摩托罗拉无线WING5.0培训文档-2.ppt

wing 5.0 峰会,约翰 塞林 技术营销工程师 enc摩托罗拉解决方案,1,摩托罗拉专利，保密文件,wing 5.0 峰会,第一天： 主要概念 初始配置 第二天： 接入点采用 虚拟局域网（vlan） 无线局域网（wlan） 防火墙,第三天： 无线 ips 冗余 智能射频 提示与故障排除,摩托罗拉专利，保密文件,2,日程,接入点采用（access point adoption）,摩托罗拉专利，保密文件,3,接入点采用,wing 5.0 提供有线网络上的ap-650和ap-7131即插即用接入点采用。 未来的wing 5.0 版本将允许无线链路上的采用及相邻接入点的集中式管理上的采用。 ap-650 和 ap-7131 接入点均可在第2层或第3层采用。,摩托罗拉专利，保密文件,4,引言,接入点采用,无线控制器和接入点采用mint协议作为设备发现、配置和控制的主要方式。 无线控制器和接入点形成可以建立在vlan或ip网络上的mint链路： 第2层发现、管理和流量控制使用以太网类型字段0x8783（点到多点） 第3层发现、管理和流量控制使用udp端口24576（点到点） 允许发现、管理和流量控制在设备之间转发，不论这些设备怎样连接到物理网络,摩托罗拉专利，保密文件,5,协议,wing 5.0 网络,2层,3层,接入点采用,第2层和第3层接入点采用仍然是即插即用，运行方式与以前的wing版本类似 在采用过程中，接入点将按以下优先次序加入到无线控制器： 在第2层接入点首选控制器群中发现的本地无线控制器 在第2层发现的负载最小的无线控制器 在第3层接入点首选控制器群中发现的无线控制器 在第3层发现的负载最小的无线控制器 wing 5.0的一个主要变化是，在第2层采用的接入点可能有一个分配的动态或静态ip地址。,摩托罗拉专利，保密文件,6,接入点采用过程,接入点采用,第3层发现依赖dhcp offer中的dhcp选项191，它可为接入点提供多达两组无线控制器ip地址： pool0 第一尝试ip地址或主机名 pool1 - 第二尝试ip 地址或主机名 当必须首先尝试一组特殊ip时非常有用（即本地控制器对集中式控制器）。 ap- 650和ap-7131接入点仍将保持对使用dhcp选项189（如存在）发现无线控制器的支持，解释为group 0。,摩托罗拉专利，保密文件,7,dhcp 选项,接入点采用,在默认情况下，接入点根据每个无线控制器的负载，自动在各无线控制器之间分配。 无线控制器负载的计算方法是采用容量减已采用接入点 接入点可在运行时（默认）进行负载平衡，或选择以预定方式进行 接入点可选择利用控制器群加入到一个无线控制器群： 管理员对一个或多个无线控制器定义一个控制器群名称； 管理员利用设备覆写或配置文件将首选控制器群名称分配到接入点。 如果对多个无线控制器定义同一控制器群名称，接入点将以负载为基础在无线控制器之间进行负载平衡。,摩托罗拉专利，保密文件,8,首选控制器群id,接入点采用,一旦接入点建立了第2层/第3层链路：,摩托罗拉专利，保密文件,9,接入点采用过程,接入点采用,摩托罗拉专利，保密文件,10,接入点采用 主用/备用,ap-650-1,ap-650-2,ap-650-3,ap-650-4,ap-650-5,ap-650-6,ap-650-7,ap-650-8,ap-650-9,ap-650-10,ap-650-11,ap-650-12,ap-650-13,ap-650-14,ap-650-15,ap-650-16,ap-650-17,ap-650-18,ap-650-19,ap-650-20,ap-650-21,ap-650-22,ap-650-23,ap-650-24,rfs6000 （主用）,）,ap-650-1,ap-650-2,ap-650-3,ap-650-4,ap-650-5,ap-650-6,ap-650-7,ap-650-8,ap-650-9,ap-650-10,ap-650-11,ap-650-12,ap-650-13,ap-650-14,ap-650-15,ap-650-16,ap-650-17,ap-650-18,ap-650-19,ap-650-20,ap-650-21,ap-650-22,ap-650-23,ap-650-24,rfs6000（备用,rfs6000-1 ap许可证： 48 ap群许可证：48 负载：24,rfs6000-2 ap许可证： 0 ap群许可证：48 负载：0,rfs6000-2 ap许可证： 0 ap群许可证：48 负载：24,接入点采用,摩托罗拉专利，保密文件,11,接入点采用 主用/备用,ap-650-1,ap-650-4,ap-650-5,ap-650-7,ap-650-10,ap-650-13,ap-650-14,ap-650-16,ap-650-17,ap-650-19,ap-650-22,ap-650-24,rfs6000 （主用）,rfs6000 （主用）,rfs6000-1 ap许可证： 48 ap群许可证：48 负载：12,rfs6000-2 