规划 Aruba AOS 8 到 AOS 10 的迁移
本节重点介绍网络架构或运营团队在规划从 AOS 8 迁移到 AOS 10 时的关键考虑因素。
根据下方提供的指南,检查网络的每一层,以准确规划迁移步骤。
此处提供的信息并非详尽无遗的参考资料。它作为规划实际项目的起点。应当涉及有经验的网络专业人员。请联系 Aruba 或 Aruba 渠道合作伙伴获取进一步协助。
目录
AOS 8 园区网络架构评审
2016年推出时,ArubaOS 8平台提供了诸如AirMatch、2层冗余控制器集群(无缝故障转移)、移动控制器层级等新服务。它为客户提供了更全面的RF管理、高可用性和配置管理方案。为协助规划成功的升级,以下简要回顾了AOS 8的关键术语、拓扑结构和常用配置。
AOS 8 园区局域网设计
下图所示的扁平核心拓扑代表了一种常见的AOS 8园区部署方式。它包含由冗余链路连接的2层和3层交换机,作为底层支持移动控制器层级部署。外部DHCP、DNS、监控和认证服务器由单一的“本地服务器”图标表示。
AOS 8 园区数据路径
在基于AOS 8控制器的部署中,Wi-Fi客户端流量在AP与控制器之间封装在GRE隧道中。当端点的流量通过其无线接口到达AP时,会被封装并通过有线局域网转发到移动控制器。控制器随后检查流量,分配用户角色、标记,并将其转发到本地接口的汇聚用户VLAN。下图说明了此过程。
访客网络在访客手机与互联网之间传输不受信任的流量,经过控制器。语音网络传输来自笔记本电脑软客户端的优先流量到控制器。企业网络在企业资产(如笔记本电脑和打印机)之间传输受信任的企业流量。GRE隧道在接入点(AP)与控制器之间传输客户端数据流量。IPsec保护移动控制器与控制器之间交换的所有控制面流量。
网络组件之间使用两种管理协议:
- PAPI
- 处理应用程序编程接口用于 ARM、WIDS 以及通过 UDP 端口 8211 在接入点与控制器之间进行配置下载。
- 请注意,Mobility Conductor 与 Mobility Controller 之间的 PAPI 被封装在 IPsec 中,以上示意图未反映此点。
- AMON
- 高级监控包含详细的监控和诊断信息,例如频谱、射频统计和信道利用率。它除了通过传统的 AirWave SNMP 轮询方式从 Mobility Controller 发送外,还会发送到 AirWave。
- 类似于上文中的 PAPI,AMON 流量在 Mobility Conductor 和 AirWave 之间存在;然而,这在上图中未反映出来。
AOS 8 有线局域网通用最佳实践
检查 AOS 8 的最佳实践可以帮助架构师或交付工程师更好地理解 AOS 8 网络上的现有配置和已部署的服务。
应在有线局域网中启用 Jumbo 帧支持,以支持完全封装的无线流量。这也是 AOS 10 的最佳实践。尽量避免数据包碎片化。
仅支持隧道模式 WLAN 的接入点连接到接入模式交换机端口,原生 VLAN 设置为 WLAN 管理 VLAN。如果接入点部署为桥接模式,这些交换机端口可能会被配置为多 VLAN 的中继,用于接入点管理和用户访问。在某些情况下,端口被配置为中继,以便检测非法接入点和有线端口。
AOS 10 隧道模式架构回顾
规划成功迁移到 AOS 10 隧道模式的首要考虑因素是流量流向。
数据路径比较
虽然在 AOS 10 隧道模式和 AOS 8 场景模式中,Wi-Fi 客户端流量的处理方式类似,但有几个重要变化需要提前规划,具体请参见下方的对比图。
为了保持图示尽可能简洁,同时有效展示最重要的元素,两种部署都包括单一设备。在实际部署中,将会配置冗余以利用 Aruba 的无缝故障转移功能。上图中的编号标记如下所述。
- 企业笔记本和访客手机的 Wi-Fi 客户端流量在两个平台上都使用 GRE 进行封装。AOS 10 的部署可以在 Central 中配置为使用 GRE 和 IPsec 封装流量。
- 由于在 AOS 10 中不可用,AOS 8 的 Mobility Conductor 和 AirWave 设备已停止使用。
- AOS 10 硬件需要 Aruba Central 进行管理和监控。
- 发送到移动控制器和 AirWave AOS 8 的 IPsec、AMON 和 SNMP 流量将被 Aruba 网关和接入点发送的 HTTPS 流量取代。
- 在 AOS 8 中用于配置下载、ARM 控制和 WIDS 的 PAPI,将在 AOS 10 中改为用于应用之间的通信,以实现如集群形成等功能。关于 PAPI 在 AOS 10 中的工作方式的详细信息,请参阅本页顶部“相关内容”部分的“网关集群”链接。
园区管理与监控
上述最明显的变化之一是管理平面。AOS 8 部署通常需要允许 SNMP、AMON 和 IPsec 在某些 Aruba 设备之间通信。
在管理和监控方面,大多数 AOS 10 部署只需要 Aruba Central 与每个受管理设备的管理接口之间通过 TCP 端口 443 进行流量通信。
配置为拒绝来自管理局域网内设备的互联网访问的 AOS 8 园区,必须更新安全策略以允许与 Central 的连接。如果园区接入点无法连接互联网以访问 Central,则在迁移到 AOS 10 之前必须提供访问权限。有关完整细节,请参阅 Aruba Central 用户指南的 Opening Firewall Ports for Device Communication 部分。
SSID 模式考虑因素
在 AOS 10 部署中,一个 SSID 可以配置为三种不同的转发模式:
- 隧道模式
- 桥接模式
- 混合模式.
