转发模式

桥接、隧道或混合,在部署 AOS 10 接入点时,有多种转发流量的选项;了解转发模式、对漫游的影响以及实施这些模式的最佳实践。

在 AOS 10 中,客户端流量可以由接入点在本地桥接,或通过隧道传输到网关集群。接入点转发客户端流量的方式由每个 WLAN 和下行有线端口配置的流量转发模式决定:

  • 桥接 – 接入点将在其上行接口的所需 VLAN 上桥接客户端流量。
  • 隧道 – 接入点将客户端流量通过隧道传输到所需 VLAN 上的网关集群。
  • 混合 – 接入点将根据 VLAN 分配进行桥接或隧道客户端流量。

流量转发模式

每个配置文件中设置的流量转发模式决定了AP或网关是否为认证者,以及VLAN和用户角色分配决策的执行位置:

  • 桥接转发 – AP为认证者,并为每个客户端确定静态或动态VLAN及用户角色分配。
  • 隧道或混合转发 – 网关是认证者,并确定每个客户端的静态或动态VLAN和用户角色分配。

对于混合转发,分配的VLAN ID决定了客户端的流量是由AP本地桥接还是隧道传输到网关集群。如果分配的VLAN不在所分配的网关集群中,则客户端流量被桥接;如果VLAN存在于所分配的网关集群中,则流量被隧道传输。

流量转发模式非常灵活,允许无线客户端流量根据需要进行桥接或隧道传输。选择桥接隧道转发模式将专门配置WLAN配置文件的转发模式为指定的模式。混合转发允许两种转发类型,但需要为桥接和隧道客户端实现专用的VLAN。配置为桥接转发的配置文件不能进行用户流量的隧道传输,反之亦然。

一旦在 WLAN 配置文件中配置了流量转发模式并保存后,就无法更改。如果需要不同的转发模式,必须配置新的配置文件。

桥接转发

当在 WLAN 或下行有线端口配置文件中配置桥接流量转发时,客户端流量将直接从 AP 的上行端口转发到接入交换层,并带有适当的 802.1Q VLAN 标签。为了支持桥接转发,AP 的管理 VLAN 和桥接用户 VLAN 从接入交换层扩展到 AP 的上行端口。每个桥接客户端被分配一个 VLAN,该 VLAN 通过 802.1Q 标签从 AP 的上行端口输出。作为推荐的安全最佳实践,不应将桥接客户端分配到 AP 的管理 VLAN。

下图展示了一个桥接转发部署示例,其中 AP 管理 VLAN(未显示)和桥接用户 VLAN 76 和 79 从接入交换层扩展到为有线和无线客户端提供服务的酒店 AP。在此示例中,无线客户端被分配 VLAN 76,而有线客户端被分配 VLAN 79。核心/汇聚交换机为每个 VLAN 定义了 IP 接口和 IP 助理地址,并且是每个 VLAN 的默认网关。

桥接转发模式

无缝漫游

为了为桥接客户端及其应用提供最佳体验,AP 管理 VLAN 和用户 VLAN 在建立共同 RF 覆盖区域的建筑物或楼层内的 AP 之间进行扩展。AP 管理 VLAN 和桥接用户 VLAN 在 AP 之间共享,并根据每个 VLAN 需要支持的主机数量分配特定的 IP 网络。

在共享 VLAN 的 AP 之间漫游的客户端,能够在漫游后保持其 VLAN 分配、IP 地址和默认网关。这通常被称为无缝漫游,因为它对应用的干扰最小。漫游可以是快速漫游或慢速漫游,取决于 WLAN 配置文件的配置和客户端的能力。

下图展示了一个无缝漫游示例,其中桥接用户 VLAN 76 及其相关的 IP 网络(10.200.76.0/24)已在建筑物内的所有 AP 之间扩展。在此示例中,客户端在每次漫游后都能保持其 VLAN 76 的成员身份、IP 地址和默认网关。