ap许可证： 0 ap群许可证：48 负载：12,ap-650-2,ap-650-3,ap-650-6,ap-650-8,ap-650-9,ap-650-11,ap-650-12,ap-650-15,ap-650-18,ap-650-20,ap-650-21,ap-650-23,ap-650-2,ap-650-3,ap-650-6,ap-650-8,ap-650-9,ap-650-11,ap-650-12,ap-650-15,ap-650-18,ap-650-20,ap-650-21,ap-650-23,rfs6000-1 ap许可证： 0 ap群许可证：48 负载：24,接入点采用,摩托罗拉专利，保密文件,12,接入点采用 控制器群,rfs6000 （主用） 控制器群：dc1,rfs6000 （主用） 控制器群：dc2,rfs6000-1 ap许可证： 48 ap群许可证：48 负载：12,rfs6000-2 ap许可证： 0 ap群许可证：48 负载：12,ap-650-1 group: dc1,ap-650-2 group: dc2,ap-650-3 group: dc1,ap-650-4 group: dc2,ap-650-5 group: dc1,ap-650-6 group: dc2,ap-650-7 group: dc1,ap-650-8 group: dc2,ap-650-17 group: dc1,ap-650-18 group: dc2,ap-650-19 group: dc1,ap-650-20 group: dc2,ap-650-21 group: dc1,ap-650-22 group: dc2,ap-650-23 group: dc1,ap-650-24 group: dc2,ap-650-10 group: dc1,ap-650-11 group: dc2,ap-650-12 group: dc1,ap-650-13 group: dc2,ap-650-14 group: dc1,ap-650-15 group: dc2,ap-650-16 group: dc1,ap-650-9 group: dc2,ap-650-2 group: dc2,ap-650-4 group: dc2,ap-650-6 group: dc2,ap-650-8 group: dc2,ap-650-18 group: dc2,ap-650-20 group: dc2,ap-650-22 group: dc2,ap-650-24 group: dc2,ap-650-11 group: dc2,ap-650-13 group: dc2,ap-650-15 group: dc2,ap-650-9 group: dc2,rfs6000-1 ap许可证： 48 ap群许可证：48 负载：24,接入点采用,ap-650和ap-7131接入点直接连接到定义了本地vlan1的rfs4000/rfs6000千兆位以太网端口： 每个接入点在vlan1上建立连接到无线控制器的2层链路 每个接入点在vlan1上的2层加入到无线控制器 为便于部署，接入点不需要ip地址 与wing 4.x一样的即插即用体验！,摩托罗拉专利，保密文件,13,采用 应用实例 1（ 2 层采用 分支）,vlan 1,vlan 1,vlan 1,以太网类型 0x8783,接入点采用,rfs7000 / rfs6000 / rfs4000 无线控制器在vlan11上连接到2层以太网交换机 ap-650 和 ap-7131 接入点连接到定义了本地vlan 11 的以太网交换机边缘端口 每个接入点在vlan11上建立连接到无线控制器的2层链路 每个接入点在vlan11上的2层加入到无线控制器 为便于部署，接入点不需要ip地址 与wing 4.x一样的即插即用体验！,摩托罗拉专利，保密文件,14,采用 应用实例 2（ 2 层采用 园区）,vlan 11,vlan 11,vlan 11,vlan 11,以太网类型0x8783,接入点采用,rfs7000 / rfs6000 / rfs4000无线控制器在vlan 10上连接到数据中心的内核 ap-650 和 ap-7131接入点连接到定义了各种本地vlan的配线间的2层交换机端口 每个接入点在其本地vlan上建立一个连接数据中心里无线控制器的3层链路 每个接入点在其本地vlan上的3层加入到数据中心里的无线控制器 每个ap-650和ap-7131接入点需要静态网络地址或dhcp分配的网络地址,摩托罗拉专利，保密文件,15,采用 应用实例 3（ 3 层采用 园区）,vlan 10,vlan 11,vlan 12,vlan 13,vlan 11,vlan 12,vlan 13,ip/udp 24576,ip/udp 24576,接入点采用,rfs7000/ rfs6000 / rfs4000无线控制器在vlan 10上连接到数据中心内核 ap-650和ap-7131接入点在每个定义了各种本地vlan的站点连接到2层交换机端口 每个接入点在其本地vlan上建立连接数据中心里无线控制器的3层链路 每个接入点在其本地vlan上的3层加入到数据中心里的无线控制器 每个ap-650和ap-7131接入点需要静态网络地址或dhcp分配的网络地址,摩托罗拉专利，保密文件,16,采用 应用实例 3（ 3 层采用 wan）,vlan 10,vlan 20,vlan 30,vlan 20,vlan 30,vlan 20,vlan 30,接入点采用,wing 5.0现在允许管理员控制是否将启动配置储存在接入点 同时提供控制选项，控制是否将密钥、密码短语和密码储存在启动配置中。 