附录:将 Mist Edge 集成到 IP-Clos 交换矩阵中(可选)
企业 Wi-Fi 接入点 (接入点) 可以视作 L2 MAC 网桥。一端与客户端设备进行无线通信,另一端连接到有线以太网网络。因此,接入点不执行 VLAN 的 L3 网关功能。相反,预计在网络的某个位置(在接入点的以太网端口连接点)提供 VLAN 的 L3 默认网关。在大多数情况下,这意味着:
- 在简单的分支机构部署中,VLAN 的第 3 层网关通常位于 WAN 路由器上。交换机和接入点都连接到此路由器,并且在许多情况下,DHCP 服务器功能也托管在 WAN 路由器上。
- 在园区交换矩阵部署中,VLAN 的第 3 层网关驻留在交换矩阵的 VRF 中。VRF 的确切位置取决于园区交换矩阵的设计,但在这些环境中,交换矩阵通常仅执行 DHCP 中继功能,而不是充当 DHCP 服务器本身。
瞻博网络 Mist Wi-Fi 支持两种主要型号,用于将流量从接入点转发到网络中:
- 第一种是分布式模型,其中无线客户端流量在本地接入点分流。在这种方法中,接入点广播一个 SSID 并将客户端与之关联,然后将其流量映射到接入点以太网端的标记 VLAN。在某些情况下,客户端流量也可以直接切换到连接到同一接入点和 SSID 的另一台设备,而无需离开接入点。
的无线客户端漫游
- 第二种选择是集中式或隧道式方法,其中无线客户端流量在被称为 Mist Edge 的中央流量数据平面集中器中远程分流。在此模型中,接入点使用隧道头端的远程 IP 地址建立到隧道端点的叠加传输隧道。该隧道可以在任何路由网络或 VLAN 上运行,从而提供了部署灵活性。对于隧道,瞻博网络 Mist 使用 L2TPv3 协议,该协议可以通过启用 IPsec 保护来进一步保护。流量到达隧道头端后,通常根据 SSID 设置,流量就会被分解到相应的 VLAN 配置中。这种方法可以集中处理流量,并在网络中的某个点实施一致的策略。
当集中式方法与园区交换矩阵 IP Clos 等 EVPN 交换矩阵搭配使用时,建议进行以下设置:
- 为园区交换矩阵配置一个接入点叠加网络,其中:
- 接入点使用交换矩阵上的 DHCP 中继获得 DHCP 租约。
- 获取 IP 地址后,接入点会访问瞻博网络 Mist 云进行管理。
- 应用隧道配置后,可以在同一 VLAN 中为Mist Edge设备的隧道终端 IP 地址构建不安全的 L2TPv3 隧道。
- 根据您的要求,为园区交换矩阵配置单独的无线客户端分支叠加网络(类似于常规有线网络),并确保:
- 映射到这些网络的无线客户端正在使用交换矩阵上的 DHCP 中继获取 DHCP 租约。
- 将接入点连接到接入交换机并打开电源。
- 只需将接入点叠加网络配置为接入端口类型。
- 在 EVPN 交换矩阵顶部的服务阻止功能处连接至少两台(用于冗余)Mist Edge 设备,该功能通常是其他网络服务(如 WAN 路由器、防火墙和服务器)的集成点。
- 每个 Mist Edge 都必须有一个指向每个服务块功能的接口。
- 在面向每个 Mist Edge 的交换矩阵侧,配置一个唯一的 ESI-LAG。
- Mist Edge 接口(OOBM 除外)对交换矩阵使用简单的 LAG。
- 在两端,接入点叠加网络均配置为不带标记的本征 VLAN。
- 在两端,各个无线客户端分支叠加网络都配置为标记的 VLAN。
此推荐配置使 EVPN 交换矩阵可以通过交换矩阵顶部的隧道收集来自接入点的无线客户端流量,然后将其重新注入网络。这种方法可确保无线和有线客户端之间的无缝通信,同时还支持将流量流向 EVPN 交换矩阵之外的互联网。
中
应在 EVPN 交换矩阵的设计阶段确定选择使用哪种方法。当满足以下条件时,建议在 EVPN 交换矩阵中使用 Mist Edge 的集中式方法:
- EVPN 交换矩阵中预计将有超过 2.000 个无线客户端。
- 您期望通过网络的 AP “快速”漫游无线客户端。
重要的是要记住,漫游的决定最终是由无线客户端本身做出的。与基站控制并可以触发漫游的蜂窝网络不同,Wi-Fi 的标准功能中没有内置此功能。在 Wi-Fi 中,接入点网络只能尝试鼓励或引导客户端漫游,但最终决定权始终在客户端设备手中。由于市场上有许多不同的 Wi-Fi 网络接口卡 (NIC),每种都有自己的固件和内部配置,因此预测特定客户端在漫游时的行为极其困难。因此,不同设备的漫游行为可能会有很大差异。将集中式模型与瞻博网络 Mist Edge 搭配使用时,最佳做法是将交换机层客户端访问的 VLAN 与 EVPN 交换矩阵顶部的瞻博网络 Mist Edge 服务块用于分支的 VLAN 不同。这些 VLAN 可能驻留在同一个 VRF 中,但建议将其分离为不同的 L2 域。如果两层共享同一个 L2 域,则接入层和服务块都必须学习所有 MAC 地址,这可能会影响可扩展性。使用单独的 L2 域可避免此问题。有关更详细的指导,请参阅下一节。
使用 EVPN 交换矩阵的大规模有线和无线客户端设计
如果设计正确,使用瞻博网络 Mist Edge 即可在单个交换矩阵内支持更多的有线和无线客户端。为此,应将用于接入层有线客户端的 VLAN 与用于无线客户端的 VLAN 分开,并且其默认网关 (VRF) 的位置应位于交换矩阵的不同层上,由不同的交换矩阵交换机处理。此功能计划作为未来的增强功能,在创建新的园区交换矩阵时自动应用。
如果您需要提前获得这些详细信息,请联系您的瞻博网络代表。新功能可用后,其公告将发布 在此处 以供审核。与此同时,提前了解所需的设计更改会很有帮助,以便在增强功能可用时做好准备。
为了实现独立、大规模的客户端设计,推荐的 VLAN 结构如下:
- 规划接入点使用一个或多个 VLAN 获取 DHCP 租约,连接到瞻博网络 Mist 云,并建立通向瞻博网络 Mist Edge 的隧道。这些 VLAN 应仅存在于接入交换机上,并且通常在交换机端口上配置为本征 VLAN。
- 规划一个小型 VLAN,为瞻博网络 Mist Edge 提供隧道终端 IP 地址。接入点将远程中断的无线客户端流量发送到此地址。仅在连接瞻博网络 Mist Edge 的服务块部署此 VLAN,通常作为瞻博网络 Mist Edge LAG 中继上的本征 VLAN。确保接入点隧道 VLAN 和 Mist Edge 隧道 VLAN 在同一 VRF 中;否则,由于 VRF 隔离,流量将强制通过 WAN 路由器。这种相互独立有助于确保即使拥有多个接入点,瞻博网络 Mist Edge 也只需要跟踪默认网关的本地 IP 地址,而不是为每个接入点维护 ARP 条目。
- 规划一个或多个 VLAN,用于接收由接入点转发并在瞻博网络 Mist Edge 上移送的 Wi-Fi 客户端流量。这些 VLAN 通常通过中继传输,并通过瞻博网络 Mist Edge 的 LAG 接口通过 ESI-LAG 传输到 EVPN 交换矩阵。它们应仅在服务块中配置,以保持预期的缩放分离。
