规划 Aruba AOS 6 到 AOS 10 的迁移
本节重点介绍网络架构或运营团队在规划从 AOS 6 迁移到 AOS 10 时的关键注意事项。
为了准确规划迁移步骤,重要的是根据以下提供的指南审查网络的每一层。
此处提供的信息并非详尽无遗的参考资料。它作为规划实际项目的起点。应当涉及经验丰富的网络专业人员。请联系 Aruba 或 Aruba 渠道合作伙伴以获取进一步协助。
目录
AOS 6 园区网络架构检查
Aruba OS 6 平台为客户提供了丰富的拓扑和配置选项。部署可以简单到在同一VLAN和子网中安装独立的控制器(Conductor)、接入点(AP)和数据流。也可以包括完全冗余的 Conductor-成员(Conductor-Member)拓扑,控制器或网络中的其他位置运行 NAT 和 DHCP 服务。
AOS 6 园区局域网设计
下图所示的折叠核心拓扑代表了一种常见的 AOS 6 园区部署方式。它包含由冗余链路连接的二层和三层交换机,作为支持 Conductor-成员 部署的底层网络。外部 DHCP、DNS、监控和认证服务器由单一的“本地服务器”图标表示。
AOS 6 园区数据路径
在基于 AOS 6 控制器的部署中,Wi-Fi 客户端流量在接入点(AP)与控制器之间封装在 GRE 隧道中。当端点的流量通过其无线接口到达接入点时,会被封装并通过有线局域网转发到移动控制器。控制器随后检查流量,分配用户角色,标记后,将其转发到本地接口的汇聚用户VLAN。下图说明了此过程。
访客网络在接入点与互联网之间传输不受信任的流量,经过控制器。语音网络传输来自笔记本电脑软客户端的优先流量到控制器。企业网络在企业资产(如笔记本电脑和打印机)之间传输受信任的企业流量。GRE 隧道在接入点(AP)与控制器之间传输客户端数据流量。这种叠加层能力还可以用于实现 IP 移动性(L3漫游)以及在本地移动控制器与 DMZ 中的访客锚点移动控制器之间传输访客流量。
网络组件之间使用两种管理协议:
- PAPI
- 处理应用程序编程接口用于通过 UDP 端口 8211 在 AP 和控制器之间进行 ARM、WIDS 和配置下载。
- AMON
- 高级监控包含详细的监控和诊断信息,例如频谱、射频统计和信道利用率。它除了传统的AirWave SNMP轮询之外,还由Mobility Controller发送到AirWave。
AOS 6 有线局域网通用最佳实践
审查AOS 6的最佳实践可以帮助架构师或交付工程师更好地理解AOS 6网络上的现有配置和部署的服务。
应在有线局域网启用巨帧支持,以支持完全封装的无线流量。这也是AOS 10的最佳实践。尽量避免数据包碎片化。
仅支持隧道模式WLAN的AP连接到具有该WLAN管理VLAN的本机VLAN设置的接入模式交换机端口。如果AP被部署为桥接模式,这些交换机端口可能会被配置为多VLAN的中继,用于AP管理和用户接入。在某些情况下,AP端口被配置为中继,以便检测非法AP和有线端口。
AOS 10隧道模式架构回顾
当客户制定从AOS 6园区模式迁移到AOS 10隧道模式的计划时,了解差异非常重要,以确定在迁移前是否需要对支持架构进行任何更改。
园区管理与监控
对于许多客户来说,从AOS 6迁移到10最明显的变化是管理平面。AOS 6的部署通常需要允许SNMP和AMON与AirWave服务器进行配置管理和监控,而大多数AOS 10的部署只需要在Aruba Central与每个受管理设备的管理接口之间的TCP端口443上传输流量。
配置为拒绝来自管理局域网内设备访问Internet的AOS 6园区,需更新安全策略以允许与Central的连接。如果园区AP目前无法访问Internet,则在迁移到AOS 10之前需要访问Central。
有关详细信息,请参阅Aruba Central用户指南的Opening Firewall Ports for Device Communication部分。
SSID 模式考虑
在AOS 10部署中,SSID可以配置为三种不同的转发模式:
- 隧道模式
- 桥接模式
- 混合模式.
当客户端被隧道到隧道模式或混合模式下的网关时,必须防止AP通过有线接口学习客户端设备的无线MAC地址。在为无线数据流量重用现有园区VLAN时,这需要仔细考虑.
隧道模式SSID
在仅使用隧道模式SSID的部署中,将AP交换机端口配置为接入模式,并使用作为园区管理VLAN的VLAN ID。此VLAN不得用于无线隧道客户端数据流量。当客户端流量在控制器上切换到用户数据VLAN时,确保其与用于AP管理的VLAN不同.