在默认情况下， ap-7131接入点保存完整的启动配置 在默认情况下， ap-650接入点不保存启动配置 利用配置文件或设备覆写控制配置,摩托罗拉专利，保密文件,17,接入点启动配置,! store startup-config ! with all information profile ap650 default-ap650 automatic-write ! ! store startup-config except for ! secure information profile ap650 default-ap650 automatic-write secure !,接入点采用,对于即插即用部署，ap-650/ap-7131接入点必须连接到定义了未标记本地vlan的交换机端口： 本地vlan用于建立连接无线控制器的2层/3层mint链路 在默认情况下， ap-650/ap-7131接入点的ge端口被配置为分配到vlan1的acces（未标记） 通过vlan1执行无线控制器发现，直至采用完成以及ap-650/ap-7131接入点从无线控制器/集群继承其配置,摩托罗拉专利，保密文件,18,即插即用部署,接入点采用,利用dhcp分配网络地址时，必须指定一个虚拟ip接口，供无线控制器或接入点用于获取路由器和dns信息。 这一步骤是必不可少的，因为无线控制器和接入点一次只能支持一个默认网关。 在默认情况下，接入点将获悉vlan1虚拟ip接口上的dhcp选项。 一次只能从一个虚拟ip接口获悉dhcp选项,摩托罗拉专利，保密文件,19,即插即用部署（续）,! profile example profile ap7131 default-ap7131 interface vlan 11 ip address dhcp ip dhcp client request options all ! ! device override example ap7131 00-23-68-31-14-2d interface vlan 11 ip address dhcp ip dhcp client request options all !,接入点采用,摩托罗拉专利，保密文件,20,注意事项,接入点采用 实验室,摩托罗拉专利，保密文件,21,虚拟局域网,摩托罗拉专利，保密文件,22,虚拟局域网,wing 5.0支持三种vlan转发模式，以取代老式独立和扩展wlan模式： 分布式转发 接入点在本地桥接无线用户流量； 集中式转发 将使用扩展vlan的无线用户流量转发到无线控制器； 自适应转发 将使用扩展vlan的无线和有线用户流量根据目标主机的位置转发到无线控制器或接入点 设备的转发模式现在是根据桥接政策确定的，这些政策是利用配置文件或覆写分配到无线控制器和接入点的。 桥接政策提供更大的灵活性，因为它们允许对一些设备上的vlan进行本地桥接，而对其他设备上的同一vlan进行转发。,摩托罗拉专利，保密文件,23,简介,虚拟局域网,桥接政策控制无线控制器和接入点的转发行为 在默认情况下，将给所有无线控制器和接入点分配一个默认桥接政策 默认桥接政策将无线控制器和接入点配置为执行集中式转发。 分配到wlan的vlan在接入点和无线控制器之间自动转发 利用配置文件或覆写将默认或用户定义桥接政策分配给无线控制器和接入点 每次只能向一个设备分配一个桥接政策,摩托罗拉专利，保密文件,24,桥接政策,配置文件,桥接 政策,设备,设备,虚拟局域网,启用分布式转发的方法是，向ap-650 / ap-7131接入点的ge端口分配一个或多个vlan id，然后在分配的桥接政策中启用本地桥接。 等同于自主接入点使用的转发模式 无线控制器被完全从数据路径中删除 必要时，可桥接ap-7131上的ge1 和 ge2端口： 支持双归属（dual homing）或链路聚合性能 可用于连接到工作站、服务器、其他接入点或以太网交换机,摩托罗拉专利，保密文件,25,分布式转发 介绍,虚拟局域网,要启用接入点的分布式转发功能： 在分配给接入点的桥接配置文件中，启用本地桥接 将有线基础架构上的vlan扩展至连接接入点的ge端口 使用配置文件将vlan分配到接入点上的ge端口 将vlan分配给由接入点服务的wlan,摩托罗拉专利，保密文件,26,分布式转发 配置,! wlan example wlan corp ssid corp vlan 202 encryption-type ccmp authentication-type