簡介
WLAN網絡中的報文分為管理報文(控制報文)和數據報文(業務報文)。管理報文通過CAPWAP的控制隧道進行轉發;用戶數據報文則根據是否通過CAPWAP的數據隧道轉發分為隧道轉發(又稱為“集中轉發”)方式、直接轉發(又稱為“本地轉發”)方式和Soft-GRE轉發方式。
實際組網場景中,由于用戶需求變更,有可能需要將當前配置的直接轉發方式調整為隧道轉發方式,以下內容將介紹直接轉發和隧道轉發的概念(其他轉發方式請參考相關信息)以及如何把直接轉發的配置修改為隧道轉發的配置。
直接轉發和隧道轉發的概念
隧道轉發方式是指用戶的數據報文到達AP后,需要經過CAPWAP數據隧道封裝后發送給AC,然后由AC再轉發到上層網絡,如圖1-1所示。
圖1-1 隧道轉發方式報文示意圖
直接轉發方式是指用戶的數據報文到達AP后,不經過CAPWAP的隧道封裝而直接轉發到上層網絡,如圖1-2所示。
圖1-2 直接轉發方式報文示意圖
隧道轉發和直接轉發存在各自的優缺點,使用時需要根據實際的需求選擇配置隧道轉發還是直接轉發,隧道轉發與直接轉發的優缺點如下所示。
隧道轉發與直接轉發的優缺點
隧道轉發
-
優點:
-
AC集中轉發數據報文,安全性好,方便集中管理和控制,新增設備部署配置方便,對現網改動小。
-
-
缺點:
-
業務數據必須經過AC轉發,報文轉發效率比直接轉發方式低,AC所受壓力大。
-
-
優點:
-
業務數據不需要經過AC轉發,報文轉發效率高,AC所受壓力小。
-
-
缺點:
-
業務數據不便于集中管理和控制,新增設備部署對現網改動大。
-
實際組網場景中,由于用戶需求變更,有可能需要將當前配置的直接轉發方式調整為隧道轉發方式,以下內容將介紹如何把直接轉發的配置修改為隧道轉發的配置。
隧道轉發修改為直接轉發配置的操作與直接轉發修改為隧道轉發配置的操作正好相反,同樣可以參考下面的內容將隧道轉發修改為直接轉發配置。
配置調整原則
-
直接轉發和隧道轉發之間的配置調整,除了VAP下的轉發方式的配置調整外,最主要的就是各接口下管理VLAN和業務VLAN的配置調整。
-
直接轉發方式下,建議管理VLAN和業務VLAN分別使用不同的VLAN,否則可能導致業務不通。例如,業務VLAN如果和管理VLAN相同,且交換機連接AP的端口配置了PVID為管理VLAN,則下行到用戶的報文出連接AP的交換機時業務VLAN會被終結,從而導致業務不通。
隧道轉發方式下,管理VLAN和業務VLAN不能配置為同一VLAN,否則會導致mac漂移,報文轉發出錯。并且AP和AC之間只能放通管理VLAN,不能放通業務VLAN。
直接轉發配置調整為隧道轉發配置(AC旁掛)
如圖1-3所示,直接轉發方式下,數據報文不需要經過CAPWAP隧道封裝到達AC,而是直接通過AP、Switch1、Switch2轉發到上層網絡。管理報文必須通過CAPWAP隧道轉發。
調整為隧道轉發后,數據報文需要通過CAPWAP隧道到達AC,途中經過AP、Switch1、Switch2到達AC,在此過程中數據報文會被加上管理VLAN100的Tag;然后由AC將數據報文解CAPWAP封裝去掉外層的管理VLAN100,再經過Switch2直接轉發給上層網絡。管理報文仍然必須通過CAPWAP隧道轉發。
圖1-3 AC旁掛
上圖中,以Switch2作為AP和STA的DHCP服務器為例。直接轉發與隧道轉發的配置差異如表1-2所示,以下僅列舉有差異的配置。
直接轉發與隧道轉發的配置差異(AC旁掛)直接轉發配置
AC配置:
#
interface GigabitEthe.NET0/0/1
port link-type trunk
port trunk allow-pass vlan 100
#
wlan
vap-profile name wlan-net
forward-mode direct-forward //此配置為默認配置,實際配置文件中不會出現此行信息
Swicth2配置
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 to 101
Switch1配置
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100 to 101
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 to 101
隧道轉發配置
AC配置
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 101 //將GE0/0/1也加入到業務VLAN101
#
wlan
vap-profile name wlan-net
forward-mode tunnel //VAP下的轉發模式由直接轉發改為隧道轉發
Switch2配置
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 to 101 //將GE0/0/1也加入到業務VLAN101
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 //將GE0/0/2從業務VLAN101中刪除
Switch1配置
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100 //將GE0/0/1從業務VLAN101中刪除
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 //將GE0/0/2從業務VLAN101中刪除
