【无线网络】 WLAN产品本地转发特性简介

　　1 技术实现

　　1.1 本地转发实现方式

　　本地转发模型处理方式

　　1)用户的管理和控制帧，如802.11管理、控制报文和802.1x协议报文等，通过CAPWAP隧道传递给AC集中处理，以实现用户的认证、授权等。

　　2)用户的数据帧，包括802.11数据和来自有线的802.3数据报文，在AP本地进行解析、封装等处理，并直接由AP进行转发，实现数据的高速处理。同时，用户流量信息将通过CAPWAP隧道以管理帧的方式通报给AC，以实现计费、负载均衡等应用。

　　集中转发和本地转发数据/控制流比较

　　本地转发模式和集中式转发模式下用户访问网络的工作流程比较

　　1)集中式转发模式

　　所有的源或目的为无线用户的报文，都将通过CAPWAP隧道送往AC，并由AC进行转发。例如， SSID“Marketing”工作在集中转发模式，STA1 和 STA2 通过CAPWAP隧道在AC上进行认证，并接入SSID “Marketing”。当Station 1发送数据到Station 2时，AP将数据帧通过CAPWAP隧道发送到AC，AC解析隧道和802.11报文得到目的地为STA2，再将报文封装成CAPWAP隧道报文，发送到AP，然后由AP转交给STA2。

　　2)本地转发模式下

　　无线用户的控制帧仍然通过CAPWAP隧道由AC进行处理，而源或目的为无线用户的数据帧则直接在AP本地进行转发。例如，SSID“Marketing”工作在本地转发模式，STA1 和 STA2 通过CAPWAP隧道在AC上进行认证，一旦用户认证成功，AC会将用户的授权信息到AP，数据被允许在AP本地进行转发。当Station 1发送数据到Station 2时，AP直接解析802.11报文，获得目的地STA2，然后将报文重新封装成802.11帧的发送给STA2。

　　1.2 本地转发配置方式

　　本地转发模式并不能完全代替集中式转发，如果管理员需要更加复杂的用户访问控制规则或复杂QoS策略，可能希望本地转发和集中式混合使用。

　　H3C 本地转发技术提供了非常灵活的配置方式，以满足应用中的需求。比如，

　　1)基于SSID的本地转发

　　管理员可以配置从指定SSID接入的用户数据进行本地转发，其它用户数据进行集中式转发

　　2)基于VLAN的本地转发

　　管理员可以配置从指定VLAN下的用户数据进行本地转发，而其它用户数据进行集中式转发

　　3)基于VLAN & SSID的本地转发

　　管理员可以配置从指定SSID接入且属于指定VLAN的用户数据进行本地转发，其它用户数据进行集中式转发

　　1.3 本地转发支持的特性

　　本地转发模式支持AC/Fit AP架构下的大部分特性，例如

　　1) WMM;

　　2) Security，包括802.11i、802.1x、Portal、EAD、Dynamic VLAN、ACL;

　　3) MAC Based VLAN;

　　4) User Isolation;

　　5) Layer 2 IGMP Snooping / MLD Snooping;

　　2 典型组网应用

　　典型组网应用

　　如图所示，所有无线用户的认证点均在AC，其中分支机构员工通过802.1x认证接入到公司网络，他们获得Branch (VLAN5)的访问权限;从分支机构接入的顾客，则获得Guest (VLAN8)权限;总部的员工被分配Corp (VLAN3)的访问权限。

　　假设管理员希望分支机构的部员工访问网络的数据可以通过AP直接处理，不需要经AC转发。而顾客则需要通过CAPWAP隧道由AC进行处理，同样，总部用户的数据也要通过AC进行处理，以进行更多的安全规则控制。

　　为了满足上述应用，需要将分支机构的员工接入的SSID 和所属的VLAN 配置为本地转发：

　　1) 配置Radius Server;

　　2) 创建ESS，“Corp”、“Branch”、“Guest;

　　3) 分配“Corp”属于vlan 3，“Branch”属于vlan 5，“Guest”属于VLAN 8;

　　4) 将VLAN 5配置为本地转发模式