eap use aaa-policy centralized-aaa ! ! bridging policy example bridging-policy corp access-point local-bridging ! ! access point profile example profile ap650 corp-ap650 interface radio1 wlan corp bss 1 primary interface radio2 wlan corp bss 1 primary interface ge1 switchport mode trunk switchport trunk native vlan 201 no switchport trunk native tagged switchport trunk allowed vlan 201-202 use bridging-policy corp !,虚拟局域网,如果向无线控制器或接入点的ge端口分配了多个vlan，ge端口必须配置为802.1q中继。 802.1q 标记（tagging）允许ge端口作为多个vlan成员中的一员。 一个vlan被定义为本地vlan，可以是有标记的或未标记的。 其他 vlan为标记的。 在默认情况下，所有ge端口被配置为access （未标记），并被分配到本地vlan1。 对于即插即用部署，接入点应当使用一个未标记本地vlan管理。,摩托罗拉专利，保密文件,27,分布式转发 配置（续）,虚拟局域网,摩托罗拉专利，保密文件,28,分布式转发 无线客户端 1 无线客户端 2,! 桥接政策 默认桥接政策 接入点本地桥接,虚拟局域网,摩托罗拉专利，保密文件,29,分布式转发 无线客户端 1 无线客户端 3,! 桥接政策 默认桥接政策 接入点本地桥接,虚拟局域网,摩托罗拉专利，保密文件,30,分布式转发 无线客户端 1 无线客户端 4,! 桥接政策 默认桥接政策 接入点本地桥接,虚拟局域网,摩托罗拉专利，保密文件,31,分布式转发 无线客户端 1 服务器,! 桥接政策 默认桥接政策 接入点本地桥接,虚拟局域网,摩托罗拉专利，保密文件,32,分布式转发 应用实例 1（大型园区）,建筑物1,建筑物2,分配,服务，配置与管理,虚拟局域网,摩托罗拉专利，保密文件,33,分布式转发 应用实例 2（分支）,虚拟局域网,摩托罗拉专利，保密文件,34,分布式转发 注意事项,扩展vlan对wing 5.0来说是新功能，使vlan能够在接入点和无线控制器之间分配，无需将vlan扩大到物理网络： 在无线控制器和接入点（2层或3层采用的）上均得到支持 支持ap 有线流量转发到无线控制器的集中式转发 支持自适应转发，其中流量可以本地桥接，或用最接近目标主机的扩展vlan隧传（tunnelled）到无线控制器或接入点 允许隧传有线和无线客户端流量 为无线客户端提供无缝l3移动！,虚拟局域网,摩托罗拉专利，保密文件,35,扩展vlan 介绍,extended vlan 20,扩展 vlan 21,接入点采用,无线控制器和接入点使用mint协议在设备间转发扩展vlan流量 扩展vlan流量可通过l2或ip网络转发： 通过l2的扩展 vlan使用以太网类型 0x8783 （点对多点） 通过l3的扩展vlan 使用udp端口 24577 （点对点） 允许扩展vlan流量在设备之间隧传（tunnel） ，无论这些设备是如何连接到物理网络的,摩托罗拉专利，保密文件,36,扩展vlan 协议,wing 5.0 网络,2层,3层,虚拟局域网,扩展vlan支持两种转发模式： 集中式转发 可以将接入点至有线流量隧传（tunnelled）到无线控制器 自适应转发 如果接入点之间有可用mint路径，可以根据目标主机的位置直接在接入点之间隧传流量,摩托罗拉专利，保密文件,37,扩展vlan 转发模式,扩展vlan 集中式转发,扩展vlan 自适应转发,扩展vlan,扩展vlan,扩展vlan,扩展vlan,扩展vlan,虚拟局域网,使用桥接政策控制接入点的转发行为： 禁用本地桥接 （默认）： 在wlan中定义的vlan id在无线控制器和接入点之间自动扩展 不提供通过接入点至有线网络的路径 如果接入点之间存在vlan或ip mint链路，可直接隧传（tunnel）接入点至接入点的流量 启用本地桥接并定义扩展vlan id： 必须在桥接政策中定义一个或多个扩展vlan id 如果接入点之间存在vlan或ip mint链路，可直接隧传接入点至接入点的流量 如果扩展vlan被分配到接入点上的ge端口，提供将流量桥接到有线网络的能力,摩托罗拉专利，保密文件,38,扩展vlan 桥接政策,虚拟局域网,在默认情况下，将使用扩展vlan将所有无线 有线流量透明转发到无线控制器 等同于瘦接入点使用的转发模式 将无线 有线流量转发到无线控制器，即使vlan被分配到接入点ge端口 允许使用vlan1为单一vlan部署集中转发无线用户流量,摩托罗拉专利，保密文件,39,扩展vlan 集中式转发,虚拟局域网,启用接入点的集中式转发功能： 