简介
WLAN网络中的报文分为管理报文(控制报文)和数据报文(业务报文)。管理报文通过CAPWAP的控制隧道进行转发;用户数据报文则根据是否通过CAPWAP的数据隧道转发分为隧道转发(又称为“集中转发”)方式、直接转发(又称为“本地转发”)方式和Soft-GRE转发方式。
实际组网场景中,由于用户需求变更,有可能需要将当前配置的直接转发方式调整为隧道转发方式,以下内容将介绍直接转发和隧道转发的概念(其他转发方式请参考相关信息)以及如何把直接转发的配置修改为隧道转发的配置。
直接转发和隧道转发的概念
隧道转发方式是指用户的数据报文到达AP后,需要经过CAPWAP数据隧道封装后发送给AC,然后由AC再转发到上层网络,如图1-1所示。
图1-1 隧道转发方式报文示意图
直接转发方式是指用户的数据报文到达AP后,不经过CAPWAP的隧道封装而直接转发到上层网络,如图1-2所示。
图1-2 直接转发方式报文示意图
隧道转发和直接转发存在各自的优缺点,使用时需要根据实际的需求选择配置隧道转发还是直接转发,隧道转发与直接转发的优缺点如下所示。
隧道转发与直接转发的优缺点
隧道转发
优点:
AC集中转发数据报文,安全性好,方便集中管理和控制,新增设备部署配置方便,对现网改动小。
缺点:
业务数据必须经过AC转发,报文转发效率比直接转发方式低,AC所受压力大。
优点:
业务数据不需要经过AC转发,报文转发效率高,AC所受压力小。
缺点:
业务数据不便于集中管理和控制,新增设备部署对现网改动大。
实际组网场景中,由于用户需求变更,有可能需要将当前配置的直接转发方式调整为隧道转发方式,以下内容将介绍如何把直接转发的配置修改为隧道转发的配置。
隧道转发修改为直接转发配置的操作与直接转发修改为隧道转发配置的操作正好相反,同样可以参考下面的内容将隧道转发修改为直接转发配置。
配置调整原则
直接转发和隧道转发之间的配置调整,除了VAP下的转发方式的配置调整外,最主要的就是各接口下管理VLAN和业务VLAN的配置调整。
直接转发方式下,建议管理VLAN和业务VLAN分别使用不同的VLAN,否则可能导致业务不通。例如,业务VLAN如果和管理VLAN相同,且交换机连接AP的端口配置了PVID为管理VLAN,则下行到用户的报文出连接AP的交换机时业务VLAN会被终结,从而导致业务不通。
隧道转发方式下,管理VLAN和业务VLAN不能配置为同一VLAN,否则会导致mac漂移,报文转发出错。并且AP和AC之间只能放通管理VLAN,不能放通业务VLAN。
直接转发配置调整为隧道转发配置(AC旁挂)
如图1-3所示,直接转发方式下,数据报文不需要经过CAPWAP隧道封装到达AC,而是直接通过AP、Switch1、Switch2转发到上层网络。管理报文必须通过CAPWAP隧道转发。
调整为隧道转发后,数据报文需要通过CAPWAP隧道到达AC,途中经过AP、Switch1、Switch2到达AC,在此过程中数据报文会被加上管理VLAN100的Tag;然后由AC将数据报文解CAPWAP封装去掉外层的管理VLAN100,再经过Switch2直接转发给上层网络。管理报文仍然必须通过CAPWAP隧道转发。
图1-3 AC旁挂
上图中,以Switch2作为AP和STA的DHCP服务器为例。直接转发与隧道转发的配置差异如表1-2所示,以下仅列举有差异的配置。
直接转发与隧道转发的配置差异(AC旁挂)直接转发配置
AC配置:
#
interface GigabitEthe.NET0/0/1
port link-type trunk
port trunk allow-pass vlan 100
#
wlan
vap-profile name wlan-net
forward-mode direct-forward //此配置为默认配置,实际配置文件中不会出现此行信息
Swicth2配置
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 to 101
Switch1配置
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100 to 101
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 to 101
隧道转发配置
AC配置
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 101 //将GE0/0/1也加入到业务VLAN101
#
wlan
vap-profile name wlan-net
forward-mode tunnel //VAP下的转发模式由直接转发改为隧道转发
Switch2配置
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 to 101 //将GE0/0/1也加入到业务VLAN101
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 //将GE0/0/2从业务VLAN101中删除
Switch1配置
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100 //将GE0/0/1从业务VLAN101中删除
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 //将GE0/0/2从业务VLAN101中删除