- 规划一个或多个专用于有线客户端流量的 VLAN。只能在 EVPN 交换矩阵访问层定义这些 VLAN。如果您希望有线和无线客户端之间进行通信,请考虑将其 VLAN 放在同一个 VRF 中,以便在 EVPN 交换矩阵内交换流量。
- 如果在服务块上连接了其他基础架构服务(如服务器),请确保它们使用自己的 VLAN,而这些 VLAN 仅存在于无线客户端 VLAN 所在的服务块中。如果可能,再次建议使用相同的 VRF。
以下章节介绍了有关扩展瞻博网络 Mist Edge 的更多详细信息。
EVPN 交换矩阵中的无线客户端漫游
以下 链接介绍了 EVPN 网络中 MAC 地址移动性背后的概念。
默认情况下,EVPN 交换矩阵通常将 MAC 地址移动视为异常行为,因为对于有线客户端,这通常表示不应发生的异常情况。在以下示例中,两个交换矩阵叶交换机之间的链路可能会产生环路。为了防止这种情况,EVPN 交换矩阵中使用的策略之一是检测同一 MAC 地址何时出现在多个链路上。如果发生这种情况,MAC 地址可能会被自动列入黑名单,并且与其关联的流量将不再被转发。
虽然重复 MAC 地址的自动黑名单对有线客户端很有用,但它可能会给无线客户端带来问题。正常漫游行为(即客户端在连接到 EVPN 交换矩阵中不同叶节点的接入点之间移动)可能会显示为重复的 MAC 事件。这可能会导致新漫游的 MAC 地址被列入黑名单,即使该行为是合法的。
为了防止此问题并确保无线客户端正常漫游,可以考虑两种方法:
- 根据设计:使用集中式(隧道)方法并将瞻博网络 Mist Edge 集成到 EVPN 交换矩阵中时,漫游不会显示为重复的 MAC 事件。这是因为所有接入点都会终止其在瞻博网络Mist Edge上的叠加隧道,因此无论客户端连接到哪个接入点,EVPN 交换矩阵始终会看到客户端MAC 地址位于相同的上游Mist Edge接口上。
- 放宽重复 MAC 地址检测的默认参数:瞻博网络 EVPN 交换矩阵使管理员能够调整检测窗口和相关参数( 请查看)。从 2025 年 5 月 29 日开始,所有新创建的 EVPN 交换矩阵都将根据推荐的最佳实践自动使用宽松的设置。设置这些默认值后,无需额外配置即可支持无线客户端漫游。
年 5 月 29 日
较旧的交换矩阵需要下面列出的其他 CLI 命令,具体取决于交换矩阵底层和设备类型。请勿更改此处配置的参数,因为这是建议的最佳实践。
# Duplicate MAC detection relaxation for fabric ipv4-undelay set groups top protocols evpn duplicate-mac-detection auto-recovery-time 5 detection-threshold 10 detection-window 20 # # Duplicate MAC detection relaxation for fabric ipv6-undelay or physical ex92xx or vJunos-switch set groups top routing-instances evpn_vs protocols evpn duplicate-mac-detection auto-recovery-time 5 detection-threshold 10 detection-window 20
即使对瞻博网络 Mist Edge 使用集中式方法,也建议验证是否启用了重复 MAC 地址放宽。这样可以确保在接入点终止其位于不同群集中的瞻博网络 Mist Edge 上的隧道并且无线客户端尝试在它们之间漫游的情况下得到妥善处理。
利用两个瞻博网络 Mist Edge 和 ESI-LAG 交换矩阵连接构建混合实验室
集成瞻博网络 Mist Edge 的推荐方法是在北向侧交换矩阵的服务块功能上进行连接。它不应用于接入交换机层连接,因为接入交换机通常缺乏管理所需流量的资源和容量。
集成应利用 EVPN 交换矩阵提供的冗余功能。这包括使用与瞻博网络 Mist Edge 的 ESI-LAG 连接,并在两端启用有源 LACP 进行链路监控。下图使用标准服务器集成的示例来说明这种方法。
瞻博网络 Mist Edge 还提供其他多种集成选项,但在园区交换矩阵部署中应忽略这些选项。正确的方法是在交换矩阵端使用 ESI-LAG,在瞻博网络 Mist Edge 上使用单个 LAG 进行集成,并通过该连接对上游和下游接口进行多路复用。在此实验室设计中,我们遵循部署两个瞻博网络 Mist Edge 的建议最小值,以便在其中一个设备不可用时提供冗余,并将这两个单元放在一个群集中。EVPN 交换矩阵中的所有 AP 都分配给单个接入点站点(交换机站点分配可能不同,但这对于此方案无关紧要)。还需要启用按站点随机播放功能。启用此功能后,系统会选择两个 Mist Edge 中的一个在正常运行期间处理隧道终止,而另一个则保持待机状态,并在主设备无法与接入点访问时自动接管。重要提示:当所有 Mist Edge 都驻留在单个群集中时,必须防止接入点在两个 Mist Edge 之间分配隧道。尽管主动/主动方法看似有益,但当无线客户端在锚定在不同 Mist Edge 上的接入点之间漫游时,可能会导致交换矩阵中的两个 MAC 地址之间发生不必要的 MAC 地址移动。只有在移动性域分离时才应使用主动/主动设计,如下一节关于横向扩展策略的介绍。
瞻博网络 Mist Edge 设备可以提供两个或四个上行链路接口,用于隧道运维,具体取决于型号。下面显示的设置说明了推荐用于瞻博网络 Mist Edge 的实验室设计,该 Edge 支持两个上行链路接口进行隧道作:
设置瞻博网络 Mist Edge 时,不会在瞻博网络 Mist 门户中直接指定 LAG 和活动 LACP 配置。要进行配置,请禁用单独的上游和下游作,而是同时启用上游和下游接口,如下图所示:
上的 LAG/LACP 配置
以下是瞻博网络 Mist Edge 的实验室建议设置,它具有四个用于隧道运维的收入接口:
设置瞻博网络 Mist Edge 时,不会在瞻博网络 Mist 门户中直接指定 LAG 和活动 LACP 配置。要进行配置,请禁用单独的上游和下游作,而是同时启用上游和下游接口,如下图所示:
的 LAG/LACP 配置
实验室准备
构建本实验室的目的是展示以最少的物理设备提供的功能。它不适用于生产环境。 此处介绍了 vJunos 交换机虚拟机与 Mist 云的集成。
Mist Edge 的混合实验室
此处描述的实验室并非使用实体瞻博网络 Mist Edge 设备构建。相反,我们结合使用了虚拟机和物理硬件,特别是因为接入点无法虚拟化。此设置中的另外两台接入交换机也是物理设备,使我们能够利用虚拟机箱和基于组的 VXLAN 策略 (GBP) 功能。
