1 拓扑与说明
某公司的网络架构,这样的架构在目前的网络中是在常见的,假设您接收一个这样的网络,应该如何部署,该实战系列,就是一步一步讲解,如何规划、设计、部署这样一个环境,这里会针对不同的情况给出不同的讲解,比如拓扑中有2个ISP,假设客户需求是,想实现主备的效果,又或者是想负载分担。DHCP部署在防火墙上面或者是单独的服务器上面又该如何配置部署。
2 【无线架构之三层漫游】
三层漫游的实现主要在跨网段进行通信,而且在漫游后,地址保持不变。
作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)
三层漫游需要注意的事项
(1)必须在同一AC下
(2)WALN-ESS的接口策略必须相同
(3)安全模板的认证方式必须一致,包括密钥
(4)服务集模板中的SSID和数据转发模式必须一致
(5)需要定义多个服务集,关联不同的ESS接口,但是SSID与其他策略必须相同,而且port Hybrid untagged vlan(要包括所有漫游VLAN, pvid则为该VLAN的VLAN即可)
(6)建议修改Channel为不干扰,而且重叠区域为10%~15%
(7)业务与管理VLAN都需要放行,否则漫游通过后VLAN不变,就通信不了
(8)接入交换机的接入接口必须允许所有的业务VLAN(漫游需要切换,所以必须允许通过)
(想系统化学习WLAN组网的,可以看看实战课程 https://mbd.pub/o/wlzl/work)
分析
都知道三层漫游主要是跨越网段跟VLAN了,竟然跨越了VLAN,那么我们需要注意哪些地方呢,除了上面需要注意的地方外。
假设访客厅A下面的主机漫游到B,由于访客厅的VLAN 是VLAN 19,而高层人员上面VLAN 只有1与20,当漫游到B以后,地址没有发生变化,而且打入大Tag还是19,那么导致的情况是交换机会直接丢弃数据包,因为它根本没有VLAN 19,也没允许VLAN 19通过,反之亦然,B到A上面也会被丢弃。
需要修改的配置地方
1、 访客厅与高层人员连接AP的接口,同时需要打入VLAN 1、19、20的流量,保证数据包的转发
2、 访客厅与高层人员连接核心的交换机链路上面,需要允许VLAN 1,19、20通过
3、WLAN-ESS,在AC上面部署的时候,需要同时untagged VLAN 19,20,默认情况下只允许了一个VLAN。
3 具体配置
1、 访客厅与Boss交换机接口定义,连接AP的接口
说明:在接入交换机的AP接口都要允许VLAN 19,20通过,默认VLAN 1是通过的,并且2个交换机上面需要定义各自的VLAN,因为虽然允许了VLAN通过,但是没有创建对应的VLAN,那么结果就是该VLAN的数据都不会被透传。
2、接入交换机与上联交换机的接口允许对应的通过。
访客厅与Boss交换机的接口,也就是上联Core-A与Core-B的接口,都需要放行19到20
两台交换机都是Trunk,并且允许了19、20的流量通过。这是因为可以转发数据到核心层。然后核心层也需要允许VLAN通过,否则会被丢弃。
3、AC配置【AC上线】
查看序列号,然后在AC上面定义即可。
[AC6605]wlan
[AC6605-wlan-view]ap id 3 type-id 19 sn 210235448310615C3C77
4、WLAN-ESS接口配置
[AC6605]vlan batch 19 to 20
说明:VLAN 19与20必须定义,因为这里是三层漫游,需要定义PVID了,为PVID必须本地有创建该VLAN的。
[AC6605]interface Wlan-Ess 2
[AC6605-Wlan-Ess2]port hybrid pvid vlan 19
[AC6605-Wlan-Ess2]port hybrid untagged vlan 19 20
说明:该接口与传统的WLAN-ESS不一样,三层漫游需要允许多个VLAN 通过,WLAN-ESS2关联给访客厅使用,但是允许VLAN 19与20的通过,方便漫游,做PVID的话,是修改VLAN 19为PVID,这样的话,当对应的WLAN-BSS接口进来的数据包打PVID的标签,而漫游过来的另外一个WALN-BSS接口,则打VLAN 20。
[AC6605]interface Wlan-Ess 3
[AC6605-Wlan-Ess3]port hybrid pvid vlan 20
[AC6605-Wlan-Ess3]port hybrid untagged vlan 19 20
说明:作用跟上面一样。
5、流量模板、射频模板、安全模板等【引用之前定义】
说明:流量模板、射频模板、安全模板调用第一次配置无线时,用的模板,不需要再度配置了。
可以通过
display traffic-profile all:查看定义了哪些流量模板
display radio-profile all:查看定义了哪些射频模板
display security-profile all:查看定义了哪些安全模板
display service-set all:查看定义了哪些服务集
[AC6605-wlan-view]service-set name intrnet-1
[AC6605-wlan-service-set-intrnet-1]service-vlan 19
[AC6605-wlan-service-set-intrnet-1]wlan-ess 2
[AC6605-wlan-service-set-intrnet-1]user-isolate
[AC6605-wlan-service-set-intrnet-1]traffic-profile name intrenet
