Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

从 Cisco 无线/Aruba 无线迁移到瞻博网络 Mist 无线

探索从基于控制器的传统架构迁移到瞻博网络 Mist 的不同选项。

本文档适用于在生产园区环境中规划或执行从 Cisco 或 Aruba 无线网络迁移到瞻博网络 Mist 的网络架构师和工程师。

要启动迁移流程,第一步是评估用户的现有网络以及新环境的要求。明确定义这些要求后,下一步就是设计新的网络架构。最后一个阶段涉及制定详细的迁移计划——选择要评估的特定区域,进行试点部署,然后将设计过渡到全面生产阶段。

迁移选项

传统 无线 部署需要专用无线 LAN控制器 (WLC)(如 AireOS 或 Aruba WLC)来管理接入点 (AP)瞻博网络 Mist 接入点可直接通过 Mist 门户进行管理。这种方法使用户能够从单个云应用程序集中管理和监控跨多个站点的无线网络。

分布式数据平面或本地交换

在大型园区网络中,使用分布式数据平面方法,其中 Mist 接入点在本地将所有无线流量切换到网络的其余部分。此模型类似于使用Cisco AireOS的FlexConnect部署。

分布式数据平面方法的一个主要优势在于它能够满足 Wi-Fi 标准(例如 Wi-Fi 6E 和未来迭代)的吞吐量要求,因为每个接入点都可以在本地处理和转发自己的流量,而不是依赖于集中式控制器。

分布式数据平面与基于云的网络管理相结合,大大减少了部署的设备数量。在大多数情况下,不需要 WLC,因为所有网络设备都可以通过 Mist 门户进行管理和监控。

下面是一个示例,说明从Cisco FlexConnect部署(本地交换)迁移。

以下示例说明了从 Aruba 即时接入点部署迁移。Aruba 即时接入点平台提供企业级功能,无需移动性控制器。同一子网中的接入点将形成一个 IAP 群集,可通过选为指挥者的成员之一进行配置。此指挥运行虚拟控制器 (VC) 服务,可直接通过 Web 用户界面进行管理和监控,也可以通过 Aruba Central 或 AirWave 进行远程管理和监控。

集中式数据平面

在思科或 HP Aruba 基于控制器的部署中,Wi-Fi 客户端流量封装在接入点与控制器之间的 CAPWAP 或 GRE 隧道中。当来自端点的流量通过其无线接口到达接入点时,这些流量会被封装,并通过有线 LAN 转发到控制器。然后,控制器会检查流量,标记流量,并通过本地接口将其转发至中继的用户 VLAN。

在保留集中式数据路径的部署中,我们会将 WLC 替换为 Mist Edge 设备。流量从接入点以隧道传输到 Mist Edge。接入点可以在主群集中的 Mist Edge 之间均衡流量负载。参见 图 1图 2

图 1:从基于 Aruba 控制器的网络迁移到集中式数据平面网络 Migration from Aruba Controller-Based Network to a Centralized Data Plane Network
图 2:从基于 Cisco 控制器的网络迁移到集中式数据平面网络

交换架构指南

接入交换机端口准则

在设计底层交换架构时,请遵循以下建议将接入交换机端口连接到接入点:

  • 将端口配置为中继端口,使接入点在将无线流量切换至有线网络时能够传递多个 VLAN。
    • 确保端口上允许用于接入点管理流量的 VLAN 和每个广播的 SSID。
    • 要实现接入点的全自动部署,请将中继端口上的本征 VLAN 指定为接入点的管理 VLAN。

  • 使用生成树、Portfast 中继、BPDU 保护和根保护配置端口。

如果有线客户端连接到同一交换机,则与有线客户端关联的 VLAN 应仅限于该特定接入交换机(请参阅以下示例)。与无线客户端关联的 VLAN 应跨越漫游域中的所有接入交换机。

