WAPI 市场应用洞察报告-瘦AP组网架构下的WAPI产品工程化实现与部署[2025年4月版]

瘦AP组网架构下的WAPI产品工程化实现与部署[2025年4月版] 编制说明 《WAPI市场应用洞察报告》是WAPI产业联盟的系列出版物，目标是指导安全无线局域网（WAPI）产业市场高质量发展。我们非常高兴地和业界分享这些重要信息，以帮助制定有关WAPI的决策，并为广大用户提供最佳体验。 《报告》每个专题均揭示了联盟在WAPI市场应用中的关键发现，所有观点均基于长期的产业市场洞察、广泛的调查、与业内专家充分的讨论以及严格的产品和系统测试。 鉴于技术标准持续演进和产业市场持续发展，每个专题都可能衍生出多个版本。详情咨询或获取本文件授权等事宜，敬请联系WAPI产业联盟秘书处。 联系方式地 址：北京海淀区知春路27号量子芯座1608室电 话：010-82351181邮 箱：staff@wapia.org网 站：www.wapia.org.cn 本期洞察对象与结论本期洞察对象与结论 当前工业领域正大规模开展WAPI网络建设和应用，其组网形态以会聚型无线局域网（业内俗称“瘦AP”）为主。本期《洞察报告》以电力行业WAPI示范项目和在建项目为洞察样本，重点研究评估工业领域以WAPI瘦AP组网为重点的技术产业实现与部署方式，并结合该领域应用场景和特点，对WAPI瘦AP产品工程化实现、部署中的问题与挑战，形成结论如下： 1、在瘦AP模式下，鉴别器实体（AE）应完全驻留在AP中，以确保设备提供最佳的WAPI安全服务和体验。 2、应结合业务和管理需求，灵活决定AC部署位置，采取本地部署或远端部署。本地部署的AC，因管理AP区域集中、数量有限，暂不必过度关注与异品牌AP的互联互通。 瘦AP技术与WAPI瘦AP产品瘦AP技术与WAPI瘦AP产品 当前，瘦AP（FitAP）在工业无线网络中的重要性日益增强，主要得益于其集中管理、灵活部署和高性价比等优势。与传统的胖AP（FatAP）相比，瘦AP通过将管理面与数据面分离，将管理功能集中到接入控制器（AC）上，实现了更高效的网络管理和更灵活的部署。由于在集中管理和高效运维方面瘦AP相较胖AP有显著优势，近几年已成为工业WLAN网络建设的不二之选。[1] 瘦AP将网络管理、配置和安全策略等功能交由AC集中处理，这种架构使得瘦AP能够实现高效的集中管理和灵活的网络扩展，无论是企业办公、移动作业，还是工业物联网（IIoT）和智能电网，瘦AP产品都能满足高密度用户接入和多样化业务需求。 WAPI瘦AP产品在满足以上特性的同时，支持无线局域网鉴别和保密基础结构（WAPI）安全协议，满足工业控制系统（ICS）和IIoT对安全性、可靠性以及运营管理的严苛要求。 AP和AC之间的通信协议对于实现WLAN网络的高效管理和稳定运行至关重要，常见的AP/AC间通信协议及特点如下表。 WAPI瘦AP应用领域和发展趋势WAPI瘦AP应用领域和发展趋势 自电信运营商时代开始，WAPI瘦AP因其“安全、可运营、可管理”的优势成为主流选择。目前，WAPI瘦AP更因“带宽充足、安全可控、部署灵活、效益显著”等优点，在工业领域广泛应用，以电力行业为例，预计到2026年规模达到十亿元以上。 未来，WAPI瘦AP将朝着可以被云平台管理的“云AP”方向发展。在云平台管理的模式下，AP能够像“灯泡”一样即插即用，简单部署，并且不受部署空间的限制，扩展更灵活，管理监控和调优更集中，从而提升整个网络的运行效率和安全稳定性能。 WAPI瘦AP产品工程化实现WAPI瘦AP产品工程化实现及部署中的若干问题及分析及部署中的若干问题及分析 电力等工业领域的无线网络应用，与电信运营商网络有显著不同，对网络的性能、安全性、部署环境和功能要求更高。因此在电信运营商时代形成的瘦AP产品和解决方案，无法满足当下工业领域的应用需求，须根据应用需求予以优化。 