数据转发方式
WLAN网络中的数据包括控制报文(管理报文)和数据报文。控制报文是通过CAPWAP的控制隧道转发的,用户的数据报文分为隧道转发(又称为“集中转发”)方式、直接转发(又称为“本地转发”)方式和Soft-GRE转发方式。
隧道转发方式
隧道转发方式是指用户的数据报文到达AP后,需要经过CAPWAP数据隧道封装后发送给AC,然后由AC再转发到上层网络,如图1。
[图1] 隧道转发方式报文示意图
直接转发方式
直接转发方式是指用户的数据报文到达AP后,不经过CAPWAP的隧道封装而直接转发到上层网络,如图2。
[图2] 直接转发方式报文示意图
直接转发方式的集中认证
如果采用直接转发方式,业务数据不经过AC转发。当无线用户接入网络需要进行用户接入认证(例如,802.1X认证等)且接入控制点部署在AC上时,用户的认证报文就无法通过AC集中管理,这就给管理员对用户的统一控制造成了不便。所以在直接转发方式下AP会将用户的认证报文通过CAPWAP隧道集中到AC转发,如图3。
[图3]直接转发方式下的集中认证示意图
Soft-GRE转发方式
Soft-GRE转发方式主要应用以下场景:运营商在现有的组网中部署WLAN网络,无线安全策略是open方式,希望无线用户的认证和计费都能在原有的BRAS设备上进行,由BRAS设备进行Portal认证或MAC认证等,实现有线和无线用户的认证计费统一管理。这种场景下,通常AC旁挂组网,只负责管理AP和配置无线业务,无线用户的数据报文到达AP后,经过Soft-GRE隧道封装后发送给BRAS设备,然后由BRAS设备再转发到上层网络。
Soft-GRE转发方式报文示意图如图4。
[图4] Soft-GRE转发方式报文示意图
隧道转发方式、直接转发方式与Soft-GRE转发方式的优缺点
隧道转发方式下对指定报文直接转发
当使用隧道转发方式时,终端希望无需切换SSID,保持当前业务转发的同时,让一部分指定的业务也能进行直接转发。如图5所示,终端接入隧道转发方式的SSID后,还想使用本地网络资源,可以根据访问本地网络报文的五元组信息,设置ACL规则,让匹配的报文流量在AP上进行直接转发。
**图5 **隧道转发方式下指定报文直接转发流量图
AP对终端的报文进行直接转发时,如果仍然使用终端的源IP地址,就会发现终端无法直接和本地网络互通,因为终端的网关不在本地网络中。为了解决该问题,AP还会对终端的IP地址和端口号进行NAT转换,变为AP的IP地址和端口号,来实现和本地网络的互通。