向被接入点服务的wlan分配vlan 将网络基础架构上vlan扩展至连接无线控制器的ge端口,摩托罗拉专利，保密文件,40,扩展vlan 集中式转发配置,! wlan example wlan corp ssid corp vlan 203 encryption-type ccmp authentication-type eap use aaa-policy centralized-aaa ! ! bridging policy example bridging-policy corp ! ! wireless controller profile example profile rfs7000 corp-rfs7000 interface ge1 switchport mode trunk switchport trunk native vlan 200 no switchport trunk native tagged switchport trunk allowed vlan 200,203 use bridging-policy corp ! ! access point profile example profile ap650 corp-ap650 interface radio1 wlan corp bss 1 primary interface radio2 wlan corp bss 1 primary interface ge1 switchport access vlan 201 use bridging-policy corp !,虚拟局域网,如果接入点之间存在vlan或ip mint链路，将直接在接入点之间隧传接入点 接入点的流量 2层采用的接入点 3层采用的、部署在同一子网上定义了一个mint vlan的接入点 3层采用的、定义了静态ip mint链路的接入点,摩托罗拉专利，保密文件,41,扩展vlan 自适应转发,虚拟局域网,启用接入点的自适应转发功能： 向被接入点服务的wlan分配vlan 将网络基础架构上vlan扩展至连接无线控制器的ge端口 在桥接政策中定义扩展vlan id 定义一个网站接入点之间的mint vlan或ip mint链路,摩托罗拉专利，保密文件,42,扩展vlan 自适应转发配置,! wlan example wlan corp ssid corp vlan 203 encryption-type ccmp authentication-type eap use aaa-policy centralized-aaa ! ! bridging policy example bridging-policy corp extended-vlan 203 ! ! wireless controller profile example profile rfs7000 corp-rfs7000 interface ge1 switchport mode trunk switchport trunk native vlan 200 no switchport trunk native tagged switchport trunk allowed vlan 200,203 use bridging-policy corp ! ! access point profile example profile ap650 corp-ap650 mint link vlan 201 interface radio1 wlan corp bss 1 primary interface radio2 wlan corp bss 1 primary interface ge1 switchport access vlan 201 use bridging-policy corp !,虚拟局域网,也可以在桥接政策中启用本地桥接，以允许本地桥接有线流量 根据目标主机的位置，将流量透明转发到扩展vlan上的目标主机 无线流量可由接入点直接转发到有线网络 可将无线流量转发到一个无线控制器 如果接入点之间存在一个mint链路，可直接在接入点之间隧传无线流量,摩托罗拉专利，保密文件,43,扩展vlan 自适应转发,虚拟局域网,启用执行分布式转发接入点的自适应转发功能： 向被接入点服务的wlan分配vlan 将网络基础架构上vlan扩展至连接无线控制器的ge端口 在桥接政策中定义扩展vlan id 定义一个网站接入点之间的mint vlan或ip mint链路,摩托罗拉专利，保密文件,44,扩展vlan 自适应转发配置,! wlan example wlan corp ssid corp vlan 203 encryption-type ccmp authentication-type eap use aaa-policy centralized-aaa ! ! bridging policy example bridging-policy corp access-point local-bridging extended-vlan 