H3C WLAN产品本地转发特性简介1 技术实现1.1 本地转发实现方式1)用户的管理和控制帧,如802.11管理、控制报文和802.1x协议报文等,通过CAPWAP隧道传递给AC集中处理,以实现用户的认证、授权等。 2)用户的数据帧,包括802.11数据和来自有线的802.3数据报文,在AP本地进行解析、封装等处理,并直接由AP进行转发,实现数据的高速处理。同时,用户流量信息将通过CAPWAP隧道以管理帧的方式通报给AC,以实现计费、负载均衡等应用。 图1 集中转发和本地转发数据/控制流比较 本地转发模式和集中式转发模式下用户访问网络的工作流程比较 1)集中式转发模式 所有的源或目的为无线用户的报文,都将通过CAPWAP隧道送往AC,并由AC进行转发。例如, SSID“Marketing”工作在集中转发模式,STA1 和 STA2 通过CAPWAP隧道在AC上进行认证,并接入SSID “Marketing”。当Station 1发送数据到Station 2时,AP将数据帧通过CAPWAP隧道发送到AC,AC解析隧道和802.11报文得到目的地为STA2,再将报文封装成CAPWAP隧道报文,发送到AP,然后由AP转交给STA2。 2)本地转发模式下 无线用户的控制帧仍然通过CAPWAP隧道由AC进行处理,而源或目的为无线用户的数据帧则直接在AP本地进行转发。例如,SSID“Marketing”工作在本地转发模式,STA1 和 STA2 通过CAPWAP隧道在AC上进行认证,一旦用户认证成功,AC会将用户的授权信息到AP,数据被允许在AP本地进行转发。当Station 1发送数据到Station 2时,AP直接解析802.11报文,获得目的地STA2,然后将报文重新封装成802.11帧的发送给STA2。 1.2 本地转发配置方式本地转发模式并不能完全代替集中式转发,如果管理员需要更加复杂的用户访问控制规则或复杂QoS策略,可能希望本地转发和集中式混合使用。 H3C 本地转发技术提供了非常灵活的配置方式,以满足应用中的需求。比如, 1)基于SSID的本地转发 管理员可以配置从指定SSID接入的用户数据进行本地转发,其它用户数据进行集中式转发 2)基于VLAN的本地转发 管理员可以配置从指定VLAN下的用户数据进行本地转发,而其它用户数据进行集中式转发 3)基于VLAN & SSID的本地转发 管理员可以配置从指定SSID接入且属于指定VLAN的用户数据进行本地转发,其它用户数据进行集中式转发 1.3 本地转发支持的特性本地转发模式支持AC/Fit AP架构下的大部分特性,例如 1) WMM; 2) Security,包括802.11i、802.1x、Portal、EAD、Dynamic VLAN、ACL; 3) MAC Based VLAN; 4) User Isolation; 5) Layer 2 IGMP Snooping / MLD Snooping; 2 典型组网应用图2 典型组网应用 如图2所示,所有无线用户的认证点均在AC,其中分支机构员工通过802.1x认证接入到公司网络,他们获得Branch (VLAN5)的访问权限;从分支机构接入的顾客,则获得Guest (VLAN8)权限;总部的员工被分配Corp (VLAN3)的访问权限。 假设管理员希望分支机构的部员工访问网络的数据可以通过AP直接处理,不需要经AC转发。而顾客则需要通过CAPWAP隧道由AC进行处理,同样,总部用户的数据也要通过AC进行处理,以进行更多的安全规则控制。 为了满足上述应用,需要将分支机构的员工接入的SSID 和所属的VLAN 配置为本地转发: 1) 配置Radius Server; 2) 创建ESS,“Corp”、“Branch”、“Guest; 3) 分配“Corp”属于vlan 3,“Branch”属于vlan 5,“Guest”属于VLAN 8; 4) 将VLAN 5配置为本地转发模式 |
|