[AC6605-wlan-service-set-intrnet-1]ssid intrent
[AC6605-wlan-service-set-intrnet-1]security-profile name pre-authen
说明:该服务集是给访客厅用的,当然也可以提供给Boss的人漫游到访客厅,主要的区别就是WLAN-ESS那的定义,然后交换机允许通过的流量不同。
[AC6605-wlan-view]service-set name intrnet-2
[AC6605-wlan-service-set-intrnet-2]service-vlan 20
[AC6605-wlan-service-set-intrnet-2]security-profile name pre-authen
[AC6605-wlan-service-set-intrnet-2]ssid intrent
[AC6605-wlan-service-set-intrnet-2]wlan-ess 3
[AC6605-wlan-service-set-intrnet-2]user-isolate
目前AP已经是2个已经上线了的,最后的步骤就是把对应的射频模板跟服务集绑定到ap的射频上,这里只提供5G接入
6、关联AP射频,下放业务
之前已经定义了一个2.4G与5G的,可以直接使用5G。
之前AP 2是有配置的,所以必须先去掉。包括射频0与1的,然后重新定义
说明下:该配置是之前定义的时候存在的,可以去掉,然后定义新的。
[AC6605-wlan-view]ap 2 radio 1
[AC6605-wlan-radio-2/1]channel 40mhz-plus 149
[AC6605-wlan-radio-2/1]radio-profile name 5G
[AC6605-wlan-radio-2/1]service-set name intrnet-1
[AC6605-wlan-view]ap 3 radio 1
[AC6605-wlan-radio-3/1]channel 40mhz-plus 157
[AC6605-wlan-radio-3/1]radio-profile name 5G
[AC6605-wlan-radio-3/1]service-set name intrnet-2
说明:之前可以看到有2个AP,所以用AP2的射频1,也就是5G,定义了一个信道,避免与之前的冲突,然后射频模板为5G,然后调用了给AP 2用的服务集,也就是访客厅的,而下面那个则是给AP 3,Boss用的。
最终下放策略给AP。
4 三层漫游结果验证
可以看到现在有2个信道重叠,用内部人员登陆测试,连接到AP2上面。
可以看到获取到的是VLAN 19的IP地址,开始漫游。
可以看到关联过来了,而且地址一直在Ping,丢包率也没有。地址没发生任何变化。
可以看到有漫游记录。
现在测试,另外一边,先关联AP3,然后漫游到AP2上面。
已经连接,然后开始测试。
可以看到会丢几个包,然后在转过来。而且地址是没发生变化的。
5 分析:为什么会几个丢包呢
当客户端从AP3关联到无线网络后,会获取到DHCP地址,而这个获取的过程对于VLAN 20来说都是知道的,而且网关在Core-2上面,而AP3——Boss——-Core-2,也就是Core-2的ARP表项是从VLAN 20学到,连接Boss的那个接口。而从AP3漫游到AP2后,物理位置发生了变化,AP2——-访客厅——–Core-2,接口发生了变化,而华为交换机对ARP的处理,是会确认后才修改ARP表项的,这样的过程所以会导致丢包。
(PS:马上要接触到防火墙的内容了,还不太了解防火墙的童鞋可以看看,从理论、实验、验证、排错都讲解的非常好,给你构建一个完整思路)
解决办法。
1、在服务集下面开启DHCP Snooping,该功能的意思是,当一个客户端从一个AP漫游到另外一个AP,新的AP会发送ARP报文,告诉网关有一个新的客户在这,到达刷新ARP的功能。
2、网关交换机上面开启MAC地址表项改变而改变ARP,这也是一个办法,因为交换机处理先更改MAC地址表项学习,比如从F0/1学到的,而该PC移到了F0/2上面,所以会刷新MAC地址表项,而ARP表项则不会刷新,那么启用该功能后,只要MAC地址表项刷新,对应的ARP表项条目也刷新该条。
[Core-A]mac-address update arp
建议使用第一种方法解决这个问题。
接入交换机需要注意的地方。
1、部署了漫游业务的交换机接口不要开启端口安全功能,否则会造成该接口shutdown,因为端口安全是不允许2个接口同时学习到相同的MAC地址的。
2、不要开启MAC漂移检测功能,否则也会采取对应措施。
默认情况下,交换机只是提示有MAC地址从一个接口漂移到了另外一个接口,不会采取措施。
6 三层漫游总结
对于三层漫游来说,与二层漫游的区别还是有点大的,注意的地方就是WLAN-ESS接口需要放行需要漫游接口的VLAN,各自的WLAN-ESS以自己VLAN为PVID,另外接入层到汇聚【核心】对应的接口都需要放行2个VLAN的流量,这是非常重要的,否则你漫游过来,没有放行该VLAN通过,那么导致流量不同。另外就是部署端口安全与一些机制,这些是需要注意的。
作者:网络之路一天 首发公众号:网络之路博客(ID:NetworkBlog)
标签:华三,架构,service,19,VLAN,华为,AC6605,wlan,漫游 From: https://blog.51cto.com/ccieh3c/12008890