2025-04-21

WLAN 功能

WLAN 功能部分介绍了用于实现 HPE Aruba 网络无线局域网的技术和特性。涵盖的主题包括无线安全、访客 Wi-Fi、无线多播、无线 QoS、无线网络流量工程以及 WLAN 的弹性。

目录

• WLAN 功能
  • 无线安全
    • WPA3
      • WPA3-个人
      • WPA3-Enterprise (CCM 128)
      • WPA3-企业版（GCM 256）
      • WPA3-Enterprise (CNSA)
    • 增强开放
    • 多重预共享密钥
  • 访客无线
    • 多区域
  • 桥接模式部署
    • 漫游
  • 隧道模式部署
    • 网关集群设计
    • 网络集成
    • 底层需求
    • 漫游
  • WLAN 策略
    • 基于角色的策略
      • 桥接模式部署
      • 隧道模式部署
      • 角色强制执行
  • WLAN 多播和广播
    • 动态多播优化
    • 广播到单播转换
    • 广播过滤
  • WLAN 服务质量
    • 无线局域网多媒体
    • 为优先级标记流量
      • DSCP
      • CoS
    • WMM 实现
      • UCC 优先级排序
    • 端到端QoS
      • DSCP 相关考虑
      • CoS 相关考虑
  • WLAN 弹性
    • 认证状态/密钥同步
    • 防火墙状态同步
    • 集群设计故障域
  • 校园无线网络概述

无线安全

无线安全是HPE Aruba Networking WLAN解决方案的关键组成部分。最新的无线安全改进包含在名为WPA3的协议更新中，HPE Aruba Networking在定义该协议方面发挥了重要作用。请在支持的情况下尽快将无线客户端迁移到WPA3，以确保可靠且安全的WLAN。有关安全模型的更多信息，请参阅 the AOS-10 Wi-Fi Design and Deployment Guide。

WPA3

WPA3 可以使用 WPA3-Personal (SAE) 或 WPA3-Enterprise 进行部署。WPA3 具有更高的安全性，而复杂度与 WPA2 相同。WPA3 不需要在工作流程或使用方式上进行更改，也没有需要记住的新步骤或注意事项。同步认证协议（SAE）被加入到 IEEE 802.11s 网状网络标准中，并于 2012 年获得认证。SAE 是一种基于龙飞蝶密钥交换的实现，使用零知识证明进行密码验证密钥交换。每一方都证明自己知道密码，而不会暴露密码或由密码派生的数据。WPA3-SAE 的用户体验与 WPA2-PSK 相同，用户只需输入密码即可连接。

Wi-Fi联盟已发布了 WPA3-Certified Client Devices 的列表。

WPA3-个人

WPA3-Personal 是 WPA2-PSK 的替代方案。它采用基于密码的认证，使用 dragonfly 密钥交换（RFC 7664），具有抗主动攻击、被动攻击和字典攻击的能力。为了向后兼容，启用“过渡模式”，使支持 WPA3 的客户端使用 WPA3-SAE 连接，而旧版客户端则使用 WPA2-PSK 连接。

WPA3-Enterprise (CCM 128)

CCM 128 是采用 WPA3、AES CCM 加密和使用 802.1X 的动态密钥。

CCM 128 是当前迁移到 WPA3 网络的正确选择。其运行模式向后兼容 WPA2，但增加了对 802.11w 保护管理帧（PMF）的可选支持。支持 PMF（支持 802.11w）的客户端和传统客户端可以连接到同一 SSID。该模式支持桥接、隧道和混合模式的 SSID。

WPA3-企业版（GCM 256）

WPA3 采用 AES GCM-256 加密，需使用新的密钥管理（SHA-256）、新的密码算法和PMF。不支持遗留客户端。当客户端群体支持 GCM 256 时，此操作模式可用于需要更强密钥管理和加密的场所。

WPA3-Enterprise (CNSA)

WPA3 采用 AES GCM-256 加密，使用商业国家安全算法（CNSA）（192 位）、新的密钥管理（SHA-384）以及强制的 PMF 端点支持。WPA3-Enterprise CSNA（192 位）模式需要兼容的 EAP 服务器（如 ClearPass Policy Manager，版本 6.8 或更高版本），并且需要 EAP-TLS。严格的密钥交换和密码算法要求可能不被所有设备支持。该模式支持在桥接、隧道和混合模式的 SSID 中使用。主要由政府机构使用。

增强开放

增强型开放使用机会无线加密（OWE）为开放Wi-Fi网络提供未认证的数据加密。对用户而言，增强型开放网络看起来就像没有锁符号的开放网络，但数据已被加密。OWE在客户端与接入点关联时执行未认证的Diffie-Hellman密钥交换。

此密钥用于派生用于加密客户端和接入点之间所有管理和数据信息的密钥。中央系统主动将密钥复制到邻近的接入点。

增强型开放（Enhanced Open）无需额外的设备配置。HPE Aruba Networking建议在需要加密但不需要认证的访客网络中启用增强型开放，例如咖啡馆、酒吧、学校、公共场所和体育场。

