集群角色
使用 AOS-10 的网关集群
集群中的网关被分配不同的角色,以在可用节点之间分配客户端和设备会话。对于每个集群,选举一台网关作为集群领导者,负责设备会话分配、桶映射计算和节点列表分发。除了集群领导者角色外,网关还可以承担以下一个或多个角色:
- 设备指定网关(DDG)或备用设备指定网关(S-DDG)
- 交换机指定网关(SDG)或备用交换机指定网关(S-SDG)
- 用户指定网关(UDG)或备用用户指定网关(S-UDG)
- VLAN 指定网关(VDG)或备用 VLAN 指定网关(S-VDG)
集群中分配给网关的角色将取决于集群节点的数量、网关的角色以及将客户端流量隧道传输到集群的设备类型。UDG/S-UDG 角色分配给用于隧道客户端的网关,DDG/S-DDG 角色分配给用于 AP 的网关,SDG/S-SDG 角色分配给 UBT 交换机的网关。VDG/S-VDG 角色分配给配置为默认网关模式的分支网关,用于终止用户 VLAN。
一个集群可以由单个网关或多个网关组成。单个网关仍然被视为集群,因为必须为配置为混合和隧道转发的配置文件选择集群名称。当集群由单个网关组成时,不会分配备用会话,因为没有可用的网关来承担备用角色。独立网关将承担集群领导者和客户端及设备会话的指定角色。当集群由两个或更多网关组成时,指定和备用角色将在可用的集群节点之间分配。
桶映射
集群领导者负责计算集群的桶映射,并通过其分配的 DDG 将其发布给 AP 和 UBT 交换机。与 AOS-8 中每个 ESSID 发布一个桶映射不同,在 AOS-10 中,每个集群发布一个桶映射。通过隧道连接到多个集群的 AP 和 UBT 交换机将为每个集群提供一个已发布的桶映射。
桶映射被 AP 和 UBT 交换机用来确定每个隧道客户端的 UDG 和 S-UDG 会话分配。每个隧道客户端被分配一个 UDG 以锚定南北向流量。为了确定活动和备用 UDG 角色分配,将每个客户端 MAC 地址的最后 3 个字节进行 XOR 运算,得到一个十进制值(0-255),用作桶映射表中的索引,以确定 UDG 和 S-UDG 分配。每个连接到集群的 AP 和交换机将获得相同的桶映射。如果部署了多区域,每个 AP 和 UBT 交换机将为每个集群接收不同的桶映射。
以下示意图展示了由两个节点的同质集群发布的桶映射示例。UDG 列表中的每个网关都被分配一个数值(在本例中为 0 和 1),该数值具有相等数量的活动和备用分配。每个客户端 MAC 地址经过哈希处理后提供一个数值索引(0-255),用于确定每个客户端的活动和备用 UDG 分配。在此示例中,哈希索引值 32 会将节点 0 作为 UDG,节点 1 作为 S-UDG,而索引值 15 会将节点 1 作为 UDG,节点 0 作为 S-UDG。
来自集群的桶映射输出。
角色与隧道
每个将客户端隧道传输到集群的 AP 和 UBT 交换机都将与集群中的每个网关节点建立隧道:
- 园区 AP – 建立到每个集群节点的 IPsec 和 GRE 隧道,此操作由 Central 协调。
- EdgeConnect 微型分支 AP - 建立到集群中每个 VPN 汇聚器的 IPsec 隧道,此操作由 Central 编排。当使用集中式层 2 (CL2) 转发时,GRE 隧道被封装在 IPsec 隧道中。
- UBT 交换机 – 根据交换机配置在每个集群节点之间建立 GRE 隧道。
集群中每个网关的角色决定了哪个集群节点负责与 AP 和 UBT 交换机交换信令消息,此外还负责转发广播(BC)、多播(MC)和单播(UC)流量,目的地为隧道客户端。
| 设备 | 隧道类型 | 流量类型 | 网关角色 |
|---|---|---|---|
| 园区 AP | IPsec | 设备信令与 BC/MC 到端点 | DDG |
| GRE | 与客户端的单播/来自客户端的单播 & BC/MC | UDG | |
| EdgeConnect 微型分支 AP (CL2) | IPsec | 设备信令与 BC/MC 到客户端 | DDG |
| IPsec中的GRE | 单播到/从客户端及BC/MC从客户端 | UDG | |
| UBT 交换机 | GRE | 设备信令与 BC/MC 到客户端(UBT 1.0) | SDG |
| GRE | 单播到/来自客户端 来自客户端的 BC/MC (UBT 1.0) 发送到和来自客户端的 BC/MC (UBT 2.0) | UDG |
如果启用多区域(Multizone),AP 将与所有集群中的网关建立 IPsec 和 GRE 隧道。
