中小企业网络怎样构建？（无线架构之三层漫游）

拓扑可以保存到本地，然后扩大查看，这样才能看的更清楚。

2【无线架构之三层漫游】

三层漫游的实现主要在跨网段进行通信，而且在漫游后，地址保持不变。

三层漫游需要注意的事项
（1）必须在同一AC下
（2）WALN-ESS的接口策略必须相同
（3）安全模板的认证方式必须一致，包括密钥
（4）服务集模板中的SSID和数据转发模式必须一致
（5）需要定义多个服务集，关联不同的ESS接口，但是SSID与其他策略必须相同，而且port Hybrid untagged vlan（要包括所有漫游VLAN， pvid则为该VLAN的VLAN即可）
（6）建议修改Channel为不干扰，而且重叠区域为10%~15%
（7）业务与管理VLAN都需要放行，否则漫游通过后VLAN不变，就通信不了
（8）接入交换机的接入接口必须允许所有的业务VLAN（漫游需要切换，所以必须允许通过）

分析

都知道三层漫游主要是跨越网段跟VLAN了，竟然跨越了VLAN，那么我们需要注意哪些地方呢，除了上面需要注意的地方外。
假设访客厅A下面的主机漫游到B，由于访客厅的VLAN 是VLAN 19，而高层人员上面VLAN 只有1与20，当漫游到B以后，地址没有发生变化，而且打入大Tag还是19，那么导致的情况是交换机会直接丢弃数据包，因为它根本没有VLAN 19，也没允许VLAN 19通过，反之亦然，B到A上面也会被丢弃。

需要修改的配置地方
1、 访客厅与高层人员连接AP的接口，同时需要打入VLAN 1、19、20的流量，保证数据包的转发
2、 访客厅与高层人员连接核心的交换机链路上面，需要允许VLAN 1，19、20通过
3、WLAN-ESS，在AC上面部署的时候，需要同时untagged VLAN 19，20，默认情况下只允许了一个VLAN。

3具体配置

1、 访客厅与Boss交换机接口定义，连接AP的接口

说明：在接入交换机的AP接口都要允许VLAN 19，20通过，默认VLAN 1是通过的，并且2个交换机上面需要定义各自的VLAN，因为虽然允许了VLAN通过，但是没有创建对应的VLAN，那么结果就是该VLAN的数据都不会被透传。

2、接入交换机与上联交换机的接口允许对应的通过。
访客厅与Boss交换机的接口，也就是上联Core-A与Core-B的接口，都需要放行19到20

两台交换机都是Trunk，并且允许了19、20的流量通过。这是因为可以转发数据到核心层。然后核心层也需要允许VLAN通过，否则会被丢弃。

3、AC配置【AC上线】

查看序列号，然后在AC上面定义即可。

[AC6605]wlan
[AC6605-wlan-view]ap id 3 type-id 19 sn 210235448310615C3C77

4、WLAN-ESS接口配置
[AC6605]vlan batch 19 to 20
说明：VLAN 19与20必须定义，因为这里是三层漫游，需要定义PVID了，为PVID必须本地有创建该VLAN的。
[AC6605]interface Wlan-Ess 2
[AC6605-Wlan-Ess2]port hybrid pvid vlan 19
[AC6605-Wlan-Ess2]port hybrid untagged vlan 19 20
说明：该接口与传统的WLAN-ESS不一样，三层漫游需要允许多个VLAN 通过，WLAN-ESS2关联给访客厅使用，但是允许VLAN 19与20的通过，方便漫游，做PVID的话，是修改VLAN 19为PVID，这样的话，当对应的WLAN-BSS接口进来的数据包打PVID的标签，而漫游过来的另外一个WALN-BSS接口，则打VLAN 20。
[AC6605]interface Wlan-Ess 3
[AC6605-Wlan-Ess3]port hybrid pvid vlan 20
[AC6605-Wlan-Ess3]port hybrid untagged vlan 19 20
说明：作用跟上面一样。

5、流量模板、射频模板、安全模板等【引用之前定义】
说明：流量模板、射频模板、安全模板调用第一次配置无线时，用的模板，不需要再度配置了。
可以通过
display traffic-profile all：查看定义了哪些流量模板
display radio-profile all：查看定义了哪些射频模板
display security-profile all：查看定义了哪些安全模板
display service-set all：查看定义了哪些服务集

[AC6605-wlan-view]service-set name intrnet-1
[AC6605-wlan-service-set-intrnet-1]service-vlan 19
[AC6605-wlan-service-set-intrnet-1]wlan-ess 2
[AC6605-wlan-service-set-intrnet-1]user-isolate
[AC6605-wlan-service-set-intrnet-1]traffic-profile name intrenet
[AC6605-wlan-service-set-intrnet-1]ssid intrent
[AC6605-wlan-service-set-intrnet-1]security-profile name pre-authen
说明：该服务集是给访客厅用的，当然也可以提供给Boss的人漫游到访客厅，主要的区别就是WLAN-ESS那的定义，然后交换机允许通过的流量不同。

[AC6605-wlan-view]service-set name intrnet-2
[AC6605-wlan-service-set-intrnet-2]service-vlan 20
[AC6605-wlan-service-set-intrnet-2]security-profile name pre-authen
[AC6605-wlan-service-set-intrnet-2]ssid intrent
[AC6605-wlan-service-set-intrnet-2]wlan-ess 3
[AC6605-wlan-service-set-intrnet-2]user-isolate

目前AP已经是2个已经上线了的，最后的步骤就是把对应的射频模板跟服务集绑定到ap的射频上，这里只提供5G接入

6、关联AP射频，下放业务

之前已经定义了一个2.4G与5G的，可以直接使用5G。

之前AP 2是有配置的，所以必须先去掉。包括射频0与1的，然后重新定义
说明下：该配置是之前定义的时候存在的，可以去掉，然后定义新的。

[AC6605-wlan-view]ap 2 radio 1
[AC6605-wlan-radio-2/1]channel 40mhz-plus 149
[AC6605-wlan-radio-2/1]radio-profile name 5G
[AC6605-wlan-radio-2/1]service-set name intrnet-1

[AC6605-wlan-view]ap 3 radio 1
[AC6605-wlan-radio-3/1]channel 40mhz-plus 157
[AC6605-wlan-radio-3/1]radio-profile name 5G
[AC6605-wlan-radio-3/1]service-set name intrnet-2
说明：之前可以看到有2个AP，所以用AP2的射频1，也就是5G，定义了一个信道，避免与之前的冲突，然后射频模板为5G，然后调用了给AP 2用的服务集，也就是访客厅的，而下面那个则是给AP 3，Boss用的。

最终下放策略给AP。

4三层漫游结果验证

可以看到现在有2个信道重叠，用内部人员登陆测试，连接到AP2上面。

可以看到获取到的是VLAN 19的IP地址，开始漫游。

可以看到关联过来了，而且地址一直在Ping，丢包率也没有。地址没发生任何变化。

可以看到有漫游记录。

现在测试，另外一边，先关联AP3，然后漫游到AP2上面。

已经连接，然后开始测试。

可以看到会丢几个包，然后在转过来。而且地址是没发生变化的。

5分析：为什么会几个丢包呢