切换模式使管理员能够配置一个用于向后兼容的开放SSID。当启用增强开放（Enhanced Open）时，无线接入点（AP）会自动创建两个具有不同信标的基础SSID。

• BSSID 1 — 一个面向非增强开放站点的开放网络，包含一个信息元素（IE）以指示存在 BSSID 2。传统客户端连接到此 BSSID，其流量未加密。

• BSSID 2 — 一个隐藏的增强开放网络，带有具有鲁棒安全网络指示元素（RSN-IE）的认证密钥管理（AKM）字段，指示使用套件18（OWE套件）进行认证。此外，还包含一个IE，用于指示BSSID 1的可用性。连接到隐藏SSID的支持增强开放的客户端将获得PMF和加密的优势。

HPE Aruba 网络支持在桥接或隧道模式下配置增强开放（Enhanced Open）SSID。

多重预共享密钥

多重预共享密钥（MPSK）功能使连接到同一SSID的设备可以使用不同的PSK。一个有用的示例是不支持802.1X的无头物联网（IoT）设备。MPSK通过启用设备特定或组特定的密码，增强了WPA2预共享密钥模式。借助ClearPass策略管理器，密码可以由管理员分配给单个设备或基于共同属性（如配置文件数据）分配给设备组，或为每个设备注册单独分配。这在设备与特定用户之间建立了一对一的关系，以提供可见性、责任追踪和管理，并在更改一组设备的密码时，减少了管理负担。

MPSK 不兼容 WPA3-Personal (SAE)。

访客无线

HPE Aruba Networking 可以通过相同的基础设施为访客和员工提供访问，同时确保访客访问不影响企业网络安全。

使用组织现有的 WLAN 提供了一种方便且经济高效的方式，为访客和承包商提供互联网接入。无线访客网络：

• 通过开放的无线SSID为访客提供互联网接入，并在网关的防火墙中进行网页访问控制。
• 支持创建由授权的内部用户管理的临时访客认证凭据。
• 将访客网络流量与内部网络隔离开来。

每个接入点（AP）都可以配置为受控的、开放的无线连接互联网访问。访客流量通过安全隧道从无线接入点传回网关，并进入一个仅限互联网访问的单独VLAN。下图显示了流量如何从无线访客网络VLAN传递到防火墙。

访客无线网络

访客网络应要求在强制门户中输入用户名和密码。大厅大使或其他管理人员可以发放临时访客账户。此设计提供了根据组织需求定制控制和管理的灵活性，同时保持安全的网络基础设施。

网关通常充当访客客户端的DHCP服务器和路由器。只要预估的负载指标低于网关的建议限制，就可以为访客或物联网网络启用第3层操作。

当在网关上启用路由时，使用防火墙策略来控制VLAN之间的流量。网关上的DHCP服务不是冗余的，因此建议为关键任务的访客访问使用外部DHCP服务器。

多区域

如果一个组织的安全策略要求将无线访客流量隧道传输到DMZ，AOS-10的MultiZone功能可以配置为通过GRE隧道将来自校园AP或交换机的客户端流量发送到其他网关集群，AP还提供可选的IPSEC加密。其支持如下：

• 使用配置为混合或隧道转发的配置文件的校园APs
• 配置为集中式第二层（CL2）转发的微分支AP配置文件
• 配置用于用户基础隧道（UBT）的CX交换机。

下图展示了一个示例校园拓扑结构，包含位于DMZ的AOS-10网关对。校园AP和启用UBT的CX交换机直接通过隧道连接到DMZ中的集群，从而实现组织所需的未受信任访客流量的隔离。

访客无线多区域

有关无线和有线多区域的更多详细信息，分别可以在 AOS-10 Design Fundamentals and Concepts Guide 指南的多区域部分和 TechDocs User-Based Tunneling 页面中的 UBT 多区域部分找到。

桥接模式部署

桥接模式在不需要隧道流量和高级网关功能的情况下提供了一种简化的部署选项。在此模式下，无线流量会直接从接入点桥接到有线网络。接入点的接入交换机端口必须配置为中继，以扩展SSID到VLAN的连接。接入点负责数据包加密、用户认证和策略执行，而Aruba Central则管理射频优化、密钥管理、实时升级、监控和故障排除。

仅AP部署适用于需要Wi-Fi连接但不需要流量隧道或其他高级网关功能的环境。典型的使用场景包括小型办公室和分支机构。

更多信息 AP-only deployments 和 Bridge Forwarding 可在 AOS-10 基础指南中找到。

下图展示了一个AOS 10桥接模式拓扑结构，不包括移动网关。

漫游

漫游域由在共同射频覆盖区域内的接入点（AP）组成，这些AP共享VLAN和广播域（IP网络）。该覆盖区域可以仅限于单一楼层或建筑物，或者如果网络架构允许，也可以跨越校园内的多个建筑物。