隧道与桥接或混合模式SSID
使用桥接模式或混合模式时,有必要将AP交换机端口配置为中继模式,并在这些交换机端口上分发桥接无线流量的数据VLAN。用于隧道无线流量的数据VLAN必须在为桥接模式或混合模式SSID服务的AP端口上进行剪裁。桥接和隧道客户端不能共享同一VLAN.
一些AOS 6部署已将隧道SSID的数据VLAN扩展到AP交换机端口。作为AOS 10为隧道模式SSID做准备的一部分,从AP交换机端口中剪裁这些VLAN.
下面的决策图显示了解决上述VLAN需求的一种方法:
特性、功能与服务考虑因素
以下表格作为参考,列出AOS 6与AOS 10之间的重要特性、需求和功能差异。
认证、授权与会计
为了确保在迁移到AOS 10后,802.1X WLAN客户端认证能够持续不中断,可能需要在所有RADIUS服务器上的NAD/RADIUS客户端IP列表中进行更新。当使用内部认证服务器或EAP卸载时,准备好在迁移到AOS 10时进行相应的更改。
| 服务/特性 | AOS 6园区模式 | AOS 10 |
|---|---|---|
| NAD IP / RADIUS 认证器 | ClearPass 访问追踪器中的 RADIUS 请求显示移动控制器为源 IP。 | 混合模式:源 IP 为网关的管理地址。 桥接模式:源 IP 为单个接入点的管理地址。 |
| 内部认证服务器 | 作为内部数据库在移动控制器上提供,可用于小规模或测试部署。 | 不支持本地用户认证服务。 |
| AAA FastConnect (EAP-Offload) | 可以为移动控制器启用,使其作为认证服务器,而不是在客户端和 RADIUS 服务器之间充当中继。 | 不支持 |
移动控制器/网关配置
无论是升级现有的 AOS 6 移动控制器还是部署新的 AOS 10 网关,都需要了解在迁移后,控制器的一些功能和特性将迁移到 Central 或 AP。理解这一变化对于迁移规划和迁移后网络的支持都非常有帮助。
| 服务/特性 | AOS 6 园区模式 | AOS 10 |
|---|---|---|
| 高可用性 (HA) | LMS/备份 LMS、主动-主动,以及 AP 快速故障转移 | 可用的模式包括自动组、自动站点和手动。 |
| 无线电发射功率、信道宽度和 DFS 信道 | ARM 配置文件、Dot11a/g 无线电配置文件和监管域配置文件 | 所有无线电发射、信道宽度和 DFS 信道的决策由 AirMatch 处理,并由 Aruba Central 管理。 |
| ClientMatch 频段引导、粘滞和负载均衡 | 可在 ARM 配置文件中配置 | 归属于 Aruba Central WLAN 控制与服务。设置无法调整。 |
| 导体控制器 | 用于在导体-成员部署中配置其成员控制器 | 所有网关配置均在 Aruba Central 中完成。 |
| AP Override | 支持情况 | AP Override 已被设备级覆盖取代,允许对托管的网关和交换机进行类似的配置。 |
接入点
类似于控制器或网关的服务迁移,了解以下 AP 功能对于“第一天”支持迁移后的网络非常有帮助。
| 服务/功能 | AOS 6 园区模式 | AOS 10 |
|---|---|---|
| AP 流量通过线路 | 仅指 AP 与控制器之间的通信。有关具体端口,请参见上文的“防火墙端口配置”部分。 | 隧道模式的 AP 需要通过 HTTPS(TCP 443)与 Aruba Central 通信,以及 AP 之间的东西向流量。 |
| 动态 AP 发现/ADP | AP-控制器 发现顺序: 1. DHCP 选项 43 和 60 2. AP 多播 ADP 数据包到组 239.0.82.11 3. AP 向 L2/L3 接收者广播 ADP 数据包 4. AP 发送 DNS 查询以获取 Aruba-master | 1. 通过 TCP 443 联系 Central 进行配置 如果 AP 不在客户的 Aruba Central 数据库中,尚未运行 AOS 10,且未获得许可,则将遵循前一列中列出的 AOS 6 发现方法。 |