当客户端被隧道到隧道模式或混合模式的网关时,必须防止AP通过有线接口学习客户端设备的无线MAC地址。这在为无线数据流量重用现有园区VLAN时需要谨慎考虑.
隧道模式SSID
在仅使用隧道模式SSID的部署中,将AP交换端口配置为接入模式,并使用作为园区管理VLAN的VLAN ID。该VLAN不得用于无线隧道客户端数据流量。当客户端流量在控制器上切换到用户数据VLAN时,确保其与用于AP管理的VLAN不同.
隧道与桥接或混合模式SSID
使用桥接模式或混合模式时,有必要将AP交换端口配置为中继模式,并在这些交换端口上分发桥接无线流量的数据VLAN。用于隧道无线流量的数据VLAN必须在为桥接模式或混合模式SSID提供服务的AP的交换端口上进行剪裁。桥接和隧道客户端不能共享同一VLAN.
一些AOS 8部署将隧道SSID的数据VLAN扩展到AP交换端口。将这些VLAN从AP交换端口剪裁,以为AOS 10的隧道模式SSID做准备.
下面的决策图显示了解决上述VLAN需求的一种方法:
特性、功能与服务考虑因素
以下表格作为重要特性、需求和AOS 8与AOS 10之间功能差异的便捷参考。
认证、授权与会计
为了确保在迁移到AOS 10后,802.1X WLAN客户端认证不间断,可能需要在所有RADIUS服务器上的NAD/RADIUS客户端IP列表中进行更新。当使用内部认证服务器或EAP卸载时,准备好在迁移到AOS 10时进行相应的调整。
| 服务/特性 | AOS 8园区模式 | AOS 10 |
|---|---|---|
| NAD IP / RADIUS 认证器 | ClearPass 访问追踪器中的 RADIUS 请求显示移动控制器为源 IP。 | 混合模式:源 IP 为网关的管理地址。 桥接模式:源 IP 为单个接入点的管理地址。 |
| 内部认证服务器 | 作为内部数据库在移动控制器上提供,可用于小规模或测试部署。 | 不支持本地用户认证服务。 |
| AAA FastConnect (EAP-Offload) | 可以为移动控制器启用,使其作为认证服务器,而不是在客户端和 RADIUS 服务器之间充当中继。 | 不支持 |
迁移控制器/网关配置
__是否升级现有的 AOS 8 频段控制器或部署新的 AOS 10 网关,理解部分控制器的功能和特性在迁移后将迁移到 Central 或接入点(AP)上非常重要。理解这一变化有助于迁移规划以及迁移网络的升级后支持。
| 服务/特性 | AOS 8 园区模式 | AOS 10 |
|---|---|---|
| 高可用性 (HA) | L2 和 L3 集群,LMS/备份 LMS | 可用模式包括自动组、自动站点和手动。 |
| 无线电发射功率、信道宽度和 DFS 信道 | ARM 配置文件、Dot11a/g 无线电配置文件和监管域配置文件 | 所有无线电发射、信道宽度和 DFS 信道的决策由 AirMatch 处理,并由 Aruba Central 管理。 |
| ClientMatch 频段引导、粘滞和负载均衡 | 可在 ARM 配置文件中配置 | 作为 Aruba Central WLAN 控制与服务的一部分。设置无法调整。 |
| 移动导体 | 用于在导体-成员部署中配置其成员控制器 | 所有网关配置均在 Aruba Central 中完成。 |
| AP Override | 不支持 | 虽然在 AOS 6 中支持,但在 AOS 8 中已被设备级覆盖取代,该功能允许对托管的网关和交换机进行类似的配置。 |
接入点
类似于控制器或网关相关服务的迁移,了解以下 AP 功能的变化对于“第一天”支持迁移后的网络非常有帮助。
| 服务/功能 | AOS 8 园区模式 | AOS 10 |
|---|---|---|
| AP 流量通过线路 | 仅限 AP 与控制器之间的通信。有关具体端口,请参见上文的“防火墙端口配置”部分。 | 隧道模式的 AP 需要通过 HTTPS(TCP 443)与 Aruba Central 通信,以及 AP 之间的东西向流量。 |
| 动态 AP 发现/ADP | AP-控制器 发现顺序: 1. DHCP 选项 43 和 60 2. AP 多播 ADP 数据包到组 239.0.82.11 3. AP 向 L2/L3 接收者广播 ADP 数据包 4. AP 发送 DNS 查询以获取 Aruba-master | 1. 通过 TCP 443 与 Central 联系以进行配置 如果 AP 不存在于客户的 Aruba Central 数据库中,尚未运行 AOS 10,且未获得授权,则将遵循前一列中列出的 AOS 8 发现方法。 |
| 园区 AP 管理 VLAN | 无 VLAN 或子网限制 | 如果通过隧道模式基础设施为 Wi-Fi 客户端分配了 VLAN,则该 VLAN 不能存在于隧道模式 AP 的干线上行链路上。(例如:如果 SSID “CorpWiFi” 将用户放置在 VLAN 10 上,则 VLAN 10 不应作为原生或标记 VLAN 允许在连接到 AP 的交换机端口上,以防止 AP 学习到 “CorpWiFi” 客户端的 MAC 地址)。这是设计所致。 |
| VLAN 1 | 无 VLAN 或子网限制 | 默认情况下,不应将 VLAN 1 用于隧道 SSID 客户端。 无线接入点上行链路 VLAN 默认为 VLAN 1。目前,无法进行更新。 |
| 加密和解密 802.11 帧 | 在隧道 SSID 模式下在控制器上发生。 不常用,但在解密隧道或桥接 SSID 模式下也会对接入点执行。 | 无论是隧道、桥接还是混合模式 SSID,总是在接入点上执行。 |
| AP IP 地址配置 | 可以是静态的,也可以是 DHCP | 需要 DHCP 以便 AP 能够动态联系 Aruba Activate 和 Central。 |
AOS 8 园区到 AOS 10 桥接模式
大多数 AOS 8 园区模式的客户迁移到 AOS 10 隧道模式拓扑,以保持相同的流量流动。其他客户则通过迁移到桥接模式设计获益。
当从控制器模式迁移到桥接模式时,无需将流量隧道传输到集中式网关集群。虽然桥接模式基础设施不要求 Jumbo 帧支持,但最佳实践是在交换机(AP 和网关之间)保持启用。
类似于 IAP,桥接模式 AP 管理 IP 地址必须是 Layer 2 邻接。无线用户 VLAN 也必须是 Layer 2 邻接,以提供单一漫游域。
认证要求
在 AOS 10 桥接模式部署中,认证请求的源 IP 始终是客户端关联的 AP。所有 RADIUS 请求都由接入点发起。RADIUS 服务器必须将 AP 管理子网或单个 AP IP 地址配置为 RADIUS 客户端或 NAD。AOS 10 中已弃用 IAP VC,以实现比当前每集群建议限制 128 个 AP 更高的扩展能力。没有 VC 时,AOS 10 桥接模式中不再支持动态无线电代理(DRP)。
AOS 8 隧道与 AOS 10 桥接模式数据路径
类似于 AOS 8 园区到 AOS 10 隧道模式迁移,管理平面是最显著的区别。AOS 10 是由 Aruba Central 管理的云原生操作系统。
下图说明了从 AOS 8 园区迁移到 AOS 10 桥接模式时,数据路径的关键考虑因素。AirWave 服务器已被移除,这意味着不再使用 Mobility Controller 和 AirWave 之间的 AMON 和 SNMP。
由于桥接模式部署不需要网关,客户端流量不再被封装并发送到 AOS 8 控制器。客户端流量现在在每个 AOS 10 AP 处本地切换到数据 VLAN。虽然 AP 之间不再需要 GRE 和 PAPI 流量,但 AP 之间仍使用 PAPI。
AP 和 Aruba Central 之间需要端口 443/TCP(HTTPS)。必须允许 AP 之间的广播和安全 PAPI。使用 QoS 策略在密集的桥接模式部署中优先处理 AP 管理流量。
桥接模式扩展性
- 对于 AP 管理,目前支持的最大子网大小为 /20。
- 无线用户 VLAN 应使用不大于 /20 的子网。如果需要在 VLAN 中支持更多的主机数,请部署网关集群和隧道模式 SSID。
- 当前支持的桥接模式最大值为 500 台接入点和 5000 个用户。
上述的扩展值是在文档发布时测试和支持的最大值。它们不是硬性限制,可能会增加。
混合模式
混合模式 SSID 允许接入点将流量隧道传输到网关集群或在本地桥接。为了支持此功能,网络必须满足与仅配置桥接模式时相同的交换、扩展和数据路径要求。主要要求包括:
- 隧道模式 SSID 数据 VLAN 必须仅在网关集群中配置。
- 隧道模式 SSID 数据 VLAN 必须在接入点交换机端口进行裁剪。
- 桥接模式 SSID 数据 VLAN 必须在接入点交换机端口允许。
- 接入点(AP)交换机端口必须配置为中继端口。
- 最佳实践是在 AP 交换机端口上将 AP 管理 VLAN 配置为本地(未标记)。
- 使用 802.1X 时:
- 隧道模式和混合模式 SSID 需要将网关注册为 RADIUS 客户端(NAD)。
- 桥接模式的 SSID 需要将所有接入点注册为 RADIUS 客户端(NAD)。