WAPI产业联盟围绕市场建设需求和应用实践，评估了以WAPI瘦AP组网为重点的技术产业实现，得出存在问题及风险如下： 1、鉴别器实体（AE）“拆分”实现，引入了安全风险 WAPI网络基本结构由终端（STA）、无线接入点（AP）和鉴别服务器（AS）构成。在“瘦AP”架构下引入接入控制器（AC）这一网元后，WAPI协议中定义的鉴别器实体（AE）应该驻留在AP中，还是应该驻留在AC中，产品实现上并未达成统一，因此厂商往往会按电信运营商时代的理解和惯性，去设计实现产品。 风险提示：在产品工程化实现上，如果WAPI瘦AP采用把AE的鉴别功能在AC上实现，把AE的保密功能在AP上实现（即“拆分”实现），就意味着要在AC与AP之间传输加解密密钥，因此引入了安全风险。 2、工业场景以本地转发业务为主，CAPWAP不具优势 在电力等工业场景中，瘦AP通常不需要集中转发，主要是因为工业现场对实时性和本地化处理的要求较高。由于集中转发会将所有数据流量汇聚至AC进行处理，可能增加网络延迟并影响实时系统的性能。而工业场景中的数据传输通常需要在本地快速处理，例如设备状态监控、传感器数据采集和自动化控制等，因此瘦AP在工业网络中更侧重于采用本地转发模式，即：直接将数据发送到本地服务器或边缘计算设备，以确保低延迟和高可靠性，满足IIoT的需求。因此，工业场景中追求AC大型化、集中化、远端部署，并不符合实际应用需求。 结合诸多应用实践发现，工业场景中的瘦AP，AP/AC间通信采用CAPWAP协议并不能发挥其在集中转发方面的优势，反而会导致系统复杂度和异品牌互联互通技术难度大大高于采用MQTT或WebSocket等协议的瘦AP。 工程技术评估和结论工程技术评估和结论 1、鉴别器实体（AE）驻留位置问题 结合产业市场实践，以及对多类型产品样本进行评估和测试，WAPI产业联盟确认“把AE的鉴别功能在AC上实现，把保密功能在AP上实现”的做法是不可行的，会导致在AC与AP之间传输加解密密钥，因此引入新的安全风险。针对此风险，WAPI产业联盟于2024年4月发布了《对WAPI标准体系中鉴别器实体驻留设备的澄清和说明》公告，对AE驻留位置问题进行了预警。 工程技术分析：WAPI在瘦AP架构下，AC负责集中控制AP，AP和AC协同实现STA的接入和管理。在这种集中控制模式下，理论上AE既可以完全驻留在AP中，也可以完全驻留在AC中，两种方式均能实现WAPI鉴别和保密的完整过程。 但在产品工程化实现层面，伴随集成电路技术的高速发展，通过裁剪AP功能以降低芯片成本的做法已成为过去，现在AP芯片通常具有性能强劲的处理器内核，芯片厂商技术上也越来越倾向于将802.11无线数据帧转换802.3以太网数据帧固化在AP芯片内部完成，出于保障加解密性能等目的，加解密过程必须在AP上实现。因此，将AE完全驻留在AC中的设想（WAPI鉴别和保密的完整过程都在AC上实现），在工程化实现层面是无法达成的。 结论：在瘦AP模式下，AE应完全驻留在AP中，以确保设备提供最佳的WAPI安全服务和体验。 2、AC部署位置问题 在WAPI瘦AP应用场景中，AC的部署位置（本地部署或远端部署）主要取决于管理和业务的需求。如果网络对实时性、低延迟和本地化控制要求较高（例如在需要快速响应的关键设备监控场景中），AC应当选择本地部署，以减少网络延迟并确保业务连续性。又如：在大型变电站/换流站、大型仓库等业务相对独立，且本地具备运维人员的场景中，AC也应当选择本地部署，以满足业务管理逻辑的完整性。但如果在需要集中管理多个分散站点的场景中，远端部署AC则更为适合，可通过云端或数据中心实现统一管理和运维，降低管理复杂度和提高资源利用率。 结论：应结合业务和管理需求，灵活决定AC部署位置，采取本地部署或远端部署，而不应一味追求大型化、集中化。比如：业务相对独立的大型变电站/换流站、大型仓库之类的应用场景，建议采用小型化本地部署的AC产品（甚至是AC、AS一体化的产品）。 本地部署的AC，因管理AP区域集中、数量有限，暂不必过度关注与异品牌AP的互联互通。