指定网关设备
每个 AP 被分配一个设备指定网关(DDG),负责向 AP 发布桶映射。桶映射用于每个隧道客户端的 UDG/S-UDG 分配。每个集群发布一个桶映射。
对于每个 AP,集群领导在初始编排和消息传递过程中选择一个 DDG 和 S-DDG。分配采用轮询方式,根据每个集群节点的设备容量和负载进行。对于同质集群,分布将是均匀的;对于异质集群,由于网关设备容量不均,分布将不均衡。容量较高的节点将获得更多的 DDG/S-DDG 分配。
具有 DDG 角色的网关负责以下功能:
- 桶映射分发
- 面向无线客户端的南北广播和多播流量的转发
- 转发 IGMP/MLD 组成员报告以进行 IP 组播
当 DDG 被停机维护或发生故障时,S-DDG 扮演发布桶映射和其他转发功能的角色。新的 DDG/S-DDG 角色分配是事件驱动的,随着节点的添加和移除而进行。没有定期的负载均衡。如果发生故障转移,S-DDG 将承担 DDG 角色,并发布新的桶映射。故障转移影响的设备将被分配到新的 S-DDG 节点。
一个集群可以容纳多个节点故障,并在集群的最大设备容量达到之前,分配 DDG 和 S-DDG 角色。一旦集群的设备容量已满,且额外的节点丢失,受影响的 AP 将变成孤立状态,因为集群中没有剩余的设备容量来容纳新的 DDG 角色分配。
DDG 和 S-DDG 的分配由集群领导者执行,并以轮询方式进行。
四节点异构集群的 DDG 和 S-DDG 分配示意图。
交换机指定的网关
每个 UBT 交换机都被分配一个交换机指定的网关(SDG),其职责类似于 DDG 角色,负责向交换机发布桶映射。与 AP 不同,AP 中的集群领导者动态确定每个 AP 的 DDG 和 S-DDG 角色分配,而 UBT 交换机的初始 SDG 分配则由 UBT 配置中的主网关和备份网关的明确配置决定:
- AOS-S – 作为 controller-ip 或 backup-controller-ip 指定的网关 IP 地址
- AOS-CX – 网关的 IP 地址,指定为 primary-controller-ip 或 backup-controller-ip
在 UBT 交换机上配置的 primary-controller-ip 和 backup-controller-ip 地址必须指向位于不同集群中的集群节点,而不能是同一集群。仅在需要两个集群之间实现故障转移的部署中,才应配置 backup-controller-ip。
交换机的初始 SDG 分配基于在交换机配置中定义的 controller-ip 或 primary-controller-ip。交换机的 S-SDG 分配是自动的,并根据容量和负载在集群成员之间进行分配。
当 UBT 交换机首次初始化时,将尝试建立到配置中指定的主网关 IP 地址的 PAPI 会话。如果主网关 IP 无响应,则使用备用网关 IP。一旦连接建立,网关集群领导者将分配 S-SDG 角色。
具有 SDG 角色的网关负责以下功能:
- 桶映射分发
- 目的地为 UBT 版本 1.0 客户端的广播和多播流量的转发
- 转发 IGMP/MLD 组成员报告以进行 IP 组播 (UBT 版本 1.0)
当 SDG 被维护或发生故障时,S-SDG 扮演发布桶映射和其他转发功能的角色。如果发生故障切换,S-SDG 扮演 SDG 角色,并发布新的桶映射。受影响的设备在故障切换后被分配一个新的 S-SDG 节点。
初始的 SDG 分配基于交换机配置,而 S-SDG 分配由网关集群领导以轮询方式执行。
四节点异构集群的 SDG 和 S-SDG 分配示意图。
由于 AOS-S / AOS-CX 交换机配置影响 SDG 角色的分配,HPE Aruba Networking 建议为交换机组分配不同的主 IP 和备份 IP,以在可用的集群节点之间实现 SDG 角色的均匀分布。在定义每组接入层交换机的黄金配置时,必须由交换机管理员手动执行分配。
在可用集群节点之间实现 SDG 角色的均匀分布对于 UBT 版本 1.0 部署尤为重要,因为每个具有 SDG 角色的集群节点负责复制和转发发往 UBT 客户端的广播和组播流量。分配 SDG 角色确保广播和组播流量的复制与转发在所有可用的集群节点之间分布。
下表提供了四节点集群的主 IP 地址示例分布:
| 交换机组 | 主 IP |
|---|---|
| 1 | GW-A |
| 2 | GW-B |
| 3 | GW-C |
| 4 | GW-D |