203 ! ! wireless controller profile example profile rfs7000 corp-rfs7000 interface ge1 switchport mode trunk switchport trunk native vlan 200 no switchport trunk native tagged switchport trunk allowed vlan 200,203 use bridging-policy corp ! ! access point profile example profile ap650 corp-ap650 mint link vlan 201 interface radio1 wlan corp bss 1 primary interface radio2 wlan corp bss 1 primary interface ge1 switchport mode trunk switchport trunk native vlan 201 no switchport trunk native tagged switchport trunk allowed vlan 201,203 use bridging-policy corp !,虚拟局域网,摩托罗拉专利，保密文件,45,集中式转发 无线客户端 1 无线客户端 2,! 桥接政策 默认桥接政策,虚拟局域网,摩托罗拉专利，保密文件,46,集中式转发 无线客户端 1 无线客户端 3,! 桥接政策 默认桥接政策,虚拟局域网,摩托罗拉专利，保密文件,47,集中式转发 无线客户端 1 无线客户端 4,! 桥接政策 默认桥接政策,虚拟局域网,摩托罗拉专利，保密文件,48,集中式转发 无线客户端 1 服务器,! 桥接政策 默认桥接政策,虚拟局域网,摩托罗拉专利，保密文件,49,扩展vlan 无线客户端 1 无线客户端 2,mint vlan 11,! 桥接政策 默认桥接政策,mint vlan 11,虚拟局域网,摩托罗拉专利，保密文件,50,扩展vlan 无线客户端 1 无线客户端 3,! 桥接政策 默认桥接政策,mint vlan 11,虚拟局域网,摩托罗拉专利，保密文件,51,扩展vlan 无线客户端 1 无线客户端 4,! 桥接政策 默认桥接政策,mint vlan 11,虚拟局域网,摩托罗拉专利，保密文件,52,扩展vlan 无线客户端 1 服务器,! 桥接政策 默认桥接政策,虚拟局域网,摩托罗拉专利，保密文件,53,扩展vlan 无线客户端 1 客户端 2,! 桥接政策 默认桥接政策 接入点本地桥接 扩展vlan 20-21,虚拟局域网,摩托罗拉专利，保密文件,54,扩展vlan 无线客户端 1 站点 1,! 桥接政策 默认桥接政策 接入点本地桥接 扩展-vlan 20-21,虚拟局域网,摩托罗拉专利，保密文件,55,扩展vlan 无线客户端 1 客户端 3,! 桥接政策 默认桥接政策 接入点本地桥接 扩展vlan 20-21,extended vlan 100,extended vlan 100,extended vlan 100,extended vlan 110,extended vlan 110,extended vlan 110,分配,服务，配置和管理,虚拟局域网,摩托罗拉专利，保密文件,56,扩展vlan 应用实例 1 （园区 / 大楼）,扩展vlan100的 默认网关,扩展vlan100 有标记,扩展vlan110的 默认网关,扩展vlan 110 有标记,extended vlan 32,extended vlan 22,虚拟局域网,摩托罗拉专利，保密文件,57,扩展vlan 应用实例 2（分支）,扩展vlan 22的 默认网关,扩展vlan 22 有标记,扩展vlan 32的 默认网关,扩展vlan 32 有标记,扩展vlan 32 有标记,扩展vlan 22 有标记,extended vlan 32,extended vlan 22,虚拟局域网,摩托罗拉专利，保密文件,58,扩展vlan 应用实例 3（分支）,扩展vlan 22的 默认网关,扩展vlan 32的 默认网关,extended vlan 100,extended vlan 100,extended vlan 100,虚拟局域网,摩托罗拉专利，保密文件,59,扩展vlan 应用实例 4（分支）,扩展vlan100 有标记,扩展vlan100的 默认网关,分配,服务，配置和管理,虚拟局域网,摩托罗拉专利，保密文件,60,扩展vlan 应用实例 5 （3层移动）,ip: 11/24 dfg: ,ip: 11/24 dfg: ,ip: 11/24 dfg: ,ip: 11/24 dfg: ,ip: 11/24 dfg: ,ip: 11/24 dfg: ,扩展 vlan 90,扩展 vlan 90,扩展 vlan 90,扩展 vlan 90,扩展 vlan 90,虚拟局域网,摩托罗拉专利，保密文件,61,扩展vlan 应用实例 6（访客流量）,ip mint 