直接转发配置调整为隧道转发配置(AC直连)说明:本例中以Switch2作为AP和STA的DHCP服务器为例,如果AP和STA的DHCP服务器放在其它网络设备上,需要配置正确的VLAN或路由,保证AP和STA能够与服务器间正常通信。
如图1-4所示,直接转发方式下,数据报文不需要经过CAPWAP隧道封装到达AC,而是直接通过AP、Switch1、AC转发到上层网络,管理报文必须通过CAPWAP隧道转发。
调整为隧道转发后,数据报文需要通过CAPWAP隧道到达AC,途中经过AP、Switch1到达AC,在此过程中数据报文会被加上管理VLAN100的Tag;然后由AC将数据报文解CAPWAP封装去掉外层的管理VLAN100,再直接转发给上层网络。管理报文仍然必须通过CAPWAP隧道转发。
图1-4 AC直连
上图中,以AC作为AP和STA的DHCP服务器为例。直接转发与隧道转发的配置差异如表1-3所示,以下仅列举有差异的配置。
直接转发与隧道转发的配置差异(AC直连)直接转发配置
AC配置:
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 to 101
#
wlan
vap-profile name wlan-net
forward-mode direct-forward //此配置为默认配置,实际配置文件中不会出现此行信息
Switch1配置
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100 to 101
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 to 101
隧道转发配置
AC配置:
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 //将GE0/0/2从业务VLAN101中删除
#
wlan
vap-profile name wlan-net
forward-mode tunnel //VAP下的转发模式由直接转发改为隧道转发
Switch1配置
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100 //将GE0/0/1从业务VLAN101中删除
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 100 //将GE0/0/2从业务VLAN101中删除
AP有线口的数据转发方式说明:本例中以AC作为AP和STA的DHCP服务器为例,如果AP和STA的DHCP服务器放在其它网络设备上,需要配置正确的VLAN或路由,保证AP和STA能够与服务器间正常通信
AP有线口数据转发方式有隧道转发和直接转发,隧道转发时,有线用户的数据报文到达AP的有线口后,经过CAPWAP隧道封装后发送给AC,然后由AC再转发到上层网络;直接转发时,有线用户的数据报文到达AP的有线口后,不经过CAPWAP隧道封装直接转发到上层网络。
说明:AP有线口从V200R010C00版本开始支持隧道转发方式。
一些场景中,AP下行有线口接有线终端,且有线终端的网关在AC上,需要通过CAPWAP隧道将报文转发给AC,此时可以配置AP有线口数据转发方式为隧道转发。
需要说明的是:
仅endpoint模式的AP有线口支持配置为隧道转发。
AD9431DN-24X的有线口不支持隧道转发方式。
隧道转发模式的AP有线口,如果配置了有线口用户隔离,对于单播报文,AC上不支持隔离,单播报文到AP后被隔离。
AP有线口隧道转发方式下,管理VLAN和业务VLAN不能配置为同一VLAN,否则可能会导致网络成环。
具体的配置以配置AP有线口ETH0的工作模式为“endpoint”,并指定ETH0的数据转发方式为隧道转发为例。
<AC6605> system-view
[AC6605] wlan
[AC6605-wlan-view] ap-group name ap-group1
[AC6605-wlan-ap-group-ap-group1] quit
[AC6605-wlan-view] wired-port-profile name wired
[AC6605-wlan-wired-port-wired] mode endpoint
Warning: If the AP goes online through a wired port, the incorrect port mode configuration will cause the AP to go out of management
. This fault can be recovered only by modifying the configuration on the AP. Continue? [Y/N]:y
[AC6605-wlan-wired-port-wired] forward-mode tunnel //tunnel表示隧道转发,direct-forward表示直接转发,缺省情况下为直接转发
[AC6605-wlan-wired-port-wired] quit
[AC6605-wlan-view] ap-group name ap-group1
[AC6605-wlan-ap-group-ap-group1] wired-port-profile wired ethernet 0
来源:华为文档中心,如侵删。样式编辑:网络工程师阿龙
京公网安备 11010802035086号