近期的几个Aruba RAP接入项目实战经验分享

cloudq

Aruba的无线控制器支持两种接入方式CAP和RAP,所谓CAP就是本地二层局域网或者三层可路由直达网络(无NAT),这种情况下AC对AP的控制和监管最为严格，效果也最好，还有一种是以RAP,也就是通过ipsec隧道接入的方式，这种情况下AC对AP的监管控制相对宽松，配合本地转发模式可以大幅度提高转发效率，降低AC压力，同时还衍生出很多特殊用途，比如远程VBN接入，远程AP管理控制监控等.


做RAP项目部署的第一步就是设备选型，设备选型其中最首先要考虑的就是ipsec吞吐量，这是影响此项目效果的最关键因素之一，下面列举几个产品的ipsec吞吐量
RAP-2WG 4Mbps
AP103 10Mbps
RAP-3WN 20Mbps (其实RAP-3WN的cpu和AP103都是一样的，所以推测RAP设备有辅助ipsec加密解密芯片提高了其吞吐量)
AP125 30-40Mbps(官方无测试数据，项目实施中测试获得)
AP205 40Mbps
RAP155 100Mbps
AP135 50-80Mbps(官方无测试数据，项目实施中测试获得)
AP215/225 100Mbps
超过AP215以上的AP官方给出的ipsec数据就都是100Mbps了，可能是受到限制不能超过这数值吧，具体原因不明


控制器
A3200 1.6Gbps 如果每台AP平均20M流量，全部满载80台设备
A3600 8Gbps 如果每台AP平均20M流量，全部满载400台设备
A6000 20Gbps 如果每台AP平均20M流量，全部满载1000台设备
A7210 20Gbps 如果每台AP平均20M流量，全部满载1000台设备
A7240 40Gbps 如果每台AP平均20M流量，全部满载2000台设备


上面的数据仅是理论估算，实际应用中因为有多款不同AP,而且每款ap下面的客户端数量也不一样，应用也不同，所以吞吐量有的仅有几兆，有的能有50-100M之多，所以平均一下以20M估算即可.


所以说综合你的AP吞吐量以及AC吞吐量选用合适的设备是最关键的，而且要考虑到今后网络可能会扩容，选择AC的型号的时候根据预算尽量选择吞吐量高以及带AP数量多的.



下面继续实际项目案例分析

cloudq

继续上文1.山东某市的保险公司，总部有大约300多内勤人员，市区内各个分部有500-2000多人，郊区分部网点人数从十几个人的到几百个人的都有，全国总公司已经给部署了成熟的有线网络，专线互联,vpn等等均有.无线方面仅仅总部全面部署了，是思科的方案.各个分部网点大多数都是自行部署的，层层nat,各种小路由器,AP，百兆，千兆网络混在一起十分混乱复杂.


经过调查得知目前总部网络基本满意，就是部分区域无线覆盖不到，还有某些地点网速缓慢，各个分部用的ap小路由器乱七八糟，有tp,斐迅和aruba的ap运行于instant模式.
经过和该公司技术人员协商讨论，公司今后网络升级也有意采用aruba产品，可能会替换下目前的一些现役产品，所以控制器容量上直接选用了A7240 吞吐量40G 带2048AP(A7280 吞吐量100G 带2048AP虽然更好，但目前来说价格居高不下，而且北京总部下一步可能会上A7280，作为城市分部选用A7240性价比更好)


AP的选择就简单了，现有正在使用的AP大多是IAP103 IAP105 IAP135 IAP205，这些IAP直接保留不动，总部的全部转换为CAP,分部的全部转化为RAP,新增加的AP选用目前性价比高的AP207和AP315(双频高密度AC Wave2接入),人数少的网点直接选用AP125做RAP远程接入(双频600M接入),所有现有的带wifi的小路由器一律关闭wifi,其他小ap撤掉或者更换为Aruba AP


市中心总部AP一律以CAP Tunnel模式高速接入
市区内分公司AP分两类，其中一类需要访问中心数据的做Tunnel模式的RAP接入到总部，只是提供普通上网服务的以本地转发模式做RAP接入
郊区各个网点的AP均以本地模式做RAP接入
经过上述改造之后，目前无论是市中心总部，市区分部，以及郊区网点的路由器交换机防火墙均不用做改动，甚至包括用户自己安装的小路由器也不用动，只是关闭其wifi即可，上面各处的全部Aruba AP设备均可统一无缝漫游，分三个SSID分别区分需要接入总部的用户，本公司内部用户上网专用，客户来宾用户上网专用.然后再加以不同的认证策略进行安全性控制.