瞻博网络 Mist Edge 虚拟机在部署为虚拟机时不支持 LAG 上的 LACP。在虚拟机的 LAG 上配置 LACP 后,LACP 配置将在后端自动抑制,并且不会应用于虚拟机。之所以存在此限制,是因为 LAG 配置通常在主机作系统上的虚拟机管理程序级别进行处理。对于我们的实验室环境,我们将其配置为物理 ME-X1 设备来克服这一限制。
服务块交换机上方的拓扑是核心网络的一部分,每个核心交换机连接有两台瞻博网络 Mist Edge 设备。每台瞻博网络 Mist Edge 都有其专用的 ESI-LAG 配置。此设置的设计理念如下:
- 子网为 10.33.33.0/24 的 VLAN 1033 被分配为接入点的本征/接入 VLAN,以便它们能够正常启动。接入点只需要一个本征 VLAN,因为所有 SSID VLAN 都通过瞻博网络 Mist Edge 建立隧道。此 VLAN 有多种用途:
- 它为接入点提供用于启动的 DHCP 租用。
- 它允许接入点与瞻博网络 Mist 云通信以进行管理。
- 它使接入点能够建立一条隧道,通向两台瞻博网络 Mist Edge 设备之一,通过下一个 VLAN 中的默认网关传输与 SSID 关联的所有 VLAN。
- 子网 10.11.11.0/24 的 VLAN 1011。在此网络中,瞻博网络 Mist Edge 具有静态 IP 地址,用于从接入点终止隧道。 VLAN 1099 和 1088 被分配给无线客户端可以连接到的特定 SSID。这些 VLAN 的流量使用专用 L2TPv3 隧道从 接入点 隧道传输到 瞻博网络 Mist Edge。然后,隧道流量将显示为 L2 VLAN 中继,并通过服务块重新插入交换矩阵,以便将其映射到相应的 VRF 中。
- VLAN 1091 和 1081 将用于有线客户端。
如果尚未完成,请执行创建 IP Clos 交换矩阵、DHCP 中继配置和 WAN 路由器集成的步骤,如上述附录中所述。
瞻博网络 Mist Edge 和交换矩阵配置
在交换机模板中,配置了一个端口配置文件,用于将接入点连接到接入交换机。由于转发是通过瞻博网络 Mist Edge 处理的,因此只需将 VLAN 1033 设置为接入 VLAN。
导航至 交换机模板 并配置新的端口配置文件:
- 姓名=
myap - 端口启用=
Enabled - 模式=
Access - 端口网络=
vlan1033 - PoE=
Enabled
的端口配置文件
接下来,服务块交换机(本例中为 core1 和 core2)上的链路需要端口配置文件。接入点隧道作为本征 VLAN 传输,而用于无线客户端分支的 VLAN 配置为标记 VLAN。
导航至 交换机模板 并配置新的端口配置文件:
- 姓名=
me-uplink - 端口启用=
Enabled - 模式=
Trunk - 端口网络=
vlan1011 - 中继网络 =
vlan1088和vlan1099
的端口配置文件
用于有线和接入端口的 Access-Switch1 和 Access-Switch2 配置已创建以下端口配置文件:
然后,在 Access-Switch1 和 Access-Switch2 上,在连接到接入点的所有端口上应用此端口配置文件:
- 端口 ID=
ge-0/0/16 - 配置文件=
myap
的端口配置
检查您的接入点是否即将启动,是否在瞻博网络 Mist 云中显示,因为它们现在应该已获得 DHCP 租期并能够联系瞻博网络 Mist 云。
接下来,配置执行服务块功能的 core1 和 core2 。
第一款瞻博网络 Mist Edge 的 Core1-Switch 和 Core2-Switch 配置如下:
- 端口 ID=
ge-0/0/3 - 接口=
L2 interface - 配置文件=
me-uplink - 端口聚合=
Enabled- AE Index=
5(您需要确保此索引值是唯一的,并且仅在指向同一瞻博网络 Mist Edge 的接口上使用) - ESI-LAG=
Enabled(必须启用此功能)
- AE Index=
第二台瞻博网络 Mist Edge 的 Core1-Switch 和 Core2-Switch 配置如下:
- 端口 ID=
ge-0/0/4 - 接口=
L2 interface - 配置文件=
me-uplink - 端口聚合=
Enabled- AE Index=
6(您需要确保此索引值仅用于指向同一瞻博网络 Mist Edge 的接口上) - ESI-LAG=
Enabled(启用此功能是必需的)
- AE Index=
自 2025 年 7 月起,瞻博网络 Mist 云不会在服务块功能上自动为 VLAN 和 VRF 配置默认网关或 DHCP 中继。此功能可能会包含在将来的版本中,但目前必须使用其他 CLI 命令手动添加这些配置。要确定需要配置的内容,对于 IP Clos 交换矩阵,建议先在一台接入交换机的端口上为无线客户端设置 VLAN。然后,可以将 IRB 和 DHCP 中继设置复制到服务块交换机。以下示例说明了交换矩阵的此过程:
在测试以下附加 Junos CLI 时,请考虑 EVPN 交换矩阵的维护时段。
对于 VLAN 1011(用于建立从接入点到瞻博网络 Mist Edge 的隧道),需要配置默认网关。不需要 DHCP 中继,因为系统始终为连接的瞻博网络 Mist Edge 分配静态 IP 地址。
set interfaces irb unit 1011 family inet address 10.11.11.1/24 set interfaces irb unit 1011 family inet mtu 9000 set interfaces irb unit 1011 description vlan1011 set interfaces irb unit 1011 no-dhcp-flood set interfaces irb unit 1011 mac 00:00:5e:e4:31:57 # set groups top routing-instances evpn_vs vlans vlan1011 l3-interface irb.1011 set groups top routing-instances devices interface irb.1011
根据您的服务块功能配置和附加的内容,您或许能够自动将大部分所需的 DHCP 中继配置包含在服务块功能的 VRF 上。通常,当您检查服务块交换机的配置时,DHCP中继将被禁用,如下图所示。
上的 DHCP 中继本地配置
这是因为假设客户端通常只能通过接入交换机获取 DHCP 租约。通过服务块功能的 ESI-LAG 连接的服务器通常依赖于静态 IP 地址。但是,作为例外情况,您可以通过启用该选项,然后为无线客户端分支网络手动配置 DHCP 中继来覆盖此行为。
在 VRF 上启用 DHCP 中继时可能出现的一个问题是,使用同一 VRF 连接到 EVPN 交换矩阵访问交换机的客户端可能突然无法获得 DHCP 租约!