在仅AP部署中，无线局域网（WLAN）将用户流量直接桥接到用户VLAN，而管理VLAN则促进AP之间的通信。为了支持无缝的客户端漫游并保持VLAN成员关系，这些VLAN必须在AP上行链路、接入交换机以及更广泛的交换基础设施中进行中继。

一个典型的部署包括专用的AP管理VLAN和多个无线用户VLAN。用户VLAN的数量取决于部署规模、广播域大小和分段需求。

每个漫游域支持定义的最大AP和客户端数量。由于AP管理和用户VLAN在域内所有AP之间扩展，广播和多播帧会通过这些VLAN进行转发，并由所有AP处理。这些帧对于AP和客户端功能至关重要，但也可能引入扩展性限制。随着AP和客户端数量的增加，广播和多播流量的规模也会增加，从而影响AP的处理能力。

单个漫游域的最大验证规模为500 个AP或5,000 个客户端，以先达到的限制为准。这些限制已由HPE Aruba Networking进行测试和验证。

仅AP部署可以支持多个漫游域，每个域最多包含500个AP和5,000个客户端，前提是每个域的AP管理和无线用户VLAN在第3层（位于不同的IP网络和广播域）中隔离。

隧道模式部署

网关可以在全新部署或现有桥接模式环境中引入，以启用隧道模式。这种部署模型通过集中流量转发到网关，增强了安全性和操作灵活性。网关可以单独部署，也可以集群部署以提高冗余性和扩展性。当在Central中将网关分配到同一组时，集群会自动形成。

隧道模式提供了对应用流量的更高可见性，支持对业务关键数据的优先处理。其他优势还包括微分段、动态RADIUS代理以及局域网上的加密。无缝漫游在整个第3层校园网络中得到支持，确保用户体验的一致性。

虽然 AOS-10 允许在单一部署中使用多个版本的网关和接入点，但 HPE Aruba Networking 建议匹配 AP 和网关的软件版本。这可以确保功能支持的一致性并维护整体 WLAN 的稳定性。

有关 Gateway Deployments 和 Tunneled Forwarding 的更多信息，请参见 AOS-10 基础指南。

下图显示了AOS-10隧道模式拓扑结构。

网关集群设计

隧道无线局域网（WLAN）将网关作为无线流量数据平面的关键组成部分。一个设计良好的网关集群对于确保WLAN部署的可靠性和可扩展性至关重要。

集群是一组HPE Aruba网络网关，作为一个整体运行，以提供规模扩展、高可用性和隧道客户端的服务连续性。

集群提供了以下特性和优势：

• 有状态客户端故障转移 – 当网关因维护或故障而下线时，AP和客户端可以继续从集群中的另一台网关获取服务，且不会中断应用程序。
• 负载均衡 – 设备和客户端会话会在集群中的网关之间自动分配和共享。这将工作负载分布在集群节点之间，最小化维护和故障事件的影响，并为客户端提供更好的连接体验。
• 无缝漫游 – 当客户端在AP之间漫游时，客户端仍然连接到集群中的同一网关，以提供无缝的漫游体验。客户端在漫游过程中保持其VLAN成员身份和IP地址配置。
• 部署简便性 – 当在Central中分配到某个组或站点时，网关集群会自动形成，无需手动配置。
• 实时升级 – 客户可以在网络保持完全正常运行的情况下，对网关进行在用集群升级。实时升级功能实现了完全自动化的升级。这是对必须全天候保持运行的关键任务网络客户的一个关键特性。

有关聚类的更多信息，请参见 AOS-10 Fundamentals Guide。

AOS-10 Cluster Scale Calculator 提供了集群设计的指导，并帮助确定满足容量和冗余需求的最佳节点数量。合理的规划确保资源的高效利用，从而实现一个具有弹性和可扩展性的隧道 WLAN 部署。有关网关集群规划的详细指南，请参阅 AOS-10 Gateway Planning documentation。

关键设计考虑因素包括：

• 基础能力： 选择一个满足客户数量、吞吐量和支持的集群节点数量要求的平台，以确保长期的可扩展性。
• 冗余性： 部署一个 N+1 网关集群，以确保故障转移能力并维持服务连续性。
• 集群一致性： 尽可能使用具有相同型号网关的同质集群，以优化性能并简化操作。
• 平台兼容性： 选择支持部署在环境中的AP型号的网关平台。

网络集成

在校园环境中，网关应部署在第2层，第3层的操作由上游设备（如VSX交换机对）处理。客户端流量的默认网关应位于上游基础设施上，而非WLAN网关。此设计方案保持一致性，优化性能，并确保无缝的第3层操作。上游交换基础设施应配置为高可用性，例如使用VSX，以提供冗余。

应配置专用的管理VLAN，以为网关分配系统IP地址，这对于 clustering 是必需的。无线客户端可以在WLAN配置文件级别手动分配到单一VLAN，或根据其角色动态分配到不同的VLAN。配置在网关上的VLAN必须正确进行中继，以确保整个集群的第2层可达性。