桥接转发与无缝漫游

桥接转发扩展性

在共享管理 VLAN 和用户 VLAN 中支持的 AP 数量和桥接客户端总数也会影响您的 VLAN 和 IP 网络设计。广播/多播帧和包在 IP 网络中是正常的,AP 和客户端都使用它们来正常工作。连接到某个 VLAN 的活动主机越多,广播/多播帧和包的数量和频率越高,它们会在 VLAN 上泛洪。随着广播/多播帧的泛洪,所有 VLAN 中的活动主机都必须接收和处理它们。

当部署桥接转发时,HPE Aruba Networking 已验证我们可以支持最多 500 个 AP 和 5,000 个桥接客户端,跨所有共享管理 VLAN 和用户 VLAN。共享管理 VLAN 中的 AP 总数不能超过 500 个,所有桥接用户 VLAN 中的客户端总数不能超过 5,000 个。

当在建筑物或园区内的部署需要超出 500 个 AP 和 5,000 个客户端的扩展时,有两种设计方案可供选择:

  1. 可以部署一组网关,集中管理用户 VLAN,从而提供更高的扩展性和无缝漫游。
  2. 可以在战略性部署多个 500 个 AP 和 5,000 个客户端的场景中,将每个实例的 AP 管理和用户 VLANs 进行第 3 层隔离(即实现不同的广播域)。

如果网关不是可行方案,通过精心的规划和设计,可以部署多个 AP 实例,每个实例的 AP 管理和用户 VLANs 连接到不同的 IP 网络,从而实现扩展。每个 AP 实例和客户端的范围可以限制在某一楼层、建筑物或共址建筑物内,具体根据需要。只要每个实例的 AP 和客户端在第 3 层与其他实例隔离,就没有限制可以部署多少个 500 个 AP 和 5,000 个客户端的实例。每个实例的 VLAN ID 可以共用,以简化配置和操作,但每个实例的 IP 网络必须唯一。

此设计的折中之处在于,跨建筑物等不同实例的 AP 之间的漫游需要进行硬漫游,因为桥接客户端将需要分配新的 IP 地址和默认网关(参见硬漫游)。因此,在考虑硬漫游设计之前,必须充分理解用户期望、应用和客户端行为。如果不能接受硬漫游,则必须部署一组网关。

在扩展时,充分理解局域网架构也非常有帮助,因为较大的局域网通常会包含自然的第 3 层边界,例如建筑物内的汇聚交换层,这些边界阻止 AP 管理和用户 VLANs 的扩展。这些第 3 层边界为每个 AP 和客户端实例提供了自然的分段边界。

下图展示了实现桥接转发的园区设计示例。在此示例中,每栋建筑实现了一个专用的第 3 层汇聚交换层,连接到路由核心。每栋建筑与邻近建筑完全在第 3 层隔离,防止 AP 管理和用户 VLANs 的扩展。每栋建筑中部署的 AP 数量相同,使用相同的 VLAN ID,但具有不同的 IP 网络。每栋建筑可以扩展支持最多 500 个 AP 或 5,000 个客户端(以先达到的限制为准)。

桥接转发扩展

硬漫游

当需要在没有网关的情况下扩展,或局域网架构阻止在建筑物或楼层之间扩展 VLAN 和 IP 网络时,仍然可以实现桥接转发,但会对应用和用户体验造成一定折中。

在某些情况下,无法在较大部署中(如建筑物内或建筑物之间)扩展 VLAN 及其 IP 网络。局域网(LAN)设计可能在分布式交换层中包含有意的第 3 层边界,阻止 VLAN 及其相关的 IP 网络在服务建筑物或楼层的接入层交换机之间扩展。配置为路由接入的接入层交换机也会阻止 VLAN 和 IP 网络在建筑物或楼层内的配线间隔中扩展。

