3.5 集成无线局域网
软件定义访问支持通过两个选项将无线访问集成到网络中。一种选择是使用传统的思科统一无线网络(CUWN)本地模式运行在网络交换矩阵之上,作为网络交换矩阵的非原生服务。在这种模式下,软件定义访问架构只是无线通信的传输网络,这一选项对于无线网络向软件定义访问迁移非常有帮助。另一个选项是无线网络与网络交换矩阵完全融合,将软件定义访问的获益扩展到无线用户。无线网络与软件定义访问集成的两个主要选项如下。
(1) 软件定义无线接入:无线网络与网络交换矩阵完全融合。
(2) 传统无线网络:传统的思科统一无线网络(CUWN)本地模式叠加运行在网络交 换矩阵之上。
在下一节中,我们将描述这两种模式的技术实现。
3.5.1 软件定义无线接入
通过使用交换矩阵模式的无线控制器和无线接入点可以将无线网络无缝集成到软件定义访问架构中。交换矩阵模式的无线控制器用于与网络交换矩阵控制平面进行通信,注册客户端二层MAC地址、可扩展组标识(SGT)和二层虚拟网标识(VNI)信息。交换矩阵模式的无线接入点包括思科第二代802.11ac无线接入点(包括 Aironet3800、2800、1800系列)和第一代 802.11ac无线接入点,它们将与交换矩阵模式的无线控制器进行关联,在其上可以配置支持网络交换矩阵的SSID。无线接入点负责与无线终端通信,在有线一侧,连接在网络边缘节点的无线接入点将帮助VXLAN数据平面进行流量的封装和解封装工作。
软件定义访问提供了优化的功能,例如,部署第二代 802.11ac无线接入点时,无线接入点本身即可实现应用程序的可视化和控制(AVC)。有关第二代和第一代802.11ac无线接入点在网络交换矩阵中的功能支持差别,请参阅无线软件版本的发行说明。
交换矩阵模式的无线控制器管控交换矩阵模式的无线接入点的方式与传统的思科统一无线网络(CUWN)集中转发模式相同,提供移动性控制和射频资源管理等操作优势。其显著区别是连接在交换矩阵SSID中的无线终端传输的流量无须进行CAPWAP封装并从无线接入点转发到中心控制器,相反,来自无线客户端的数据流量由网络交换矩阵连接的无线接入点直接进行 VXLAN封装。正是因为这种区别,具有集成 SGT功能的分布式数据平面才得以实现。流量通过网络交换矩阵选取最佳路径传输到目的地,无论是有线终端的连接还是无线终端的连接都使用一致的策略。
与传统的思科统一无线网络(CUWN)类似,要通过 CAPWAP隧道来控制管理无线接入点。当然,无线控制器与软件定义访问控制平面的集成支持无线客户端在整个网络交换矩阵中的不同无线接入点之间的漫游。如果与无线客户端EID关联的 RLOC发生任何改变,控制平面协议将更新相应的主机跟踪数据库来实现对终端漫游的支持。
虽然无线网络流量在网络交换矩阵的无线和有线部分之间传输时,交换矩阵模式无线接入点将对该流量进行VXLAN流量封装,但这些无线接入点并非网络交换矩阵的边缘节点。相反,这些无线接入点使用 VXLAN隧道直接连接到边缘节点交换机,并依靠这些交换机提供第三层任播网关等网络交换矩阵服务。
将无线局域网集成到网络交换矩阵中可以让无线客户端享受到网络交换矩阵的优势,包括寻址简化、通过扁平化子网实现移动性最大化,以及基于策略一致性的跨越有线和无线网络的端到端网络分段。无线集成还能让无线控制器摆脱数据平面的转发职责,而继续用作无线域的集中式服务和控制平面。
在软件定义访问网络交换矩阵中,有线和无线都属于单一的集成基础架构的一部分,在连接、移动和策略执行方面的行为方式都相同。无论用户采用何种媒介访问网络,其联网体验都是一致的。
在控制平面集成方面,网络交换矩阵的无线控制器将所有无线客户端的连接、漫游和断开信息通知到网络交换矩阵控制平面节点。通过这种方式,控制平面节点始终具有网络交换矩阵中有线和无线客户端的所有信息,始终充当“唯一的信息源”。
在数据平面集成方面,网络交换矩阵模式的无线控制器指示网络交换矩阵模式的无线接入点建立 VXLAN叠加隧道到相邻的网络交换矩阵边缘节点。无线接入点 VXLAN隧道将网络分段并将策略信息传送到边缘节点,保持无线终端的连接和功能与有线终端一致。
当无线客户端通过网络交换矩阵的无线接入点连接到该网络交换矩阵时,网络交换矩阵无线控制器将无线终端加入网络交换矩阵中,并将其MAC 地址通知控制平面节点。无线控制器随后指示无线接入点在其相邻的边缘节点建立 VXLAN叠加隧道。接下来,无线客户端将通过DHCP获取自己的 IP地址。一旦完成,边缘节点就会将无线客户端的 IP地址注册到控制平面节点(以便在客户端MAC和 IP地址之间形成映射),此时到达 /来自无线终端的通信可以开始被转发。
网络交换矩阵的无线控制器位于网络交换矩阵边界节点的外部,可以位于软件定义访问的同一个底层网络中,但是位于网络交换矩阵叠加网络的外部。这是因为无线控制器可以直接连接到边界节点,或者是多个IP跃点以外(如本地数据中心)。然后,无线控制器的IP子网前缀必须被通告到底层网络路由域,用于无线接入点的联网和管理(通过传统的 CAPWAP控制平面)。
网络交换矩阵的无线接入点直接连接到网络交换矩阵叠加网络中的网络交换矩阵边缘节点。或者,无线接入点可以连接到软件定义访问扩展节点。无线接入点也可以使用拉伸的子网功能和网络交换矩阵边缘节点上的任播网关功能。这允许整个园区内的所有网络交换矩阵的无线接入点都部署在同一个子网中。
软件定义访问无线网络如图 3-9所示。
在无线控制器上启用网络交换矩阵功能后,无线接入点加入过程如下。
(1) 无线接入点初始化并通过 CAPWAP加入无线控制器。所有管理和控制通信(如无线接入点软件映像管理、授权许可管理、无线射频资源管理(RRM)、客户端身份验证和其他功能)都利用此 CAPWAP连接。
(2) 无线接入点加入无线控制器后,检查其是否能够支持网络交换矩阵。如果具备该能力,则在无线接入点上自动启用网络交换矩阵功能。
(3)适当的信令交互完成后,无线接入点会构建一条到网络交换矩阵边缘节点的 VXLAN隧道。
图 3-9 软件定义访问无线网络
以每个 WLAN(SSID)为基础启用网络交换矩阵功能。客户端子网和三层网关位于网络交换矩阵边缘节点上的叠加网络(与传统的 CUWN模型相比,它们存在于无线控制器上)。
当客户端加入启用了网络交换矩阵的无线网络时,整个过程如下。
(1) 客户端在启用了网络交换矩阵SSID的无线控制器上进行身份验证。
(2) 无线控制器通知无线接入点使用 VXLAN封装客户端流量并发送到网络交换矩阵边缘节点,在VXLAN数据分组中为该客户端填充适当的虚拟网络 /可扩展组信息。
(3) 无线控制器在网络交换矩阵控制平面节点数据库中注册客户端MAC地址。
(4) 客户端获得 IP 地址后,网络交换矩阵边缘节点将更新现有的控制平面条目,将无线客户端 MAC地址和 IP地址进行映射。
(5) 客户端此时可以自由地在网络中进行通信。
