用户VLAN
关于虚拟局域网的详细信息以及它们在WLAN配置文件中的使用方式
每个客户端在连接到WLAN或AP的下行端口时,都会被静态或动态分配一个VLAN。VLAN的分配决策由AP或网关根据配置文件中的流量转发模式来决定:
- 桥接转发 – VLAN的分配决策由AP做出
- 混合或隧道转发 – VLAN 分配决策由网关
对于混合转发,静态或动态分配的 VLAN ID 决定客户端的流量是由接入点本地桥接还是隧道传输到主集群。如果分配的 VLAN 存在于集群中,客户端的流量将被隧道传输。如果分配的 VLAN 不在集群中,客户端的流量由接入点本地桥接
在规划实现桥接、隧道和混合转发配置的 AOS 10 部署时,极其重要的是为桥接和隧道客户端专用 VLAN ID。VLAN ID 必须在每种转发模式下唯一,不能重叠。接入点只能将客户端流量桥接或隧道到每个 VLAN ID,不能同时进行。不要在同一 VLAN ID 上混合桥接和隧道客户端流量,也不支持这样做
静态 VLANs
每个配置文件都需要配置静态 VLAN,如果没有派生动态 VLAN,则将其分配给客户端设备。你分配的 VLAN 可以视为一个总揽 VLAN,如果没有其他 VLAN 被派生。在 WLAN 配置文件中,静态 VLAN 可以是你指定或选择的单个 VLAN ID 或 VLAN 名称,具体取决于配置的转发模式。如果实现了命名 VLAN,则需要额外配置将 VLAN 名称映射到相应的 VLAN ID。映射配置可以在 WLAN 配置文件(桥接转发)或网关配置组(隧道转发)中进行
作为最佳实践建议,你在配置文件中分配的静态 VLAN 不应是接入点或网关的管理 VLAN。分配的 VLAN 应专用于桥接或隧道客户端。VLAN 1 也应避免用于桥接和混合转发,因为 VLAN 1 被用作接入点的默认管理 VLAN,并且存在于每个主集群中。只有在接入点的管理 VLAN 被更改为其他值或在主集群中合法用于服务客户端流量时,才应使用 VLAN 1
下图展示了 WLAN 配置文件中 VLAN ID 和 VLAN 名称的示例分配。在此示例中,没有动态 VLAN 分配的 WLAN 客户端将被分配到 VLAN 75
WLAN 配置文件示例 1
WLAN 配置文件示例 2
对于下行有线端口配置文件,静态 VLAN 配置选项将根据配置的流量转发模式而变化。对于桥接转发,下行端口可以配置为支持单一 VLAN 的接入端口或支持多个 VLAN 的中继端口。配置方式与以太网交换机上的接入或中继端口配置相同:
- 接入 – 需要配置单一的接入 VLAN ID,该 VLAN ID 决定接入点用以将桥接客户端流量转发到其上行端口的 VLAN。
- Trunk – 必须配置原生 VLAN ID 和允许的 VLAN 列表。这将决定下行端口接受哪些 802.1Q 标记的 VLAN,以及用于转发从有线客户端接收的未标记流量的 VLAN。
如图 XXX 所示,配置为接入模式的桥接下行有线端口配置文件示例。在此示例中,AP 将没有动态 VLAN 分配的桥接有线客户端分配到 VLAN 75。AP 会将有线客户端的流量通过其上行端口转发到接入交换层,并带有 802.1Q 标签 75。
桥接接入有线端口配置文件示例
如图所示,配置为 Trunk 模式的桥接下行有线端口配置文件示例。此示例代表一个支持实现未标记数据 VLAN (72) 和 802.1Q 标记语音 VLAN (73) 的 VoIP 电话的下行端口配置文件。来自 VoIP 电话的未标记流量被放入原生 VLAN 72,而 802.1Q 标记的语音流量被接受。由于下行端口只接受 VLAN 72-73,所有其他带标签的 VLAN ID 将被 AP 丢弃。
桥接 Trunk 有线端口配置文件示例