当客户端设备在由第 3 层设备隔开的 AP 之间漫游时,会执行硬漫游,因为客户端的广播域成员身份发生变化。虽然每栋建筑或楼层中的 AP 可能实现相同的管理和用户 VLAN ID,但相关的 IP 网络会是唯一的。跨越第 3 层设备的 AP 之间漫游的客户端在漫游后需要分配新的 IP 地址和默认网关。虽然现代客户端能够获取新的 IP 地址以适应 IP 网络的变化,但在硬漫游后,客户端的源 IP 地址会发生变化,这会影响活跃的应用。

下图展示了在由第 3 层汇聚交换层隔开的两个建筑物中部署的 AP 之间的硬漫游。在此示例中,两个建筑物都部署了公共的桥接用户 VLAN ID 76,但每个建筑物分配了不同的 IP 网络:

  • VLAN 76 / 建筑物 A – 10.200.76.0/24
  • VLAN 76 / Building B – 10.201.76.0/24

在每栋建筑内,桥接客户端在接入点之间漫游时将实现无缝漫游,而在建筑之间漫游的桥接客户端则会经历硬漫游。漫游可以是快速漫游或慢速漫游,取决于WLAN配置文件和客户端的能力。

桥接转发与硬漫游

根据您的局域网架构和环境,客户端在园区内建筑之间、在多层建筑的楼层之间或在共址建筑之间移动时,可能需要进行硬漫游。这将取决于每个环境中第3层边界的位置。对于大多数部署,这些边界将位于建筑之间。

在考虑硬漫游设计之前,需要调查和考虑以下内容:

  • 用户体验 – 用户在建筑或楼层之间移动时,是否期望网络连接不中断?
  • 射频设计 * – 无线接入点(AP)布置和小区设计是否能够适应/实现射频边界,以最小化跨越 3 层边界的硬切换点,从而提供最佳的用户和应用体验?
  • 客户端设备 – 您是否部署了任何专用或定制的客户端设备?这些设备需要经过测试以验证其是否能够容忍并支持硬切换。现代的 Apple、Android 和 Microsoft 操作系统将在每次切换后启动 DHCP 的 DORA 过程。
  • 应用 – 您正在使用哪些应用程序,它们是否可以容忍主机更改IP地址?虽然一些应用程序如Outlook、Teams和Zoom在主机重新地址后可以自动恢复,但其他应用程序则不能。

最终,您需要决定您的用户、客户端设备和应用程序是否可以容忍硬漫游,然后再考虑和实施硬漫游设计。如果不能容忍硬漫游且需要无缝漫游,应考虑使用网关和隧道转发的设计。

MAC地址学习

当启用桥接转发时,客户端流量会通过AP的上行端口在分配的VLAN上传输到接入交换层。每个桥接的客户端MAC地址将由所有参与VLAN的二层设备通过正常的二层学习进行学习。每个桥接客户端的MAC地址最初通过在关联、认证和漫游期间由每个客户端广播的DHCP和ARP消息学习。参与VLAN的每个交换机将从连接到客户端的AP的交换端口或从其连接到对等交换机的上行/下行端口学习桥接客户端的MAC地址。

下图展示了桥接转发部署的MAC学习示例。在此示例中,所有参与VLAN 76的二层交换机将在客户端1成功关联和认证后,客户端1传输广播帧或数据包时学习到其MAC地址:

  • SW-2 – 将在连接到AP(客户端1所在位置)的端口1/1/1上直接学习客户端1的MAC地址。
  • SW-1 – 将学习连接到 SW-2(到客户端 1 的第 2 层路径)的端口 1/1/20 上的客户端 1 的 MAC 地址。
  • SW-3 – 将学习连接到 SW-1 的端口 1/1/52 上的 Client 1 的 MAC 地址(到 Client 1 的第 2 层路径)。

桥接网络中的MAC地址学习。

当桥接客户端在AP之间漫游时,会发生MAC移动。成功漫游后,来自漫游客户端的帧或数据包将触发上游交换机更新其二层转发表,以反映到漫游客户端的新二层路径。

由漫游桥接客户端引起的MAC地址移动如下图所示。在此示例中,客户端1已从连接到SW-2的AP漫游到连接到SW-3的AP。在客户端1在漫游后发送广播帧或数据包时,参与VLAN 75的所有交换机将更新其MAC地址转发表,以反映到客户端1的新二层路径:

