园区网络无线漫游的实现策略之分布式网关设计

什么是无线漫游？

无线漫游是指终端在不同AP覆盖范围之间移动且保持用户业务不中断的行为。

实现WLAN漫游的两个AP必须使用相同的SSID和安全模板(安全模板名称可以不同,但是安全模板下的配置必须相同),认证模板的认证方式和认证参数也要配置相同。

园区网络的无线漫游策略是为了解决什么问题？

在跨三层的无线漫游场景中，因为所在的IP子网发生了变化，终端不得不获取新的IP地址以适应新的网关，这势必会造成终端网络的断联。

• 避免漫游过程中的认证时间过长导致丢包甚至业务中断。
• 保证用户授权信息不变。
• 保证用户IP地址不变。

传统的园区网络中最常见的无线漫游解决方案

方案1：尽可能将需要漫游的区域规划在一个二层网络里，由于同在一个子网，所以不需要再建立隧道去处理漫游后的数据报文流量，而是本地直接转发

方案2：通过在新旧网关之间建立隧道，把漫游后的终端流量通过隧道传输到原来的网关进行转发

方案1：同一子网下直接转发

用户的数据报文到达AP后,不经过CAPWAP的隧道封装而直接转发到上层网络。AC只对AP进行管理,业务数据都是由本地直接转发
优势：数据流量不经过AC,AC负担小
问题：二层网络越大越不安全，这样的园区漫游有相当大的限制条件

方案2：建立capwap隧道转发

业务数据报文由AP统一封装后到达AC实现转发,
AC不但进行对AP管理,还是AP流量的转发中枢。
用户的数据报文经过CAPWAP隧道封装后再由AC转发到上层网络。

优势：数据流和管理流全部经过AC,可以更容易对无线用户实施安全控制策略。
问题：复杂的配置和低效的流量转发路径。

新一代云化园区：基于分布式的网关设计，高效实现园区无缝漫游

云化园区网络在全三层组网的基础上借鉴了云网中分布式网关的概念，即：在每一台接入交换机上运行统一的分布式网关，实现对上层业务无感知的终端无缝漫游。分布式网关的另一个好处是实现了终端（一般为服务器）通过网卡配置Bond双上行到不同的Leaf，无需堆叠和MC-LAG。

• 当移动终端发生漫游时，分布式网关的作用尤为重要，因为漫游后的接入Leaf上已经配置了网关信息，并且自动学习和同步了漫游终端的IP/MAC信息，因此漫游后的终端可以高性能的接入网络（所发信息无需再到一个“集中的网关”上去兜圈子），并且漫游过程中业务不断连（即确保不丢包，因为漫游后的接入Leaf上已经有了该漫游终端的所有信息）；
• 对于网络管理员来说，只需要在网络初始化时一次性配置好所有分布式网关的信息即可，无需在运行过程中动态调整，从而进一步降低运维的复杂度。