链路,扩展 vlan 90 的默认网关,扩展vlan 90 有标记,虚拟局域网,扩展vlan与普通vlan遵循以下相同规则： 每个扩展 vlan 是其自己的独立广播域 每个扩展vlan需要dhcp（动态主机设置协议）获取网络地址 dhcp可由接入点或无线控制器提供，由dhcp为扩展vlan分配一个ip地址 dhcp可由连接到扩展vlan的dhcp服务器提供 dhcp可由远程虚拟局域网上的dhcp服务器通过dhcp转发提供 每个扩展vlan需要一个路由器将流量路由到其他vlan上的主机 每个扩展vlan有一个默认网关 （与标准vlan相同） 流量可由无线控制器或接入点路由（向扩展vlan分配一个虚拟ip接口） 流量可由连接到扩展vlan的外部路由器路由 当多个属于扩展vlan范畴的有线端口互相连接时，可以形成网络环路！,摩托罗拉专利，保密文件,62,扩展vlan 注意事项,虚拟局域网,本地 vlan： 由 ap-650 和 ap-7131接入点提供本地转发，从数据路径中删除无线控制器 是以下客户的理想选择： 喜欢自主接入点的架构，又喜欢无线控制器集中式管理优势的客户； 用本地资源（即语音网关、服务器等）在广域网上搭建远程wlan 部署，希望绕过和优化广域网并将其用于本地通信的客户； 在广域网发生故障时，需要wlan生存能力（仅限ap7131）的客户。 如果部署了多个本地vlan，必须启用交换机和接入点端口的 802.1q 标记 为实现l2无缝移动，必须在所有为wlan（分配到本地vlan的）提供服务的接入点上定义本地vlan。 与独立wlan部署不同的是，wing 5.0 的所有性能都得到ap-650 和 ap-7131接入点的直接支持。,摩托罗拉专利，保密文件,63,总结,虚拟局域网,扩展vlan ： 支持集中式转发（与扩展wlan相同）和利用分布式网桥在设备间隧传流量的自适应转发 集中式转发是以下客户的理想选择： 需要将无线客户端流量隧传到无线控制器的客户； 希望将访客用户流量隧传到隔离区（dmz）中的无线控制器的客户 需要无缝l3移动的客户 自适应转发是以下客户的理想选择： 希望消除无线控制器瓶颈，优化802.11n流量转发的客户； 正在部署低延迟多媒体应用，并希望以最短路径在lan上转发流量的客户； 需要无缝l3移动的客户。 扩展vlan不要求发往接入点的vlan 打标记,摩托罗拉专利，保密文件,64,总结（续）,虚拟局域网- 实验室,摩托罗拉专利，保密文件,65,无线局域网,摩托罗拉专利，保密文件,66,无线局域网,每个wlan用唯一名称定义 可使用配置文件将wlan分配到ap-650 或ap-7131无线电集群，或作为覆写分配到单个设备无线电 分配到设备无线电的wlan将覆写所有配置文件分配的wlan 每个无线电最多可支持16个wlan，每个接入点总共有32个wlan。 每个无线电的 bssid数量已经从4个增加到了8个 可以将ssid和vlan覆写分配到rf域或作为复习分配到个体接入点，允许跨越多个站点部署一个通用wlan，让每个站点或接入点有一个唯一ssid名称或vlan分配。,摩托罗拉专利，保密文件,67,简介,wlan 1,wlan 2,设备 或 配置文件,radio 1 （16 x wlans） （8 x bssids）,radio 2 （16 x wlans） （8 x bssids）,wlan 3,无线局域网,下表提供每种无线控制器模型的各种扩展限制：,摩托罗拉专利，保密文件,68,wlan 扩展,单一 vlan,vlan 池,无线局域网,如同wing 4.0 一样，每个wlan可将用户分配到单一vlan或vlan池： 单一vlan 所有设备被分配到一个本地或扩展vlan。 vlan池 设备在两个或更多本地或扩展vlan之间进行负载平衡。,摩托罗拉专利，保密文件,69,vlan 静态 vlan,无线局域网,可以利用radius access-accept转发的标准tunnel-private-group-id返回属性，可给802.1x和mac鉴权用户动态分配一个本地或扩展vlan 每个wlan都启用radius vlan覆写 如果radius没有分配vlan，用户将被分配到单一vlan或来自valn池的一个vlan 启用了动态vlan时，可以从aaa分配的每个vlan必须定义为在支持这些用户的所有接入点上的本地或扩展vlan。