  • SW-3 – 将在连接到AP(客户端1所在位置)的端口1/1/2上重新学习客户端1的MAC地址。
  • SW-1 – 将重新学习连接到 SW-3 的端口 1/1/2 上的客户端 1 的 MAC 地址(到客户端 1 的新 2层路径)
  • SW-2 – 将在端口 1/1/52 重新学习客户端 1 的 MAC 地址(到客户端 1 的新 2层路径)。

MAC 地址迁移

隧道转发

当在 WLAN 或下行有线端口配置隧道流量转发时,客户端流量由接入点(AP)封装在 GRE 中,并通过隧道传输到主网关集群。在 GRE 隧道内转发的客户端流量会带有分配给客户端的 VLAN。如在集群部分所述,每个网关在主集群中的角色决定了哪个网关负责转发和接收每个隧道客户端的流量。

通过隧道流量转发,用户 VLAN 被集中管理并驻留在每个集群内。每个隧道配置在一个主集群内终止,并且可以选择性地故障转移到备用集群。对于每个主集群,集群中的每个网关的管理 VLAN 和用户 VLAN 会扩展到其各自的核心/汇聚交换层。作为最佳实践,所有 VLAN 均采用 802.1Q 标记。集群内的每个网关共享相同的管理 VLAN、用户 VLAN 和相关的 IP 网络。每个隧道客户端要么被静态分配,要么动态分配到其主集群内的集中式用户 VLAN。

下图展示了桥接转发部署的示例,其中隧道用户 VLAN 73 和 75 从网关扩展到核心/汇聚交换层。在此示例中,无线局域网(WLAN)客户端被分配 VLAN 73,而有线客户端被分配 VLAN 75。核心/汇聚交换机为每个 VLAN 定义了 IP 接口和 IP 助理地址,并且是每个 VLAN 的默认网关。

隧道转发模式

上述示例使用单一网关简化每个隧道客户端的数据路径。当在集群中部署多个网关时,每个接入点(AP)会与每个集群节点建立 IPsec 和 GRE 隧道。集群中每个网关的角色决定了哪个网关负责锚定每个客户端的流量,以及哪个网关负责转发目的地为连接到每个 AP 的客户端的广播/多播流量。网关角色实际上决定了当从客户端转发流量时,AP 选择哪个 GRE 隧道,以及网关为单播、广播和多播返回流量选择哪个隧道。

下图扩展了前面的示例,增加了一个额外的网关到集群中,并包括每个网关的角色分配。在下图中:

  • 客户端 1 被动态分配 VLAN 73,网关 A 被分配为 UDG 角色。
  • 客户端 2 被动态分配 VLAN 73,且 GW-B 被分配为 UDG 角色。
  • GW-A 被分配为 AP 的 DDG 角色。

基于角色的隧道转发

在上述示例中,GW-A 被分配为客户端 1 的 UDG 角色,负责接收由客户端 1 传输的所有流量,并转发所有目的地为客户端 1 的单播流量。GW-B 被分配为客户端 2 的 UDG 角色,负责接收由客户端 2 传输的所有流量,并转发所有目的地为客户端 2 的单播流量。这些流量在各自的 GRE 隧道中封装并转发,隧道在 GW-A 或 GW-B 终止,具体取决于每个客户端的 UDG 角色分配。

GW-A 还被分配为 AP 的 DDG 角色,负责转发在 VLAN 73 上泛洪的所有广播和多播流量。这些流量在 IPsec 隧道中封装并转发,隧道在 GW-A 终止。

漫游

每个隧道 WLAN 终止于一个主集群,在该集群中用户 VLAN 被集中管理。每个隧道客户端要么被静态分配,要么被动态分配一个在主集群内所有 Gateway 上都存在的 VLAN。对于每个客户端,集群中的一个 Gateway 被分配为 UDG 角色,决定该客户端的流量锚定到哪个 Gateway。由于 bucketmap 是按集群发布的,每个客户端在漫游时会保持其 UDG 分配。无论客户端漫游到哪个 AP,客户端的流量始终锚定到集群内的同一 Gateway。