配置用于隧道转发的有线端口配置文件支持单一 VLAN,必须配置为接入模式。接入 VLAN 可以是 VLAN ID 或位于主集群内的命名 VLAN。配置用于隧道转发的下行有线端口配置文件只能配置为接入模式,并且只接受来自有线客户端的未标记流量。所有带有 802.1Q 标签的流量将被 AP 丢弃。
下图展示了一个有效的隧道下行有线端口配置文件示例。在此示例中,AP 将没有动态 VLAN 分配的隧道有线客户端分配到主集群内的 VLAN 73。
隧道接入有线端口配置文件示例
默认 VLAN
配置用于混合流量转发或启用动态 VLAN 分配的 WLAN 配置文件需要分配一个默认 VLAN。与静态 VLAN 一样,如果没有从 RADIUS 或 VLAN 分配规则中派生出动态 VLAN,默认 VLAN 将被分配给 WLAN 客户端。默认 VLAN 可以是你指定或选择的单一 VLAN ID 或 VLAN 名称,具体取决于配置的流量转发模式。
你在每个 WLAN 配置文件中定义的默认 VLAN 可以被视为一个“全包 VLAN”,如果没有进行动态 VLAN 分配。作为安全最佳实践,默认 VLAN 应该不同于 AP 或网关的管理 VLAN。如果使用默认的 AP 管理 VLAN,建议你将默认 VLAN 更改为不同的值(如下图所示),以确保没有桥接客户端意外分配到 AP 的管理局域网。
默认 VLAN
VLAN 池
VLAN 池允许桥接或隧道 WLAN 客户端在多个 VLAN 之间进行分布。当实现 VLAN 池时,每个客户端根据 MAC 地址哈希算法被分配到池中的某个 VLAN。所采用的算法在 AP 和网关上保持一致,确保每个客户端在连接或漫游时都能保持其 VLAN 分配。
对于桥接流量转发,VLAN 池可以由一系列连续的 VLAN ID、非连续的 VLAN ID 列表或选定的 VLAN 名称列表组成。需要在 WLAN 配置文件中进行 VLAN 名称到 ID 的映射后,才能选择 VLAN 名称。下图展示了使用连续 VLAN ID 范围和 VLAN 名称列表的 VLAN 池:
桥接 WLAN 配置文件 VLAN 池 1
桥接 WLAN 配置文件 VLAN 池 2
对于隧道流量转发,VLAN 池通过在网关配置组中配置包含 VLAN ID 范围的命名 VLAN 来选择。命名 VLAN 在选择主集群后被选中并分配给 WLAN 配置文件。下图展示了分配给配置为隧道转发的 WLAN 配置文件的 VLAN 池。命名 VLAN 和 VLAN ID 的映射在网关配置组中配置和管理:
隧道 WLAN 配置文件 VLAN 池
RADIUS 分配
连接到 WLAN 或下行端口且需要 MAC 或 802.1X 认证的客户端,可以由 RADIUS 服务器(如 ClearPass 或云认证服务)动态分配 VLAN。RADIUS 服务器可以直接通过提供 VLAN ID 或 VLAN 名称来分配 VLAN 给 AP 或网关。RADIUS 服务器也可以通过提供用户角色名(包含 VLAN 分配信息)间接分配 VLAN 给客户端。
AP 和网关可以直接从配置为提供 HPE Aruba Networking 供应商特定属性值对(AVP)或标准 IETF AVP 的 RADIUS Access-Accept 或变更(CoA)消息中分配 VLAN。可以从配置为返回以下 AVP 之一的 RADIUS 服务器动态分配 VLAN:
- Aruba-User-VLAN – HPE Aruba Networking AVP,提供数值型 VLAN ID(1-4094)。
- Aruba-Named-User-VLAN – HPE Aruba Networking AVP,提供一个 VLAN 名称,该名称映射到在 WLAN 配置文件(桥接)或网关配置组(隧道)中配置的 VLAN ID(1-4094)。