,摩托罗拉专利，保密文件,70,vlan 动态vlan,无线局域网,可以将wlan配置为支持以下加密算法之一： wpa2-ccmp wpa/wpa2-tkip wep-128 wep-64 keyguard 支持同一ssid名称的多个wlan，每个wlan使用不同的加密算法 这种功能对希望从wep过渡到 802.11i ，但不希望部署单独essid的客户非常有用 wpa2-ccmp 或 none 是为802.11n定义的唯一加密标准,摩托罗拉专利，保密文件,71,加密,wlan 加密,wpa2 ccmp,wep-128,keyguard,wep-64,wpa/wpa2 tkip,无线局域网,wing 5.0所有wlan加密/解密目前都在ap-650 / ap-731接入点本地进行： 与自适应接入点使用的加密模式一致 从加密/解密路径中删除无线控制器，扩大了802.11n 部署的限度 为无线客户端提供的成对主密钥（pmk）作为无线客户端漫游自动在接入点之间分配 取消了漫游期间的四次握手 默认启用wpa2-ccmp 和wpa/wpa2-tkip wlan上的 pmk缓存和机会密钥缓存 默认禁用wpa2-ccmp 和 wpa/wpa2-tkip wlan上的预鉴权,摩托罗拉专利，保密文件,72,加密（续）,无线局域网,每个wlan可配置为支持以下鉴权方式之一： 802.1x eap 802.1x eap with psk kerberos mac none 带psk的802.1x eap是wing 5.0的一个新选项，使普通wlan能够通过802.1x 或 psk鉴权支持tkip 和 ccmp 加密 旨在简化从psk到 802.1x eap的转换 wpa/wpa2 psk wlan现在支持主/次预共享密钥 提供一种共享密钥轮流机制 如果选择了802.1x eap、802.1x eap psk和 mac鉴权方法，还需要定义一个aaa政策 现在可以支持leap pass-through了！,摩托罗拉专利，保密文件,73,鉴权,wlan 身份校验,802.1x eap,kerberos,mac,none,802.1x eap and psk,无线局域网,每个支持802.1x、mac 或 guest access鉴权的wlan都需要一个 aaa政策 aaa政策定义radius鉴权和计费配置参数，其中包括： 多达6个radius鉴权和计费服务器的池以及单个配置参数 radius 服务器池模式 non-eap鉴权协议配置 eap 无线客户端设置 radius 计费模式 mac 地址格式 网络访问控制 每个wlan一次只能分配一个aaa政策，但一个aaa政策可以分配给多个wlan 对访客访问wlan，aaa政策被分配到访客访问政策,摩托罗拉专利，保密文件,74,aaa 政策 介绍,访客 访问 wlan,aaa政策,radius 身份校验 服务器池,mac 校验 wlan,802.1x wlan,radius 计费 服务器池,radius 参数,访客 访问 政策,无线局域网,每个aaa政策可包括多达6个radius鉴权和计费服务器定义： 向每个radius鉴权和计费服务器入口分配一个唯一id（1 6） 可以使用ip地址或主机名（需要dns名称解析）与每个服务器建立联系 每个入口支持标准 radius 配置参数，如secret、port、timers 和 realms 每个 aaa 服务器池可以包括： 外部 radius服务器（即微软ias、微软nps、juniper sbr、思科acs） 在无线控制器和接入点上运行的集成radius服务 外部 radius服务器和集成radius服务的组合,摩托罗拉专利，保密文件,75,aaa政策 radius 服务器池,无线局域网,为取得灵活性，每个radius服务器入口包括一个代理运行模式： none radius鉴权和计费请求被直接从接入点转发到radius服务器（要求分配ip地址） through-controller radius鉴权和计费请求通过管理接入点的无线控制器代理发送到radius服务器 through-rf-domain-manager radius鉴权和计费请求通过本地rf域管理器（选出的无线控制器或接入点）代理发送到radius服务器,摩托罗拉专利，保密文件,76,aaa政策 服务器代理模式,无线局域网,如果定义了多个radius 鉴权和计费服务器，鉴权和计费请求可以在radius服务器池中进行负载平衡，或在池中radius服务器之间进行故障转移 各种请求可以在集中式aaa服务与分布式aaa服务之间进行负载平衡或故障转移,摩托罗拉专利，保密文件,77,aaa 政策 服务器池模式,aaa,aaa,aaa,radius 服务器池,负载平衡,aaa,aaa,aaa,radius 服务器池,故障转移,无线局域网,aaa政策支持新的冗余模型，支持多达6个可部署在网络任何地方的aaa服务器 radius用户池和集群也可以集中管理，并利用设备覆写或配置文件将其分配到无线控制器和接入点,摩托罗拉专利，保密文件,78,aaa 政策 应用实例 1 （中 /大型部署）,无线局域网,随着对主机名支持的增强，使用dns负载均衡或专用硬件负载平衡器，大规模aaa冗余现在已经成为可能,摩托罗拉专利，保密文件,79,aaa 政策 应用实例 2（全球部署）,aaa,aaa,aaa,aaa,亚洲 radius 池,北美 radius 池,拉美 radius 池,欧洲与北非 radius 池,aaa. ,,,,亚洲 radius 客户端,北美 radius 客户端,拉美 radius 客户端,欧洲与北非 radius 客户端,aaa 政策：亚洲 1 = 2 = 3 = 4 = ,aaa 政策：北美 1 = 2 = 3 = 4 = ,aaa 政策：拉美 1 =