重庆小潘seo博客

当前位置:首页 > 重庆网站优化 >

重庆网站优化

中小企业网络怎样构建?(无线架构之三层漫游)

时间:2020-11-13 18:24:41 作者:小潘SEO 来源:网络整理
1 拓扑 拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。 2 【无线架构之三层漫游】 三层漫游的实现主要在跨网段进行通信,而且在漫游后,地址保持不变

拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。

2【无线架构之三层漫游】

三层漫游的实现主要在跨网段进行通信,而且在漫游后,地址保持不变。

三层漫游需要注意的事项
(1)必须在同一AC下
(2)WALN-ESS的接口策略必须相同
(3)安全模板的认证方式必须一致,包括密钥
(4)服务集模板中的SSID和数据转发模式必须一致
(5)需要定义多个服务集,关联不同的ESS接口,但是SSID与其他策略必须相同,而且port Hybrid untagged vlan(要包括所有漫游VLAN, pvid则为该VLAN的VLAN即可)
(6)建议修改Channel为不干扰,而且重叠区域为10%~15%
(7)业务与管理VLAN都需要放行,否则漫游通过后VLAN不变,就通信不了
(8)接入交换机的接入接口必须允许所有的业务VLAN(漫游需要切换,所以必须允许通过)

分析

都知道三层漫游主要是跨越网段跟VLAN了,竟然跨越了VLAN,那么我们需要注意哪些地方呢,除了上面需要注意的地方外。
假设访客厅A下面的主机漫游到B,由于访客厅的VLAN 是VLAN 19,而高层人员上面VLAN 只有1与20,当漫游到B以后,地址没有发生变化,而且打入大Tag还是19,那么导致的情况是交换机会直接丢弃数据包,因为它根本没有VLAN 19,也没允许VLAN 19通过,反之亦然,B到A上面也会被丢弃。

需要修改的配置地方
1、 访客厅与高层人员连接AP的接口,同时需要打入VLAN 1、19、20的流量,保证数据包的转发
2、 访客厅与高层人员连接核心的交换机链路上面,需要允许VLAN 1,19、20通过
3、WLAN-ESS,在AC上面部署的时候,需要同时untagged VLAN 19,20,默认情况下只允许了一个VLAN。

3具体配置

1、 访客厅与Boss交换机接口定义,连接AP的接口

说明:在接入交换机的AP接口都要允许VLAN 19,20通过,默认VLAN 1是通过的,并且2个交换机上面需要定义各自的VLAN,因为虽然允许了VLAN通过,但是没有创建对应的VLAN,那么结果就是该VLAN的数据都不会被透传。

2、接入交换机与上联交换机的接口允许对应的通过。
访客厅与Boss交换机的接口,也就是上联Core-A与Core-B的接口,都需要放行19到20

两台交换机都是Trunk,并且允许了19、20的流量通过。这是因为可以转发数据到核心层。然后核心层也需要允许VLAN通过,否则会被丢弃。

3、AC配置【AC上线】

查看序列号,然后在AC上面定义即可。

[AC6605]wlan
[AC6605-wlan-view]ap id 3 type-id 19 sn 210235448310615C3C77

4、WLAN-ESS接口配置
[AC6605]vlan batch 19 to 20
说明:VLAN 19与20必须定义,因为这里是三层漫游,需要定义PVID了,为PVID必须本地有创建该VLAN的。
[AC6605]interface Wlan-Ess 2
[AC6605-Wlan-Ess2]port hybrid pvid vlan 19
[AC6605-Wlan-Ess2]port hybrid untagged vlan 19 20
说明:该接口与传统的WLAN-ESS不一样,三层漫游需要允许多个VLAN 通过,WLAN-ESS2关联给访客厅使用,但是允许VLAN 19与20的通过,方便漫游,做PVID的话,是修改VLAN 19为PVID,这样的话,当对应的WLAN-BSS接口进来的数据包打PVID的标签,而漫游过来的另外一个WALN-BSS接口,则打VLAN 20。
[AC6605]interface Wlan-Ess 3
[AC6605-Wlan-Ess3]port hybrid pvid vlan 20
[AC6605-Wlan-Ess3]port hybrid untagged vlan 19 20
说明:作用跟上面一样。

5、流量模板、射频模板、安全模板等【引用之前定义】
说明:流量模板、射频模板、安全模板调用第一次配置无线时,用的模板,不需要再度配置了。
可以通过
display traffic-profile all:查看定义了哪些流量模板
display radio-profile all:查看定义了哪些射频模板
display security-profile all:查看定义了哪些安全模板
display service-set all:查看定义了哪些服务集

[AC6605-wlan-view]service-set name intrnet-1
[AC6605-wlan-service-set-intrnet-1]service-vlan 19
[AC6605-wlan-service-set-intrnet-1]wlan-ess 2
[AC6605-wlan-service-set-intrnet-1]user-isolate
[AC6605-wlan-service-set-intrnet-1]traffic-profile name intrenet
[AC6605-wlan-service-set-intrnet-1]ssid intrent
[AC6605-wlan-service-set-intrnet-1]security-profile name pre-authen
说明:该服务集是给访客厅用的,当然也可以提供给Boss的人漫游到访客厅,主要的区别就是WLAN-ESS那的定义,然后交换机允许通过的流量不同。

[AC6605-wlan-view]service-set name intrnet-2
[AC6605-wlan-service-set-intrnet-2]service-vlan 20
[AC6605-wlan-service-set-intrnet-2]security-profile name pre-authen
[AC6605-wlan-service-set-intrnet-2]ssid intrent
[AC6605-wlan-service-set-intrnet-2]wlan-ess 3
[AC6605-wlan-service-set-intrnet-2]user-isolate

目前AP已经是2个已经上线了的,最后的步骤就是把对应的射频模板跟服务集绑定到ap的射频上,这里只提供5G接入

6、关联AP射频,下放业务

之前已经定义了一个2.4G与5G的,可以直接使用5G。

之前AP 2是有配置的,所以必须先去掉。包括射频0与1的,然后重新定义
说明下:该配置是之前定义的时候存在的,可以去掉,然后定义新的。

[AC6605-wlan-view]ap 2 radio 1
[AC6605-wlan-radio-2/1]channel 40mhz-plus 149
[AC6605-wlan-radio-2/1]radio-profile name 5G
[AC6605-wlan-radio-2/1]service-set name intrnet-1

[AC6605-wlan-view]ap 3 radio 1
[AC6605-wlan-radio-3/1]channel 40mhz-plus 157
[AC6605-wlan-radio-3/1]radio-profile name 5G
[AC6605-wlan-radio-3/1]service-set name intrnet-2
说明:之前可以看到有2个AP,所以用AP2的射频1,也就是5G,定义了一个信道,避免与之前的冲突,然后射频模板为5G,然后调用了给AP 2用的服务集,也就是访客厅的,而下面那个则是给AP 3,Boss用的。

最终下放策略给AP。

4三层漫游结果验证

可以看到现在有2个信道重叠,用内部人员登陆测试,连接到AP2上面。

可以看到获取到的是VLAN 19的IP地址,开始漫游。

可以看到关联过来了,而且地址一直在Ping,丢包率也没有。地址没发生任何变化。

可以看到有漫游记录。

现在测试,另外一边,先关联AP3,然后漫游到AP2上面。

已经连接,然后开始测试。

可以看到会丢几个包,然后在转过来。而且地址是没发生变化的。

5分析:为什么会几个丢包呢