当客户端在连接到同一主集群的不同 AP 之间漫游时,客户端可以在每次漫游后保持其 VLAN 分配、IP 地址和默认网关,从而实现无缝漫游。客户端可以根据 WLAN 配置文件和客户端的能力执行慢漫游或快漫游。无缝漫游可以在同一 Central 配置组中的 AP 之间实现(相同配置文件),也可以在不同配置组中的 AP 之间实现(重复的 WLAN 配置文件)。实现无缝漫游的唯一要求是,AP 之间必须属于相同的主集群。

在由不同主集群提供服务的 AP 之间漫游的客户端,将执行硬漫游,因为每个集群的 IP 网络将是唯一的。

下图展示了无缝漫游的情况,其中用户 VLAN 73 及其相关的 IP 网络(10.200.73.0/24)集中在由四个网关组成的主集群内。在此示例中,每栋建筑和每层的 AP 连接到实现不同 IP 网络的 AP 管理 VLAN。使用集群的已发布 bucketmap,GW-B 被分配为客户端的 UDG 角色,并在每次漫游后保持该角色。无论客户端连接到哪个 AP,客户端都能够保持其 VLAN 成员身份、IP 地址和默认网关。

隧道转发与无缝漫游

对于一些较大的园区部署,隧道 WLAN 可能会在位于不同数据中心的主集群之间分布,以分散流量负载。每个用户 VLAN 的 IP 网络在每个集群中都是唯一的。通过在 Central 中配置组,每栋建筑中的 AP 被策略性地分布在不同的主集群之间,以均衡每个数据中心的用户流量。为了实现高可用性和故障转移,备用集群被指定为次级集群。

与桥接转发类似,在由不同集群提供服务的 AP 之间漫游的客户端将执行硬漫游,因为需要新的 IP 地址。虽然 VLAN 将是公共的,但每个数据中心中每个用户 VLAN 的 IP 网络将是唯一的。在隧道到不同主集群的 AP 之间漫游的客户端,在每次漫游后都需要新的 IP 地址和默认网关。

MAC 地址学习

启用隧道转发时,AP 会将客户端的流量隧道传输到分配了 UDG 角色的集群中的网关。每个隧道客户端的 MAC 地址将被核心/汇聚交换机学习到,同时也会学习到集群内所有活动的网关:

  • 核心 / 汇聚交换机 – 将从连接到每个客户端的 UDG 网关的物理或逻辑汇聚端口学习每个客户端的 MAC 地址。
  • 网关 – 将从 GRE 隧道(UDG 角色)或来自核心/汇聚交换机的物理或逻辑汇聚上行端口学习每个客户端的 MAC 地址。

每个隧道客户端的 MAC 地址都以其对应的 UDG 角色绑定到网关。每个隧道客户端的二层路径将始终绑定到其分配的 UDG 网关的物理或逻辑端口,无论客户端漫游到哪个 AP。在漫游后,网关与核心/汇聚交换层之间不会发生 MAC 地址迁移。客户端的 MAC 地址只会在 UDG -> S-UDG 转换时在网关之间迁移。

以下示意了隧道转发部署的 MAC 学习示例。在此示例中,客户端 1 被动态分配 VLAN 73,GW-A 被赋予 UDG 角色。在正常操作中,SW-GW-AGG 在连接到 GW-A 的端口 1/1/1 上学习客户端 1 的 MAC 地址。GW-B 在连接到 SW-GW-AGG 的端口 0/0/0 上学习客户端 1 的 MAC 地址。

MAC 地址学习

混合转发

当在 WLAN 或下行有线端口配置混合流量转发时,客户端流量将直接从 AP 的上行端口转发到接入交换层,带有适当的 802.1Q VLAN 标签,或由 AP 封装在 GRE 中并隧道传输到主网关集群:

