3.5.2 软件定义无线接入中的访客访问
如果没有通过叠加运行于网络交换矩阵之上的思科统一无线网络提供无线访客接入服务,请通过创建支持访客SSID的专用虚拟网络将无线访客与其他网络服务分开。使用 VRF-
Lite或类似技术在 DMZ和网络交换矩阵边界节点之间分隔访客流量。
如果无线部署要求使用专用于访客目的的控制平面和数据平面将访客流量传送到DMZ,可以在 DMZ内部署一组网络交换矩阵边界和控制平面节点用于访客服务,对访客使用专用虚拟网(VN)进行隔离。对于这种情况,系统使用从连接无线接入点的边缘交换 机一直到 DMZ 边界的封装来维持流量分离,这样做的优点是访客控制平面具有独立的规模扩展性和性能保障,并且可以避免采用诸如 VRF Lite之类的技术。部署这种访客无线设计的注意事项包括配置访客流量路径中的防火墙以允许网络交换矩阵流量可以端到端地满足MTU要求。
在软件定义访问 1.2的版本解决方案中,DNA中心可自动实施完成完整的无线网络访客解决方案并管理相关的工作流程。可以通过以下两种方式之一在软件定义无线接入中启用访客访问:
(1) 为访客提供独立的虚拟网络;
(2) 专用无线控制器作为访客锚点。
1. 为访客提供独立的虚拟网络
在这种模式下,访客网络只是软件定义访问网络交换矩阵中的一个虚拟网络。通过端到端的网络分段为访客使用单独的虚拟网络标识和可扩展组标签。启用此模型的方法有两种:
(1) 使用与企业网络相同的控制平面和边界节点;
(2) 使用访客专用的独立的控制平面和边界节点。
在此选项中,访客网络只是软件定义访问网络交换矩阵中的另一个虚拟网络。此方法利用端到端的分段方法,使用虚拟网络标识(如果需要,使用可扩展组标签标识不同的访客角色)将访客数据平面与其他企业网络分开。通过 VRF-Lite,访客虚拟网络从边界节点扩展到 DMZ区中的防火墙。
在此选项中,在所有级别上为访客实现完全分离,从而将它们与企业用户隔离。访客用户将在专用的访客网络交换矩阵控制平面上注册。网络交换矩阵边缘节点查询独立的访客控制平面节点(,并将信息封装在VXLAN中转发到访客边界节点。
2. 专用无线控制器作为访客锚点
现有的基于访客锚点(如图 3-12所示)无线控制器的解决方案仍然可以继续工作。当在DMZ中已存在访客锚点无线控制器时,此模式可用作“迁移步骤”。在这种情况下,在外部无线控制器和访客锚点控制器之间建立移动隧道,并且访客 SSID锚定在锚点无线控制器上。所有访客信息都被外部无线控制器通过移动隧道发送到访客无线控制器上。
3.5.3 传统无线网络运行在网络交换矩阵上
为了向后兼容,当前的思科统一无线网络(CUWN)或其他传统的集中式无线体系架构完全支持软件定义访问。在本解决方案中,无线网络基础结构在软件定义访问网络交换矩阵上(如图 3-13所示)运行,但无线网络基础架构不知道网络交换矩阵的存在,或者说从控制平面、数据平面、策略层面上没有和软件定义访问有线网络集成。这种部署方法为软件定义访问完全集成无线网络提供了一个优雅的“迁移步骤”。无线控制器可以直接连接到网络交 换矩阵边界节点,或者是距离边界节点多个 IP跃点以外。
3.5.4 本地转发模式(Flex)无线网络部署
在 Flex无线部署中,无线网络的控制和管理平面集中在无线控制器上,但数据转发平面在无线接入点的本地执行。SSID可以在本地进行转发或者通过隧道发送到无线控制器进行转发。无线接入点直接连接到网络交换矩阵边缘节点,并将本地交换SSID的无线 VLAN通过中继链路连接到网络交换矩阵边缘节点。无线接入点将数据帧格式从 802.11无线网络转换为
802.3以太网,并转发到网络交换矩阵边缘节点。
因此,进行本地数据转发的无线客户端将作为正常的网络交换矩阵终端注册到网络交换矩阵控制平面上,并且这些客户端的转发流程将与网络交换矩阵中的其他有线客户端完全一致。
DNA中心提供了使用图形化界面或API在软件定义访问中自动进行本地转发模式(Flex)无线网络部署的选项。