| 园区 AP 管理 VLAN | 无 VLAN 或子网限制 | 如果通过隧道模式基础设施为 Wi-Fi 客户端分配了 VLAN,则该 VLAN 不能存在于隧道模式 AP 的干线上行链路上。(例如:如果 SSID “CorpWiFi” 将用户放置在 VLAN 10 上,则 VLAN 10 不应作为原生或标记 VLAN 允许在连接到 AP 的交换机端口上,以防止 AP 学习到 “CorpWiFi” 客户端的 MAC 地址)。这是设计所致。 |
| VLAN 1 | 无 VLAN 或子网限制 | 默认情况下,不应将 VLAN 1 用于隧道 SSID 客户端。 无线接入点上行链路 VLAN 默认为 VLAN 1。目前,无法进行更新。 |
| 加密和解密 802.11 框架 | 在隧道 SSID 模式下在控制器上发生。 不常用,但也在解密隧道或桥接 SSID 模式下在接入点上执行。 | 无论是隧道、桥接还是混合模式 SSID,始终在接入点上执行。 |
| AP IP 地址配置 | 可以是静态的,也可以是 DHCP | 需要 DHCP 以便 AP 能够动态联系 Aruba Activate 和 Central。 |
AOS 6 园区到 AOS 10 桥接模式
大多数 AOS 6 客户迁移到 AOS 10 网关集群拓扑,以保持相同的流量流。其他客户可能会从迁移到桥接模式设计中受益。
当从控制器模式迁移到桥接模式时,无需将流量隧道传输到集中式网关集群。虽然桥接模式基础设施不要求 Jumbo Frame 支持,但最佳实践是在 AP 和网关之间的交换机上保持启用。
与 IAP 类似,桥接模式下的 AP 管理 IP 地址必须是 Layer 2 邻接的。无线用户 VLAN 也必须是 Layer 2 邻接的,以提供单一的漫游域。
认证要求
在 AOS 10 桥接模式部署中,认证请求的源 IP 始终是客户端关联的 AP。
所有 RADIUS 请求都来自接入点。RADIUS 服务器必须将 AP 管理子网或单个 AP IP 地址配置为 RADIUS 客户端或 NAD,因为在 AOS 10 中,IAP VC 已被弃用,以实现比当前每集群 128 个 AP 的建议限制多四倍的扩展能力。没有 VC,动态无线电代理(DRP)在 AOS 10 桥接模式中不再是选项。
AOS 6 隧道与 AOS 10 桥接模式数据路径
从 AOS 6 迁移到 AOS 10 时,最显著的变化之一是管理平面。AOS 10 是由 Aruba Central 管理的云原生操作系统。AOS 10 部署不使用 Aruba AirWave。
下图说明了从 AOS 6 园区到 AOS 10 桥接模式迁移时,数据路径的关键考虑因素。AirWave 服务器已被移除,因此不再使用 AMON 和 SNMP 进行 Mobility Controller 和 AirWave 之间的通信。
由于桥接模式部署不需要网关,客户端流量不再被封装并发送到 AOS 6 控制器。在 AOS 10 中,客户端流量在每个 AP 处本地切换到数据 VLAN。虽然不再需要 AP 和控制器之间的 GRE 和 PAPI 流量,但 AP 之间仍使用 PAPI。
AP 和 Aruba Central 之间需要端口 443/tcp(HTTPS)。必须允许 AP 之间的广播和安全 PAPI。使用 QoS 策略在密集的桥接模式部署中优先处理 AP 管理流量。
桥接模式扩展
- 当前支持的最大子网大小为 /20,用于 AP 管理。
- 无线用户 VLAN 应使用不大于 /20 的子网。如果 VLAN 需要支持更多的主机数,则部署网关集群和隧道模式 SSID。
- 桥接模式支持的当前最大值为 500 台接入点和 5000 个用户。
上述的扩展值是在文档发布时经过最大测试和支持的值。它们不是硬性限制,可能会增加。
混合模式
混合模式 SSID 允许接入点将流量隧道传输到网关集群或在本地桥接。为了支持此功能,网络必须满足与仅配置桥接模式时相同的交换、扩展和数据路径要求。以下列出一些关键要求:
- 隧道模式 SSID 数据 VLAN 必须仅在网关集群中配置。
- 隧道模式 SSID 数据 VLAN 必须在接入点交换机端口进行裁剪。
- 桥接模式 SSID 数据 VLAN 必须在接入点交换机端口允许。
- 接入点(AP)交换机端口必须配置为中继端口。
- 最佳实践是在 AP 交换机端口将 AP 管理 VLAN 配置为本地(未标记)。
- 使用 802.1X 时:
- 隧道模式和混合模式 SSID 需要将网关注册为 RADIUS 客户端(NAD)。
- 桥接模式的 SSID 需要将所有接入点注册为 RADIUS 客户端(NAD)。