天天看點

帶你讀《思科軟體定義通路 : 實作基于業務意圖的園區網絡》第三章軟體定義通路運作方法3.5(二)

3.5.2   軟體定義無線接入中的訪客通路

如果沒有通過疊加運作于網絡交換矩陣之上的思科統一無線網絡提供無線訪客接入服務,請通過建立支援訪客SSID的專用虛拟網絡将無線訪客與其他網絡服務分開。使用 VRF-

Lite或類似技術在 DMZ和網絡交換矩陣邊界節點之間分隔訪客流量。

如果無線部署要求使用專用于訪客目的的控制平面和資料平面将訪客流量傳送到DMZ,可以在 DMZ内部署一組網絡交換矩陣邊界和控制平面節點用于訪客服務,對訪客使用專用虛拟網(VN)進行隔離。對于這種情況,系統使用從連接配接無線接入點的邊緣交換    機一直到 DMZ   邊界的封裝來維持流量分離,這樣做的優點是訪客控制平面具有獨立的規模擴充性和性能保障,并且可以避免采用諸如 VRF   Lite之類的技術。部署這種訪客無線設計的注意事項包括配置訪客流量路徑中的防火牆以允許網絡交換矩陣流量可以端到端地滿足MTU要求。

在軟體定義通路 1.2的版本解決方案中,DNA中心可自動實施完成完整的無線網絡訪客解決方案并管理相關的工作流程。可以通過以下兩種方式之一在軟體定義無線接入中啟用訪客通路:

(1) 為訪客提供獨立的虛拟網絡;

(2) 專用無線控制器作為訪客錨點。

1. 為訪客提供獨立的虛拟網絡

在這種模式下,訪客網絡隻是軟體定義通路網絡交換矩陣中的一個虛拟網絡。通過端到端的網絡分段為訪客使用單獨的虛拟網絡辨別和可擴充組标簽。啟用此模型的方法有兩種:

(1) 使用與企業網絡相同的控制平面和邊界節點;

(2) 使用訪客專用的獨立的控制平面和邊界節點。

在此選項中,訪客網絡隻是軟體定義通路網絡交換矩陣中的另一個虛拟網絡。此方法利用端到端的分段方法,使用虛拟網絡辨別(如果需要,使用可擴充組标簽辨別不同的訪客角色)将訪客資料平面與其他企業網絡分開。通過   VRF-Lite,訪客虛拟網絡從邊界節點擴充到 DMZ區中的防火牆。

在此選項中,在所有級别上為訪客實作完全分離,進而将它們與企業使用者隔離。訪客使用者将在專用的訪客網絡交換矩陣控制平面上注冊。網絡交換矩陣邊緣節點查詢獨立的訪客控制平面節點(,并将資訊封裝在VXLAN中轉發到訪客邊界節點。

2. 專用無線控制器作為訪客錨點

現有的基于訪客錨點(如圖 3-12所示)無線控制器的解決方案仍然可以繼續工作。當在DMZ中已存在訪客錨點無線控制器時,此模式可用作“遷移步驟”。在這種情況下,在外部無線控制器和訪客錨點控制器之間建立移動隧道,并且訪客 SSID錨定在錨點無線控制器上。所有訪客資訊都被外部無線控制器通過移動隧道發送到訪客無線控制器上。

3.5.3   傳統無線網絡運作在網絡交換矩陣上

為了向後相容,目前的思科統一無線網絡(CUWN)或其他傳統的集中式無線體系架構完全支援軟體定義通路。在本解決方案中,無線網絡基礎結構在軟體定義通路網絡交換矩陣上(如圖 3-13所示)運作,但無線網絡基礎架構不知道網絡交換矩陣的存在,或者說從控制平面、資料平面、政策層面上沒有和軟體定義通路有線網絡內建。這種部署方法為軟體定義通路完全內建無線網絡提供了一個優雅的“遷移步驟”。無線控制器可以直接連接配接到網絡交  換矩陣邊界節點,或者是距離邊界節點多個 IP躍點以外。

3.5.4  本地轉發模式(Flex)無線網絡部署

在 Flex無線部署中,無線網絡的控制和管理平面集中在無線控制器上,但資料轉發平面在無線接入點的本地執行。SSID可以在本地進行轉發或者通過隧道發送到無線控制器進行轉發。無線接入點直接連接配接到網絡交換矩陣邊緣節點,并将本地交換SSID的無線 VLAN通過中繼鍊路連接配接到網絡交換矩陣邊緣節點。無線接入點将資料幀格式從 802.11無線網絡轉換為

802.3以太網,并轉發到網絡交換矩陣邊緣節點。

是以,進行本地資料轉發的無線用戶端将作為正常的網絡交換矩陣終端注冊到網絡交換矩陣控制平面上,并且這些用戶端的轉發流程将與網絡交換矩陣中的其他有線用戶端完全一緻。

DNA中心提供了使用圖形化界面或API在軟體定義通路中自動進行本地轉發模式(Flex)無線網絡部署的選項。

繼續閱讀