分布层交换机指南

对于分布层交换机,将交换机配置为虚拟机箱/堆栈或使用 HSRP/VRRP 实现冗余。

  • 虚拟机箱或堆叠架构提供分布层冗余,无需有意的第 2 层环路。

    • 使用 EtherChannel 将从接入交换机到分布式交换机的上行链路配置为中继端口。

    • 将中继端口上允许的 VLAN 限制为仅必要的 VLAN。

  • HSRP 或 VRRP 提供第一跳冗余

    • 在同一交换机上配置 STP 根和 HSRP 主节点。

    • 使用 EtherChannel 将来自接入交换机的上行链路配置为中继端口。

    • 在下行链路上实施 BPDU 和 Root Guard,在上行链路上实施环路保护。

    • 仅允许在通向分布层的中继上使用必要的 VLAN。

    • 确保在分布层与属于漫游域的所有接入交换机之间的中继上允许无线客户端用于 WLAN 连接的 VLAN。

    • 请注意,由于接口的虚拟 MAC 地址与物理 MAC 地址之间的差异而导致的潜在非对称流量问题,这可能会影响强制门户重定向。为了缓解此类问题,我们建议使用单个网关 MAC 地址。

漫游域

漫游域是一个 RF 连续性区域,客户端在域内移动时可以保持与同一 SSID 的连接。漫游域可以跨越多个物理或虚拟域,在这些域中,用户需要快速、无缝的漫游来保持其应用的连接。

无缝漫游可确保客户端在不同接入点之间漫游时保留其 IP 地址和策略。

当客户端无需每次漫游到新接入点时都重新验证时,就会发生快速漫游。为了实现快速和安全漫游,在初始身份验证期间派生的配对主密钥 (PMK) 必须一致,并在整个漫游域中共享。密钥共享允许客户端以最小的延迟(通常小于 50 毫秒)在接入点之间移动。您可以启用密钥缓存协议,例如 802.11r 或 OKC,这些协议也必须由客户端支持。网络可以利用 802.11k 或 802.11v 进行进一步优化

漫游域可以跨越楼层组、一栋建筑或多栋建筑。为漫游域选择的物理或虚拟分组决定了接入点在 Mist 门户中的组织方式。
在 Mist 门户中,两个主要的管理设计结构定义了网络的管理方式:

  • 组织: 属于单个组织的网站集合
  • 站点: 通常映射到地理位置(如站点、建筑物组、建筑物或楼层)的一组设备。

由于这种设计,必须规划漫游域,使其使用清晰的 RF 边界来划分园区的物理位置。这种结构可确保客户端在同一漫游域内的接入点之间漫游。如何找到这些划分的示例可以是:

  • 地理区域: 识别园区内易于划分的逻辑分隔。例如,北翼、南翼、东翼和西翼等区域通常代表重要的物理边界,是单独漫游域的合适选择。
  • 户外无线: 将室外无线区域及其相邻的建筑物分组。

建议将园区分段,将其作为最小的漫游域进行构建。这有助于避免楼层之间的 RF 泄漏,从而导致客户端设备可能连接到不同楼层的接入点。否则,客户端可能会在同一栋建筑内遇到困难漫游。

在确定漫游域大小时,必须了解客户端是使用第 2 层 (L2) 还是第 3 层 (L3) 漫游。因为由于底层交换架构的原因,选择将显著影响漫游域的大小。

  • 当客户端在广播相同 SSID 并与同一 VLAN 关联的接入点之间漫游时,就会发生 L2 漫游。由于客户端保留在同一子网中,因此会保留其现有 IP 地址,从而实现无缝和快速漫游。

    当客户端漫游到同一 WLAN 与不同 VLAN 关联的接入点时,子网会发生变化。这会中断现有会话,并要求客户端进行 DHCP 更新,这可能需要几秒钟的时间。

  • 当客户端漫游到同一WLAN与不同 VLAN 关联的接入点时,就会发生 L3 漫游。但是,隧道或重新锚定到原始接入点等机制使客户端能够保留其 IP 地址,确保无缝漫游。