当需要在集群之间进行故障转移时,必须在每组 UBT 交换机上配置 primary-controller-ip 和 secondary-controller-ip 地址,其中 primary IP 指向主集群中的集群节点,secondary IP 指向备份集群中的集群节点。与单集群部署一样,SDG 角色应在每个集群中的可用集群节点之间均匀分配。这将确保无论为哪个集群提供服务,SDG 角色的分配都能保持均衡。
下表提供了用于四节点集群中主集群和备份集群之间故障转移的 primary 和 secondary IP 地址的示例分配:
| 交换机组 | Primary IP | Secondary IP |
|---|---|---|
| 1 | GW-DC1-A | GW-DC2-A |
| 2 | GW-DC1-B | GW-DC2-B |
| 3 | GW-DC1-C | GW-DC2-C |
| 4 | GW-DC1-D | GW-DC2-D |
用户指定的网关
每个隧道客户端都被分配一个用户指定的网关(UDG)以锚定南北向流量。每个客户端的唯一MAC地址通过由集群领导者发布的桶映射分配一个UDG和S-UDG。
用于UDG和S-UDG分配的桶索引是基于每个集群节点的客户端容量采用轮询方式分配的。对于同质集群,集群中的每个网关将分配相等的桶,而对于异质集群,容量较高的节点将分配更多的桶。采用客户端MAC地址哈希以确保良好的会话分布,同时确保每个客户端在漫游时锚定到相同的网关。
具有UDG角色的网关负责以下功能:
- 转发从客户端接收的广播和多播流量。
- 转发面向 UBT 2.0 客户端的 IP 组播流量。
- 单播流量的转发(双向)。
当通过维护或故障将UDG从集群中移除时,S-UDG承担转发功能。当节点被添加或移除出集群时,集群领导会发布新的桶映射,并且这是事件驱动的。在AOS 10中,没有定期的负载均衡。如果发生故障转移,S-UDG将承担UDG角色,并发布新的桶映射。受影响的客户端在故障转移后会被分配到新的S-UDG节点。
一个集群可以容纳多个节点故障,并在集群的最大客户端容量达到之前分配UDG和S-UDG角色。一旦集群的客户端容量已满并且额外的节点丢失,受影响的客户端将变成孤立状态,因为集群中没有剩余的客户端容量来容纳新的UDG角色分配。
UDG/S-UDG角色分配是通过使用为集群发布的桶映射,根据每个客户端的MAC地址进行哈希,确定索引值(0-255)。
)
在此示例中,哈希结果将Client 1分配为GW-A作为UDG,GW-B作为S-UDG,而Client 2被分配为GW-C作为UDG,GW-D作为S-UDG。
分支高可用性
当分支办公室部署需要高可用性(HA)时,部署一对分支网关以终止WAN上行链路和VLAN,并提供弹性。每个网关在管理VLAN和用户VLAN上配置有IP接口,并自动协调虚拟路由冗余协议(VRRP),以提供第一跳路由器冗余和客户端及设备的故障转移。还可以启用动态主机控制协议(DHCP)服务,以提供主机地址分配,也将在HA模式下运行。
随着集群和分支HA的融合,角色分配进一步优化,以防止客户端流量在集群内经过多跳。通过自动站点集群在一对网关上启用分支HA,并要求在Central配置组中启用默认网关模式。在每个站点的网关之间建立对等连接,由管理员配置首选领导者或自动选举。
在正常运行期间,集群领导者在集群中执行以下角色:
- 管理VLAN和用户VLAN的VLAN指定网关(VDG)以及VRRP的活动角色
- 每个接入点的 DDG 角色
- 每个 UBT 交换机的 SDG 角色
- 每个隧道客户端的 UDG 角色
在正常操作期间,领导者负责所有分支管理和客户端流量的路由与转发。WAN 流量的转发在网关之间分配,可能会经过虚拟对等链路。所有活动角色的分配给首选网关,确保所有客户端流量在正常操作期间都锚定到首选网关,防止不必要的东西向流量。管理和用户 VLAN 的 VDG 和 VRRP 状态是同步的,并固定到活动网关。备用网关以待机模式运行,承担所有待机角色。备用网关唯一转发的客户端流量是其终止的任何 WAN 上行链路的 WAN 流量。
如果活动网关因维护或故障被关闭,备用网关将接管集群中的所有活动角色以及所有路由和转发功能。由于需要多层次的收敛,故障切换并非无缝,且会暂时影响用户流量。
分支 HA 集群的 DDG、SDG、UDG 和 VDG 角色分配。
如果在部署分支高可用的情况下使用UBT,HPE Aruba Networking建议在UBT配置中将主IP地址设置为首选的领导节点。这确保在正常操作期间,SDG角色被固定在首选的领导节点上。
最后修改时间:2025年3月14日 (a4a0d47)