钮,AP将会完成重启并生效。
③默认情况下,HREAP不支持Trunk方式,为了支持Trunk方式的传输,必须在控制器端完成对AP的配置。
打开AP 的详细信息界面,选择HREAP标签,选中VLAN Supported的复选框,将AP所连接的交换机端口上的配置的Native VLAN的号码输入框内,本例中为 65 ,单击 Apply 按钮。
④再次进入此AP的详细信息,选择HREAP标签,选择VLAN Mappings,为每个WLAN配置同 本地交换机相匹配的VLAN(当AP执行本地转发时客户端获得IP地址的VLAN)
⑤最后单击Apply按钮保存设置。
########################################################################################### 在软件版本 7.2.103.0 之后,HREAP被FlexConnect取代,在HREAP的基础上,FlexConnect提供了更多功能和优化。
①在AP Name下拉框内则会出现配置为FlexConnect模式的AP名称,单击Add按钮即可添加;
②在FlexConnect组中可以配置AP 的升级策略。每种型号的AP中都会有一个Master AP通过WAN率先从WLC下载镜像,其他相同型号的AP可以通过LAN从该Master AP处下载镜像。选择Image Upgrade选项卡,勾选FlexConnect AP Upgrade后的复选框,如图
③FlexConnect组中可以定义WLAN和VLAN的映射关系,而不必配置每一个FlexConnect AP ,输入WLAN ID和VLAN ID,单击Add按钮即可。
AP 级别的WLAN 和 VLAN映射优先与 FlexConnect 组,后者优于WLAN 中配置的动态接口所关联的VLAN。
参考资料:
《Cisco 无线局域网配置基础(第2版)》 - 4.2章节“配置HREAP”
CSC思科服务支持社区-【CSC公开课】演讲文档_使用思科FlexConnect技术构建分支机构WLAN网络:
http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=4054&highlight=CSC%B9%AB%BF%AA%BF%CE%2Bflex
http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=4177&highlight=CSC%B9%AB%BF%AA%BF%CE%2Bflex
http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=4171&highlight=CSC%B9%AB%BF%AA%BF%CE%2Bflex
http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=4173&highlight=CSC%B9%AB%BF%AA%BF%CE%2Bflex
2 评论