但是,若要为 WLAN 启用相同的 VLAN 进行 L2 漫游,就需要将 VLAN 扩展到漫游域内的所有接入交换机,可能跨越多个配线间,甚至多栋建筑物。根据漫游域中的设备数量,VLAN 可能需要一个大型子网,从而形成一个大型广播域。

VLAN 的大小受站点部署的第 2 层和第 3 层交换机类型的影响。MAC 地址和 ARP 表规模、生成树操作对 CPU 的影响、客户端规模和 DHCP 范围设计等因素直接影响可部署的 VLAN 大小。在设计接入网络时,遵循既定的最佳实践。

除了建立 RF 边界外,建议为每个漫游域分配单独的 VLAN 或子网。这样做会将广播域限制在漫游域的大小范围内,从而减少广播、未知单播和组播 (BUM) 流量等流量的影响。这种方法还可以减少故障和安全威胁(如 TCAM/ARP 攻击和广播风暴),并简化管理,因为可以更轻松地按 VLAN 或子网定位客户端。

迁移到 Mist 的主要注意事项

以下步骤反映了客户部署中常见的最佳做法。具体的迁移顺序可能因网络设计、客户端行为和运维限制而异。

  • 进行现场调查,选择合适的接入点和天线。

  • 保留接入点的现有交换机端口配置(用于集中式设计)。

  • 定义确保无缝漫游的漫游域。

  • 建立用于客户端身份验证的 RADIUS 集成。

  • 分阶段更换接入点,并在可用的情况下利用 6 GHz 频段。

  • 在已安装的 Cisco 或 Aruba 基础上禁用快速漫游、恶意接入点、缓解和通道规划。

  • 验证客户端性能是否仍然可接受。

  • 确定一个足够小的区域,可以在交叉最小的单个更换窗口中进行更改,例如夹层楼层。

    • 部署瞻博网络接入点时,漫游功能同样精简,但要保持信道规划。

    • 在执行实时拣选任务的同时,测试进出该区域的所有客户端类型。

    • 定义可接受的失败率,以验证分阶段部署方法的可行性。

  • 在每个阶段测试和验证漫游点,以确保它们满足商定的阈值。

  • 迁移完所有接入点后,确定 Mist Edge 要求。

    如果需要 Mist Edge:

    • 在 Cisco 控制器旁边安装一对 Mist Edge。

    • 将客户端 SSID 映射到相同的 VLAN。

    • 保留现有接入交换机配置。

    如果不需要 Mist Edge,请为本地分支线缆重新配置边缘交换机。

  • 在瞻博网络 Mist 门户上启用快速漫游和恶意接入点管理功能

以下模拟说明了在理想条件下如何进行部署,

Cisco Wireless (AireOS) 到瞻博网络 Mist 的架构迁移

从 Cisco 集中式无线架构迁移到 Mist

在思科集中式架构部署中,管理功能通常由管理许多轻型AP的WLC处理。这些AP在轻量级接入点模式下运行,这意味着它们依靠WLC来执行管理任务。

Mist 解决方案利用 Mist Edge 处理需要为园区分支机构部署保留集中式数据路径架构的情况。该解决方案提供相同级别的冗余和对公司资源的访问,同时扩展对用户网络体验的可见性并简化 IT 运维。Mist接入点可建立 L2TPv3 隧道,以同时从位于园区、数据中心或停火区中的一个或多个 Mist Edge 扩展一个或多个 VLAN。Mist 接入点可以同时支持本地和集中式数据路径。

从 Cisco FlexConnect 无线架构迁移到 Mist

FlexConnect 是一款适用于分支机构和远程办公室部署的无线解决方案。此解决方案支持在 WAN 链路上的远程分支机构部署和配置接入点,而控制器则放置在中心位置。FlexConnect AP可以在本地切换客户端数据并执行客户端身份验证。当接入点连接到控制器时,它们还可以将流量发送回控制器。

瞻博网络 Mist Wireless Assurance 可自动进行故障排除和运维,提供可预测、可靠和可衡量的无线性能,并近乎实时地掌握用户服务级别。