根据正在使用的 Junos 版本,可能会发生此行为,因为启用 DHCP 中继代理会在 VRF 中安装隐藏的流量过滤器。这些过滤器可能会无意中阻止来自接入交换机的 DHCP 中继数据包,即使这些数据包只是与本地生成的流量一起通过 VRF。要避免或解决此问题,可以使用以下方法之一:
- 如果服务块功能交换机是物理设备,请将其他 Junos 配置
set groups top routing-instances <vrf> forwarding-options dhcp-relay no-snoop
- 如果在虚拟交换机虚拟机上运行服务块功能,上述调整不起作用,建议将接入交换机上的客户端使用的VLAN拆分为一个VRF,将所有无线客户端放入另一个VRF中。这样,服务块上的 DHCP 中继配置将不会干扰其他 VRF。
以下是 VLAN 1099 的无线客户端分支所需的配置:
set interfaces irb unit 1099 family inet address 10.99.99.1/24
set interfaces irb unit 1099 family inet mtu 9000
set interfaces irb unit 1099 description vlan1099
set interfaces irb unit 1099 no-dhcp-flood
set interfaces irb unit 1099 mac 00:00:5e:e4:31:57
#
set groups top routing-instances evpn_vs vlans vlan1099 l3-interface irb.1099
set groups top routing-instances customera interface irb.1099
#
set groups top routing-instances customera forwarding-options dhcp-relay server-group vlan1099 192.168.122.12
set groups top routing-instances customera forwarding-options dhcp-relay group vlan1099 interface irb.1099
set groups top routing-instances customera forwarding-options dhcp-relay group vlan1099 active-server-group vlan1099
set groups top routing-instances customera forwarding-options dhcp-relay group vlan1099 relay-option-82 circuit-id vlan-id-only
set groups top routing-instances customera forwarding-options dhcp-relay group vlan1099 relay-option-82 server-id-override
set groups top routing-instances customera forwarding-options dhcp-relay group vlan1099 route-suppression destination
set groups top routing-instances customera forwarding-options dhcp-relay group vlan1099 overrides relay-source lo0.1
set groups top routing-instances customera forwarding-options dhcp-relay forward-only
set groups top routing-instances customera forwarding-options dhcp-relay no-snoop
以下是 VLAN 1088 的无线客户端分支所需的配置:
set interfaces irb unit 1088 family inet address 10.88.88.1/24
set interfaces irb unit 1088 family inet mtu 9000
set interfaces irb unit 1088 description vlan1088
set interfaces irb unit 1088 no-dhcp-flood
set interfaces irb unit 1088 mac 00:00:5e:e4:31:57
#
set groups top routing-instances evpn_vs vlans vlan1088 l3-interface irb.1088
set groups top routing-instances customerb interface irb.1088
#
set groups top routing-instances customerb forwarding-options dhcp-relay server-group vlan1088 192.168.122.12
set groups top routing-instances customerb forwarding-options dhcp-relay group vlan1088 interface irb.1088
set groups top routing-instances customerb forwarding-options dhcp-relay group vlan1088 active-server-group vlan1088
set groups top routing-instances customerb forwarding-options dhcp-relay group vlan1088 relay-option-82 circuit-id vlan-id-only
set groups top routing-instances customerb forwarding-options dhcp-relay group vlan1088 relay-option-82 server-id-override
set groups top routing-instances customerb forwarding-options dhcp-relay group vlan1088 route-suppression destination
set groups top routing-instances customerb forwarding-options dhcp-relay group vlan1088 overrides relay-source lo0.2
set groups top routing-instances customerb forwarding-options dhcp-relay forward-only
set groups top routing-instances customerb forwarding-options dhcp-relay no-snoop
包含“l3-interface”的行包含“routing-instances evpn_vs”语句只是因为我们的核心交换机是 vJunos 交换机虚拟机。 请务必验证您自己的交换矩阵和部署的配置是否正确。
在我们的设置中,这是通过在交换机模板中为其他 CLI 命令定义角色并将该角色分配给 core1 和 core2 来添加的。然后,这些语句显示为基于规则的 CLI 命令。或者,可以在每台交换机上单独添加其他 CLI 命令。
提供的其他 Junos CLI
接下来,我们将配置瞻博网络 Mist Edge。下图显示了实验室设置后的状态,其中两个瞻博网络 Mist Edge 虚拟机使用提供的注册码在瞻博网络 Mist 云中启动和注册。
