随板AC无线用户VLAN未配置导致转发异常

发布时间:  2014-12-31 浏览次数:  344 下载次数:  0
问题描述
教育城域网用户,原来使用AC6005作为无线控制器,AP在接入学校,转发模式为直接转发。网络改造,将S12700替换AC6005,并使用随板AC功能,所有的配置完整替换。替换之后,用户发现AP可以上线,但是用户关联之后,无法获取IP地址。
用户的网络拓扑如下:
处理过程
检查相关设备的配置,未发现明显异常。需要提及的是:接入学校,由于维护人员技能较低,所有的接入设备均未划分VLAN信息,作为傻瓜交换机使用,接入设备的上下联接口都在VLAN1中。
用户反馈,AP可以获取地址,并且上线正常。用户连接到SSID上,却无法获取地址,但是将S12700下线,将AC6005上线,恢复到割接前的状态,无线用户就可以正常上网。
仔细比对AC6005和S12700随板AC的配置,发现有一处配置差异。
AC6005
 service-set name xxxi id 0
  wlan-ess 0
  ssid xxx_1x
  traffic-profile id 1
  security-profile id 0

S12700
 service-set name xxxi id 0
  wlan-ess 0
  ssid xxx_1x
  traffic-profile id 1
  security-profile id 0
  service-vlan 54
S12700上配置了service-vlan,但是AC6005上没有配置。
根因
由于AC6005上没有配置sevice-vlan,用户数据在出AP上联口的时候,是不带VLAN标签的,相当于一台普通主机发出的数据。此时如果使用DHCP去获取地址,将获取到与AP管理同一网段的地址。
S12700上配置了service-vlan,vlan号为54,但是由于接入设备上没有VLAN54。当用户数据出AP的上联口时,VLAN标签为54。接入设备收到这个报文,由于本地不存在VLAN54,这个报文将被接入交换机丢弃,因此用户无法获取到IP地址。
解决方案
在接入设备上添加service-vlan。
或者在AC上不设置service-vlan。这种方式,由于AP和用户都在同一个网段中,不推荐使用。

END