  • 桥接 – 当客户端设备被分配了在主网关集群中不存在的 VLAN ID 或名称时,AP 将桥接流量。
  • 隧道 – 当客户端设备被分配了在主或备用 Gateway 集群中配置的 VLAN ID 或名称时,AP 将对流量进行隧道传输。

当创建配置为混合转发的配置文件并选择了主集群时,主集群和备用集群中的 VLAN 会被 AP 学习到,并在 GRE 隧道中进行标记。AP 使用这些信息来判断何时桥接或隧道客户端,当分配了 VLAN 时。

对于使用 Branch Gateway 的分支部署,AP 管理 VLAN 和桥接用户 VLAN 通常从 Branch Gateway 扩展到 AP,并且两者都共享。Branch Gateway 为每个分支内的 VLAN 提供 DHCP 服务和路由。当在分支部署中,AP 和 Gateway 之间不存在第 3 层隔离时,实施混合流量转发的配置文件将始终对客户端进行隧道传输。如果需要桥接流量转发,并且无法在 AP 和 Branch Gateway 之间实现第 3 层隔离,则必须实现单独的配置文件以进行桥接流量转发。

为了支持混合转发,AP 管理 VLAN 和桥接用户 VLAN 从接入交换层扩展到 AP 上行端口。建议为桥接和隧道客户端使用专用 VLAN ID,且 VLAN 不得重叠。作为最佳实践,建议仅将 AP 管理 VLAN 和桥接用户 VLAN 扩展到您的 AP。

以下示意图展示了典型的混合 WLAN 部署,其中为桥接和隧道客户端实现了专用 VLAN。在此示例中,未显示的未标记 AP 管理 VLAN 和 802.1Q 标记的桥接用户 VLAN 76 从接入交换层扩展到一个 AP。VLAN 73 在集群内集中管理,并从 Gateway 到核心/汇聚交换层进行 802.1Q 标记。客户端 1 被动态分配 VLAN 73,并通过隧道传输到主集群,而客户端 2 被动态分配 VLAN 76,并由 AP 本地桥接。

混合转发模式

最佳实践与注意事项

AOS 10 AP 支持任何组合的 WLAN 和下行有线端口配置文件,实施桥接、隧道或混合转发模式。当不同转发类型的配置文件由 AP 提供服务时,应遵循以下注意事项和最佳实践:

  1. 为桥接和隧道客户端实施专用 VLAN ID。AP 只能为特定 VLAN ID 桥接或隧道客户端,不能同时进行两者。
  2. 从接入交换层的 AP 上行端口中修剪所有隧道 VLAN。隧道 VLAN 不得扩展到 AP 的上行端口。作为推荐的最佳实践,只有 AP 管理 VLAN 和桥接用户 VLAN 应该扩展到 AP。
  3. 尽可能避免使用 VLAN 1。VLAN 1 是 AP 的默认管理 VLAN,也存在于网关上。将客户端分配到 VLAN 1 可能会带来意想不到的后果,例如将客户端桥接到 AP 的本地 VLAN 或者将隧道客户端黑洞处理。
  4. 如果实现使用桥接流量转发的配置文件,建议将接入点的默认管理VLAN ID更改为与接入层交换机上配置的本地VLAN ID一致。
  5. 如果AP的默认管理VLAN 1被保留,避免将隧道客户端分配到在主集群中间接映射到AP未标记管理VLAN的VLAN。例如,如果您的AP在未标记的VLAN 70上进行管理,该VLAN由分支网关终止,则不得将隧道客户端分配到VLAN 70。
  6. 如果在实现带有微型分支的混合转发,桥接的用户 VLAN 必须与 Gateways 实现 3 层隔离。如果没有实现 3 层隔离,所有客户端将通过隧道传输,因为所有 VLAN 都会出现在主集群中。如果无法实现 3 层隔离,必须使用桥接转发实现专用配置文件。

最后修改时间:2024 年 2 月 28 日(614bf13)

返回顶部

© Copyright 2025 Hewlett Packard Enterprise Development LP