在此示例中,瞻博网络 Mist Edge 在全局级别使用,未分配到特定站点,因此显示为“未分配”。大型组织可以选择将 Mist Edge 分配给站点,并通过 组织 -> 站点配置 选项配置隧道。此方法未在我们的示例中实现,因为我们想演示按站点随机播放功能是如何工作的。
接下来,我们按如下方式配置第一台瞻博网络 Mist Edge:
- 姓名=
mistedge1 - IP=
10.11.11.5(请记住,我们接入点的 VLAN 应与使用的 Mist-Edge VLAN 不同) - 网络掩码=
/24 - 网关=
10.11.11.1 - 分离上行和下行流量=
Unchecked - 接口 ge0=
Checked - 接口 ge1=
Checked - DHCP 中继 =
Unchecked
请勿直接在瞻博网络 Mist Edge 上配置 DHCP 中继。交换矩阵的设置是为了通过服务块功能处的 VRF 处理此流量。
接下来,我们按如下方式配置第二台瞻博网络 Mist Edge:
- 姓名=
mistedge2 - IP=
10.11.11.6(请记住,我们接入点的 VLAN 应与使用的 Mist-Edge VLAN 不同) - 网络掩码=
/24 - 网关=
10.33.33.1 - 分离上行和下行流量=
Unchecked - 接口 ge0=
Checked - 接口 ge1=
Checked - DHCP 中继 =
Unchecked
然后,配置包含两个 Mist Edge 的 Mist Edge 群集。
- 姓名=
site-cluster - Mist Edges=
mistedge1和mistedge2 - 主机名/IPs=
10.11.11.5,10.11.11.6(分配瞻博网络 Mist Edge 时自动发生) - 接入点子网 =
10.33.33.0/24(此配置可选。启用后,瞻博网络 Mist Edge 仅当接入点的源 IP 地址在分配给 VLAN 1033 的范围内时才接受隧道) - 隧道主机选择=
Shuffle by Site(此配置是必需的,并确保同一站点或交换矩阵中的所有接入点使用同一个瞻博网络 Mist Edge)
您的群集分配现在应该可以在瞻博网络 Mist Edge 上看到:
创建的群集应如下图所示:
不要在未选择群集上的“按站点随机播放”的情况下继续!在此设计中,指示接入点尽可能长时间地使用单个瞻博网络 Mist Edge 非常重要。
接下来,配置从接入点到瞻博网络 Mist Edge(在本例中为 vlan1033)的叠加隧道:
- 姓名=
fabric1-downstream - VLAN ID=
1099, 1088(取决于无线客户端流量的所有分支 VLAN) - 主群集=
site-cluster - 辅助群集=
No Cluster - 协议=
UDP - MTU=
1500 - IPsec=
Unchecked - 自动抢占 =
Enabled(如果一个接入点意外漫游到第二个瞻博网络 Mist Edge,而主 Edge 仍处于活动状态并管理其他接入点,则该接入点将自动漫游回主接入点。) - 每 15 分钟 =
Checked(漫游应尽快回传,因此采用此配置)
的交换矩阵隧道
您输入的配置应该会产生如下所示的概述:
此时,没有接入点连接到瞻博网络 Mist Edge,因为尚未为其指定隧道配置:
成的 Mist-Edge 隧道
最后一个配置步骤是,我们需要使用有关隧道配置的信息配置 WLAN 模板。以下是配置了两个 SSID 的交换矩阵模板:
我们的第一个 SSID 的配置是一个简单的 PSK。您需要配置一个隧道分支 VLAN,标记如下所示:
- VLAN =
Tagged - VLAN ID=
1099
现在,此 SSID 的隧道配置如下所示:
- 自定义转发=
Checked - 收件人=
Org Mist Edge - 隧道 =
fabric1-downstream
上的隧道配置
除非有特殊需求,否则请勿启用这两个附加功能。默认情况下,将“在 Mist 隧道关闭时禁用 WLAN”和“在 Mist Edge 群集发生更改时重新连接客户端”保持禁用状态。当瞻博网络 Mist Edge 在 EVPN 交换矩阵中运行时,这些选项不是必需的,因为隧道距离很短,而且新群集通常使用上游配置,而上游配置可能会有帮助。
第二个 SSID 的配置同样是一个简单的 PSK。您需要配置一个隧道分支 VLAN,标记如下所示:
- VLAN =
Tagged - VLAN ID=
1088
现在,此 SSID 的隧道配置应再次如下所示:
- 自定义转发=
Checked - 收件人=
Org Mist Edge - 隧道 =
fabric1-downstream
.png)
上的隧道配置
此外,请确保在此设计中所有接入点确实属于同一个站点。
完成最后一步后,配置就完成了。正如预期的那样,您现在应该会看到两个接入点仅连接到其中一个瞻博网络 Mist Edge,因为它们是同一站点的一部分,并且按站点随机选项会为它们指定一个特定的 Mist Edge。这可以确认接入点仍锚定到单个 Mist Edge。还应看到隧道服务处于活动状态,表示配置有效。
构建隧道
您现在还可以看到显示瞻博网络 Mist Edge 和群集的接入点视图:
Mist-Edge 可见性
以及来自选定个人接入点的报告:
另请查看瞻博网络 Mist Edge 洞察,如下例所示:
站点 隧道创建的替代配置选项
在此示例中,我们使用了全局瞻博网络 Mist Edge 以及启用了按站点随机播放选项的群集。但是,这并不是配置系统的唯一方法。您还可以直接通过站点设置部署 Mist Edge 并建立隧道,而无需创建群集。为此,请导航到 组织→站点配置→ <AP的站点> 然后选择 添加隧道。
下创建 Mist Edge 隧道
这是我们站点的隧道配置:
- VLAN ID=
1099, 1088(取决于用于无线客户端流量的所有分支 VLAN) - 协议=
UDP - 接入点子网 =
10.33.33.0/24(可选地将隧道终止限制为仅使用此源 IP 的接入点) - MTU=
1500 - IPsec=
Unchecked - 已启用主群集=
Checked/Enabled- 主机 IP=
10.11.11.5
- 主机 IP=
- 辅助群集已启用=
Checked/Enabled- 主机 IP=
10.11.11.6
- 主机 IP=
- 自动抢占 =
Enabled(如果某个接入点无意中漫游到第二个 Mist Edge,而原始接入点仍处于活动状态,则应与其他接入点一起返回到原始 Mist Edge)- 每 15 分钟 =
Checked(应尽快回游,因此采用此配置)
- 每 15 分钟 =
由于按站点随机播放选项在站点配置级别不可用,因此您必须手动指定主要和辅助瞻博网络 Mist Edge。此设置可确保接入点在 EVPN 交换矩阵内的单个指定 Mist Edge 上终止其隧道。
测试您的配置
此时,所有必需的配置都已完成,您可以启动无线客户端进行测试。在我们的案例中:
- Desktop3 虚拟机连接到 SSID dc51-psk,在第一个 VRF 上分配给 VLAN 1099,并接收 DHCP 租约。
- Desktop4 虚拟机连接到 SSID dc51-psk2,在第二个 VRF 上分配给 VLAN 1088,并接收 DHCP 租约。
两个连接的无线客户端报告如下:
在 瞻博网络 Mist 门户中使用 站点>交换机数据包捕获 时,可以捕获进入交换机端口的流量。下面,您可以看到从 接入点连接到 Access1 交换机的接口获取的跟踪。您可以看到与接入点(指向瞻博网络 Mist 云)的 HTTPS 通信,以及(指向本地瞻博网络 Mist Edge)的 L2TPv3 隧道。
上的数据包捕获
以下输出来自作为集成两个瞻博网络 Mist Edge 的服务块的 Core1 交换机:
root@core1> show lldp neighbors
Local Interface Parent Interface Chassis Id Port
.