在选择切换平台以将网关连接到局域网时，应考虑对大型MAC地址表和高速接口的支持。这在大型部署场景中特别关键，例如公共场所和大学，预计会有大量无线客户端连接。

遵循这些最佳实践可确保网关集群的设计具有高可用性、可扩展性和端到端的冗余性。

底层需求

精心设计的底层网络对于成功部署隧道化的WLAN至关重要，确保基础设施组件之间的可靠连通性。主要的要求是AP的管理接口与集群中网关的系统IP之间的连接。

AP 到网关的可达性 对于隧道WLAN，每个AP与网关集群建立隧道。这要求AP管理IP与网关系统IP之间具有一致的IP可达性。底层网络中的任何路由或防火墙策略都必须允许这种通信。

超大MTU支持（可选） 隧道WLAN使用GRE封装，这会增加数据包的大小开销。在大多数部署中，标准的MTU值已足够。然而，当客户端生成较大的帧或部署基于用户的隧道（UBT）时，建议在底层网络中启用巨型MTU支持。HPE Aruba Networking建议在AOS-10网关和AOS-CX交换机上配置MTU为9198，当预期会有大帧时。不当的MTU设置可能导致分段、延迟以及在特定流量条件下的性能下降。

底层验证应包括路径测试、正确的路由配置，以及确认所有中间设备在适用情况下支持所需的MTU。

漫游

采用集中转发架构，客户端设备可以在将用户流量隧道传输到公共网关集群的AP之间无缝漫游。客户端设备可以保持其VLAN成员身份、IP地址和默认网关，因为用户VLAN和广播域在集群成员之间是共享的。通过集群架构，客户端的MAC地址也被设置为单一集群成员，无论客户端设备连接到哪个AP。客户端MAC地址仅在集群节点升级或故障时发生变化。

在AP-Gateway部署中，如果客户端设备在将用户流量隧道到不同网关集群的AP之间切换，则需要进行硬漫游。虽然集群之间的用户VLAN ID可能相同，但IP子网或广播域必须在每个集群中唯一。任何在网关集群之间移动的客户端设备在漫游后都必须获取新的IP地址和默认网关。

WLAN 策略

无论是接入点（AP）还是网关，都支持强大的执行机制，以增强网络安全和流量控制：

• 基于角色的有状态防火墙 – 使用防火墙别名、应用层网关（ALGs）和基于角色的规则来执行安全策略，支持可扩展且细粒度的访问控制。
• 深度包检测（DPI） – 使用Qosmos的应用引擎和签名数据库，识别近3,500个应用程序，实现高级流量分类和策略执行。
• 网页内容、声誉和地理位置过滤 – 使用Webroot基于机器学习的分类系统，对数十亿个URL的内容类别、网站声誉和地理来源进行评估。

Rogue Access Point 入侵检测系统（RAPIDS）通过结合无线和有线网络扫描，自动检测并定位未经授权的接入点（AP），无论其部署角色如何。RAPIDS 使用现有的、已授权的 AP 来扫描 RF 环境，以查找范围内的未经授权设备。RAPIDS 还会扫描有线网络，以确定无线检测到的“流氓”设备是否已通过物理连接。RAPIDS 可以以“混合”AP的方式部署，既作为AP也作为传感器，或者作为覆盖架构，其中AP充当专用传感器，称为空中监测器（AMs）。RAPIDS 利用来自专用传感器和已部署AP的数据，提供对无线环境的最全面的视图。该解决方案提升了网络安全性，满足合规要求，并降低了人工安全工作的成本。有关RAPIDS的更多详细信息，请参阅 AOS-10 Fundamentals Guide。

网关提供额外的安全功能，包括入侵检测与防御系统（IDS/IPS）。IDS/IPS引擎执行深度包检测，以分析网络流量中的恶意软件和可疑活动。当检测到威胁时，IDS会向管理员发出警报，而IPS则主动阻止恶意流量，以防止网络被攻破。

基于角色的策略

角色是HPE Aruba Networking基础架构的核心架构元素，能够实现客户端设备的动态划分和策略执行。角色代表客户端或设备的身份。它被赋予一组可配置的策略和属性，定义连接到AP和网关的用户和设备的网络访问权限。除了访问控制外，角色还可以包括诸如VLAN分配、强制门户配置或带宽合同等属性。角色中的策略语言决定了主机、网络和应用的权限。关于角色的更多详细信息，请参阅 AOS-10 Fundamentals Guide。

AOS-10 AP 和网关支持默认角色、用户定义角色和全局客户端角色。默认角色适用于未由认证服务器或角色派生规则分配用户定义角色的有线或无线客户端。全局客户端角色在 NetConductor solution 中使用，本章不涉及。

桥接模式部署

在桥接模式下，接入点（AP）负责确定角色分配。通常，桥接的客户端会接收由认证服务器（如 ClearPass 或 Central NAC）分配的用户定义角色。

执行MAC或802.1X认证的AP会接受Aruba-User-Role RADIUS属性，而无需额外配置。

启用桥接转发时，接入点（AP）充当策略执行点，检查用户流量，并根据分配的角色及其相关的网络访问策略，做出转发或丢弃的决策。

隧道模式部署

在隧道模式下，网关确定角色分配。隧道客户端通常从认证服务器（如 ClearPass 或 Central NAC）接收用户定义的角色。角色分配在 AP 和网关两个层面同时进行：