直接轉發配置調整為隧道轉發配置(AC直連)說明:本例中以Switch2作為AP和STA的DHCP服務器為例,如果AP和STA的DHCP服務器放在其它網絡設備上,需要配置正確的VLAN或路由,保證AP和STA能夠與服務器間正常通信。
如圖1-4所示,直接轉發方式下,數據報文不需要經過CAPWAP隧道封裝到達AC,而是直接通過AP、Switch1、AC轉發到上層網絡,管理報文必須通過CAPWAP隧道轉發。
調整為隧道轉發后,數據報文需要通過CAPWAP隧道到達AC,途中經過AP、Switch1到達AC,在此過程中數據報文會被加上管理VLAN100的Tag;然后由AC將數據報文解CAPWAP封裝去掉外層的管理VLAN100,再直接轉發給上層網絡。管理報文仍然必須通過CAPWAP隧道轉發。
圖1-4 AC直連
上圖中,以AC作為AP和STA的DHCP服務器為例。直接轉發與隧道轉發的配置差異如表1-3所示,以下僅列舉有差異的配置。
直接轉發與隧道轉發的配置差異(AC直連)直接轉發配置
AC配置:
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 to 101
#
wlan
vap-profile name wlan-net
forward-mode direct-forward //此配置為默認配置,實際配置文件中不會出現此行信息
Switch1配置
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100 to 101
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 to 101
隧道轉發配置
AC配置:
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 //將GE0/0/2從業務VLAN101中刪除
#
wlan
vap-profile name wlan-net
forward-mode tunnel //VAP下的轉發模式由直接轉發改為隧道轉發
Switch1配置
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100 //將GE0/0/1從業務VLAN101中刪除
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 //將GE0/0/2從業務VLAN101中刪除
AP有線口的數據轉發方式說明:本例中以AC作為AP和STA的DHCP服務器為例,如果AP和STA的DHCP服務器放在其它網絡設備上,需要配置正確的VLAN或路由,保證AP和STA能夠與服務器間正常通信
AP有線口數據轉發方式有隧道轉發和直接轉發,隧道轉發時,有線用戶的數據報文到達AP的有線口后,經過CAPWAP隧道封裝后發送給AC,然后由AC再轉發到上層網絡;直接轉發時,有線用戶的數據報文到達AP的有線口后,不經過CAPWAP隧道封裝直接轉發到上層網絡。
說明:AP有線口從V200R010C00版本開始支持隧道轉發方式。
一些場景中,AP下行有線口接有線終端,且有線終端的網關在AC上,需要通過CAPWAP隧道將報文轉發給AC,此時可以配置AP有線口數據轉發方式為隧道轉發。
需要說明的是:
-
僅endpoint模式的AP有線口支持配置為隧道轉發。
-
AD9431DN-24X的有線口不支持隧道轉發方式。
-
隧道轉發模式的AP有線口,如果配置了有線口用戶隔離,對于單播報文,AC上不支持隔離,單播報文到AP后被隔離。
-
AP有線口隧道轉發方式下,管理VLAN和業務VLAN不能配置為同一VLAN,否則可能會導致網絡成環。
具體的配置以配置AP有線口ETH0的工作模式為“endpoint”,并指定ETH0的數據轉發方式為隧道轉發為例。
<AC6605> system-view
[AC6605] wlan
[AC6605-wlan-view] ap-group name ap-group1
[AC6605-wlan-ap-group-ap-group1] quit
[AC6605-wlan-view] wired-port-profile name wired
[AC6605-wlan-wired-port-wired] mode endpoint
Warning: If the AP goes online through a wired port, the incorrect port mode configuration will cause the AP to go out of management
. This fault can be recovered only by modifying the configuration on the AP. Continue? [Y/N]:y
[AC6605-wlan-wired-port-wired] forward-mode tunnel //tunnel表示隧道轉發,direct-forward表示直接轉發,缺省情況下為直接轉發
[AC6605-wlan-wired-port-wired] quit
[AC6605-wlan-view] ap-group name ap-group1
[AC6605-wlan-ap-group-ap-group1] wired-port-profile wired ethernet 0
來源:華為文檔中心,如侵刪。樣式編輯:網絡工程師阿龍