ge-0/0/1 - 2c:6b:f5:5e:9a:c0 evpn_uplink-to-0200043ef581 dist1
ge-0/0/2 - 2c:6b:f5:d9:94:c0 evpn_uplink-to-0200043ef581 dist2
ge-0/0/3 ae5 562537d5-60c9-45cd-9883-93bd614382d3 port0 mistedge1
ge-0/0/4 ae6 fbed3379-875a-4329-a957-03c64788d8ef port0 mistedge2
.
root@core1> show lacp interfaces
.
.
Aggregated interface: ae5
LACP state: Role Exp Def Dist Col Syn Aggr Timeout Activity
ge-0/0/3 Actor No No Yes Yes Yes Yes Fast Active
ge-0/0/3 Partner No No Yes Yes Yes Yes Fast Active
LACP protocol: Receive State Transmit State Mux State
ge-0/0/3 Current Fast periodic Collecting distributing
Aggregated interface: ae6
LACP state: Role Exp Def Dist Col Syn Aggr Timeout Activity
ge-0/0/4 Actor No No Yes Yes Yes Yes Fast Active
ge-0/0/4 Partner No No Yes Yes Yes Yes Fast Active
LACP protocol: Receive State Transmit State Mux State
ge-0/0/4 Current Fast periodic Collecting distributing
.
root@core1> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC,
B - Blocked MAC)
.
Ethernet switching table : 14 entries, 14 learned
Routing instance : evpn_vs
Vlan MAC MAC GBP Logical SVLBNH/ Active
name address flags tag interface VENH Index source
.
vlan1033 d4:20:b0:01:45:82 DR vtep.32769 172.16.254.6
vlan1033 d4:20:b0:01:46:4f DR vtep.32770 172.16.254.5
vlan1033 fa:13:47:b8:a3:c6 DLR ae5.0
vlan1033 fe:54:00:42:27:e4 DR ae6.0
vlan1088 34:e8:94:db:5a:fd DLR ae5.0
vlan1088 52:54:00:3d:91:08 DR vtep.32769 172.16.254.6
vlan1099 1c:fd:08:77:93:4b DR vtep.32770 172.16.254.5
vlan1099 52:54:00:2c:80:63 DR vtep.32770 172.16.254.5
以下内容来自作为集成两个瞻博网络 Mist Edge 的服务块的 Core2 交换机:
root@core2> show lldp neighbors
Local Interface Parent Interface Chassis Id Port info System Name
.
ge-0/0/1 - 2c:6b:f5:5e:9a:c0 evpn_uplink-to-020004070deb dist1
ge-0/0/2 - 2c:6b:f5:d9:94:c0 evpn_uplink-to-020004070deb dist2
ge-0/0/3 ae5 562537d5-60c9-45cd-9883-93bd614382d3 port1 mistedge1
ge-0/0/4 ae6 fbed3379-875a-4329-a957-03c64788d8ef port1 mistedge2
.
root@core2> show lacp interfaces
.
.
Aggregated interface: ae5
LACP state: Role Exp Def Dist Col Syn Aggr Timeout Activity
ge-0/0/3 Actor No No Yes Yes Yes Yes Fast Active
ge-0/0/3 Partner No No Yes Yes Yes Yes Fast Active
LACP protocol: Receive State Transmit State Mux State
ge-0/0/3 Current Fast periodic Collecting distributing
Aggregated interface: ae6
LACP state: Role Exp Def Dist Col Syn Aggr Timeout Activity
ge-0/0/4 Actor No No Yes Yes Yes Yes Fast Active
ge-0/0/4 Partner No No Yes Yes Yes Yes Fast Active
LACP protocol: Receive State Transmit State Mux State
ge-0/0/4 Current Fast periodic Collecting distributing
root@core2> show ethernet-switching table
.
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC,
B - Blocked MAC)
.
Ethernet switching table : 15 entries, 15 learned
Routing instance : evpn_vs
Vlan MAC MAC GBP Logical SVLBNH/ Active
name address flags tag interface VENH Index source
.