• AP – 分配了默认角色或用户定义的角色。
• 网关 – 分配了默认的、用户定义的或全局角色。

接入点将 RADIUS 认证请求转发到其指定的网关，网关再将请求代理到配置的外部 RADIUS 服务器。该网关接受 Aruba-User-Role RADIUS 属性，无需额外配置。

如果未在无线局域网（WLAN）中使用角色，可以在WLAN配置文件中指定默认角色，以将相同的角色分配给连接到该WLAN的所有客户端。

在大多数隧道模式部署中，接入点（AP）使用默认角色并应用允许所有的规则，而基于角色的执行则在网关集群上进行。

角色强制执行

使用角色时，策略执行会发生两次：一次在源角色，另一次在目标角色。

当流量从角色A发起时，会根据该角色进行策略执行。然后，该流量被路由到角色B，在那里也会执行与目标角色相关的策略。

这种双重执行模型适用于基于网关和仅AP的部署方式。它实现了细粒度控制并增强了整体网络安全性。

如果部署在使用基于角色策略的集群中包含超过两个网关，请咨询HPE Aruba Networking客户团队以获取设计协助。

WLAN 多播和广播

动态多播优化

802.11标准规定，multicast traffic在无线局域网（WLAN）上的传输必须采用最低基本速率。动态多播优化（DMO）是HPE Aruba Networking的一项技术，它在从网关转发到接入点（AP）之前，将多播帧转换为单播帧。单播帧由客户端确认，如果在空中传输过程中丢失，可以进行重传。单播帧还以客户端支持的最高可能数据速率进行传输，这大大降低了单个单元的占空比，为所有用户释放了带宽。

为了性能优化，避免在同一WLAN数据路径上由多个多播源广播相同的数据。使用尽可能大的第2层网络，以避免同时转换多个多播流。

下图显示了启用 DMO 的典型 IP 组播拓扑结构。

IP 多播 BSR、RP、MSDP、IGMP 监视和 DMO 放置

广播到单播转换

HPE Aruba Networking WLAN 可以将广播包转换为单播帧，以优化空中时间的使用。空中传输的广播帧必须以配置的最低可能数据速率（称为“基本速率”）进行传输。由于广播没有传输确认，因此无法重新传输丢失的广播帧。当空中传输的帧被转换为单播时，接入点可以以更高的数据速率发送，并获取传输确认。丢失的帧可以被重新传输。

单播大大降低了信道的占用周期，并以每个客户端可能的最高数据速率传输帧。

广播过滤

可以为SSID配置广播过滤，以优化无线局域网的性能。集中管理的WLAN的默认设置为ARP。

• ARP - WLAN 会丢弃广播和多播帧，除非是 DHCP、ARP、IGMP 组查询和 IPv6 邻居发现协议的帧。此外，它会将 ARP 请求转换为单播，并将帧直接发送给关联的客户端。
• 全部 - WLAN 会丢弃所有广播和多播帧，除非是 DHCP、ARP、IGMP 组查询和 IPv6 邻居发现协议。
• 仅单播ARP - 此选项使无线局域网将ARP请求转换为单播帧，并将其发送给关联的客户端。
• 禁用 - IAP 转发所有广播，组播流量也会被转发到无线接口。

WLAN 服务质量

服务质量（QoS）在无线局域网（WLAN）中实现的目的有两个：

• 优化有限的无线信道资源以支持语音和视频应用。
• 支持在有线和无线网络基础设施中实现端到端的QoS策略。

Wi-Fi 共享媒介对于对延迟和抖动敏感的网络应用来说是一个挑战。随着争用单一信道传输资源的设备数量增加，访问媒介延迟的概率也随之上升。此外，如果一个或多个共享同一信道的设备使用高带宽应用，可能会导致其他设备的信道资源被剥夺。由于Wi-Fi共享媒介容易出现拥塞，对延迟和抖动敏感的流量优先处理的优势比有线网络中通常更为明显。

实现QoS优先保障敏感应用的流量访问传输介质，优先于低优先级的流量。仅对无线流量应用QoS，即使没有涵盖有线网络的更广泛QoS策略，也能为实时语音和视频应用带来显著的好处。

某些应用可能需要在有线和无线网络之间进行端到端的QoS配置，以确保最佳运行效果。某些供应商也可能要求这样做以支持应用程序。

HPE Aruba 网络网关和接入点支持默认的无线优先级策略，利用其统一通信与协作（UCC）功能动态识别应用程序，并通过QoS定制实现跨有线和无线网络的端到端流量优先级。

当客户端在接入点之间漫游时，Wi-Fi传输中的延迟可能会降低语音和视频应用的质量。除了QoS优先级设置外，网络管理员还应实施在VSG的Transmit and Basic Data Rates章节的Radio Frequency Design章节中记录的快速漫游最佳实践。