- Tunnel-Private-Group-ID – IETF AVP,提供数值型VLAN ID(1-4094)。
也可以根据用户角色分配动态分配VLAN。每个用户角色可以选择性地包含在WLAN配置文件中配置的VLAN ID分配。对于隧道或混合WLAN,配置的VLAN ID会自动复制到在网关上编排的用户角色。RADIUS服务器或云认证服务会动态地将用户角色分配给客户端,从而决定桥接或隧道VLAN的分配。用户角色可以由RADIUS服务器动态分配,方法是返回以下HPE Aruba Networking厂商特定的AVP:
- Aruba-User-Role – HPE Aruba Networking AVP,提供用户角色名称。
为了简化操作和故障排查,同一时间内应只实现一种动态VLAN分配方法。VLAN ID或VLAN名称的分配应直接分配或通过用户角色间接分配。如果同时向AP或网关提供了两种VLAN分配选项,VLAN ID或VLAN名称将具有优先权。
VLAN分配规则
VLAN分配也可以通过在配置文件中创建VLAN分配规则来确定。VLAN分配规则是可选的,允许基于管理员定义的规则进行动态VLAN分配,这些规则包括属性、操作符、字符串值和结果VLAN分配。
在迁移到HPE Aruba Networking过程中,VLAN分配规则通常通过允许由现有的RADIUS服务器和实现IETF或某些第三方厂商特定AVP的策略进行VLAN分配,从而实现迁移。分配规则使客户可以轻松迁移到AOS 10,而无需修改现有的RADIUS策略。
迁移过程中可以利用的VLAN分配规则示例如图XXX所示。在此示例中,RADIUS服务器策略实现了返回字符串值(如employee-acl、iot-acl和guest-acl)的IETF filter-id AVP。每个VLAN分配规则匹配部分字符串值并分配相应的VLAN ID。例如,如果filter-id返回字符串值employee-acl,则分配VLAN 75;如果没有匹配的规则,则客户端被分配到VLAN 76。
VLAN分配规则示例
VLAN分配规则支持桥接、隧道和混合转发配置文件。当为隧道或混合配置文件配置VLAN分配规则时,规则会在网关上自动编排。每个VLAN分配规则将作为服务器定义规则(SDR)添加到隧道或混合配置文件的服务器组中。
分配优先级
根据配置文件中设置的流量转发模式,AP或网关将做出VLAN分配决策。对于桥接配置文件,VLAN分配由AP决定;对于隧道和混合配置文件,VLAN分配由网关决定。默认情况下,如果没有动态派生VLAN,则会分配配置文件中设置的静态VLAN或默认VLAN。
当客户端可能有多个VLAN结果时,AP和网关会按照优先级进行分配。当出现多个VLAN结果时,AP或网关将根据优先级最高的分配选项进行VLAN分配。一般而言,由RADIUS服务器或云认证服务分配的VLAN ID或VLAN名称具有最高优先级。
下表显示了桥接配置文件的AP VLAN分配优先级。当为桥接客户端提供多个VLAN分配结果时,AP将选择优先级最高的分配选项:
| 优先级 | 分配 | 备注 |
|---|---|---|
| 1(最低) | WLAN 配置文件中的静态或默认值 | VLAN ID、VLAN 范围或 VLAN 名称 |
| 2 | 基于用户角色的 VLAN | 默认,Aruba-User-Role(RADIUS)或角色分配规则 |
| 3 | VLAN 分配规则 | 用户定义的推导规则 |
| 4(最高) | RADIUS | 按优先级排序:1. Tunnel-Private-Group-ID(最低) 2. Aruba-Named-VLAN 3. Aruba-User-VLAN(最高) |
下表提供了隧道 WLAN 配置文件的网关 VLAN 分配优先级。当出现多个 VLAN 分配结果时,网关将选择优先级最高的分配选项:
| 优先级 | 分配 | 备注 |
|---|---|---|
| 1(最低) | WLAN 配置文件中的静态或默认值 | VLAN ID 或 VLAN 名称 |
| 2 | 初始用户角色的 VLAN | |
| 3 | 来自 UDR 用户角色的 VLAN | |
| 4 | 来自 UDR 规则的 VLAN | |
| 5 | 来自 DHCP 选项 77 UDR 用户角色的 VLAN | 有线客户端 |
| 6 | 来自 DHCP 选项 77 的 VLAN UDR 规则 | 有线客户端 |
| 7 | 基于 MAC 认证的 VLAN 默认用户角色 | |
| 8 | 基于 MAC 认证期间 SDR 用户角色的 VLAN | |
| 9 | 基于 MAC 认证的 SDR 规则中的 VLAN | |
| 10 | 在基于MAC的认证期间来自Aruba VSA用户角色的VLAN | Aruba-命名VLAN Aruba-用户VLAN |
| 11 | 通过基于MAC的认证的Aruba VSA中的VLAN | |
| 12 | 基于 MAC 认证期间 IETF 隧道属性中的 VLAN | Tunnel-Private-Group-ID |
| 13 | 来自 802.1X 默认用户角色的 VLAN | |
| 14 | 在 802.1X 期间来自 SDR 用户角色的 VLAN | |
| 15 | 802.1X 期间的 SDR 规则中的 VLAN | |
| 16 | 在 802.1X 期间来自 Aruba VSA 用户角色的 VLAN | Aruba-User-Role |
| 17 | 802.1X 期间 Aruba VSA 的 VLAN | Aruba 命名 VLAN Aruba 用户 VLAN |
| 18 | 在 802.1X 期间来自 IETF 隧道属性的 VLAN | Tunnel-Private-Group-ID |
| 19 | VLAN 来自 DHCP 选项的用户角色 | 由 DHCP 选项分配的用户角色继承的 VLAN |
| 20 (最高) | 来自 DHCP 选项的 VLAN |
VLAN 最佳实践与注意事项
AOS 10 APs 可以支持实现桥接、隧道或混合转发模式的任何组合的配置文件。当实现不同转发类型的配置文件时,应遵循以下注意事项:
- 尽可能避免使用 VLAN 1。VLAN 1 是 AP 的默认管理 VLAN,也存在于网关上。只有在将 AP 上的默认管理 VLAN 从 1 改为其他值时,才应实现 VLAN 1。
- 如果保留默认的 AP 管理 VLAN 1,避免将隧道客户端分配到在网关上的 VLAN,该 VLAN 间接映射到 AP 的未标记管理 VLAN。例如,如果 AP 在接入层交换机上通过未标记 VLAN 70 进行管理,并且该 VLAN 被扩展到分支网关,则不要将隧道客户端分配到 VLAN 70。
- 为桥接和隧道客户端实现了专用的 VLAN ID 和广播域。接入点(AP)可以在特定的 VLAN ID 上进行桥接或隧道,但不能同时进行两者。
- 从接入交换层的 AP 上行端口中修剪所有隧道 VLAN。隧道 VLAN 不得扩展到 AP 的上行端口。作为最佳实践,只有 AP 管理 VLAN 和桥接用户 VLAN 应该扩展到 AP。
- 如果在实现带有微型分支的混合转发,桥接的用户 VLAN 必须与微型分支在第 3 层进行隔离。如果没有实现第 3 层隔离,所有的客户端将被隧道化,因为所有 VLAN 都会出现在集群中。如果无法实现第 3 层隔离,必须使用桥接转发实现专用的 WLAN。
- 每个用户 VLAN 最多支持一个 IPv4 子网和一个 IPv6 前缀。不支持多个 IPv4 子网或 IPv6 前缀(即多网支持)。
最后修改时间:2025年1月6日(ffcffd4)