vlan1033 d4:20:b0:01:45:82 DR vtep.32769 172.16.254.6
vlan1033 d4:20:b0:01:46:4f DR vtep.32770 172.16.254.5
vlan1033 fa:13:47:b8:a3:c6 DLR ae5.0
vlan1033 fe:54:00:42:27:e4 DL ae6.0
vlan1088 34:e8:94:db:5a:fd DLR ae5.0
vlan1088 52:54:00:3d:91:08 DR vtep.32769 172.16.254.6
vlan1099 1c:fd:08:77:93:4b DR vtep.32770 172.16.254.5
vlan1099 34:e8:94:db:53:79 DLR ae5.0
vlan1099 52:54:00:2c:80:63 DR vtep.32770 172.16.254.5
构建一个由四个瞻博网络 Mist Edge 和 ESI-LAG 交换矩阵连接以实现扩展的混合实验室
有时,依靠一台瞻博网络 Mist Edge 而另一台设备作为备用设备并不能满足更大规模的部署需求。在这种情况下,您需要考虑如何增加容量和扩展系统。
总体而言,主要有两种扩展策略:
- 扩展单个群集:这涉及到将更多瞻博网络 Mist Edge 添加到上一章所述的当前群集中,并将接入点划分为多个站点,以便它们根据按站点随机播放功能开始使用不同的 Mist Edge。这遵循 N+1 冗余模型,其中 N 是按站点定义的。使用此方法,群集中的所有 Mist Edge 必须是相同的型号或 SKU,因为您无法控制每个接入点在单个群集中选择哪个 Mist Edge。
- 通过引入成对的群集来扩展:在这种方法中,通过一次添加两个新群集来扩展系统,分别指定为主群集和辅助群集。每个群集中只有一个 Mist Edge 处于活动状态。这使用 N(主集群)+ N(辅助集群)冗余模型,其中 N 定义为移动性域(下文将进一步解释)。群集对中的 Mist Edge 必须是相同的型号或 SKU,但不同的群集对可以使用不同的模型,为您提供更大的灵活性。
扩展单个群集
此方法很简单:您可以通过添加更多 Mist Edge 来扩展现有单设备群集,然后将接入点分布到多个站点,而不是将它们全部放在一个站点中。关键要求是每个站点应具有大致相同数量的接入点。您还需要确保接入点站点的数量不超过群集中的 Mist Edge 数量减去备用设备。遵循这些准则有助于保持设计的可管理和有效性。此外,在不同站点之间划分接入点时,请确保这些站点之间不会发生客户端漫游;否则,客户端流量将远离其通常锚定的 Mist Edge。
在下图中,一个 Mist Edge 及其冗余备份的容量已达到,因此添加了第三个 Mist Edge。接着将接入点分成两个独立的站点。使用此设置并通过启用按站点随机播放选项,第一个站点中的接入点会将其流量锚定到群集中的一个特定 Mist Edge,而第二个站点中的接入点将使用剩余两个 Mist Edge 之一进行流量锚定。
通过引入集群对来扩展
当单个群集达到其扩展限制时,我们建议采用这种设计。虽然稍微复杂一些,但它提供了更大的灵活性和对资源使用的更精细的控制。您不应通过划分站点来进行扩展,而应关注流量分配需求,并开始围绕移动性域的概念进行规划。
为了扩容,必须根据流量分支目的地(如特定群集)对网络进行分段。在上一章中,整个交换矩阵被视为一个单元,没有引入移动性域的概念。然而,在更大的规模上,评估无线客户端如何使用网络资源同时考虑其位置和 VLAN 边界就变得非常重要了。
按照惯例,大多数设计中的移动性域允许客户端在单个 SSID 内漫游,而无需刷新其 IP 地址以进行进一步的网络通信。
移动性域的最小级别可定义为 SSID 中的单个 VLAN,客户端流量从该 VLAN 的上游出口到交换矩阵网络。在上一章的示例中,两个客户端 VLAN 被多路复用成一条隧道,从接入点到包含主设备和辅助设备的瞻博网络 Mist Edge 群集。在更新的设计中,使用了两个独立的隧道,每个 VLAN 映射到一个隧道。通过这种方法,可以引入一对新的瞻博网络 Mist Edge,它们仅处理第二个隧道及其关联 VLAN 的流量。这一变化有效地分配了流量负载,并提供了通过根据需要添加更多瞻博网络 Mist Edge 对来实现扩展的能力。
查看移动性域及其可扩展性的另一种方法是考虑无线客户端的地理位置。例如,在采用 PoD 设计(如下图所示)的大型园区网络中,可以为连接到同一交换矩阵的附加建筑部署第二组分布和接入交换机。在此场景中,我们假设出于技术原因,两个 PoD 必须同时支持相同的无线客户端 VLAN。但是,客户端不太可能或很少在两栋建筑之间漫游,每个 Pod 代表一栋建筑。
为了提高此设置中的可扩展性,可以通过为每个 Pod 分配一对专用的瞻博网络 Mist Edge 来划分工作负载,使其能够独立扩展。这是通过创建两个隧道(每个隧道承载所有 VLAN)来实现的。然后,每个 Pod 中的接入点配置为仅使用与其各自 PoD 关联的 隧道,该 PoD 与为该位置提供服务群集瞻博网络Mist Edge绑定。
时的 Mist Edge 规模设计
还有许多其他方法可以定义如何使用瞻博网络 Mist Edge 群集资源,以及如何对流量进行分段以适应更大的规模。我们无法在此一一列举,因为它们会根据每个客户的网络要求而单独变化。
由一对冗余的瞻博网络 Mist Edge 实施的单个移动性域不得超过 4,000 个连接的接入点。
下面看到的实验室示例显示了在成对的瞻博网络 Mist Edge 群集中分配 VLAN 的更常见方法。
实验室准备
在我们的实验室中,我们额外添加了两台瞻博网络 Mist Edge 交换机,如下所示:
的实验室
瞻博网络 Mist Edge 和交换矩阵配置
我们对交换矩阵、服务块、瞻博网络 Mist Edge、接入点和接入交换机重复与上一个完全相同的配置 使用 两个瞻博网络 Mist Edge 和 ESI-LAG 交换矩阵连接构建混合实验室。需要作出的改变包括:
- 在服务块功能上添加 ESI-LAG
- 添加两个瞻博网络 Mist Edge 群集
- 再添加一个隧道
- 更改群集和隧道以支持拆分移动性
- 可选:更改接入点站点分配以实现拆分移动性支持
第三台瞻博网络 Mist Edge 的 Core1-Switch 和 Core2-Switch 配置如下:
- 端口 ID=
ge-0/0/7 - 接口=
L2 interface - 配置文件=
me-uplink - 端口聚合=
Enabled- AE Index=
7(您需要确保此索引值是唯一的,并且仅在指向同一瞻博网络 Mist Edge 的接口上使用) - ESI-LAG=
Enabled(必须启用此功能)
- AE Index=
的 ESI-LAG
第四台瞻博网络 Mist Edge 的 Core1-Switch 和 Core2-Switch 配置为:
- 端口 ID=
ge-0/0/8 - 接口=