无线局域网多媒体

Wi-Fi多媒体（WMM）是由Wi-Fi联盟创建的认证项目，定义了无线网络传输的服务质量（QoS）。WMM将网络流量划分为四个接入类别（ACs）之一。根据分配的AC，应用差异化的无线介质访问策略。该策略为与语音和视频应用相关的帧提供了更高的统计概率的无线介质访问机会，这些应用对延迟和抖动较为敏感。

无线接入点和终端都可以实现WMM，以获得统计上更高优先级的信道访问权限。

WMM 在所有 Aruba Wi-Fi 产品中均受到支持。

Wi-Fi 使用载波感知多路访问避免冲突（CSMA/CA）来管理空中时间的竞争。CSMA/CA 要求每个设备在传输帧之前监测无线信道，以检测附近的 Wi-Fi 传输。Wi-Fi 标准定义了一个分布式系统，在该系统中没有中央协调或对客户端或接入点（AP）的调度。

根据待传输帧的AC优先级，WMM协议调整两个CSMA/CA参数：随机退避计时器和仲裁帧间间隔。高优先级的帧被分配更短的随机退避时间和仲裁帧间间隔，而低优先级的帧必须等待更长时间。这为高优先级帧提供了更高的概率优先访问共享介质的机会。该策略改善了语音和视频应用的用户体验。

WMM 定义了四个升序优先级的访问类别（AC）流量等级：

• 背景 (AC_BK)
• 最佳努力（AC_BE）
• 视频 (AC_VI)
• 语音 (AC_VO)

WMM的退避和仲裁帧间定时器

默认情况下，流量使用尽力而为的WMM AC进行转发。

为优先级标记流量

网络基础设施需要一种机制来评估接收的流量应如何优先处理以便进一步传输。

有两种主要方法用于标记网络流量以实现优先级：区分服务代码点（DSCP）和服务类别（CoS）。这两种方法都通过修改网络流量的头部字段，通知网络基础设施流量的优先级。DSCP包含在第3层IP头部中，而CoS则包含在第2层以太网帧的802.1Q头部中。建议使用DSCP作为标记流量优先级的方式。

当有线流量被AP接收时，QoS标记将流量关联到WMM访问类别（AC）。当流量通过有线网络端口接收时，QoS标记决定QoS策略和排队策略。

DSCP

分配DSCP值是标记流量优先级的最灵活方法。DSCP值长度为5位，分配在IP头中的服务类型（ToS）字段内。共有64个可能的值（0-63），其中零作为默认值。用于识别流量优先级的DSCP和行业标准值定义在 RFC 4594。

DSCP值可以由任何发起流量的主机分配。例如，主机可以配置为为Teams或SIP流量分配DSCP值。一些网络设备，包括HPE Aruba Networking网关和接入点，也可以根据流量特征（如源、目的地、端口、协议或应用）修改DSCP值。

由于 DSCP 被包含在第 3 层 IP 头部中，它可以在通信路径中的所有网络基础设施之间端到端地保持，包括通过路由链路。这有助于实现一致的端到端 QoS 优先级。

HPE Aruba 网络设备，包括接入点、网关和 CX 交换机，支持 IPv4 和 IPv6 的 DSCP。

CoS

服务类别（CoS）标记使用由IEEE 802.1p工作组在IEEE 802.1Q标准中定义的3位优先级代码点（PCP）值。CoS优先级共有八个可能的值，默认值为零。

CoS 标记仅具有链路层级别的意义，只能应用于带有 VLAN 标签的以太网帧。CoS 不是包含在 802.11 Wi-Fi 帧头中的字段，因此不能用于标记无线介质上的优先级。无线客户端必须使用 DSCP 来标记流量优先级。

802.11 头包含一个流量标识符（TID）字段，用于对流量进行优先级分类。这个8位的TID值不会被HPE Aruba Networking WLAN产品用来自动分配从WLAN转发到有线网络的流量的CoS或DSCP值。

WMM 实现

以下信息描述了 AOS 10 的 WMM 实现。在使用 AOS 8 或更早版本固件时，请参考产品文档或联系 HPE Aruba Networking 客户团队获取更多信息。

HPE Aruba 网络AP运行AOS 10时，根据DSCP值将流量分配到WMM AC。它们不将CoS值关联到WMM AC。建议Wi-Fi专用和端到端QoS策略使用DSCP标记。

下表包含默认的 DSCP 到 WMM AC 的映射：

DSCP 值范围	WMM AC
48-63	AC_VO（语音）
32-47	AC_VI（视频）
0-7, 24-31	AC_BE（最佳努力）
8-23	AC_BK（后台）

默认的DSCP映射可以针对隧道和桥接的SSID进行修改。单个DSCP值可以重新分配到另一个WMM AC优先级，以满足个别业务需求。当将一个或多个DSCP值重新分配到非默认的WMM AC时，所有未被特别重新分配的值将保持其默认映射。