本方案在对客户网络基本不进行变动的情况下，无需断网，解决了困扰客户很久的无线网络覆盖不足，网速缓慢问题，同时也不用对偏远地区网点的百兆网络进行升级改动，给公司节省了大笔费用,效果也非常令人满意，总部以及会场的千兆以及万兆无线网络高速高密度接入，也让用户体验到了AC Wave2高达2000多M的高速无线冲浪.整个全部网络升级花费甚至不到当初网络建设初期花费的1/3.

hu0730

谢谢分享，小白前来学习关注！

cloudq

多地的某7天连锁酒店早期无线网络部署的有锐捷思科Aruba等等，其中有些部署Aruba设备的酒店近些年发现AC控制器大批量损坏，后来客户把损坏的AC控制器发来后，我们发现大多是CPU虚焊或者烧毁造成的问题，主要原因有两点
1.早期的Aruba AC620 AC650 AC3xxx这些设备Cpu性能强悍，发热量大，但设备体积不大，散热做的一般，而且经过5年以上使用后，很多设备的风扇积灰严重，甚至有风扇都不转了，用户根本也没发现，而且很多用户机房环境恶劣，也造成了这一情况.


2.还有很多设备是由于nand flash出现坏块，造成启动报TPM错误，这是AC650 AC620常见的一个问题，后来的3xxx以及现在的7xxx均采用了外置可插拔存储，基本解决了这问题.


现在问题来了，AC控制器损坏了，客户的AP就全都不发射信号了，客户就面临着没有无线网络可用，如果要修复，要么再购买Aruba品牌的AC控制器，要么就要换掉Aruba现有的AP换其他品牌的设备，作为客户大多数愿意选择前者，一方面是投资低，网络恢复快;如果选择后者，那整个订购设备的时间加上施工时间前后少说2周，那客户断网如此长的时间损失可就大了.


所以我们给客户的方案是重新订购一台Aruba的无线控制器，原来的控制器送去维修，维修好之后作为备用控制器或者Local控制器接入网络即可.同时修改目前的CAP接入方式改为RAP接入方式，主要有以下几点获益
1.该酒店内部存在很多百兆设备，甚至AC接入到交换机的链接也都是百兆，所以用Tunnel集中转发大大影响体验效果.改为RAP接入做本地转发，客户数据直接走路由器上网，AC和AP之间仅仅传输控制信息，无线网络环境调度这些，大大降低了网络负担
2.Aruba AC控制器还支持一种即使控制器掉线AP依然可以正常工作的模式，这就解决了客户控制器损坏AP全部不发射信号的问题，如果AC出现问题损坏，AP还可以继续工作，客户还可以上网，虽然效果不如从前，但不至于断网，给你提供了时间去尽快修复或者替换AC
3.降低了AP Lic的需求，从前做CAP接入的时候，你有多少CAP你就需要购买多少AP Lic,但你做RAP接入的时候，可以做到只有正在使用的AP消耗Lic,那些没被使用的AP不消耗Lic.这样可能你有100台AP，通常同时正在使用的也就只有50-60个，你就不用购买100个Lic了，只要买60个就够日常使用了，也节省了一笔开支.


经过如此处理后，客户仅用一上午就重新修复了网络，而且2周后老的设备修好之后作为Local设备接入网络，和现有的设备做Active-Active冗余接入，就算今后再坏掉一个设备，另外一个设备还会接手所有工作，不至于再出现断网情况.客户总算放心了，呵呵

cloudq

最后一个项目就是近期火爆的Aruba C+路由器项目，很多身处国外的朋友可能购买过Aruba C+路由器用于看国内的视频节目，这其实就是Aruba RAP VBN远程接入功能的灵活应用.


1.如果你将Aruba的AC控制器托管在国内，那你从国外访问国内的时候，数据包就先通过ipsec隧道连接到国内的控制器，然后再访问国内数据，这就是现在的C+路由器的情况；如果反之你把Aruba AC控制器托管到国外，你从国内访问国外的时候也是一个道理，ipsec隧道先建立到国外的控制器，然后再继续访问国外数据，这就和你从国外直接访问国外数据一样高速了.


做这个项目最重要的两点就是网络带宽和设备ipsec吞吐量.所以我们为客户推荐了以下几款产品
A3600 8Gbps ipsec吞吐量
A6000 20Gbps ipsec吞吐量
A7240 40Gbps ipsec吞吐量
VMC 8.3 ipsec吞吐量和cpu有关,通常在4G-10G之间较为常见
最后客户综合考虑了托管设备体积的原因，选择了A3600和A7240作为托管设备，今后逐渐升级到AOS VMC8.3系统


A3600 最高支持512个RAP接入，但考虑到其ipsec吞吐量只有8G,所以做到400个RAP接入以内即可
A7240 最高支持2048RAP接入，平均每个AP如果20Mbps吞吐量的话正好满足2000个RAP接入

jensun@qq.com

膜拜~~~~~~~~~~~~~~~~~
技术就是力量~~~~~~~~

dato

openwrt方案mesh的一种远程覆盖就是通过V PN实现，使用softether反向连接远程，无需要修改本地防火墙。VBN？V PN？openwrt方案mtk7620轻易跑出60mbps.这种RAR？ip tunnel?
softether L2/L3都可以实现关键便宜免费。

cloudq

dato 发表于 2018-9-8 16:52
openwrt方案mesh的一种远程覆盖就是通过V PN实现，使用softether反向连接远程，无需要修改本地防火墙。VBN ...

7621的 ipsec吞吐量才20M左右呀，那啥Mikrotik官方提供的测试数据

hnwlmm

学习。。。。

long_life

学习。。。。