L2 interface - 配置文件=
me-uplink - 端口聚合=
Enabled- AE Index=
8(您需要确保此索引值是唯一的,并且仅在指向同一瞻博网络 Mist Edge 的接口上使用) - ESI-LAG=启用(启用此功能为必选项)
- AE Index=
的 ESI-LAG
接下来,我们按如下方式配置第三台瞻博网络 Mist Edge:
- 姓名=
mistedge3 - IP=
10.11.11.7(请记住,接入点 VLAN 应不同于用于 瞻博网络 Mist Edge 的 VLAN)(请记住,我们的 AP 在同一VLAN1033,但其 DHCP 租期范围从 10.33.33.10 开始) - 网络掩码=
/24 - 网关=
10.11.11.1 - 分离上行和下行流量=
Unchecked - 接口 ge0=
Checked - 接口 ge1=
Checked - DHCP 中继 =
Unchecked
接下来,我们按如下方式配置第四台瞻博网络 Mist Edge:
- 姓名=
mistedge4 - IP=
10.11.11.8(请记住,接入点 VLAN 应不同于用于 瞻博网络 Mist Edge 的 VLAN)(请记住,我们的 AP 在同一VLAN1033,但其 DHCP 租期范围从 10.33.33.10 开始) - 网络掩码=
/24 - 网关=
10.11.11.1 - 分离上行和下行流量=
Unchecked - 接口 ge0=
Checked - 接口 ge1=
Checked - DHCP 中继 =
Unchecked
如果仍有上一个实验中的配置,请先从 AP 中移除隧道分配。接下来,删除隧道本身,然后删除站点群集配置。请勿修改现有瞻博网络 Mist Edge,因为其配置无需更改即可重复使用。
对于第一个 Mist Edge 群集,请配置以下内容:
- 姓名=
fabric1-primary-tunnel1 - Mist Edges=
mistedge1 - 主机名 / IPs=
10.11.11.5(分配 Mist Edge 时自动发生) - 接入点子网 =
10.33.33.0/24(这是可选配置。启用后,瞻博网络 Mist Edge 仅当接入点的源 IP 地址在分配给 VLAN 1033 的范围内时才接受隧道) - 隧道主机选择 =
Shuffle by Site(将同一站点(交换矩阵)中的所有接入点配置为使用同一 Mist Edge 时需要进行此设置)
对于第二个 Mist-Edge 群集,配置:
- 姓名=
fabric1-secondary-tunnel1 - Mist Edges=
mistedge2 - 主机名/IPs=
10.11.11.6(分配 Mist Edge 时自动发生) - 接入点子网 =
10.33.33.0/24这是一个可选配置,只有当 接入点的源 IP 地址在 vlan1033 上的范围内时,Mist-Edge 才会接受隧道。 - 隧道主机选择 =
Shuffle by Site强制要求,以告知同一站点(交换矩阵)中的所有接入点使用相同的 Mist-Edge。
对于第三个瞻博网络 Mist Edge 群集,请配置以下内容:
- 姓名=
fabric1-primary-tunnel2 - Mist Edges=
mistedge3 - 主机名/IPs=
10.11.11.7(分配瞻博网络 Mist Edge 时自动发生) - 接入点子网 =
10.33.33.0/24(此配置可选。启用后,瞻博网络 Mist Edge 仅当接入点的源 IP 地址在分配给 VLAN 1033 的范围内时才接受隧道) - 隧道主机选择=
Shuffle by Site(此配置是必需的,并确保同一站点或交换矩阵中的所有接入点使用同一个瞻博网络 Mist Edge)
对于第四个瞻博网络 Mist Edge 群集,请配置以下内容:
- 姓名=
fabric1-secondary-tunnel2 - Mist Edges=
mistedge4 - 主机名/IPs=
10.11.11.8(分配瞻博网络 Mist Edge 时自动发生) - 接入点子网 =
10.33.33.0/24(此配置可选。启用后,瞻博网络 Mist Edge 仅当接入点的源 IP 地址在分配给 VLAN 1033 的范围内时才接受隧道) - 隧道主机选择=
Shuffle by Site(此配置是必需的,并确保同一站点或交换矩阵中的所有接入点使用同一个瞻博网络 Mist Edge)
进行更改后,配置应如下图所示:
Mist-Edge 和群集
我们在这里保留了按站点随机播放的选项,即使从技术上讲这不是一个硬性要求,因为我们始终每个主/辅助群集只有一个 Mist Edge。作为良好实践,应始终在所有 EVPN 交换矩阵设计中使用按站点随机播放选项。
创建从接入点到 Mist-Edge(在本例中采用 vlan1033)配置的第一个叠加隧道:
- 姓名=
Tunnel1 - VLAN ID=
1099 - 主群集=
fabric1-primary-tunnel1 - 辅助群集=
fabric1-secondary-tunnel1 - 协议=
UDP - MTU=
1500 - IPsec=
Unchecked - 自动抢占 =
Enabled(如果接入点意外漫游到第二个瞻博网络 Mist Edge,而主 Edge 仍处于活动状态并管理其他接入点,则接入点将自动漫游回主接入点)- 每 15 分钟 =
Checked(漫游应尽快回传,因此采用此配置)
- 每 15 分钟 =
的第一个隧道
接下来,添加从接入点到瞻博网络 Mist Edge(在本例中为 vlan1033 中)的第二个叠加隧道的配置:
- 姓名=
Tunnel2 - VLAN ID=
1088 - 主群集=
fabric1-primary-tunnel2 - 辅助群集=
fabric1-secondary-tunnel2 - 协议=
UDP - MTU=
1500 - IPsec=
Unchecked - 自动抢占 =
Enabled(如果接入点意外漫游到第二个瞻博网络 Mist Edge,而主 Edge 仍处于活动状态并管理其他接入点,则接入点将自动漫游回主接入点)- 每 15 分钟 =
Checked(漫游应尽快回传,因此采用此配置)
- 每 15 分钟 =
的第二个隧道
您的更改应如下图所示:
的隧道
检查第一个 SSID 的配置:
由于我们为隧道1使用了VLAN 1099,因此需要创建自定义转发,现在配置:
- 自定义转发=
Checked/Enabled- 收件人=
Org Mist Edge
- 收件人=
- 隧道 =
Tunnel1
检查第二个 SSID 的配置:
由于我们将VLAN 1088用于隧道2,因此需要创建自定义转发,现在配置:
- 自定义转发=
Checked/Enabled- 收件人=
Org Mist Edge
- 收件人=
- 隧道 =
Tunnel2
进行此调整后,每个配置了两个 SSID 的接入点都将建立两条通向指定主群集的隧道,如下所示:
