1)用户的管理和控制帧,如802.11管理、控制报文和802.1x协议报文等,通过CAPWAP隧道传递给AC集中处理,以实现用户的认证、授权等。
2)用户的数据帧,包括802.11数据和来自有线的802.3数据报文,在AP本地进行解析、封装等处理,并直接由AP进行转发,实现数据的高速处理。同时,用户流量信息将通过CAPWAP隧道以管理帧的方式通报给AC,以实现计费、负载均衡等应用。
图1 集中转发和本地转发数据/控制流比较
本地转发模式和集中式转发模式下用户访问网络的工作流程比较
1)集中式转发模式
所有的源或目的为无线用户的报文,都将通过CAPWAP隧道送往AC,并由AC进行转发。例如, SSID“Marketing”工作在集中转发模式,STA1 和 STA2 通过CAPWAP隧道在AC上进行认证,并接入SSID “Marketing”。当Station 1发送数据到Station 2时,AP将数据帧通过CAPWAP隧道发送到AC,AC解析隧道和802.11报文得到目的地为STA2,再将报文封装成CAPWAP隧道报文,发送到AP,然后由AP转交给STA2。
2)本地转发模式下
无线用户的控制帧仍然通过CAPWAP隧道由AC进行处理,而源或目的为无线用户的数据帧则直接在AP本地进行转发。例如,SSID“Marketing”工作在本地转发模式,STA1 和 STA2 通过CAPWAP隧道在AC上进行认证,一旦用户认证成功,AC会将用户的授权信息到AP,数据被允许在AP本地进行转发。当Station 1发送数据到Station 2时,AP直接解析802.11报文,获得目的地STA2,然后将报文重新封装成802.11帧的发送给STA2。
本地转发模式并不能完全代替集中式转发,如果管理员需要更加复杂的用户访问控制规则或复杂QoS策略,可能希望本地转发和集中式混合使用。
H3C 本地转发技术提供了非常灵活的配置方式,以满足应用中的需求。比如,
1)基于SSID的本地转发
管理员可以配置从指定SSID接入的用户数据进行本地转发,其它用户数据进行集中式转发
2)基于VLAN的本地转发
管理员可以配置从指定VLAN下的用户数据进行本地转发,而其它用户数据进行集中式转发
3)基于VLAN & SSID的本地转发
管理员可以配置从指定SSID接入且属于指定VLAN的用户数据进行本地转发,其它用户数据进行集中式转发
本地转发模式支持AC/Fit AP架构下的大部分特性,例如
1) WMM;
2) Security,包括802.11i、802.1x、Portal、EAD、Dynamic VLAN、ACL;
3) MAC Based VLAN;
4) User Isolation;
5) Layer 2 IGMP Snooping / MLD Snooping;
图2 典型组网应用
如图2所示,所有无线用户的认证点均在AC,其中分支机构员工通过802.1x认证接入到公司网络,他们获得Branch (VLAN5)的访问权限;从分支机构接入的顾客,则获得Guest (VLAN8)权限;总部的员工被分配Corp (VLAN3)的访问权限。
假设管理员希望分支机构的部员工访问网络的数据可以通过AP直接处理,不需要经AC转发。而顾客则需要通过CAPWAP隧道由AC进行处理,同样,总部用户的数据也要通过AC进行处理,以进行更多的安全规则控制。
为了满足上述应用,需要将分支机构的员工接入的SSID 和所属的VLAN 配置为本地转发:
1) 配置Radius Server;
2) 创建ESS,“Corp”、“Branch”、“Guest;
3) 分配“Corp”属于vlan 3,“Branch”属于vlan 5,“Guest”属于VLAN 8;
4) 将VLAN 5配置为本地转发模式
新浪微博
腾讯微博
豆瓣空间
搜狐微博
QQ空间
腾讯朋友
网易微博
百度搜藏
开心网
告诉聊友