下表显示了在有线交换机配置中常用的常见DSCP类别名称到WMM AC的默认映射。以下一般类别包括类别选择器（CS）、保证转发（AF）和快速转发（EF），其中数值用于区分同一类别内的处理方式。

类名	DSCP 值	WMM AC
CS7	56	AC_VO（语音）
CS6	48	AC_VO（语音）
EF	46	AC_VI（视频）
CS5	40	AC_VI（视频）
AF43	38	AC_VI（视频）
AF42	36	AC_VI（视频）
AF41	34	AC_VI（视频）
CS4	32	AC_VI（视频）
AF33	30	AC_BE（最佳努力）
AF32	28	AC_BE（最佳努力）
AF31	26	AC_BE（最佳努力）
CS3	24	AC_BE（最佳努力）
CS0	0	AC_BE（最佳努力）

SIP 和其他语音应用通常在端点或第三方网络基础设施标记时使用 DSCP 46 (EF)。UCC 功能也会动态为语音流分配 DSCP 值 46。在 HPE Aruba 网络接入点（AP）上，DSCP 46 默认映射到 WMM 视频访问类别（AC）。因此，建议对任何需要 QoS 的 SSID，手动将 DSCP 46 重新分配到 WMM 语音访问类别（AC）。该值通过 SSID 的 WiFi 多媒体 高级设置进行分配。

DSCP 优先级的分配采用以下方法：

• 网关和接入点可以使用统一通信与协作（UCC）功能集动态标记流量的DSCP值。此方法会自动优化无线传输，特别是在最可能发生拥塞的空中Wi-Fi传输中。许多终端设备不会对敏感流量进行标记，因此UCC成为改善常用语音和视频协作工具质量的宝贵工具。
• 端点在发起流量时可以用DSCP值标记流量。这种方法实现了有线和无线流量的一致端到端QoS。通常需要管理员配置，主要在具有集中管理工具的企业资产上实现。
• 网关和接入点可以使用基于角色的防火墙策略为流量标记DSCP值。这为网络管理员提供了根据流量特性优先处理无线流量的灵活性，有助于对UCC未识别的敏感应用流量进行优先级管理。
• 第三方网络基础设施可以根据策略和应用程序分析对流量进行重新标记。

使用防火墙策略进行 DSCP 分配应专注于优先处理通过空中无线传输的、以默认 DSCP 值 0 接收的有线流量。HPE Aruba 网络网关和接入点（AP）不能将 DSCP 或 CoS 值用作防火墙策略中的匹配条件。

当端点分配非默认的 DSCP 值时，管理员应修改 DSCP 与 WMM AC 的映射，以将流量分配到所需的 WMM AC。

UCC 优先级排序

当Wi-Fi资源优化是主要目标且不需要实施完整的端到端QoS策略时，UCC功能可以自动识别受WMM优先级影响的流量并分配DSCP值。UCC提供了一种有用的方法，用于优化常见语音和视频应用的空中传输。这种优化适用于隧道流量和桥接流量。

下表列出了UCC优先级应用及其默认的DSCP重新分配：

协议	语音 DSCP 分配	视频 DSCP 分配
SIP	46	34
Skype for Business	46	34
团队	46	34
Wi-Fi 通话	46	-
缩放	46	-

SIP TLS 流量未通过 DPI 检测，且无法使用 UCC 动态优先级划分。在这种情况下，端点可以指定一个 DSCP 值，或者 WLAN 管理员可以修改基于角色的防火墙策略，将流量关联到相应的 WMM AC。

UCC 语音和视频的 DSCP 分配可以从其默认值进行修改，但最佳实践是将 DSCP 修改为 WMM AC 分配，以改变 WMM AC 的传输选择。

UCC 已在全球范围内启用，并适用于具有以下先决条件的 HPE Aruba Networking Central 账户中的所有组和站点：

• HPE Aruba 网络接入点的高级许可证。
• 对于每个使用UCC的中央组，深度包检测配置必须在访问点 > 服务下的AppRF标签中设置为应用程序。
• AOS 固件版本 10.5.0.0 或更高。

端到端QoS

当无线和有线主机之间需要端到端的流量优先级时，有线网络基础设施也必须配置以支持QoS。

HPE Aruba 网络交换机使用 QoS 策略对出站流量进行优先级排序，当端口出现拥塞并必须将流量排队以延迟传输时。交换机将指定的流量放入优先级较高的队列中，这些队列在使用加权轮询调度方法时优先获得链路访问权限，从而在较低优先级队列之前传输。这为在拥塞期间对敏感流量提供了可预测的行为，同时一些较低优先级的流量可能会被丢弃。

网络中的每个有线交换机都必须配置一致的QoS策略，以指定流量排队行为。QoS策略的处理取决于入口交换机端口的DSCP或CoS信任配置；因此，分配给离开WLAN的流量的DSCP或CoS值对于建立端到端的QoS至关重要。

HPE Aruba 网络交换机端口默认不信任 QoS 标记。交换机端口可以信任 DSCP 或 CoS 进行优先级划分，但不能同时信任两者。连接到网关、接入点和主机的端口必须配置为信任首选的标记策略。交换机之间的链路也需要进行 QoS 信任配置。

大多数有线网络的运行容量低于最大负载，几乎没有拥塞。当端口经常出现拥塞时，通常通过增加链路容量来缓解对QoS的需求，但由于硬件或预算限制，这可能并不可行。

DSCP 相关考虑

DSCP 是端到端 QoS 优先级标记流量的推荐方法。该值被放置在 IP 头中，使得 DSCP 在桥接和路由链路上保持持久，并在 WLAN 和有线基础设施之间保持一致，从而实现跨有线和无线网络的统一 QoS 策略。HPE Aruba 网络接入点（AP）也使用 DSCP 来进行 WMM AC 分配。

当网关或接入点接收到针对隧道SSID的流量时，DSCP值会被复制到GRE隧道的外部IP头部，从而实现对校园有线网络中同一应用的隧道流量和原生流量的QoS一致性处理。

除了针对特定应用流量的DSCP值映射到所需的WMM AC优先级的可选调整外，WLAN中无需其他额外配置。

CoS 相关考虑

当有线校园交换机不支持DSCP时，可能需要进行CoS流量优先级设置。CoS流量优先级设置较为复杂，且GRE隧道流量只能部分实现优先级。如果可用，建议以DSCP标记作为QoS优先级的基础。

在 AOS 10 中，CoS 值与 WMM AC 无关。无论有线网络中到达的以太网帧中分配的 CoS 802.1p 值如何，AP 都会使用与 IP 头中的 DSCP 值相关联的 WMM AC 转发无线流量。默认的 DSCP 值 0 使用最佳努力的 WMM AC 进行传输。

当有线网络使用CoS优先级标记时，通过基于角色的防火墙策略手动为应用流量分配CoS和DSCP值，桥接的SSID可以实现端到端的QoS。需要分配DSCP以关联AP上的正确WMM访问类别（AC）。CoS分配会添加到桥接到AP有线上行链路上的带标签VLAN的无线流量中。当将无线流量桥接到未标签化的本地VLAN时，不支持CoS标记。

在使用隧道SSID时，CoS和DSCP值的分配方式与桥接SSID类似。AP使用DSCP值来以正确的WMM AC传输应用流量。CoS优先级则分配给由网关转发到有线网络的去封装流量。

GRE隧道流量通常在网关和AP之间通过未标记VLAN传输，这些VLAN不包含用于标记CoS优先级的必需的802.1Q头。由网关向AP发送的隧道流量可以通过将网关的管理接口配置为带标签的VLAN来优化。当以这种方式配置时，网关会将其从带标签有线流量中接收到的CoS优先级值复制到发送到AP的GRE隧道流量的外部802.1Q头中。在防火墙策略中分配的CoS优先级不会改变此行为。AP始终在本地VLAN上向网关发送隧道流量，而本地VLAN无法标记CoS优先级。

WLAN 弹性

HPE Aruba Networking 提供多种组件，便于设计高可用、容错的网络。本节提供关于增强容错能力的软件功能的一般指南，以及在升级时对服务影响最小的建议。

认证状态/密钥同步

认证密钥由中央的密钥管理服务（KMS）在各个接入点（AP）之间同步。这允许客户端在不同AP之间漫游时，无需重新认证或重新加密流量。密钥同步减轻了RADIUS服务器的负载，并加快了漫游过程，确保无缝体验。密钥同步与管理由AP和中央自动处理；无需额外的用户配置。

防火墙状态同步

当使用集群时，来自客户端的流量可以在主网关和备用网关之间同步。这允许客户端在主网关和备用网关之间无缝切换。系统在AP之间同步加密密钥，因此当客户端切换到其备用网关时，无需重新认证或重新加密其加密流量。对于客户端而言，在网关或AP之间的切换是透明的。

这是高可用性设计和实时升级功能的关键组成部分。当使用桥接SSID时，防火墙状态会在每次漫游事件中同步，因此客户端可以实现无缝漫游，且不会中断流量。

集群设计故障域

当网关发生故障时，剩余仅连接到单个网关的客户端将被重新均衡到集群中。完成此操作所需的时间取决于网络中客户端的数量。如果在重新均衡完成之前第二个网关发生故障，客户端将被解除关联并重新连接到可用的网关。只要其他网关未达到容量限制，客户端就可以重新建立连接。

为减轻多网关故障，减少共同的故障点。为了限制域故障的风险，使用不同的线路卡或交换机、跨越线路卡或交换机的多个上行链路、端口配置验证以及多个网关。

校园无线网络概述

校园无线网络为员工、访客和物联网设备提供网络接入。无论其位置如何，无线设备在连接其服务时都具有相同的体验。

HPE Aruba Networking 无线解决方案的优势包括：

• 为员工、访客和物联网设备提供无缝的网络接入。
• 无线接入点的即插即用部署。
• 解决高密度部署连接问题的Wi-Fi 6增强功能，并提升网络性能。
• 实时升级以执行操作系统更新，几乎不影响服务。